Конфиденциальность и кибербезопасность в Канаде: Важное для бизнеса

В Канаде кибератаки становятся все более частыми, и они могут привести к серьезным потерям для бизнеса.

Почти все канадские организации сообщили о кибератаках в 2022 году, при этом 25 процентов организаций ежедневно подвергаются хотя бы одной атаке, и большинство организаций переживают от 11 до 30 атак в месяц.

Средние затраты на устранение последствий нарушения защиты данных составляют 5,64 миллиона долларов США.

Проактивная подготовка к событию нарушения безопасности данных является хорошим подходом для бизнеса.

Поддерживайте сильные политики конфиденциальности и кибербезопасности.

Бизнесы могут снизить риски, поддерживая строгие протоколы конфиденциальности.

Они должны собирать только ту информацию (включая персональную информацию), которая обоснованно необходима для бизнес-процессов.

Доступ к информации должен быть ограничен только сотрудникам, контрактным работникам и поставщикам услуг, которым необходим доступ к ней для исполнения своих обязанностей.

Организации должны регулярно проверять доступ к информации.

Федеральный комиссар рекомендует использовать системы управления информацией о безопасности, управления событиями, идентификации пользователей и аналитики поведения людей для управления большими объемами конфиденциальной персональной информации.

Бизнесы также должны внедрить эффективные политики управления уязвимостями, предотвращения утечек данных и резервного копирования/восстановления после катастроф.

Сотрудников следует обучать всем политикам и процедурам.

Разработайте эффективный план реагирования на нарушение

План реагирования на нарушение должен быть у каждого бизнеса.

Верховный суд Квебека недавно отклонил первый коллективный иск о нарушении конфиденциальности против Investment Industry Regulatory Organization of Canada (IIROC) из-за утраты персональной информации тысяч канадских инвесторов из-за нарушения безопасности данных.

Суд проверил действия IIROC после нарушения и пришел к выводу, что она действовала добросовестно.

Это решение подчеркивает важность наличия хорошо подготовленного и выполненного плана реагирования на нарушение, которые может защитить бизнес от гражданской ответственности в случае кибератаки или других нарушений безопасности данных.

Все сотрудники, контрактные работники и соответствующие поставщики услуг должны знать, как определить, сообщить и эскалировать происшествие.

План должен также включать команду реагирования, которая четко понимает свои роли, контактные номера для каждого члена команды и резервные варианты для всех членов команды в случае их отсутствия.

В команду реагирования могут входить сотрудники из офиса по защите персональных данных, ИТ, ключевые менеджеры, юристы (если применимо), а также представители отдела персонала и внешние специалисты по вопросам форензики, связей с общественностью и страхования.

Регулярный просмотр и тестирование плана помогут вашему бизнесу оперативно выявлять слабые места в его кибербезопасности и укреплять защиту.

План реагирования должен периодически подвергаться анализу и корректировке, чтобы учесть улучшения в технологиях и изменения во внутренних процессах.

Оповещение об нарушении

Если происходит нарушение безопасности данных, канадские компании должны оценить, требуется ли оповещение об этом согласно применимым федеральным или провинциальным законам о защите конфиденциальности.

Федеральный закон о защите персональной информации и электронных документов (PIPEDA) распространяется на компании, занимающиеся коммерческой деятельностью по всей Канаде, за исключением трех провинций Альберта, Британская Колумбия и Квебек.

В этих провинциях действуют собственные законы о конфиденциальности, которые признаются существенно соответствующими PIPEDA.

PIPEDA также распространяется на федеральные учреждения и предприятия, работающие в этих провинциях, такие как банковское, железнодорожное и телекоммуникационное дело.

PIPEDA и аналогичные законы провинций Альберта и Квебек имеют обязательные требования по уведомлению о нарушении безопасности данных.

Кроме того, имеются требования по уведомлению о нарушении безопасности данных в различных провинциальных законах о конфиденциальности публичного сектора и законах о конфиденциальности медицинской информации.

В данной статье приведены требования только по уведомлению в частном секторе.

Согласно PIPEDA, бизнесы должны уведомить Комиссара по конфиденциальности Канады и затронутых лиц о нарушении конфиденциальности, которое представляет "реальный риск значительного вреда" для затронутых лиц, как только это возможно.

Уведомление должно содержать достаточную информацию, чтобы Комиссар мог понять значимость нарушения и предпринять меры для снижения риска вреда.

В законе провинции Квебек "О защите персональной информации в частном секторе" и в аналогичном альбертовском законе также содержится требование об уведомлении об нарушении конфиденциальности.

В случае нарушения может потребоваться отправка уведомлений в несколько юрисдикций с разными требованиями.

Когда кибератака приводит к утрате персональной информации или несанкционированному доступу или разглашению такой информации, бизнесу следует задуматься над следующими вопросами в целях выполнения требований к уведомлению:

• Кто несет ответственность за уведомление о нарушении?
• Бизнесы, которые "контролируют" или "хранят" персональную информацию, должны уведомить о нарушении Комиссара по конфиденциальности Канады, а также Комиссара по конфиденциальности Альберты или Квебека, если персональная информация лиц, проживающих в этих провинциях, затрагивается нарушением.
• Когда бизнес передает персональную информацию третьему лицу для обработки, а нарушение происходит с этой информацией, находящейся во владении процессора, основной бизнес остается контролирующей стороной персональной информации и, следовательно, несет ответственность за уведомление о нарушении.
• Однако при применении квебекского законодательства требования к уведомлению распространяются на любую организацию, пережившую нарушение безопасности данных относительно персональной информации, которую организация "хранит", и пока не ясно, будут ли квебекские регуляторы проводить аналогичное различие между контролирующим лицом и его процессорами.
• В Канаде частные секторы могут подпадать под внесистемное применение законов, если имеется реальная и существенная связь с Канадой.
• Требования к уведомлению о нарушении безопасности данных будут распространяться и на иностранные организации, которые собирали персональную информацию канадцев и столкнулись с нарушением в отношении этой информации.

Какие нарушения должны быть сообщены?

Согласно PIPEDA и альбертовскому Закону о защите персональной информации, должны сообщаться только те нарушения, которые представляют "реальный риск значительного вреда" (RROSH) для отдельного лица.

Подобные требования предусмотрены и в новом законе Квебека.

В Альберте, после того, как бизнес уведомит Комиссара по конфиденциальности Альберты о нарушении, комиссар может потребовать от бизнеса уведомления отдельных лиц.

Фактически, согласно отчету о нарушениях практики Канады 2022 года, 80 процентов бизнесов уже уведомили пострадавших лиц на момент обращения в Комиссариат.

Уведомления о нарушении, направленные пострадавшим лицам, должны содержать достаточную информацию для понимания ими значения нарушения и принятия мер для снижения ущерба.

Бизнес может предложить пострадавшим лицам услуги мониторинга кредита, услуги защиты от кражи личности и другую информацию и ресурсы для снижения риска ущерба.

Какой штраф предусмотрен в случае несообщения о нарушении?

В соответствии с законодательством провинции Квебек бизнес, не уведомивший Комиссара по конфиденциальности или затронутых лиц о нарушении безопасности данных, может быть оштрафован на сумму до 25 миллионов долларов или 4 процентов своего ежегодного дохода на мировом рынке, а также на сумму до 10 миллионов долларов или 2 процента его ежегодного дохода по всему миру.

Федеральное правительство внесло в 2022 году законопроект C-27 "Digital Charter Implementation Act, 2022" (DCIA), который должен заменить PIPEDA более жесткими законами о конфиденциальности и защите данных.

DCIA предусматривает введение новых прав на конфиденциальность для отдельных лиц и расширение полномочий Комиссара по конфиденциальности.

Также будет создан новый Трибунал по защите персональной информации и данных и риск наложения существенных административных денежных штрафов или уголовных наказаний за нарушения или преступления в сфере конфиденциальности.

В настоящее время законопроект находится на стадии второго чтения в Палате общин и подлежит обсуждению, внесению поправок и дальнейшей проверке, прежде чем он может быть принят в законодательство.

Если DCIA будет принят, несообщение нарушений Комиссару по конфиденциальности может привести к максимальным штрафам в размере 25 миллионов долларов или пяти процентов валового глобального дохода.

У затронутых лиц может возникнуть частное право на подачу иска, если Комиссар по конфиденциальности признал, что бизнес не внедрил соответствующие протоколы безопасности.

Как видно, нарушения конфиденциальности становятся все более распространенными и несут организационные, юридические и репутационные риски.

В целом, конфиденциальность и кибербезопасность должны быть приоритетом для бизнеса в Канаде.

Опытная команда, знакомая с законами и практикой, может эффективно помочь снизить риски и затраты, связанные с киберинцидентами.