Лучший способ бизнесу избежать штрафа за утечку данных

Угон корпоративного банковского счета киберпреступниками может обанкротить компанию, но подобный вид взлома — это не то, что действительно заботит правоохранительные органы. Они пекутся лишь об одном: насколько хорошо вы защищаете информацию, которая может «однозначно идентифицировать» других людей, то есть личные данные (PII).

Лучший способ бизнесу избежать штрафа за утечку данных #enterprisesec

Tweet

И Европейский союз, и Соединенные Штаты (на федеральном уровне) пытаются унифицировать требования к отчетности о взломах. ЕС хочет от 28 стран-членов соблюдения одних и тех же правил, а в США хотят однообразия отчетности для каждого штата. В настоящее время в трех американских штатах нет законов, регулирующих отчетность о взломах. Здесь можно посмотреть, какие правила действуют в США, в соответствующем штате.

Как только появится единый закон о взломах, а ЕС очень быстро движется к этой цели, собираясь принять его к концу 2014 года, то, на что будет похоже его соблюдение? Как уменьшить риск штрафа за его нарушение? Давайте начнем с основ закона о взломах:

• Кому сообщать о взломе
• Как скоро о взломе докладывать
• Требования по санации – обучения конечных пользователей, служба кредитной защиты и т.д.
• Штрафы и сборы:
  1. За отсутствие доклада
  2. В качестве компенсации ущерба — фактического или потенциального
  3. За отсутствие «должных мер» безопасности, в первую очередь

Когда дойдет до определения размеров штрафа, эффект может быть весьма болезненным. ЕС предлагает взимать «до 2% от оборота» (в США этот термин соответствует «валовому доходу») за невыполнение обязательств по докладу об инциденте. Есть и хорошая новость для малого и среднего бизнеса. МСП не будут иметь такие же строгие требования к отчетности, как крупные компании, и они не будут штрафоваться за первый случай «непреднамеренного несоблюдения». Однако с учетом часто субъективного характера некоторых взломов, как только вам станет известно о нарушении с участием PII, проконсультируйтесь с юристом, чтобы убедиться, что вы понимаете ваши обязательства и опции, и, в то же время, рассматривайте вопрос об аутсорсинге всех персональных данных для сохранности.

Гораздо вероятнее, что вы сможете избежать ущерба для бренда, если сумеете, по крайней мере, указать явно надежную третью сторону как виновника взлома. Кроме того, пока вы разумны и прилежны в процессе вовлечения третьей стороны, соблюдение, реагирование и штрафы могут быть их сферой ответственности.

ЕС и США хотят однообразных правил отчетности об утечках данных #enterprisesec.

Tweet

Если ваш бизнес относится к сектору, который сильно подвержен взломам, не помешает объявить об аутсорсинге хранения и защиты всех PII. Даже если это отобьет охоту выбрать вашу компанию в качестве мишени всего у пары хакеров, оно того стоит.

Не забывайте, что информация о сотрудниках – тоже персональные данные, и к ним должны иметь доступ очень немногие. Каждый сотрудник, который имеет доступ к таким данным, также должен понимать, что PII никогда не должны пребывать — в процессе хранения или при перемещении по сети – в нешифрованном виде. Это означает, любые средства, которые используются для пересылки личных данных или их резервного копирования, например, на флеш-накопитель, должны также быть зашифрованы. (Здесь вы можете узнать больше о том, как шифровать почти всё).

Следует признать, что США и ЕС вряд ли введут любые новые правила до 2016 года (за исключением выборочных случаев публичных нарушений), так что еще есть время, чтобы распланировать. Но, пожалуйста, поставьте «управление личными данными» в ваш список дел на рассмотрение в течение следующего года, иначе в конечном итоге подвергнете свой бизнес очень дорогостоящим издержкам.