Що таке шифрування?
Шифрування — це процес кодування інформації з метою запобігання несанкціонованого доступу. У разі викрадення або витоку корпоративної зашифровані дані будуть недоступні для прочитання без відповідного ключа.
Більшість користувачів не знають, що багато інформації вже захищено за допомогою технології шифрування. Наприклад, онлайн-магазини та Інтернет-банкінг не працювали б без хорошого шифрування. Шифрування призначене для захисту коштів та особистої інформації. У корпоративному середовищі шифрування слід використовувати для захисту інтелектуальної власності та інноваційних розробок компанії, а також інших конфіденційних даних.
Дізнатися більше
Під інтелектуальною власністю та інноваційними розробками розуміють продукти чи послуги конкретної компанії, а також методи або процеси, які використовуються для успішного продажу товарів та забезпечення їх ефективної роботи протягом життєвого циклу. Крім цього, вони включають бізнес-плани та маркетингові плани на наступний рік. Цю інформацію кіберзлочинці можуть використати для отримання фінансової вигоди.
Більшість організацій, зазвичай, збирає та обробляє інформацію про клієнтів та співробітників. Відповідно до Загального регламенту Європейського Союзу про захист даних (GDPR) кожна компанія зобов’язана захищати доступ до подібної конфіденційної інформації.
GDPR та шифрування
Відповідно до GDPR до персональної інформації відносяться імена та прізвища, фотографії, електронні адреси, телефонні номери, номери банківських рахунків, відбитки пальців та голоси. Загальний регламент про захист даних (GDPR), який діє у всіх країнах-членах ЄС з 25 травня 2018 року, описує шифрування як захист від репутаційних ризиків.
Уявіть, що один зі співробітників втрачає USB-ключ зі списком клієнтів підприємства. Відповідно до GDPR, компанія повинна повідомити можливих жертв зі списку про інцидент. Для деяких користувачів це може стати причиною зміни постачальника.
Що робити у випадку витоку персональних даних?
Повідомити про витік конфіденційної інформації
Ви повинні повідомити про будь-які порушення захисту даних у відповідний уповноважений орган. Це стосується не тільки масштабних витоків інформації, а й незначних помилок. Наприклад, якщо один із співробітників помилково відправив лист не на потрібну адресу електронної пошти.
72 години
Ви повинні повідомити відповідний наглядовий орган про інцидент протягом 72 годин з часу виявлення витоку або викрадення конфіденційних даних. Однак якщо цей строк не дотриманий, затримка в повідомленні (тобто причини, про які не було повідомлено протягом 72 годин) має бути виправданою.
Попередити можливих жертв
У більш серйозних випадках, крім повідомлення органу з захисту даних, необхідно також попередити осіб про несанкціонований доступ до їх персональної інформації. Однак цей крок не потрібен, якщо інцидент стався після того, як компанія здійснила відповідні технічні та організаційні заходи безпеки — наприклад, шифрування, що робить файли незрозумілими для будь-кого, хто не має права доступу до них.
Можливі штрафні санкції GDPR
У разі невиконання обов’язкового повідомлення про порушення даних у відповідний наглядовий орган компанія має виплатити штраф у розмірі до €10 млн або до 2% від річного світового обороту підприємства за попередній фінансовий рік. Крім цього, орган захисту інформації може також прийняти наступні заходи:
- тимчасове або остаточне обмеженняна обробку персональної інформації користувачів, в деяких випадках навіть заборона;
- видалення персональних даних.
Це означає, втрату всіх контактів існуючих клієнтів компанії, або ж тимчасову заборону на зберігання таких даних.
Порушення безпеки даних стосується підприємств усіх розмірів
Багато підприємств вважають, що вони не уразливі до кібератак чи порушень захисту даних через їх невеликий розмір та обмежені активи. Однак за даними дослідження IDC, малий та середній бізнес стає жертвою у більш ніж 70% випадках порушень безпеки. Варто зазначити, що компаніям не потрібно повідомляти про кібератаки, якщо витік особистої інформації не був зафіксований.
Через помилкове уявлення, що інші підприємства не ставали жертвами кібератак компанії часто бояться повідомити про інцидент, який стався.
Варто зазначити, що перший рік після набуття чинності GDPR наглядові органи в Європі все ще ознайомлювалися з новими правилами. Цілком ймовірно, що з часом кількість штрафів збільшиться.
Тому спеціалісти ESET рекомендують організаціям відразу повідомляти про можливі інциденти, співпрацювати з контролюючими органами та навчати працівників основним правилам інформаційної безпеки, а також використовувати технологію шифрування для захисту корпоративних файлів.
Рішення ESET для шифрування корпоративних даних
ESET Endpoint Encryption забезпечує захист конфіденційних даних за допомогою шифрування файлів, папок, електронних повідомлень, змінних носіїв, а також всього диску. Крім цього, просте у використанні рішення для шифрування надає повне віддалене управління ключами шифрування робочих станцій та не потребує розгортання сервера.
