РБК Компании
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Черная пятница на РБК Компании: скидки до 100 000₽ и подарки
Забрать скидку
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Черная пятница на РБК Компании:
скидки до 100 000₽ и подарки
Забрать скидку
Главная Red Digital 1 августа 2024

Деловой этикет в digital: что такое цифровая ответственность

Как защищать данные клиентов, чем опасна их утечка и почему проблема не только в штрафах, рассказала Мария Высоцкая, управляющий директор Red Digital
Деловой этикет в digital: что такое цифровая ответственность
Источник изображения: Adobe Stock
Мария Высоцкая
Мария Высоцкая
Управляющий директор Red Digital

Путешественница, яхтсмен, страстный любитель Италии, маркетолог, руководитель рекламного агентства Red Digital

Подробнее про эксперта

Практически все компании сегодня так или иначе взаимодействуют с информацией о своих клиентах. Для продвижения рекламных кампаний, для формирования персональных предложений, для поиска аудитории, похожей на текущих потребителей — для всего нужны персональные данные. И работа с ними требует от бизнеса принимать на себя ответственность за безопасность и этичность использования этих данных в цифровом пространстве. 

Персональные данные под угрозой

Чем активнее технологии проникают во все сферы жизни, тем выше становятся риски для информационной безопасности — в том числе для безопасности персональных данных. Только за 2021-2023 годы количество утечек персональных данных в России выросло почти в 40 раз. Как сообщал Роскомнадзор, в 2021 году таких инцидентов насчитывалось всего 4, а уже в 2022 году их число увеличилось до 140. За январь-июль 2023 года произошло более 150 случаев утечек.

Другую статистику приводит ГК InfoWatch. В 2023 году объем утекших персональных данных вырос на 60% к 2022 году — 1,12 млрд записей против 702 млн. Количество самих инцидентов сократилось, но объемы кражи увеличились. При этом, по словам пресс-службы InfoWatch, для более чем 35% инцидентов 2023 года объем утекших данных неизвестен. То есть масштабы проблемы могут быть еще больше.

От киберугроз и утечек персональных данных пользователей не застрахованы даже крупные компании. За подобные инциденты бизнес чаще всего привлекают по КоАП. Основной закон, который регулирует вопрос защиты персональных данных в России, — ФЗ-152. И по мере увеличения объемов данных и роста сопутствующих рисков законодательство в этой области ужесточается.

В 2020 году Госдума приняла закон о дополнительной защите данных: он требует получения согласия от пользователя на распространение данных. Молчание или бездействие к согласию не приравниваются. Также операторы персональных данных должны удалять персональные данные пользователя по первому запросу. Позже, в 2022 году, опять добавились новые меры защиты: операторы должны моментально сообщать о кибератаках и утечках в уполномоченные органы. Вдобавок появились ограничения на обработку биометрических данных несовершеннолетних пользователей.

Сейчас по КоАП юрлица платят штраф до 100 тыс. рублей, а если утечка повторная — то до 300 тыс. рублей. В ближайшее время стоимость штрафа может существенно вырасти, также может быть введена уголовная ответственность за работу с данными, которые получены незаконно.

Все это заставляет бизнес еще ответственнее подходить к вопросу защиты персональных данных, которые собирает, хранит и использует: инвестировать больше денег в информационную безопасность, уделять больше внимания обучению сотрудников.

Цифровая ответственность бизнеса

Недостаточная защита персональных данных для бизнеса опасна не только финансовыми потерями из-за штрафов. Она также создает угрозу репутационных рисков, которые могут обернуться еще более крупными убытками, чем любой штраф.

Во-первых, если случилась утечка и информация о ней попадает в медиаполе, это подрывает доверие к компании и со стороны клиентов — в том числе потенциальных, и со стороны партнеров. Такой эффект может создать даже утечка данных в небольших объемах и без огромного ущерба для клиентов: они не пострадали от условных спам-звонков или взятых на их имя кредитов.

Во-вторых, даже если компания еще не столкнулась с реальной проблемой, если она не дает своим клиентам понять, что заботится об их цифровой безопасности, это снижает уровень доверия к ней. Современный пользователь интернета хорошо осведомлен о том, какие риски он несет, когда делится своими персональными данными — от номера телефона до данных паспорта. И он хочет знать, что компания, которой он предоставляет эту информацию, будет ответственной, осторожной и честной в отношении работы с данными.

Поэтому бизнесу необходимо проявлять цифровую ответственность: придерживаться норм, согласно которым бизнес принимает решения в вопросах, связанных с цифровыми проблемами — включая вопросы защиты данных. Это касается как их безопасности, так и этичности использования.

Решение вопросов безопасности стоит с разработки внутренней политики обработки персональных данных: этого требует закон, ст. 18.1 ФЗ-152. А также необходимо получить от клиента согласие на обработку персональных данных, которое подписывает клиент. Оно разрабатывается также в соответствии с ФЗ-152, требования к соглашению детально прописаны в ст. 9.

В частности, соглашение включает в себя пояснение, какие именно персональные данные будут собираться и использоваться — например, ФИО, телефон, адрес электронной почты и так далее. Также в этом договоре обязательно прописывается цель обработки данных, полный комплекс действий, которые входят в обработку — сбор, систематизация, хранение, обновление и так далее. Кроме этого нужно указывать срок действия договора, способ отзыва согласия.

По нашему опыту, одним из первых шагов должен быть пересмотр договоров с пользователями, потому что здесь часто включается опасный человеческий фактор. Один раз сделали договор и не правим, даже если поменялись цели сбора персональных данных.

Кроме этого компания должна регистрироваться как оператор персональных данных: необходимо обратиться в Роскомнадзор. Сделать это нужно до того, как начать собирать персональные данные с клиентов.

А с точки зрения этики работы с данными компании необходимо прописать во внутренней политике несколько базовых принципов. Во-первых, это честный сбор данных — не закупать на рынке данные конкурентов, не крутить информацию на аудиторию конкурентов. Во-вторых, это уважение прав и интересов клиентов — не злоупотреблять их доверием и использовать данные аккуратно, не запускать бесконечные обзвоны ботами. 

Сейчас есть компании, которые перепродают данные посещений сайтов или данные геолокации, в том числе конкурентам. Например, человек заходит на сайт застройщика, смотрит квартиру и оставляет заявку. А через 10 минут ему уже звонит совершенно другой застройщик, чей ЖК находится через дорогу от того, что смотрел человек, и предлагает свои квартиры. Что произошло? Данные, которые находились в заявке на звонок, были украдены и куплены застройщиком-конкурентом. Это неэтично и вдобавок незаконно, но поймать виновного сложно.

Как защитить персональные данные в эпоху ИИ

Я убеждена, что формирование информационной безопасности — комплексный процесс, который требует от бизнеса в первую очередь разработать локальные нормативные акты: в частности, посвященные персональным данным. Это уже упомянутая выше политика обработки данных, а также положения об их уничтожении и о внутреннем аудите работы с персональными данными.

Помимо этого большую роль играют организационные меры: это обучение сотрудников работе с персональными данными, назначение ответственных лиц. В крупной компании может даже быть отдельная должность DPO (Data Protection Officer).

Необходимо регулярно проводить инвентаризацию обработки персональных данных и информационных систем — систематический учет и анализ оборудования, инфраструктуры и ПО. Это позволит понимать, куда уходят данные и выявлять возможные риски их утечки до того, как произойдет опасный для репутации бизнеса инцидент.

В идеале компании сначала провести аудит силами независимого эксперта, который оценит текущую систему защиты данных в целом и скажет, где сейчас есть проблемы, насколько они серьезны, где и какие риски присутствуют. И уже по результатам аудита нужно подбирать подходящие решения и инструменты, разрабатывать или корректировать стратегию информационной безопасности и цифровой ответственности.

Развитие ИИ и нейросетей и их активное использование в разных задачах, в том числе в маркетинге, требует повышенной осторожности при работе с персональными данными. Если компания применяет ИИ-системы, взаимодействующие с данными клиентов, для снижения рисков она должна быть основана на двух базовых принципах.

Первый — минимизация объема. Если какие-то данные можно не обрабатывать с помощью ИИ, этого не стоит делать. Чем меньше информации получит ИИ без ущерба качеству выполнения задачи, тем лучше.

Второй — прозрачность и контроль. Важно всегда понимать, какие именно данные передаются ИИ, с какой конкретно целью, в каком объеме, как ИИ-система будет работать с данными. Если она недостаточно прозрачна, передавать в нее данные небезопасно. И все этапы работы ИИ с данными должны строго контролироваться.

Рекомендации по обеспечению цифровой безопасности

По оценкам специалистов в кибербезопасности, 90% утечек данных происходят из-за человеческого фактора. Где-то проблема в невнимательности сотрудника, а где-то — в желании обогатиться или навредить работодателю. Поэтому для обеспечения цифровой безопасности в первую очередь необходимо позаботиться о снижении рисков, связанных с действиями сотрудников. 

Во-первых, сотрудники должны знать нормы цифровой гигиены, понимать правила обращения с персональными данными — если есть к ним доступ, выучить меры предосторожности и придерживаться их. Проводите регулярное обучение сотрудников и аттестацию.

Сотрудники должны понимать основные риски — как могут утечь данные, почему, и знать способы их предотвращения. Разъясните сотрудникам не только технические аспекты вроде фишинговых ссылок, но и методы социальной инженерии: как именно мошенники могут обмануть человека, как этому противостоять.

Во-вторых, сотрудники должны понимать свою ответственность за нарушение правил цифровой безопасности и обращения с персональными данными. Мы в компании разработали локальные нормативные акты, в которых прописаны как границы ответственности, так и система наказания. Сотрудники должны знать, что грозит, например, за преднамеренный слив данных. Это может быть не только увольнение, но и убытки, установленные в компании согласно ст. 11 ФЗ-98.

С технической точки зрения бизнесу очень важно регулярно обновлять инструменты информационной безопасности. Угрозы постоянно эволюционируют, постепенно в системе защиты появляются так называемые «дыры» — уязвимости. Если раньше компания пользовалась иностранным решением, и вендор ушел из России, а значит, возникла проблема с обновлением софта, необходимо искать новый инструмент — с регулярным обновлением.

Выбор инструментов и систем защиты — индивидуален для каждой компании. Нужно понимать, как именно на компанию могут воздействовать, какие риски для нее актуальнее и опаснее всего. Одним из инструментов может стать качественное шифрование данных, что снижает риск их несанкционированного использования в случае утечки.

А также необходимо заранее определить, какие действия компания будет предпринимать при утечке данных — помимо обязательного уведомления уполномоченных органов. И что будет делать, если клиент отзовет согласие на обработку и хранение его персональных данных.

Защитить персональные данные клиентов с абсолютной гарантией невозможно. Тем не менее, бизнесу стоит понимать последствия недостаточного внимания к вопросам цифровой ответственности. И заботиться о том, чтобы выстроить эффективную систему кибербезопасности, а также обращаться с используемыми данными осторожно и честно.

Интересное:

Новости отрасли:

Все новости:

Профиль

Дата регистрации16.07.2015
Уставной капитал100 000,00 ₽
Юридический адрес г. Санкт-Петербург, вн.тер.г. Муниципальный округ Аптекарский Остров, пр-кт Медиков, д. 7 литера Ж, часть помещения 1-Н, помещ. №202, №308
ОГРН 1157847244312
ИНН / КПП 7813226310 781301001
Среднесписочная численность29 сотрудников

Контакты

E-mail AKULOVICH@MOEVIDEO.COM
ГлавноеЭкспертыДобавить
новость
КейсыМероприятия