Эксперт Кузнецова: Роскомнадзор перешёл на автоматический мониторинг сайтов с помощью искусственного интеллекта
Изображение: grok
Ксения Кузнецова, заместитель руководителя направления ИБ аудитов в УЦСБ, прокомментировала для CISOCLUB переход Роскомнадзора к цифровому формату контроля за соблюдением 152-ФЗ. По её словам, ведомство внедрило автоматизированную систему, которая позволяет существенно расширить охват проверок.
«Контроль Роскомнадзора за соблюдением 152-ФЗ перешел в цифровой формат. Ведомство использует Автоматизированную систему мониторинга прав субъектов персональных данных (далее – АС МПДн), которая с помощью технологий искусственного интеллекта помогает анализировать ресурсы в автоматическом режиме», — отметила Ксения Кузнецова.
Эксперт пояснила, что процесс проверки теперь состоит из двух этапов: сначала система автоматически выявляет несоответствия, после чего сотрудники ведомства проводят дополнительную проверку.
«Процесс мониторинга выстроен следующим образом: система первично выявляет несоответствия в коде и документации сайтов, после чего сотрудники Роскомнадзора проводят верификацию данных. Такая автоматизация значительно упрощает работу регулирующему органу, позволяя охватить больше ресурсов одновременно, при этом предписания формируются и направляются в официальном порядке», — заявила она.
Она также предупредила о новой угрозе, связанной с активностью злоумышленников, которые используют тему автоматических проверок для атак на компании.
«Важно отметить, что новости о внедрении АС МПДн активно используют злоумышленники. Под видом Роскомнадзора они рассылают ложную информацию об „автоматических проверках“ и поддельные предписания, чтобы получить доступ к конфиденциальным данным или денежным средствам компаний», — подчеркнула Ксения Кузнецова.
По её словам, официальные уведомления направляются только через предусмотренные законом каналы, и компаниям необходимо внимательно проверять источники таких сообщений.
«Рекомендуем проявлять бдительность: официальные уведомления приходят только через установленные законодательством каналы связи», — отметила эксперт.
Ксения Кузнецова подробно описала ключевые зоны риска, на которые обращает внимание регулятор при проверках сайтов.
«Политика обработки персональных данных (далее – ПДн). Документ должен быть актуальным и соответствовать реальным процессам компании. В нем необходимо описать: цели обработки ПДн, категории субъектов ПДн, категории ПДн, правовые основания и сроки обработки, а также действия над ПДн, меры защиты и другие важные нюансы, рекомендуемые Роскомнадзором», — заявила она.
Отдельное внимание уделяется механике работы с cookie-файлами и получению согласия пользователей.
«Cookie-баннер. Посетитель сайта – это субъект ПДн, а cookie-файлы – это сами ПДн. Согласно ст. 9 152-ФЗ, это требует получения согласия на их сбор и обработку. Простого уведомления „мы используем cookie“ недостаточно – нужна кнопка подтверждения или пустой чек-бокс, фиксирующий осознанный выбор пользователя», — отметила Ксения Кузнецова.
Она добавила, что согласие на обработку данных должно быть оформлено корректно и соответствовать реальным процессам обработки.
«Согласие на обработку ПДн. Рядом с любой кнопкой отправки данных в формах обратной связи должен быть пустой чек-бокс и ссылка на текст согласия. Оно обязано быть конкретным: в нем прописываются цели обработки ПДн, категории ПДн и сроки их обработки, строго соответствующие полям веб-формы и заявленным в Политике целям», — подчеркнула эксперт.
По её словам, особое внимание уделяется работе со сторонними сервисами, через которые могут обрабатываться персональные данные пользователей.
«Сторонние сервисы и посредники. Часто сбор данных на сайте фактически осуществляет не сам владелец, а привлеченная компания. В этом случае необходимо заключить поручение на обработку ПДн и получить отдельное согласие пользователя на передачу данных этому лицу», — заявила Ксения Кузнецова.
Она также отметила важность технической стороны вопроса и соблюдения требований по локализации данных.
«Технический аудит и локализация. Система видит, куда физически уходят данные. Использование зарубежных метрик или cookie-скриптов без уведомления Роскомнадзора о трансграничной передаче – прямой риск», — подчеркнула она.
По словам эксперта, практика показывает, что нарушения выявляются часто, а сроки на их устранение ограничены, что требует от компаний заранее готовиться к проверкам.
«Практика показывает, что в ходе проверок сайтов нарушения выявляются достаточно часто, а на их устранение после получения официального предписания отводится до 30 дней», — отметила Ксения Кузнецова.
