Борьба с утечкой данных два года назад приобрела законодательные рамки. У организаций появилось больше обязанностей по защите клиентских сведений, а у пользователей – больше причин, чтобы сообщать о себе как можно меньше информации. Что за это время изменилось и стали ли компании ответственнее относиться к сохранности наших с вами данных? Об этом корреспонденту sb.by рассказали в Центре защиты персональных данных.
Иллюстративное фото
Почти два года назад вступил в силу Закон «О защите персональных данных». Он определил перечень мер, которые каждая организация (или оператор) должна реализовать. Тем не менее в новостных сводках мы периодически видим, что в той или иной организации произошла утечка.
– Утечки происходят у тех организаций, которые не реализовали в полном объеме меры по обеспечению защиты данных, предусмотренных статьей 17 Закона Республики Беларусь «О защите персональных данных», – говорит начальник управления контроля и аудита Национального центра защиты персональных данных Владимир Кузуро. – У нас еще ни разу не было случая утечки в компании, где все требования по защите выполнены.
К слову, организация не всегда знает, что у них похищены некие сведения. Нередко об этом становится известно лишь от Национального центра защиты персональных данных. Если в сеть «ушел» большой инфомассив, назначается внеплановая проверка.
– Важная задача – проинформировать людей о том, что их данные в общем доступе. Это забота организации. То есть оператор должен любым способом сообщить всем клиентам, что произошла утечка. Помимо этого, около месяца на главной странице их сайта должен висеть баннер с сообщением о том, что данные клиентов утеряны. И призвать людей сменить логины, пароли и так далее. Затем организации необходимо перед нами отчитаться, прислать скриншоты того, что они выполнили все наши требования.
Утечки персональных данных в 80 % случаев – результат хакерских атак. И эти взломы несут большие репутационные потери для предприятия. Чтобы восстановиться после этого, нужны годы, говорит Владимир Кузуро:
– Сейчас мы видим, как крупные операторы меняют подходы к работе и понимают, чем больше данных они собрали, тем большую ответственность несут. Но есть и организации, которые уверены, что с ними ничего не произойдет: мол, «маленькая компания, кому мы нужны». Исходя из практики, взламывают тех, где есть слабые места в системе.
Вместе с тем, если утечка произошла из-за невыполнения требований законодательства, есть административная ответственность. Центр направляет материалы в органы внутренних дел, а оттуда они уже идут в суды. И организация помимо всех потерь вынуждена еще выплачивать штраф до 50 базовых величин. И это справедливо. Ведь оказавшиеся в свободном доступе сведения о человеке из сети уже убрать невозможно. При этом за незаконные действия в отношении информации о частной жизни и персональных данных, несоблюдение мер обеспечения защиты персональных данных также предусмотрена уголовная ответственность.