Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать большеУтечка персональных данных – часто встречаемая ситуация в деятельности практически любой компании независимо от количества сотрудников и масштабов деятельности. Это могут быть как случайные, так и преднамеренные инциденты. В любом случае появляются множественные риски для бизнеса и репутации компании, которые необходимо предотвращать. Для этого используют комплекс организационных, правовых, технических мер.
Что такое утечка персональных данных?
Подобный инцидент связан с неправомерным получением доступа к конфиденциальной информации, которая охраняется законодательством РФ. Личные данные пользователей используют государственные органы, банки, операторы связи, коммерческие организации. Риск попадания ценной информации к злоумышленникам сохраняется высоким.
Передача сведений конфиденциального характера может происходить как случайно при невнимательности или отсутствии элементарных мер защиты у сотрудников, занимающихся обработкой и хранением информации, так и умышленно, когда действуют злоумышленники или инсайдеры.
Причины утечки сведений персонального характера
-
Внешние атаки. Это направленные и подготовленные хакерские действия злоумышленников, направленные на конкретные сведения: базы данных банков, государственных структур, операторов связи. Зачастую такие сведения защищены многоуровневой защитой, поэтому даже их кража не всегда приносит результат злоумышленникам, т.к. для использования понадобятся расшифровка криптографической защиты и персонификация данных.
-
Внутренние причины. Связаны с действиями инсайдеров, т.е. собственных работников компании, которые готовы продать или передать информацию на выгодных для себя условиях третьей стороне. Свыше 70% видов утечек приходится именно на этот канал. Среди виновных по большей части сотрудники управляющего сегмента, топ-менеджеры, помощники руководителей, которые имеют доступ к особо важной и ценной информации.
Последствия утечки сведений персонального характера
-
Финансовый ущерб. Выражается прямым денежным и вероятным ущербом из-за потери целостности и конфиденциальности информационных данных. Утрата всего 15-20% информации ставит под угрозу само существование компании и грозит банкротством, снижает в разы спрос на товары и услуги. Развиваются рыночный и операционный риски. Это неизбежно выливается в возмещение убытков партнерам или клиентам, потерю прибыли и снижение позиций на рынке.
-
Репутационный ущерб. Падение статуса и репутации компании в глазах партнеров и клиентов точно также становится причиной сильного отката бизнеса и приводит к увеличению упущенной выгоды. Главная опасность здесь – отсутствие прогнозов на улучшение репутации и восстановление бизнес позиций. Компания может попасть в длительный период стагнации, что чревато банкротством.
Наказание за утечку персональных данных
Персональная информация защищена конституцией РФ, 152-ФЗот 27.07.2006, трудовым, гражданским, административным, уголовным кодексами РФ. К виновникам применяют следующие виды наказания:
-
Дисциплинарное. Выносится на уровне компании при разглашении сведений частично, случайно, без последствий. Носит форму выговора, замечания. В крайних случаях вероятно увольнение (статья 81 ТК РФ).
-
Административная. Наступает в случае доказанной вины, выносится судом при отсутствии тяжелых последствий. На основании 13.14 КоАП РФ на виновника налагают штраф: для физических лиц – 1500-6000 рублей, для должностных лиц – 4 000-40 000 рублей, для организаций – 30 000-150 000 рублей.
-
Уголовная. Выносится за неправомерный сбор персональных данных затрагивающих личную жизнь владельца и используемых в открытом доступе без его согласия. Согласно статье 183 УК РФ виновных штрафуют на 500 000-1 000 000 рублей или наказывают лишением свободы на срок 3-5 лет.
Как защитить персональную информацию?
-
Подписать с сотрудниками соглашение онеразглашении персональных данных.
-
Ввести в компании контроль доступа к информации и разграничение прав.
-
Назначить ответственных лиц с привилегированными правами доступа.
-
Вести учет всех действий персонала: работа с информацией, носителями, между собой. Для этого подойдут DLP-системы, как например, Solar Dozor.
-
Обязательно использовать дополнительные меры технической защиты: антивирусы, VPN, межсетевые экраны, специальное ПО.
-
Внедрить методы криптографического шифрования сведений при передаче и хранении.
-
Использовать только защищённые и проверенные каналы связи.
Утечка персональных данных может быть исключена только совместными действиями персонала компании и службы безопасности. Постоянный мониторинг ситуации, выявление потенциальных каналов утечки, превентивные защитные меры помогут снизить риски возникновения инцидентов. Для поддерживания сохранности информации придётся регулярно совершенствовать и дополнять защитные меры, потому что появляются все новые угрозы и способы мошенничества.
