В течение нескольких недель перед вступлением в силу нового европейского законодательства по защите персональных данных GDPR в европейских агентствах по защите данных уже накопились жалобы по нарушению этого нового регламента. И санкции, конечно же, не заставили себя долго ждать. Facebook, который находится по пристальным вниманием последние несколько месяцев, получил первый крупный штраф за несоответствие стандартам обработки данных, установленных новым законодательством.
Факт заключается в том, что прошло уже два месяца с даты вступления в силу GDPR, а защита данных по-прежнему вызывает головную боль руководителей многих компаний как в Европе, так и за ее пределами. Мы не только видели случаи преднамеренной кражи данных, но также мы видели случаи, когда данные были потеряны в результате внутренней небрежности в отношении информационной безопасности.
И теперь мы знаем последствия одного из случаев злоупотребления персональными данными, который вызвал наибольший интерес у общественности за последние несколько месяцев: Facebook и Cambridge Analytica. Спор, который коснулся свыше 87 миллионов пользователей, чьи персональные данные были собраны консалтинговой компанией без их предварительного разрешения, а затем проданы третьим лицам, которые предположительно использовали их в целях президентской кампании Дональда Трампа.
Теперь Офис информационного комиссара (ICO) в Великобритании наложил штраф на Facebook – это первый штраф, который социальная сеть получила в связи с этим скандалом. Штраф в размере 500 000 фунтов стерлингов (порядка 564 тысяч евро) – это максимум, который предусмотрен законодательством Великобритании по защите данных. Этой суммы, скорее всего, недостаточно, чтобы серьезно повлиять на финансы Facebook: компания способна зарабатывать эту сумму каждые пять с половиной минут.
IOC постановил, что Facebook не смог защитить данные своих пользователей, и что он не был прозрачен в вопросе о том, как он использовал эти данные и какие интересы стояли за злоупотреблением этими данными. IOC также возбудит уголовное дело против SCL Elections, которая является родительской компанией Cambridge Analytica.
Итак, каков же результат всего этого? Социальная сеть должна заплатить штраф, хотя, несомненно, в сравнении с масштабами скандала размер штрафа выглядит весьма скромным. Стоит помнить, что GDPR может накладывать штрафы в размере до 4% годового оборота компании. Это означает, что если бы данный инцидент решался в рамках законодательства Европейского союза, то Facebook мог быть оштрафован на сумму 1 581 863 215 евро, а это значительно более крупная сумма по сравнению с тем, что соцсеть получила от Великобритании.
Это не единичный случай
В то время пока спор вокруг Facebook оккупировал многие новостные заголовки, существует множество других случаев злоупотребления данными, которые стали известны в последние несколько месяцев.
В сентябре 2017 года Equifax был вовлечен в одну из крупнейших утечек данных в истории, когда были украдены персональные данные 142 миллионов людей. Если мы предположим, что компания могла бы получить максимально возможный штраф в рамках GDPR, то Equifax мог бы столкнуться с астрономическим штрафом в размере 124 миллионов долларов США.
Еще более масштабный случай с точки зрения объема пострадавших данных был с Exactis, американской маркетинговой компанией. В конце июня база данных с 340 миллионами индивидуальных записей, содержащими персональные данные, была доступна в Интернете без авторизации. Это означает, что любой мог бы получить доступ к ней и ее содержимому.
Timehop был вовлечен в другой крупный инцидент, в результате которого 4 июля были раскрыты данные 21 миллиона пользователей. Хакер, который украл данные, был способен получить доступ благодаря аккаунту облачного хранилища, которое не использовало мульти-факторную авторизацию. Компания заявила, что она связалась с должностными лицами по защите данных сразу же после обнаружения нарушения данных.
Понятно, что экономические штрафы, которые являются результатом несоблюдения положений GDPR, вовсе не пустяки, и что несмотря на возросший интерес к теме защиты данных, проблемы вокруг обработки персональной информации (PII) не собираются исчезать в одночасье. Но…
Как можно избежать проблем с GDPR?
Если вы беспокоитесь о ИТ-безопасности вашей компании, то вас может заинтересовать Panda Adaptive Defense – решение с опциями расширенной информационной безопасности, которое содержит технологии защиты конечных устройств (EPP) и технологии обнаружения атак и реагирования на них (EDR) вместе с сервисами 100% классификации и Threat Hunting. Сочетание этих технологий и сервисов предоставляет вам детальный обзор всех активностей на каждом конечном устройстве, полный контроль над запущенными процессами и уменьшение поверхности атаки.
Panda Adaptive Defense имеет модули, которые специально созданы для предотвращения доступа, модификации и извлечения внешней и внутренней информации. Модуль Panda Data Control способен обнаруживать, отслеживать и контролировать неструктурированные персональные данные на конечных устройствах: от неактивных данных до данных, которые используются или перемещаются.
Решение предотвращает неконтролируемый доступ к конфиденциальным данным вашей компании и помогает соответствовать новым правилам защиты данных, предусмотренных регламентом GDPR.
