Профессиональное сообщество
лидеров цифровой трансформации
Редакция Global CIO

Новый закон, ужесточающий ответственность за утечки персональных данных

Персональные данные сегодня стали новым «золотом», а их утечки – угрозой не только для бизнеса, но и для общества. С вступлением в силу новых поправок к закону «О персональных данных» компании столкнулись с растущим давлением со стороны регуляторов. Владимир Каширский, генеральный директор «Перфоманс Лаб» (компания-разработчик решения по обезличиванию персональных данных DataSan), рассказал, какие типы данных особенно ценны для злоумышленников, почему внутренние угрозы опаснее внешних, и как бизнесу адаптироваться к новым требованиям законодательства, чтобы защитить свои данные.

Какие типы данных наиболее уязвимы для утечки?

Наиболее уязвимыми для утечки являются персональные данные, такие как фамилия, имя, отчество и номер телефона. Эти данные представляют наибольшую ценность для мошенников, так как позволяют реализовать простейшие схемы обмана через звонки, SMS или мессенджеры.

Для более сложных мошеннических схем могут использоваться расширенные данные, включая ИНН, паспортные данные, адрес электронной почты, а также информацию об имуществе. Такие данные открывают доступ к более серьезным видам мошенничества, связанным с подделкой документов или финансовыми махинациями.

Какую роль играет человеческий фактор в обеспечении безопасности данных?

Человеческий фактор играет ключевую роль в обеспечении безопасности данных, так как именно действия людей часто становятся источником ошибок или утечек. Даже самые надёжные системы защиты не всегда способны исправить человеческие промахи. Например, сотрудник может случайно открыть доступ к конфиденциальной информации, использовать слабые пароли или попасть под воздействие социальной инженерии.

Для снижения этих рисков важно не только внедрение технологий и решений, но и формирование у сотрудников ответственности за соблюдение норм безопасности. Это достигается через регулярное обучение, создание культуры информационной гигиены и повышение осведомлённости о значимости защиты данных. Только сочетание технических средств и правильного подхода к работе с персоналом может минимизировать влияние человеческого фактора.

Какова вероятность массовой утечки персональных данных в каждой компании?

Вероятность массовой утечки персональных данных есть у каждой компании, и она довольно высока. Это связано с множеством источников угроз, которые не всегда находятся под полным контролем компании. Одной из главных проблем является человеческий фактор. Например, недовольный сотрудник может унести клиентскую базу, особенно в условиях удалённой работы, где контроль над действиями сотрудников с их личных устройств крайне затруднён.

Другим риском являются недостатки инфраструктуры, такие как слабая защита тестовых сред или использование устаревших инструментов безопасности. Также стоит учитывать внешние угрозы, например, хакерские атаки, которые могут быть направлены на извлечение больших массивов данных.

Для компаний задача минимизации таких рисков становится всё более сложной, особенно при увеличении объёмов обрабатываемых данных и распределённых рабочих процессов. Без внедрения комплексных мер контроля, шифрования, мониторинга и обучения сотрудников вероятность утечки остаётся высокой и требует повышенного внимания.

Какие меры кибербезопасности следует усиливать в связи с ужесточением ответственности?

Усиление мер кибербезопасности должно быть направлено на устранение ключевых источников утечек персональных данных. Во-первых, важно учитывать человеческий фактор: сотрудники могут намеренно или случайно стать причиной утечек. Обучение персонала правилам работы с данными, формирование культуры безопасности и регулярное информирование о рисках являются базовыми, но крайне важными мерами.

Во-вторых, необходимо уделить внимание инфраструктуре и особенно тестовым контурам, где часто обрабатываются большие объемы данных. Тестовые среды могут стать уязвимым звеном, так как доступ к ним имеют команды разработки и внешние подрядчики. Для минимизации рисков рекомендуется использовать инструменты обезличивания данных. Это позволяет проводить тестирование с наборами символов вместо реальных персональных данных, что снижает вероятность утечек.

Кроме того, компании должны регулярно анализировать свои системы на наличие уязвимостей, внедрять современные методы шифрования и управления доступом, а также отслеживать попытки несанкционированного проникновения. Эти меры, вкупе с правильной организацией процессов и обучением сотрудников, позволят не только соответствовать требованиям законодательства, но и существенно снизить вероятность штрафов и репутационных потерь.

Какие изменения компаниям следует внедрять в процессы обработки персональных данных?

Компании нужно сосредоточиться на двух основных вещах. Во-первых, искать слабые места и создавать защищённый контур, чтобы злоумышленники не могли добраться до данных. Во-вторых, разобраться, где вообще хранятся персональные данные. Они часто разбросаны по разным системам, тестовым средам или даже устройствам сотрудников, а компания может об этом не знать.

Здесь помогают инструменты маскировки типа DataSan. Они не только скрывают данные, превращая их в набор символов, но и позволяют находить их в неожиданных местах. Главное, чтобы маскировка была полной: если Иванов Иван стал набором символов в одном месте, так должно быть везде. Это значительно снижает риски утечек.

Следует ли ожидать в скором будущем появления органа власти, выдающего сертификаты или проводящего аудит для подтверждения соответствия требованиям законодательства о защите данных?

В ближайшем будущем можно ожидать появления органа власти, который будет заниматься сертификацией и аудитом компаний на соответствие требованиям законодательства о защите персональных данных. Это связано с необходимостью устранить противоречия между законодательными требованиями и практической деятельностью бизнеса.

Сейчас, например, в тестовых средах используются методы маскирования данных, которые могут не соответствовать требованиям закона, а это создаёт риски для компаний. Введение сертификации или стандартизированных аудитов позволит установить чёткие параметры работы с обезличенными данными, согласовать потребности бизнеса с законодательными нормами и снизить вероятность наложения штрафов.

Такие меры позволят государству не только контролировать соблюдение правил, но и разделить ответственность, предоставляя бизнесу сертифицированные инструменты и методы работы с данными. Это будет способствовать прозрачности и безопасности процессов, а также развитию более эффективной системы регулирования этой чувствительной сферы.


282

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

фильтр
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.