Безопасность данных: как малому бизнесу избежать ошибок и сохранить репутацию

Варвара Комарова: Павел, сегодня даже небольшие компании сталкиваются с требованиями 152-ФЗ, GDPR и другими нормами. Как им функционировать, не имея юридического отдела?

Павел Карпов: На самом деле всё начинается с понимания, какие данные вы собираете и являются ли они «персональными». Как пример: относится ли к персональным данным телефон? Так как у нас отсутствуют законные способы и пути однозначно идентифицировать человека по его номеру телефона, то сам по себе он к персональным данным не относится. А имя? Само по себе имя к персональным данным так же не относится, но если появляется привязка имени, например, к адресу, т.е. опять же, возможность однозначно идентифицировать человека, данные становятся персональными. Из недавнего — мы помогали магазину цветов и начали с простого списка: email для рассылки, номер телефона для доставки. Убрали всё лишнее — например, запрос даты рождения «для персонализации». Это снизило риски и упростило работу.

А как вообще объяснить клиентам, зачем вам их данные?

Честность — лучшая политика. Например, вместо шаблонного «Подпишитесь на рассылку», можно написать: «Пришлём вам советы по уходу за розами. Только полезное, без спама». Владельцы кафе в Твери использовали такой подход — их открываемость писем выросла на 40%.

Какие ошибки в работе с данными вы считаете самыми опасными?

Невнимательность и принципиальное игнорирование существования опасности как таковой на разных уровнях, это, пожалуй, самые главные ошибки. А вот к наиболее распространённым можно отнести:

• Хранение ненужной информации — зачем вам адрес клиента, если вы не доставляете товары?
• Слабые пароли — взлом аккаунта может разрушить доверие за минуту и вы уже не докажете клиенту, что это он опростоволосился, а не вы пренебрегли безопасностью.
• Отсутствие прозрачности — если клиенты не понимают, как используются их данные, они уходят.

Мне однажды пришлось столкнуться с историей сайта, где пароли хранились в открытом виде в обычном текстовом файле. После взлома владельцу пришлось закрывать бизнес.

Как малому бизнесу проверить, насколько его сайт соответствует нормам?

Используйте бесплатные чек-листы из открытых источников, подходящих под вашу CMS, направление бизнеса и т.д. Хотя бы простейшие, например:

1. Проверьте, используете ли вы все данные, которые собираете у клиентов. Удалите все, которые не используются.
2. Добавьте на сайт понятное уведомление об использовании cookies.
3. Зашифруйте данные, получаемые через формы для сбора информации.
4. Разместите на сайте политики в отношении обработки персональных данных, конфиденциальности и использовании cookies.

Даже базовые меры могут существенно снизить риски. А если установите и не поленитесь корректно настроить плагины безопасности, которые существуют у всех мало-мальски известных CMS, то уровень безопасности вы сможете увеличить существенно.

Какие инструменты вы считаете обязательными для защиты данных?

Средства борьба защитников и нападающих постоянно изменяются, однако сейчас можно выделить такие базовые моменты, как:

• Шифрование SSL — сейчас это доступно даже на бесплатных хостингах.
• Двухфакторная аутентификация для админ-панели сайта.
• Регулярные резервные копии — чтобы восстановить данные при атаке. В идеале по правилу «3-2-1»: не менее трёх копий данных, минимум на двух различных по физическому типу носителях, одну копию храните максимально удалённо географически.

Что посоветуете тем, кто только создаёт сайт?

Ух, боюсь, что краткими советами тут, по-хорошему, не обойтись, однако точно можно порекомендовать следующее:

1. Сначала функциональность, потом красота — начните с чёткой структуры.
2. Тестируйте на реальных людях — друзьях, клиентах, случайных посетителях.
3. Обновляйте контент — даже идеальный дизайн не спасёт, если информация неактуальна.

Как превратить заботу о данных в преимущество?

Рассказывайте о ваших мерах. Не в мелочах, но хотя бы в общих чертах. Например, даже мастерская по ремонту обуви (казалось бы, где обувь и где защита данных) добавила на сайт раздел «Как мы защищаем ваши данные». Клиенты стали охотнее оставлять контакты — видят, что их приватность уважают.

Что посоветуете тем, кто только начинает?

Пройдитесь по базовым шагам:

1. Проведите аудит данных — удалите всё, без чего можно обойтись.
2. Настройте автоматическое обновление CMS и плагинов — это закрывает уже известные уязвимости.
3. Обучите команду — даже базовые знания о phishing-атаках спасут от массы возможных проблем.

Можете привести пример ответственного подхода к данным из личного опыта?

Ну, давайте сразу отбросим крупные компании и тех, у кого по умолчанию обязан быть максимально серьёзный подход к этому вопросу и где ответственный подход — это суровая необходимость каждого дня. Есть небольшой онлайн-магазин книг, они у себя организовали не только продажу, но и выкуп, обмен и так далее. Так вот ребята не только используют SSL и следят за апдейтами плагинов безопасности, но и публикуют ежеквартальные отчёты, в частности: сколько запросов на удаление данных получили, как их обработали. И вроде как так и должно быть, все должны принимать и корректно отрабатывать такие запросы, но об этом мало кто задумывается, вникает и когда кто-то об этом начинает вещать в явном виде, это вызывает дополнительную волну доверия на фоне конкурентов.

---

Послесловие от Варвары:

Безопасность данных — не бюрократия, а основа доверия. Уже проверяю, нет ли на нашем сайте лишних полей для сбора информации. Может, и нам стоит опубликовать свой «отчёт о прозрачности»?

---

Ключевые мысли интервью:

• Минимизация данных снижает риски и повышает доверие.
• Честность и открытость превращают защиту информации в конкурентное преимущество.
• Базовые инструменты вроде SSL и двухфакторной аутентификации доступны каждому.
• Обучение команды — ключ к предотвращению угроз.