А поскольку все большее количество подобных услуг предоставляется людям удаленно и не подразумевает обязательного личного присутствия, можно с уверенностью сказать, что требования к безопасности персональных данных (ПД) будут становиться все жестче.
В Европе кражи личности чаще всего использовались для выставления ложных счетов и получения государственных пособий.
Сам вопрос о комплексном подходе к безопасности ПД возник в 1964 году, одновременно с термином «кража личности» (Indentity theft), который означает преступление, совершенное с использованием персональных данных человека с целью получения материальной выгоды. Такие преступления были распространены во второй половине XX века в США. Самые частые случаи касались использования медицинских данных для получения рецептурных препаратов обманным путем. В Европе кражи личности чаще всего использовались для выставления ложных счетов и получения государственных пособий.
Для борьбы с мошенничеством такого рода во многих странах на законодательном уровне разрабатываются все новые требования безопасности к компаниям, так или иначе работающим с персональными данными. Этот процесс носит постоянный характер, поскольку информационные технологии развиваются и вместе с ними появляются все новые инструменты, обеспечивающие безопасность информации. Но, с другой стороны, подобное развитие толкает преступников на изобретение все новых методов хищения данных.
Выход нового регламента в Европе 2016 году
В 1995 году на территории Европы была введена директива, обязывающая страны, входящие в состав ЕС, обеспечить защиту персональных данных граждан. Но спустя некоторое время стало ясно, что данный подход несколько неудобен. Дело в том, что директива, в отличие от регламента, не является инструментом прямого воздействия и должна вводиться через национальное законодательство.
В 2012 году было решено создать общий регламент по защите данных на территории ЕС (General Data Protection Regulation – GDPR), который придет на смену директиве 1995 года.
В итоге каждая европейская страна выпустила свои законы о защите персональных данных, которые зачастую не совпадали с законами остальных стран ЕС. Многие международные компании, передающие данные через границы, стали испытывать большие трудности, связанные с соблюдением законов разных стран. Именно поэтому в 2012 году было решено создать общий регламент по защите персональных данных на территории ЕС (General Data Protection Regulation – GDPR), который придет на смену существовавшей прежде директиве.
После нескольких лет переговоров регламент наконец был утвержден 25 мая 2016 года. В течение двух лет, до 25 мая 2018 года, все компании, которые хранят, передают и обрабатывают личные данные европейцев, обязаны обеспечить безопасность таких данных в соответствии с положениями GPDR. Стоит отметить, что это также касается компаний, находящихся за пределами стран ЕС, работающих с ПД граждан европейских стран.
Новый регламент спровоцировал массовый перевод информационных структур европейских предприятий в облака.
По сравнению с действующей директивой в регламент внесено много новых требований, которые в большинстве случаев усложняют жизнь компаниям, работающим с ПД. Одним из таких изменений является, например, обязанность уведомлять специальные органы (Data Protection Authorities – DPA) об утечке персональных данных в течение 72 часов. Также были введены довольно ощутимые штрафы за нарушение данного регламента, которые составляют до 4 % годового оборота компании-нарушителя, или 20 миллионов евро.
Персональные данные переносят в облака
Новый регламент спровоцировал массовый перевод информационных структур европейских предприятий в облака. Чтобы лучше понять причины такой массовой миграции, необходимо знать, что в GPDR все предприятия делятся на две основные роли:
Контролеры данных
– это предприятия, деятельность которых включает в себя сбор персональных данных, их передачу, а также работу с ними. Основные требования к таким компаниям заключаются в соблюдении правил, касающихся согласия граждан на хранение, обработку и передачу их ПД.
Обработчики данных
– это предприятия, которые хранят ПД непосредственно на своих серверах. Такие компании обязаны обеспечить высокий уровень информационной безопасности данных – от ограничения физического доступа к оборудованию до строгих требований к сценариям резервного копирования и настройки брандмауэров. Обеспечение соответствия такой роли – сложный и дорогой процесс. Для многих компаний затраты на соответствие требованиям GDPR в качестве обработчика данных являются очень существенными, и такие вложения вряд ли будут профильными для бизнеса. Именно поэтому все большее число европейских предприятий переводят свои информационные системы в облака. Таким образом IaaS-провайдер берет на себя роль обработчика данных, а компания-заказчик оставляет за собой только роль контролера данных.
Затраты на соответствие требованиям GDPR в качестве обработчика данных являются очень существенными, поэтому все большее количество европейских предприятий переводят свои информационные системы в облака, подтвердившие соответствие GDPR.
Сложнее дело обстоит с гибридным облаком, когда необходимо оставить часть сервисов, например, резервное копирование, на собственных серверах. При таком сценарии сервис-провайдер берет на себя только часть обязательств по защите ПД и заказчик по-прежнему остается обработчиком данных, а значит, в случае возникновения проблем нести ответственность будет именно он. По сути это означает только то, что необходимо выбрать надежного поставщика услуг и тщательно выстроить схему взаимодействия с ним. Но такое решение все равно выгоднее, чем самостоятельное обеспечение полного соответствия требованиям GDPR, хоть и накладывает определенные неудобства на заказчика.
Вместо заключения
В России, как и в остальном мире, наблюдается тенденция перевода информационных структур предприятий в облака. Так или иначе, любая компания при переносе своих сервисов в облако, независимо от причины, должна выбрать надежного поставщика облачных услуг. Критериями такого выбора обычно являются не только хорошая техническая оснащенность поставщика, но также опыт работы и количество успешно реализованных проектов.