В мае . Это правило стран-членов Евросоюза кардинально изменило ландшафт защиты персональных данных и поставило этот жизненно важный аспект информационной безопасности в центр внимания.
После нескольких месяцев затишья по поводу GDPR в июле этого года защита данных снова вернулась на центральные полосы СМИ. British Airways и Marriott получили огромные штрафы на и соответственно за нарушения данных, с которыми они столкнулись в прошлом году. Facebook также от итальянских властей, в то время как в Канаде инсайдер украл персональные данные 2,7 миллионов человек.
Массовая кража данных
Теперь персональные данные снова в центре внимания. В Болгарии и финансовых данных 5 миллионов граждан из Национального налогового агентства (NRA). Этот инцидент стал самым крупным нарушением данных в Болгарии с населением около 7 миллионов человек.
Среди украденных данных – имена, сведения о доходах, налоговые декларации, платежи по медицинскому страхованию и многое другое.
Злоумышленник с ноу-хау
В прошлый вторник полиция провела обыск в доме подозреваемого 20-летнего молодого человека, после чего он был арестован. У него были обнаружены устройства, которые содержали зашифрованную информацию.
По сведениям из болгарской прессы, подозреваемый работал исследователем в сфере информационной безопасности, осуществляя поиск уязвимостей в ИТ-сетях для предотвращения кибер-атак. В 2017 году он уже попадал в новости, когда обнаружил важные дыры безопасности на сайте Министерства образования Болгарии.
До своего ареста он также был очень активен в соцсетях, регулярно публиковал статьи по информационной безопасности и о взломах.
Проблемы информационной безопасности страны
Данная кибер-атака вновь вызвала дебаты о слабых стандартах информационной безопасности страны. Премьер-министр Болгарии сказал, что арестованный был «волшебным» хакером, и что страна должна нанять для своей защиты такие «уникальные мозги», как у арестованного.
Тем не менее, некоторые эксперты, которые проверяли украденные данные, заявили, что используемые тактики были достаточно простыми, и это больше указывает на недостаточность адекватной защиты, нежели на великие способности хакера.
Ведущая бизнес-организация страны BIA предупредила о возможных недостатках защиты данных у NRA еще несколько лет назад. Она потребовала, чтобы NRA отправила подробную информацию об украденных документах каждому пострадавшему человеку и компании.
Большие штрафы
В соответствии с положениями GDPR, NRA может столкнуться со штрафом до 20 миллионов евро или 4% своего общего годового оборота. Санкция будет зависеть от числа пострадавших лиц, а также от объема украденной информации.
Хотя в рамках GDPR уже были значительные штрафы, но мы пока не видели санкций, которые бы достигали максимально возможного уровня - 4% от общего годового оборота компании.
Как защитить свою организацию от штрафа
GDPR применяется к любой компании, которая обрабатывает персональные данные граждан Евросоюза. Таким образом, соблюдение его требований является обязательным условием во избежание экономических потерь и ущерба репутации, которые могут стать следствием инцидента с нарушением данных.
Для оптимизации процессов соблюдения требований этого закона, имеет модуль, специально разработанный для того, чтобы помочь соответствовать требованиям GDPR: *. Этот модуль имеет множество преимуществ:
- Обнаружение и аудит: Он автоматически идентифицирует корпоративные файлы, которые содержат персонально идентифицируемую информацию, а также пользователей, сотрудников или подрядчиков, компьютеры и серверы, которые могут иметь доступ к этой информации.
- Мониторинг и обнаружение: Отчеты и оповещения в реальном времени, предлагаемые модулем Panda Data Control, о несанкционированном и подозрительном использовании, передаче и извлечении файлов с персональными данными, помогают внедрить проактивные средства контроля доступа и обработки.
- Упрощенное управление: Модуль Panda Data Control – это модуль, который интегрирован в Panda Adaptive Defense и Panda Adaptive Defense 360. Он не требует того, чтобы компании внедряли еще что-либо, кроме стандартной защиты, а потому данный модуль можно быстро и сразу активировать без сложных и громоздких настроек.
- Демонстрация руководству, ответственному в компании за защиту данных (DPO) и всем другим сотрудникам вашей организации строгих мер безопасности для защиты всей персонально идентифицируемой информации, находящейся в состоянии покоя, используемой или перемещаемой между конечными устройствами и серверами.
Новые нарушения данных и штрафы, которые мы видели в этом месяце, не будут последними. Новые случаи нарушений требований GDPR и кражи персональных данных появятся в ближайшее время. Поэтому если ваша компания работает с персональными данными граждан Евросоюза, убедитесь в том, чтобы не стать следующей жертвой, с помощью Panda Data Control.
* Panda Data Control представляет собой модуль для решения ИТ-безопасности Panda Adaptive Defense . В настоящее время этот модуль пока не работает с персональными данными на русском языке или языках стран бывшего СССР. Данный модуль рекомендуется использовать компаниям, которые работают с персональными данными граждан Евросоюза для обеспечения требований GDPR .
Оригинал статьи:
Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
