GDPR: новые правила защиты данных и их последствия [ Редагувати ]
Что такое GDPR?
Большинство пользователей обратили внимание на нескончаемый поток писем с информацией об изменении политики сбора и хранения данных от компаний, услугами которых они хотя бы раз пользовались.
Причина этого — вступление в силу "Общего регламента защиты данных Европейского союза", более известного под названием GDPR.
Нормы регламента затрагивают абсолютно каждую организацию, которая собирает и обрабатывает личные данные граждан Евросоюза, даже если она не располагается в ЕС.
Другими словами, под "удар" попадают все организации, услугами которых может воспользоваться гражданин Европейского союза (для этого достаточно, к примеру, просто оказать ему онлайн-услугу или продать билет на самолет). Все они сейчас активно работают над адаптацией бизнеса под новые реалии.
Общий регламент защиты применяется ко всем видам персональных данных – информации, которая может использоваться для идентификации личности. Она включает, как базовые данные, такие, как имя и номер полиса социального страхования, так и особые – политические взгляды и этническое происхождение.
Особые данные - это отдельный и очень чувствительный вопрос. Часто ими располагают государственные и общественные организации: от муниципальных органов до медицинских учреждений и профессиональных групп. Такие данные можно использовать во вред человеку, следовательно, есть необходимость предусмотреть их особо тщательную защиту.
Для обычных граждан вступление в силу регламента означает, что теперь их персональные данные будут под надежной защитой. Для организаций – это необходимость упорядочить процессы сбора и обработки данных и платить огромные штрафы за нарушения (до 20 млн евро или до 4% от оборота). Кроме того, ответственность теперь несут не только руководители компании, но и технические специалисты, которые непосредственно работали с данными.
Что должны предпринять организации
Так как вступление в силу GDPR касается совершенно всех, есть определенный перечень шагов, которые организации должны предпринять, чтобы соответствовать требованиям регламента. Для удобства компания Trend Micro свела их в единый список.
1. Для начала – проанализировать ситуацию и оценить риски. Какие данные организация собирает и хранит? С какой целью? Кто может получить доступ к данным? Можно ли их удалить при необходимости?
2. Оценить и обновить политику сбора данных и получения согласия пользователей.
3. Назначить ответственного за защиту данных сотрудника и обеспечить прямую связь между ним и клиентом по любым вопросам, включая необходимость удаления информации из базы.
4. Усилить меры кибербезопасноти.
5. Сохранять протоколы всех действий. GDPR указывает, что организациям необходимо хранить информацию о том, где обрабатываются личные данные, кто их обрабатывает, как они обрабатываются.
6. Пересмотреть список поставщиков – всех, кто обрабатывает ваши данные. Они также должны выполнять требования закона.
7. Поскольку, штрафы стали значительно выше для тех компаний, которые несвоевременно сообщают о нарушениях и потере данных, регулярно проверяйте потенциально опасные места.
Обработка особых категорий данных
Значительная часть GDPR посвящена принципам определения типов данных. Так, регламент запрещает обработку чувствительных данных – о расовом или этническом происхождении, политических, религиозных и философских убеждениях, генетических и биометрических данных, информации о здоровье и сексуальной ориентации.
В ситуациях, когда общественным организациям могут потребоваться такие данные, регламент указывает исключения из запрета – для судопроизводства, здравоохранения, в общественных и научных целях.
Таким образом, участники государственного сектора обрабатывают конфиденциальные данные, к которым частные предприятия обычно не имеют доступа. Очень важно, чтобы они обеспечивали безопасность всех переданных им данных.
Электронная почта является особенно слабым звеном для компаний из-за ее роли главного инструмента коммуникации, а это значит, что она по-прежнему является мишенью для компьютерных угроз.
Только в первом квартале 2018 года Trend Micro ™ Smart Protection Network ™ блокировала почти 9,5 миллиардов угроз - 82 процента из них были связаны с электронной почтой.
"Поскольку электронная почта получила массовое распространение, ее безопасность может восприниматься как должное, - отмечает Михаил Кондрашин, технический директор компании Trend Micro. - Предприятиям необходимо знать больше о рисках незащищенных почтовых систем и инвестировать в комплексные решения безопасности или в сервисы электронной почты со встроенными функциями безопасности.
Организации, будь то контроллеры или процессоры, должны внедрять самые современные меры безопасности в соответствии с GDPR для защиты личных данных, в том числе эффективные меры против вредоносного ПО. Для систем электронной почты это означает установку решений, которые защищают организации от вредоносных ссылок и вложений, фишинговых атак, BEC-мошенничества, и других распространенных угроз, связанных с электронной почтой.
Все они могут поставить под угрозу личные данные. Разумеется, все предприятия уникальны, и нет единого решения, которое автоматически защитит каждую систему от каждой атаки. Для эффективных решений требуется адаптированная и многогранная стратегия, которая сможет подстраиваться под новые угрозы и корректировать приоритеты при необходимости".
Ранее podrobnosti.ua сообщали, что в работе Skype произошел глобальный сбой.
