Что надо знать о процедуре уведомления властей и населения при утечке данных
Брайан Лапидус из корпорации Croll обобщил опыт минимизации рисков при утечке данных и предложил свои рекомендации для упрощения процесса уведомления соответствующих структур и групп населения в США.
Следите за временем. В ряде американских штатов в законодательном порядке ограничено время, в течение которого надо подать рапорт об утечке данных. Особенно строгие требования в этом отношении предъявляются в сфере здравоохранения: от нескольких часов до (максимум) одной недели после обнаружения утечки..
Заранее определите список организаций, которые необходимо немедленно уведомлять. Крупномасштабные утечки охватывают данные огромного числа людей, некоторые группы которых требуют особо внимательного отношения. К примеру, в ряде штатов организации обязаны поставить в известность о происшедшей утечке данных национальные кредитные репозитарии.
Определитесь с требованиями по содержанию уведомительных писем. Есть вопросы и темы, которые по федеральным и местным законам обязательно должны найти свое отражение в этих письмах. Например, в штате Массачусетс специальный закон подробно инструктирует, что должно быть включено, а что нет в уведомление.
Примите предварительные организационные меры еще до того, как письма уйдут по своим адресатам. К примеру, уточните адреса клиентов, сотрудников, чьи данные утекли. Продумайте, нужен ли перевод для тех, у кого английский – не родной язык. Что вы будете делать с письмами, которые почта возвращает? В вашем письме указан контактный телефон. Будете ли вы готовы встретить возможный шквал звонков? Надо ли на этот случай организовать специальный колл центр?
Подготовьтесь к публичному оглашению утечки данных. Компании, заботящиеся о своей репутации, должны заранее определиться, кто от их имени будет работать с прессой, проводить, если потребуется, брифинги. Все надо делать своевременно, поскольку слухи и сплетни при отсутствии ясно заявленного обращения нанесут непоправимый вред имиджу организации.
|
вернуться назад
