Чем бизнесу грозит утечка пользовательских данных и как себя от этого обезопасить

Посмотрим правде в глаза: любой бизнес, будь то поисковик, дейтинг-приложение или доставка еды, собирает персональные данные. Как минимум — сведения о геолокации и предпочтениях пользователей

С ростом количества персональной информации в онлайне растет и угроза ее утечки. Вместе с inc рассказываем, чем это может грозить бизнесу и как обеспечить конфиденциальность пользовательских данных.

Личность за $50

По подсчетам InfoWatch, за прошлый год утекло около 100 млн записей персональной и платежной информации россиян. В большинстве случаев это произошло по вине сотрудников компаний, которые собирали эти данные.

Однако настоящее беспокойство вызывает не сам факт утечки, а возможные злоупотребления этой информацией со стороны рекламодателей, хакеров и киберпреступников. По данным «Лаборатории Касперского», за $50 в сети можно купить цифровую личность: аккаунты в соцсетях, банковские реквизиты и другие данные, которыми пользователь поделился с сайтами и приложениями. А скан паспорта россиянина в даркнете продавался всего за $10.

В ряде стран Запада уже вполне сформировалась судебная практика по защите персональных данных. Так, в Великобритании пользователь в случае утечки может обратиться в суд с требованием выплатить ему около £20 тыс. По GDPR для бизнеса верхняя граница штрафа составляет €20 млн, или 4% от мирового оборота. Например, финансовая организация Equifax, ставшая широко известной благодаря скандальной утечке данных 147 млн человек, потратила на урегулирование этой проблемы $425 млн, а Facebook за скандал с Cambridge Analytica получил штраф в размере $5 млрд.

Опасные облака

С ростом использования облачных сервисов появляется всё больше законодательных актов о конфиденциальности персональных данных. Такие законы уже приняли 128 из 194 стран, а некоторые еще и установили правила, подобные GDPR.

Бизнесу приходится учитывать все эти изменения в законодательстве стран его присутствия. Одно из тонких мест — сервисы, которые перемещают данные в другие страны или предоставляют доступ к ним из стран с ограничительными законами о конфиденциальности и защите данных. Компания, использующая облако для хранения электронной информации, может оказаться вовлеченной в расследование или судебный процесс. В результате конфиденциальность данных ее пользователей может оказаться под угрозой.

Так как можно обезопасить персональные данные? Например, у Microsoft есть модель совместной ответственности, которая обеспечивает безопасную инфраструктуру для бизнеса, оборудование и возможность безопасных вычислений.

Над решением проблем конфиденциальности и владения данными работают и другие компании, например Solid и Soveren.io. С их помощью онлайн-сервисы смогут продемонстрировать свой «дружественный к конфиденциальности» способ ведения бизнеса и вернуть потребителям полный контроль над их личными данными.

«Право на забвение»

Чтобы не нарваться на неприятности, компаниям следует заключать соглашения о совместном использовании данных. Такой документ определяет цели и устанавливает стандарты обмена данными, а также помогает всем сторонам четко понимать свои роли и обязанности.

Часто такие соглашения излишне длинны и сложны. Но это та самая политика в отношении обработки персональных данных.

Самое главное, чтобы в соглашении содержались четкие ответы на следующие вопросы.

Какие организации будут участвовать в обмене данными?

Делимся ли мы данными вместе с другим контроллером?

Какими элементами данных мы собираемся поделиться?

Каковы наши законные основания для обмена?