25 мая Европа переключится на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (General Data Protection Regulation, GDPR). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 г. Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому компаниям, ориентированным на европейский или международный рынок, следует к ним отнестись внимательно.
Димитрий Сирота, генеральный директор и соучредитель ИБ-компании BigID, рассуждает на портале InformationWeek о последствиях введения в действие положений GDPR и о выгодах, которые от этого сможет извлечь бизнес-аудитория.
Но прежде, чем коснуться выгод, эксперт обращает внимание на ужесточение ответственности за нарушение правил обработки персональных данных — штрафы достигают 20 млн. евро или 4% годового глобального дохода компании. Основанием для принятия документа послужило желание властей Евросоюза наделить своих жителей фундаментальными правами в отношении их личной информации. После ввода в действие GDPR они смогут получить лучшее представление о том, как бизнес распоряжается их данными.
По данным международной ассоциации профессионалов в области защиты информации IAPP, чтобы соответствовать требованиям GDPR, компании из списка Fortune Global 500 готовы потратить примерно 7,8 млрд. долл. Для этого им потребуется пройти соответствующую процедуру комплаенса (compliance).
Данные — ключ к пониманию клиента
Сирота не советует рассматривать эти расходы лишь как потери. По большей части они будут связаны с пересмотром регламентов хранения данных и политик доступа к ним, но эти расходы не идут ни в какое сравнение с выгодами, которые компании получат после вступления в действие GDPR. Но для того, чтобы найти эти выгоды, нужно применять целостный подход к пониманию сути документа.
«GDPR — это сложный документ и изучение каждого пункта по отдельности нарушит общую картину восприятия данных. Вы должны видеть горизонт данных, понимать, какие есть данные и где они хранятся. Исходя из этого, компания может устанавливать права доступа субъекта данных, получать от него согласие на обработку, реагировать на спорные ситуации, управлять записями обработанных данных и многое другое», — сказал эксперт.
Эксперт сравнивает данные с маслом для двигателя: «В двигатель можно залить любое масло, но лучше всего он будет работать только тогда, когда залито подходящее конкретно ему масло. Так и с данными. Ими можно владеть, их можно складировать и защищать, но их настоящая ценность раскрывается лишь тогда, когда приходит понимание скрытой в них сущности». Он также добавил, что в целях соблюдения прозрачности GDPR предусматривает удаление дубликатов списков, картографической информации, секретных ключей и других данных.
Экономия на страховых рисках и избежание подачи гражданских исков
В последние годы рынок кибербезопасности показывает взрывной рост. Ожидается, что к 2020 г. годовые страховые брутто-премии совокупно вырастут до 7,5 млрд. долл. Компании, которые строго следят за соблюдением GDPR, смогут существенно сэкономить на ежегодных взносах страховщикам, но для этого они обязаны уведомлять регулирующие органы (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными, в течение 72 часов после их обнаружения.
Показательным примером нелицеприятного отношения к пользователям является Yahoo. В октябре прошлого года компания задним числом раскрыла, что в результате хакерской атаки в 2013 г. были взломаны 3 млрд. аккаунтов. В итоге Yahoo пришлось столкнуться с массой гражданских исков по обвинению в сокрытии факта взлома, утечки личных данных, а также с требованиями полного возмещения понесенного ущерба. Возможно, Yahoo удалось бы избежать исков, если бы она своевременно сообщила о взломе аккаунтов. После 25 мая компании будут обязаны идти на такие шаги.
Превентивная защита репутации бренда
Yahoo — не единичный случай сокрытия фактов внешнего вторжения в личное пространство пользователей. Подобные случаи произошли с Equifax, Uber, Target и другими организациями, но всех их объединяет одно — компании не хотели признавать взлом своих инфраструктур, опасаясь, что это ударит по их репутации. По словам Сироты, следование жестким требованиям регуляторов может оказать благоприятное воздействие на бизнес: он научится ценить приватность данных, каталогизировать их по степени важности и соответственно защищать их.
Особое внимание нужно уделить превентивным методам защиты данных, таким как минимизация данных (ограничение сбора и хранения информации, которая имеет важное значение для бизнес-операций) и токенизация данных (удаление конфиденциальных данных и их замена псевдо-токеном).
Сведение к минимуму затрат по реагированию на инциденты
Как показывает проведенное в 2017 г. институтом Понемона исследование, проблемы, связанные с реагированием на инциденты, являются основным препятствием в обеспечении устойчивости организаций к угрозам кибербезопасности. Эксперты оценили ущерб от одного глобального инцидента примерно в 3,6 млн. долл., или 141 долл. из расчета за одну запись данных. Как уже говорилось, новые правила предписывают уведомлять об инцидентах не позднее 72 часов. С одной стороны, компаниям по-прежнему придется тратить средства на борьбу с последствиями инцидентов, с другой — пользователи будут оперативно осведомлены о рисках потери данных и начнут предпринимать ответные действия. Прозрачность данных устранит расходы, связанные с выявлением круга пострадавших.
Выводы
После введения норм GDPR одним из основных преимуществ для бизнеса станет улучшенный учет данных потребителей. В конечном счете, это поможет установить доверительные отношения между компаниями и их клиентами. Что касается экономических выгод, то новое законодательство поможет бизнесу лучше защитить себя и переосмыслить ценность потребительских данных.