До случая с российским «Мегафоном» об утечках персональных данных мало кто слышал. Однако скандал с участием МТБанка показал, что эта проблема не обошла стороной и нашу страну. На этом печальном опыте все организации, работающие с персональными данными, увидели, что нельзя халатно относиться к вопросам обеспечения информационной безопасности. Наоборот, необходимо следовать международным отраслевым стандартам и иметь систему защиты от утечек данных.
В России и Украине уже не первый год действует законодательство, защищающее персональные данные граждан этих стран от постронних глаз. Как в этой сфере обстоят дела в Беларуси?
Что такое персональные данные
Прежде чем продолжать разговор о защите персональных данных, стоит все-таки разобраться с тем, что же, собственно говоря, нужно защищать. И почему.
В настоящее время в большинстве стран мира под персональными данными принято понимать любую информацию, относящуюся к определяемому с ее помощью человеку (физическому лицу): фио, дата и место рождения, семейный и социальный статусы и т. д.
Персональные данные относятся к сведениям конфиденциального характера, и потому должны защищаться от посторонних глаз. Защита их регламентируется (в белорусском законодательстве) законом «Об информации, информатизации и защите информации». В частности, именно в 32-й статье этого документа оговаривается необходимость защиты персональных данных:
«Меры по защите персональных данных от разглашения должны быть приняты с момента, когда персональные данные были предоставлены физическим лицом, к которому они относятся, другому лицу либо когда предоставление персональных данных осуществляется в соответствии с законодательными актами Республики Беларусь».
Впрочем, даже если бы в законодательстве не была прописана необходимость защиты персональных данных, их все равно стоило бы защищать в силу высокой вероятности негативных последствий, сопровождающих каждую утечку информации.
Почему утечки персональных данных могут быть опасны?
Самый главный ущерб от обнародования персональных данных, конечно, получают те, чьи данные были скомпрометированы.
Если же говорить об организациях, осуществляющих обработку персональных данных, то для них ущерб от утечек складывается из следующих составляющих:
• штрафы за утечки данных от контролирующих органов;
• ущерб в результате действий злоумышленников, завладевших персональными данными клиентов;
• судебные иски от пострадавших в результате утечки информации клиентов;
• отток клиентов и партнеров, опасающихся новых утечек данных;
• уход компетентных сотрудников, утративших доверие к руководству организации;
• долгосрочные последствия ущерба, нанесенного утечкой персональных данных репутации организации.
Проблема утечек персональных данных в Беларуси
Не так давно специалистами компании «НПТ», специализирующейся на информационной безопасности, было проведено исследование проблемы защиты персональных данных от утечек. И эта проблема в ближайшее время может стать весьма острой.
Исследование проводилось в форме опроса. На вопрос «Может ли повредить утечка персональных данных обычному человеку?» самым популярным был ответ: «Скорее да, чем нет» – 77.2%.
На вопрос «Опасаетесь ли вы утечки персональных данных из организаций, которым вы их доверили?» большинство респондентов (61.9%) также ответили утвердительно.
При этом бизнесу, который так или иначе связан с персональными данными, стоит опасаться ответных санкций от обиженных пользователей: 63.7% опрошенных готовы подать в суд на организацию, допустившую утечку их персональных данных, а еще 11.2% респондентов считают это легким способом «срубить денег».
Опрос проводился не только среди потенциальных клиентов банков, операторов связи и интернет-провайдеров, но и среди работников организаций, где, по идее, должен существовать контроль за утечкой информации. На вопрос «Используют ли в вашей организации систему защиты от утечек информации?» положительно ответили только 27.9% всех респондентов. Уверенность в том, что такой системы нет, выразили 47.4% опрошенных, а еще 24.7% сообщили, что не знают, есть такая система или нет.
Впрочем, даже если предположить, что хотя бы на половину случаев «не знаю» приходится реально действующая в организации система защиты от утечек, защищенность от подобного рода угроз оставляет желать лучшего. Более того, подавляющее большинство организаций проявляет вопиющее пренебрежение к вопросам обеспечения информационной безопасности – это показывает распределение ответов на вопрос «Кто отвечает за вопросы информационной безопасности в вашей организации?». Подавляющее большинство респондентов (34.7%) выбрали вариант «Никто не отвечает», второй по популярности ответ – «IT-отдел» (32.6%), на третьем месте – «Затрудняюсь ответить» (13.5%). Еще 6.7% сотрудников, участвовавших в исследовании, ответили, что в их организациях такими вопросами занимается отдел внутренней безопасности, и только 12.4% опрошенных сообщили, что в их организациях есть специальный отдел информационной безопасности.
Проблемы защиты персональных данных и их решение
Директор компании «НПТ» Александр Барановский считает: «Проблема защиты персональных данных пока что не стоит в Беларуси так остро, как, например, в соседней России. Хотя в данном случае это скорее плохо, чем хорошо, потому что у нас большая часть компаний вообще не представляет, что такое персональные данные и зачем их может понадобиться защищать».
Впрочем, по словам эксперта, проблема состоит не только в этом, но и в непонимании тех угроз для персональных данных, с которыми сталкиваются организации сегодня.
«Технические меры защиты от внешних угроз в большинстве белорусских организаций сегодня имеются, что нельзя сказать о защите от угроз внутренних, исходящих от самих сотрудников. Особенно это актуально для банковской сферы, где утечка данных может навредить наиболее серьезным образом и самому банку, и его клиентам. Тоже самое можно сказать и о страховании», – говорит Александр.
И тому есть подтверждение. Согласно результатам опроса, более трети опрошенных людей проявляют готовность к распространению конфиденциальной информации. На вопрос «Готовы ли они перейти на работу с большей зарплатой к конкурентам, при условии передачи им конфиденциальных данных?» участники опроса отвечали следующим образом: «Да, но я ничего не знаю» – 10.1%; «Жаль только не предлагают» – 20.2%; «Я уже так делал» – 5.3%; «Нет. Боюсь, меня оттуда быстро уволят» – 11.5%; «Нет, это аморально» – 52.8%. Ответы на вопрос «Использовали ли вы в личных целях служебную информацию?» распределились так: «Нет» – 50.8%; «Не было возможности, но хотелось» – 8.9%; «Никогда не обладал такой информацией» – 13.4%; «Использовал» – 26.8%.
Источник: http://bel.biz