Александр Розенблат: «У системы «Электронная путевка» - разумные цели»

Туристические организации обрабатывают и хранят большой объем конфиденциальных сведений о клиентах, включая паспортные данные и платежные реквизиты. Отсюда и важность проблем, о которых мы поговорили с Александром Розенблатом, генеральным директором компании «Ясофт», специализирующейся на разработках программного обеспечения и защиты информации.

- Что вкладывается в понятие информационной безопасности в индустрии туризма?

- Применительно к турбизнесу речь идет, в первую очередь, о сохранности персональных данных большого количества людей. Любое юридическое лицо в нашей стране должно быть зарегистрировано в Роскомнадзоре как оператор персональных данных, так как имеет дело со сведениями о собственных сотрудниках. Но особенность работы туроператоров, турагентов и вообще компаний, имеющих отношение к туристическому бизнесу, в том, что, они обрабатывают еще и чужие персональные данные, что повышает риски. Что касается мер, которые применяются для обеспечения информационной безопасности и сохранности данных, то они достаточно просты и понятны, выполнить их в состоянии любая компания. Уберечься от внешних воздействий можно, если установить на свои рабочие места различные программы защиты, например, Касперского. Небольшие операторы, к сожалению, иногда пренебрегают этими очевидными вещами. Но тут уж личная зона ответственности каждого. 

- Как вопросы информационной безопасности регулируются на уровне государства?

- К утечке персональных данных государство относится очень серьезно. Контроль в этой области осуществляет Роскомнадзор, а Федеральная служба по техническому и экспортному контролю (ФСТЭК) предъявляет требования к техническим средствам, программному обеспечению и средствам защиты информации, а также к организационно-распределительной документации.

С мая этого года ответственность за нарушения в этой области кратно повысилась. Напомню, согласно статье 22 закона «О персональных данных» все обязаны уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных. Если обнаружится, что компания это проигнорировала, выписывается штраф до 300 тысяч рублей на юрлицо, а за утечку персональных данных – миллионы, вплоть до уголовной ответственности. Поэтому сегодня для любой компании вопрос о защите персональных данных далеко непраздный. А уж туроператорам нужно быть особенно внимательными.

Помните летнюю историю с «Аэрофлотом», когда в работе информационных систем авиакомпании произошел сбой и начались масштабные переносы и отмены рейсов? Это очень яркий пример неправильной организации технической работы по защите своей системы.

- Все шире в туризме используется онлайн-бронирование. Есть ли какие-то особые риски, связанные с этим?

- Не вижу, честно говоря, каких-то гигантских рисков. Здесь, не устану повторять, важны внимательность и ответственность всех участников процесса.

Клиенты туркомпаний должны знать, с кем имеют дело, должны проверять информацию о своих контрагентах в общих источниках. Это, кстати, отдельная функция, в том числе и электронной путевки, для чего она, собственно, и нужна. Поэтому не могу сказать, что здесь какая-то есть проблема. Человек сделал онлайн-бронирование, заплатил деньги, а потом все это куда-то утекло, и он не смог реализовать покупку – такого в массовом порядке в стране нет.

- Вы упомянули электронную путевку. Нужна ли она, на ваш взгляд, и зачем?

- Государственная информационная система «Электронная путевка» (ГИС ЭП) начала работать с 1 сентября 2022 года. С 2024 года передача данных туда стала обязательной для всех туроператоров и турагентств.

Мы еще на ранней стадии включилась в работу по взаимодействию с этой системой со стороны ее пользователя. По нашему мнению, это, безусловно, важный продукт. Цели, которые изначально перед ней ставились, постепенно начинают реализовываться. Вспомните ситуации, когда МЧС приходилось экстренными бортами вывозить туристов из каких-то горячих точек. Собственно, одной из функций ЭП и является наличие у государства информации о том, где физически находится каждый турист.

ЭП делает структурно прозрачной еще и цену тура. Например, турист заплатил 100 рублей за путевку, 70% из них получил турагент, а 30% – сам туроператор за свой турпродукт. От какой суммы турист должен отталкиваться, если из-за некачественных услуг дело дойдет до судов и разбирательств? У туриста есть возможность зайти в свою электронную путевку, забив в систему определенный идентификационный номер, выданный туроператором, и получить полную информацию о купленном турпродукте. Другое дело, что в большинстве случаев никто этим не занимается, но особо дотошные граждане могут это сделать.

- Как можно подключиться к электронной путевке?

- Есть два способа. Аттестация – она проходит один раз и заплатить нужно тоже один раз. Либо шлюзовое решение, когда компания подключается к путевке через аттестованный канал. Во втором случае присутствует абонентная плата, она примерно на уровне оплаты использования интернета за месяц для туроператора. Мы именно такое решение и предлагаем. Компания получает выделенный канал, который мы постоянно поддерживаем. У него точно такой же формат обслуживания, как и у выделенной интернет-линии, то есть мы, можно сказать, выступаем провайдером услуг для доступа в электронную путевку.

В случае самостоятельной аттестации туроператор хоть и платит один раз, но остается один на один с эксплуатантом ЭП по всем техническим вопросам.

- А вы видите здесь какие-то сложности?

- Проблема есть. Сегодня за передачу данных отвечают Минэкономразвития как оператор системы и ФСТЭК в части контроля за реализацией требований в области информационной безопасности. ФСТЭК осуществляет периодические проверки, выдает предписания вплоть до приостановки деятельности компании. Однако работа с системой со стороны Минэка устроена так, что мы не видим ее единого эксплуатанта. На этапе создания электронной путевки ее эксплуатировало АО «Национальные туристические технологии». При всех нареканиях и сложностях с коммуникацией обратная связь с ними все же была, как и возможность диалога. На текущем этапе – это структура Ростелекома, очень закрытая организация. Даже мы, находясь на переднем крае работы, не можем получить ответы на свои запросы. Все общение идет только через письменные или электронные обращения, ответ не всегда удовлетворяет, но нормального диалога нет. При этом надо понимать, что к концу года эксплуатант опять сменится, и кто это будет и каким образом будет осуществляться взаимодействие мы не понимаем. Конечно, пытаемся эти вопросы заранее проработать, но не все в нашей власти.

В такой ситуации, кстати, наше шлюзовое решение для туроператоров является определенным преимуществом, потому что им не приходится общаться с эксплуатантом системы, только с нами. А мы 95% вопросов стараемся закрывать самостоятельно. 

Так или иначе, туроператоры, которые подключились и установили определенный объем программных продуктов для обеспечения информационной безопасности, однозначно повысили уровень защиты своих информационных систем и рабочих мест. Ни в какой другой отрасли не наблюдается такого масштабного процесса.