Ваш фитнес-бизнес пострадал от утечки данных. Что теперь?

Термин "утечка данных" обычно является одним из последних, о чем хочет услышать владелец или оператор фитнес-клуба. Этого достаточно, чтобы заставить вспотеть самого искушенного владельца бизнеса. Прежде чем ваш пульс выйдет за пределы красной зоны, не забывайте дышать. Есть несколько лучших методов, которые вы можете использовать в ответ на утечку данных.

Вы уже предприняли все необходимые шаги для защиты конфиденциальных, секретных или иным образом защищенных данных ваших членов и сотрудников. Однако даже если вы все делаете правильно, все равно все может пойти не так. Именно поэтому, прежде чем реагировать на утечку данных, необходимо понять, как она может повлиять на ваш бизнес.

Как утечка данных может повлиять на ваш оздоровительный клуб

В большинстве штатов действуют законы о конфиденциальности данных, возлагающие ответственность за сохранность определенных видов информации о сотрудниках и потребителях на компании, владеющие этой информацией. В случае утечки данных отвечать придется именно вам, владельцу бизнеса.

Нарушение данных может стоить предприятиям реальных денег. Институт Ponemon, которыйотслеживает стоимость утечек данных, сообщил, что средняя общая стоимость утечки данных в 2018 году составила 3,86 млн долларов, а средняя стоимость одной украденной или потерянной записи - 148 долларов.

Если в вашем клубе 2 000 членов и половина из них стали жертвами утечки данных, это может стоить вашему бизнесу до 148 000 долларов. Добавьте к этому ущерб вашей репутации и потерю доверия со стороны членов клуба, и вы сможете понять, какой серьезный ущерб может нанести вашему бизнесу утечка данных.

Что же вам теперь делать? Ну, вы обнаружили проблему, и, хотите верьте, хотите нет, это уже большой первый шаг.

Лучшие методы реагирования на утечку данных

Расследование и устранение последствий

Как только вам стало известно о нарушении, необходимо начать расследование. Выезжайте на место происшествия, опросите сотрудников и попытайтесь установить, что и как произошло.

Вы стремитесь определить:

• Какая информация была скомпрометирована?
• Был ли это взлом (преднамеренное действие с вероятными преступными мотивами)?
• Была ли это ошибка (например, сотрудник оставил свой ноутбук без присмотра, и его украли)?
• Был ли это сбой процесса (пробел в практике безопасности поставил под угрозу информацию)?

Понимание характера нарушения позволит вам предпринять немедленные действия по локализации или исправлению ситуации и поможет определить соответствующие дальнейшие шаги.

Если в результате проведенного расследования вы пришли к выводу, что стали жертвой взлома, вам следует сообщить об этом в полицию.

Выявление и соблюдение государственных законов о защите от утечек данных

Не существует федерального закона, регулирующего действия в случае утечки данных. Федеральное законодательство обычно ограничивается конкретными отраслями, такими как здравоохранение и финансовые услуги. Вам следует сосредоточиться на знании законов штата.

В каждом штате есть закон о нарушении данных, определяющий шаги, которые компании должны предпринять в ответ на нарушение данных. Законы каждого штата отличаются друг от друга, включая то, что считается защищенной информацией - обычно называемой персонально идентифицируемой информацией (PII) - и какие действия считаются нарушением.

Хотя определения PII варьируются в зависимости от штата, обычно они включают:

• медицинская информация,
• биометрическая информация,
• финансовая информация,
• имя физического лица плюс номер социального страхования или номер водительских прав.

Северная Каролина и Северная Дакота - хорошие примеры того, как штаты могут по-разному трактовать закон. В этих штатах закон считает девичью фамилию вашей матери PII, потому что на банковских счетах и в личных делах сотрудников она часто используется в качестве секретного вопроса.

Является ли утечка данных поводом для уведомления?

Если скомпрометированные данные считаются PII по закону, вам необходимо выяснить, является ли ваш инцидент таким, который влечет за собой требование об уведомлении. Определите, какие законы об уведомлении о нарушении данных применимы к вашей ситуации, и выясните, считается ли произошедшее "нарушением" по закону. Если это так, вам необходимо уведомить всех пострадавших лиц.

Именно здесь может возникнуть небольшая сложность. Предприятия должны следовать требованиям об уведомлении на основании закона о нарушении данных того штата, в котором проживают пострадавшие лица, включая сотрудников и потребителей, а не местонахождения предприятия. Если пострадавшие лица проживают в нескольких разных штатах, выяснение того, какие уведомления следует рассылать, может быстро усложниться. Возможно, вам придется прибегнуть к помощи юриста.

В некоторых штатах требуется уведомление, если неавторизованное лицо получает доступ к PII. Хакер или вор, использующий украденный компьютер сотрудника, - два примера несанкционированного доступа к защищенным данным.

Другие штаты основывают свои требования к уведомлению на так называемом "анализе риска причинения вреда". Какова вероятность причинения вреда пострадавшему лицу в результате потери данных? Анализ риска причинения вреда учитывает такие вещи, как использование шифрования и другие меры предосторожности, которые могут снизить вероятность того, что вор сможет эффективно получить доступ к PII.

В этом случае вы можете решить, что риск причинения вреда человеку невелик и уведомление не требуется. Если вы решите не уведомлять, вы обычно должны задокументировать это решение и хранить его в течение определенного количества лет.

Кроме того, обязательно проверьте договоры с поставщиками, чтобы узнать, не влечет ли какой-либо пункт за собой уведомление в случае утечки данных.

Кто получает уведомление

Если вы решите, что вам необходимо уведомить своих членов о нарушении данных, то в соответствующем законе штата будет указано, кто должен получить уведомление. Эти законы также определяют сроки уведомления и порядок его исполнения. Как правило, штаты требуют, чтобы компании предоставляли письменное уведомление пострадавшим лицам. В более чем 30 штатах компании обязаны направить уведомление либо генеральному прокурору штата, либо другому агентству штата - как правило, агентству по защите прав потребителей.

Если скомпрометированная информация является медицинской информацией, защищенной в соответствии с HIPAA, вам, возможно, придется уведомить об этом Министерство здравоохранения и социальных служб США.

Содержание уведомления

Некоторые штаты требуют предоставления определенной информации и использования конкретных формулировок в уведомлении о нарушении данных. Например, закон Калифорнии об уведомлении о нарушении определяет формат и содержание уведомления. Хотя требования к уведомлениям в разных штатах отличаются, как правило, уведомления должны содержать:

• Тип нарушенной персонально идентифицируемой информации
• Дата нарушения
• Общее описание нарушения

Сроки уведомления

Аналогичным образом, время отправки уведомления варьируется от штата к штату, но штаты обычно придерживаются одного из двух подходов.

Первый требует, чтобы затронутые лица были уведомлены "в кратчайшие сроки, без необоснованной задержки". Значение этого требования варьируется в каждом конкретном случае. Обычно это зависит от того, когда предприятию стало известно о нарушении и когда у него была возможность провести расследование.

Второй требует уведомления в течение определенного количества дней или недель. Если штат требует, чтобы предприятие уведомило генерального прокурора штата или другое государственное учреждение, такое уведомление обычно должно быть отправлено в установленные сроки. Сроки направления уведомления часто могут быть отложены, если нарушение является результатом предполагаемого преступного деяния и полиция расследует инцидент.

Исполнение

В некоторых штатах полномочия по исполнению закона об уведомлении возложены на генерального прокурора. Это означает, что генеральный прокурор отвечает за определение того, выполнило ли предприятие требования закона, и если нет, то каким должен быть штраф.

Другие предусматривают право частного иска, которое позволяет лицам, пострадавшим от утечки данных, подавать иск о возмещении ущерба на предприятие, ответственное за утечку, открывая шлюзы для коллективных исков.

Шаги по снижению рисков

Вы пострадали от утечки данных. Вы провели расследование. Вы предоставили необходимые уведомления. И что теперь?

Последний шаг - переоценка практики и процессов обеспечения безопасности данных. Убедитесь, что вы следуете лучшим практикам, и укрепите все выявленные слабые места. Лучший способ избежать затрат и репутационного ущерба от утечки данных - сделать все возможное, чтобы предотвратить утечку данных в первую очередь.