Утечки персональных данных — SearchInform

Последствия утечки персональных данных

Компании становятся заложниками информационных технологий. Без программных механизмов невозможно вести и развивать бизнес, строить партнерские отношения и выполнять операции с персональными данными. Переход на электронную платформу требует уделять серьезное внимание вопросам информационной безопасности, чтобы избежать утечки персональных данных.

Вмешательство в функционирование информационной системы, будь то хищение, уничтожение или получение несанкционированного доступа, могут стать причиной серьезных убытков. Источники убытков – судебные иски, которые предъявляют пострадавшие от утечки персональных данных, обрабатываемых компанией, а также штрафы, которые надзорные органы вправе накладывать на операторов персональных данных.

Опасность утечки персональных данных возрастет во второй половине 2018 года, когда начнет действовать единая система идентификации личности. В общенациональную базу будут поступать биометрические данные каждого россиянина, который становится банковским клиентом. Опасность утечки биометрических данных чрезвычайно велика. В отличие от номеров платежных карт или паспортных данных биометрическую информацию изменить невозможно.

Для того чтобы побороть последствия утечки данных, нужно сперва определить на сколько важными эти данные были для компании и какую ценность имели. Данный анализ даст понять уровень ущерба, который может принести произошедшая утечка. Далее все действия сводятся к минимизации ущерба, примеры которого мы сейчас рассмотрим.

Самый очевидный ущерб, который может принести утечка информации — это финансовые убытки. Если ваши конфиденциальные данные попадут в руки конкурентов, то им это может пойти на пользу, а вам естественно — нет. Чтобы четче представить данную ситуацию приведем наглядный пример. Компания «Росток» разработала новую технологию изготовления лейки.

Теперь лейка компании вмещает объем воды гораздо больший, чем ее аналоги у конкурентов, при этом она лучше адаптирована для пользователя. Даже с повышенным объемом воды держать ее действительно удобнее, чем аналоги конкурентов. А насадки на горлышко лейки адаптированы под разные растения и способны не только комфортно их поливать, но и вода через них струится особенно.

Одним словом, сказка. Руководители компании в предвкушении, что совсем скоро «взорвут» рынок садовых инструментов и радостно потирают руки. Но вот незадача. Уже завтра конкуренты выпускают такие же лейки с такой же самой технологией, как и компании «Росток». Потребитель ринулся скупать лейки, а компания «Росток» выпала в осадок.

А оно ведь и понятно. Все средства, усилия и время, вложенные в разработку лейки, были потрачены впустую. Другими словами, компания «Росток» славно потрудилась на благо конкурентов. Таким образом, компания-разработчик пострадала не только в финансовом плане, но и в плане развития. Еще более худшим развитием сценария может стать обвинение конкурентом реального разработчика технологии в плагиате.

Другим негативным последствием, образовавшимся в результате утечки данных, могут стать судебные иски пострадавших. В данном случае речь идет об утечке персональных данных. Как показывает практика, судебные иски также приносят серьезные финансовые убытки компаниям. Однако этим дело может не ограничиться. Вслед за финансовыми убытками от судебных исков могут последовать штрафы от регулирующих органов, занимающихся защитой персональных данных.

На постсоветском пространстве проблема штрафов еще не так актуальна, как в западных странах, но постепенно мы приближаемся к ответственности за информационные потери.

Еще одним серьезным убытком для предприятия из-за утечки информации станет удар по репутации. Любая организация, допустившая хищение информации, ухудшает свой имидж в глазах потенциальных клиентов, партнеров и собственных сотрудников. Все это в перспективе может привести к недополученной прибыли и оттоку квалифицированных кадров, что даже хуже недополученных денег.

Репутационные потери особенно актуальны для компаний, работающих на западных рынках, либо в сфере, связанной с защитой данных. Часто именно репутационные потери оказываются самыми болезненными. Еще хуже будет, если утечка информации произошла в переломный для организации период, тогда потеря данных информации может стать причиной банкротства.

Наказание за утечку персональных данных

В России за утечку ПД предусмотрены штрафные санкции. Однако размеры штрафов незначительны, поэтому Министерство цифрового развития, связи и массовых коммуникаций попыталось продвинуть законопроект, который расширил бы границы административной ответственности за распространение ПД. В проекте вводились санкции еще по двум составам правонарушения:

  • хранение персональных данных российских граждан в базах за пределами России;
  • несоблюдение требований закона по обеспечению конфиденциальности персональных данных, незаконное раскрытие, предоставление третьим лицам, в том числе и утечки ПД.

Виды правонарушений, которые выделяет действующее законодательство, перечисляются в статье 13.11 КоАП РФ. Нормы статьи применяются к гражданам, должностными, физическим и юридическими лицами, которые выполняют функции операторов персональных данных. Нарушения, за которое предусмотрена ответственность:

  • обработка персональных данных без достаточных оснований или нецелевое использование данных;
  • обработка персональных данных без письменного согласия, оформленного строго по требованиям закона 152-ФЗ;
  • политика требований защиты и обработки ПД не опубликована;
  • субъект не получил информацию о составе персональных данных у оператора;
  • невыполнение законных требований субъекта по уточнению, блокировке, удалению данных;
  • несоблюдение требований безопасного хранения при ручной обработке ПД;
  • невыполнение обязанностей государственными или муниципальными органами по обезличиванию ПД или неправильное обезличивание.

Любое нарушение может привести к утечке персональных данных. Виновным в нарушении грозит административное взыскание – штраф от 1 тыс. до 75 тыс. рублей в зависимости от статуса виновного и типа нарушения.

Чтo делать, еcли дали coглаcие на иcпoльзoвание перcoнальных данных

Для борьбы с последствиями от утечки данных стоит предпринять следующие меры:

  1. определить  источник  утечки информации, чтобы в будущем аналогичный инцидент не повторился;
  2. выяснить круг лиц, которым стала   доступна   похищенная информация;
  3. установить, какие еще данные могли быть скомпрометированы в результате этой утечки;
  4. оповестить о хищении информации лиц, которые могут от нее пострадать;
  5. при необходимости обратиться в правоохранительные органы;
  6. вести работу над минимизацией ущерба по каждому из возможных направлений.

Вкратце рассмотрим каждый из пунктов поподробнее.

Определить виновника утечки информации можно посредством анализа сетевой активности пользователей корпоративной компьютерной сети. Выполнить это можно с помощью системы мониторинга информационных потоков предприятия или DLP-системы (от англ. Data Leak Prevention — защита от утечек данных).

Далее следует выяснить, кто получил конфиденциальные сведения, чтобы понять, кому и чем это грозит. Дать конкретные советы здесь будет трудно, так как все зависит и от самой информации и от ее получателя. Стоит понимать, что одно дело, когда утечка данных произошла об исследовании рынка и совсем другое — когда список крупнейших клиентов попадает в руки ближайшего конкурента.

После этого стоит оценить, какие еще данные могли передать за пределы компании те, кто виновен в первой утечке. Это, опять-таки, нужно для того, чтобы более полно оценить последствия последней для самой фирмы и других, связанных с ней организаций и частных лиц.

Четвертый пункт становится для многих компаний самым сложным, так как никто не любит признавать собственные ошибки. Большинство организаций предпочитают утаивать информацию об утечки данных, чтобы минимизировать ее последствия, но на самом деле достигают противоположного эффекта. Не сообщая об утечках тем, кто может пострадать от них, компания не дает возможности своим клиентам, партнерам и сотрудникам защититься. Как следствие, доверие и лояльность к такой компании теряется, если общественность узнает о случившемся инциденте.

В зависимости от серьезности утечки информации не лишним будет обратиться в правоохранительные органы, чтобы наказать виновных. Однако стоит помнить, что практика судебного преследования виновных в разглашении коммерческой тайны не слишком распространена, поэтому компании предпочитают решать вопросы касательно утечек информации самостоятельно. Как следствие, отсутствуют показательные судебные процессы, способные заставить задуматься сотрудников, прежде чем совершать хищение информации.

Утечки персональных данных - SearchInform

Если кто-то опубликовал ваши персональные данные без вашего устного или письменного согласия – это (как правило) нарушение КоАП РФ (статья 13.11). В случае обнаружения в Интернете сайта, на котором незаконно опубликованы ваши данные, рекомендуем вам обратиться в Роскомнадзор. Для этого не обязательно идти в территориальное управление организации, можно отправить электронное обращение.

В случае обнаружения нарушений Роскомнадзор может выписать предписание об удалении ваших данных с сайта. Также можно обратиться в прокуратуру. В Москве и Московской области, как и в других регионах России, действуют интернет-приемные прокуратуры, поэтому обращение можно направить в электронном виде.

Если персональные данные были добыты путем взлома электронной почты или аккаунта в соцсети, обращаться следует уже в Следственный комитет, поскольку это уже не административное, а уголовное преступление (ст. 138 УК РФ, «Нарушение тайны переписки»). Обратиться в СК РФ можно через официальный сайт госоргана, выбрав на интерактивной карте нужный регион и открыв страницу интернет-приемной.

Правда, необходимо отметить: СК РФ может отказать в возбуждении уголовного дела, особенно когда лицо, нарушающее закон, не определено и нет сведений об ущербе, который был причинен разглашением личной информации. Если Следственный комитет отказал в возбуждении дела, вы можете обжаловать это решение в прокуратуре.

Директoр Центра правoвoгo oбcлуживания Анна Кoняева раccказала o тoм, каким oбразoм мoжет прoиcхoдить утечка инфoрмации и чтo делать, еcли вы уже дали coглаcие на иcпoльзoвание ваших перcoнальных данных. 

В рамках админиcтративнoгo наказания штрафы невыcoки (oт 300 рублей для граждан дo 50 тыcяч рублей для юридичеcких лиц). Еcли пocледующие дейcтвия нарушителя coдержат признаки преcтупления, мoжнo oбратитьcя c cooтветcтвующем заявлением в cooтветcтвующие правooхранительные oрганы (пoлиция). 

Обращаяcь c иcкoм в cуд, гражданин мoжет пoтребoвать вoзмещения вoзникшегo ущерба и кoмпенcации мoральнoгo вреда (например, в рамках угoлoвнoгo дела мoжнo заявить гражданcкий иcк o вoзврате украденных денежных cредcтв).

Документация по защите от утечек ПД в банковской сфере

Организации, которые работают с персональными данными, должны внедрять обязательные меры для защиты от модификации и разглашения в соответствии с требованиями закона 152-ФЗ. Выполнение норм законодательства отслеживает Роскомнадзор. Сотрудники регулятора уполномочены проверять любые компании по вопросам защиты персональных данных от утечки.

В случае выявления недостаточной заботы о защите от утечек ПД служба вправе требовать от оператора в течение трех дней устранить все несоответствия или правильно уничтожить ПД. Чтобы избежать неприятностей, оператору, который выполняет любые действия с персональной информацией, необходимо классифицировать данные и обеспечить полноценную защиту.

Нормы подзаконных актов, изданных ФСТЭК и ФСБ, требуют от операторов выстроить современную эффективную защиту с помощью:

  • внедрения действенных антивирусных решений;
  • установки межсетевых экранов;
  • применения систем предотвращения несанкционированного доступа (вторжения);
  • выстраивания системы идентификации пользователей;
  • установления полноценного контроля доступа, шифрования, защиты ПД.

Возможные способы реализации мероприятий изложены в руководстве ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных».

Норматив описывает основные методы создания защиты информационных систем. Кроме того, необходимо, чтобы оператор квалифицировал ПД, определил места безопасного хранения, смоделировал угрозы и составил портрет нарушителей, а затем выбрал способы и средства защиты от утечек, предотвращающие реализацию утечки в соответствии с подготовленным списком.

Утечки персональных данных - SearchInform

Особенно важно защищать личную информацию в банковской сфере. Списка обязательной документации для регулирования процессов обработки ПД, актуального в России, законодательство не устанавливает. Поэтому многие финансовые учреждения не могут самостоятельно определить, какими обязательными локальными документами нужно руководствоваться, а какие – отнести к опциональным.

Организации вправе ориентироваться и еще на один документ – Рекомендации Роскомнадзора, в соответствии с которыми надо создать Политику со всеми необходимыми требованиями по защите ПД.

Для заемщиков и страхователей банку желательно разработать отдельный регламент, где описать основные спорные моменты, руководствуясь опытом работы и реальной судебной практикой.

Особенное внимание не лишним будет уделить внутренней документации, куда следует внести пункты, касающиеся обработки ПД. Дополнительно необходимо принять должностные инструкций для специалистов, которые осуществляют и отвечают за обработку ПД в учреждении.

1. Перечень информационных систем, в которых выполняется обработка ПД в финансовом учреждении.

2. Правила доступа в серверные помещения, где выполняется обработка данных, с перечнем сотрудников, у которых есть доступ в указанные помещения.

3. Модель возможных и реальных угроз для ПД во время обработки в информационных системах, где обрабатываются и хранятся данные. Модель угроз разрабатывать сложнее всего, однако наличия и выполнения документа требует 152-ФЗ (пункт 5 части 1 статьи 18.1).

В банке также должны быть изданы приказы и распоряжения, которыми назначаются специалисты, ответственные за процессы обработки ПД в соответствии с уставом.

Как предoтвратить утечку перcoнальных данных

Утечка перcoнальных данных

Пo cлoвам экcперта, нередкo утечка инфoрмации o клиентах прoиcхoдит пoчти на закoннoм урoвне. Как раccказала кoрреcпoнденту МИР 24 Анна Кoняева, бoльшинcтвo кoнтрактoв coдержат пункты o coглаcии на передачу, хранение и oбрабoтку перcoнальных данных. 

«Не вcе знают, чтo этo уcлoвие мoжнo иcключить. Даже oт руки мoжнo напиcать – «без передачи третьим лицам» и пocтавить пoдпиcь. Мoжнo вocпoльзoватьcя уcлугoй, а затем oтoзвать coглаcие на oбрабoтку и передачу перcoнальных данных. Этo coглаcие мoжет быть oтoзванo», – дoбавила в заключение А. Кoняева.

Пoдрoбнее o пoдаче заявления в Рocкoмнадзoр и егo раccмoтрении

Гражданин, перcoнальные данные кoтoрoгo раcпрocтраняютcя в cети Интернет, мoжет пoдать заявление oб этoм в Рocкoмнадзoр и указать адреc cайта, на кoтoрoм имеетcя нарушение. Рocкoмнадзoр в течение меcяца раccматривает заявление гражданина и, еcли выявит нарушение, направляет владельцу cайта требoвание oб удалении инфoрмации.

Дела o привлечении лица к админиcтративнoй oтветcтвеннocти в oблаcти перcoнальных данных вoзбуждает прoкуратура, раccматривает – cуд. 

Выводы

Анализ судебных решений на основании множественных несоответствий в работе компаний, занимающихся обработкой ПД, позволяет обобщить и рекомендовать шаги по совершенствованию процесса обработки, хранения и защиты данных.

1. Организовать полноценный аудит выполняемых в компании процессов по сбору, обработке, распространению, хранению, уничтожению ПД. Это позволит выявить возможные риски утечки. Аудит является действенной формой не только выявления «узких» мест, но и предоставляет возможность:

  • определить виды, разнести по категориям ПД, которые проходят обработку в компании;
  • установить и классифицировать субъектов, ПД которых обрабатываются;
  • разработать или усовершенствовать локальные нормативы, описывающие сбор и обработку ПД;
  • предусмотреть рычаги воздействия и мероприятия технического характера, обеспечивающие необходимые меры для соблюдения конфиденциальности информации и защиты от утечек ПД.

2. Модифицировать (внедрить) внутреннюю документацию по сбору и обработке ПД.

3. Пересмотреть типовые формы договоров, чтобы исключить пункты по обработке ПД.

4. Составить типовые формы согласия сотрудников, клиентов и партнеров, на обработку ПД.

5. Обеспечить сбор только необходимых для работы данных в соответствии с целями, чтобы избежать получения ненужной персональной информации.

6. Предусмотреть письменные формы соглашений с третьими лицами и партнерами, которым передается ПД.

Дополнительной мерой служит создание Политики, которая будет регулироваться взаимодействие с профильными государственными органами. Важно, чтобы создание документов не являлось самоцелью. Необходимо, чтобы заинтересованные и ответственные лица знакомились с каждым пунктом документов, а требования – неукоснительно выполнялись.

Понравилась статья? Поделиться с друзьями:
Бухгалтерия и учет
Adblock
detector