Сегодня в основе практически всех современных услуг и сервисов лежат персональные данные. Узнать клиента лучше, чтобы своевременно предложить ему качественные сервисы, услуги и товары в зависимости от его потребностей – это интерес любой компании. Несоблюдение правил работы с персональными данными и их недостаточная защищенность неминуемо приводит к утечкам, следствием которых является использование полученной информации злоумышленниками в различных мошеннических схемах.
Конфиденциальность личной информации, «приватность», является не только одной из базовых потребностей человека, но и безусловным приоритетом Сбера. Осознавая свою роль в совершенствовании отрасли персональных данных с целью защиты интересов наших граждан, Сбер принял решение поделиться своей экспертизой в данной области с широкой публикой. В этом году журнал Sber Privacy Journal, издание Сбера о защите персональных данных и приватности, перестал быть исключительно внутренней инициативой и теперь публикуется в интернете на сайте «Кибрарий» (онлайн-библиотека знаний по кибербезопасности, которую развивает Сбер). Его содержание может быть полезно не только специалистам по защите персональных данных (ПДн), но и специалистам по управлению данными. О первых результатах проекта рассказывает Евгений Калинин, руководитель Центра DPO «Сбера» и номинант на премию Data Award.
— В чем вы видите свою миссию?
В России Сбер – один из крупнейших операторов персональных данных: банк обрабатывает данные более чем 100 млн клиентов и 250 тыс. сотрудников. У команды Сбера самая широкая экспертиза в области обработки персональных данных.
Миссия нашей команды – защита персональных данных клиентов и безусловное обеспечение прав граждан как субъектов персональных данных. В целях реализации этой миссии мы непрерывно занимаемся экспертизой и контролем соответствия банковских процессов законодательству РФ, повышением privacy-культуры клиентов и наших работников, чтобы помочь им избежать мошеннических схем злоумышленников, и многими другими смежными направлениями деятельности.
— Какие шаги для этого предпринимаются?
Для выполнения поставленных перед нами задач мы формируем требования к банковским процессам, в которых происходит обработка персональных данных, проводим экспертизу всех продуктов и сервисов согласно принципам privacy by design, уделяем повышенное внимание проведению обучающих мероприятий для работников и клиентов.
При лидирующей роли нашей команды в банке внедряются бизнес-процессы, реализуются пилоты различных продуктов и сервисов в соответствии с требованиями законодательства, выстроена единая методология и мощная экспертная поддержка бизнеса – фактически наша команда стала надежным помощником в организации банковских процессов.
Privacy-учения для дочерних компаний, ежегодные конференции, активные дискуссии в рабочих группах по развитию законодательства, десятки мероприятий по повышению privacy-культуры как для сотрудников, так и для широкой аудитории, информационный канал о приватности «Ничего личного» в мобильном приложении Сбербанк Онлайн – это только «вершина айсберга», внешние проявления той огромной работы, которую мы выполняем.
В 2022 году мы запустили Sber Privacy Journal – первое регулярное корпоративное издание, посвященное актуальным вопросам обработки персональных данных и в целом проблеме приватности. С января 2023 года журнал доступен в библиотеке знаний о кибербезопасности «Кибрарий».
В мире давно существует традиция выпуска профильных изданий, формируемых международными организациями, крупнейшими аналитическими и научно-исследовательскими центрами, финансовыми институтами. Нам кажется правильной концепция, когда организация, специализирующаяся на определенной сфере, например, на международном гуманитарном праве, финансовом секторе или юриспруденции, публикует свой анализ, свой взгляд на происходящее в мире в данной области. Если говорить о России и о нашей деятельности, у нас достаточно много журналов, посвященных информационной безопасности, но нет по сути ни одного издания, чьим основным фокусом являются персональные данные.
— На какую аудиторию вы нацелены в первую очередь?
С самого начала мы исходили из того, что журнал должен быть интересен и полезен как профессионалам в данной сфере, так и обывателю, не погруженному в сферу персональных данных. Мы стараемся держать баланс, чтобы отойти от излишнего формализма, но вместе с тем сохранить экспертность и практическую пользу публикуемого материала. Поэтому в журнале можно найти как практические статьи, рассматривающие, например, вопросы правоприменения или виды мошенничества с данными, так и научно-популярные материалы об истории становления концепции приватности, о влиянии технологий на общество и т. д. В Sber Privacy Journal можно узнать много интересных фактов, которые расширяют кругозор и дают лучшее понимание того, чем и для чего мы занимаемся. Наш журнал – это не «методичка», а сборник авторских размышлений и исследований на тему приватности, её роли в современном обществе.
— А может быть, многим специалистам нужна именно «методичка»?
Мы выступаем за системный подход и осмысленность в работе. Комплаенс в области защиты и обработки данных «для галочки» нам не интересен. Убеждены, что каждый специалист в области защиты персональных данных должен быть глубоко погружен в четыре области («домена», как мы их называем): доскональное знание законодательства и права в области персональных данных, знания требований к защите и обеспечению безопасности персональных данных, навыки проектирования и анализа качества описания бизнес-процессов, а также знания основ передачи и обработки данных в компьютерных сетях, и, безусловно, уверенное понимание того, что происходит в мире информационных технологий.
Именно глубокое, осмысленное погружение в вопросы безопасности позволит чувствовать себя уверенно в условиях непрерывного развития технологий сбора и анализа данных перед лицом новых вызовов со стороны киберпреступности.
— Разве для закрытия внутренних потребностей не хватает более простых и менее затратных мероприятий – например, периодических тренингов?
Безусловно, такие мероприятия мы тоже проводим. В качестве фундаментальной базы мы разработали онлайн-курс «Основы работы с персональными данными», который проходит каждый сотрудник банка. Помимо этого, мы с регулярной периодичностью «точечно» определяем круг слушателей, собираем интересующие вопросы и проводим встречи офлайн и онлайн, общаемся с бизнесом и ИТ-подразделениями. Если у коллег остаются волнующие нерешенные проблемы – оказываем индивидуальную поддержку. Журнал – это проект, который изначально задумывался «для себя», для внутренних потребностей и для всех энтузиастов в области приватности и конфиденциальности, которые довольно часто, надо сказать, встречаются среди банковских работников.
— Какие темы охватываются в журнале?
В журнале рассматривается широкий спектр тем, начиная от использования технологий биометрического распознавания и заканчивая требованиями к обработке персональных данных в зарубежных юрисдикциях. К примеру, мы подробно рассматривали регулирование сферы персональных данных в разрезе правоприменения Китая и Индии. Изучали феномен дипфейков и правовые основания их использования в рекламных интеграциях, исследовали вопросы приватности в контексте разных исторических эпох и многие другие темы.
— Работа ориентирована исключительно на специалистов? Планируется ли обучать теме приватности и защиты данных клиентов?
Назову одну цифру – 20 миллионов. В 2022 году наши мероприятия по повышению privacy-культуры граждан охватили более 20 миллионов человек. Мы регулярно проводим обучающие мероприятия совместно с государственными органами и ведущими вузами страны. Особое внимание мы уделяем детям, людям пожилого возраста, студентам. Так, например, рамках 2-й Международной олимпиады по финансовой безопасности мы провели обучение основам безопасного хранения и передачи персональных данных для более чем 550 студентов из 12 стран СНГ и БРИКС.
В канале Сбербанк Онлайн «Ничего личного», о котором я упоминал выше, только за прошлый год было опубликовано свыше 40 образовательных статей и материалов с полезными рекомендациями о защите личных данных, направленных, в том числе, на повышение бдительности наших сограждан в вопросах, связанных с использованием их данных.
Также в прошлом году на сайте Сбера мы запустили информационную страницу sberbank.ru/privacy, на которой простыми словами рассказываем посетителям о том, как Сбер обрабатывает и защищает персональные данные.
— Если вернуться к изданию Sber Privacy Journal, то какие результаты достигнуты?
23 января мы опубликовали на «Кибрарии» свежий номер журнала, а заодно и два предыдущих, и практически сразу получили большое количество положительных отзывов. И, что не менее важно, – увидели пожелания и профессиональные рекомендации. Обратная связь особенно приятна с учетом того, что подготовка Sber Privacy Journal – не наша основная работа, а, можно сказать, «факультативная». Ведь по сути все это создавалось и версталось в свободное от основной работы время, которого остается не так много. Здесь действительно стоит поблагодарить наших коллег за их время, инициативность и проявленный интерес к общему проекту.
Мы считаем, что нам удалось заинтересовать российское экспертное сообщество, а если наши наработки будут внедряться на практике – значит, наша задача выполнена на 100%.
— Каковы ваши планы развития?
В числе ближайших планов развития – получить номер ISSN, благодаря чему журнал попадет в международную базу периодических изданий, упростится его распространение и поиск. Будем однозначно расширять авторский состав, привлекать внешних экспертов, включая зарубежных специалистов. Кроме того, мы прорабатываем создание полноценного информационного онлайн-портала Sber Privacy с новостями и аналитикой из мира приватности, запуск англоязычной версии журнала, а также тесное сотрудничество с крупнейшими вузами и ассоциациями в части публикации их материалов.