В условиях стремительного роста цифровизации бизнеса и участившихся кибератак вопросы обработки и защиты персональных данных приобретают критическое значение. После вступления в силу поправок, ужесточающих ответственность за утечки и незаконное использование ПДн, многие компании оказались не готовы к новым требованиям.

Ольга Трофимова, руководитель направления консалтинга в К2 Кибербезопасность, рассказала о текущем состоянии дел, обозначила основные проблемы и предложила практические рекомендации, которые помогут организациям снизить риски и выстроить эффективную систему защиты данных:

«По нашим данным, далеко не все компании готовы к вступившим в силу поправкам, ужесточающим ответственность за утечки и незаконное использование персональных данных. За последние полгода мы провели несколько анонимных опросов ИТ- и ИБ-директоров крупного и среднего бизнеса. Согласно их результатам, меньше половины (44%) организаций пересмотрели систему защиты ПДн с учетом изменений законодательства и актуальных киберугроз. Большинство опрашиваемых заявило, что адаптация системы защиты к новым реалиям может занять около года.
Причин много: от нехватки бюджетов и компетентных ИБ-специалистов до вызовов импортозамещения. Бизнес часто пренебрегает и такой обязательной мерой, как регулярный аудит процессов обработки и защиты ПДн. Лишь 34% проводят его не реже 1 раза в 3 года, как того требует законодательство.
По нашему опыту, для защиты ПДн организации в первую очередь используют организационные меры защиты: разработку регламентирующих документов и обучение сотрудников компании положениям политики обработки и защиты ПД. Набор используемых технических мер защиты ограничивается, как правило, базовым набором средств, напрямую требуемых законодательством: антивирусы, межсетевые экраны и т.д.
При этом мы видим, что с учетом роста киберугроз и ужесточения законодательства компании начинают более осознанно относиться к вопросам кибербезопасности в целом и встраивать ее в общую бизнес-стратегию.
К сожалению, полностью исключить вероятность возникновения утечек ПДн, как и любых других инцидентов ИБ, невозможно. При этом компании могут существенно снизить риски таких утечек, если будут руководствоваться практическим подходом к кибербезопасности — инвестировать в реальную защиту своей инфраструктуры, исходя из целей бизнеса, а не только в силу требований законодательства. Для максимального предупреждения утечек данных необходима комплексность: подготовленная и правильным образом настроенная ИТ-инфраструктура, адекватный набор современных средств защиты информации, круглосуточный мониторинг и реагирование на инциденты, команда опытных специалистов и системный подход к управлению ИБ.
Не стоит забывать и про соблюдение основных принципов, зафиксированных в законодательстве РФ об обработке и защите ПДн. В первую очередь про исключение обработки избыточного набора данных».