Issuu on Google+

Практика

Чаще всего сбои в системе безопасности приводят к потере данных:**

Персональная безответственность

45% о клиентских базах 45% финансовых данных организации 35% платежах 32% информации о сотрудниках 23% интеллектуальной   собственности

защита данных | Вот уже год как конфиденциальная информация находится

под эгидой Закона «О защите персональных данных». «Инвестгазета» поинтересовалась у компаний, как они адаптируют свою работу к новым законодательным нормам и во сколько им это обходится

Наиболее широко применяемые в Украине меры по обеспечению информационной безопасности** Антивирус, защита  от шпионского ПО Регулярная установка обновлений и патчей Резервное копирование и восстановление данных Клиентский сетевой экран

Взять под контроль утечки информации*

Какие меры предприняла Ваша компания? 74% определили четкую политику по обработке

Структура сети  (например, разделение критически важных сетей) Шифрование данных 0%

конфиденциальной информации

42

40%

60%

80%

69% внедрили программу осведомления сотрудников об ответственности

карт стали общедоступны. Крупнейшие соцсети, такие как Facebook и MySpace, тоже становятся лакомым куском для мошенников, ведь в них сосредоточено огромное количество персональной информации: номера телефонов, адресов, мест работы, личные фотографии. Бреши систем безопасности, позволяющие воровать данные пользователей в неограниченном количестве, хакерские атаки, а также неправомерные действия владельцев ресурсов по предоставлению коммерческим компаниям данных пользователей — все это говорит о необходимости проработки интегрированных методов защиты информации владельцами таких баз данных. Локальный размах В Украине корпоративных скандалов, связанных с утечкой персональной информации из баз данных компаний, не так много, как в мировом масштабе. Но наличие проблемы с защитой

Проект по защите баз данных с нуля обойдется компании примерно в $2 млн.

индивидуальной информации каждый может прочувствовать на себе. Например, один из сотрудников издательства «Экономика», будучи клиентом обанкротившейся страховой компании «Страховые традиции», пару лет назад стал «объектом интереса» сразу нескольких страховщиков, которые перекупили базы пострадавшего игрока рынка. А в последние несколько месяцев сотрудников «Экономики» с периодичностью по нескольку раз в день атакуют рассылки, на которые они не подписывались. По большей части SMS-спам радостно оповещает абонентов «Киевстара» о новых и дешевых службах такси. На вопрос «Инвестгазеты», каким образом данные сотрудников становятся доступны для несанкционированного директмаркетинга, в «Киевстаре» заверили, что базой ни с кем не делятся, а данные об абонентах якобы попадают в третьи руки чаще всего по вине самих абонентов, которые участвуют в различных рекламных акциях. Либо же абоненты становятся жертвами недобросовестных рекламодателей. С начала этого года конфиденциальность информации в корпоративных хранилищах находится под покровительством Закона «О защите персональных данных», который диктует целый ряд норм относительно хранения и использования информации. Как видим на практике, сам закон фактически не работает, побуждая компании разве что к обязательной регистрации баз. Да и те пока зарегистрированы в мизерном количестве. Как отмечают юристы, такое печальное положение

№47  12-18.12.2011  ИНВЕСТГАЗЕТА

60% внедрили дополнительные механизмы защиты 45% закрыли или ограничили доступ к записывающему оборудованию

Формирование бюджета на информационную безопасность* Как изменится подход Вашей компании на следующие 12 мес.?

45% использовали внутренний аудит для тестирования элементов управления

сократится

6%

43% определили требования   для дистанционной работы

35%

39% внедрили учетные записи 38% внедрили инструменты для предотвращения

увеличится

потери данных

останется на прежнем уровне

59%

35% ограничили доступ к пользованию службами мгновенных сообщений или внешней почты

15% ограничили доступ   к конфиденциальной информации

Фото: Shutterstock

Ф

инансовый ущерб от утечек конфиденциальных сведений из корпоративных баз данных по всему миру в прошлом году по данным инновационной компании Infowatch превысил $200 млн. Крупнейшее мошенничество с медицинскими данными в США, например, оценивается в $35 млн. Как пишут российские СМИ, выходцы из стран СНГ учредили более 100 подставных клиник и рассылали от имени реальных врачей счета за выполнение якобы оказанных услуг. Следствие не исключает, что мошенники подкупали персонал реальных медучреждений для того, чтобы получить доступ к базам данных врачебного персонала и пациентов. Установлено, к примеру, что около 3 тыс. человек, которые якобы проходили лечение в учрежденных мошенниками больницах, в разное время являлись пациентами одной и той же клиники в Миддлтоне, штат Нью-Йорк. Второе по величине мошенничество с базами данных, по оценкам Infowatch, зарегистрировано в Китае. Украденные данные пользователей смарт-карт Octopus принесли мошенникам доход в $34 млн. (44 млн. гонконгских долларов). В Гонконге таких карт было выпущено более 20 млн. штук, и более половины из них используются ежедневно для оплаты проезда в общественном транспорте, покупок в магазинах. Также чип карты позволяет использовать Octopus в качестве ключа для доступа в офисные и жилые здания. Таким образом, все персональные данные владельцев

20%

*Источник: Исследование «Эрнст энд Янг» Global Information Security Survey, ноябрь 2011 года. Выборка составила 1700 опрошенных из 52 стран и разных секторов. В опросе принимали участие CIO, CISO, CFO, CEO. **Источник: «Лаборатория Касперского», исследование «Киберугрозы и информационная безопасность в корпоративном секторе: тенденции в мире и в Украине 2011»

дел в определенной мере связано с — говорит Александр Паламарчук, чрезмерной загруженностью Государ- юрист юридической фирмы «Лавриственной службы защиты персональ- нович и Партнеры». ных данных. Кроме того, считают они, не все знают о законе и о грядущих Редкая практика санкциях при его нарушении. А ведь с 1 Впрочем, сознательные корпоративянваря 2012 года вступает в силу норма, ные игроки все же есть. Речь о тех существенно усиливающая ответствен- компаниях, которые уже занялись ность за нарушение законодательства регистрацией баз данных и при этом о защите персональных данных, отме- успели столкнуться с определеннычает советник ЮФ «Саенко Харенко» ми трудностями. Например, табачСветлана Хеда. В частности предусма- ная компания JTI еще с начала года триваются крупные штрафы (до 17 тыс. начала подготовку к регистрации баз грн.) и ограничение свободы виновных персональных данных. Как рассказал лиц сроком до 5 лет. «Наверняка нас Александр Когут, директор отдела корждет немало судебных дел в случае поративных вопросов «JTI Украина», невыполнения требований закона. Это компания столкнулась с проблемой в обусловлено тем, что в данный момент интерпретации норм законодательства отсутствует достаточное количество относительно баз данных, которые созразъяснений по его применению», давались в течение нескольких лет.

ИНВЕСТГАЗЕТА  12-18.12.2011  №47

Например, баз данных с информацией о потребителях. Они формировались в то время, когда для использования персональных данных не требовалось письменного разрешения. С этой проблемой столкнулось большинство международных компаний и особенно тех, кто работает с товарами ежедневного потребления. Еще одна сложность была связана с консолидацией различных корпоративных баз данных, которые содержат похожую информацию, например с множеством баз, которые ведет отдел управления персоналом, добавил Александр Когут. Помимо работы с регистрацией баз компаниями ведется работа с персоналом. Как отмечают в Украинской ассоциации директ-маркетинга, в подавляющем большинстве случаев 43


утечка персональной информации происходит именно через персонал компании. Соответственно, необходимо проводить целый комплекс мероприятий по инструктажу и обучению персонала основам работы с персональными данными, осведомлению об ответственности за несанкционированное использование таких данных, разграничению доступа сотрудников к информации и организации технических способов защиты информации. В этом направлении, например, в группе Carlsberg решили пойти по пути коллег из России, где закон о защите персональных данных был принят ранее. «Мы смогли перенять опыт наших коллег из «Балтики» и применить его в Carlsberg Ukraine», — подчеркнул Дмитрий Борняков, заместитель директора по информационным технологиям этой компании. Так, была создана рабочая группа, в состав которой вошли сотрудники HR-отдела, юристы, служба безопасности и IT, что позволило перейти на новые стандарты защиты персональных данных. Кроме того, отдел IT-безопасности компании внедрил систему оценки защищенности IT-систем с их регулярным тестированием на соответствие требованиям стандартов, а также процедуру управления уязвимыми местами инфраструктуры. Как отмечают в Carlsberg Ukraine, помимо этого ведется работа по повышению осведомленности пользователей по вопросам IT-безопасности. «Существ��ет система мониторинга и анализа инцидентов по информационной безопасности. Игнорирование требований информационной безопасности — повод для расставания с сотрудником. К счастью, таких поводов было крайне мало», — рассказывает Дмитрий Борняков. В FOZZY Group также принимают меры по защите баз данных. Сотрудники, работающие с базами, посетили ряд специализированных семинаров на тему защиты персональных данных, рассказала Карина Лавровая, заместитель директора юридического департамента группы. Это позволило разработать соответствующую документацию по внедрению системы защиты персональных данных в компании. С фактами утечки информации в компании «Мироновский хлебопродукт» сталкиваются чуть ли не каждый день. Благодаря отлаженной системе источник утечки находят практически сразу. Но действия его пресекаются далеко не 44

Право и налоги

Как защитить  базы данных? 1. Узнайте, какие данные важны для вашей компании и где они находятся, разберитесь, как лучше защитить их. 2. Управляйте привилегиями пользователей, исключите права доступа, в которых нет необходимости. 3. Привлекайте службу охраны к решению проблемы: бессмысленно тратить огромные суммы на DLP, если кто-то может просто вынести компьютер или жесткий диск. 4. Предотвращайте сетевые кросс-соединения, они могут позволить злоумышленникам получить доступ в вашу сеть (например, это может произойти в случае, если сотрудник будет работать с информационными ресурсами компании через VPN-соединение из дома с зараженного трояном компьютера). 5. Заблокируйте доступ к «облачным» сервисам хранения файлов. 6. Организуйте шифрование данных при их хранении. 7. Используйте системы класса Security Information and Event Management (SIEM). В защите данных телефонной базы от утечек алгоритм аналогичен. Источник: «Украинский интегратор защиты персональных данных»

так быстро. «Мы собираем информацию об окружении данного источника утечки информации, мотивах, выявляем связанные с ним элементы как внутри, так и вне организации, отслеживаем системность нарушения для понимания серьезности его намерений. Меры принимаем соответствующие, жесткие», — отмечают в МХП. В компаниях отказались назвать цифры, во сколько конкретно обходились те или иные утечки информации. Однако по приблизительным оценкам в украинской практике эти суммы могут достигать десятков, а то и сотен миллионов гривен. Позитивный тренд Несмотря на то что корпоративный сектор не спешит массово защищать свои базы данных, емкость рынка информационной безопасности в Украине по состоянию на конец III квартала

2011 года выросла на 27%, отмечают в компании «Украинский интегратор защиты персональных данных». «Однако инертность украинского бизнеса и «школьное» желание оставить решение профильных вопросов в сфере защиты персональных данных на последний момент, вызывает искреннее желание проинформировать предприятия, организации и учреждения о том, что для желающих «впрыгнуть в последний вагон» законодательством определено время до 1 января 2012 года, когда в силу вступит уголовная и административная ответственность за нарушения в сфере обработки и защиты персональных данных», — предостерегает исполнительный директор компании «Украинский интегратор защиты персональных данных» Кирилл Ковылин. Что касается расходов на защиту баз данных, затраты на установку систем противодействия утечкам персональных данных зависят от размеров самой компании и, конечно, не должны превышать стоимость хранимой информации. Так, к примеру, в МХП на освоение информационных технологий в среднем уходит до 20% бюджета компании. Как отмечают в компании «СИТРОНИКС ИТ», вариантов защиты информации множество, однако при внедрении стоит исходить из целесообразности траты той или иной суммы денег в зависимости от стоимости самих данных. Например, действенным методом борьбы с утечкой данных может стать прикрепление к каждому сотруднику по одному проверяющему, что может быть действенно, но нерационально с точки зрения потенциально растущих расходов. Внедрять новые подходы к защите информации можно по-разному. Например, создавать специальные департаменты по контролю за доступом к информации; применять шифрование данных, встраивать в базы системы защиты информации и т.д.; ограничивать доступ сотрудников к сетевым ресурсам, устраивать обыск на входе и на выходе на предмет отсутствия средств снятия информации (флешки, телефоны, фотоаппараты, документы и пр.). Стоит ли игра свеч — будет определять только ценность данных и оценка ущерба при их возможной потере. ИРИНА ЧЕРНЯВСКАЯ, екатерина щеглова,  валерия мирошниченко

№47  12-18.12.2011  ИНВЕСТГАЗЕТА

Пенсионный сбор с оффшоров обязательное страхование | Государство ищет дополнительные источники наполнения дефицитного Пенсионного фонда Украины. В число таких источников уже в ближайшем будущем могут войти сборы с оффшорных операций

М

инсоцполитики разместило на веб-сайте проект закона «О внесении изменений в Закон Украины о сборе на обязательное государственное пенсионное страхование», которым предложено взимать пенсионный сбор с операций, в которых принимают участие субъекты, зарегистрированные в оффшорной зоне. Объектом налогообложения предлагают сделать денежные средства, перечисленные в пользу нерезидента, зарегистрированного в оффшорной зоне, перечисленные другому лицу по обязательству перед нерезидентом, зарегистрированным в оффшорной зоне, а также перечисленные на счет, открытый в оффшорной зоне. «Тяжело представить, что бизнес смирится со снижением прибыльности оффшорных операций, поэтому принятие данного законопроекта приведет к увеличению обходных схем движения капиталов. И самая предсказуемая из них — перемещение средств на оффшорные территории через неоффшорные страны с благоприятным инвестиционным климатом, к примеру, через Кипр», — комментирует старший юрист МЮГ AstapovLawyers Юлия Яшенкова.

Пенсионерам невдомек, кто обеспечит их старость Согласно законопроекту, ставка такого сбора составит 12% от стоимости объекта налогообложения. «В данном случае существенное противоречие содержит положение законопроекта, согласно которому 12% сбора будет взиматься со 100%-ной стоимости «оффшорных договоров». Ведь согласно п. 161.2 действующего Налогового кодекса Украины, предприятие может включать в состав расходов лишь 85% от указанной стоимости, т.е. государство

признает лишь 85% расходов резидентов по таким операциям», — отмечают в AstapovLawyers. Поэтому законодателю необходимо будет внести ясность в данный вопрос либо путем внесения соответствующих изменений в Налоговый кодекс Украины, либо определяя базу налогообложения 12%-ным сбором в Пенсионный фонд Украины согласно действующей редакции НК Украины. Инна полякова

ЛИКБЕЗ | Упрощенная система налогообложения Президент подписал закон, которым внесены изменения в НКУ и предусмотрены 4 группы единоналожников. Первая группа — ФЛП, не использующие труд наемных лиц, которые осуществляют исключительно розничную продажу товаров или деятельность по предоставлению бытовых услуг населению, объем доходов которых не превышает 150 тыс. грн. Налог — от 10 до 100 грн. в месяц. Фото: Униан

Практика

Вторая группа — ФЛП, предоставляющие услуги, в том числе бытовые, плательщикам единого налога и/или насе-

ИНВЕСТГАЗЕТА  12-18.12.2011  №47

лению, производство и/или продажу товаров, деятельность в сфере ресторанного хозяйства, если ФЛП не использует труд наемных лиц или количество таких лиц не превышает 10 человек, а также если объем дохода не превышает 1 млн. грн. Налог — от 20 до 200 грн. в месяц. Третья группа — ФЛП, которые в течение календарного года не используют труд наемных лиц или количество таких лиц не превышает 20 человек и в случае если объем дохода не превышает 3 млн. грн. Налог — от 3% (с учетом НДС) до 5% (без учета НДС) дохода.

Четвертая группа — юрлица — субъекты хозяйствования любой формы, с численность работников до 50 человек и объемом дохода не более 5 млн. грн. Налог — от 3% (с учетом НДС) до 5% (без учета НДС) дохода. К субъектам, не имеющим права воспользоваться упрощенной системой налогообложения, отнесены: субъекты, осуществляющие деятельность в сферах азартных игр, обмена валют, производства, продажи, экспорта и импорта подакцизных товаров; продажи предметов искусства и антиквариата и пр., а также ФЛП-аудиторы, страховые брокеры, нерезиденты и т.д.

45


Персональная безответственность (инвестгазета №47) 12 12 11