Все более активная работа онлайн помимо плюсов в виде расширения потенциальной аудитории клиентов несет риски утечки их персональных данных. О том, как сохранить репутацию компании и защитить персональные данные, в ходе вебинара рассказал менеджер продуктов с повышенными требованиями безопасности hoster.by Дмитрий Матюхин.
Эксперт отметил, что данные практически половины компаний можно найти в Даркнете (криминальный сегмент Интернета), и то, что ими не воспользовались во вред, означает лишь то, что клиенты и конкуренты об этом не знают.
Как утекают персональные данные и что сделать для их сохранности
В обществе сложился стереотип о том, что утечка данных – это миф. На самом деле это не так, и в новой истории Беларуси было несколько громких утечек. В 2000-х гг в течение достаточно длительного времени в сети была база данных об абонентах одного из мобильных операторов, в 2011 г утекли данные анкет для оформления кредита одного из белорусских банков, затем была утечка данных покупателей китайского сайта Joom. О том, что была утечка персональных данных в банковской сфере, свидетельствуют звонки мошенников на Вайбер многих белорусских пользователей.
Еще один распространенный миф – то, что утечка данных касается только крупных компаний: на самом деле большинство компаний малого и среднего бизнеса становятся пользователями сервисов защиты данных уже после того, как они были взломаны и данные были скомпрометированы.
Причины утечки данных:
- внешние - атаки хакеров, DDOS-атаки, вирусы, шифровальщики;
- внутренние – непрофессионализм сотрудников, ошибки, отсутствие регламентов в деятельности или желание сотрудника нанести вред;
- смешанные - воздействие третьих лиц на сотрудников компании через подкуп или силу;
Почему следует противостоять попыткам украсть персональные данные? Чем больше компания вкладывает в защиту, тем дороже ее взломать, и тем меньше в этом смысл.
Реагирование на угрозы
Внешние угрозы
Закройте критически важные точки. Если у руководителя компании нет компетенции, нарисуйте карту процессов - откуда появляются персональные данные, кто из сотрудников с ними работает и как они ходят по компании. Может выясниться, что весь пул критически важных данных может скапливаться на ноутбуке бухгалтера, работающего еще на 3 компании и который выходит в интернет через WiFi в кафе, где высока вероятность атаки на компьютер.
Для защиты необходимо как минимум приобрести межсетевой экран и антивирусную защиту, соблюдать правила цифровой гигиены, использовать сложные пароли, не оставлять стикеры с паролями на рабочем столе, обновлять программное обеспечение.
Внутренние угрозы
Необходимо уделять внимание сотрудникам, создать процессы и регламенты, описать права (что они должны делать) и в трудовых контрактах ввести ответственность за их выполнение. Необходимо ввести систему логирования, которая не позволит вахтеру компании войти в корпоративную систему, а сотруднику – заходить в базу данных.
Смешанные угрозы
Необходима проработка мотивации сотрудников и введение дополнительных элементов контроля.
Как защищать персональные данные
Согласно законодательству, данные о частной жизни физического лица относятся к защищенным данным. Поэтому все информационные системы, в которых обрабатываются данные о частной жизни физлиц, должны быть ограничены в распространении по открытым каналам передачи данных.
Результатом выполнения этого требования должно быть получение соответствующего аттестата.
Для выполнения необходимых формальностей компания должна выполнить необходимый минимум по ряду элементов:
- защищенный хостинг, использующий программно-аппаратные средства защиты информации и ограничения доступа, чтобы данные на нем не были скомпрометированы;
- защита почтового трафика и заведение специализированной почты: если вся деловая переписка происходит с использованием публичных почтовых сервисов, от этого стоит отказаться;
- частое резервное копирование;
- замена публичных сервисов на лицензированные аналоги;
- контроль привилегированных учетных записей;
- переход на CRM.
Как подготовиться к защите данных
Мероприятия по подготовке к защите персональных данных можно разделить на организационные и технические.
Организационные мероприятия включают следующие элементы:
- назначить ответственного за хранение персональных данных, чаще всего это юрист компании,
- определить минимальный набор персональных данных, где они собираются и где хранятся;
- определить сроки хранения персональных данных;
- подготовить внутреннюю документацию (договоры, соглашения и т.д.) к работе в новых условиях.
Технические мероприятия (подготовка информационных систем) включают:
- подготовку формы выражения согласия клиента на работу с персональными данными и отзыв такого согласия;
- определение порядка доступа к персональным данным (кто в компании может входить в систему доступа к данным, кто какой функционал может выполнять);
- настройку средств защиты информации;
- аттестацию системы защиты информации;
- аудит информационных систем.
Миллионные кейсы – пока не в Беларуси
К чему приводит нарушение закона о защите персональных данных за рубежом, в ходе вебинара рассказала ведущий юрист практики информационных технологий и интеллектуальной собственности компании REVERA Алена Поторская.
Эксперт отметила, что в Беларуси подобных кейсов пока нет, но ввиду соблюдения требований норм закона о защите персональных данных, принятого в мае 2021 г, они могут появиться в том или ином виде.
Кейс 1. Компании British airwais и Marriott были оштрафованы на суммы около 20 млн евро за недостаточные технические меры по защите данных клиентов компаний, их карт и т.п.
Кейс 2. Отсутствие прозрачности в обработке персональных данных. Вопрос касается того, что оператор или контролер должен предоставить своим пользователям определенный набор информации (какие данные он собирает, использует, кому передает далее и т.п.). Компания Google получила самый большой в истории данного законодательства штраф в 50 млн евро за то, что так сформулировала свои документы, что из них было непонятно, что она делает с данными.
Кейс 3. Ненадлежащее правовое основание – актуальный вопрос для белорусского бизнеса. В законодательстве есть несколько оснований для обработки персональных данных. Основным основанием является согласие физлица. Но это согласие необходимо получить для обработки персональных данных для конкретных целей, а не вообще для любой их обработки. Компания Google была оштрафована за то, что при создании профиля определенные согласия уже были даны за пользователя, и узнать об этом изначально было нельзя.
Кейс 4. Компания H&M получила штраф в 35 млн евро за то, что она создавала в своей корпоративной системе профиль на каждого работника и кандидата, он содержал разную информацию о семье, здоровье и т.д. Компания извинилась и пообещала выплатить компенсации тем, кого это затронуло.
Кейс 5. Нарушение прав пользователей. Телекоммуникационная компания TIM в нарушение отозванного права на отправку маркетинговых предложений много раз посылала клиентам рекламные сообщения. Штраф около 27,8 млн евро был наложен за агрессивную маркетинговую кампанию.
Наказание за нарушение в сфере работы с персональными данными
Белорусское законодательство предусматривает ответственность за нарушение в сфере работы с персональными данными: штраф до 50 базовых величин (1450 бел руб). В случае совершения правонарушения лицом, которому персональные данные известны ввиду профессиональной деятельности, штраф составляет от 4 до 100 БВ.
Умышленное незаконное распространение персональных данных физлиц карается штрафом до 200 БВ (5800 бел руб).
Несоблюдение мер по защите персональных данных наказывается штрафом 2-10 БВ (58 - 290 бел руб), на ИП 10-25 БВ (290 -725 бел руб), на юрлицо 20-50 БВ (580 -1450 бел руб).