«Якщо Ваш бізнес пов’язаний з використанням IT та інтернету, і Ви у той чи інший спосіб отримуєте доступ до персональних даних клієнтів, рекомендуємо глибше вивчити питання відповідності Вашого бізнесу вимогам регламенту GDPR і більше дізнатися про страхування ІТ ризиків »

Існує безліч нормативних актів, що регулюють питання обробки, використання, зберігання та захисту даних. Починаючи з загальних законодавчих вимог (наприклад тим самим GDPR), закінчуючи специфічними для різних сфер (наприклад PC DSS – payment card data security standard) й інші які ми детальніше зазначали у спеціалізованій таблиці за активним посиланням: Сompliance testing standard list

У цьому ж дописі ми зупинимося більш детально на європейській практиці захисту персональних даних. Як відомо, 25 травня 2018 року в силу вступив новий регламент Євросоюзу із захисту даних — GENERAL DATA PROTECTION REGULATION. Даний регламент є загальнообов’язковим документом, що не вимагає імплементації в законодавство кожної з країн-членів, і його норми мають пряму дію.

Зауважимо, для суб’єктів, які не зареєстровані, але здійснюють діяльність на території ЄС норми регламенту також є обов’язковими, в разі, якщо такі суб’єкти прямо або побічно отримують доступ до персональних даних громадян ЄС або осіб, які перебувають на території ЄС.

Основний принцип GDPR:

Захист персональних даних фізичних осіб, незалежно від їх громадянства або місця проживання, задля збереження їх основних прав та свобод.

Для компаній, які не зареєстровані в Європейському союзі, але обробляють персональні дані в рамках ЄС, норми GDPR поширюються, в разі:

  • надання послуг або товарів для приватних осіб, які перебувають на території Євросоюзу. При цьому не має значення, чи були дані послуги надані на платній чи безоплатній основі.
  • надання послуг для компаній, які зареєстровані на території Євросоюзу і мають доступ до персональних даних.
  • маркетингові кампанії з дослідження поведінки приватних осіб на території ЄС.

Компанії, діяльність яких відповідає перерахованим вище умовам, зобов’язуються:

  • отримувати згоду від суб’єкта персональних даних. При цьому, в ряді випадків, така згода повинна бути представленою у формі окремого документу. Такий документ може бути відкликаний суб’єктом персональних даних.
  •  забезпечувати процес збору, обробки, зберігання і використання персональних даних. Такий процес повинен бути зрозумілим і прозорим для суб’єктів таких даних:
  • мати можливість видалити персональні дані в разі вимоги їх власника.
  • своєчасно виявляти і запобігати порушенню прав суб’єкта персональних даних в частині його даних.
  • інформувати власника персональних даних в разі, якщо його права були порушені в частині передбаченої GDPR.

Окрім стандартних персональних даних (П.І.Б., адреса і т.д.), регламентом вводиться окрема категорія персональних даних, звана sensitive personal data — це біометрична інформація, дані про расову приналежність, сексуальну орієнтацію, участь в різних організаціях і інша інф. Для обробки таких даних встановлено більш суворий порядок.

Згідно вимог GDPR компанії, які обробляють персональні дані в певних випадках зобов’язуються ввести в штат співробітника, відповідального за роботу з персональними даними — DPO (data protection officer). Також вводиться поняття Представника (Representative) — компанії або фізичної особи, які представляють інтереси компаній, які не зареєстровані на території ЄС і не мають свого представництва. Representative використовується для комунікації з органами управління у справах захисту персональних даних.

Чому важливо своєчасно почати підготовку до виконання вимог GDPR?

Красномовне свідчення: штрафні санкції за порушення GDPR можуть сягати 20 млн. Євро або 4% валового доходу компанії.

Одними з реальних ризиків, які можуть поставити під загрозу всю систему збору, зберігання і використання персональних даних і тим самим призвести до порушення норм Регламенту є кібер-ризики.

За даними ВВС щорічні втрати від кіберзлочинності перевищують $ 400 млрд, Так, тільки атака вірусу WannaCry принесла приблизно $ 4 млрд. збитків. Середній збиток від однієї хакерської атаки в 2017 році склав $ 349 тис., А якщо враховувати тільки великий бізнес — $ 5,9 млн.

Експерти прогнозують, що збитки від великої кібератаки можуть прирівнюватися до збитку від катастрофічних стихійних лих, таких як ураган Сенді або Катріна.

Якщо ж мова йде про локальний бізнес, то потенційні витрати компаній формуються:

  • витрати на повідомлення,
  • оплата послуг експертів для мінімізації збитку,
  • витрати на моніторинг особистих даних клієнтів,
  • витрати на розслідування події,
  • відповідальність перед Замовниками та іншими особами,
  • репутаційний збиток.

І це лише короткий перелік виплат!

Для невеликих компаній наслідки можуть бути дуже істотними: перерва у виробництві, упущені доходи, складність при оплаті постійних витрат, витрати на захист. Все це може вплинути на загальну платоспроможність компанії.

Великі ж компанії є більш цікавою мішенню для стороннього втручання. Вони можуть стати як об’єктом масштабної атаки, так і учасником подальших судових розглядів з постраждалими клієнтами, акціонерами, інвесторами.

Іншою слабкою стороною великих компаній є питання контролю: працюючи з великою кількістю інформації і персоналу, ризик втрати даних у результаті недбалих або злочинних дій співробітників дещо вищий.

Якщо тема цікава, запрошуємо на захід: Річниця GDPR: ризики, санкції, досвід

Однак втрата персональних даних може бути спричиненою не тільки недбалістю,але й завдяки ціле направленим діям зловмисників.

Джерела кібер загроз можуть бути такі:

Зовнішні джерела загроз кібератак:

  • співробітники компаній, які здійснюють шахрайські дії (крадіжку носіїв інформації або розкрадання даних)
  • «безтурботні» співробітники, які в наслідок незнання або ж по необережності відправляють невірні дані, втрачають інформацію, стають жертвою фішингу.

Внутрішні джерела загроз кібератак:

  •  зловмисники (конкуренти, злочинні групи, хакери і т.д.)
  •  державні установи, з якими відбувається обмін інформацією.
  • провайдери послуг: крадіжка даних в процесі обробки, втрати даних, несанкціонований доступ, крадіжка сервера і т.д.)
  • соціальні мережі та ін.

Дії при атаці:

  1. Оперативно зреагувати складно, але потрібно перші 24-48 годин запобігти подальшому дію кібер-загрози.
  2. Звернутись правоохоронні органи та до юристів.
  3. Підключити необхідних експертів для зменшення результатів втручання.
  4. Звернутись до PR-фахівців, щоб зменшити наслідки репутаційних ризиків перед громадськістю.

Подальші дії постраждалої від кібератаки компанії багато в чому залежать від сфери діяльності і законодавчих вимог, які накладаються відповідно до спеціалізації та географії роботи компанії. Наслідки, санкції і розмір збитків також обумовлюється перерахованими факторами. Зменшити негативний вплив і мінімізувати суми збитку в слідстві кібер-ризиків допоможуть програми Кібер страхування.

Страхування кібератак включає у себе основне і додаткове покриття

В рамках основного покриття передбачено покриття таких витрат:

  1. Витрати, пов’язані з реагуванням на інцидент: оплата експертів по кібербезпеці, які були задіяні для протидії атаці.
  2. Втрата прибутку в наслідок перерви у виробництві: якщо, в результаті злочинного втручання у роботу електронних систем, програм і веб-вузлів сталася така перерва. Страхова компанія відшкодовує втрати, виходячи з інформації про обороти компанії за попередні періоди з урахуванням планових показників.
  3. Витрати на кібер-вимагання. Компенсація викупної суми, сплачені вимагачами за розшифровку заблокованих даних (наприклад 1-С інших програм).
  4. Компенсація грошових коштів, втрачених внаслідок застосування технологій соціальної комп’ютерної інженерії (фішингу).

В додаткове (розширене покриття) договору страхування включають: 

  1. Розслідування інциденту. Оплата роботи фахівців з розслідування причин події.
  2. Витрати на комунікацію — оплата PR фахівців для зменшення репутаційних ризиків.
  3. Витрати на ведення справи: послуги юристів, адвокатів, у випадку судового розгляду через кібер-атаки оплачуються страховою компанією.
  4. Покриття штрафів. У разі виникнення штрафних санкцій з боку державних органів, пов’язаних з втратою персональних даних.
  5. Витрати на відновлення втрачених або пошкоджених даних.

Приклади збитків внаслідок кібер-ризиків:

Сервер однієї з європейських страхових компаній був викрадений разом з інформацією про більш ніж мільйон клієнтів. За отримані дані зловмисник вимагав у компанії викуп в розмірі 208 тис.дол., Погрожуючи продати ці дані через інтернет.

Компанія, що займається питаннями медичних відшкодувань направила листи 260 тисячам пацієнтів, вказавши на конверті їх секретний соціальний номер. В результаті компанії довелося заплатити 250 тисяч доларів, за внесення змін в систему, щоб замінити розголошені номера на ідентифікаційні номери, а також, за проведення аудиту розсилок і навчання менеджерів питанням конфіденційності.

Цікаві дописи:

Тестування Безпеки, Види Вразливостей

Реальний Приклад Необхідності Тестування Безпеки

Підсумок

Ми навели тільки невелику кількість прикладів, страхування кібер-ризиків здатних істотно знизити фінансові наслідки від недбалості співробітників, так і дії зовнішніх ризиків на ІТ-інфраструктуру підприємства будь-якої сфери.

Даний вид страхування ІТ ризиків в Україні тільки розвивається, тому рекомендуємо звертатися до незалежних експертів у сфері страхування, які зможуть допомогти розібратися у всіх особливостях даного виду страхування і укласти договір.

Related posts

Leave a Comment

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.