Как сохранить репутацию компании и защитить персональные данные клиентов

Альфа Эксперт
23 Августа 2021
Поделиться с коллегами

Все более активная работа онлайн помимо плюсов в виде расширения потенциальной аудитории клиентов несет риски утечки их персональных данных. О том, как сохранить репутацию компании и защитить персональные данные, в ходе вебинара рассказал менеджер продуктов с повышенными требованиями безопасности hoster.by Дмитрий Матюхин.

Эксперт отметил, что данные практически половины компаний можно найти в Даркнете (криминальный сегмент Интернета), и то, что ими не воспользовались во вред, означает лишь то, что клиенты и конкуренты об этом не знают.

Как утекают персональные данные и что сделать для их сохранности

В обществе сложился стереотип о том, что утечка данных – это миф. На самом деле это не так, и в новой истории Беларуси было несколько громких утечек. В 2000-х гг в течение достаточно длительного времени в сети была база данных об абонентах одного из мобильных операторов, в 2011 г утекли данные анкет для оформления кредита одного из белорусских банков, затем была утечка данных покупателей китайского сайта Joom. О том, что была утечка персональных данных в банковской сфере, свидетельствуют звонки мошенников на Вайбер многих белорусских пользователей.

Еще один распространенный миф – то, что утечка данных касается только крупных компаний: на самом деле большинство компаний малого и среднего бизнеса становятся пользователями сервисов защиты данных уже после того, как они были взломаны и данные были скомпрометированы.

Причины утечки данных:

- внешние - атаки хакеров, DDOS-атаки, вирусы, шифровальщики;

- внутренние – непрофессионализм сотрудников, ошибки, отсутствие регламентов в деятельности или желание сотрудника нанести вред;

- смешанные - воздействие третьих лиц на сотрудников компании через подкуп или силу;

Почему следует противостоять попыткам украсть персональные данные? Чем больше компания вкладывает в защиту, тем дороже ее взломать, и тем меньше в этом смысл.

Реагирование на угрозы

Внешние угрозы

Закройте критически важные точки. Если у руководителя компании нет компетенции, нарисуйте карту процессов - откуда появляются персональные данные, кто из сотрудников с ними работает и как они ходят по компании. Может выясниться, что весь пул критически важных данных может скапливаться на ноутбуке бухгалтера, работающего еще на 3 компании и который выходит в интернет через WiFi в кафе, где высока вероятность атаки на компьютер.

Для защиты необходимо как минимум приобрести межсетевой экран и антивирусную защиту, соблюдать правила цифровой гигиены, использовать сложные пароли, не оставлять стикеры с паролями на рабочем столе, обновлять программное обеспечение.

Внутренние угрозы

Необходимо уделять внимание сотрудникам, создать процессы и регламенты, описать права (что они должны делать) и в трудовых контрактах ввести ответственность за их выполнение. Необходимо ввести систему логирования, которая не позволит вахтеру компании войти в корпоративную систему, а сотруднику – заходить в базу данных.

Смешанные угрозы

Необходима проработка мотивации сотрудников и введение дополнительных элементов контроля.

Как защищать персональные данные

Согласно законодательству, данные о частной жизни физического лица относятся к защищенным данным. Поэтому все информационные системы, в которых обрабатываются данные о частной жизни физлиц, должны быть ограничены в распространении по открытым каналам передачи данных.

Результатом выполнения этого требования должно быть получение соответствующего аттестата.

Для выполнения необходимых формальностей компания должна выполнить необходимый минимум по ряду элементов:

- защищенный хостинг, использующий программно-аппаратные средства защиты информации и ограничения доступа, чтобы данные на нем не были скомпрометированы;

- защита почтового трафика и заведение специализированной почты: если вся деловая переписка происходит с использованием публичных почтовых сервисов, от этого стоит отказаться;

- частое резервное копирование;

- замена публичных сервисов на лицензированные аналоги;

- контроль привилегированных учетных записей;

- переход на CRM.

Как подготовиться к защите данных

Мероприятия по подготовке к защите персональных данных можно разделить на организационные и технические.

Организационные мероприятия включают следующие элементы:

- назначить ответственного за хранение персональных данных, чаще всего это юрист компании,

- определить минимальный набор персональных данных, где они собираются и где хранятся;

- определить сроки хранения персональных данных;

- подготовить внутреннюю документацию (договоры, соглашения и т.д.) к работе в новых условиях.

Технические мероприятия (подготовка информационных систем) включают:

- подготовку формы выражения согласия клиента на работу с персональными данными и отзыв такого согласия;

- определение порядка доступа к персональным данным (кто в компании может входить в систему доступа к данным, кто какой функционал может выполнять);

- настройку средств защиты информации;

- аттестацию системы защиты информации;

- аудит информационных систем.

Миллионные кейсы – пока не в Беларуси

К чему приводит нарушение закона о защите персональных данных за рубежом, в ходе вебинара рассказала ведущий юрист практики информационных технологий и интеллектуальной собственности компании REVERA Алена Поторская.

Эксперт отметила, что в Беларуси подобных кейсов пока нет, но ввиду соблюдения требований норм закона о защите персональных данных, принятого в мае 2021 г, они могут появиться в том или ином виде.

Кейс 1. Компании British airwais и Marriott были оштрафованы на суммы около 20 млн евро за недостаточные технические меры по защите данных клиентов компаний, их карт и т.п.

Кейс 2. Отсутствие прозрачности в обработке персональных данных. Вопрос касается того, что оператор или контролер должен предоставить своим пользователям определенный набор информации (какие данные он собирает, использует, кому передает далее и т.п.). Компания Google получила самый большой в истории данного законодательства штраф в 50 млн евро за то, что так сформулировала свои документы, что из них было непонятно, что она делает с данными.

Кейс 3. Ненадлежащее правовое основание – актуальный вопрос для белорусского бизнеса. В законодательстве есть несколько оснований для обработки персональных данных. Основным основанием является согласие физлица. Но это согласие необходимо получить для обработки персональных данных для конкретных целей, а не вообще для любой их обработки. Компания Google была оштрафована за то, что при создании профиля определенные согласия уже были даны за пользователя, и узнать об этом изначально было нельзя.

Кейс 4. Компания H&M получила штраф в 35 млн евро за то, что она создавала в своей корпоративной системе профиль на каждого работника и кандидата, он содержал разную информацию о семье, здоровье и т.д. Компания извинилась и пообещала выплатить компенсации тем, кого это затронуло.

Кейс 5. Нарушение прав пользователей. Телекоммуникационная компания TIM в нарушение отозванного права на отправку маркетинговых предложений много раз посылала клиентам рекламные сообщения. Штраф около 27,8 млн евро был наложен за агрессивную маркетинговую кампанию.

Наказание за нарушение в сфере работы с персональными данными

Белорусское законодательство предусматривает ответственность за нарушение в сфере работы с персональными данными: штраф до 50 базовых величин (1450 бел руб). В случае совершения правонарушения лицом, которому персональные данные известны ввиду профессиональной деятельности, штраф составляет от 4 до 100 БВ.

Умышленное незаконное распространение персональных данных физлиц карается штрафом до 200 БВ (5800 бел руб).

Несоблюдение мер по защите персональных данных наказывается штрафом 2-10 БВ (58 - 290 бел руб), на ИП 10-25 БВ (290 -725 бел руб), на юрлицо 20-50 БВ (580 -1450 бел руб).


Альфа Эксперт
Кто такой бизнес-аналитик и почему он нужен компании
Альфа Эксперт
Как успешно использовать новые алгоритмы поисковых систем
Альфа Эксперт
Управление репутацией в сети для компаний c большим ассортиментом