data protection

Менеджер по роботі з клієнтами в медичній компанії потребувала поділитися даними результатів пацієнтів з потенційним партнером. Вона відкрила аналітичну панель компанії, експортувала CSV та надіслала його на Gmail партнера. Експорт включав імена пацієнтів, дати лікування та коди рахунків. Вона не усвідомлювала, що все це було у файлі. Вона хотіла лише агреговані числа.

Компанія виявила інцидент через два тижні під час рутинного огляду DLP. На той час лист було переправлено всередині організації партнера. Потребувалося повідомлення про витік згідно з HIPAA. Юридичні витрати, усунення наслідків та штрафи склали понад $200 000. Все тому, що одна співробітниця не могла відрізнити агреговану статистику від захищеної медичної інформації в електронній таблиці.

Цей тип інцидентів відбувається постійно. Не тому, що співробітники недбалі, а тому, що ніхто не навчив їх дивитися на дані та запитувати: “Що я насправді тримаю?”

Менеджер з маркетингу додає email клієнта до розсилки без перевірки записів про згоду. Агент підтримки передає деталі акаунту користувача людині, що представляється його дружиною. Розробник копіює продакшн-дані з реальними іменами та адресами в середовище стейджингу.

Жоден із цих людей не мав наміру порушити GDPR. Усі вони це зробили.

Загальний регламент захисту даних є обов’язковим до виконання з травня 2018 року. За вісім років штрафи продовжують зростати. Ірландська комісія із захисту даних оштрафувала Meta на 1,2 мільярда євро у 2023 році за незаконну передачу даних до США. Італійський Garante оштрафував OpenAI на 15 мільйонів євро наприкінці 2024 року за порушення конфіденційності ChatGPT. Ці заголовки привертають увагу, але патерн за ними послідовний: організації, що ставились до GDPR як до проблеми юридичного відділу, а не загальнокорпоративної відповідальності.

Ваші юристи не можуть завадити менеджеру з маркетингу неправильно використовувати дані згоди. Ваш DPO не може стежити за кожним середовищем стейджингу кожного розробника. Єдине, що масштабується, це навчання, і більшість програм навчання GDPR роблять це неправильно.

Системний адміністратор у оборонному підряднику копіює секретні схеми на особисту USB-флешку протягом трьох місяців. Його перепустка працює. Його облікові дані дійсні. Він проходить ті самі перевірки безпеки, що й усі інші. Ніщо в журналах файрвола, системі виявлення вторгнень чи поштовому шлюзі нічого не фіксує.

Коли витік нарешті виявляють, це не тому, що інструмент подав сигнал. Колега помітив, що він заходить до проєктних папок, до яких не має стосунку, і згадав про це менеджеру. Та розмова, якою б некомфортною вона не була, запобігла місяцям додаткової ексфільтрації.

Зовнішнім зловмисникам потрібно прорватися всередину. Інсайдери вже всередині.