Две трети утечек персональных данных происходят из небольших компаний

Согласно изменениям в законодательстве Великобритании, Департамент комиссара по информации (это автономный госорган при министерстве юстиции) получил право налагать большие штрафы на компании, допустившие утечку персональных данных. Если раньше размер штрафа составлял только 5000 фунтов стерлингов, то теперь он может достигать 500 000 фунтов или -- для небольших компаний -- 10% от максимального годового оборота. Ожидается, что новая законодательная мера заставит британские компании серьезно повысить уровень информационной безопасности.  

Компания Shred-it, занимающаяся уничтожением офисных документов, приветствует нововведение. Еще бы, ведь ценность предоставляемой фирмой услуги заключается в удовлетворении требований законодательных актов, и их маркетинговая политика крутится вокруг этой идеи. По словам представителя Shred-it, принятие новых правил -- знак прогресса Соединенного Королевства в развитии культуры защиты данных. Он отметил, что наиболее уязвимыми являются малые компании -- именно они часто становятся жертвами воров информации. Вероятно, из них как раз и состоит клиентская база Shred-it -- в больших корпорациях есть свои службы безопасности.  

Роберт Гюйс, исполнительный директор Shred-it, заявил: "Число мошенников, охотящихся за чужими персональными данными, растет. Поэтому сейчас информационная безопасность важна для бизнеса больше, чем когда-либо раньше. Она позволяет сохранить финансовую стабильность и корпоративную репутацию. Эти новые меры свидетельствуют о срочной необходимости малым компаниям инвестировать в защиту персональных данных, относящихся к сотрудникам и клиентам".

"В частности, наиболее привлекательной целью для кражи конфиденциальной информации является малый бизнес. У больших организаций есть выделенные ресурсы для обеспечения приватности данных, но у малых фирм нет средств и компетенций для эффективного противодействия угрозам. Те небольшие фирмы которые пренебрегают компетентной и надежной защитой своих персональных данных, заплатят высокую цену за свою небрежность" -- предупреждает он.

В январе консалтинговое агентство 7Safe опубликовало годовой отчет о расследовании инцидентов, связанных с уязвимостями в защите данных. Согласно этому документу, 66% "дыр" подобного рода за предыдущие 18 месяцев были обнаружены в организациях, где работает не более 100 человек. Согласно исследованию, 80% атак на персональные данные осуществлялись извне, а 18% попыток исходили от деловых партнеров.

Роберт Гюйс продолжил: "Без сомнения, уязвимостям в защите данных подвержены компании всех размеров, но многие небольшие фирмы просто не предпринимают никаких необходимых шагов против них -- не формулируют политику безопасности, не обучают свой персонал".

"Малые фирмы должны воспринимать обучение персонала как задачу наивысшего приоритета, чтобы избежать случайных утечек информации по вине человеческой ошибки. Счета, накладные, корпоративные отчеты, платежные реквизиты и даже жалобы клиентов являются высококонфиденциальной информацией, которая должна уничтожаться или храниться с соблюдением всех мер защиты. Если вы дадите своим сотрудникам четкие указания по поводу того, какая информация является конфиденциальной и как необходимо с ней работать, вы сможете избежать утечек подобного рода".

В заключение он добавил: "В длительной временной перспективе усиление компьютерной безопасности и внедрение программы уничтожения документов -- самые надежные способы гарантировать, что вся критически важная корпоративная информация находится под защитой, и избежать утечек, которые могут стать причиной крупного штрафа".

Компания Shred-it дает следующие рекомендации малым фирмам:

• Убедитесь в том, что все сотрудники ясно понимают последствия утечки персональных данных для бизнеса;
• Конфиденциальные материалы существуют во всех сферах бизнеса. Платежная информация, перечни клиентов, накладные и клиентские жалобы относятся к конфиденциальной информации. Самый простой способ предотвращения утечек -- уничтожать все документы, которые относятся к компании, ее сотрудникам и ее клиентам;
• Убедитесь в благонадежности всех ваших сотрудников;
• Собирайте только необходимые вам сведения о клиентах, и убедитесь в том, что ваши покупатели дали вам ясное разрешение на сбор этой информации;
• Ограничьте доступ к конфиденциальной информации; предоставляйте ее тем сотрудникам, которым она нужна для работы; составьте списки тех работников, кто имеет право с ней работать;
• Обеспечьте помещения, где хранится информация, адекватными средствами технической защиты -- замками, сигнализациями, видеонаблюдением.