Декоративное изображение
3 961

Поделиться

Утечки персональных данных: как ритейлу минимизировать риски

Защита персональных данных – очень актуальная тема для многих компаний, включая ритейлеров. Новые способы защиты информации появляются каждый год, но вместе с тем совершенствуются и методы злоумышленников. О том, как рознице минимизировать риски, рассказал адвокат и основатель онлайн-сервиса юридической помощи Advostar.online Ильдар Мухаметзянов.

Фото: metamorworks/shutterstock

Фото: metamorworks/shutterstock

По данным «Лаборатории Касперского», в 2022 году лидерами по объему слитых персональных данных стали ритейлеры и сервисы доставки. При этом чаще всего инциденты происходили у розничных сетей: доля утечек у них составила 26% от общего числа компаний.

В публичный доступ попадают данные как клиентов, так и сотрудников – их должности, электронные адреса, номера мобильных телефонов и финансовые сведения. Исследователи «Лаборатории Касперского» считают, что в будущем злоумышленники будут атаковать нишу ритейла еще более активно – ведь розница всегда хранит и обрабатывает большие объемы персональной информации.

Чаще всего компании в России несут за утечки данных минимальную ответственность. Согласно ст. 13.11 КоАП РФ, их могут оштрафовать на сумму до 200 тысяч рублей, но на практике взыскания даже меньше. Так, в 2021 г. Oriflame заплатила 30 тыс. руб., а годом позже «Яндекс Еду» оштрафовали на 60 тыс. руб. При этом сумма штрафа по закону не зависит от объема скомпрометированных данных – например, при инциденте с «Яндекс.Едой» в свободном доступе оказалась информация о более чем 6,8 млн клиентов.

Для крупных ритейлеров и производителей такие наказания не так существенны. Но все может очень быстро измениться. Еще с прошлого года законодатели активно обсуждают введение новых штрафов за утечку данных – от 1% до 3% от оборота. Если законопроект одобрят, то максимальная сумма составит до 500 млн рублей.

Кроме того, любая утечка всегда несет репутационные потери – бизнес потеряет доверие лояльных клиентов или контрагентов, которое придется долго восстанавливать. А для небольших компаний такой инцидент вообще может стать катастрофическим.

Почему утекают данные клиентов

Как правило, персональные данные утекают из компаний по трем распространенным сценариям.

  1. Взлом базы данных хакерами. От действий злоумышленников в прошлом году уже пострадали сервисы доставки, логистические компании и ритейлеры. Самые крупные утечки произошли у Delivery Club, СДЭК, торгового центра «Метрополис» и сети магазинов Kari.

  2. Ошибки сотрудников. Каждый год в интернет выкладывают персональные данные пользователей, потому что работники компаний случайно нарушают протоколы безопасности. Например, открывают фишинговые ссылки и вводят там логины и пароли. В 67% случаев данные сливает линейный персонал, а реже всего это делает топ-менеджмент.

  3. Так называемые инсайдерские утечки – когда данные намеренно сливают сами сотрудники: например, чтобы подзаработать или отомстить работодателю. Одним из самых известных случаев считается кейс «Яндекс Еды».

ИИ как новая угроза для безопасности персональных данных

По данным Fortune Business Insights, глобальный рынок искусственного интеллекта в ритейле к 2030 году вырастет в 10 раз – до $55,53 млрд. Сейчас сотрудники многих компаний активно тестируют возможности ИИ на сторонних сервисах. Нередко они загружают в чат-бот конфиденциальную информацию или то, что представляет коммерческую ценность. Чаще всего нейросети при этом сохраняют весь массив данных – он используется разработчиками для обучения алгоритмов.

Но ни один такой сервис не защищен на 100% от взломов. Кроме того, иногда чувствительные данные можно обнаружить, просто задавая нейросети наводящие вопросы. В случае утечки к ответственности можно будет привлечь не только разработчика ИИ. Так, если злоумышленники взломают искусственный интеллект и похитят базу данных клиентов, то в некоторых случаях против ритейлера даже можно возбудить уголовное дело. Например, за незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну (ст. 183 УК РФ).

Фото: Andrew Angelov/shutterstock

Фото: Andrew Angelov/shutterstock

Как снизить риски: правовая защита

Многие специалисты сходятся во мнении, что возможное повышение штрафов за утечки будет стимулировать ритейлеров выделять больше средств на совершенствование систем защиты. С точки зрения прав пользователей – это хорошая новость.

Но для компаний все не так просто. Часто у них возникает вопрос: как защитить себя от возможных утечек по вине сотрудников с точки зрения права? Дело в том, что трудовое законодательство в России и за рубежом относится к таким инцидентам по-разному. Например, в США работника, который случайно или намеренно слил конфиденциальные данные, можно совершенно законно заставить выплатить крупный штраф и даже посадить в тюрьму. В России такие инциденты часто заканчиваются тем, что сотрудника просто увольняют или выносят ему дисциплинарное наказание (ст. 81, 90 и 191 ТК РФ).

Как постановил Конституционный суд РФ, компания имеет право уволить сотрудника за пересылку информации, если работодатель принял все необходимые меры, чтобы ее защитить. Также можно уволить работника за пересылку секретной информации через мессенджеры или копирование корпоративных данных на личную флэшку. Такие действия могут расцениваться как разглашение коммерческой тайны.

При этом чтобы законно уволить сотрудника, нужно обязательно закрепить все правила обращения с данными в трудовом договоре и локальном нормативном акте, например, в положении о коммерческой тайне.

В нем необходимо также регламентировать, какие именно данные являются чувствительными, чтобы в случае неправомерного использования данных, работника можно было привлечь к ответственности.

Некоторые компании заключают с сотрудниками NDA («Соглашение о неразглашении информации»), в котором суммы штрафов за разглашение персональных данных могут доходить до сотен тысяч и даже миллионов рублей.

В России NDA имеет не меньшую юридическую силу, чем за рубежом. Но нужно помнить, что такие соглашения также должны соотноситься с нормами ТК РФ. Иногда компании включают в них условия, которые явно противоречат российскому законодательству, например, взыскание штрафа за упущенную выгоду при утечке данных. В этом случае суд встанет на сторону сотрудника. Дело в том, что согласно ст. 238 ТК РФ, работник обязан возместить работодателю только причиненный ему прямой действительный ущерб. Упущенная выгода взысканию не подлежит.

Что еще может помочь?

В целом, чтобы минимизировать риски утечек, а также правовые и финансовые последствия таких инцидентов, ритейлеры могут придерживаться следующих правил.

  • Хранить только те данные пользователей, которые действительно необходимы для работы приложений. Если ритейлер или производитель нуждается в использовании сторонних сервисов, например, нейросетей, то лучше загружать в них только обезличенную информацию – без Ф.И.О., физических и электронных адресов, телефонов, данных банковских карт и т.д. В этом случае от утечки не пострадают ни компания, ни клиенты.

  • Заключить со всеми сотрудниками, имеющими доступ к данным пользователей, NDA или положения о коммерческой тайне, в которых будут четко прописаны санкции за нарушения соглашений.

  • Систематически информировать сотрудников о том, какая ответственность предусмотрена за случайную утечку персональных данных или их намеренное разглашение. Напоминайте им об условиях, прописанных в трудовом договоре, положении о коммерческой тайне или в NDA.

  • Обучать персонал правилам информационной безопасности. Очень часто утечки происходят потому, что работники недостаточно осведомлены об угрозах (например, о фишинге) или не имеют опыта взаимодействия со злоумышленниками. Сейчас более 80% ритейлеров обучают сотрудников нормам обращения с данными.

  • Четко разъяснить сотрудникам: надежность любых сторонних (не корпоративных) сервисов – сомнительна по умолчанию. Некоторые проекты, например, популярные нейросети, до сих пор считаются экспериментальными. Крайне нежелательно делиться с ними какой-либо конфиденциальной или коммерческой информацией.

Retail.ru

Декоративное изображение
Декоративное изображение
Retail.ru использует файлы cookie для хранения данных.
Продолжая использовать сайт, вы даёте согласие на работу с этими файлами