Яку відповідальність несе бізнес, розкриваючи інформацію про клієнтів?

Витік інформації про мільйони клієнтів

Міністерство громадської безпеки вказало на низку технологічних підприємств, які витікали інформацію про клієнтів, або брокерських компаній таксі, які використовували витік інформації про пасажирів для пропонування послуг через SMS-повідомлення... Міністерство громадської безпеки також заявило, що поточна ситуація з витоком та продажем персональних даних є поширеною, публічною та дедалі складнішою. ​​Що ще серйозніше, багато даних продаються публічно протягом тривалого часу у великих кількостях у кіберпросторі. Купівля та продаж відбувається не лише індивідуально, між окремими особами, але й передбачає участь компаній, організацій та підприємств.

У 2018 році на технологічних форумах з'явилася інформація про витік Thegioididong.com та отримання хакерами важливої ​​інформації, такої як адреси електронної пошти, історія транзакцій і навіть номери карток, що викликало занепокоєння у мільйонів клієнтів. Gioi Di Dong негайно опублікував прес-реліз, підтверджуючи, що це фейкова інформація, система все ще безпечна, працює нормально і не постраждала. Після цього все поступово затихло.

У квітні 2018 року VNG зафіксувала, що 160 мільйонів облікових записів Zing ID перебувають під загрозою витоку інформації, що може вплинути на частину файлів ігрових клієнтів компанії. Компанія заявила, що оперативно вжила заходів для обробки, запобігання вторгненням та обмеження кількості користувачів, які постраждали від інциденту, за допомогою технічних заходів. Однак VNG визнала, що інформація про низку користувачів сталася, але «коло користувачів, яких фактично торкнувся цей інцидент, невелике, зосереджене серед ігрових клієнтів і не впливає на інші продукти VNG», і пообіцяла завжди забезпечувати права та безпеку клієнтів, а також ретельно вирішувати будь-які проблеми, що виникають у клієнтів...

За словами пана Во До Тханга з Центру кібербезпеки Athena, у конкретних випадках, подібних до того, що згадано Міністерством громадської безпеки, має бути проведене розслідування, щоб з'ясувати, чи була система компанії атакована, чи співробітники компанії вкрали дані та оприлюднили їх. Але якою б не була причина, витік даних означає, що система компанії має вразливість. Вразливість тут може бути технічною або людською. Тому забезпечення безпеки мережі загалом або захист персональних даних клієнтів повинні контролюватися та впроваджуватися регулярно 24/24, 365 днів на рік без недбалості. Тому що ніхто не може наважитися стверджувати, що його система завжди безпечна, оскільки хакери можуть атакувати будь-коли. Не кажучи вже про ситуацію, коли власні співробітники компанії крадуть дані клієнтів, щоб продати їх стороннім особам...

У світі існують суворі покарання, але у В'єтнамі мало санкцій.

Останнім часом сталася низка випадків витоку інформації про клієнтів, але майже жодного підрозділу не було покарано чи застосовано санкції. Тим часом країни світу запровадили суворі покарання за таку поведінку. Наприклад, у липні 2019 року Федеральна торгова комісія США вирішила оштрафувати Facebook на 5 мільярдів доларів США після того, як Cambridge Analytica отримала доступ до персональних даних 87 мільйонів користувачів цієї соціальної мережі та незаконно їх використовувала. Згідно з розслідуванням, Facebook дозволила Cambridge Analytica незаконно отримати доступ до даних 50 мільйонів користувачів США під час президентської виборчої кампанії 2016 року, а також референдуму щодо Brexit у Великій Британії у 2016 році... Це найбільший у світі штраф за скандал, у якому стався витік даних користувачів.

У В'єтнамі існує багато нормативних актів, пов'язаних зі штрафами за витік та розголошення інформації. Наразі, проект Указу про штрафи за адміністративні порушення у сфері мережевої безпеки (який перебуває на консультаціях та очікує на оприлюднення урядом) передбачає, що максимальним покаранням для організацій, які порушують правила захисту персональних даних, є штраф у розмірі до 5% від загального доходу попереднього фінансового року у В'єтнамі за друге або більше порушень. Водночас може бути передбачено додаткове покарання у вигляді анулювання ліцензії на ведення бізнесу в галузі, яка вимагає збору персональних даних протягом 1-3 місяців.

Пан Ву Нгок Сон, технічний директор компанії VN Cyber ​​​​Security Technology Company, зазначив, що досі, через відсутність детальних правил щодо захисту персональних даних, підприємства та організації, які порушують правила, підлягатимуть лише адміністративним стягненням. Тому запропонований максимальний штраф у розмірі до 5% від загального доходу в майбутньому проекті підходить для В'єтнаму та має стримуючий ефект, завдяки чому підрозділи несуть більшу відповідальність за захист даних клієнтів. Однак, за словами пана Сона, цей штраф все ще не є високим порівняно зі світом. Оскільки в багатьох країнах більшість штрафів будуть нараховуватися на основі масштабу впливу кожного порушення. Наприклад, якщо є порушення, яке походить від малого бізнесу, але серйозно впливає на велику кількість користувачів, штраф все одно буде дуже великим. «У В'єтнамі досі немає шкали для оцінки впливу кожного випадку витоку персональної інформації, тому цілком розумно запропонувати штраф на основі доходу. Я думаю, що це буде новим кроком вперед у процесі контролю та захисту персональних даних людей», – сказав пан Ву Нгок Сон.

Погоджуючись, пан Во До Тханг зазначив, що наявність більш детальних правил щодо конкретних та публічних адміністративних стягнень за дії, пов'язані із захистом персональних даних клієнтів, змусить підприємства переглянути свої системи мережевої безпеки. Існує процес регулярної оцінки та моніторингу як технічних, так і людських ресурсів для забезпечення конфіденційності інформації про клієнтів. Це схоже на правила щодо забезпечення пожежної безпеки в офісних будівлях та місцях скупчення людей. Державним органам управління також необхідно посилити інспекції, нагляд та суворе покарання підприємств-порушників. Перше порушення може бути оприлюднено в засобах масової інформації; друге порушення тягне за собою відповідні адміністративні стягнення, а потім послуга може бути призупинена на певний період часу, щоб підприємство могло зміцнити свою систему мережевої безпеки.