Как в Европе: в Украине заговорили об эффективной защите персональных данных граждан

3,3 т.
Как в Европе: в Украине заговорили об эффективной защите персональных данных граждан

Украина должна перейти на европейские стандарты защиты персональных данных граждан, утечка которых создает риски мошеннических схем и манипулирования данными в реестрах.

Именно это стало темой круглого стола экспертов Национального банка Украины, moneyveo и Lattelecom, посвященного защите персональных данных при проведении финансовых операций и имплементации норм GDPR, который прошел на днях в Киеве.

Как в Европе: в Украине заговорили об эффективной защите персональных данных граждан

По словам директора юридического департамента moneyveo Андрея Котика, большинство украинцев не осознает, насколько важно защитить их персональные данные. А ведь риски от утечки ПД могут быть очень серьезными.

"Незаконный оборот персональных данных в онлайне создает достаточно большие возможности для рисков и для мошеннических схем, а также для манипулирования данными в реестрах. К примеру, в реестрах предприятий, поскольку данные могут быть использованы, чтобы назначить человека фиктивным директором предприятия, которое занимается оптимизацией налогообложения. Зачастую они также используются с целью закрытия каких-то преступных схем по продаже недвижимости, когда заключается несколько сделок и окончательный выгодополучатель имеет возможность приобрести недвижимость", - разъяснил Котик.

По его словам, большинство граждан также не осознают, что персональные данные – это не только имя и фамилия, но и любая информация, которая может идентифицировать человека – как-то номер телефона, адрес проживания и т.д. В Европе с недавних пор в перечень персональных данных включены также ДНК и отпечатки пальцев.

Как в Европе: в Украине заговорили об эффективной защите персональных данных граждан

В Украине существует закон о защите персональных данных. Вот только учитывая его недостатки, новые реалии и тот факт, что Украина стремится в Европу, нашей стране необходимо имплементировать в существующее законодательство нормы GDPR (от англ. General Data Protection Regulation – Генеральный регламент о защите персональных данных. – Ред.), - убежден Котик.

О рисках недостаточной защиты персональных данных и о том, что работать в направлении ее повышения говорил также замначальника управления безопасности информации Департамента безопасности НБУ Роман Проскуровский.

"Вопрос киберзащиты и защиты информации для финансового сектора остро актуализировался еще в 2017 году. Но в Украине этой проблемой активно начали заниматься лишь после того, как в ЕС вступил в силу GDPR, а точнее — после штрафов, которые получили компании, нарушившие директиву. Нам нужно было об этом подумать еще в 2016 году, когда в ЕС приняли целый ряд директив по усилению мер кибербезопасности, защиты критической инфраструктуры, идентификации, защиты в платежных системах, которые требуют соответствующих времени и усилий (подготовка заняла 10 лет, имплементация — 2 года) для комплексного подхода к защите данных", — заявил Роман Проскуровский.

На территории Евросоюза полноценно стандарты GDPR заработали в мае 2018 года. В Украине внедрять GDPR начали только отдельные компании. Так, собственным опытом в разработке политики и процедуры хранения персональных данных поделилась СЕО moneyveo Алена Андроникова, подчеркнувшая, что компания соответствует Международному стандарту безопасности PCI DSS (I level).

Как в Европе: в Украине заговорили об эффективной защите персональных данных граждан

"Мы обеспечиваем контроль за информационными потоками ПД и реализуем превентивные меры от утечек и несанкционированного доступа – для этого имплементировали DLP System. Также внедрили процессы отраслевых стандартов безопасности ко всем информационным системам и процессам в компании (на базе политик PCI DSS, регламента GDPR и ISO/IEC - 27001, 27002). Кроме того, обработка и обмен данными происходит исключительно в рамках согласия клиента, существующего бизнес-процесса, и договорных отношений – при передаче третьим лицам, как-то БКИ, правоохранительные органы или регулятор", - рассказала Андроникова.

В частности, по словам СЕО moneyveo, для защиты ПД клиентов в компании внедрили SIEM систему SPLUNK - для анализа событий и Observе IT - для предотвращения утечки данных и контроля.

"Мы используем систему BitLocker для шифрования всех рабочих станций, которые используются для обработки карточных и персональных данных. ЭЦП лежат в защищенных носителях eToken. Для хранения паролей от разных систем в зашифрованном виде используем KeePass. Данные в базе шифруются стандартными средствами MS SQL, а для контроля сетевого трафика и безопасности на уровне используем решение Fortigate", – прокомментировала Андроникова.

По словам представителей компании, из 26 пунктов, релевантных направлению, в котором работает moneyveo, из 26 пунктов они пока полностью соответствуют 7-ми. В 19-ти еще предстоит внести изменения процессов для соответствия GDPR.

Как в Европе: в Украине заговорили об эффективной защите персональных данных граждан

Сейчас в moneyveo работают над 3 шагами по определению и обработке персональных данных, изменению информационных систем и сокращению документации. И готовы делиться своим опытом при создании нового украинского законодательства по внедрению GDPR. Ведь сделать это Украина будет обязана согласно взятым на себя обязательствам, до 2022 года. И уже сейчас идет разработка нового законопроекта, учитывающего европейские требования.

В Европе уже нарушения обработки персональных данных чреваты серьезными последствиями.

"За последний год более 90 тыс. компаний в ЕС заявили о нарушении обработки персональных данных. Большинство уведомлений поступило в Нидерландах, Ирландии и Дании. В частности, в Латвии было открыто около 30 административных дел… Одна из главных целей GDPR – чтобы компании задумались, как они обрабатывают и хранят персональные данные", – рассказал Дайнис Лукашевич, руководитель проектов по защите данных компании Lattelecom.

В частности, согласно GDPR, по его словам, субъект получает более широкое право на информацию, вводится новая документация и необходимость регистрации внутренней обработки данных и появляется обязательство в течение 72 часов сообщать об утечке данных или нарушении обращения с ними.

По словам Проскуровского, постановлением НБУ №95 было утверждено Положение об организации мероприятий по обеспечению информационной безопасности в банковской системе Украины. Он подчеркнул: если финансовые учреждения выполнят хотя бы 20% требований нормативного документа, то смогут решить 80% проблем обеспечения защиты персональных данных.