Разделы
ГлавнаяБлог Статьи Порядок действий в случае утечки данных клиентов. Инструкция для бизнеса
27 марта 2023
Роман Литвинов
2 613

Порядок действий в случае утечки данных клиентов. Инструкция для бизнеса

В связи с участившимися случаями утечек персональных данных, закон об их защите претерпел значительные изменения. Законодатели ужесточили штрафы, повысили требования к информационной безопасности и определили ответственных. Несмотря на ужесточение закона, утечки всё равно случаются. Полностью от них никто не застрахован, можно только свести риски к минимуму. Однако если инцидент всё-таки произошёл, бизнесу следует действовать оперативно: уведомить регуляторов, оповестить клиентов и провести расследование. В этой статье представлена пошаговая инструкция, которой может воспользоваться ответственный за обработку и хранение персданных в организации, если произошла их компрометация.

Изображение: kontur.ru

Содержание

Как и почему утекают данные

Почему быстрая и правильная реакция на инцидент очень важна

Что делать, если организация столкнулась с утечкой данных

Как обезопасить данные клиентов

Как и почему утекают данные

Сценарии утечки персональных данных и связанные с этим риски индивидуальны для каждой компании и зависят от специфики её деятельности, используемых технологий, внедрённых механизмов защиты и др. Причинами утечки могут стать деятельность хакеров, ошибочное или злонамеренное действие сотрудника.

Согласно данным опроса SearchInform, всего 63% инцидентов в государственном секторе приходится на инсайдеров (это на 25% меньше, чем в частных компаниях). Основным источником внутренних утечек данных в государственном секторе является рядовой сотрудник компании (на его долю приходится более 74% всех утечек). Причиной этому может послужить, например, неправильное действие сотрудника, либо действие с целью мести.

Почему быстрая и правильная реакция на инцидент очень важна

Последствия утечек могут оказаться серьёзными и для владельцев данных, и для операторов. Для первой группы существуют многочисленные риски стать жертвой злоумышленников. Они могут пострадать от неправомерного списания средств с банковской карты, шантажа, разглашения любой информации, взлом профилей.

Операторы, в свою очередь, допустившие утечку персональных данных, понесут ответственность:

  • Гражданскую, в виде взыскания в судебном порядке понесенных гражданами убытков и морального вреда;
  • Административную, в виде наложения штрафа, приостановления или запрета деятельности, связанной с обработкой персональных данных;
  • Уголовную, в случае неправомерного распространения ПДн, причинившего существенный ущерб и передаче информации в правоохранительные органы.

Если выяснится, что оператор виновен в несоблюдении условий, обеспечивающих сохранность персональных данных при хранении материальных носителей, ему грозит штраф, предусмотренный ч. 6 ст. 13.11 КоАП РФ:

  • Должностным лицам – 8-20 тыс. руб.;
  • ИП – 20-40 тыс. руб.;
  • Юрлицам – 50-100 тыс. руб.

Что делать, если организация столкнулась с утечкой данных

Роскомнадзор

Обнаружив факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан в течение 24 часов сообщить в Роскомнадзор, как орган уполномоченный по защите прав субъектов персональных данных, о произошедшем инциденте и о его предполагаемых причинах, о вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом (п. 3.1 ст. 21 Федерального закона № 152-ФЗ).

Сообщение можно передать через Портал персональных данных, на котором Роскомнадзор организовал соответствующий сервис в разделе «Инциденты (утечки)» на странице «Уведомление о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных». 

Если системы оператора подверглись хакерской атаке, он, помимо вышеописанного взаимодействия с Роскомнадзором, обязан передать сведения о взломе, повлекшем неправомерную передачу (предоставление, распространение, доступ) персональных данных, в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

GDPR

Если к компании применим GDPR, необходимо уведомить надзорные органы в Европе. Некорректное реагирование на утечку может привести к штрафу до 10 млн евро или 2% от годового оборота – в зависимости от того, что больше. При этом утечка персональных данных сама по себе не является нарушением. GDPR допускает, что она может произойти даже при обеспечении надлежащей защиты. Но, например, попытка скрыть утечку или недостаточно оперативное реагирование на нее – уже нарушение.

Что дальше

На первом этапе внутреннего разбирательства служба безопасности определяет тип утечки: случайная или намеренная.

Как правило, факт случайной утечки легко выявить, просмотрев отчеты DLP-системы, опросив сотрудников или изучив записи видеонаблюдения, которые фиксируют действия персонала на рабочем месте.

Опрос проводит руководитель службы безопасности или директор предприятия. Не следует указывать причину встречи. На этом этапе эффективно задействовать психологические приёмы воздействия и понаблюдать за сотрудником. Неясные ответы, расхождения в фактах – все это указывает на возможного злоумышленника.

Если произошла намеренная кража данных и разглашение уже состоялось, рекомендуется поэтапно выполнить алгоритм действий:

  1. Определить группу сотрудников, которые имели права доступа к похищенным данным.
  2. Опросить каждого работника из выявленной группы.
  3. Сопоставить все полученные показания и выявить главных подозреваемых.
  4. Проверить действия главных подозреваемых за последний период: когда приходили на работу и покидали рабочее место, с какой информацией работали и т.д. – и выявить злоумышленника.
  5. Начать процедуру, чтобы привлечь к ответственности.

В зависимости от масштабов ущерба глава службы безопасности совместно с руководителем определяет меру наказания для виновного в утечке. Виды ответственности включают: материальную (штраф, лишение премии); административную и уголовную.

В случае соответствия проступка административной или уголовной ответственности к расследованию подключают правоохранительные органы. Официальное расследование начинается и в ситуации, когда сотрудник отказывается выплатить материальную компенсацию.

Чем более открыто и профессионально компания действует при утечке, тем меньше будет отток клиентов. Это особенно важно для организаций, работающих в здравоохранении, фармацевтике, сфере услуг и технологическом секторе, где изначально велика вероятность оттока клиентов в подобных случаях.

Как обезопасить данные клиентов

Меры по защите информации требуют не только исполнения операторами обязанностей, установленных законом, но и осмотрительности от субъектов персональных данных. От первых потребуется максимально внимательно относиться к соблюдению требований закона, постановлений правительства РФ и нормативных актов ФСТЭК России, которыми определяется необходимый уровень технических средств, призванных защитить персональные данные от утечки. Это такие меры, как:

  • Установка межсетевых экранов, затрудняющих проникновение к массивам информации;
  • Внедрение системы идентификации и аутентификации сотрудников, имеющих к ним доступ;
  • Фиксация в журналах учета всех действий специалистов, осуществляющих обработку данных, позволяющая понять, что конкретно они делали с охраняемыми законом сведениями;
  • Установка средств антивирусной защиты;
  • Использование средств криптографической защиты для шифрования данных при хранении и передаче;
  • Применение способов и мер, которые могут предотвратить утечку данных по физическим каналам, например, путем фотографирования экрана компьютера, снятия звуковой информации, перехвата электромагнитного излучения.

Все эти меры защиты от утечек данных требуют существенных средств, но они внедрены в большинстве государственных учреждений и крупных компаниях. В зоне риска продолжают оставаться небольшие фирмы, чаще работающие на рынке оказания услуг гражданам. Они далеко не всегда попадают в перечень проверок Роскомнадзора, так как не считают необходимым действием регистрацию в качестве операторов. Даже если это будет произведено, создание системы технической защиты информационных баз персональных данных является затратным мероприятием, которое не все могут себе позволить. Именно это требует проявления осмотрительности от граждан при выборе поставщика услуг и взаимодействиях с ним. Среди таких правил:

  • Не передавать персональные данные компаниям, не зарегистрированным в качестве операторов;
  • Осторожнее относиться к любым платежам в сети Интернет;
  • Всегда изучать текст согласия на обработку персональных данных, определяя, какими способами она производится, каковы цели обработки, возможность передачи сведений третьим лицам и в каких случаях.

Соблюдение осторожности и операторами, и гражданами позволит минимизировать риски. Всегда нужно помнить, что полностью возместить материальный и моральный ущерб у гражданина не получится.

Теги:
gdpr,
защита данных,
роскомнадзор,
утечка данных
Читайте также
Хакеры снова ставят под сомнение безопасность macOS
1 апреля 2024
МВД хочет получать сведения от операторов данных в течение трёх рабочих дней
22 апреля 2024
Цифровая гигиена для детей. Мнения экспертов
9 апреля 2024