О необходимости защиты персональных данных сегодня не говорит только ленивый. В эпоху всеобщего распространения информационных технологий проблема сохранности подобных данных стала особенно волновать специалистов по безопасности практически всех организаций. К сожалению, приходится констатировать, что белорусские организации пока уделяют недостаточно внимания этому вопросу.
Что такое персональные данные
В настоящее время в большинстве стран мира под персональными данными принято понимать любую информацию, относящуюся к определяемому с её помощью человеку (физическому лицу). К подобным сведениям относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, номера паспорта и карточки социального страхования и т.д. Кроме того, к персональным данным относятся сведения о семейном, социальном, имущественном положении, образовании, профессии, доходах.
Персональные данные относятся к сведениям конфиденциального характера, и потому должны защищаться от посторонних глаз. Защита их регламентируется в белорусском законодательстве законом «Об информации, информатизации и защите информации». В частности, именно в 32-й стать этого закона оговаривается необходимость защиты персональных данных:
«Меры по защите персональных данных от разглашения должны быть приняты с момента, когда персональные данные бы ли предоставлены физическим лицом, к которому они относятся, другому лицу либо когда предоставление персональных данных осуществляется в соответствии с законодательными актами Республики Беларусь.
Последующая передача персональных данных разрешается только с согласия физического лица, к которому они относятся, либо в соответствии с законодательными актами Республики Беларусь. Меры, указанные в части первой на стоящей статьи, должны приниматься до уничтожения персональных данных, либо до их обезличивания, либо до получения согласия физического лица, к которому эти данные относятся, на их разглашение».
Впрочем, даже если бы в законодательстве не была прописана необходимость защиты персональных данных, их все равно стоило бы защищать в силу высокой вероятности негативных последствий, сопровождающих каждую утечку информации – в том числе, и утечку персональных данных.
Чем чреваты утечки персональных данных
Любая утечка информации в конечном итоге оборачивается финансовыми потерями для допустившей её организации – это подтверждается многолетними данными, собранными производителями средств защиты от утечек информации. Утечки персональных данных не являются в этом смысле исключениями из правил.
При этом, как правило, убытки от утечек данных весьма ощутимы: так, согласно отчетам британской исследовательской организации Ponemon Institute, средняя стоимость утечки информации в 2008 г. составила около 2,7 млн. долларов. При этом такая «цена» характерна для сравнительно небольшой по своим масштабам утечки данных, поскольку крупные инциденты, связанные с обнародованием конфиденциальной информации, обходятся допустившим их организациям куда дороже. К примеру, в 2008-м году Bank of New York допустил утечку информации о нескольких десятках тысяч своих клиентах, обошедшуюся ему в $866 млн. А в 2009-м три подразделения британской группы компаний HSBC были оштрафованы на сумму более £3 млн. за неспособность обеспечить адекватную защиту данных своих клиентов от утечки и кражи.
Из чего складывается «стоимость» утечки персональных данных? Основными факторами, приводящими к убыткам, являются следующие:
- штрафы за утечки данных от контролирующих органов;
- ущерб в результате действий злоумышленников, завладевших персональными данными клиентов;
- судебные иски от пострадавших в результате утечки информации клиентов;
- отток клиентов и партнеров, опасающихся новых утечек данных;
- уход компетентных сотрудников, утративших доверие к руководству организации;
- долгосрочные последствия ущерба, нанесенного утечкой персональных данных репутации организации.
Белорусские реалии
У читателя может возникнуть впечатление, что все угрозы, связанные с утечками информации, актуальны только для западных компаний, в то время как государственным и коммерческим организациям, работающим в Беларуси, убытки в результате утечек персональных данных вовсе не грозят. Тем не менее, как показывают исследования, проведенные совместно ООО «НПТ», компанией-интегратором комплексных систем информационной безопасности, и «Компьютерными вестями», отечественным организациям также не стоит расслабляться и откладывать на потом защиту персональных данных.
На вопрос «По вашему мнению, может ли повредить утечка персональных данных обычному человеку?» белорусы ответили следующим образом: «Скорее да, чем нет» ? 77.2%; «Скорее нет, чем да» ? 18.6%; «Затрудняюсь ответить» ? 4.2%. Вопрос «Опасаетесь ли вы утечки персональных данных из организаций, которым вы их доверили?» также продемонстрировал общую обеспокоенность респондентов этой проблемой: 61.9% опрошенных ответили «Да, меня это беспокоит», 10.7% ? «Нет, я доверяю операторам персональных данных», и 27.4% ? «Не вижу смысла беспокоиться об этом». А при ответе на вопрос «Подадите ли вы в суд на организацию, допустившую утечку ваших персональных данных?» голоса респондентов распределились следующим образом: «Да, поскольку ущемлены мои права» ? 63.7%; «Да, это легкий способ "срубить денег"» ? 11.2%; «Нет, я не считаю, что это мне чем-то грозит» ? 14.4%; «Нет, нужно уметь прощать подобные ошибки» ? 10.6%.
Таким образом, не стоит надеяться на то, что утечка персональных данных будет воспринято клиентами и партнерами как что-то само собой разумеющееся. Как показывает опрос, жители нашей страны уже в полной мере осознают угрозы, которые несут в себе утечки персональных данных, а потому готовы бороться за свои права, которые подобного рода инциденты нарушают.
Недостаточная защищенность организаций
Стоит отметить, что это же исследование показало не только заинтересованность участников опроса в защите своих персональных данных от утечек, но также и недостаточную защищенность организаций от утечек информации и, в частности, персональных данных. При этом сотрудники демонстрируют практически единодушную готовность делиться закрытой корпоративной информацией со всеми желающими за вознаграждение, что еще больше усугубляет проблему.
На вопрос «Используют ли в вашей организации систему защиты от утечек информации?» положительно ответили только 27,9% всех респондентов. Уверенность в том, что такой системы в тех организациях, где они работают, нет, выразили 47.4% опрошенных, и ещё 24.7% сообщили о том, что не знают, есть такая система или нет. Впрочем, даже если предположить, что хотя бы на половину случаев «не знаю» приходится реально действующая в организации система защиты от утечек, защищенность от подобного рода угроз в среднем по нашей стране оставляет желать лучшего. Более того, подавляющее большинство организаций проявляет вопиющее пренебрежение к вопросам обеспечения информационной безопасности, что показывает распределение ответов на вопрос «Кто отвечает за вопросы информационной безопасности в вашей организации?». Подавляющее большинство респондентов (34.7%) выбрали вариант «Никто не отвечает», второй по популярности ответ – «ИТ-отдел» (32.6%), на третьем месте – «Затрудняюсь ответить» (13.5%). Ещё 6.7% сотрудников, участвовавших в исследовании, ответили, что в их организациях такими вопросами занимается отдел внутренней безопасности, и только 12.4% опрошенных сообщили о том, что в их организациях есть специальный отдел информационной безопасности.
Не менее интересна статистика и по вопросам, связанным с готовностью сотрудников способствовать распространению конфиденциальной информации, и, в том числе, персональных данных. На вопрос «Готовы ли вы перейти на работу с большей зарплатой к конкурентам, при условии передачи им конфиденциальных данных?» участники опроса отвечали следующим образом: «Да, но я ничего не знаю» ? 10.1%; «Жаль только не предлагают» ? 20.2%; «Я уже так делал» ? 5.3%; «Нет. Боюсь, меня оттуда быстро уволят» ? 11.5%; «Нет, это аморально» ? 52.8%. Как видите, больше трети сотрудников проявляют готовность к распространению конфиденциальной информации. Ответы на вопрос «Использовали ли вы в личных целях служебную информацию?» распределились так: «Нет» ? 50.8%; «Не было возможности, но хотелось» ? 8.9%; «Никогда не обладал такой информацией» ? 13.4%; «Использовал» ? 26.8%.
Впрочем, как считает Александр Барановский, генеральный директор ООО «НПТ», проблема защиты персональных данных пока что не стоит в Беларуси так остро, как, например, в соседней России, хотя в данном случае это скорее плохо, чем хорошо. Российские организации уже сейчас задумываются о том, как защитить своих клиентов от утечек информации, а себя – от штрафов со стороны Роскомнадзора. Думаю, не за горами то время, когда за небрежное отношение с персональными данными клиентов организации будут нести реальную ответственность и в Беларуси. Тогда гораздо дешевле будет предотвратить утечку персональных данных, чем выплачивать штрафы и нести судебные издержки из-за неё.
Нужно сказать, что сами компании, работающие с большим количеством персональных данных – это, в первую очередь, финансово-кредитные учреждения, туристические операторы, операторы мобильной связи и прочие компании – сегодня уже в большинстве своем серьезно занимаются проблемами защиты информации о своих клиентах. Тем, кто еще не внедрил у себя систем защиты от утечек информации, можно порекомендовать остановить свой выбор на проверенных в белорусских условиях решениях, уже успешно внедренных в различных организациях.
Выводы
Таким образом, в то время как значительная часть сотрудников готовы разглашать не только персональные данные клиентов, но и другие сведения, не предназначенные для посторонних глаз, организации в большинстве своем не пытаются сделать ничего, чтобы противостоять утечкам. А с учетом готовности среднестатистического человека бороться за свои права в случае утечек персональных данных, все это выглядит несколько пугающе. Конечно, пока что в нашей стране не было громких утечек персональных данных, приведших к большим неприятностям крупные государственные или коммерческие организации. Но глядя на частоту утечек информации в той же России, сложно предполагать, что так будет продолжаться до бесконечности – рано или поздно гром грянет, и тогда тем, кто окажется в эпицентре бури, придется нелегко. Так что белорусским организациям вряд ли имеет смысл откладывать внедрение системы защиты от утечек информации до лучших времен – вполне может случиться так, что времена из-за этого как раз настанут не самые лучшие.
Вадим СТАНКЕВИЧ
Горячие темы