Можно ли защититься от утечек персональных данных

Основатель и технический директор DeviceLock DLP Ашот Оганесян написал для Forbes статью о том, насколько реально защититься от утечек персональных данных. Самое главное — в нашем пересказе.

Зачем хакерам нужны персональные данные? Почему не корпоративные или военные секреты?

Секреты сложно продать. Персональные данные стоят дешево, но продаются большими объемами и всегда найдут покупателя. Их можно использовать для мошенничества и фишинга (в том числе телефонного) или продать спамерам.

Причина утечек данных — кибератаки?

Не всегда. Данные утекают отовсюду, поскольку часто лежат в открытом доступе или в архивах на сетевых ресурсах, находятся в открытых базах данных, передаются между информационными системами без шифрования или авторизации. Злоумышленники просто сканируют интернет на предмет «открытых дверей» и собирают «валяющиеся» данные. Под удар попадают не только отдельные пользователи, но и целые компании.

Можно ли обезопасить себя от утечек персональных данных?

Нет. Даже если вы не пользуетесь интернетом, ваши данные все равно могут утечь. Например, если вы показываете паспорт в турагентстве или платите картой в магазине, эти данные могут попасть к третьей компании, которая выполняла для этих предприятий что-либо на аутсорсе.

Невозможно выбрать компанию, которая относится к персональным данным лучше, чем остальные. Системы аудита нет, критериев оценки тоже.

Что делать бизнесу?

Заняться информационной безопасностью. Например, проверить с помощью автоматизированных аудитов, не торчит ли наружу очередная копия базы с клиентскими данными. Помните, что потеря или обнаружение открытых данных, скорее всего, станет публичной. О ней напишут СМИ и в соцсетях, и удар по репутации будет чувствительным.

Власти могут решить эту проблему?

ЕС сделал первый шаг — GDPR предусматривает для компаний, допустивших утечки, штраф до 20 млн. евро, или 4% от глобального годового дохода. В России пока ситуация другая: некоторые законы как будто специально созданы для того, чтобы данными было легче торговать.