Что является главной причиной утечки персональных данных ответ сдо

Как реагировать на утечку персональных данных клиентов

Своевременное принятие эффективных мер при нарушении конфиденциальности данных клиентов компании позволит снизить их отток и уменьшить размеры возмещаемого ущерба и санкций

Из новостей мы нередко слышим о крупных утечках персональных данных. Но что делать, если это случилось в вашей компании?

Грамотное реагирование на подобные инциденты требует серьезной подготовки. И хотя это не избавит вас от всех негативных последствий произошедшего, но может значительно уменьшить ущерб.

Как утекают данные и почему это опасно?

Сценарии утечки персональных данных и связанные с этим риски индивидуальны для каждой компании и зависят от специфики ее деятельности, используемых технологий, внедренных механизмов защиты и др. Причинами утечки могут стать, например, деятельность хакеров, ошибочное или злонамеренное действие сотрудника.

Последствия для клиентов, конфиденциальность чьих данных была нарушена, во многом зависят от состава раскрываемой информации. Мошеннические действия от имени пострадавшего, спам, шантаж, дискриминация (например, в результате раскрытия сведений о заболеваниях) – вот далеко не полный их перечень. Убытки может понести и компания, которая допустила утечку данных.

Снизить негативный эффект помогает продуманное и оперативное реагирование, а потому к утечке нужно быть готовым.

Почему важно реагировать на утечку персональных данных?

Уменьшение оттока клиентов

Согласно исследованию PwC в России, потребители обеспокоены атаками и хотят знать о них. Так, 89% опрошенных согласны, что компании должны извещать о таких атаках клиентов и общественность. 88% участников исследования не будут покупать у компании товары и пользоваться ее услугами, если не верят, что та ответственно подходит к защите персональных данных своих клиентов.

Чем более открыто и профессионально компания действует при утечке, тем меньше будет отток клиентов. Это особенно важно для организаций, работающих в здравоохранении, фармацевтике, сфере услуг и технологическом секторе, где изначально велика вероятность оттока клиентов в подобных случаях.

Уменьшение размера санкций

Если компания подпадает под действие GDPR – Общего регламента о защите персональных данных, то некорректное реагирование на утечку может привести к штрафу до 10 млн евро или 2% от годового оборота – в зависимости от того, что больше. При этом утечка персональных данных сама по себе не является нарушением. GDPR допускает, что она может произойти даже при обеспечении надлежащей защиты. Но, например, попытка скрыть утечку или недостаточно оперативное реагирование на нее – уже нарушение.

Вместе с тем своевременное реагирование поможет уменьшить вред, причиненный людям, чьи данные были раскрыты, что может сказаться на размере штрафа. Примером служит следующий случай: немецкая социальная сеть известила надзорный орган в Германии об утечке персональных данных 330 000 пользователей, произошедшей в июле 2018 г. Компании назначили относительно небольшой штраф в размере 20 000 евро благодаря взаимодействию с регулятором, открытости и готовности улучшать меры защиты.

Уменьшение размера возмещаемого ущерба

Если вы оператор персональных данных, может потребоваться возмещение ущерба клиентам. Если вы обработчик данных по поручению, на это вправе рассчитывать ваш заказчик – оператор персональных данных. Размер компенсации будет зависеть от понесенного ущерба.

При этом состав мер реагирования может предусматривать действия, направленные на уменьшение вреда, причиненного клиентам. А это повлияет на сумму компенсации.

Уменьшение потери стоимости компании

Некорректное реагирование на утечку способно усугубить ситуацию. Доверие инвесторов может быть потеряно так же, как и доверие клиентов. По данным британской исследовательской компании Comparitech, утечка оказывает долгосрочный негативный эффект на стоимость акций.

С чего начать?

Как выявить события, сигнализирующие об утечке?

Если есть возможность использовать технические средства – используйте их. Могут быть полезны DLP-системы, инструменты анализа логов информационных систем и прочие средства мониторинга.

В то же время важно помнить, что определяющим успех фактором является не наличие программного обеспечения, а актуальная информация о процессах обработки персональных данных, событиях, указывающих на утечку, и регулярный их анализ.

Работа с обращениями

Сотрудники, клиенты и другие люди могут рассказать об утечке. Необходимо дать им такую возможность. Желательно, чтобы канал коммуникации был анонимным и максимально простым. Важно, чтобы внешние каналы можно было легко найти, внутренние должны быть известны всем сотрудникам.

Не стоит забывать и про контрагентов. Требования о своевременном информировании представителей вашей компании о нарушениях безопасности персональных данных должны быть включены в договор.

Мониторинг информационного пространства

Существуют программы, которые по ключевым словам собирают публикации в СМИ. Это не только интернет-СМИ, но и офлайн-периодика, радио и телеэфир, а также социальные сети. Такой мониторинг позволяет выявить утечки, которые пока не идентифицированы другими способами, и своевременно на них отреагировать.

Представители вашей компании могут действовать в роли лиц, покупающих персональные данные ваших клиентов. Зная о том, какие именно данные покупают, и системы, где они обрабатываются, вы можете отслеживать, кто обращался к этой информации, и таким образом выходить на злоумышленников. Этот метод применим не всегда, но в определенных случаях может быть очень эффективным.

Как работать с утечкой внутри компании?

Правильно классифицировать инциденты

Все обозначенные ранее методы направлены на выявление признаков утечки. Но не каждый инцидент, касающийся информационной безопасности, будет связан с нарушением конфиденциальности и реальной утечкой персональных данных. Если одинаково реагировать на все, то времени на по-настоящему критичные случаи может попросту не хватить.

Сформировать кросс-функциональную группу

Для уточнения информации о произошедшем событии может потребоваться вовлечение смежных подразделений, в первую очередь центра компетенций по персональным данным. Состав группы реагирования и критерии вовлечения тех или иных лиц должны быть определены заранее. И слово «заранее» ключевое, когда мы говорим об эффективном реагировании.

Заранее определить порядок реагирования

Он должен быть настолько подробным, насколько возможно. Это позволит сократить время, затрачиваемое на принятие необходимых мер. Порядок действий следует тестировать как непосредственно при внедрении, так и позже в формате учений. Особенно если данные процедуры задействуются редко.

Контролировать промежуточные сроки

На каждом этапе реагирования должен быть определен ответственный сотрудник, который будет контролировать промежуточные сроки. Своевременная идентификация заминок позволит вовремя принимать компенсирующие меры и сократить общее время реакции.

Документировать принимаемые решения

Это может пригодиться для демонстрации корректности мер реагирования регуляторам, а также для последующего разбора и оптимизации процесса внутри компании. Документирование всех нарушений безопасности персональных данных также является требованием GDPR.

Итоговая отчетность и принятие компенсирующих мер

Рекомендуется составлять отчетность по произошедшему инциденту и, что еще важнее, предпринимать действия для недопущения подобных событий в будущем, будь то реально произошедшая утечка или ложное срабатывание технического средства.

Кого необходимо уведомить об утечке?

Если к компании применим GDPR, необходимо уведомить надзорные органы в Европе.

В России пока нет закона, обязывающего информировать надзорные органы об утечке персональных данных. Однако он может в скором времени появиться в связи с подписанием в октябре 2018 г. протокола о внесении изменений в Конвенцию Совета Европы о защите персональных данных, предусматривающего такую обязанность.

В некоторых случаях сведения об утечке должны быть переданы клиентам, конфиденциальность данных которых была нарушена. Например, когда утечка может привести к высоким для них рискам (раскрытие медицинских сведений, данных для входа в систему интернет-банкинга и т.д.). Клиентам нужно предоставить детальную информацию о действиях, которые они могут предпринять, чтобы защитить себя. Сообщение должно быть написано на простом и понятном языке.

Размещение информации в СМИ также может оказаться хорошей идеей, например, когда необходимо быстро проинформировать тысячи потерпевших, полный список которых сложно установить. Но этот инструмент с трудом поддается контролю и может серьезно навредить. Особенно если у вас пока недостаточно информации и ресурсов для того, чтобы ответить на возникающие у клиентов вопросы.

Требования об уведомлении могут предъявляться со стороны контрагентов или материнской компании. Важно не забыть и про собственных сотрудников: каждый должен знать, что вопросы от СМИ необходимо переадресовать в пресс-службу. Позиция компании должна быть единой.

Не запутаться в том, кому, в какие сроки и что именно сообщать, помогут меры, принятые на предыдущих этапах. Каждое сообщение об утечке должно быть адаптировано под целевую аудиторию. Заранее подготовленные шаблоны коммуникаций помогут сэкономить время. При этом не стоит забывать: спешка и формальный подход не принесут пользы, а только навредят.

1 Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере – структурное подразделение Департамента информационной безопасности Центрального банка РФ.

Источник

Что является главной причиной утечки персональных данных ответ сдо

Скачать умную клавиатуру Очень рекомендуем скачать умную клавиатуру с автоисправлением от Яндекса на свой телефон

С этой клавиатурой вы сможете в 3 раза быстрее вводить текст в поле поиска

Поделится с коллегами:

Ответ на вопрос находится ниже.

Наш онлайн-проект «ПроКонспект» является Вашим индивидуальным интернет-помощником.

По оформлению сайта, рекламе и багам обращайтесь к администратору в группе ВКонтакте
Администрация сайта ПроКонспект.рф
Метрика.Яндекс
Все права защищены.

Источник