Методика оценки ущерба от инцидентов с ПДн Европейского агентства по сетевой и информационной безопасности (ENISA)

06.10.2022 Дарья Каспарьянц

Время на прочтение: 2 мин

Значительные успехи в компьютеризации и сборе персональных данных открывают новые возможности для преступной деятельности и нанесению серьезного ущерба гражданам. В частности, неприкосновенности частной жизни, раскрытию личной информации, нанесению физического и/или репутационного ущерба и пр. В 2013 году Европейское агентство по сетевой и информационной безопасности (ENISA) разработало рекомендации для определения методологии оценки ущерба от неправомерного использования персональных данных.

В рамках методики сделана попытка разработать количественный критерий для общей оценки, включая все возможные случаи, повлекшие ущерб для гражданина. В частности, специфические случаи, вероятное воздействие на определенные категории граждан, которые не подпадают под общую классификацию. Вместе с этим, ENISA делает акцент на аккуратном отношении контроллера данных и компетентных органов к оценке специфических случаев.

Методология основана на использовании трех критериев:

первый критерий ‑ контекст обработки данных (DPC) предполагает определение типа данных, то есть классификацию в один из четырех типов. Это простые, поведенческие, финансовые и чувствительные данные. Типы могут дополняться контекстуальными факторами. Например, объемом данных, природой данных, публичной доступностью и пр. В случае наличия таких факторов повышать или понижать общий счет;

второй критерий ‑ простота идентификации (EI) определяет степень простоты сопоставления набора данных с личностью. Критерий имеет три уровня: незначительный, ограниченный, значительный. Так, незначительный уровень означает небольшую возможность идентификации. Наивысший уровень означает, что идентификация возможна без каких-либо дополнительных данных. Она может быть прямая, например, на основе имени, и косвенная, например, на основе идентификационного номера;

третий критерий – обстоятельства нарушений (CB) имеет три идентификатора. К ним относятся: конфиденциальность, целостность, доступность. Потеря конфиденциальности подразумевает доступ к персональным данным неавторизованным сторонам или не имеющим законного основания для доступа. Степень потери конфиденциальности зависит от степени раскрытия информации. Потеря целостности означает изменение и/или замену данных, которая может нанести ущерб человеку. Потеря доступности предполагает временную или полную недоступность к персональным данным при необходимости. Временная недоступность означает, что данные могут быть восстановлены. Полная потеря означает невозможность восстановления соответственно. Кроме этого, используется дополнительный идентификатор ‑ злонамеренный умысел, который определяет в каких случаях произошли обстоятельства утечки данных. Это может быть техническая ошибка, ошибка человека или наличие злого умысла¹.

Для первых двух критериев определяется максимальный бал, для критерия обстоятельства суммируются баллы идентификаторов.

На основе критериев определяется главный показатель – уровень серьезности ущерба (SE), который рассчитывается простой формулой: SE=DPC*EI+CB. Всего может быть присвоено 4 уровня: низкий, если SE<2 означает отсутствие последствий взлома или незначительные неудобства; средний, если ≤SE<3 означает наличие значительных неудобств, которые потребуют дополнительных усилий для преодоления (например, дополнительные расходы); высокий, если 3≤SE<4 означает серьезные трудности, которые влекут серьезные последствия для гражданина (например, потеря работы, блокировка счетов, ухудшение здоровья); очень высокий 4≤SE – это возникновение значительных или необратимых последствий в случае утечки персональных данных (например, наличие долга, значительное ухудшение физического и/или психического здоровья, смерть).

Полученный уровень серьезности может иметь метки. В частности, метка «количество взломанных лиц больше 100». Это связано с потенциально лучшей раскрываемостью крупных утечек.

Выводы

Большинство исследований по оценке ущерба от утечки данных до сих пор сосредоточены на оценке общего экономического ущерба в страновом масштабе. Методология ENISA сосредоточена на методологии оценки ущерба от утечки персональных данных пользователей. Однако в условиях увеличения количества и способов похищения персональных данных, подход ENISA требует серьезной коррекции. В частности, доработок в области классификации и ранжирования, формирования прозрачных, независимых от регулятора критериев оценки. Кроме этого, в разработке методологии необходимо учитывать математический расчет рисков для субъекта данных в случае нарушения. Также, кроме специфических данных необходимо разрабатывать методы оценки утечек комбинаций различных типов персональных данных, которые несут более серьезный риск для субъекта. Метка о количестве взломанных лиц может быть дополнена другими метками. В частности, группами наиболее уязвимых лиц, например, детьми. Предложенная методология также может быть дополнена набором мер, предпринятых компанией, которая ответственна за утечку персональных данных.