8 (800) 200-87-17
Прием заказов 24/7
info@likesoft24.com
Каталог товаров
0Корзина
Каталог товаров
8 (800) 200-87-17
info@likesoft24.com
0
Главная
Статьи
Как не допустить утечки персональных данных

Как не допустить утечки персональных данных

RSS
1 декабря 2023
javascript:void(null);https://...


К персональным данным относится любая информация, которая прямо или косвенно относится к определенным физическим лицам.

Юридически предусмотрены такие категории персональных данных:

  • Общие – фамилия, имя, отчество, дата рождения, адрес проживания, паспортные данные, информация об образовании и месте работы, а также уровне доходов.
  • Биометрические, включая отпечатки пальцев, радужную оболочку глаз, ДНК и другие индивидуальные особенности.
  • Персонифицированные данные о благосостоянии.
  • Медицинские данные, включая информацию о состоянии здоровья и назначенных процедурах.
  • Специальные – политические и религиозные убеждения, сексуальная ориентация, расовая и национальная принадлежность.

Российское законодательство позволяет организациям выполнять сбор и обработку персональных данных россиян – как своих сотрудников, так и нынешних и потенциальных клиентов.

Сбор этой информации обычно выполняется в таких целях:

  • Профилактика разглашения государственной и корпоративной тайны.
  • Защита имущества.
  • Прием на работу, ведение учета сотрудников.
  • Определение оснований для установления заработной платы.
  • Проверка эффективности работы сотрудников.
  • Выявление причин для продвижения по карьерной лестнице.
  • Формирование персональных предложений для клиентов и потенциальных клиентов.

Российское законодательство налагает на операторов, осуществляющих сбор и обработку персональных данных, ответственность за их защиту. Утечка разных видов персональных данных может нанести существенный ущерб. Поэтому мы решили рассказать вам о том, как избежать утечки персональных данных.

Актуальность защиты персональных данных

Несанкционированный доступ посторонних лиц к персональным данным может повлечь за собой существенный ущерб.

Для человека, персональные данные которого попали в руки злоумышленников, могут наступить такие риски:

  • Финансовые – персональные данные можно использовать для получения несанкционированного доступа к банковским счетам, мошенничества, шантажа.
  • Репутационные – разглашение медицинской и другой чувствительной информации может повлечь существенный урон репутации жертвы такой утечки. Персональная информация может также быть использована для получения доступа к социальным сетям и другим сервисам, что приведет к утечке новых персональных данных.
  • Карьерные – попадание некоторой чувствительной информации в общий доступ может ухудшить карьерные перспективы и даже стать причиной увольнения.
  • Межличностные – разглашение отдельных категорий информации может стать причиной разлада в семейных и дружеских отношениях.
  • Физические – информация об адресе и передвижениях человека может быть использована для планирования нападения на него.
  • Организационные – даже если утечка и не нанесла прямого ущерба, жертве придется найти время, что устранить ее последствия.

Если жертвой утечки персональных данных становится организация, то для нее могут наступить в первую очередь финансовые и репутационные риски. Прямые и косвенные потери от утечек могут превышать суммы в несколько миллионов рублей, особенно если утечка происходит накануне важных сделок. А следующей за утечкой расследование может снизить эффективность работы компании и даже временно парализовать некоторые направления ее деятельности.

Если действия или бездействие компании привело к утечке персональных данных сотрудников или клиентов, то на такую компанию может быть наложена административная ответственность. Налагаемые штрафы могут достигать величины в 18 миллионов рублей.

Распространенные механизмы утечек

Основные способы, с помощью которых мошенники и другие злоумышленники получают доступ к персональным данным:

  • OSINT – очень многие пользователи сами делают свои персональные данные достоянием общественности, размещая адреса, место работы, историю передвижений и другие данные в социальных сетях.
  • Социальный инжиниринг – мошенники могут выдавать себя за представителей банка или других организаций и выведывать необходимые данные в беседе с потенциальной жертвой.
  • Фишинг – создание сайтов, дублирующих дизайн социальных сетей, банков и других организаций позволяет злоумышленникам собирать пароли, адреса электронной почты и другие персональные данные.
  • Взлом баз данных организаций. Пользуясь уязвимостями в программном обеспечении и несовершенными методами защиты данных, хакеры периодически получают доступ к базам данных государственных и коммерческих организаций, в которых хранятся в том числе и персональные данные их сотрудников, клиентов и других категорий лиц.
  • «Слив» от сотрудников организаций. Часто такие действия происходят в целях получения неправомерной выгоды или по неосторожности.

Также ранние утечки персональных данных могут приводить к последующим утечкам. Так, если пользователь использует одну и ту же комбинацию «пароль + логин» на разных ресурсах, то при взломе одного из его аккаунтов злоумышленники могут затем получить доступ и к другим.

Советы по обеспечению безопасности персональных данных

На уровне организации хорошо себя показывают такие политики:

  • Аудит бизнес-процессов, в которых задействованы персональные данные.
  • Создание должностных и нормативных инструкций с описанием политик в сфере защиты персональных данных.
  • Заключение соглашений о неразглашении с сотрудниками, добавление раздела о конфиденциальности в трудовые договора.
  • Проведение регулярных тренингов в сфере кибербезопасности.
  • Контроль действий удаленных сотрудников.
  • Разграничение прав доступа к персональной информации – так, современные CRM системы позволяют отображать для каждого из сотрудников только ту часть персональных данных клиентов, которая нужна ему для исполнения должностных обязанностей.
  • Защита корпоративных сетей от внешних воздействий.
  • Ограничение возможности устанавливать сторонние программы и использовать неавторизированные носители информации на рабочих станциях.
  • Ведение учета носителей данных и журнала инцидентов, которые могут спровоцировать утечку данных.
  • Ограничение физического доступа к серверам
  • Разработка и имплементация политик по работе с персональными данными клиентов и сотрудников.
  • Применение программных средств для защиты персональных данных – шифровальных и антивирусных программ.

Чтобы защитить свои персональные данные, каждый пользователь может:

  • Подключить двухфакторную аутентификацию на всех ресурсах, которыми он пользуется. Особенно важно защитить банковские приложения, электронную почту и социальные сети.
  • Использовать надежные и разные пароли для доступа ко всем аккаунтам.
  • Изучать все ссылки на признаки фишинга.
  • Избегать размещения чувствительной информации в социальных сетях.
  • Не сообщать персональные данные другим людям без подтверждения их полномочий.
  • Не открывать вложения и не переходить по ссылкам из электронных писем от незнакомых адресатов.

Технологии получения несанкционированного доступа к персональным данным совершенствуются каждым днем. Поэтому следует всегда быть в курсе последних трендов в сфере кибербезопасности и учитывать новые угрозы при планировании своей работы.

Приобретая ПО в компании Likesoft24 вы автоматически получаете скидку на следующий товар.