Наши новости

17 августа 2018
А ось і перші порушники GDPR
20 липня CNIL, орган, відповідальний за GDPR-страшилки у Франції, видав перші 2 попередження за порушення GDPR. Перші 2 в історії за перші в історії (виявлені) порушення. Прилетіли такі попередження стартапам — Fidzup та Teemo. Компаніям із непоганим портфелем венчурних інвестицій, призначеними посадовими особами із захисту персональних даних та пафосними релізами про GDPR-комплаєнс. Ці попередження — чудова можливість для юристів озброїтися раціонально-практичними аргументами: для чого готувати тонну документів та рекомендацій, пов’язаних з GDPR. Кому першому не пощастило Давайте чесно, ми всі чекали, коли хтось попадеться. Багато хто тримав пальці схрещеними “тільки не нас, тільки не нас”. І ось перші попалися. Обидві компанії — не випадкові мішені невблаганного фатуму. Погодьтеся, регулятору було важко пройти повз гучні маркетингові заяви, на кшталт “4 долари за тисячу користувачів для вашого сайту” або “4 тисячі доларів за мільйон користувачів”. Чи то така політика, чи то попередній скандал з Cambridge Analytica привернули увагу до обох стартапів. Але обидва стартапи, описані як схеми “заплати-за-дані” (pay-for-data), уже давно були в полі зору медіа. Про них писали BuzzFeed, обидві компанії потрапили до Звіту Yale Privacy Lab — Єльського гуртка за інтересами, пов’язаними з персональними даними. Де, крім цих компаній, також згадувалися DoubleClick, Braze, Millennial Media та інші. Крім цього, у травні Apple прибрав із App Store усі додатки, які використовували послуги Teemo та Fidzup. Цього було замало. Здається, хлопці гадали, що кожен учасник компанії має абсолютний дипломатичний імунітет і прививку від GDPR. Однак, таке викривлене тлумачення Віденської конвенції про дипломатичні зносини та неправильне розуміння основ вакцинації не сподобалося CNIL. Який і дав кожній із них 3 місяці, аби взятися за розум. Що було не так? Обидві компанії займалися геотаргентингом. Для цього вони збирали геолокаційні дані осіб — користувачів мобільних додатків, які належали B2B-партнерам Fidzup та Teemo. Обробка персональних даних починалася одразу після завантаження додатку партнера. Працювало це так: завантажується додаток – збираються дані – обробляються дані - приходять pop-up windows таргетингової реклами – здійснюється авторизація в додатку (можливо) і нарешті –> надається згода на певну обробку (можливо). Що у цій схемці не комільфо? Те, що останні 2 елементи цього ланцюжка стоять наприкінці, а не 2- чи 3-ми відповідно. А хіба це не проблема власників додатків, що вони не одержали згоду? Не зовсім. У цьому ланцюжку Fidzup та Teemo збирали дані та визначали мету їхньої обробки. Мова йде про дані, одержані внаслідок факту завантаження певних аплікашок. За це — заслужений титул контролера (володільця) даних. І в частині збору геолокаційних даних саме дует Teemo-Fidzup повинен нести відповідальність за порушення GDPR. Детальніше про кожну з компаній Teemo використовувавSDK(такий собі інструмент), за допомогою якого оброблялися дані геолокації користувачів додатку (точніше — завантажувачів додатку) та унікальний рекламний ID. Це відбувалося без відома юзерів і ще до того моменту, коли певний додаток був запущений. Якщо партнери вже давно випустили додаток на ринок і мали своїх користувачів, Teemo’s SDK починав збирати дані користувачів після першого оновлення додатку (авжеж, без повідомлення юзерів). З урахуванням даних, які накладалися на обрані клієнтами points of interest, користувачам відправлялася таргетингова реклама. Схожим чином, Fidzup із використанням іншого SDK обробляв рекламний ID та технічну інформацію гаджета (MAC-адресу). Ці дані передавалися бізнес-клієнтам, які (за рахунок утиліти Fidbox) могли також запускати таргетингову рекламу, коли юзери наближалися до обраних бізнесами точок продажів. В обох випадках публічні документи додатків не могли надати користувачам інформацію, звідки ця реклама береться. Повідомлення про обробку даних також не вказувало на особу контролера даних — Fidzup чи Teemo відповідно. Ще трохи про вимоги до згоди, або урок для прийдешніх поколінь GDPR каже: згода повинна полягати у вільному, конкретному, поінформованому та однозначному бажанні особи, щоб її персональні дані оброблялися. Така згода повинна стосуватися однієї або кількох цілей обробки. Згода повинна надаватися до початку обробки даних. Щодо обох випадків CNIL сказав, що не дотримано жодної з умов GDPR-сумісної згоди. Насамперед згода не була надана до початку обробки, а це ж просто канонічна вимога! Згода, яку дав користувач, не була вільною. Вона стосувалась усіх випадків обробки і була вбудована в сам факт авторизації в додаток (по-іншому не запустиш). Крім того, завантаження додатку було нерозривно пов’язано із завантаженням SDK. Згода не була конкретизована. Юзер не міг обрати конкретні види обробки, із якими він погоджується, а з якими — ні. Насправді, мало хто робить це нормально (дорогувато, кажуть, а ще частіший аргумент — страшнувато на вигляд на сайті потім), але все ж така диференціація згоди makes sense. Не всі хочуть маркетингові розсилки та включення даних до CRM-системи. Згода не було інформованою. адже не містила інформації про використання даних для таргетингової реклами третіми особами. До моменту завантаження додатку не було жодного повідомлення, що дані почнуть оброблятися вже і зараз. Здавалося б, у нашому випадку уже достатньо порушень. Та проблеми були не лише зі згодою, принаймні в Teemo. Строк зберігання або золоте правило “Не перетримай” Teemo обробляло дані впродовж строку, який не виправданий метою такої обробки. Це другий висновок CNIL, що стосується активного використання геолокаційних даних протягом (а тепер слухайте, поборники 10-річних строків!) 13 місяців. CNIL провів тест на пропорційність (а юристи це роблять в “Оцінці легітимних інтересів контролера”) і зазначив: право на повагу до приватності тут точно переважає. Чому? Тому що використання таких тулкітів, які допомагають таргетувати особу 13 місяців поспіль, є серйозним втручанням у приватність. Також така обробка допомагає також стежити за людьми у великих масштабах. А раптом ще така інформація, наприклад, внаслідок витоку даних (data breach), потрапить до рук зловмисників? Тепер увесь цей аналіз потрібно добряче обдумати стартапам. Надано їм для цього 3 місяці, достатньо, щоб тричі зняти фільм “Три білборди під Еббінгом, Міссурі”. Ми ж також подумали. І задалися питанням: Що стає очевидно необхідним для тих організацій, які не хочуть стати Teemo-Fidzup? Розберіться з потоками даних в межах організації. Вистачить банальних запитань та excel-таблички: звідки, від кого, куди, для чого і як довго? Перші запитання, на які треба відповісти. Можна залучити і юриста. Перевірте, на що ви покладаєтеся, збираючи дані (дипломатичний імунітет володільця даних чи все ж на згоду користувача). Якщо на згоду, тоді перегляньте, що передбачає така згода та що ви при цьому повідомляєте користувачу. Можливо, вам підійде взагалі інша підстава для обробки, зокрема, ваші легітимні інтереси. Подбайте про строки зберігання і, за можливості, підготуйте retention policy. Не зберігайте довше, ніж потрібно. Можливо, вам узагалі не потрібні персональні дані користувачів. Цього повинно вистачити для початку. Принаймні, щоб не опинитися на шпальтах Le Monde. Якщо ж ви просто користувач різних додатків, знаєте французьку і не хочете, щоб вашу локацію знали в недобросовісних компаніях, скористайтеся порадами CNIL, які мали б допомогти зберегти вашу приватність. А поки компанії-ньюзмейкери обіцяють все виправити набагато швидше, ніж протягом наданих 3 місяців, ми ще раз дивимося на типові запитання, які чують юристи “Ви порадили технічні заходи, підготували для нас внутрішні політики. Ми розмістили публічні документи у футтері, зробили pop-up вікно. Для чого це все, якщо нікого не штрафують?”. “Ви радите обмежити строк зберігання даних. Невже не можна просто зберігати маркетингові дані, допустимо, 10 років? Або стільки ж, скільки розкладається поліетилен. Хто це взагалі перевірить?”. “Хіба GDPR не лише для того, щоб притиснути до стіни Google, Facebook і інших прислужників Великого брата? Ми ж маленькі, ми в хатці”. Короткі відповіді для запам’ятовування: треба, орган, не лише для того.   Наостанок Нещодавно Associated Press разом із Прінстонським університетом провели розслідування щодо Google. Із результатами можна ознайомитися, зокрема, на the Guardian. Відповідно до цього розслідування, Google, не заперечуючи цього, збирає геолокаційні дані в процесі користування продуктами Google. Навіть якщо користувач змінив налаштування так, щоб такі дані не збиралися. Щось нагадує? 20 млн. євро. Істочник:   
Подробней
14 августа 2018
GDPR: как внедрить новые стандарты в Ваш бизнес
Несколько последних месяцев умы украинских предпринимателей будоражит одна короткая аббревиатура из четырех букв, в которой затаились многомиллионные штрафы. GDPR или General Data Protection Regulation – новый регламент Евросоюза по защите данных, который вступил в силу в конце апреля. Теперь он нагоняет ужас не только на западные компании, но и на украинский бизнес, работающий с персональными данными европейцев. Хоть первый шок уже прошел, наши предприниматели судорожно пытаются понять, как не попасть под штрафные санкции и при этом отделаться «малой кровью». Сценарии внедрения GDPR можно обсуждать очень долго, но я все же сторонник практических советов. Давайте разберем кейс, где вы уже знаете, что такое стандарты GDPR и уверены, что их нужно внедрять в свой бизнес. Дальше у Вас есть два варианта действий. Можно попытаться имплементировать регламент самостоятельно и тут Вам в помощь знание специализированного английского, юриспруденции и технических наук. Второй вариант менее сложный, но более затратный – нанять специалиста Data Protection Officer (DPO) и делегировать ему внедрение стандартов GDPR. Я, например, обеими руками за второй вариант, потому что умение грамотно делегировать полномочия - признак эффективного лидера. И тут хочу поставить акцент на слове «грамотно». Потому давайте проясним для себя несколько важных вопросов: кто такие DPO, что входит в круг их компетенций и как выбрать настоящего профессионала. Начнем с азов. DPO – это человек в вашей компании, которому предстоит не только внедрить стандарты GDPR, но и регулярно следить за их соблюдением. Своим клиентам я советую обязательно обзавестись таким специалистом в трех случаях: если основные виды деятельности включают регулярный и масштабный мониторинг персональных данных граждан Евросоюза, если компания обрабатывает «чувствительные данные» (данные о состоянии здоровья, расовой принадлежности, судимости), а также всем государственным органам. Во всех остальных случаях нанять на работу DPO заставить вас никто не может – его присутствие идет с приставками «желательное» и «рекомендовано». Но на практике цена такой беспечности, в случае возникновения проблем, - штраф в $20 млн евро. Из своего опыта могу сказать, что для успеха любого кадрового решения руководитель должен четко понимать, зачем ему нужен новый сотрудник и какие конкретно функции он должен на себя взять. А поскольку фигура DPO для украинского рынка труда пока новая и загадочная, не лишним будет расставить все точки над «і». В идеале Data Protection Officer должен взять на себя три основные задачи. И первая из них контроль: помимо внедрения стандартов GDPR и мониторинга их соблюдения, в случае возникновения проблем DPO должен быть контактным лицом с европейскими органами надзора. Во-вторых, этот сотрудник должен выступать в роли внутреннего консультанта и давать свои рекомендации по оценке влияния разных факторов риска на защиту данных. Ну и третья, не менее важная задача – обучить персонал работе в рамках GDPR, потому что соблюдение даже минимальных протоколов безопасности в рутине может сыграть решающую роль. Но, как известно, хороший урожай взрастает только на благодатной почве. Чтобы DPO справился со своими задачами максимально эффективно, рекомендую организовать ему работу на «особых условиях». К примеру, тако鬬 сотрудник должен отчитываться только перед высшим руководством, а также быть максимально независим в принятии решений. Из всего вышеперечисленного напрашивается вполне очевидный вывод - в идеале пользоваться услугами DPO лучше на аутсорсе. Кстати, регламент GDPR даже предполагает, что такой специалист может обслуживать сразу несколько компаний. Ну и последний незакрытый вопрос - как выбрать компетентного DPO и не прогадать? Прежде всего, он должен быть экспертом в области европейского и украинского права, а также обладать опытом в сфере защиты данных. Думаете найти такого сверхчеловека практически невозможно? А вот и нет! Несмотря на то, что на данный момент в Евросоюзе пока нет обязательной сертификации DPO, некоторые украинские юристы уже проходят обучение за границей и расширяют перечень своих услуг GDPR-сопровождением. К примеру, в компании, где я являюсь генеральным директором, уже есть два сертифицированных DPO, и мы уже предоставляем услугу по внедрению GDPR. Верность такого движения подтверждает статистика: по последним оценкам Международной ассоциации профессионалов в области конфиденциальности в ближайшей перспективе минимум 25000 DPO понадобятся в Евросоюзе, а еще 75000 – по всему миру. В сухом остатке мы имеем практически шекспировскую дилемму – быть или не быть, а точнее нанимать или не нанимать специалистов по внедрению GDPR. Мой ответ – однозначно быть и обязательно нанимать! Хотя бы потому, что наша страна с каждым годом все стремительней приближается к европейскому законодательству, а значит, рано или поздно, соблюдать стандарты GDPR все же придется всем украинским компаниям. Потому работа с DPO сегодня – это инвестиция в будущее. Источник
Подробней
20 июля 2018
ФОРЕНЗИК – MUST HAVE УКРАИНСКОГО БИЗНЕСА
Слово «форензик» происходит от латинского «forensic» – форум или публичные дискуссии. Первоначально оно использовалось в Древнем Риме и применялось к торговым площадям, где проходило множество сделок, кипела общественная жизнь, люди на дебатах доказывали свою правоту. Новый мир – новые реалии. Но если задуматься, современное значение слова «форензик» ушло не так далеко от истоков. В деловом мире оно используется для обозначения комплекса мер по выявлению мошеннических схем в компании как среди рядовых сотрудников, так и организованных топ-менеджерами. Это могут быть махинации в отчетностях или финансовых операциях, воровство при закупках, вовлечение в информационный шпионаж, взяточничество, присвоение активов и проч. Согласно статистике, корпоративное мошенничество – явление далеко не редкое. Чаще всего оно возникает в финансовых департаментах, в отделах закупок, продаж, порой попадаются и топ-менеджеры. И, как правило, чем выше на карьерной лестнице находится мошенник – тем больше убытков он может принести компании. Вывести на чистую воду В силу своей профессии не могу даже сосчитать, сколько раз в жизни слышала фразу: «Я знаю, что у меня воруют. Но не понимаю, кто и где». Это нередкая ситуация, ведь собственник просто не в состоянии отследить все процессы, происходящие на его предприятии, тем более проконтролировать всех сотрудников, особенно когда речь о штате в несколько сотен, а то и тысяч человек. И в таких случаях привлекают специалистов по форензику. Один человек провести аудит не в состоянии. Невозможно быть экспертом во всем, а данный анализ требует узких специализированных знаний во многих направлениях. Эффективная команда по форензику состоит из юристов, экономистов, бухгалтеров, возможно, бывших сотрудников полиции – оперативников и аналитиков, и даже психологов. Эти люди могут работать над одним предприятием несколько месяцев, чтобы в конце проверки предоставить владельцу полный отчет по всем процессам в его компании. Как происходит в действительности Теперь поговорим о наших реалиях. Услуги по проведению форензика – относительно новое явление на рынке консалтинга, даже для западного бизнеса. А понимание важности данных процедур для стабильного развития бизнеса приходит к украинским предпринимателям очень медленно. Специалистов по форензику нанимают неохотно и как-то с опаской. Чтобы понять причины такой настороженности, я получила мнениене одного бизнесмена. Оказалось, дело не в деньгах, а в страхе вынести сор из избы. На практике же могу сказать, что проведение независимого расследования аутсорсинговой компанией намного продуктивнее. Во-первых, это сохраняет здоровый климат в коллективе. Ведь во всем можно винить «того неизвестного дядю», а не коллегу, с которым пьешь кофе каждое утро. Во-вторых, нанятая команда имеет за спиной немалый опыт проведения подобных расследований, поэтому они сделают все более качественно и оперативно. И, в-третьих, ни одна компания, дорожащая своей репутацией, не станет выносить сор из избы клиента. Информация скорее выплывет через обиженных сотрудников. Ситуации из жизни Один владелец крупного бизнеса потерял миллионы из-за мошенничества своего топ-менеджера, который долгое время искажал финансовую отчетность, а собственник на основании этого принимал неверные управленческие решения. Другой крупный бизнесмен чуть было не лишился всего из-за регулярной передачи информации о компании конкурентам в течение многих лет. Ему удалось сохранить предприятие, но данная ситуация отбросила его бизнес на несколько лет назад. После увольнения коммерческого директора одной из компаний возникла проблема потери ею «золотого» статуса как агента по продаже товаров от одного из ключевых поставщиков. В результате проведенногофинансового расследования были вскрыты следующие факты: нецелевое использование денежных средств, полученных в качестве 100%-й предоплаты за товары, и использование их в качестве депозита; получение дополнительного дохода генеральным и финансовым директорами компании, что не было отражено в бухгалтерских операциях и отчетности; несвоевременная и искусственно отложенная на квартал покупка валют, необходимых для выполнения контрактов; нарушение сроков оплаты поставщикам за отгруженные товары c последующей оплатой штрафов; покупка валют на бирже по галопирующему курсу; использование директором личных валютных денежных средств как кредитных, оформленных по чрезвычайно завышенной процентной ставке через фиктивный договор финансовой помощи. Еще один кейс – по результатам годовых отчетов, предоставляемых менеджментом строительной компании, выявили ее постоянную потребность  в оборотных средствах, несмотря на достаточный объем кредитования. У финансово-аудиторского комитета холдинга и акционеров возникло подозрение, что контрактные оплаты за товары и услуги по предоплате используются менеджментом компании нецелевым образом. В ходе расследования выяснилось: контракты подписывались с завышенной стоимостью или были фиктивными по уже выполненным работам; количество расходуемых материалов значительно преувеличено; объемы работ «задваивались»; привлекался низкоквалифицированный дешевый персонал – компания была вынуждена постоянно проводить гарантийные работы. Доказательств было более чем достаточно, чтобы отстранить менеджеров  и возбудить в отношении них уголовные дела по факту доведения компании до банкротства. А ведь этого можно было бы избежать, если бы специалистов по форензику привлекли на ранних этапах. Тут вспоминается ставшая уже крылатой фраза  Уинстона Черчилля: «За безопасность стоит платить, а за ее отсутствие – расплачиваться». Татьяна Андрианова, адвокат, директор по правовым вопросам компании «Октава Капитал» Источник
Подробней
19 июля 2018
НЕ ПРОНЕСЛО. ЧТО УГРОЖАЕТ УКРАИНСКОМУ БИЗНЕСУ ИЗ-ЗА ЕВРОПЕЙСКОГО ЗАКОНА О ПЕРСОНАЛЬНЫХ ДАННЫХ
Как проверить, распространяется ли на ваш бизнес действие европейской директиве о защите персональных данных (GDPR) и как быть с данными, чтобы не попасть под санкции. Перед европейским регламентом о защите персональных данных (General Data Protection Relations), которая вступила в действие 25 мая 2018 года, не устоят даже сильные мира сего. На днях огромный штраф за обращение с персональными данными получил заокеанский Facebook. Известны случаи огромных штрафов с собственных европейских бизнесов, в частности, максимум получил сервис Ticketmaster. Украинского бизнеса регламент в определенных случаях тоже касается. В каких и каким образом, что нужно сделать, чтобы не заработать штраф и обсуждалось на конференции «GDPR в Украине». НВ приводит ключевые пункты из выступлений докладчиков. Когда GDPR может применяться к украинским компаниям Как объясняет Юлия Нечепуренко, ведущий специалист Nota Group, под действие регламента попадают все, кто имеет компанию или представительство в Евросоюзе. Если таковых нет, то все равно под действие регламента подпадают бизнесы, которые используют персональные данные граждан ЕС, если обработка данных связана с предложением товаров и услуг или мониторингом их поведения. По словам Дарины Сидоренко, координатора группы IT и кибербезопасности Sayenko, самая большая потенциальная проблема для украинского бизнеса в случае нарушения GDPR – это репутационные риски. После этого строить партнерские отношения в Европе будет сложнее. Также есть риски криминальной и административной ответственности. Что такое персональные данные Согласно директиве, персональные данные – это любая информация, которая позволяет идентифицировать физическое лицо. Субъект данных в данном случае – это идентифицированное или пригодное к идентификации физическое лицо. В частности, люди, граждане Евросоюза. У данных есть контролер и оператор, первый – дает инструкции по работе с ними (сбор, применение, обработка), второй – обрабатывает. Оператор не имеет права обрабатывать данные без инструкции контролера. Если такового нет, считается, что он сам для себя контролер. Как можно работать с персональными данными Контролер должен запрашивать у субъекта разрешение на обработку данных, при этом – четко обозначать цель, для которой он это делает. Если данные были собраны для одной цели, но обрабатываются для других – это нарушает регламент. Исключение составляет аффилирование или обработка для статистики. В отношении данных действует несколько принципов. Минимизация. Могут собираться минимальные данные, соответствующие цели сбора. Например, если авиакомпания продает билеты, она может обрабатывать паспортные данные, электронный адрес. Но данные о политических взглядах пассажира ей точно не нужны, поэтому она не может их собирать и обрабатывать. Персональные данные – это любая информация, которая позволяет идентифицировать физическое лицо. Фото: pixabay.com Точность. Данные должны быть точными, полными и актуальными. Ограничение на хранение. Данные хранятся в течение определенного срока, адекватного цели хранения. Как только цель достигнута или потеряла актуальность, их нужно удалить. Целостность и конфиденциальность. Контролер обязан принять все меры для обеспечения безопасности данных. Подотчетность. Контролеры должны руководствоваться принципами GDPR и должны быть готовы доказать, что соответствуют им. Законная обработка данных Субъект данных должен дать согласие на обработку для конкретных целей. Запрос к нему должен быть изложен простым и понятным языком, согласие дано без принуждения, четко и понятно. Само согласие должно храниться вместе с данными, чтобы в случае чего у компании была возможность доказать, что субъект дал согласие на обработку. Из этого требования есть несколько исключений. Во-первых, если обработка необходима для выполнения контракта, в котором субъект является одной из сторон. Например, если речь идет о покупке в интернет-магазине, это могут быть электронный адрес, адрес доставки, данные банковской карты – то есть то, что необходимо для предоставления услуги. Получение таких данных не требует получения согласия субъекта, так как он сторона договора. Во-вторых, когда обработка необходима для соблюдения юридических обязательств контролера. Это может быть обработка данных новых сотрудников, так как в данном случае речь идет о трудовых отношениях. Кроме того, для защиты жизненных интересов субъекта или другого лица, для исполнения задач государственного органа (например, если гражданин пришел на голосование) и в случае преобладающего законного интереса контролера или третьих лиц. Но Нечепуренко поясняет, что GDPR не прописывает, что именно означает этот пункт. В преамбуле написано, что субъект может ожидать, что обработка данных на основании законного интереса может случиться, однако для этого между субъектом и контролером уже должны быть отношения. Например, субъект может ожидать сообщения о распродаже, хотя он как такового разрешения не давал. Но ссылаться на этот пункт стоит только тогда, когда контролер может доказать его. Права субъекта данных Доступ к данным о себе. Как правило, на подобные запросы нужно отвечать в течение 30 дней. Но если субъекты данных злоупотребляют своим правом и когда слишком много запросов, контролер имеет право или отказать, или установить плату. Право на забвение. Контролер обязан применить внутренние политики, предусматривающие действие в таких ситуациях. Получение отчетов. Субъект данных имеет право требовать отчеты о том, что его данные были удалены или изменены, если это не влечет слишком больших усилий или если это не является невозможным. Наиболее активно ищут нарушителей Франция, Германия и Великобритания. Изображение: pixabay.com Портативность данных. Субъекты данных имеют право получить у контролера собственные данные в машиносчитываемом формате и передать их другому контролеру (не скрывая этого от первого контролера). Такую возможность нужно предусмотреть. Право на возражение. Субъекты могут возражать против обработки их данных. Контролер должен иметь механизмы остановки сбора данных в таком случае. Право на жалобы, представительство и компенсацию. Субъекты имеют право подать жалобу, при этом могут представлять сами себя или обратиться в организацию, которая имеет в своих уставных документах эту функцию – защищать права субъектов данных. Право на исправление ошибок. Право не быть субъектом данных, которые обрабатываются в результате автоматических способов сбора. Вкусы, местонахождение, передвижение и т.д. (Facebook, привет!) Как внедрить стандарты GDPR Самая большая потенциальная проблема для украинского бизнеса в случае нарушения GDPR – это репутационные риски. Также есть риски криминальной и административной ответственности Как объясняет Елена Колченогова, глава Комитета по защите данных Ассоциации Digital Ukraine, регламент подразумевает два вида мер для защиты персональных данных: организационные и технические. Технические требуют privacy by default и privacy by design. Privacy by default – это конфиденциальность по умолчанию. То есть если компании нужно собирать какую-то информацию о субъекте, это можно делать в минимальных необходимых количествах. Под санкции попадают даже те компании, у которых произошла утечка данных, например, вследствие кибератаки Privacy by design – конфиденциальность, которая уже заложена в программное обеспечение. Организационных мер значительно больше. Например, говорится, что записи обработки данных должны включать всю информацию о субъекте, контролере и операторе, а также о самих данных, если данные передаются в третьи страны – эта информация также должна отображаться в записях. Исключение делается для предприятий, где работает менее 250 человек, но не делается, если обработка данных может привести к риску для субъекта данных. Также GDPR рекомендует назначить специалиста, владеющего знаниями о защите персональных данных, который сможет применить GDPR на предприятии – data protection officer. Он нужен, если в компании масштабно происходит обработка данных, если речь идет о государственных или особо чувствительных данных (здравоохранение, биометрия и т.д.). В задачи такого специалиста входит обучение, консультирование (для оценки рисков, например) и контроль. Именно это лицо отвечает за работу с данными перед контролирующими органами и субъектами, хотя в случае нарушений штрафуют не его. Это может быть один человек на несколько организаций, необязательно в штате. Также GDPR рекомендует прописывать политики конфиденциальности, проводить оценку риска используемых данных, если в компании имеет место систематическая масштабная оценка персональных данных, основанная на автоматизированной системе. Например, транспортная организация устанавливает видеонаблюдение или если больница обрабатывает данные пациентов, в том числе иностранцев. Если контролер или оператор находится за пределами ЕС, обработка связана с поставками товаров или услуг, или нужен постоянный мониторинг поведения субъектов данных, компании необходимо назначить представителя в ЕС. И это лицо может быть привлечено к судебным разбирательствам, связанным с обработкой персональных данных. Так ли страшен штраф, как его малюют Как рассказывает Сидоренко, под санкции попадают даже те компании, у которых произошла утечка данных, например, вследствие кибератаки, так как подразумевается, что они не приняли достаточные меры для их защиты. Санкции должны показать людям, что персональные данные – это важно. В каждой стране ЕС уже есть органы, которые отвечают за защиту персональных данных. И в некоторых государствах уже были громкие кейсы со штрафами. По словам Сидоренко, наиболее активно ищут нарушителей Франция, Германия и Великобритания, а Балканские страны, по ее инсайдерской информации, пока относительно лояльны и дают своим компаниям время на адаптацию. Первое, что учитывается в наказании – это природа нарушения, насколько масштабным оно было, какую информацию задело и сколько человек, было ли это целенаправленно или вследствие того, что компания что-то не сделала для защиты Первое, что учитывается в наказании – это природа нарушения, насколько масштабным оно было, какую информацию задело и сколько человек, было ли это целенаправленно или вследствие того, что компания что-то не сделала для защиты. Максимальный штраф – 20 млн евро или 4% годового оборота – налагается, только если компания нарушила несколько принципов, все это будет компилироваться и объединяться в одну сумму штрафа. Эксперт полагает, что после внедрения GDPR о кибератаках на персональные данные будут говорить чаще и приводит несколько примеров. Компания Ticketmaster, которая продает билеты, получила максимальный штраф. Она была взломана 25 июня, а предупредила людей 27-го. Это уже первая и важная характеристика для такого наказания. Вторая – их система ранее была подвержена аудиту, и компания-аудитор предупредила о потенциальной точке взлома. У компании Timeshop, которая анализирует пользовательские данные из соцсетей, тоже максимальный штраф. 4 июля на нее была совершена кибератака и были украдены данные 20 млн человек. IT-специалисты смогли остановить утечку, но она все равно была огромной. У Timeshop не было двойной авторизации для аутентификации в облаке, а это одно из требований GDPR. Защита от утечек персональных данных Как говорит Владимир Кург, R&D-директор компании «ИТ-Интегратор», в информационных системах большинства компаний работают системы защиты информации, которые можно должным образом настроить, чтобы выполнить требования GDPR. Контролер должен видеть, что происходит в системе, где обрабатываются данные, как они «ходят» и на каком этапе находятся. Персональные данные могут находиться в трех состояниях: в покое, в состоянии использования и передачи. Первыми пользуются в первую очередь администраторы, а находятся они обычно в архивах или резервных копиях. Данные в состоянии использования читают, дополняют и используют. На этом этапе у данных могут появляться новые пользователи. Серьезность потери данных пропорциональна числу затрагиваемых пользователей. С точки зрения масштаба утечки самый большой риск – резервные копии Данные в движении – это данные в момент, когда они передаются по локальным или глобальным сетям. В одном из пунктов статьи 83 говорится, что серьезность потери данных пропорциональна числу затрагиваемых пользователей. С точки зрения масштаба утечки самый большой риск, по словам Курга, – резервные копии. И именно на них большинство не обращает внимание. Хотя хищение и утечка резервных копий – это утечка всех данных компании. Минимизировать угрозу для этих данных помогает лицензия на шифрование резервных копий, борьба с «правами бога» администраторов (разделение тех, кто делает резервные копии, и хранителей ключей) и банальная изоляция рабочих мест администраторов, а также блокировка портов для съемных носителей. Так как резервные копии объемные, их утечку можно отследить. Если речь идет о данных в обработке, то как правило, у сотрудников или клиентов компании нет необходимости работать со всеми массивами записей. В данном случае фактор риска – это люди, которые могут инициировать масштабную утечку. Прежде всего администраторы и аналитики, которым для построения каких-то маркетинговых отчетов требуется извлечь очень большой массив пользовательских данных. Минимизировать угрозу позволяют такие классы приложений, как Database Firewall или Web Application Firewalls, а также блокировка прямых интерфейсов баз данных при помощи маскировки. Средства маскировки есть у большинства промышленных баз данных. Для защиты данных и в покое, и в обработке используется псевдоанонимизация, которую не стоит путать с анонимизацией. Анонимизированные данные, согласно директиве, защите не нуждаются. Они могут оставаться в системах, например, для анализа big data. Основное отличие псевдоанонимизированных данных от анонимизированных – это то, что их невозможно идентифицировать по каким-то критериям из внешнего мира. Кург приводит в пример кейс медицинской системы, в которой хранятся данные пациентов в открытом виде и которым нужна защита. Защитить их можно разными способами. Первый – пользователю открываются данные, которые нужны только для его работы. Например, регистратура видит только имя и номер телефона пациента, которому нужно напомнить о визите, а также время приема и специалиста. Это добавляет защищенности данным, но если произойдет утечка базы, то маски не помогут. Псевдоанонимизация – это замена ID физлица и его имени генерируемым кодом, к которому привязываются данные. Часть набора данных, которые однозначно идентифицируют пользователя – номер паспорта, кредитной карты, номер телефона – могут еще и шифроваться. Для данных в движении угрозы невелики, так как в каждый момент времени передается небольшой объем, однако это не отменяет угроз в принципе. Во-первых, в локальной сети это может быть инсайдерский перехват, такие случаи уже были. Администраторы должны шифровать трафик и блокировать съемные носители, потому что многие приложения, в том числе рабочие места систем, создают копии локальных данных. И эти копии можно скинуть на внешний носитель. Также есть системы контроля трафика в сети, которые позволяют отслеживать сеансы пользователей. То есть шифрование предотвращает утечку данных, мониторинг показывает ее и позволяет блокировать. Во-вторых, фишинг. Классика фишинга – рассылка с имитацией фирменного стиля сайта со ссылкой на копию, где невнимательный пользователь оставляет свои данные. Защита от фишинга лежит прежде всего в юридической плоскости. Но также стоит покупать правильные сертификаты безопасности для сайтов и не экономить на этом моменте. Например, есть более дорогие сертификаты, удостоверяющие организацию.
Подробней
18 июля 2018
GDPR: НОВЫЕ СТАНДАРТЫ
Эксперты Nota Group рассказали о внедрении GDPR в бизнес. 10 июля в Киеве состоялась масштабная конференция «GDPR в Украине: инструкция по внедрению новых стандартов». Организовала мероприятие ассоциация Digital Ukraine, которая пригласила на мероприятие ведущих специалистов в сфере юриспруденции и кибербезопасности, а также сертифицированных офицеров по защите данных(DPO). Эксперты выступали в двух панелях – организационно-юридической и технической. Послушать доклады пришли около 200 человек – представители госструктур, IT-компаний, интернет-магазинов, турфирм, отелей, разработчики приложений для соцсетей, социологи и другие специалисты, сталкивающиеся с необходимостью сбора и обработки данных пользователей в своей работе. «В мае-июне мы слышали много теоретических изысканий на тему GDPR и вот сегодня реальные люди, обученные и сертифицированные офицеры по защите данных расскажут, как это практически внедряется», – сказал в своем приветственном слове глава наблюдательного совета «Октава Капитал» и основатель компании «Октава Киберзахист» Александр Кардаков. Как объяснила ведущий юрист Nota Group Юлия Нечепуренко, в контексте GDPR персональные данные — это любая информация, которая относится к физическому лицу, которое идентифицировано или может быть идентифицировано (имя, ИНН, данные о местоположении и прочее). Кроме них существуют «чувствительные данные», обработка которых несет в себе более высокие риски, а значит требует более строгих мер обеспечения безопасности (политические взгляды, этническая принадлежность, вероисповедание, генетические и биометрические данные и прочее). Также в регламенте прописано четыре основных действующих лица: субъект - гражданин ЕС, контролер - организация, которая определяет способ и цели обработки, оператор - обработчик данных и контролирующие органы, которые созданы в каждой стране ЕС. В целом же GDPR может применяться к тем, кто имеет компанию или официальное представительство в Евросоюзе. Также к украинским компаниям, чьи субъекты данных находятся в ЕС. Итак, за что же именно можно получить штраф и от чего зависит его размер? На эти вопросы ответила координатор группы IT и кибербезопасности юридической фирмы Sayenko Kharenko Дарина Сидоренко: «Санкции налагаются за нарушение защиты персональных данных, а именно – нарушение безопасности, приводящее к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию или доступу к персональным данным, переданным, сохраненным или иным образом обработанным компанией. При этом у имплементации GDPR помимо организационной стороны, есть не менее важная – техническая. Как защитить данные своих клиентов от утечки, какие технологии использовать для этого и чего компаниям требовать от своих служб ИТ-безопасности, рассказал R&D-директор компании «ИТ-Интегратор» Владимир Кург: «Хорошая новость в том, что в большинстве компаний работают системы защиты информации, которые можно просто правильно настроить для выполнения GDPR. С точки зрения масштаба разовой утечки самый большой риск – это резервная копия. Для минимизации угрозы нужно обязательно купить лицензию на шифрование резервных копий при создании». Также эксперт советует бороться с полными правами администраторов: «Нужно разделить роли на владельца, бекап-оператора (делает резервные копии) и хранителя ключей (выдает их для восстановления в нужное время). Также рабочие места администраторов должны быть изолированы, а съёмные носители - блокированы. Контроль потоков данных должен происходить через периметр корпоративной сети, поскольку резервные копии объёмны и их утечку легко отследить. Источник
Подробней
16 июля 2018
КАК ОБЕЗОПАСИТЬ СВОЙ БИЗНЕС ОТ РЕЙДЕРОВ
Рейдеры - страшный сон любого предпринимателя. Во времена кризиса их активность и аппетиты растут в геометрической прогрессии. Как понять, что ваш бизнес "на мушке" и защититься? Рейдеры - страшный сон любого предпринимателя. Во времена кризиса их активность и аппетиты растут в геометрической прогрессии. От посягательств рейдеров на сто процентов не застрахован ни один вид бизнеса. Не думайте, что если у вас, к примеру, цветочная лавка или кофейная точка, то вы в безопасности. Вы ровно в той же зоне риска, что и владелцы крупных компаний, для которых война с захватчиками – сродни, биты титанов. Так как же понять, что ваш бизнес «на мушке» рейдеров?  Из опыта могу сказать, что обычно под прицел попадают компании с низким уровнем юридической защиты, внушительными внешними долгами, но чаще всего – те, кто работают «в серую» или с нарушениями. Аферисты тщательно изучают свою жертву: оценивают инвестиционную привлекательность бизнеса, размер прибыли, финансовую отчетность, кредитную историю. Также смотрят на репутацию компании, оценивают законность ведения бизнеса, собирают информацию о сотрудниках и узнают о наличии конфликтов внутри организации. Чем больше таких «слепых зон», тем выше риск быть «взятыми на абордаж» рейдерами. Итак, как это происходит? Развенчаю еще один миф – рейдеры уже давно не выглядят как лысые парни спортивной внешности из далеких 90-х. Теперь это солидные люди в пиджаках, с обширными знаниями в юриспруденции и финансах, а еще с «нужными связями» и креативным мышлением. Силовой захват предприятия отошел на второй план, уступив дорогу более «цивилизованным методам». Сегодня в ход идет враждебное поглощение и манипуляция с банкротством. В первом случае мошенники берут акции компании за гроши через подставных людей и получают блокирующий пакет. С ним они уже могут делать все что угодно, от замены руководства до продажи предприятия. Еще один коронный прием аферистов – выкупить кредиты предприятия и добиться через суд начала процедуры банкротства. Не думайте, что чистая кредитная история вас спасет. Долги могут появиться как по взмаху волшебной палочки, ведь коррупция и фальсификация, зачастую неотъемлемые части рейдерского захвата. А дальше все по обкатанному сценарию: стоимость активов стремительно падает и за копейки они уходят злоумышленникам. Есть еще множество более изощренных схем, описание которых запросто уместилось бы в собрание сочинений. Но, так или иначе, даже в наше время есть те, кто работают по старинке: «отжать» бизнес можно за пару часов, если на руках есть подделанное решение суда, а за плечами - парни в балаклавах. КАК БОРОТЬСЯ. При любом из этих сценариев действовать нужно мгновенно, ведь каждый потраченный день, а то и час уменьшает шансы собственника вернуть отнятое. Как обезопасить свой бизнес? Есть прекрасная поговорка: «Если хотите мира – готовьтесь к войне». Потому, своим клиентам я рекомендую заранее разработать комплекс мер для отражения атаки. С чего начать? Прежде всего, следует привести в порядок все учредительные документы, сделать их нотариально заверенные копии и спрятать оба варианта в надежном месте вместе с печатями. Второе золотое правило – коммуникация между руководством и юристами должна быть налажена, как швейцарские часы. В моей практике были десятки примеров, когда крупные компании отбивались от рейдеров своим управленческо-юридическим щитом. Юристы также могут заранее проработать ряд правовых ловушек, в которые угодят аферисты в случае захвата. Еще один совет: постоянно отслеживайте происходящее с вашим бизнесом по открытым источникам.  Ваш секретарь запросто справиться с поиском информации в реестре прав собственности. Причем я всегда рекомендую мониторить не только свой бизнес, но и информацию о контрагентах, должниках, кредиторах и соучредителях. Следующий шаг – работа с персоналом компании. Важно определить круг лиц, которым вы доверяете и убедиться, что шпионы в ваши ряды не затесались. Ну и конечно же не жалейте денег на видеонаблюдение, техсредства и качественную охрану. Именно они помогут вам выиграть время в случае силовой атаки. В идеале для сотрудников раз в полгода нужно проводить «боевые учения», чтобы в случае реально атаки все знали свою партию. Но что делать, если захват уже происходит? Быстро собраться с мыслями и приготовится принять ряд правильных решений. Для начала под руководством юриста как можно скорее нужно создать центр принятия решений. В идеале, помимо юристов и собственника (собственников), туда должны входить руководитель предприятия, финансовый директор и главный бухгалтер. Но на деле же у рейдеров зачастую есть «крот» внутри организации, потому круг доверия может быть уже. Следующий шаг – обезопасить, а лучше вывезти из здания, все основные документы. Это могут быть протоколы общих собраний, договоры между соучредителями, устав, лицензии, правоустанавливающие документы и прочее. Если захват силовой, то лучше сразу вызывать полицию.  Как минимум — зафиксировать происходящее. Как максимум — убедить их стать на вашу сторону. Если поводом для вторжения стало незаконное изменение данных в реестрах, не теряя ни минуты обращайтесь в комиссию Минюста по вопросам рассмотрения жалоб в сфере госрегистрации. Если захватчики манипулируют судебным решением - оспаривайте его или собирайте доказательства фальсификации. Также рейдеры могут наведаться с решением суда об обеспечении какого-нибудь иска. В такой ситуации срочно готовьте ходатайство о снятии этого обеспечения, штурмуйте с ним суд и помните – ваше обращение обязаны рассмотреть в течении суток. В любом случае решение всех этих проблем лучше делегировать профессионалам. Параллельно не лишним будет придать ситуации огласку и по возможности подключить медиа. Помните: публичность – худший враг рейдера. Чем же закончится эта история? Тут открытый финал, ведь рейдерский захват может длиться от одного дня до нескольких лет. Все зависит от уровня подготовки бизнеса и профессионализма кризисной команды. Предупрежден — значит вооружен, а потому вывод: не жалейте ни времени, ни средств на безопасность своего предприятия. Источник
Подробней
12 июля 2018
GDPR: КАК ВНЕДРИТЬ НОВЫЕ СТАНДАРТЫ В СВОЙ БИЗНЕС
Много шума в украинских бизнес-кругах наделал новый регламент о защите персональных данных General Data Protection Regulation, который вступил в силу в конце мая в Евросоюзе. Теперь под многомилионные штрафы за несоблюдение регламента подпадают и компании-нерезиденты ЕС, которые обрабатывают данные европейских граждан. Потому у наших компаний возникло много вопросов и домыслов на этот счет. Разобраться в вопросе и развеять все мифы помогла масштабная конференция «GDPR в Украине: инструкция по внедрению новых стандартов», которая состоялась в самом центре столицы в минувший вторник, 10 июля. Организовала мероприятие ассоциация Digital Ukraine, которая пригласила расставить «все точки над и» ведущих специалистов в сфере юриспруденции и кибербезопасности, а также сертифицированных офицеров по защите данных(DPO). Эксперты выступали в двух панелях – организационно-юридической и технической. Послушать доклады пришли около 200 человек – представители госструктур, IT-компаний, интернет-магазинов, турфирм, отелей, разработчики приложений для соцсетей, социологи и другие специалисты,  сталкивающиеся с необходимостью сбора и обработки данных пользователей в своей работе. «Сегодня мы действительно понимаем: хотим работать с внешним миром — нужно жить по тем правилам, которые там установлены. Не хотим – можем жить у себя. В мае-июне мы слышали много теоретических изысканий на тему GDPR и вот сегодня реальные люди, обученные и сертифицированные офицеры по защите данных расскажут, как это практически внедряется», — сказал в своем приветственном слове глава наблюдательного совета «Октава Капитал» и основатель компании «Октава Киберзахист» Александр Кардаков. Как объяснила ведущий юрист Nota Group Юлия Нечепуренко, в контексте GDPR персональные данные — это любая информация, которая относится к физическому лицу, которое идентифицировано или может быть идентифицировано (имя, ИНН, данные о местоположении и прочее). Кроме них существуют «чувствительные данные», обработка которых несет в себе более высокие риски, а значит требует более строгих мер обеспечения безопасности (политические взгляды, этническая принадлежность, вероисповедание, генетические и биометрические данные и прочее). Также в регламенте прописано четыре основных действующих лица: субъект — гражданин ЕС, контролер — организация, которая определяет способ и цели обработки, оператор — обработчик данных и контролирующие органы, которые созданы в каждой стране ЕС. «В целом же GDPR может применяться к тем, кто имеет компанию или официальное представительство в Евросоюзе. Также к украинским компаниям, чьи субъекты данных находятся в ЕС. Здесь есть важный момент – связана ли обработка этих персональных данных с предложением товара или услуг. Например, сайт должен иметь версию на одном из языков стран ЕС или на нем должна быть возможность рассчитаться в евро. Также под регламент подпадают те, кто обрабатывает данные в связи с мониторингом поведения европейцев. Это может быть, например, анализ соцсетей», — пояснила Нечепуренко. По ее словам, в соответствии с регламентом, например, до обработки данных контролер должен запрашивать согласие субъектов на такую обработку, четко обозначать цель обработки простым и понятным языком. Итак, за что же именно можно получить штраф и от чего зависит его размер? На эти вопросы ответила координатор группы IT и кибербезопасности юридической фирмы Sayenko Kharenko Дарина Сидоренко: «Санкции налагаются за нарушение защиты персональных данных, а именно – нарушение безопасности, приводящее к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию или доступу к персональным данным, переданным, сохраненным или иным образом обработанным компанией. Что касается физических лиц, которые также могут быть контролерами данных, то в случае незначительного нарушения вместо штрафа к ним может быть применен выговор. Например, если Вы – ФОП и продаете через интернет сайт в Европе сувениры ручной работы, вам не угрожают штрафы в больших размерах». Максимальная сумма, на которую могут оштрафовать контроллеров и операторов, составляет до 20 миллионов евро или 4 % годового оборота компании. «Сумма штрафа зависит от того, скольких людей затронула утечка данных, какой вред нанесла, продолжительности нарушения, это намеренная внешняя атака или она произошла из-за того, что компания не внедрила в свою систему безопасности необходимые технические решения для сохранности данных своих клиентов. Критериев много, но максимальный штраф будет наложен, если нарушение компании включает сразу несколько критериев Регламента, – говорит Сидоренко. – Примером возможного применения максимального штрафа может быть случай компании по продаже билетов Ticketmaster, которая 23 июня 2018 признала, что у нее произошел взлом в системе безопасности, который затронул более 40 тысяч британских клиентов. Клиентам о взломе сообщили 27 июня 2018, что является нарушением норм Регламента, поскольку Ticketmaster должна была оповестить клиентов в течение 72 часов с момента взлома. Более того, fintech фирма Monzo обнаружила мошенническую активность по картам клиентов Ticketmaster еще в апреле и предупредила компанию о потенциальной атаке 12 апреля 2018. Исходя из этих критериев, компании грозит наложение максимального штрафа, поскольку она знала об угрозе, но не предприняла необходимых шагов по предотвращению взлома, а просто проигнорировала предупреждение». Что делать предприятию, чтобы избежать негативных последствий и сохранить репутацию, объяснила глава Комитета по защите данных Ассоциации Digital Ukraine и ведущий юрист Nota Group Елена Колченогова, которая является сертифицированным офицером по защите данных (DPO). Организационных мер регламент предлагает много: вести записи обработки данных, назначить офицера по защите данных (DPO) и представителя в ЕС, провести оценку воздействия операций обработки на защиту данных (DPIA), пройти сертификацию, внедрить кодекс поведения на предприятии, принять политики конфиденциальности и прочие. «Во-первых, каждый контроллер должен вести запись обработки данных в письменной и электронной форме. Должна фиксироваться информация о том, кто и какие данные, у кого собирает и куда передает. Этого могут не делать только фирмы, где работает менее 250 сотрудников, хотя и здесь могут быть исключения — говорит Колченогова. – Во-вторых, рекомендовано, а в определенных случаях обязательно, назначить DPO, который может быть штатным сотрудником или привлеченным по аутсорсингу, что более предпочтительно, поскольку такой специалист должен быть независим в принятие решений. DPO — это специалист по защите данных, который владеет экспертными знаниями в области права и практике защиты персональных данных и который следит за соблюдением положений и принципов GDPR на предприятии. Также он должен обучать персонал соблюдению регламента и быть контактным лицом с органами надзора и субъектами данных. В-третьих, чтобы соответствовать GDPR, компания может пройти добровольную сертификацию на три года у аккредитованных в ЕС юрлиц. Но эта система пока в стадии разработки» При этом у имплементации GDPR помимо организационной стороны, есть не менее важная – техническая. Как защитить данные своих клиентов от утечки, какие технологии использовать для этого и чего компаниям требовать от своих служб ИТ-безопасности, рассказал R&D-директор компании «ИТ-Интегратор» Владимир Кург: «Хорошая новость в том, что в большинстве компаний работают системы защиты информации, которые можно просто правильно настроить для выполнения GDPR. С точки зрения масштаба разовой утечки самый большой риск – это резервная копия. Для минимизации угрозы нужно обязательно купить лицензию на шифрование резервных копий при создании». Также эксперт советует бороться с полными правами администраторов: «Нужно разделить роли на владельца, бекап-оператора (делает резервные копии) и хранителя ключей (выдает их для восстановления в нужное время). Также рабочие места администраторов должны быть изолированы, а съёмные носители — блокированы. Контроль потоков данных должен происходить через периметр корпоративной сети, поскольку резервные копии объёмны и их утечку легко отследить. Также есть риск утечки данных через администраторов и аналитиков. Потому нужно вместе с внешним файрволом установить такой же и для внутренней сети. Он выявит несанкционированное получение большого массива данных», – говорит Кург. Еще одно средство маскировки информации – «маскировка» избыточных для конкретной рабочей роли полей базы данных. Если пользователю не нужно видеть для работы, например, номер банковской карты, для него он будет скрыт. Ирина Артишук, руководитель группы по работе с партнерами компании «АВТОР», считает: «GDPR не предусматривает каких-то конкретных технических средств для защиты персональных данных. При этом согласно требований GDPR необходимо обеспечить целостность и конфиденциальность персональных данных, а также и контроль доступа к ним. В связи с этим наша компания рекомендует использовать двухфакторную аутентификацию для решения задач защиты персональных данных согласно GDPR. Суть ее заключается в том, что для успешной аутентификации нужны как минимум два фактора: «чем-то владеть» – наличие физического носителя (смартфон, аппаратный токен, OTP-токен, смарт-карта), «что-то знать» — логин и пароль или пин-код доступа к аппаратному устройству. В информационных системах это является важным элементом защиты персональных данных и распределения доступа к информации. По статистике, более 80% компьютерных взломов проходят из-за ненадежных паролей. Потому компаниям, которые все еще пользуются этим методом, советую пересмотреть подход». Источник
Подробней
12 июля 2018
GDPR ДЛЯ ВСІХ: ЯК УКРАЇНСЬКИМ ПІДПРИЄМЦЯМ ЗАПРОВАДИТИ ЄВРОПЕЙСЬКИЙ РЕГЛАМЕНТ
Права користувачів і обов'язки компаній, або як не «попасти» на багатомільйонні штрафи. Чи зможуть українські підприємці спокійно продовжувати співпрацювати з європейськими компаніями без загрози отримати багатомільйонний штраф за порушення норм Загального регламенту захисту даних (GDPR) Євросоюзу? Про те, як впровадити європейський регламент в український бізнес, розповіли на конференції «GDPR в Україні: інструкція з впровадження нових стандартів у бізнес», яку організувала асоціація Digital Ukraine 10 липня за підтримки компанії «IT-Інтегратор». KFund Media спробував виділити ключові моменти. Які права мають користувачі? Ключова вимога GDPR – збір персональних даних користувачів можна проводити тільки з чіткою і конкретною метою. В іншому випадку, обробка даних буде вважатися незаконною, підкреслила провідний фахівець Nota Group Юлія Нечепуренко. Винятком може стати збір персональних даних, наприклад, для створення статистики в громадських цілях. Підприємці можуть збирати тільки необхідні дані. Наприклад, авіакомпанія, що зазвичай використовує електронну адресу і паспортні дані користувачів, в жодному разі не може збирати дані про політичні переконання. Регламент GDPR зобов’язує компанію отримати дозвіл користувачів в цифровому вигляді на обробку їхніх даних для конкретної мети. Як тільки мета досягнута, дані слід видалити відповідно до принципу обмеженого в часі зберігання. Користувачі мають право зробити запит на свої персональні дані, щоб, наприклад, дізнатися мету їх обробки. Компанії повинні відповісти на запит протягом 30 днів, якщо відправники не зловживають своїми правами. Користувачі також мають право вимагати видалити їхні дані або оскаржити обробку даних в судовому порядку, отримавши компенсацію. Українські компанії, які мають контрагентів в Європі, повинні впровадити всі необхідні технічні заходи для дотримання прав користувачів. «GDPR матиме лише позитивний вплив на український бізнес», – впевнена Юлія Нечепуренко. Навіщо потрібен Data Protection Officer? Регламент GDPR зобов’язує компанії вжити технічних та організаційних заходів. У першому випадку, мова йде про технічну діагностику процесів збору і зберігання даних. Організаційні заходи включають дві важливі складові: - запис обробки даних (документування інформації про компанії, процеси збору даних і користувачів), - введення посади спеціального Data Protection Officer (DPO, директора з питань захисту даних). «Data Protection Officer – це фахівець, який володіє необхідними знаннями щодо захисту персональних даних», – пояснила суть своїх обов’язків сертифікований DPO та провідний спеціаліст Nota Group Олена Колченогова. Це робота для юриста, що вимагає великих знань в сфері права. DPO повинен повністю контролювати безпеку персональних даних і оцінювати ризики (Data Protection Assessment). Саме він повинен навчити інших співробітників працювати з персональними даними користувачів. Втім, тільки оцінити ризики і навчити персонал недостатньо, уточнила Колченогова. Гарантію може дати лише спеціальний сертифікат про відповідність фірми всім критеріям GDPR, який видають на три роки. Чим загрожує недотримання GDPR? Згідно ст. 4 GDPR, за порушення регламенту, наприклад, неправильне зберігання або крадіжку персональних даних, компанії загрожує адміністративне покарання. Малий бізнес на перший раз може відбутися попередженням. Залежно від тяжкості порушення регламент передбачає: - штраф €10 млн, або 2% від річного глобального обороту компанії; - штраф €20 млн, або 4% від річного глобального обороту компанії. «Найвищі адміністративні штрафи накладають, якщо компанія порушила кілька норм регламенту», – уточнила координатор групи IT та кібербезпеки юридичної компанії Sayenko Kharenko Дарина Сидоренко. У Німеччині, Франції, Іспанії і Великобританії вже активно перевіряють компанії на предмет порушення регламенту, розповіла вона. У той же час, влада країн Балтії дали місцевим компаніям час на перебудову діяльності відповідно до GDPR. Однією з перших «жертв» європейського регламенту став американський організатор концертів Ticketmaster, розповіла Дарина Сидоренко. У суботу, 23 червня, компанія виявила злом системи, проте повідомила про це своїм користувачам тільки через чотири дні, 27 червня. За GDPR, вона зобов’язана була зробити це протягом 72 годин. Незадовго до інциденту в компанії пройшов аудит систем безпеки, який показав її кібервразливість. У Ticketmaster не поспішали закривати діри в безпеці. Тепер компанії загрожує штраф від €20 млн. Источник
Подробней
22 июня 2018
NOTA GROUP ВОШЛА В ПЯТЕРКУ ЛУЧШИХ АУТСОРСИНГОВЫХ КОМПАНИЙ УКРАИНЫ ПО ВЕРСИИ ЖУРНАЛА SBR
Аутсорсинговые услуги набирают популярности в Украине. В нашей стране 45 брендов предоставляют услуги аутсорсинга бизнес-процессов в финансовой и юридической сферах.  Объем рынка юридических и бухгалтерских услуг в 2017 г. составил около 15 млрд грн. Самыми крупными игроками являются пять международных компаний Ernst&Young, PricewaterhouseCoopers, Deloitte, KPMG, McKinsey, которые занимают 75% рынка. Поэтому их мы не включили в рейтинг, дав тем самым возможность остальным участникам рейтинга шанс на первенство. В short list редакции SBR вошло четыре десятка украинских компаний, предоставляющих аутсорсинговые услуги. Всем номинантам было предложено заполнить анкеты. На основании данных из опроса и открытых источников был составлен рейтинг из 10 лучших аутсорсинговых компаний Украины. При ранжировании учитывались такие показатели, как количество клиентов, отзывы клиентов, количество услуг на аутсорс, соотношение цена-качество услуг, количество сотрудников компании, оборот компании и уровень сервиса. 1 место — EBS EBS — украинская консалтинговая компания, которая была создана как единый консультационный центр, предназначенный для поддержки выхода новых игроков на рынок. EBS содействует в развитии и решает повседневные задачи украинских компаний, а также международных инвесторов. Спектр услуг EBS включает аутсорсинг бухгалтерского учета, подготовку финансовой и налоговой отчетности, подготовку управленческой отчетности, аутсорсинг начисления и выплаты заработной платы, аутсорсинг услуг финансового директора на временной основе, финансовую отчетность по международным стандартам и др. Миссия компании  – существуем для того, чтобы помогать компаниям в Украине достигать выдающихся результатов.  Мы делаем значительный вклад в успех каждой отдельной компании с целью содействия экономическому росту в Украине. Мы любим то, что мы делаем! Количество сотрудников компании 132 Количество клиентов 160 Количество услуг на аутсорсинг 9   2 место — Дмитриева и Партнеры Фирма «Дмитриева и партнеры» завоевала авторитет на рынке юридических аутсорсинговых услуг, как в Украине, так и за ее пределами. Компания предоставляет комплексные услуги по решению юридических, налоговых, бухгалтерских вопросов клиентам из Украины и других стран мира. «Дмитриева и Партнеры» предоставляет аутсорс-услуги в следующих направлениях юридического сопровождения бизнеса: cудебная практика, налоговое право, трудовое право, корпоративное право, инвестиции и валютное регулирование, внешнеэкономическая деятельность, комплайенс и др. Миссия компании – развивать и внедрять на практике абсолютную прозрачность, легитимность и надежность ведения бизнеса, неукоснительно следуя законам и общественным установкам. Количество сотрудников компании 16 Количество клиентов 300 Кол-во услуг на аутсорсинг 15   3 место — Finance Solutions Group Finance Solutions Group (FSG) – независимая специализированная компания, провайдер комплексных  решений для повышения эффективности бизнеса. Компания была основана практикующими экспертами, владеющими разными техниками эффективного управления ресурсами бизнеса и проектного менеджмента.  Компания предоставляет аутсорсинг бухгалтерского учета, функций CFO, кадрового учета, казначейства, подготовки налоговой, управленческой, финансовой и МСФО-отчетности. Миссия компании – способствовать эффективности бизнеса и финансовому благосостоянию своих клиентов посредством развития, обучения, внедрения и усовершенствования предлагаемых решений. Количество сотрудников компании 17 Количество клиентов 45 Кол-во услуг на аутсорсинг 8   4 место — Nota Group Nota Group – компания, предоставляющая для бизнеса полный спектр финансовых, бухгалтерских, юридических услуг, а также тендерное сопровождение, построение функции корпоративной безопасности и форензик. Среди аутсорсинговых услуг компании правовое абонентское сопровождение, сопровождение отдельных сделок, юридические тренинги для бизнеса, тендерные процедуры, управленческий учет, казначейство, налоговое планирование, финансовый менеджмент, бухгалтерское сопровождение, разработка мотивационных программ, подбор персонала, кадровый аудит, кадровый учет, начисление заработной платы, корпоративная безопасность, форензик. Миссия компании – за счет опытной команды, отличного знания структуры построения бизнеса, широкого спектра услуг, умения смотреть на ведение дел глазами собственника и просчитывать риски и угрозы, создать комфортное поле для работы клиента. Количество сотрудников компании 33 Количество клиентов 14 Кол-во услуг на аутсорсинг 16   5 место — BDO в Украине Организация BDO была основана в Европе, имеет богатую многолетнюю историю и представлена в 162 странах мира. BDO в Украине — аудиторско-консалтинговая компания, которая оказывает широкий спектр услуг, в том числе и аутсорсинговые, которые являются лишь одним из видов ее деятельности . Среди них ­– бухгалтерский аутсорсинг – по ПСБУ и МСФО, расчет заработной платы, кадровый аутсорсинг и делопроизводство, регистрация и ликвидация предприятий и представительств, налоговое и юридические консультирование. Миссия компании – быть лидером исключительного качества обслуживания клиентов. Количество сотрудников в отделе аутсорсинга 15 Количество клиентов 30 Кол-во услуг на аутсорсинг 5 Вторая пятерка рейтинга Данные компании давно существуют на рынке аутсорсинга бизнес-процессов и также заслуживают вашего внимания. Информация о них взята из открытых источников, поэтому компании перечислены без ранжирования. Дебет и кредит Компания много лет специализируется на бухгалтерском аутсорсинге, а также предоставляет юридические и аудиторские услуги.  Ведя бизнес в различных сферах – торговля, производство, услуги­ – специалисты компании предлагают клиентам решения для эффективного развития и роста бизнеса в любых экономических условиях. Также компания помогает оперативно решить вопросы, возникающие с налоговой службой, пенсионным фондом и другими государственными органами. Elma Consulting Компания обеспечивает комплексное сопровождение предприятий малого и среднего бизнеса путем предоставления бухгалтерских, юридических и консультационных услуг, от регистрации бизнеса до полного правового обеспечения хозяйственной деятельности. На предприятии внедрена автоматизация бизнес-процессов, внутренняя система контроля качества и ряд других инновационных разработок, которые гарантируют высокое качество обслуживания. Global Consulting Компания поддерживает владельцев малого и среднего бизнеса, оказывая профессиональные услуги для открытия и развития собственного дела: аудиторские, бухгалтерские, юридические услуги, управленческий консалтинг. В Украине работает два офиса – в Киеве и Харькове. В компании работают сертифицированные налоговые консультанты и аудиторы, бухгалтеры, адвокаты и юристы. За долгое время работы на рынке Global Consulting  стала членом нескольких престижных международных ассоциаций. ГК «ОЛ. Консалтинг» Группа «ОЛ. Консалтинг» предоставляет широкий спектр консалтинговых услуг силами высококвалифицированных специалистов: аудиторов, бухгалтеров-экспертов, адвокатов, юристов, бизнес-тренеров, которые могут дать ответ на большинство вопросов и помочь решить проблемы, возникающие в текущей хозяйственной и коммерческой деятельности субъектов предпринимательства. Услуги компании: информационная поддержка и отраслевые исследования, поиск партнеров и отношения с органами власти, Business Start up, бизнес-консалтинг, слияние и поглощение компаний, управление проектами, юридические услуги, финансовые консультации, бухгалтерский учет и налоговое планирование, корпоративные тренинги. ГК «Сова» Аутсорсинговая компания «СОВА» предоставляет услуги кадрового учета и расчета заработной платы компаниям, которые работают в разных сферах бизнеса, во всех регионах Украины и за ее пределами. Среди клиентов компании – государственные и коммерческие учреждения. Компания предоставляет услуги по подбору персонала, аутсорсингу персонала, аутстаффингуперсонала, аутсорсингу кадрового делопроизводства, кадровому аудиту, аутсорсингу расчета заработной платы. Источник
Подробней