ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Персональная безответственность

Персональная безответственность

Вот уже год как конфиденциальная информация находится под эгидой Закона "О защите персональных данных". "Инвестгазета" поинтересовалась у компаний, как они адаптируют свою работу к новым законодательным нормам и во сколько им это обходится.

Финансовый ущерб от утечек конфиденциальных сведений из корпоративных баз данных по всему миру в прошлом году по данным инновационной компании Infowatch превысил $200 млн.

Крупнейшее мошенничество с медицинскими данными в США, например, оценивается в $35 млн. Как пишут российские СМИ, выходцы из стран СНГ учредили более 100 подставных клиник и рассылали от имени реальных врачей счета за выполнение якобы оказанных услуг. Следствие не исключает, что мошенники подкупали персонал реальных медучреждений для того, чтобы получить доступ к базам данных врачебного персонала и пациентов. Установлено, к примеру, что около 3 тыс. человек, которые якобы проходили лечение в учрежденных мошенниками больницах, в разное время являлись пациентами одной и той же клиники в Миддлтоне, штат Нью-Йорк.

Второе по величине мошенничество с базами данных, по оценкам Infowatch, зарегистрировано в Китае. Украденные данные пользователей смарт-карт Octopus принесли мошенникам доход в $34 млн. (44 млн. гонконгских долларов). В Гонконге таких карт было выпущено более 20 млн. штук, и более половины из них используются ежедневно для оплаты проезда в общественном транспорте, покупок в магазинах. Также чип-карты позволяет использовать Octopus в качестве ключа для доступа в офисные и жилые здания. Таким образом, все персональные данные владельцев карт стали общедоступны.

Крупнейшие соцсети, такие как Facebook и MySpace, тоже становятся лакомым куском для мошенников, ведь в них сосредоточено огромное количество персональной информации: номера телефонов, адресов, мест работы, личные фотографии. Бреши систем безопасности, позволяющие воровать данные пользователей в неограниченном количестве, хакерские атаки, а также неправомерные действия владельцев ресурсов по предоставлению коммерческим компаниям данных пользователей – все это говорит о необходимости проработки интегрированных методов защиты информации владельцами таких баз данных.

Локальный розмах

В Украине корпоративных скандалов, связанных с утечкой персональной информации из баз данных компаний, не так много, как в мировом масштабе. Но наличие проблемы с защитой индивидуальной информации каждый может прочувствовать на себе.

Например, один из сотрудников издательства "Экономика", будучи клиентом обанкротившейся страховой компании "Страховые традиции", пару лет назад стал "объектом интереса" сразу нескольких страховщиков, которые перекупили базы пострадавшего игрока рынка. А в последние несколько месяцев сотрудников "Экономики" с периодичностью по нескольку раз в день атакуют рассылки, на которые они не подписывались. По большей части SMS-спам радостно оповещает абонентов "Киевстара" о новых и дешевых службах такси. На вопрос "Инвестгазеты", каким образом данные сотрудников становятся доступны для несанкционированного директ-маркетинга, в "Киевстаре" заверили, что базой ни с кем не делятся, а данные об абонентах якобы попадают в третьи руки чаще всего по вине самих абонентов, которые участвуют в различных рекламных акциях. Либо же абоненты становятся жертвами недобросовестных рекламодателей.

С начала этого года конфиденциальность информации в корпоративных хранилищах находится под покровительством Закона "О защите персональных данных", который диктует целый ряд норм относительно хранения и использования информации. Как видим на практике, сам закон фактически не работает, побуждая компании разве что к обязательной регистрации баз. Да и те пока зарегистрированы в мизерном количестве. Как отмечают юристы, такое печальное положение дел в определенной мере связано с чрезмерной загруженностью Государственной службы по вопросам защиты персональных данных. Кроме того, считают они, не все знают о законе и о грядущих санкциях при его нарушении.

А ведь с 1 января 2012 года вступает в силу норма, существенно усиливающая ответственность за нарушение законодательства о защите персональных данных, отмечает советник ЮФ "Саенко Харенко" Светлана Хеда. В частности предусматриваются крупные штрафы (до 17 тыс. грн.) и ограничение свободы виновных лиц сроком до 5 лет. "Наверняка нас ждет немало судебных дел в случае невыполнения требований закона. Это обусловлено тем, что в данный момент отсутствует достаточное количество разъяснений по его применению", – говорит Александр Паламарчук, юрист юридической фирмы "Лавринович и Партнеры".

Редкая практика

Впрочем, сознательные корпоративные игроки все же есть. Речь о тех компаниях, которые уже занялись регистрацией баз данных и при этом успели столкнуться с определенными трудностями. Например, табачная компания JTI еще с начала года начала подготовку к регистрации баз персональных данных. Как рассказал Александр Когут, директор отдела корпоративных вопросов "JTI Украина", компания столкнулась с проблемой в интерпретации норм законодательства относительно баз данных, которые создавались в течение нескольких лет.

Например, баз данных с информацией о потребителях. Они формировались в то время, когда для использования персональных данных не требовалось письменного разрешения. С этой проблемой столкнулось большинство международных компаний и особенно тех, кто работает с товарами ежедневного потребления.

Еще одна сложность была связана с консолидацией различных корпоративных баз данных, которые содержат похожую информацию, например с множеством баз, которые ведет отдел управления персоналом, добавил Александр Когут. Помимо работы с регистрацией баз компаниями ведется работа с персоналом.

Как отмечают в Украинской ассоциации директ-маркетинга, в подавляющем большинстве случаев утечка персональной информации происходит именно через персонал компании. Соответственно, необходимо проводить целый комплекс мероприятий по инструктажу и обучению персонала основам работы с персональными данными, осведомлению об ответственности за несанкционированное использование таких данных, разграничению доступа сотрудников к информации и организации технических способов защиты информации.

В этом направлении, например, в группе Carlsberg решили пойти по пути коллег из России, где закон о защите персональных данных был принят ранее. "Мы смогли перенять опыт наших коллег из "Балтики" и применить его в Carlsberg Ukraine", – подчеркнул Дмитрий Борняков, заместитель директора по информационным технологиям этой компании. Так, была создана рабочая группа, в состав которой вошли сотрудники HR-отдела, юристы, служба безопасности и IT, что позволило перейти на новые стандарты защиты персональных данных. Кроме того, отдел IT-безопасности компании внедрил систему оценки защищенности IT-систем с их регулярным тестированием на соответствие требованиям стандартов, а также процедуру управления уязвимыми местами инфраструктуры.

Как отмечают в Carlsberg Ukraine, помимо этого ведется работа по повышению осведомленности пользователей по вопросам IT-безопасности. "Существует система мониторинга и анализа инцидентов по информационной безопасности. Игнорирование требований информационной безопасности – повод для расставания с сотрудником. К счастью, таких поводов было крайне мало", – рассказывает Дмитрий Борняков.

В FOZZY Group также принимают меры по защите баз данных. Сотрудники, работающие с базами, посетили ряд специализированных семинаров на тему защиты персональных данных, рассказала Карина Лавровая, заместитель директора юридического департамента группы. Это позволило разработать соответствующую документацию по внедрению системы защиты персональных данных в компании.

С фактами утечки информации в компании "Мироновский хлебопродукт" сталкиваются чуть ли не каждый день. Благодаря отлаженной системе источник утечки находят практически сразу. Но действия его пресекаются далеко не так быстро. "Мы собираем информацию об окружении данного источника утечки информации, мотивах, выявляем связанные с ним элементы как внутри, так и вне организации, отслеживаем системность нарушения для понимания серьезности его намерений. Меры принимаем соответствующие, жесткие", – отмечают в МХП. В компаниях отказались назвать цифры, во сколько конкретно обходились те или иные утечки информации. Однако по приблизительным оценкам в украинской практике эти суммы могут достигать десятков, а то и сотен миллионов гривен.

Позитивный тренд

Несмотря на то, что корпоративный сектор не спешит массово защищать свои базы данных, емкость рынка информационной безопасности в Украине по состоянию на конец III квартала 2011 года выросла на 27%, отмечают в компании "Украинский интегратор защиты персональных данных".

"Однако инертность украинского бизнеса и "школьное" желание оставить решение профильных вопросов в сфере защиты персональных данных на последний момент, вызывает искреннее желание проинформировать предприятия, организации и учреждения о том, что для желающих "впрыгнуть в последний вагон" законодательством определено время до 1 января 2012 года, когда в силу вступит уголовная и административная ответственность за нарушения в сфере обработки и защиты персональных данных", – предостерегает исполнительный директор компании "Украинский интегратор защиты персональных данных" Кирилл Ковылин.

Что касается расходов на защиту баз данных, затраты на установку систем противодействия утечкам персональных данных зависят от размеров самой компании и, конечно, не должны превышать стоимость хранимой информации. Так, к примеру, в МХП на освоение информационных технологий в среднем уходит до 20% бюджета компании.

Как отмечают в компании "СИТРОНИКС ИТ", вариантов защиты информации множество, однако при внедрении стоит исходить из целесообразности траты той или иной суммы денег в зависимости от стоимости самих данных. Например, действенным методом борьбы с утечкой данных может стать прикрепление к каждому сотруднику по одному проверяющему, что может быть действенно, но нерационально с точки зрения потенциально растущих расходов.

Внедрять новые подходы к защите информации можно по-разному. Например, создавать специальные департаменты по контролю за доступом к информации; применять шифрование данных, встраивать в базы системы защиты информации и т.д.; ограничивать доступ сотрудников к сетевым ресурсам, устраивать обыск на входе и на выходе на предмет отсутствия средств снятия информации (флешки, телефоны, фотоаппараты, документы и пр.).

Стоит ли игра свеч – будет определять только ценность данных и оценка ущерба при их возможной потере.

Авторы статьи: Ирина Чернявская, Екатерина Щеглова, Валерия Мирошниченко


ИнвестГазета (19.12.2011 в 10:28) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2011 ООО "Ди Эй Кей продакшн"