Как предотвратить утечку ПДн при передаче данных за периметр организации?

В России готовится законопроект о введении оборотных штрафов за утечку персональных данных (ПДн). Это означает, что страну ждет свой собственный «GDPR».

Проект закона предусматривает введение оборотных штрафов:

• в 1% (но не менее 3 млн рублей), если компания в течение суток проинформировала об утечке вышестоящие органы;
• в 3%, если компания скрыла инцидент.

Каждый день появляются новые детали будущего документа. Уже известно, что минимальный штраф для должностных лиц будет составлять 500 000 рублей, а сам закон распространится на утечки данных свыше 1 000 пользователей. Примечательно, что верхний порог суммы штрафа не обозначен.

Зарубежная практика GDPR

В соответствии с регуляторными правилами GDPR, принятыми в Европейском союзе, с 25 мая 2018 года компании обязаны самостоятельно уведомлять регулирующие органы о любых нарушениях, связанных с персональными данными граждан. Уведомить необходимо в течение 72 часов после обнаружения нарушения.

За невыполнение требований накладывается штраф до 20 000 000 евро или до 4 % от глобального оборота компании за предыдущий финансовый год, в зависимости от того, что больше.

Напомним, что GDPR вступил в силу почти 4 года назад, и за это время более 1150 организаций нарушили один или несколько пунктов требований настоящего регламента. Так, крупнейший штраф в размере 746,000,000 евро пришлось заплатить компании Amazon в 2021 году за несоблюдение принципов обработки данных. Еженедельно список нарушителей стабильно пополняется на 9-12 компаний (https://www.enforcementtracker.com).

Локальная проблематика утечек данных в России

Последние 4 месяца в СМИ периодически появляются новости об утечках данных клиентов крупнейших российских компаний. Дела по подобным инцидентам передаются в суд. Ряд разбирательств уже завершен, их результаты озвучены публично.

Согласно изданию Forbes Russia, в отношении сервиса «Яндекс.Еда» суд принял решение о минимальном размере штрафа в 60 000 рублей. Это означает, что данные одного пользователя (ФИО, номер телефона, номер квартиры, этаж, код от домофона и пр.) были оценены в сумму, меньше 1 копейки!

Однако, даже если бы суд назначил максимальный размер штрафа, это не сильно бы повлияло на стоимость данных одного пользователя. В настоящее время штраф для юридического лица за утечку данных, согласно ст. 13.11 КоАП, составляет от 60 000 рублей до 100 000 рублей, при повторном правонарушении – до 500 000 рублей.

Так, если сравнить текущие размеры штрафов и размеры штрафов рассматриваемого законопроекта, российским компаниям (особенно крупным сетевым и промышленным организациям) будет выгоднее оптимизировать систему информационной безопасности, в частности защиту баз данных (БД).

Инструмент для повышения уровня защищенности ПДн

В настоящий момент нет полнофункциональных российских инструментов, которые могли бы одновременно искать, классифицировать и обезличивать ПДн в различных базах данных, чтобы предотвращать утечки при передаче за периметр организации и защищать клиентов и сотрудников.

Единственное решение, способное осуществить все три задачи, которое сегодня доступно на российском рынке – Infognito JumbleDB. Данный инструмент разработан в Израиле, входит в продуктовый портфель VAD-дистрибьютора ITD Group и не имеет отечественных аналогов.

Преимущества Infognito JumbleDB:

1. Предотвращение утечки происходит проактивно за счет поиска и классификации данных в БД и их дальнейшего обезличивания.
2. Обезличенные данные сохраняют свою структуру и связность и остаются пригодны для дальнейшего использования.
3. Решение работает автономно, без необходимости подключения к сети Интернет в рамках тестового контура.

Infognito JumbleDB помещает в тестовый контур копию боевой базы, переданную по защищенному каналу передачи данных, и обезличивает ее. Как результат, там не остается конфиденциальной информации. Полученная обезличенная БД подходит для применения в целях машинного обучения, аналитики, тестирования, разработки и т. п.

Вы можете протестировать инструмент Infognito JumbleDB уже сегодня. Оставьте свою заявку для проведения демонстрации решения и бесплатного пилотного проекта:

Статью написала Мария Фомина, менеджер по развитию бизнеса ITD Group, партнера Cloud Networks.