Обзоры, интервью, свежие новости и изменения в законодательстве — оперативно в нашем Telegram-канале. О самых важных событиях — в нашей группе ВКонтакте.

Аспекты безопасности персональных данных

От года к году данные занимают все большую долю в списке ключевых целей злоумышленников. В исследовании компании Positive Technologies говорится, что в I квартале 2023 года доля атак с кражей персональной информации составляла 59% для частных лиц и 51% для организаций, а в 2024 году их количество выросло на 13% для частных лиц (72%), и на 3% для организаций (54%).

Для современного человека персональные данные — это не только «ключ» доступа к цифровым сервисам, но и актив, которым он распоряжается в соответствии со своими личными убеждениями, выбирая наиболее безопасные компании.

Пренебрежение правом клиента на сохранность его персональной информации со стороны бизнеса, а также недостаточное внимание к развитию инфраструктуры информационной безопасности, приводит к утечкам. В мире и в России этой проблеме уделяется повышенное внимание.

Можно выделить основные компоненты надежной политики конфиденциальности, это:

• прозрачная система управления персональными данными;
• возможность персонализировать согласие под потребности клиента;
• доступная система информирования о способах защиты.

При таком подходе компания, а также ее контрагенты и клиенты становятся партнерами. Доверие между ними основывается на ответственном отношении к информации и четком понимании выгод, прав и обязанностей всех сторон.

Шаги для сохранения конфиденциальности

Внедрить высокоэффективную систему защиты данных бывает сложно, но еще сложнее обеспечить безопасность информации при непрерывной работе 24/7. Трудоемкости также добавляет постоянно изменяющийся ландшафт киберугроз, схемы злоумышленников и беспрецедентная скорость появления новых уязвимостей.

Рассмотрим систему защиты персональных данных на примере Сбера, который занимается ее развитием комплексно. Для этого в постоянном взаимодействии работают различные внутренние структуры, обеспечивающие не только реализацию правовых, организационных и технических мер защиты, но и развитие культуры бережного обращения с личной информацией как среди сотрудников, так и среди клиентов.

Системнозначимой частью защиты организации, клиентов и их данных в Сбере является разработанная банком платформа кибербезопасности. Она является фундаментом для создания и развития продуктов кибербезопасности с применением технологий искусственного интеллекта.

Для контроля за правомерной обработкой персональных данных в компании создан Институт DPO (Data Protection Office). При разработке процессов одним из этапов становится прохождение согласования с сотрудниками этого подразделения.

Экосистема методов по повышению киберпросвещения

Значимым элементом стратегии ESG компании является повышение культуры конфиденциальности среди работников и клиентов. Для этого Институт DPO сформировал экосистему методов по повышению культуры приватности населения, среди элементов которой можно выделить:

• Бесплатный онлайн-ресурс Sber Bank Privacy

Ресурс сочетает в себе информацию об обработке личной информации и полезные советы для ее защиты. В свою очередь, эксперты этой области найдут для себя уникальные рекомендации по построению системы защиты персональных данных.

• Бесплатный онлайн-курс «Вселенная персональных данных: защита в интернете»

Материалы курса составлены из понятных кейсов, объясняющих, как не потерять контроль над личными данными в интернете, а также, как себя вести, столкнувшись с мошенниками. Ресурс предлагает унифицированный и эффективный подход к образованию. Отличительная особенность — геймификация, усиливающая вовлеченность пользователей и эффективность представленных материалов.

• Сторителлинг-проект «DPO на связи»

Проект направлен на обучение и эмоциональное вовлечение в процесс. Истории статей строятся вокруг героев — людей разных возрастов, статусов, профессий. Они попадают в ситуации, где их персональные данные и они сами оказываются в опасности. В пояснении от экспертов рассказывается: почему так произошло, что делать в таких обстоятельствах и как не попасть в неприятности снова.

Повышая культуру приватности важно не только рассказывать об инструментах защиты, но и убедить в том, что опасности могут настигнуть каждого, поэтому всегда нужно быть начеку.

• Профессиональный журнал о приватности Sber Privacy Journal

Развивая культуру приватности, важно также оглядываться на рынок и находить единомышленников. Для этого выпускается журнал Sber Privacy Journal, о приватности и безопасности личной информации. Его целями стали: объединение экспертов по персональным данным, предоставление возможности авторам поделиться своим мнением, а также формирование площадки для обсуждения проблем в области приватности и лучших практик их решения.

Как развить культуру приватности среди сотрудников

При развитии компании нельзя забывать и о людях, благодаря которым это возможно. И поэтому, вопросы комфорта и безопасности, развития и поддержки сотрудников являются актуальными и одними из самых значимых. Работник, не видящий смысла и ценности защиты личных данных, может стать причиной кадровых, финансовых и репутационных потерь для организации.

Развитие культуры приватности среди сотрудников преследует следующие цели:

• снижение толерантности к внутреннему мошенничеству;
• развитие навыков работы с персональными данными;
• повышение ответственности в этой сфере.

Для достижения этой цели возможно выполнение ряда проектов, таких как:

• Создание корпоративного сообщества

Создание пространства, где каждый сотрудник может открыто высказаться, поднять волнующий вопрос и рассказать о своем опыте. В нем каждый участник получает актуальные новости и советы для защиты персональных данных на работе и в жизни.

• Проведение вебинаров

Поддержка навыков и знаний — залог понимания сотрудниками важности вопросов защиты информации. Каждый новый сотрудник должен пройти обучение, в рамках которого его знакомят с порядком работы с персональными данными, раскрывая какие действия допустимы в их отношении, а какие запрещены и будут наказываться в соответствии с внутренними нормативными документами и законодательством России. Для действующих сотрудников также проводятся обучающие ежеквартальные вебинары.

• Регулярные киберучения

Знания без практики могут создать ложное чувство безопасности и защищенности, поэтому киберучения — еще одна эффективная практика создания более осознанного отношения к персональным данным. Она представляет собой процесс отработки знаний в ситуациях, приближенных к реальным кибератакам. Другими словами, сотрудник на практике сможет увидеть, как поведет себя он сам и его команда в реальной ситуации, а затем разобрать ошибки, если они были.

В качестве примера можно привести тестовые фишинговые рассылки: письма, которые содержат условную вредоносную ссылку, пройдя по которой сотруднику предлагается ввести свои учетные данные от рабочего аккаунта. Результатом киберучений станет процент сотрудников, которые открыли вложение, прошли по ссылке и ввели свои данные.

Стремительное развитие технологий также усиливает значение защиты персональной информации, как ценнейшего ресурса современности. Внедрение систем искусственного интеллекта, острая потребность компаний в больших данных, гонка инноваций — не только открывают беспрецедентные возможности для роста, но и поднимают вопросы о последствиях для человека и бизнеса.

Каждая компания сегодня, продолжая ESG-трансформацию, должна помнить о защите персональных данных. В поиске баланса между развитием и безопасностью только выбор в пользу этичности и доверительного отношения с контрагентами и клиентами приведет к построению человекоцентричного будущего, в котором каждый будет относиться к данным бережно: с уважением и защитой.