Утечка персональных данных

Утечка персональных данных – часто встречаемая ситуация в деятельности практически любой компании независимо от количества сотрудников и масштабов деятельности. Это могут быть как случайные, так и преднамеренные инциденты. В любом случае появляются множественные риски для бизнеса и репутации компании, которые необходимо предотвращать. Для этого используют комплекс организационных, правовых, технических мер.

Что такое утечка персональных данных?

Подобный инцидент связан с неправомерным получением доступа к конфиденциальной информации, которая охраняется законодательством РФ. Личные данные пользователей используют государственные органы, банки, операторы связи, коммерческие организации. Риск попадания ценной информации к злоумышленникам сохраняется высоким.

Передача сведений конфиденциального характера может происходить как случайно при невнимательности или отсутствии элементарных мер защиты у сотрудников, занимающихся обработкой и хранением информации, так и умышленно, когда действуют злоумышленники или инсайдеры.

Причины утечки сведений персонального характера

1. Внешние атаки. Это направленные и подготовленные хакерские действия злоумышленников, направленные на конкретные сведения: базы данных банков, государственных структур, операторов связи. Зачастую такие сведения защищены многоуровневой защитой, поэтому даже их кража не всегда приносит результат злоумышленникам, т.к. для использования понадобятся расшифровка криптографической защиты и персонификация данных.

2. Внутренние причины. Связаны с действиями инсайдеров, т.е. собственных работников компании, которые готовы продать или передать информацию на выгодных для себя условиях третьей стороне. Свыше 70% видов утечек приходится именно на этот канал. Среди виновных по большей части сотрудники управляющего сегмента, топ-менеджеры, помощники руководителей, которые имеют доступ к особо важной и ценной информации.

Последствия утечки сведений персонального характера

• Финансовый ущерб. Выражается прямым денежным и вероятным ущербом из-за потери целостности и конфиденциальности информационных данных. Утрата всего 15-20% информации ставит под угрозу само существование компании и грозит банкротством, снижает в разы спрос на товары и услуги. Развиваются рыночный и операционный риски. Это неизбежно выливается в возмещение убытков партнерам или клиентам, потерю прибыли и снижение позиций на рынке.

• Репутационный ущерб. Падение статуса и репутации компании в глазах партнеров и клиентов точно также становится причиной сильного отката бизнеса и приводит к увеличению упущенной выгоды. Главная опасность здесь – отсутствие прогнозов на улучшение репутации и восстановление бизнес позиций. Компания может попасть в длительный период стагнации, что чревато банкротством.

Наказание за утечку персональных данных

Персональная информация защищена конституцией РФ, 152-ФЗот 27.07.2006, трудовым, гражданским, административным, уголовным кодексами РФ. К виновникам применяют следующие виды наказания:

1. Дисциплинарное. Выносится на уровне компании при разглашении сведений частично, случайно, без последствий. Носит форму выговора, замечания. В крайних случаях вероятно увольнение (статья 81 ТК РФ).

2. Административная. Наступает в случае доказанной вины, выносится судом при отсутствии тяжелых последствий. На основании 13.14 КоАП РФ на виновника налагают штраф: для физических лиц – 1500-6000 рублей, для должностных лиц ­ – 4 000-40 000 рублей, для организаций – 30 000-150 000 рублей.

3. Уголовная. Выносится за неправомерный сбор персональных данных затрагивающих личную жизнь владельца и используемых в открытом доступе без его согласия. Согласно статье 183 УК РФ виновных штрафуют на 500 000-1 000 000 рублей или наказывают лишением свободы на срок 3-5 лет.

Как защитить персональную информацию?

• Подписать с сотрудниками соглашение онеразглашении персональных данных.

• Ввести в компании контроль доступа к информации и разграничение прав.

• Назначить ответственных лиц с привилегированными правами доступа.

• Вести учет всех действий персонала: работа с информацией, носителями, между собой. Для этого подойдут DLP-системы, как например, Solar Dozor.

• Обязательно использовать дополнительные меры технической защиты: антивирусы, VPN, межсетевые экраны, специальное ПО.

• Внедрить методы криптографического шифрования сведений при передаче и хранении.

• Использовать только защищённые и проверенные каналы связи.

Утечка персональных данных может быть исключена только совместными действиями персонала компании и службы безопасности. Постоянный мониторинг ситуации, выявление потенциальных каналов утечки, превентивные защитные меры помогут снизить риски возникновения инцидентов. Для поддерживания сохранности информации придётся регулярно совершенствовать и дополнять защитные меры, потому что появляются все новые угрозы и способы мошенничества.