El robo de datos de los clientes amenaza a las empresas

Vista de la sede de Zurich, empresa de seguros que sufrió el robo de sus datos. Fuente: Servicio de prensa.

Vista de la sede de Zurich, empresa de seguros que sufrió el robo de sus datos. Fuente: Servicio de prensa.

La semana pasada, se dio a conocer el robo de los datos de un millón de clientes de la filial rusa de Zurich, la conocida empresa suiza de seguros. Los atracadores consiguieron el domicilio privado y laboral, y los números de teléfono móvil de los afectados. Mientras, ésta no es la primera fuga importante de datos personales en Rusia, aunque la verdadera magnitud de la catástrofe no se conoce, porque las empresas tiene derecho a no reportar este tipo de incidentes.

"Resulta que el propósito principal de la ley no proporciona una protección efectiva de los datos, sino que únicamente exige su existencia. Así que esto es lo que sucede: todos cumplen los requisitos, pero los incidentes siguen ocurriendo", explica el director de Zecurion.

Entre las organizaciones comerciales, las más susceptibles a fugas son las operadoras de telecomunicaciones, según Alexéi Raevski. Así, en 2003, la base de clientes de MTS fue robada, y los atacantes no sólo se hicieron con los nombres y números de teléfono de los abonados, sino también con los datos de sus pasaportes. En aquél momento, las operadoras dijeron que el robo había ocurrido probablemente a través de un organismo centralizado de la policía.

"Si hablamos de agencias del gobierno, no hace tanto tiempo que las bases de datos de aduanas, de las autoridades fiscales, de la policía de tráfico y de otros departamentos se podían comprar en cualquier paso subterráneo. Ahora la situación ha mejorado un poco, pero principalmente debido a la lucha contra los vendedores, y no con el personal interno, y hay muchas razones para creer que el nivel de protección de datos en estas organizaciones no ha mejorado significativamente, " dice Raevski.

El enfrentamiento con los vendedores de datos robados para recuperar sus discos de datos no es suficiente para reducir al mínimo el riesgo de fugas. Es esencial que las empresas y organismos se planteen cómo proteger los datos con los que trabajan. 

"Un director de seguridad de la información competente, con la ayuda de medidas organizativas y técnicas, bien puede reducir el riesgo de fugas a un nivel aceptable. Sin embargo, para ello es necesario el apoyo de la dirección, que a menudo no cuenta la seguridad de la información entre sus prioridades. Por lo tanto, siempre y cuando no cambie su orden de prioridades, esperar un giro radical en la cuestión de las fugas sería ingenuo ", considera Alexéi Raevski.

Instar a las empresas y organismos a mejorar la atención a su propia seguridad podría hacer cambiar las leyes rusas, en materia de protección de datos personales. La ley de protección de datos personales en su forma actual, según Raevsky, "parece algo extraña": contiene una lista de los requisitos técnicos que debe cumplir una organización, pero no prevé la responsabilidad por la fuga de datos.

También preocupa la ausencia de una normativa que obligue a informar a los clientes acerca de las filtraciones de datos confidenciales. Este requisito aparece en la legislación de la mayoría de países de la UE, y logra hacer frente a las fugas de manera eficaz, según los expertos de Doktor Web.

De acuerdo con la ley actual, la multa por fuga de datos es de sólo 20.000 rublos (600 dólares). Ahora, el Consejo de la Federación está preparando una enmienda a la ley sobre protección de datos personales, que reducirá el nivel de requisitos técnicos para las organizaciones, pero aumentará significativamente las sanciones por fugas. Según Ruslán Gattarov, miembro del Comité del Consejo de la Federación para Ciencia, Educación, Cultura y Políticas de Información, puede suponer "millones de rublos." Sin embargo, no está claro cuándo se aprobarán estas enmiendas.

Todos los derechos reservados por Rossiyskaia Gazeta.