Шифрування

Шифрування — один із найважливіших інструментів для захисту корпоративних файлів. Порушення безпеки даних має ряд ризиків для бізнесу, починаючи від втрати інтелектуальної власності до витоку конфіденційної інформації. Це може нашкодити репутації компанії, а також призвести до виплати великих штрафів.

Що таке шифрування?

Шифрування — це процес кодування інформації з метою запобігання несанкціонованого доступу. У разі викрадення або витоку корпоративної зашифровані дані будуть недоступні для прочитання без відповідного ключа.

Більшість користувачів не знають, що багато інформації вже захищено за допомогою технології шифрування. Наприклад, онлайн-магазини та Інтернет-банкінг не працювали б без хорошого шифрування. Шифрування призначене для захисту коштів та особистої інформації. У корпоративному середовищі шифрування слід використовувати для захисту інтелектуальної власності та інноваційних розробок компанії, а також інших конфіденційних даних.

Дізнатися більше

Під інтелектуальною власністю та інноваційними розробками розуміють продукти чи послуги конкретної компанії, а також методи або процеси, які використовуються для успішного продажу товарів та забезпечення їх ефективної роботи протягом життєвого циклу. Крім цього, вони включають бізнес-плани та маркетингові плани на наступний рік. Цю інформацію кіберзлочинці можуть використати для отримання фінансової вигоди.

Більшість організацій, зазвичай, збирає та обробляє інформацію про клієнтів та співробітників. Відповідно до Загального регламенту Європейського Союзу про захист даних (GDPR) кожна компанія зобов’язана захищати доступ до подібної конфіденційної інформації.

GDPR та шифрування

Відповідно до GDPR до персональної інформації відносяться імена та прізвища, фотографії, електронні адреси, телефонні номери, номери банківських рахунків, відбитки пальців та голоси. Загальний регламент про захист даних (GDPR), який діє у всіх країнах-членах ЄС з 25 травня 2018 року, описує шифрування як захист від репутаційних ризиків.

Уявіть, що один зі співробітників втрачає USB-ключ зі списком клієнтів підприємства. Відповідно до GDPR, компанія повинна повідомити можливих жертв зі списку про інцидент. Для деяких користувачів це може стати причиною зміни постачальника.

Що робити у випадку витоку персональних даних?

Povinnosť oznámenia incidentu regulátorovi

Повідомити про витік конфіденційної інформації

Ви повинні повідомити про будь-які порушення захисту даних у відповідний уповноважений орган. Це стосується не тільки масштабних витоків інформації, а й незначних помилок. Наприклад, якщо один із співробітників помилково відправив лист не на потрібну адресу електронної пошти.

72 hodín na oznámenie incidentu

72 години

Ви повинні повідомити відповідний наглядовий орган про інцидент протягом 72 годин з часу виявлення витоку або викрадення конфіденційних даних. Однак якщо цей строк не дотриманий, затримка в повідомленні (тобто причини, про які не було повідомлено протягом 72 годин) має бути виправданою.

Povinnosť oznámenia incidentu jednotlivcom

Попередити можливих жертв

У більш серйозних випадках, крім повідомлення органу з захисту даних, необхідно також попередити осіб про несанкціонований доступ до їх персональної інформації. Однак цей крок не потрібен, якщо інцидент стався після того, як компанія здійснила відповідні технічні та організаційні заходи безпеки — наприклад, шифрування, що робить файли незрозумілими для будь-кого, хто не має права доступу до них.

Можливі штрафні санкції GDPR

У разі невиконання обов’язкового повідомлення про порушення даних у відповідний наглядовий орган компанія має виплатити штраф у розмірі до €10 млн або до 2% від річного світового обороту підприємства за попередній фінансовий рік. Крім цього, орган захисту інформації може також прийняти наступні заходи:

  • тимчасове або остаточне обмеженняна обробку персональної інформації користувачів, в деяких випадках навіть заборона;
  • видалення персональних даних.

Це означає, втрату всіх контактів існуючих клієнтів компанії, або ж тимчасову заборону на зберігання таких даних.

Порушення безпеки даних стосується підприємств усіх розмірів

Багато підприємств вважають, що вони не уразливі до кібератак чи порушень захисту даних через їх невеликий розмір та обмежені активи. Однак за даними дослідження IDC, малий та середній бізнес стає жертвою у більш ніж 70% випадках порушень безпеки. Варто зазначити, що компаніям не потрібно повідомляти про кібератаки, якщо витік особистої інформації не був зафіксований.

Через помилкове уявлення, що інші підприємства не ставали жертвами кібератак компанії часто бояться повідомити про інцидент, який стався.

Варто зазначити, що перший рік після набуття чинності GDPR наглядові органи в Європі все ще ознайомлювалися з новими правилами. Цілком ймовірно, що з часом кількість штрафів збільшиться.

Тому спеціалісти ESET рекомендують організаціям відразу повідомляти про можливі інциденти, співпрацювати з контролюючими органами та навчати працівників основним правилам інформаційної безпеки, а також використовувати технологію шифрування для захисту корпоративних файлів.

Рішення ESET для шифрування корпоративних даних

Комплексне рішення для шифрування файлів, папок та даних електронної пошти.

Надійне повнодискове шифрування, вбудоване в консолі віддаленого управління.