Информационный проект «Персональные данные»

Стоит ли сообщать клиентам об утечке информации?

Летом этого года акции компании KT Corp, одного из самых крупных телефонных и интернет-операторов Южной Кореи, упали до рекордно низкой за последние 7 месяцев отметки после сообщения о том, что произошла утечка данных о клиентах корпорации. Конечно, сегодня в Америке и Европе скрывать факт инцидента, что называется, «себе дороже», но мы-то живём в России...

А был ли мальчик?

Но, прежде всего, давайте ответим на простой вопрос: есть ли в России утечки данных? Согласно исследованию компании SearchInform, проведённому в апреле сего года в 7 ФО РФ среди 1000 специалистов и руководителей департаментов ИБ, только 30% опрошенных респондентов заявили, что им неизвестно об инцидентах, связанных с утечкой информации из их компании. В то же время исследование «Лаборатории Касперского» рисует гораздо более мрачную статистику: согласно опросу, с той или иной формой утечки данных за последний год столкнулись 96% российских компаний. Если обратиться к материальной стороне вопроса, становится понятно, что проблема «слива» информации весьма и весьма актуальна: мировой ущерб в 2011 году составил $20 млрд., при этом «вклад» России составил примерно $1 млрд. По мнению экспертов из Ponemon Institute, в современном обществе роль информации стала столь велика, что в 6 случаях из 10 для банкротства компании достаточно утечки всего лишь 20% ее коммерческих секретов. Из вышеизложенной информации проистекает вполне логичный и простой вывод — сегодня компаниям жизненно необходимо защищать свои данные. В противном случае бизнес сильно рискует в скором времени оказаться «на обочине». И если необходимость защиты данных уже перешла в разряд аксиом, то уведомление клиентов об утечках информации по-прежнему остаётся дилеммой.

Буква закона

В начале 2012 года в Евросоюзе активно обсуждался законопроект, который должен был обязать компании сообщать о фактах утечки информации о пользователях в течение 24 часов после их обнаружения. Одной из причин, послужившей катализатором закона, стала своеобразная реакция корпорации Sony, которая соизволила предупредить пользователей об утечке данных 100 млн. аккаунтов лишь спустя шесть дней после инцидента. Кроме того, законопроект предусматривал наделение властных институтов, отвечающих за безопасность персональных данных граждан, правом начинать административное делопроизводство и налагать штрафы на нарушителей.

В России же основным ориентиром для операторов ПДн был и остаётся 152-ФЗ «О персональных данных». Однако, как обычно, существуют «особенности национальной защиты»: ещё со времён советского периода в менталитете наших людей укрепилось своеобразное различие в понятиях «соответствие закону» и «выполнение закона». К сожалению, пересилить желание компаний выполнять требования регуляторов «для галочки» не удаётся до сих пор. Так, согласно опросу одного из разработчиков автоматизированных систем защиты персональных данных, основным мотиватором защищать ПДн является страх потерять деньги на штрафах от регуляторов (63% респондентов). Следующим популярным ответом стало стремление «быть чистым перед законом» (41%). А вот защищать данные ради повышения лояльности клиентов и контрагентов готовы только в 1 из 5 компаний. При этом основными критериями, которыми фирма руководствуется при выборе того или иного поставщика, являются не портфолио и история успешных проектов (они важны лишь для 3% опрошенных), а стоимость (59%) и скорость реализации (49%). Таким образом, напрашивается неутешительный вывод о том, что российские компании всё-таки предпочитают защищать персональные данные на бумаге, а не в реальности...

Материал полностью читайте в № 9(50) журнала «Персональные данные».