Разделы

Безопасность Стратегия безопасности

Страховая компания Великобритании выплатит рекордный штраф за утечку данных клиентов

Как стало известно аналитическому центру InfoWatch, управление по финансовым услугам Великобритании обязало страховую компанию Zurich Insurance выплатить штраф в размере £2,3 млн за утечку персональной информации граждан Великобритании.

Резервная копия данных, записанная на диск, содержала 46 тыс. клиентских записей британцев, в том числе и информацию об их банковских счетах. Носитель был утерян в Южной Африке еще в 2009 г. Однако об утечке Zurich UK узнала только через год после инцидента, передаёт InfoWatch.

Примечательно, что в Zurich отсутствует должная система защиты данных. Как отмечается, система управления рисками безопасности данных клиентов основывается на договоренности с аутсорсинговыми компаниями. Соответственно, утерянная информация не была зашифрована, однако, как утверждают в Управлении по финансовому надзору и регулированию Великобритании (FSA), данные до сих пор не скомпрометированы и не использованы в мошеннических целях.

Первоначально FSA установило штраф за допущенный инцидент в размере £3,25 млн, но, поскольку компания Zurich согласилась выплатить его сразу, FSA уменьшило эту сумму на треть, до £2,3 млн.

По данным FSA, Zurich Insurance выплатит самый высокий штраф за всю историю существования законодательства о защите данных (Data Protection Act – прим. InfoWatch). Ранее штраф за утерю персональных данных в размере £2 млн был наложен Управлением на некоторые подразделения банка HSBC. В 2007 г. штраф в размере £998 тыс. выплатила компания Nationwide.

Олег Пашинин, «Философия.ИТ» — Как в «Росатоме» импортозаместили западную СЭД
Импортонезависимость

Компания Zurich Insurance дала обещание Комиссариату по информационной безопасности шифровать конфиденциальную информацию и в будущем не допускать подобных инцидентов.

Помимо данных британцев, на носителе были записаны данные, принадлежащие полумиллиону южноафриканских клиентов Zurich и 40 тыс. жителей республики Ботсвана.

«Было бы интересно сопоставить данную историю с российским законодательством. В нашей стране также предусмотрены штрафы, но не за сам инцидент с персональными данными, а за нарушение порядка их защиты. Штрафы (пусть и не столь крупные) регулярно накладываются на операторов, но не за утечку как таковую, а за несоблюдение предписанного порядка, — прокомментировал ситуацию главный аналитик InfoWatch Николай Федотов. — Утечки же персональных данных в РФ (на которые каждый может полюбоваться лично, посетив на рынке прилавок с компакт-дисками), как правило, наказания не влекут. Поэтому и усилия российских операторов направлены на "достижение соответствия", а не на предотвращение утечек. В Британии же, узнав о подобных штрафах, фирмы-операторы озаботятся не столько процессом, сколько результатом».

Татьяна Короткова