Персональные данные (ПДн) включают в себя все сведения, которые идентифицируют конкретное лицо. К ним относятся адреса электронной почты или адреса проживания, номера телефонов и данные паспорта. Даже биометрические данные, такие как оцифрованные отпечатки пальцев, могут считаться личными данными – и, к сожалению, многие приложения и ресурсы собирают их.
Разработка документов по защите персональных данных помогает компании законно хранить личную информацию о своих клиентах и сотрудниках. Например, в системах электронной торговли имена и адреса клиентов, как правило, хранятся в базах данных. Следовательно, если вы управляете бизнесом, велика вероятность, что в вашей ИТ-инфраструктуре хранятся личные данные других людей.
Какое значение личные данные имеют для ИТ, безопасности и соответствия нормативным требованиям?
Защита персональных данных должна быть в списке приоритетов специалистов по безопасности по крайней мере по трем важным причинам:
- Имидж бренда — вы несете ответственность за конфиденциальные данные своих клиентов. Если вы позволите хакерам проникнуть в частную жизнь ваших клиентов и использовать их данные, это выставит ваш бизнес в плохом свете и может повлечь за собой серьезные неудобства, юридическую ответственность и большие расходы.
- Кибербезопасность и кибер-мошенничество — хакеры любят личные данные. Таким образом они могут выдавать себя за определенных людей и, например, захватывать их банковские счета и совершать многие другие виды онлайн-мошенничества.
- Нормативное соответствие и соответствие требованиям к данным. 152-ФЗ, или Федеральный закон от 27 июля 2006 года «О персональных данных», является одним из важнейших документов в области защиты информации и приватности граждан Российской Федерации. Этот закон устанавливает правила сбора, хранения, использования и раскрытия персональных данных, а также определяет ответственность за нарушение этих правил.
Для чего хакерам персональные данные?
Хакеры крадут ПДн по разным причинам: с целью вымогательства или продажи на черном рынке.
Киберпреступники часто используют атаки социальной инженерией, чтобы обманом заставить ничего не подозревающих жертв добровольно раскрыть личную информацию. Злоумышленники также имеют возможность отслеживать учетные записи в социальных сетях, где многие люди неосознанно обмениваются личной информацией, не подлежащей защите, каждый день. Со временем злоумышленник может собрать достаточно информации, чтобы выдать себя за жертву при обращении в какую-либо организацию или взломать учетные записи.
Как защитить персональные данные?
Для компаний защита персональных данных может оказаться сложной задачей. Растущее распространение сервисов SaaS означает, что ПДн можно хранить и обрабатывать в нескольких местах, а не в одной централизованной сети.
Для защиты личной информации компании обычно создают политики конфиденциальности. Эти политики могут отличаться в зависимости от организации и персональных данных, которые собираются. Вне зависимости от условий есть общие рекомендации, которые помогут вам защитить данные от злоумышленников:
- Шифрование: шифрование персональных данных может помочь обеспечить безопасность персональных данных независимо от того, где они хранятся или обрабатываются.
- Управление доступом: многофакторная аутентификация может создать больше барьеров между хакерами и данными, которые нужно защищать.
- Обучение: это может включать как обучение сотрудников правильному обращению с личной информацией, так и обучение защите своей личной информации (например, обучение борьбе с фишингом, обучение противостоянию социальной инженерии, обучение безопасной работы с социальными сетями).
- Анонимизация: при анонимизации данных удаляются идентификационные характеристики данных. Обычные методы анонимизации включают удаление идентификаторов из данных, агрегирование данных.
- Инструменты кибербезопасности: инструменты предотвращения утечек данных (DLP) могут помочь отслеживать данные, перемещающиеся по сети, что упрощает обнаружение утечек и нарушений.
