Стоит ли сообщать клиентам об утечке информации?
09.10.2012
Информационно-аналитический журнал «Персональные данные»
Летом этого года акции компании KT Corp, одного из самых крупных телефонных и интернет-операторов Южной Кореи, упали до рекордно низкой за последние 7 месяцев отметки после сообщения о том, что произошла утечка данных о клиентах корпорации. Конечно, сегодня в Америке и Европе скрывать факт инцидента, что называется, «себе дороже», но мы-то живём в России...
А был ли мальчик?
Но, прежде всего, давайте ответим на простой вопрос: есть ли в России утечки данных? Согласно исследованию компании SearchInform, проведённому в апреле сего года в 7 ФО РФ среди 1000 специалистов и руководителей департаментов ИБ, только 30% опрошенных респондентов заявили, что им неизвестно об инцидентах, связанных с утечкой информации из их компании. В то же время исследование «Лаборатории Касперского» рисует гораздо более мрачную статистику: согласно опросу, с той или иной формой утечки данных за последний год столкнулись 96% российских компаний. Если обратиться к материальной стороне вопроса, становится понятно, что проблема «слива» информации весьма и весьма актуальна: мировой ущерб в 2011 году составил $20 млрд., при этом «вклад» России составил примерно $1 млрд. По мнению экспертов из Ponemon Institute, в современном обществе роль информации стала столь велика, что в 6 случаях из 10 для банкротства компании достаточно утечки всего лишь 20% ее коммерческих секретов. Из вышеизложенной информации проистекает вполне логичный и простой вывод — сегодня компаниям жизненно необходимо защищать свои данные. В противном случае бизнес сильно рискует в скором времени оказаться «на обочине». И если необходимость защиты данных уже перешла в разряд аксиом, то уведомление клиентов об утечках информации по-прежнему остаётся дилеммой.
Буква закона
В начале 2012 года в Евросоюзе активно обсуждался законопроект, который должен был обязать компании сообщать о фактах утечки информации о пользователях в течение 24 часов после их обнаружения. Одной из причин, послужившей катализатором закона, стала своеобразная реакция корпорации Sony, которая соизволила предупредить пользователей об утечке данных 100 млн. аккаунтов лишь спустя шесть дней после инцидента. Кроме того, законопроект предусматривал наделение властных институтов, отвечающих за безопасность персональных данных граждан, правом начинать административное делопроизводство и налагать штрафы на нарушителей.
В России же основным ориентиром для операторов ПДн был и остаётся
Материал полностью читайте в № 9(50) журнала «Персональные данные».