Практически все компании сегодня так или иначе взаимодействуют с информацией о своих клиентах. Для продвижения рекламных кампаний, для формирования персональных предложений, для поиска аудитории, похожей на текущих потребителей — для всего нужны персональные данные. И работа с ними требует от бизнеса принимать на себя ответственность за безопасность и этичность использования этих данных в цифровом пространстве. Как защищать персональные данные клиентов, чем опасна их утечка и почему проблема не только в штрафах, рассказала Мария Высоцкая, управляющий директор digital-агентства Red Digital.
Чем активнее технологии проникают во все сферы жизни, тем выше становятся риски для информационной безопасности — в том числе для безопасности персональных данных. Только за 2021-2023 годы количество утечек персональных данных в России выросло почти в 40 раз. Как сообщал Роскомнадзор, в 2021 году таких инцидентов насчитывалось всего 4, а уже в 2022 году их число увеличилось до 140. За январь-июль 2023 года произошло более 150 случаев утечек.
Другую статистику приводит ГК InfoWatch. В 2023 году объем утекших персональных данных вырос на 60% к 2022 году — 1,12 млрд записей против 702 млн. Количество самих инцидентов сократилось, но объемы кражи увеличились. При этом, по словам пресс-службы InfoWatch, для более чем 35% инцидентов 2023 года объем утекших данных неизвестен. То есть масштабы проблемы могут быть еще больше.
От киберугроз и утечек персональных данных пользователей не застрахованы даже крупные компании. В начале 2022 года утечка произошла у известного сервиса доставки еды — по вине сотрудника. Суд оштрафовал компанию на 60 тыс. рублей. После этого сервис ужесточил подход к хранению информации: сокращено количество сотрудников, у которых есть доступ к персональным данным клиентов, больше никакой ручной обработки данных.
В январе 2024 года масштабная сеть магазинов одежды и обуви признала факт утечки данных после кибератаки. Угроза такого типа случилась впервые, поэтому разработанная защита сайта не спасла компанию и личную информацию клиентов.
За подобные инциденты бизнес чаще всего привлекают по КоАП. Основной закон, который регулирует вопрос защиты персональных данных в России, — ФЗ-152. И по мере увеличения объемов данных и роста сопутствующих рисков законодательство в этой области ужесточается.
В 2020 году Госдума приняла закон о дополнительной защите данных: он требует получения согласия от пользователя на распространение данных. Молчание или бездействие к согласию не приравниваются. Также операторы персональных данных должны удалять персональные данные пользователя по первому запросу. Позже, в 2022 году, опять добавились новые меры защиты: операторы должны моментально сообщать о кибератаках и утечках в уполномоченные органы. Вдобавок появились ограничения на обработку биометрических данных несовершеннолетних пользователей.
А сейчас на рассмотрении в Госдуме находятся очередные поправки в законодательство, которые должны ужесточить ответственность за утечки. Сейчас по КоАП юрлица платят штраф до 100 тыс. рублей, а если утечка повторная — то до 300 тыс. рублей. В новом законопроекте, который принят в первом чтении, административная ответственность за утечку специальных категорий персональных данных становится «дороже».
Для юрлиц это 10-15 млн рублей, а повторная утечка может стоить компании до 3% от годовой выручки, но не менее 15 млн рублей. Верхняя граница этого штрафа — 500 млн рублей. Также может быть введена уголовная ответственность за работу с данными, которые получены незаконно. Минимальная мера наказания — штраф в 300 тыс. рублей, максимальная — лишение свободы до 10 лет.
Все это заставляет бизнес еще ответственнее подходить к вопросу защиты персональных данных, которые собирает, хранит и использует: инвестировать больше денег в информационную безопасность, уделять больше внимания обучению сотрудников.
Недостаточная защита персональных данных для бизнеса опасна не только финансовыми потерями из-за штрафов. Она также создает угрозу репутационных рисков, которые могут обернуться еще более крупными убытками, чем любой штраф.
Во-первых, если случилась утечка и информация о ней попадает в медиаполе, это подрывает доверие к компании и со стороны клиентов — в том числе потенциальных, и со стороны партнеров. Такой эффект может создать даже утечка данных в небольших объемах и без огромного ущерба для клиентов: они не пострадали от условных спам-звонков или взятых на их имя кредитов.
Во-вторых, даже если компания еще не столкнулась с реальной проблемой, если она не дает своим клиентам понять, что заботится об их цифровой безопасности, это снижает уровень доверия к ней. Современный пользователь интернета хорошо осведомлен о том, какие риски он несет, когда делится своими персональными данными — от номера телефона до данных паспорта. И он хочет знать, что компания, которой он предоставляет эту информацию, будет ответственной, осторожной и честной в отношении работы с данными.
Поэтому бизнесу необходимо проявлять цифровую ответственность: придерживаться норм, согласно которым бизнес принимает решения в вопросах, связанных с цифровыми проблемами — включая вопросы защиты данных. Это касается как их безопасности, так и этичности использования.
Решение вопросов безопасности стоит с разработки внутренней политики обработки персональных данных: этого требует закон, ст. 18.1 ФЗ-152. А также необходимо получить от клиента согласие на обработку персональных данных, которое подписывает клиент. Оно разрабатывается также в соответствии с ФЗ-152, требования к соглашению детально прописаны в ст. 9.
В частности, соглашение включает в себя пояснение, какие именно персональные данные будут собираться и использоваться — например, ФИО, телефон, адрес электронной почты и так далее. Также в этом договоре обязательно прописывается цель обработки данных, полный комплекс действий, которые входят в обработку — сбор, систематизация, хранение, обновление и так далее. Кроме этого нужно указывать срок действия договора, способ отзыва согласия.
По нашему опыту, одним из первых шагов должен быть пересмотр договоров с пользователями, потому что здесь часто включается опасный человеческий фактор. Один раз сделали договор и не правим, даже если поменялись цели сбора персональных данных.
Кроме этого компания должна регистрироваться как оператор персональных данных: необходимо обратиться в Роскомнадзор. Сделать это нужно до того, как начать собирать персональные данные с клиентов.
Наша система сама подберет вам исполнителей на услуги, связанные с разработкой сайта или приложения, поисковой оптимизацией, контекстной рекламой, маркетингом, SMM и PR.
Заполнить заявку
12177 тендеров
проведено за восемь лет работы нашего сайта.
А с точки зрения этики работы с данными компании необходимо прописать во внутренней политике несколько базовых принципов. Во-первых, это честный сбор данных — не закупать на рынке данные конкурентов, не крутить информацию на аудиторию конкурентов. Во-вторых, это уважение прав и интересов клиентов — не злоупотреблять их доверием и использовать данные аккуратно, не запускать бесконечные обзвоны ботами.
Сейчас есть компании, которые перепродают данные посещений сайтов или данные геолокации, в том числе конкурентам. Например, человек заходит на сайт застройщика, смотрит квартиру и оставляет заявку. А через 10 минут ему уже звонит совершенно другой застройщик, чей ЖК находится через дорогу от того, что смотрел человек, и предлагает свои квартиры. Что произошло? Данные, которые находились в заявке на звонок, были украдены и куплены застройщиком-конкурентом. Это неэтично и вдобавок незаконно, но поймать виновного сложно.
Я убеждена, что формирование информационной безопасности — комплексный процесс, который требует от бизнеса в первую очередь разработать локальные нормативные акты: в частности, посвященные персональным данным. Это уже упомянутая выше политика обработки данных, а также положения об их уничтожении и о внутреннем аудите работы с персональными данными.
Помимо этого большую роль играют организационные меры: это обучение сотрудников работе с персональными данными, назначение ответственных лиц. В крупной компании может даже быть отдельная должность DPO (Data Protection Officer).
Необходимо регулярно проводить инвентаризацию обработки персональных данных и информационных систем — систематический учет и анализ оборудования, инфраструктуры и ПО. Это позволит понимать, куда уходят данные и выявлять возможные риски их утечки до того, как произойдет опасный для репутации бизнеса инцидент.
В идеале компании сначала провести аудит силами независимого эксперта, который оценит текущую систему защиты данных в целом и скажет, где сейчас есть проблемы, насколько они серьезны, где и какие риски присутствуют. И уже по результатам аудита нужно подбирать подходящие решения и инструменты, разрабатывать или корректировать стратегию информационной безопасности и цифровой ответственности.
Развитие ИИ и нейросетей и их активное использование в разных задачах, в том числе в маркетинге, требует повышенной осторожности при работе с персональными данными. Если компания применяет ИИ-системы, взаимодействующие с данными клиентов, для снижения рисков она должна быть основана на двух базовых принципах.
Первый — минимизация объема. Если какие-то данные можно не обрабатывать с помощью ИИ, этого не стоит делать. Чем меньше информации получит ИИ без ущерба качеству выполнения задачи, тем лучше.
Второй — прозрачность и контроль. Важно всегда понимать, какие именно данные передаются ИИ, с какой конкретно целью, в каком объеме, как ИИ-система будет работать с данными. Если она недостаточно прозрачна, передавать в нее данные небезопасно. И все этапы работы ИИ с данными должны строго контролироваться.
По оценкам специалистов в кибербезопасности, 90% утечек данных происходят из-за человеческого фактора. Где-то проблема в невнимательности сотрудника, а где-то — в желании обогатиться или навредить работодателю. Поэтому для обеспечения цифровой безопасности в первую очередь необходимо позаботиться о снижении рисков, связанных с действиями сотрудников.
Во-первых, сотрудники должны знать нормы цифровой гигиены, понимать правила обращения с персональными данными — если есть к ним доступ, выучить меры предосторожности и придерживаться их. Проводите регулярное обучение сотрудников и аттестацию.
Сотрудники должны понимать основные риски — как могут утечь данные, почему, и знать способы их предотвращения. Разъясните сотрудникам не только технические аспекты вроде фишинговых ссылок, но и методы социальной инженерии: как именно мошенники могут обмануть человека, как этому противостоять.
Во-вторых, сотрудники должны понимать свою ответственность за нарушение правил цифровой безопасности и обращения с персональными данными. Мы в компании разработали локальные нормативные акты, в которых прописаны как границы ответственности, так и система наказания. Сотрудники должны знать, что грозит, например, за преднамеренный слив данных. Это может быть не только увольнение, но и убытки, установленные в компании согласно ст. 11 ФЗ-98.
С технической точки зрения бизнесу очень важно регулярно обновлять инструменты информационной безопасности. Угрозы постоянно эволюционируют, постепенно в системе защиты появляются так называемые «дыры» — уязвимости. Если раньше компания пользовалась иностранным решением, и вендор ушел из России, а значит, возникла проблема с обновлением софта, необходимо искать новый инструмент — с регулярным обновлением.
Выбор инструментов и систем защиты — индивидуален для каждой компании. Нужно понимать, как именно на компанию могут воздействовать, какие риски для нее актуальнее и опаснее всего. Одним из инструментов может стать качественное шифрование данных, что снижает риск их несанкционированного использования в случае утечки.
А также необходимо заранее определить, какие действия компания будет предпринимать при утечке данных — помимо обязательного уведомления уполномоченных органов. И что будет делать, если клиент отзовёт согласие на обработку и хранение его персональных данных.
Защитить персональные данные клиентов с абсолютной гарантией невозможно. Тем не менее, бизнесу стоит понимать последствия недостаточного внимания к вопросам цифровой ответственности. И заботиться о том, чтобы выстроить эффективную систему кибербезопасности, а также обращаться с используемыми данными осторожно и честно.