Что такое шифрование?
Шифрование — это процесс кодирования информации с целью предотвращения несанкционированного доступа. В случае кражи или утечки зашифрованные данные будут недоступны для прочтения без соответствующего ключа.
Большинство пользователей не знают, что много информации уже защищается с помощью технологии шифрования. Например, онлайн-магазины и Интернет-банкинг не работали бы без хорошего шифрования. Шифрование предназначено для защиты средств и личной информации. В корпоративной среде шифрование следует использовать для защиты интеллектуальной собственности и инновационных разработок компании.
Узнать больше
Под интеллектуальной собственностью и инновационными разработками подразумевают продукты или услуги конкретной компании, а также методы или процессы, которые используются для успешной продажи товаров и обеспечения их эффективной работы в течение жизненного цикла. Кроме этого, они включают бизнес-планы и маркетинговые планы на следующий год. Эту информация киберпреступники могут использовать для получения финансовой выгоды.
Большинство организаций, как правило, собирает и обрабатывает информацию о клиентах и сотрудниках. Согласно Общего регламента Европейского Союза о защите данных (GDPR) каждая компания обязана защищать доступ к подобной конфиденциальной информации.
GDPR и шифрование
Согласно GDPR к персональной информации относятся имена и фамилии, фотографии, электронные адреса, телефонные номера, номера банковских счетов, отпечатки пальцев и голоса. Общий регламент о защите данных (GDPR), который действует во всех странах-членах ЕС с 25 мая 2018 года, описывает шифрование как защиту от репутационных рисков.
Представьте, что один из сотрудников теряет USB-ключ со списком клиентов предприятия. Согласно GDPR, компания должна сообщить возможным жертвам из списка об инциденте. Для некоторых пользователей это может стать причиной смены поставщика.
Что делать в случае утечки персональных данных?
Сообщить об утечке конфиденциальной информации
Вы должны сообщить о нарушениях безопасности данных в соответствующий уполномоченный орган. Это касается не только масштабных утечек информации, но и незначительных ошибок. Например, если один из сотрудников ошибочно отправил письмо не на нужный адрес электронной почты.
72 часа
Вы должны сообщить соответствующий наблюдательный орган об инциденте в течение 72 часов с момента обнаружения утечки или кражи конфиденциальных данных. Однако если этот срок не соблюден, задержка в сообщении (то есть причины, о которых не было сообщено в течение 72 часов) должна быть оправданной.
Предупредить возможных жертв
В более серьезных случаях, кроме уведомления органа по защите данных, необходимо также предупредить лиц о несанкционированном доступе к их персональной информации. Однако этот шаг не нужен, если инцидент произошел после того, как компания осуществила соответствующие технические и организационные меры безопасности — например, шифрование, что делает файлы непонятными для любого, кто не имеет права доступа к ним.
Возможные штрафные санкции GDPR
В случае невыполнения обязательного уведомления о нарушении защиты данных в соответствующий наблюдательный орган компания должна выплатить штраф в размере до €10 млн или до 2% от годового мирового оборота предприятия за предыдущий финансовый год. Кроме этого, орган защиты информации может также принять следующие меры:
- временное или окончательное ограничения на обработку персональной информации пользователей, в некоторых случаях даже запрет;
- удаление персональных файлов.
Это означает, потерю всех контактов существующих клиентов компании, или же временный запрет на хранение таких данных.
Нарушение безопасности данных касается предприятий всех размеров
Многие предприятия считают, что они не уязвимы к кибератакам или нарушениям защиты данных через их небольшой размер и ограниченные активы. Однако по результатам исследования IDC, малый и средний бизнес становится жертвой в более чем 70% случаев нарушений безопасности. Стоит отметить, что компаниям не нужно сообщать о кибератаке, если утечка личной информации не была зафиксирована.
Из-за ошибочного представления, что другие предприятия не были жертвами кибератак компании часто боятся сообщить о случившемся инциденте.
Стоит отметить, что первый год после вступления в силу GDPR наблюдательные органы в Европе все еще знакомились с новыми правилами. Вполне вероятно, что со временем количество штрафов увеличиться.
Поэтому специалисты ESET рекомендуют организациям сразу сообщать о возможных инцидентах, сотрудничать с контролирующими органами и обучать работников основным правилам информационной безопасности, а также использовать технологию шифрования для защиты корпоративных файлов.
Решение ESET для шифрования корпоративных данных
ESET Endpoint Encryption обеспечивает защиту конфиденциальных данных с помощью шифрования файлов, папок, электронных сообщений, сменных носителей, а также всего диска. Кроме этого, простое в использовании решение для шифрования предоставляет полное удаленное управление ключами шифрования рабочих станций и не требует развертывания сервера.
