Как реагировать на утечку персональных данных клиентов

Как утекают данные и почему это опасно?

Сценарии утечки персональных данных и связанные с этим риски индивидуальны для каждой компании и зависят от специфики ее деятельности, используемых технологий, внедренных механизмов защиты и др. Причинами утечки могут стать, например, деятельность хакеров, ошибочное или злонамеренное действие сотрудника.

Последствия для клиентов, конфиденциальность чьих данных была нарушена, во многом зависят от состава раскрываемой информации. Мошеннические действия от имени пострадавшего, спам, шантаж, дискриминация (например, в результате раскрытия сведений о заболеваниях) – вот далеко не полный их перечень. Убытки может понести и компания, которая допустила утечку данных.

Снизить негативный эффект помогает продуманное и оперативное реагирование, а потому к утечке нужно быть готовым.

Почему важно реагировать на утечку персональных данных?

Уменьшение оттока клиентов

Согласно исследованию PwC в России, потребители обеспокоены атаками и хотят знать о них. Так, 89% опрошенных согласны, что компании должны извещать о таких атаках клиентов и общественность. 88% участников исследования не будут покупать у компании товары и пользоваться ее услугами, если не верят, что та ответственно подходит к защите персональных данных своих клиентов.

Чем более открыто и профессионально компания действует при утечке, тем меньше будет отток клиентов. Это особенно важно для организаций, работающих в здравоохранении, фармацевтике, сфере услуг и технологическом секторе, где изначально велика вероятность оттока клиентов в подобных случаях.

Уменьшение размера санкций

Если компания подпадает под действие GDPR – Общего регламента о защите персональных данных, то некорректное реагирование на утечку может привести к штрафу до 10 млн евро или 2% от годового оборота – в зависимости от того, что больше. При этом утечка персональных данных сама по себе не является нарушением. GDPR допускает, что она может произойти даже при обеспечении надлежащей защиты. Но, например, попытка скрыть утечку или недостаточно оперативное реагирование на нее – уже нарушение.

Вместе с тем своевременное реагирование поможет уменьшить вред, причиненный людям, чьи данные были раскрыты, что может сказаться на размере штрафа. Примером служит следующий случай: немецкая социальная сеть известила надзорный орган в Германии об утечке персональных данных 330 000 пользователей, произошедшей в июле 2018 г. Компании назначили относительно небольшой штраф в размере 20 000 евро благодаря взаимодействию с регулятором, открытости и готовности улучшать меры защиты.

Уменьшение размера возмещаемого ущерба

Если вы оператор персональных данных, может потребоваться возмещение ущерба клиентам. Если вы обработчик данных по поручению, на это вправе рассчитывать ваш заказчик – оператор персональных данных. Размер компенсации будет зависеть от понесенного ущерба.

При этом состав мер реагирования может предусматривать действия, направленные на уменьшение вреда, причиненного клиентам. А это повлияет на сумму компенсации.

Уменьшение потери стоимости компании

Некорректное реагирование на утечку способно усугубить ситуацию. Доверие инвесторов может быть потеряно так же, как и доверие клиентов. По данным британской исследовательской компании Comparitech, утечка оказывает долгосрочный негативный эффект на стоимость акций.

С чего начать?

1. Даже представление о том, что относится к персональным данным, а что нет, может быть разным у сотрудников компании. Необходимо создать единый центр компетенций. Это не обязательно должен быть отдел или выделенная рабочая группа. Для небольшой организации достаточно одного опытного человека. Главное, чтобы он обладал авторитетом, необходимым для обеспечения единого подхода к защите персональных данных.
2. После следует структурировать информацию о процессах обработки персональных данных: кому они принадлежат, в каких бизнес-процессах обрабатываются, для каких целей, в каком составе и т.д. Составление такого реестра – непростая задача, но с момента его появления управление процессами обработки и защиты данных значительно упрощается.
3. При составлении реестра нелишним будет указать внутренние и внешние заинтересованные стороны. Внутри компании это могут быть, например, бизнес-владельцы данных, юристы и маркетологи, вовне – клиенты, контрагенты, надзорные органы. Это пригодится при построении процедур реагирования.
4. Важно выявлять события, указывающие на возможную утечку. Без налаженных процедур идентификации об эффективных ответных действиях не может быть и речи. Невозможно реагировать на событие, о котором не знаешь.

Как выявить события, сигнализирующие об утечке?

Технические средства

Если есть возможность использовать технические средства – используйте их. Могут быть полезны DLP-системы, инструменты анализа логов информационных систем и прочие средства мониторинга.

В то же время важно помнить, что определяющим успех фактором является не наличие программного обеспечения, а актуальная информация о процессах обработки персональных данных, событиях, указывающих на утечку, и регулярный их анализ.

Работа с обращениями

Сотрудники, клиенты и другие люди могут рассказать об утечке. Необходимо дать им такую возможность. Желательно, чтобы канал коммуникации был анонимным и максимально простым. Важно, чтобы внешние каналы можно было легко найти, внутренние должны быть известны всем сотрудникам.

Не стоит забывать и про контрагентов. Требования о своевременном информировании представителей вашей компании о нарушениях безопасности персональных данных должны быть включены в договор.

Мониторинг информационного пространства

Существуют программы, которые по ключевым словам собирают публикации в СМИ. Это не только интернет-СМИ, но и офлайн-периодика, радио и телеэфир, а также социальные сети. Такой мониторинг позволяет выявить утечки, которые пока не идентифицированы другими способами, и своевременно на них отреагировать.

Контрольная закупка

Представители вашей компании могут действовать в роли лиц, покупающих персональные данные ваших клиентов. Зная о том, какие именно данные покупают, и системы, где они обрабатываются, вы можете отслеживать, кто обращался к этой информации, и таким образом выходить на злоумышленников. Этот метод применим не всегда, но в определенных случаях может быть очень эффективным.

Как работать с утечкой внутри компании?

Правильно классифицировать инциденты

Все обозначенные ранее методы направлены на выявление признаков утечки. Но не каждый инцидент, касающийся информационной безопасности, будет связан с нарушением конфиденциальности и реальной утечкой персональных данных. Если одинаково реагировать на все, то времени на по-настоящему критичные случаи может попросту не хватить.

Сформировать кросс-функциональную группу

Для уточнения информации о произошедшем событии может потребоваться вовлечение смежных подразделений, в первую очередь центра компетенций по персональным данным. Состав группы реагирования и критерии вовлечения тех или иных лиц должны быть определены заранее. И слово «заранее» ключевое, когда мы говорим об эффективном реагировании.

Заранее определить порядок реагирования

Он должен быть настолько подробным, насколько возможно. Это позволит сократить время, затрачиваемое на принятие необходимых мер. Порядок действий следует тестировать как непосредственно при внедрении, так и позже в формате учений. Особенно если данные процедуры задействуются редко.

Контролировать промежуточные сроки

На каждом этапе реагирования должен быть определен ответственный сотрудник, который будет контролировать промежуточные сроки. Своевременная идентификация заминок позволит вовремя принимать компенсирующие меры и сократить общее время реакции.

Документировать принимаемые решения

Это может пригодиться для демонстрации корректности мер реагирования регуляторам, а также для последующего разбора и оптимизации процесса внутри компании. Документирование всех нарушений безопасности персональных данных также является требованием GDPR.

Итоговая отчетность и принятие компенсирующих мер

Рекомендуется составлять отчетность по произошедшему инциденту и, что еще важнее, предпринимать действия для недопущения подобных событий в будущем, будь то реально произошедшая утечка или ложное срабатывание технического средства.

Кого необходимо уведомить об утечке?

Если к компании применим GDPR, необходимо уведомить надзорные органы в Европе.

В России пока нет закона, обязывающего информировать надзорные органы об утечке персональных данных. Однако он может в скором времени появиться в связи с подписанием в октябре 2018 г. протокола о внесении изменений в Конвенцию Совета Европы о защите персональных данных, предусматривающего такую обязанность.

Важно помнить, что уведомлять, возможно, потребуется и органы, которые не связаны напрямую с персональными данными. Например, ФинЦЕРТ¹, у которого есть собственные правила уведомления, или правоохранительные органы, если компания намерена привлечь нарушителя к ответственности.

В некоторых случаях сведения об утечке должны быть переданы клиентам, конфиденциальность данных которых была нарушена. Например, когда утечка может привести к высоким для них рискам (раскрытие медицинских сведений, данных для входа в систему интернет-банкинга и т.д.). Клиентам нужно предоставить детальную информацию о действиях, которые они могут предпринять, чтобы защитить себя. Сообщение должно быть написано на простом и понятном языке.

Размещение информации в СМИ также может оказаться хорошей идеей, например, когда необходимо быстро проинформировать тысячи потерпевших, полный список которых сложно установить. Но этот инструмент с трудом поддается контролю и может серьезно навредить. Особенно если у вас пока недостаточно информации и ресурсов для того, чтобы ответить на возникающие у клиентов вопросы.

Требования об уведомлении могут предъявляться со стороны контрагентов или материнской компании. Важно не забыть и про собственных сотрудников: каждый должен знать, что вопросы от СМИ необходимо переадресовать в пресс-службу. Позиция компании должна быть единой.

Не запутаться в том, кому, в какие сроки и что именно сообщать, помогут меры, принятые на предыдущих этапах. Каждое сообщение об утечке должно быть адаптировано под целевую аудиторию. Заранее подготовленные шаблоны коммуникаций помогут сэкономить время. При этом не стоит забывать: спешка и формальный подход не принесут пользы, а только навредят.