Поиск по сайту:

Что такое политика утечки данных и зачем она нужна

Утечки данных всегда были катастрофическими, и новые законы о конфиденциальности данных вынуждают организации защищать субъекты данных, что еще больше усугубляет последствия утечек. Политика защиты данных поможет защитить вас.

Законодательство о защите данных и конфиденциальности

На организации, которые хранят или обрабатывают персональные данные, возложены обязанности по защите и защите этих данных. Современное законодательство обычно включает ограничения на продажу и покупку персональных данных, а также на цели сбора данных. Субъект данных или потребитель имеет права, связанные с их личными данными, и на организации возлагаются дополнительные обязательства по защите и обслуживанию этих прав.

Несоблюдение вашего местного законодательства о защите данных или конфиденциальности — или любого аналогичного законодательства других географических регионов, применимого к вам, — будет иметь серьезные последствия. Потеря доверия клиентов наносит ущерб тому, что часто является самым большим активом организации: ее репутации.

Конечно, есть и более поддающиеся количественной оценке убытки. Большинство законодательных актов имеют право применять финансовые санкции. В соответствии с Общим регламентом по защите данных (GDPR) за самые серьезные нарушения могут быть наложены штрафы в размере 20 млн евро или 4 % от годового глобального оборота за предыдущий год (в зависимости от того, какая из них больше). Эти штрафы налагаются надзорным органом по защите данных соответствующей европейской страны или Европейской комиссией, если нарушение затрагивает граждан нескольких стран.

Калифорнийский закон о конфиденциальности потребителей (CCPA) также предусматривает наложение штрафов за несоблюдение требований. За их исполнением следит Генеральная прокуратура Калифорнии. Предусмотрены гражданско-правовые санкции в размере 2 500 долларов США за каждое нарушение или 7 500 долларов США за каждое последующее нарушение после первого инцидента по истечении 30-дневного окна возможности применить меры по устранению технических или процедурных недостатков, которые привели к первоначальному несоблюдению.

CCPA, вероятно, окажет большее влияние, также предусматривает, что частные истцы могут подать гражданский иск против организации, если инцидент был нарушением — несанкционированным доступом и эксфильтрацией, кражей или раскрытием личных данных — которое произошло из-за несоблюдения разумные процедуры и методы обеспечения безопасности, пропорциональные характеру утерянной личной информации.

CCPA рассматривается как своего рода план для других штатов по принятию собственных законов о защите данных и конфиденциальности. Невада уже ввела некоторые изменения. Закон Нью-Йорка о конфиденциальности (NYPA) и Закон штата Вашингтон о конфиденциальности (WSPA) не прошли свои законодательные сессии в 2019 году, но ожидается, что они будут повторно представлены с изменениями.

Расследования утечки данных

Очевидно, что необходимо приложить все усилия, чтобы предотвратить утечку данных. Но независимо от того, насколько безопасна ваша сеть, утечка данных может произойти. Нарушения могут быть результатом успешной кибератаки, такой как доксинг. А в Европе стоит отметить, что GDPR считает атаку программ-вымогателей утечкой данных, потому что вы потеряли контроль над данными. Утечка данных может быть результатом злонамеренных намерений недовольного инсайдера или увольняющегося сотрудника. Они могут возникать из-за человеческой ошибки или невинной ошибки.

Если вы столкнулись с нарушением, достаточно серьезным, чтобы привлечь внимание органа, отвечающего за ваше законодательство о защите данных, будет проведено расследование. Обычно исследователи рассматривают некоторые или все из следующих пунктов. Их выводы в каждом случае будут либо очком в вашу пользу, либо очком против вас. Размер штрафов в некоторых случаях может быть уменьшен или увеличен в соответствии с оценкой безопасности вашей сети, управлением и защитой данных, а также фактами самого инцидента.

  • Серьезность нарушения Что произошло и что привело к нарушению? Сколько отдельных субъектов данных было затронуто? Если это были данные особой категории, такие как медицинская или политическая информация, или личные данные детей, инцидент будет считаться более серьезным.
  • Основная причина нарушения Более подробный анализ обстоятельств, приведших к нарушению. Например, была ли взломана сетевая безопасность или внутренние процедуры были проигнорированы? В чем заключалась ошибка безопасности и как ее можно было предотвратить? Сказать, что сотрудник не соблюдал процедуру, недостаточно, чтобы снять вас с крючка. Из-за правовых концепций субститутивной ответственности и ответа вышестоящего руководства организация может нести ответственность за действия одного из своих сотрудников.
  • Сообщение и смягчение последствий. Были ли какие-либо действия, которые вы могли бы предпринять, чтобы уменьшить последствия утечки для затронутых субъектов данных, и вы их предприняли? Предупредили ли вы субъектов данных при первой же возможности и дали им совет? Знали ли они, что произошло, как это могло повлиять на них, что вы предпринимали в связи с этим и какие действия им следует предпринять?
  • Безопасность сети Что вы предприняли, чтобы укрепить и защитить свою сеть? Для следователей это будет очевидно, если вы серьезно относитесь к кибербезопасности — используя технические меры, политики и процедуры, а также проводите обучение персонала — или если вы запускаете простую ванильную сеть и просто надеетесь, что с вами не случится ничего плохого.
  • Предыдущая запись У вас есть история утечек данных? Если это ваша первая утечка данных, вы будете в немного лучшем положении, чем если бы это была последняя утечка в череде утечек.
  • Сотрудничество Будет отмечено, насколько охотно вы сотрудничаете со следователями и надзорным органом. Лучше всего открытый и честный подход. Не относитесь к следователям как к врагам. Они смогут дать отличный совет по сбору низко висящих плодов, чтобы укрепить вашу безопасность. Более строгая безопасность не должна стоить целое состояние. Получите их информацию и действуйте в соответствии с ней. И предоставьте им доступ и информацию, которые они запрашивают.
  • Официальная отчетность Сообщили ли вы о нарушении в надзорный орган в установленные сроки? В худшем случае субъект данных сообщает об этом раньше, чем вы. Если нарушение произошло в результате злоумышленного действия — внутреннего или внешнего, — не забудьте сообщить об этом в правоохранительные органы.
  • Сертификация Сертифицированы ли вы по какой-либо соответствующей схеме обеспечения качества, такой как ISO/IEC 27001 или Cyber Essentials в Соединенном Королевстве? Не существует схем сертификации для законодательства о защите данных, включая CCPA и GDPR, поэтому трудно доказать, что вы им соответствуете. Вы должны внедрить документацию и управление, уведомления на своем веб-сайте и улучшить безопасность и методы работы по мере необходимости, но никто не поддержит вас и не подчеркнет ваши усилия. Наличие сертификата в системе обеспечения качества кибербезопасности или управления безопасностью не доказывает, что вы соблюдаете законодательство, но показывает, что вы серьезно относитесь к защите данных и конфиденциальности. и что вы используете утвержденную и признанную систему.

Планирование вашей политики

Если все сделано тщательно, предстоит проделать большую предварительную работу и собрать информацию, прежде чем можно будет даже разработать Политику обработки нарушений. Некоторые из этих действий нужно будет периодически повторять, поскольку ситуации меняются. И если они изменятся, вашей политике может потребоваться отразить влияние этих изменений.

Определите свои самые большие риски

Это показывает, как будут выглядеть наиболее вероятные сценарии взлома. Пока вы занимаетесь этим, принимайте меры по исправлению или смягчению последствий, чтобы свести к минимуму риски. Вы можете сегментировать свою сеть, использовать шифрование, внедрить систему обнаружения вторжений, настроить автоматический сбор и сканирование журналов или какой-либо другой технологический шаг, который обеспечит предупреждения о том, что что-то не так, и степень сдерживания в случае инцидента.

Выполните картографические упражнения

Создайте или обновите реестр активов оборудования и сопоставьте свою сеть. Узнайте, как выглядит ваше аппаратное обеспечение, как оно устаревает, что необходимо заменить или обновить и когда.

Выполните упражнение по отображению данных — также называемое ландшафтным дизайном данных — и запишите, где находятся ваши данные, что они содержат, кто имеет к ним доступ, а также всю другую необходимую информацию о ваших данных, которую требует законодательство. Возможно, вам придется записать свои цели сбора, обработки или хранения данных, а также тех, с кем вы ими делитесь. Вам может потребоваться записать и сохранить доказательства согласия, если у вас нет других законных оснований для получения этих данных. Все это сформирует ваш реестр активов данных.

Определите и рационализируйте права и привилегии пользователей. Максимально ограничьте их. Убедитесь, что у вас есть процедура «новый стартовый/покинувший/изменение роли», которая управляет тем, как вы создаете или настраиваете привилегии для новых учетных записей и изменений ролей, а также блокируете старые учетные записи, когда кто-то покидает организацию.

Раннее обнаружение имеет жизненно важное значение

Проникновение в сеть может остаться незамеченным. Если утечка не будет обнаружена и ИТ-персонал не уведомлен об этом, злоумышленники могут скрываться в вашей сети в течение нескольких дней, недель или месяцев.

Система обнаружения вторжений (IDS) — хорошая идея, есть отличные предложения с открытым исходным кодом, такие как Snort. Важно установить базовый уровень нормальной активности, чтобы можно было идентифицировать подозрительную активность.

Если ваш IDS обнаружит подозрительные попытки подключения, вы сможете остановить нарушение до того, как оно произойдет. Если анализ журнала выявляет необъяснимые, но успешные соединения, установленные в нерабочее время или с загадочных географических IP-адресов, это может указывать на то, что злоумышленникам удалось получить доступ.

Цель состоит в том, чтобы обнаруживать угрозы и реагировать на них по мере их возникновения, предотвращать доступ в режиме реального времени, а также обнаруживать подозрительное поведение для выявления несанкционированного доступа, если им удалось подключиться.

Генеральные репетиции

После того, как вы разработали свою политику, дайте ей пробный прогон. В разгар кризиса вам нужен персонал, который будет следить за ним, а не выходить за рамки вне трассы. Репетиция плана с заинтересованными сторонами и другими игроками — командой по ликвидации последствий — помогает понять, что лучшая стратегия — следовать политике, а не разрозненным и чрезмерно взволнованным людям, действующим независимо и часто непродуктивно. Настоящие нарушения могут иметь тупиковый эффект «занят, но парализован».

Выполнение обхода инцидентов и моделирования для репетиции политики позволяет настроить и улучшить политику. Он устанавливает, кто за что отвечает и в каком порядке должны выполняться шаги. Например, нет особого смысла предупреждать свой надзорный орган до того, как вы охарактеризуете нарушение. Подождите, пока не узнаете, сколько записей было раскрыто и какие персональные данные они содержат.

Общение жизненно важно

Не забывайте об общении. Это один из способов, которым вас будут оценивать как надзорный орган, клиенты, так и затронутые субъекты данных. Назначьте ответственность за коммуникации команде или отделу. Убедитесь, что только официальные каналы используются для предоставления обновлений и имеют единую точку связи. Обновляйте как можно раньше и чаще и используйте простой, понятный английский язык. Будьте честны и прозрачны.

Не забудьте проинформировать своих сотрудников о том, что произошло. В конце концов, их собственные данные находятся в вашей сети, поэтому они тоже могут быть затронуты взломом. Как минимум, они должны знать достаточно, чтобы направлять запросы и направлять заинтересованных абонентов к официальному заявлению на вашем веб-сайте.

Вам также необходимо информировать об инциденте топ-менеджеров или совет директоров и продвигаться вперед по мере того, как вы работаете над его решением.

Предоставить подробное руководство

При подозрении на потенциальное нарушение необходимо заранее проинформировать группу по ликвидации инцидентов и следовать политике, чтобы проверить, является ли нарушение подлинным. Если это так, команда может быть взволнована и начать оценивать масштабы и влияние. Были ли личные данные вовлечены в нарушение, если да, то сколько субъектов данных было вовлечено? Были ли раскрыты персональные данные особой категории?

Вооружившись этими знаниями, ИТ-команда может перейти к локализации и устранению последствий, а команда по связям с общественностью может начать свой цикл обновлений и рекомендаций. В зависимости от законодательства, в соответствии с которым вы работаете, может потребоваться связаться напрямую со всеми затронутыми субъектами данных. GDPR требует этого.

Шаги должны быть подробными и четкими, но не настолько многословными, чтобы команды тратили свое время на чтение, а не на выполнение. Блок-схемы и расставленные по приоритетам списки лучше, чем страницы плотного текста.

Нарушения иногда неизбежны, но четкий план реагирования поможет вам свести к минимуму сбои в бизнес-операциях, влияние на субъекты данных и штрафные меры со стороны надзорного органа.