Цифровая безопасность. Как защитить свои данные и как комплаенс помогает бизнесу
Недавно в Telegram-канале The Tech Алина Ахметшина рассказала подробно про цифровую безопасность и как комплаенс помогает бизнесу. Делимся интересными мыслями в текстовом формате.
Алина Ахметшина, специалист compliance/AML и платежной организации paspay, @paspay.kz
О себе
Я окончила Карагандинский государственный университет имени Букетова по специальности «юрист», имею степень магистра юридических наук. До Paspay я пять лет проработала в платежной организации. Изначально искала вакансию помощника юриста, но на собеседовании мне предложили попробовать себя в комплаенсе. Тогда я не знала, что это такое, поэтому такой опыт был для меня новым и интересным.
О комплайенсе
Комплаенс — это соответствие требованиям и законам, которые устанавливают регуляторы. Регуляторами могут выступать не только государственные органы, но и другие контролирующие компании. Задача комплаенса — предупреждать и предотвращать несоответствия с законом. Моя основная роль в компании Paspay — обеспечить, чтобы мы соответствовали правилам финансового комитета, так как работаем с электронными платежами.
Мы подчиняемся комитету финансового мониторинга и Национальному банку. Мы выявляем возможные проблемы и риски, что помогает избежать штрафов и санкций. Принцип здесь такой: сэкономленные деньги — это заработанные деньги, и это отлично работает в комплаенсе.
Пример из практики: одна компания, занимающаяся визовой поддержкой, хотела воспользоваться нашими платежными услугами. Однако при проверке выяснилось, что она помогает миграции в страны с военными конфликтами. Это создало риск финансирования терроризма и других правонарушений. Моя задача заключалась не только в отказе от сотрудничества, но и в обосновании этого решения для руководства, так как нарушение законов Республики Казахстан и международных норм могло бы привести к серьезным последствиям — от финансовых потерь до лишения лицензии.
Таким образом, комплаенс помогает защищать бизнес от рисков, которые могут поставить под угрозу его существование.
Как защитить персональные данные
Главное — не разглашать конфиденциальные данные.К таким данным относятся номер телефона, номер карты, срок действия, CVV-код. Эту информацию никому не передаем и не переходим по подозрительным ссылкам, например, в WhatsApp. Если сообщения не от официального источника, лучше избегать ввода личных данных.
При онлайн-покупках проверяйте сайт. Название сайта должно быть написано без ошибок, без редиректов. Также проверяйте наличие замочка в адресной строке — это подтверждает безопасность сайта.
Если часто делаете онлайн-покупки, лучше завести отдельную карту для этого и не хранить на ней основные средства. Например, я получаю зарплату на карту Halyk Bank, а для покупок использую карту Kaspi.kz, обе закрыты для интернет-платежей, которые открываю только при необходимости. Это защищает от неправомерных списаний.
Будьте внимательны к звонкам от ботов с заманчивыми предложениями. Они могут использовать ваше согласие для мошенничества, как в случае с моим другом, который сказал «да», и его голос использовали для оформления кредита.
Для защиты от таких случаев можно на eGov подать заявление на отказ от онлайн-кредитов и займов, это предотвратит оформление кредита без вашего ведома. Также важно никогда не сообщать третьим лицам SMS-коды и быть настороже, чтобы защитить себя от мошенников.
Комплаенс для бизнеса
Комплаенс играет ключевую роль в бизнесе, предотвращая серьезные последствия. Например, в штате таких крупных компаний, как Kazakhmys и «Самрук-Қазына», обязательно есть комплаенс-менеджер. Даже малые компании нуждаются в проверке сотрудников при найме, чтобы избежать рисков.
Был случай, когда компания наняла удаленного разработчика без проверки, выдала ему оборудование, а он сдал его в ломбард и исчез. Предварительная проверка на задолженности или судимости могла бы предотвратить потери.
Также важно проверять контрагентов на долги и судебные дела, что помогает оценить их надежность и избежать штрафов и задержек.
Комплаенс важен не только для финансовых учреждений. Мошенники пытаются получить коммерческую информацию, финансовые данные, разработки, логины и пароли, доступ к ПО, базам данных и персональной информации, включая цифровые подписи.
Для защиты от этих угроз нужно ограничить доступ к информации. Например, доступ к финансовым данным должен иметь только бухгалтер, финансовый директор и финансист, а не кадровик или проектный менеджер.
Конфиденциальность — это когда информация не принадлежит всем и не уходит к третьим лицам. Целостность — меры, которые мы предпринимаем по защите информации, не должны нарушать ее целостность, искажать или изменять.
Есть золотое правило обеспечения безопасности данных: стоимость мер, которые обеспечивают безопасность вашей конфиденциальной информации, не должна превышать реальную стоимость этой информации. Например, информацию о ключевых партнерах или поставщиках нельзя писать на бумажке и оставлять в ресторане, так как это может повлиять на финансы и контракты. В то же время, хранение персональных данных, вроде номера телефона работника, в сейфе не имеет смысла. Поэтому важно сопоставлять меры безопасности с реальной стоимостью информации.
Часто утечки информации происходят из-за сотрудников. Это может быть сделано случайно или намеренно, для получения дополнительной выгоды.
В нашей компании Paspay действуют правила, согласно которым при завершении работы или отлучке с рабочего места компьютер должен быть заблокирован. Нарушение правила может привести к отключению доступа и недопущению к работе, так как это влечет за собой риски утечек информации.
Мы также контролируем доступ к информации. Сотрудник из отдела кадров не должен требовать финансовые показатели, а продавец не должен иметь доступ к персональной информации других сотрудников. В обработке персональных данных мы руководствуемся Законом Республики Казахстан о защите персональных данных и включаем его в трудовой договор, так как нарушение законодательства может привести к крупным штрафам.
Важен также контроль за хранением архивов. После истечения срока хранения информации нужно безопопасно удалять данные. Выбрасывать в мусорку — риск. Лучше использовать шреддер или другие безопасные методы.
Резервное копирование данных помогает защититься от утечек, а в случае кибератаки вам не придется платить большие суммы за выкуп данных.
Еще не все понимают важность электронной цифровой подписи — ее часто бесконтрольно выпускают в ЦОНе.
Электронная цифровая подпись равнозначна вашей обычной подписи и используется для подписания важных документов, таких как сделки с недвижимостью или бизнесом. Ее нужно хранить надежно и не пересылать через мессенджеры,, чтобы избежать кражи. Подпись должна храниться на защищенном носителе, например, флешке в сейфе, доступ к которому имеет только вы или назначенные лица.
Пароль для доступа к подписи должен быть сложным, включать не менее восьми символов, заглавные буквы, цифры и специальные знаки.
Руководству компании необходимо объяснять сотрудникам важность защиты данных, необходимость блокировки компьютеров и соблюдения правил. Переписки следует вести только с рабочей почты, личную использовать в профессиональных вопросах нельзя, чтобы избежать компрометации. Рабочую почту не следует оставлять на сторонних ресурсах или использовать для онлайн-заказов и переходов по подозрительным ссылкам, чтобы избежать атак.
Советы для тех, кто хочет начать карьеру в сфере комплаенс
- Не обязательно знать все законы наизусть, важно уметь быстро искать и анализировать информацию. Мы собираем общую картину из фрагментов данных для руководства.
- В комплаенсе могут работать юристы, бухгалтеры и системные администраторы. Системные администраторы занимаются безопасностью данных, бухгалтеры и юристы — юридическими и налоговыми рисками.
- В крупных компаниях комплаенс часто представляет собой отдельный отдел, сотрудники которого отвечают за внедрение комплаенс-системы.
- Чтобы стать профессионалом, необходимо высшее юридическое или экономическое образование. Профессия комплаенс-специалиста востребована в Европе и Америке и начинает развиваться в Казахстане. Спрос растет по мере повышения финансовой грамотности и осознания важности предсказания рисков.