Утечка персональных данных

Что такое утечка персональных данных?

Утечка персональных данных (data breach) — это несанкционированный доступ третьих лиц к конфиденциальной информации о гражданах или компаниях с последующим её раскрытием или использованием. Утечки происходят в результате взломов, ошибок сотрудников, атак на подрядчиков или уязвимостей в программном обеспечении. Для компаний-операторов персональных данных утечка влечет одновременно три вида последствий: репутационный ущерб, штрафы регуляторов и судебные иски пострадавших.

Зачем управлять репутацией при утечке данных?

Реакция компании на утечку определяет репутационные последствия не меньше, чем сам факт инцидента. Компании, которые быстро уведомляют пострадавших, публично признают ответственность и объясняют принятые меры, теряют значительно меньше клиентов, чем те, кто пытается скрыть инцидент. Попытка замолчать утечку, как правило, усиливает кризис, когда информация всё равно выходит наружу — уже с добавлением обвинений в сокрытии.

Ключевые аспекты

• Правовые обязательства — операторы персональных данных обязаны уведомить Роскомнадзор об инциденте в течение 24 часов (с 2022 года); штрафы по 152-ФЗ и уголовная ответственность при умышленных нарушениях
• Антикризисные коммуникации — официальное заявление должно выйти в течение нескольких часов после подтверждения инцидента: факты, признание, конкретные меры помощи пострадавшим
• Уведомление пострадавших — прямое информирование клиентов, чьи данные были скомпрометированы, с рекомендациями (смена паролей, мониторинг счетов) снижает вероятность публичного скандала и судебных исков
• Долгосрочная реабилитация — после ликвидации инцидента необходима публичная коммуникация о принятых мерах безопасности: независимый аудит, новые политики, инвестиции в защиту данных

Утечку данных нельзя скрыть — её можно только пережить с достоинством. Компании, которые говорят первыми и честно, восстанавливают репутацию в разы быстрее тех, кого «раскрыли» журналисты.