Данные — это важнейший и бесценный актив любой компании. Проблемы конфиденциальности и безопасности данных затрагивают каждую компанию, отрасль и потребителя. Несмотря на это, поразительное количество дезинформации о конфиденциальности данных, рисках безопасности и требованиях соответствия продолжает утверждаться как факт. В этой статье юристы по кибербезопасности и конфиденциальности данных в Nelson Mullins обращаются к некоторым из наиболее распространенных мифов, чтобы раскрыть факты, связанные с доступом к данным, рисками для данных и способами защиты вашей организации от таких рисков.
Мифы о кибербезопасности и конфиденциальности данных
Миф 1
«IT, InfoSec и Forensics Professional делают одно и то же. Нам не нужно привлекать стороннего поставщика криминалистических услуг после атаки».
Неверно — хотя все три чрезвычайно важны для организации, у каждого из этих специалистов есть определенная роль/набор навыков. Ниже приведен неполный список, призванный помочь проиллюстрировать роли каждого профессионала. Если у вас есть инцидент, связанный с безопасностью электронной почты или сети, который влияет на операции или конфиденциальные данные, для расследования этого вопроса должны быть привлечены специалисты по криминалистике в области кибербезопасности.
Специалисты по информационным технологиям находят и внедряют технологии для повышения производительности сети, минимизации простоев, улучшения связи, облегчения обмена информацией и поддержки более эффективных процессов.
Профессия по информационной безопасности гарантирует, что технология безопасна и свободна от возможных атак, выявляя, понимая и устраняя уязвимости конфигурации и безопасности до того, как они будут использованы злоумышленниками.
Группы кибербезопасности Forensic/Investigation Teams помогают остановить, локализовать и смягчить любые выявленные уязвимости после атаки. Эти команды собирают и анализируют журналы и другую информацию, а также применяют передовое программное обеспечение и навыки технического анализа для определения точки входа и графика киберсобытий, а также для оценки утечки и целостности данных. Судебно-медицинская экспертиза должна проводиться в рамках конфиденциальности адвоката и клиента, а результаты должны быть проанализированы адвокатом по нарушениям, чтобы определить, есть ли у пострадавшей компании какие-либо обязательства по уведомлению потребителей/сотрудников.
Миф 2
«Нам не нужен адвокат по нарушениям. У нас есть общий юрисконсульт».
Неверно. Консультант по взлому может быть доступен в соответствии с вашим полисом киберстрахования или может привлекаться непосредственно вашей компанией — до или после события, связанного с безопасностью. Адвокаты по взлому специализируются на конфиденциальности данных и кибербезопасности и ежедневно реагируют на утечки данных. Если в вашей организации есть главный юрисконсульт, консультант по нарушениям работает в тесном контакте с вашим главным юрисконсультом, чтобы пройти через процесс расследования, взаимодействовать с криминалистами после нападения, связями с общественностью, почтовыми службами и поставщиками колл-центров, а также помочь определить, применяются ли обязательства штата, федерального и международного законодательства по уведомлению о нарушениях на основе данных, о которых идет речь.
Миф 3
«Моя компания приобрела набор политик и процедур конфиденциальности и безопасности данных у онлайн-продавца и сохранила их в нашей системе. Этого достаточно для соблюдения требований».
Неправильно. Политики конфиденциальности и безопасности данных должны быть адаптированы к размеру, практике и обязательствам организации, включая соблюдение применимых отраслевых стандартов, договорных требований, а также федеральных, государственных и международных законов. Использование готового набора политик и процедур может создать для организации значительный юридический риск. Политики, которые выполняются без учета операций и неотложных обстоятельств и не соблюдаются, могут использоваться в качестве доказательств против компании в судебных разбирательствах и расследованиях регулирующих органов. Сотрудники должны пройти специальную подготовку по политикам, и политики должны быть легко доступны для ознакомления.
Миф 4
«Я малый бизнес. Я никогда не стал бы целью кибератаки».
Неверно — если ваша организация подключается к Интернету, она подвергается риску кибератаки. Атакующие группы сканируют каждый закоулок в Интернете, чтобы найти уязвимости в компьютерных сетях, часто используя автоматизированные инструменты, которые не делают различий в зависимости от размера компании и/или типа деятельности. Малые предприятия часто являются наиболее уязвимыми, потому что у них часто нет финансовых ресурсов для надлежащей защиты систем.
Миф 5
«Мои клиенты — это предприятия, и я не собираю информацию о физических лицах, поэтому у меня нет конфиденциальной личной информации, которую нужно защищать».
Ложь — даже если компания не собирает личную информацию об отдельных клиентах, данные о кадровых ресурсах часто включают номера социального страхования сотрудников, номера водительских прав, медицинскую информацию, информацию о прямом депозите и т. д. Это редкое исключение — найти компанию, которая не хранит какую-либо информацию, позволяющую установить личность. Кроме того, всегда следует учитывать оперативные данные и деловую конфиденциальную информацию.
Миф 6
«Мне не нужно беспокоиться о конфиденциальности и безопасности данных, потому что моя компания передает все наши ИТ-потребности стороннему поставщику».
Ложь — Организации, которые собирают, обрабатывают и/или иным образом обрабатывают конфиденциальную личную информацию, могут иметь обязательства по защите этих данных, которые не могут быть делегированы другой стороне. А с ростом числа так называемых мультисервисных атак и атак на цепочку поставок, когда субъекты угроз одновременно атакуют несколько организаций, подключенных через сетевые приложения или службы, как никогда важно, чтобы организации проводили комплексную проверку, чтобы гарантировать, что любые сторонние поставщики с доступом к системам организации имеют соответствующую квалификацию и меры безопасности для защиты данных.
Миф 7
«Пока у меня есть хорошие резервные копии данных моей компании, мне не нужно беспокоиться о кибератаках».
Неверно. Кибератаки продолжают становиться все более изощренными, и основные риски для организаций больше не ограничиваются операционными воздействиями или основными ИТ-системами. Злоумышленники все чаще получают доступ к резервным копиям и шифруют их. Злоумышленники также извлекают данные в качестве рычага, чтобы требовать более высоких выплат за вымогательство и/или продавать данные на черном рынке. Даже если организация может полностью восстановить свои системы с помощью резервных копий после кибератаки, у нее все еще могут быть отчеты или другие юридические уведомления и другие обязательства в связи с любой защищенной личной информацией, которая могла быть затронута.
Миф 8
«Программы-вымогатели и кибератаки неизбежны».
Неверно. Многие компании решили, что инциденты, связанные с безопасностью, нельзя предотвратить и что в конечном итоге они пострадают от каждой компании. Однако наши партнеры по киберкриминалистике сообщают, что почти при каждой атаке программы-вымогателя, которую мы защищаем, многофакторная аутентификация (MFA) и хороший мониторинг конечных точек, которых не было до атаки, скорее всего, предотвратили бы или замедлили бы атаку. Есть много шагов, которые компании могут предпринять, чтобы помочь предотвратить кибератаки.
Мифы о конфиденциальности медицинских данных
Миф 9
«Любая компания, которая обрабатывает информацию о здоровье, должна соответствовать требованиям HIPAA».
Неверно — только планы медицинского страхования, расчетные центры здравоохранения (компании, которые преобразовывают данные в различные форматы) и поставщики медицинских услуг, которые проводят определенные стандартные транзакции в электронном виде — в основном связанные с оплатой — являются организациями, на которые распространяется действие HIPAA, и, следовательно, обязаны соблюдать HIPAA.* Таким образом, бесплатные медицинские клиники и практики, работающие исключительно за наличные, технически не подпадают под действие HIPAA. Однако в соответствии с HIPAA и другими законами, направленными на защиту конфиденциальности и безопасности медицинской информации, пациенты ожидают, что поставщики медицинских услуг обеспечат безопасное и конфиденциальное хранение их медицинской информации. Кроме того, многие штаты теперь включают «медицинскую информацию» в свои законы о соблюдении требований безопасности и уведомлении потребителей.
* Кроме того, некоторые компании, которые предоставляют административные услуги организациям, подпадающим под действие HIPAA, и имеют доступ, получают, используют или сохраняют медицинскую информацию для предоставления этих услуг, известные как «деловые партнеры», должны соответствовать требованиям HIPAA.
Миф 10
«HIPAA запрещает моему работодателю спрашивать, привит ли я, или требовать доказательства вакцинации».
Неверно — HIPAA не распространяется на трудовые книжки, включая трудовые книжки, которые ведутся организациями или деловыми партнерами. Однако могут применяться другие законы. Закон об американцах-инвалидах требует, чтобы работодатель, получивший информацию о прививках или другую информацию о состоянии здоровья сотрудника, сохранял конфиденциальность этой информации и хранил ее отдельно от личного дела работника.
Миф 11
«Если полиция придет в нашу больницу и попросит копии медицинских карт, HIPAA требует, чтобы мы предоставили всю запрошенную информацию».
Неверно — HIPAA накладывает ограничения на информацию, которую больницы и другие поставщики медицинских услуг могут передавать правоохранительным органам. Вообще говоря, правоохранительные органы должны адаптировать свои запросы информации к той, которая разумно связана с расследованием правоохранительных органов (например, расследование преступления на территории больницы). HIPAA определяет, какая ограниченная информация может быть передана правоохранительным органам в этих обстоятельствах. Больницы также могут сообщить в правоохранительные органы о смерти человека, если больница подозревает, что смерть наступила в результате преступного поведения. Больницы могут ответить на запрос полиции о предоставлении информации, чтобы помочь в поиске подозреваемого, скрывающегося от правосудия, важного свидетеля или пропавшего без вести; но опять же, может быть раскрыта только конкретная, ограниченная информация.
Миф 12
«Если пациент публикует негативный отзыв о моей медицинской практике в социальных сетях, я могу опубликовать ответ в социальных сетях, в котором обсуждается состояние здоровья пациента».
Неправильно. Поставщики медицинских услуг не должны реагировать на отрицательный онлайн-отзыв таким образом, чтобы раскрывалась медицинская информация о пациенте. Вместо этого медицинская информация пациентов может использоваться или раскрываться в социальных сетях только в том случае, если пациент дал свое письменное согласие на использование или раскрытие. Это справедливо даже в том случае, если в отрицательном отзыве пациент ссылается на свое состояние здоровья.
Миф 13
«Как пациент, HIPAA дает мне право доступа и получения копий всей моей медицинской информации».
Неверно — HIPAA разрешает отдельным лицам доступ к защищенной медицинской информации, которая хранится в специальном наборе записей, что является определенным термином в соответствии с HIPAA. Как правило, право доступа HIPAA не обеспечивает уровень записей, который может быть получен при запросе на обнаружение в судебном порядке. Застрахованные организации также не обязаны предоставлять доступ к записям о психотерапии (личные записи, записанные специалистом в области психического здоровья во время сеанса и хранящиеся отдельно в медицинской карте пациента). Поставщики медицинских услуг и планы медицинского страхования не обязаны предоставлять доступ к медицинской информации, если они определяют, по своему профессиональному суждению, что предоставление доступа может поставить под угрозу жизнь или физическую безопасность пациента или другого лица. Если у объекта, на который распространяется действие, нет записей, запрашиваемых лицом (например, у вашего специалиста нет записей вашего лечащего врача), их предоставлять не требуется.
Миф 14
«Если я обращусь за помощью в связи с пристрастием к наркотикам, правоохранительные органы могут быть уведомлены об этом, и я могу быть подвергнут уголовному преследованию».
Неверно — Федеральные правила, касающиеся конфиденциальности записей о лечении расстройств, связанных с употреблением психоактивных веществ (42 CFR, часть 2), категорически запрещают поставщику медицинских услуг, на который распространяется страховое покрытие, передавать правоохранительным органам информацию о диагнозе или лечении расстройства, связанного с употреблением психоактивных веществ, за исключением случаев, когда пациент совершил или угрожал совершить преступление на территории лечебного учреждения или против персонала лечебного учреждения. Даже в этом случае правоохранительные органы должны пройти специальные процедуры для получения информации о расстройстве, связанном с употреблением психоактивных веществ, и суд, как правило, может предоставить доступ к этой информации только в случае очень серьезного преступления, такого как убийство, изнасилование, вооруженное преступление, грабеж или жестокое обращение с детьми или пренебрежение детьми.
Миф 15
«Если я получу генетический тест, рекомендованный моим врачом, и попрошу свой план медицинского страхования оплатить его, мой план медицинского страхования может использовать результаты теста, чтобы отказать в покрытии моих будущих заболеваний».
Неверно — Закон о недискриминации генетической информации, или GINA, запрещает страховым компаниям использовать генетическую информацию для принятия решений о вашем праве на получение медицинского страхования, решений о страховом покрытии или требовать от вас уплаты более высоких страховых взносов на основе генетической информации. Однако, если вы получаете медицинскую страховку через своего работодателя и у вашего работодателя менее 15 сотрудников, GINA не применяется. Кроме того, GINA не распространяется на другие виды страхования, такие как страхование на случай длительного ухода, страхование по инвалидности или страхование жизни, поэтому эти компании могут спросить вас о каких-либо генетических тестах, которые вы прошли в рамках своих процессов подачи заявок.
Миф 16
«Пока моему ребенку не исполнится 18 лет, я имею право доступа и получения копий всей ее медицинской информации».
Неправильно — родители/опекуны обычно имеют право доступа к медицинской информации о своих несовершеннолетних детях для медицинских карт, связанных с услугами, согласие на получение которых от родителей требуется по закону от имени их детей. Однако в большинстве штатов несовершеннолетние имеют право самостоятельно давать согласие на определенные виды лечения, такие как лечение проблем с психическим здоровьем, тестирование на инфекционные заболевания, противозачаточные средства и расстройства, связанные с употреблением психоактивных веществ. Если вы проживаете в одном из этих штатов и ваш ребенок сам дал согласие на получение одного из этих видов услуг, ваш ребенок должен дать письменное согласие, прежде чем поставщик сможет предоставить вам информацию об этих услугах. В некоторых случаях есть исключения.
Перевод статьи «Debunking Data Privacy Myths»