Что такое шифрование и что оно защищает?
Шифрование – это процесс кодирования информации для предотвращения доступа к ней посторонних лица. В случае утечки зашифрованных данных вашей компании любой, кто украдет или обнаружит эти данные, не сможет их прочитать, поскольку без правильного ключа дешифрования их невозможно понять.
Многие не знают, что значительная часть информации уже защищена технологией шифрования. Например, интернет-магазины и интернет-банкинг никогда бы не работали, не имея хорошего шифрования. Шифрование предназначено для защиты денежных средств и персональной информации. Что касается бизнес-среды, шифрование следует использовать для защиты интеллектуальной собственности и ноу-хау вашей компании, а также персональных данных, которые вы обрабатываете в своей компании.
Подробнее
На продукты или услуги, созданные вашей компанией, могут распространяться интеллектуальная собственность и ноу-хау. Они могут также распространяться на методы, которые вы используете для успешной продажи этих продуктов, или процессы, применяемые для обеспечения их эффективного функционирования в течение всего их жизненного цикла. Точно так же они могут распространяться на бизнес-планы и маркетинговые планы на следующий календарный год. Вся эта информация может быть монетизирована или использована в корыстных целях кибер-злоумышленником или вором.
Персональная информация, которую собирает и обрабатывает ваша компания, может включать информацию о ваших клиентах и сотрудниках. По закону вы обязаны защищать доступ к таким данным, как это предусмотрено Общим регламентом ЕС по защите данных (GDPR).
GDPR и шифрование
В GDPR дается определение персональных данных. К ним относятся имена и фамилии, фотографии, адреса электронной почты, номера телефонов, номера счетов, отпечатки пальцев и голоса. Этот регламент, который действует во всех государствах-членах ЕС с 25 мая 2018 года, описывает шифрование как предотвращение репутационного риска.
Представьте, что один из ваших сотрудников потерял USB-ключ, содержащий список ваших клиентов. В соответствии с GDPR об инциденте вам следует проинформировать всех лиц из этого списка. Они могут счесть эту уязвимость данных основанием для смены поставщика. Однако обязательство уведомить этих лиц не применяется, если их персональные данные зашифрованы.
Знаете ли вы, что делать, если в вашей компании произошла утечка персональной информации?
Обязательство уведомить надзорный орган:
Вы должны сообщать о любой уязвимости персональных данных в соответствующий орган по защите данных. Это обязательство применяется не только к крупным инцидентам, таким как большие утечки из баз данных, но также и к незначительным ошибкам. Например, если вы ошибочно смешали содержимое конвертов, предназначенных для двух разных получателей, вы обязаны сообщить об этом.
72 часа
Вы должны уведомить соответствующий надзорный орган об инциденте в течение 72 часов с момента, когда вам стало известно о нем, а не с момента, когда инцидент произошел. Однако, если этот срок не соблюден, задержку в уведомлении (то есть причины, по которым об уязвимости не было сообщено в течение 72 часов) необходимо будет обосновать.
Обязательство уведомить пострадавших лиц
В более серьезных случаях, помимо уведомления органа по защите данных, вы также обязаны сообщить лицам, чьи данные были затронуты инцидентом. Однако этот шаг не требуется, если инцидент произошел после того, как в вашей компании были приняты соответствующие технические и организационные меры безопасности, в частности те, которые делают персональные данные неразборчивыми для любого лица, не имеющего права доступа к ним. Довольно сложный юридический термин «технические меры» подразумевает шифрование.
Возможные штрафы, связанные с GDPR
Несоблюдение обязательства сообщить об уязвимости данных соответствующему надзорному органу наказывается штрафом в размере до 10 млн евро или, если речь идет о компании, до 2% от ее поступлений по всем странам мира в предшествующий финансовый год. Помимо высокого финансового штрафа, орган по защите данных может также предусмотреть следующее:
- временное или окончательное ограничение, включая запрет на обработку персональных данных
- удаление персональных данных
А это означает, что вы можете либо потерять все контакты своих существующих клиентов, либо вашей компании может быть временно запрещено хранить такие данные.
Уязвимость данных затрагивает предприятия всех размеров
Многие компании считают, что они не могут стать объектами кибератак или утечки данных вследствие своего небольшого размера и ограниченных активов. К сожалению, это не так: по мнению аналитиков Международного центра данных (МЦД), в более 70% случаев нарушения систем безопасности жертвами становятся предприятия малого и среднего бизнеса. Однако можем вас успокоить: компаниям не нужно сообщать о кибератаках, если ни взлома, ни утечки персональных данных не произошло.
Из-за ложного впечатления, что другие компании с кибератаками не сталкиваются, компании могут чувствовать себя неловко или опасаться негативного внимания, если сообщат об атаке.
По наблюдениям ESET, в течение первого года после вступления в силу GDPR надзорные органы в Европе все еще знакомились с новыми правилами. Вполне вероятно, что теперь они будут налагать более крупные штрафы.
Однако опыт показывает, что, если компании, которые столкнулись с этой проблемой, сотрудничают с надзорными органами, они, как правило, получают более мягкие наказания. Кроме того, если ваша компания не является интернет-гигантом, то вы вряд ли получите максимальный штраф.
Поэтому мы рекомендуем организациям всегда соблюдать обязательство по уведомлению, сотрудничать с надзорными органами и рассказывать своим сотрудникам о том, что такое персональные данные и как их следует защищать.
Решения шифрования от ESET
ESET Endpoint Encryption защищает конфиденциальные данные на корпоративных устройствах с помощью шифрования. Оно обеспечивает шифрование файлов и папок, электронных писем и вложений, съемных носителей, виртуальных дисков, а также всего диска. Оно просто в использовании, предлагает полное дистанционное управление ключами шифрования и не требует сервера для развертывания. Получите 30-дневную бесплатную пробную версию и попробуйте ESET Endpoint Encryption в вашей компании.