Блог

GDPR и COVID-19. Как защитить бизнес от утечки данных

Борьба с пандемией, среди прочего, означает, что подавляющее большинство предпринимателей внедрили (полностью или частично) различные формы удаленной работы. Однако, если на предприятии раньше не было культуры удаленной работы, внезапный «исход» из офисов может привести к тому, что организация и ее сотрудники окажутся неподготовленными к рискам защиты данных, в том числе, персональных данных.

Очевидно, что кризис влияет на все аспекты жизнедеятельности компании. Угрозы, связанные с экономическими и финансовыми вопросами, отодвигают на второй план вопросы безопасности и защиты персональных данных.
Вместе с тем, вопрос защиты персональных данных при удаленной работе – это вопрос важный.

Прежде всего, следует напомнить, что, согласно GDPR, нарушение безопасности персональных данных - это любое нарушение безопасности, которое приводит к случайному или незаконному уничтожению, потере, модификации, несанкционированному раскрытию или несанкционированному доступу к персональным данным, передаваемым, хранящимся или обрабатываемым иным образом. Следовательно, таким нарушением будет не только ситуация, в которой данные попадут в чужие руки, но также, например, потеря доступа к данным из-за потери документов или повреждения носителя данных.
Итак, какие обстоятельства, связанные с удаленной работой, увеличивают уязвимость организации перед указанными выше угрозами и представляют собой потенциальные уязвимости безопасности данных? К ним, несомненно, относятся:

а) в аспекте ИТ-безопасности - с точки зрения сотрудника:
• действовать вопреки руководящим принципам работодателя в отношении обработки, хранения и передачи информации, использования незащищенных частных и мобильных устройств соответственно (например, отсутствие антивируса, необновляемое системное программное обеспечение и приложения, отсутствие шифрования ресурсов и т. Д.) и сети Wi-Fi (например, нет надежного сетевого пароля)
• использование ненадлежащих инструментов, не обеспечивающих надлежащую защиту личных данных (например, популярных бесплатных мессенджеров), или использование социальных сетей для общения компании (если они не были предварительно одобрены для этой цели);
• информационный хаос, связанный с проблемами борьбы с вирусом
• отсутствие плана действий в чрезвычайных ситуациях / альтернативных сценариев связи и работы в случае недоступности (например, в результате перегрузки) основных удаленных рабочих служб (VPN, коммуникационная платформа и т. Д.)


б) в аспекте физической безопасности данных:
• перемещение документов и информационных носителей с места на место (например, из офиса в дом);
• угрозы, возникающие из-за неприспособленности домашнего пространства к работе, например, возможность уничтожения или кражи конфиденциальных документов.
в) в организационном аспекте:
• отсутствие основных средств обеспечения непрерывности бизнеса и запасных устройств (например, отсутствие электричества, отказ оборудования, а также прозаический отказ мобильного телефона или наушников);
• потенциально затрудненный доступ к лицам, обеспечивающим поддержку в защите информации (ИТ-отдел, сотрудник по защите данных, специалист по комплаенсу)
• низкий уровень осведомленности сотрудников о рисках, связанных с защитой персональных данных, в частности, в ситуациях, когда предыдущее обучение и информационные кампании были сосредоточены на угрозах, возникающих в ходе обычной работы.

Угроз, как уже было сказано, много, но способы противодействия им не обязательно должны быть сложными и дорогими. Стоит взглянуть на самые важные из них.

Способы противодействия угрозам

Порядок удаленной работы сотрудников
Если ваша организация еще не приняла процедуры защиты личных данных в рамках удаленной работы, сейчас самое время для разработки и внедрения таких правил. В этом случае они будут основными руководящими принципами, принятыми для удовлетворения потребностей и целей, поставленных кризисным персоналом. Они будут дополнены после восстановления нормальной деятельности.
Минимальные требования безопасности
Если удаленная работа предполагает использование сотрудниками собственных устройств, стоит обновить знания сотрудников об основных принципах работы с информацией, а также указать / напомнить минимальные требования безопасности для устройств и сетей, которые они используют.
Исключите использование бесплатных инструментов
Бесплатные инструменты, такие как электронная почта или популярные мессенджеры, не обеспечивают адекватного уровня защиты данных и обычно не предназначены для использования в бизнесе. Работодатель должен проинструктировать сотрудников, какие каналы связи (мессенджеры, платформы и т. Д.) Они принимают для этой цели.
Образование и повышение осведомленности
Осведомленность и обучение лучше проводить до кризиса, но если вы уже в нем, стоит включить информацию о рисках для персональных данных в установленный канал кризисной коммуникации с сотрудниками. Например, стоит проинформировать сотрудников о том, что в ближайшие дни они могут быть особенно уязвимы, например, для фишинг-атаки, скрытой под «интерактивной» информацией о коронавирусе, и что им делать в этом случае (например, немедленно сообщить в ИТ-отдел).
Когда нарушение уже произошло
Однако что делать, если нарушение уже произошло, например сотрудник потерял переданные документы, сеть стала жертвой хакерской атаки или отключение электричества привело к потере личных данных? Прежде всего, следует помнить, что может потребоваться сообщить о нарушении главе Управления по защите персональных данных в течение 72 часов с момента обнаружения нарушения. Уведомление должно содержать, среди прочего, описание характера нарушения и его возможных последствий. С этой целью потребуется эффективное общение с сотрудником, чтобы должным образом оценить риск, связанный с нарушением, а затем предоставить органу всю необходимую информацию. В некоторых случаях также может потребоваться уведомить пострадавших.

Made on
Tilda