Ваши данные защищены за пределами офиса? В этом месяце вступают в силу Общие правила защиты данных (GDPR), влияющие на сбор и обработку личных данных резидентов ЕС в любой организации по всему миру. В этой статье специалисты по соответствию GDPR предоставят вам несколько рекомендаций относительно защиты бизнеса.
Если в вашей компании числятся удаленные сотрудники, вы наверняка уже знаете, как важно обеспечивать корректное, целесообразное и правомерное использование информации. Общие правила защиты данных (GDPR) вступают в силу с мая 2018 года, поэтому очень важно убедиться в четком соответствии этим требованиям. В противном случае придется столкнуться со значительным материальным ущербом и потерей репутации. Итак, как можно защитить данные в мобильных условиях, сохранив при этом преимущества гибкого графика?
1. Обучайте своих сотрудников
Говоря языком GDPR, ваша компания — «владелец информации», а ваши удаленные сотрудники — «обработчики информации». «Это значит, что они играют такую же роль в обеспечении безопасности данных предприятия, как и вы, — считает Джон Слотер, управляющий директор Data Comply(1). — Соответствие GDPR должно стать приоритетным вопросом в ежедневной практике, особенно в случае удаленной работы. Четкие директивы об использовании защищенных сетей имеют ключевое значение, поэтому объясните сотрудникам, какие данные допускается использовать только в безопасной среде». Слотер советует предприятиям регулярно обучать, повторять обучение и проверять знания сотрудников, чтобы точно понимать, насколько они осознают важность вопроса и выполняют ли ваши предписания.
Также важно напоминать сотрудникам, что общественный Wi-Fi совершенно небезопасен. «Работник не должен проводить банковские операции в публичной сети и иметь доступ к конфиденциальной рабочей документации, — объясняет Энди Кейс, главный технический директор по обнаружению угроз и ответственный специалист Redscan(2). — Убедите сотрудников использовать только защищенные точки доступа Wi-Fi или подключаться к сети компании через защищенное соединение (VPN). Безопасно подключаться к Интернету при помощи 4G (или электронного ключа), который предоставляет сотрудникам надежное защищенное соединение с провайдером услуг».
2. Защищайте все данные паролем
По правилам GDPR в случае существенного нарушения защиты данных будет налагаться штраф до 4 % от глобального оборота компании. Единственное исключение — предоставление доказательства, что данные были зашифрованы надлежащим образом.
«Нет такого понятия, как надежная защита — даже НАСА уже взламывали, — рассказывает румын Андрей Хангану, автор комплекта инструментов для документации GDPR в Европе(3). — Однако надежные пароли и соответствующие способы шифрования помогут защитить ваши данные от неавторизованных пользователей».
У большинства предприятий есть специальное программное обеспечение для шифрования приводов и сохраненных на них файлов, но это не значит, что удаленные устройства защищены автоматически. Хангану рекомендует распространять среди сотрудников ПО шифрования для ноутбуков, мобильных телефонов и персональных компьютеров. Тогда всем пользователям потребуется PIN-код или пароль для доступа и расшифровка данных в читабельной форме. Все работники должны обзавестись привычкой защищать паролем любую информацию.
3. Берегитесь вредоносного ПО
Атаки вирусов и вредоносного ПО помогают собирать и отслеживать ваши данные, такие случаи описаны в стандарте GDPR. «От вредоносного ПО очень сложно защититься, однако многие компании считают, что это не так, пока не попадутся сами», — рассказывает Нигель Тозер, директор маркетинговых решений компании Commvault(4) в Европе, Ближнем Востоке и Африке. Он рекомендует перепроверять уровень защиты на устройствах ваших сотрудников, наличие ОС с наиболее актуальными обновлениями и антивирусным ПО.
«Человеческие ресурсы — это всегда слабейшее звено в безопасности организации. Если один сотрудник просто щелкнет вредоносную ссылку или забудет обновить систему, последствия могут быть плачевными, — предупреждает Энди Кейс. — Поэтому очень важно осознавать риски кибербезопасности и регулярно проводить обучение сотрудников. Особенно это касается удаленных работников, которые могут работать с корпоративными данными и услугами с разных устройств, из разных мест и сетей».
Также предприятия должны проводить регулярные встречи с ИТ-отделом, куда сотрудники будут приносить свои мобильные устройства для проверки уровня безопасности, обновлений и улучшений.
Есть ли у вашей организации стратегия по сохранению безопасности данных за пределами офиса?
4. Помните о визуальной безопасности
«В технологически продвинутом мире легко забыть о более простых способах воровства данных вашей компании», — напоминает Орлаг Келли, адвокат и главный управляющий квалифицированными специалистами по обучению и консультированию в GDPR(5).
В эксперименте, проведенном 3М, секретный хакер в 88 % случаях смог получить конфиденциальную информацию, просто подсматривая через плечо в чужой экран(6).
«Убедите сотрудников в необходимости контролировать, кто может заглянуть им через плечо, когда они работают вне офиса», — говорит Келли. Возможно, вы захотите воспользоваться фильтром конфиденциальности, который крепится к экрану и скрывает его по бокам от любителей подглядывать.
5. Учитывайте ограничения облачного хранилища
Как показало исследование института Ponemon, 44 % корпоративных данных, хранящихся в облачных средах, не управляются и не контролируются ИТ-отделом. Выяснилось, что использование облачных служб может привести к потере 20 миллионов долларов(7).
«Особенно важно уметь выбрать надежного провайдера облачного хранилища, — считает Нигель Тозер. — Узнайте, как провайдер справляется с утечкой данных, поскольку они также несут за это ответственность. Если ваши данные используются в пределах Европы, облачный провайдер должен обеспечить их сохранность в соответствии с местными требованиями. Также необходимо убедиться, что все данные, покидающие границы Европы, надлежащим образом защищены согласно GDPR».
Тозер подчеркивает, что если провайдер облачных услуг — это обработчик данных, то ваша компания — контроллер. То есть именно вы несете ответственность за проверку учетных данных вашего оператора и предоставление гарантий по обеспечению соответствующей технической и организационной защиты данных по новым европейским правилам.
6. Уважайте конфиденциальность своих сотрудников
«Если вы используете инструменты или технологии для отслеживания продуктивности удаленных сотрудников, вам необходимо объединить свои добрые намерения со стремлением защитить их конфиденциальность, — говорит Джордж Харрис, консультант по GDPR в DMPC Ltd(8). — Неприемлемый контроль персонала сложно оправдать потребностями бизнеса».
Согласно стандарту GDPR, контроль устройств сотрудника (путем отслеживания нажатия клавиш или курсора) — вопрос коварный и идет вразрез с правами сотрудника на конфиденциальность. Как указано в разделе 29 GDPR «Рабочая группа»: «Технологии мониторинга средств коммуникации могут […] иметь отрицательное воздействие на права работников организовывать и проводить встречи с сотрудниками, а также конфиденциально связываться друг с другом (в том числе на право поиска информации)(9)».
7. Составьте план на случай взлома данных
«К утечке данных может привести все что угодно — атака вредоносного ПО на чьем-нибудь ноутбуке, забытый рабочий телефон сотрудника в поезде или случайная групповая отправка данных по электронной почте (использование поля «Копия» вместо поля «Скрытая копия»)», — сообщает Джеймс Уокер, управляющий директор Jaw Consulting UK, специализирующийся на кибербезопасности, защите данных и конфиденциальности(10).
В первую очередь вам захочется принять профилактические меры, однако, по мнению GDPR, здесь важнее всего оперативность. «У организации есть 72 часа на то, чтобы сообщить пострадавшим лицам и соответствующим контрольным органам об утечке данных, в том числе о последствиях утечки и мерах, принятых или предложенных для уменьшения этих последствий», — поясняет Уокер.
Помните о штрафе в 4 %? Вам придется заплатить этот штраф, если вы нарушите соответствие требованиям. «Вы можете не уведомлять пострадавших и контрольные органы, если докажете, что утечка данных не угрожает правам и свободам людей», — говорит Уокер. — Если вы надлежащим образом зашифровали данные, вы сможете избавиться от последствий утечки и предоставления отчета».
Источники:
(1) https://datacomply.co.uk/
(2) https://www.redscan.com
(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/
(4) https://www.commvault.com /
(5) https://www.briefed.pro/
(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/
(7) https://www.ibm.com/security/data-breach
(8) http://dmpc.ltd.uk/
(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf
(10) https://www.jawconsulting.co.uk
