Співавтор: Владислав Іванов, юрист ЮФ «Василь Кісіль і Партнери»
Ефективність кібератаки додатково підвищується від отримання персональних даних осіб (підбір пароля стає легшим, наявність доступу до біометричної інформації дає змогу скопіювати зовнішність та голос особи). Через це посилюються вимоги до захисту персональних даних — у Європейському союзі загальна сума штрафів за 2024 рік перевищила 1 мільярд євро.
Тому природною є подальша робота українського парламенту над євроінтеграційним проєктом Закону України «Про захист персональних даних» 8153 (далі – законопроєкт), який формує додаткові вимоги та підвищує штрафи. Приміром, в розмірі від 3% до 5% загального річного обороту такої юридичної особи, але не менше 300 тис. гривень за кожне окреме порушення вимог обробки даних.
Ми очікуємо як можливе збільшення кількості кібератак, так і посилення державного нагляду у сфері захисту інформації. Нижче про те, як можна підготуватись до такого сценарію.
1. Оцінка ризиків
Визначення і оцінка ризиків є першим кроком в управлінні ними. Законопроект передбачає обов’язковість такої оцінки ще до початку обробки даних.
Визначення обсягу обробки. Для початку необхідно визначити, які дані та яким чином обробляються. Допоможуть відповіді на наступні питання:
- Які персональні дані обробляються?
- З якою метою вони обробляються?
- Яким чином обробляються?
- Хто має доступ до цих даних?
- Які заходи забезпечення захисту персональних даних здійснюються?
Окреслення ризиків. Далі необхідно детальніше проаналізувати (1) залучення до обробки третіх осіб, (2) масові та регулярні процеси обробки, (3) випадки обробки чутливих даних та даних вразливих категорій населення, а також (4) встановити, чи можуть рішення, які мають серйозні наслідки (наприклад, відмова в кредиті чи роботі), ухвалюватись програмою автоматично на основі аналізу персональних даних. Приміром, якщо для обробки використовуватиметься стороннє програмне забезпечення зі штучним інтелектом, необхідно оцінити, чи не має місце передача даних розробникам без правових підстав. Якщо так — необхідно запобігти порушенню шляхом, наприклад, отримання згоди на передачу даних. Детальніше про заходи запобігання порушенням нижче.
2. Запобігання порушенням
Кожна обробка даних має унікальні особливості, тож заходи безпеки мають бути застосовані відповідно до потреб. Однак типовими є наступні:
1. Фізична безпека — контроль доступу до носіїв інформації, приміром:
- Охорона та захищеність приміщень (пожежна безпека, фізична охорона, контроль доступу)
- Контроль зберігання документів (сейфи, виділені приміщення, резервне копіювання)
- Контроль розміщення обладнання (планування що мінімізує несанкціонований доступ до обладнання).
2. Цифрова безпека — контроль налаштування пристроїв, приміром:
- Шифрування даних (128 AES, 256 AES, DES, 3DES, Skipjack);
- Резервне копіювання (автоматичне у межах пристрою, збереження копії на інших пристроях)
- Контроль доступу (ведення записів про доступ до інформації та її змін; захищена авторизація — двохфакторна автентифікація, RSA ключі)
- Налаштування техніки (налаштування фаєрвол та контроль портів, встановлення антивірусів).
3. Організація внутрішніх процесів — захист власних ресурсів власними силами, приміром:
- Призначення особи, відповідальної за безпеку даних (таке призначення є обов’язковим у деяких випадках як за законопроєктом, так і за чинним законодавством)
- Надання працівникам чи підрядникам доступу до інформації лише у межах, необхідних для виконання обов’язків
- Дотримання принципів приватності за проектуванням та приватності за замовченням (як буде роз’яснено нижче).
4. Організація зовнішніх процесів — налагодження взаємодії з іншими та залучення сторонньої допомоги, приміром:
- Сертифікація (приміром, ISO/IEC 27001)
- Аудити
- Перевірка підрядників
- Наявність підстав для обробки даних (обробка персональних даних може здійснюватися виключно на підставах, визначених законодавством. Такий підхід є сталим та уніфікованим для більшості країн, і це навряд зміниться найближчим часом).
Галузеві вимоги до фізичної та цифрової безпеки. Для деяких видів діяльності, встановлюються обов’язкові для дотримання безпекові вимоги. Приміром, Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, затверджене постановою правління Національного банку України № 95 вимагає обов’язкового призначення особи, відповідальної за інформаційну безпеку банку (Chief information security officer, CISO), вимоги до шифрування.
Принципи. Поряд із формуванням галузевих вимог, популярності набирає і створення загальних принципів. Законопроєкт очікує дотримання принципів приватності за проєктуванням (Privacy by design) та приватності за замовченням (Privacy by default).
- Приватність за проєктуванням. При роботі з персональними даними потрібно з самого початку дбати про їхню безпеку. Це стосується в першу чергу стадії планування.
- Приватність за замовчуванням. При роботі з персональними даними їх захист необхідно забезпечувати незалежно від скарг чи звернень конкретної особи. Якщо потенційне порушення зафіксоване, але жодна особа на нього не скаржилась — все одно варто його дослідити.
3. План реагування на порушення захисту даних
Поради вище дозволять мінімізувати ризики, втім жодна система безпеки не ідеальна. Варто підготувати план реагування на порушення захисту персональних даних. Допоможе надати відповіді на питання:
- Які механізми виявлення загроз та витоків даних вже наявні? Чи розуміють працівники, що таке порушення закону про захист даних і які можуть бути наслідки?
- Чи є в компанії чіткі правила повідомлення про проблеми з даними та реагування на такі повідомлення?
Радимо оцінку, механізми запобігання порушенням, а також порядок реагування на порушення закріплювати у документах — періодичних звітах (фіксування ризиків), положенні про обробку та захист даних (формування обов’язкових правил безпеки та механізму реагування на порушення).
