Еще неприятнее, когда в общий доступ «утекают» данные клиентов лабораторий и клиник. Так, весной 2022 года в даркнет попали личные сведения 30 млн пациентов сети лабораторий «Гемотест» — объемом на 300 гигабайт. Причина — хакерская атака базы. Позднее в СМИ заговорили о продаже украденной информации третьим лицам.

Лаборатория заявила, что обнаружила взлом еще 22 апреля и инициировала внутреннюю проверку. Спустя почти три месяца суд назначил штраф — 60 000 RUB. Наверняка для крупной сети, входящей в топ-5 лабораторий России, сумма не сильно ударила по бюджету. Более критичным оказалось потерять доверие клиентов.

Как отреагировало законодательство? Для пресечения повторных рисков Минцифры ускорила согласование законопроекта, который предусматривал оборотный штраф в размере 1% за утечку информации и 3%, если допустившая ситуацию компания скрыла инцидент.

Как обстоят дела с этим в Беларуси?

В Беларуси не так много громких эпизодов с утечкой данных, но они все-таки есть. Вспомним историю сети «Соседи»: в июле 2022 года в свободный доступ попали e-mail и мобильные номера 634 000 пользователей сайта. Компания обратилась в правоохранительные органы и разослала покупателям электронные письма с извинениями, заверив: слив не коснулся имен и паролей к личным кабинетам.

Позже сеть ужесточила защитные мероприятия и уволила нескольких сотрудников, имевших доступ к информации о покупателях. В качестве дополнительной меры — внедрила авторизацию через SMS-пароль.

Напомним, процесс управления клиентскими данными в РБ регулирует Закон «О защите персональных данных» от 7 мая 2021 года. Согласно ему, юрлица обязаны соблюдать требования при работе с информацией о клиентах:

● Запрашивать согласие на обработку в письменной или электронной форме (электронный документ, отметка на сайте, получение письма на e-mail).

● Прозрачно указывать цели и сроки соглашения, а также перечень действий и самих данных, необходимых компании.

● Обрабатывать ПД только в необходимом объеме и в соответствии с заявленными целями.

● Обеспечивать безопасность сведений на всех этапах обработки.

● При изменении первоначально заявленных целей повторно получать согласие на обработку.

Важно учесть, что клиент в праве отозвать свое согласие в любой момент и без объяснения причин. В таком случае предприниматель обязан удалить информацию о потребителе в течение 15 дней (с момента получения заявления) и уведомить клиента об этом.

Незаконная обработка данных или нарушение правил их защиты влечет штраф до 200 базовых величин (6400 BYN по состоянию на 2022 год).

Информационная безопасность: как защитить данные клиентов?

По прогнозам Risk Based Security, в ближайшие 4–5 лет затраты на борьбу с киберпреступностью будут ежегодно расти на 15%. Обезопасить бизнес в 2022 году можно десятками способов: рассмотрим основные из них.

Запрашивайте согласие. Получайте от клиентов разрешение на сбор, хранение и обработку сведений. Если на сайте оставляют e-mail (чтобы получить сообщение о статусе заказа), то удалите информацию после доставки. Если дальше хотите уведомлять покупателя о новинках — укажите срок хранения почты и спросите разрешение на рассылку.

Создавайте внутренние инструкции. Часто рядовые сотрудники «сливают» ПД по неосторожности: забывают внутренние правила компании или не знают законов. В ваших интересах прописать инструкции, собрать подписи об ознакомлении и регулярно проводить ликбез по информационной безопасности. Не забудьте про NDA — договор о неразглашении конфиденциальной информации.

Используйте надежную CRM. В хорошую систему заложен набор инструментов по защите данных. Причем каждая CRM предлагает свои решения: двухфакторную авторизацию, работу с определенного IP или разделение прав — при котором только доверенные лица получают доступ к ключевым клиентам. Не знаете, какую «црмку» выбрать — спросите у коллег по бизнесу, что используют они.

Составляйте модель угроз. Разработайте методичку с возможными рисками системы безопасности. Документ включает факторы, которые могут привести к нарушению приватности, доступности или целостности данных. Так вы поймете, как предотвратить утечки и какие каналы нужно подстраховать. Например, банковские данные и сведения о здоровье следует защищать более серьезно, чем просто имя клиента.

Защищайте сайт SSL-сертификатом. Клиент хочет быть уверенным, что сведения о нем останутся в безопасности. Если присутствует стандарт шифрования, то пользователь увидит значок закрытого замка в поле браузера и поймет: такому сайту можно доверять.

Храните базу на проверенном хостинге. Крупные провайдеры имеют достаточный опыт для надежного хранения информации: их серверы сосредоточены в дата-центрах и защищены от отключения питания. Пользуясь услугой хостинга, вы получаете сертификат SSL, оберегаете себя от DDoS-атак и взломов. А также можете восстановить сайт из копии, если заражение все-таки произошло.

Используйте СЗИ. Средства защиты информации — это аппаратные комплексы и антивирусные ПО, которые оберегают коммерческую сеть от вредоносного проникновения извне и предупреждают утечки. Если у компании есть техническая база, но вы не понимаете, как наладить ее работу, — закажите аттестацию СЗИ.

Чего не стоит делать?

● Разглашать ПД третьим лицам без согласия потребителя. Однако сведения можно передавать контролирующим органам, контрагентам и партнерам — которые обрабатывают данные по договору.

● Хранить сведения в любых базах, если клиент отозвал согласие. В случае, если по каким-либо причинам удалить сведения невозможно, по закону РБ достаточно прекратить их обработку.

● Объединять базы, содержащие ПД для разных целей. Например, номер телефона для звонков нельзя использовать в целях почтовой рассылки — это облагается штрафом.

В спорных случаях обратитесь к юристу по информационной безопасности. Специалист в деталях расскажет, что предусмотреть, чтобы не «влететь на штраф». А внедрить техническую составляющую — установить хедер Set-Cookie или защитить сайт от XSS-атак — поможет команда разработчиков, которая занимается вашим сайтом.

Какой делаем вывод?

В утечке данных приятного мало — как для клиента, так и для компании. Но и обвинять в коварных умыслах предпринимателей не стоит. Онлайн-пространство быстро развивается и подсвечивает новые проблемы, решение которых мы обязательно находим. Главное понимать, что обеспечение приватности — не одноразовое мероприятие.

Защищайте данные постоянно. Да, это требует вашего усердия, но никакие вложения в безопасность не сравнятся с последствиями утечки в виде штрафов, проверок и потери доверия со стороны клиентов. Если после прочтения статьи закралось сомнение насчет защищенности данных — пройдите аттестацию. Процедуру можно заказать у хостинг-провайдера: он проверит вашу систему на соответствие законодательству РБ, выявит риски утечек и решит технические проблемы.