Сегодня почти каждый сервис собирает персональные данные пользователей. Телефон, электронная почта, адрес доставки, документы для идентификации – все это становится частью цифровой инфраструктуры бизнеса. При этом большинство людей предполагает, что их данные остаются внутри компании, которой они доверили информацию. На практике все значительно сложнее. Эксперт по стратегической защите бизнеса Герман Поляков отмечает: после того как данные попадают в систему компании, они начинают перемещаться между различными цифровыми сервисами – иногда быстрее и дальше, чем предполагают сами пользователи. Многие процессы происходят автоматически: данные копируются в аналитические системы, передаются подрядчикам, используются маркетинговыми платформами или сохраняются в облачных архивах. В результате спустя некоторое время становится практически невозможно точно определить, где именно находится исходная информация.
Как персональные данные начинают «путешествовать» между сервисами
Когда клиент оставляет свои данные на сайте компании, он редко задумывается о том, сколько цифровых систем задействовано в обработке этой информации. Между тем даже небольшая компания сегодня использует целую экосистему сервисов.
Данные пользователя почти никогда не остаются в одной базе, рассказывает Герман Поляков. Они начинают циркулировать между различными платформами, которые помогают бизнесу работать с клиентами и анализировать поведение аудитории. Как правило, персональная информация может оказаться сразу в нескольких системах:
- CRM-платформах для управления клиентскими базами;
- сервисах аналитики и маркетинговых инструментах;
- платформах рассылок и автоматизации коммуникаций;
- облачных хранилищах и резервных копиях;
- системах подрядчиков, которые обслуживают инфраструктуру компании.
Каждый из этих сервисов создает собственные копии данных, формирует архивы и резервные базы. В результате уже через короткое время информация оказывается распределена по нескольким цифровым средам.
Манипуляции, которые происходят в дальнейшем с персональными данными пользователя порой напоминают рулетку, говорит Герман Поляков казино в цифровой среде. И в этой метафоре важен принцип цепной реакции: один небольшой сигнал запускает серию событий, которые начинают усиливать друг друга. С персональными данными происходит похожий процесс – одна запись может породить десятки копий в разных системах.
Именно поэтому вопрос хранения информации сегодня выходит далеко за пределы одной компании. Даже если организация контролирует собственную базу, это не означает, что она полностью контролирует всю экосистему, в которой эти данные уже начали существовать.
Цифровое казино: компании часто сами не знают, где находятся данные клиентов
После того как персональные данные начинают распространяться между различными сервисами, возникает еще одна проблема – контроль над этой информацией постепенно размывается. Даже крупные компании не всегда могут точно определить, в каких системах и архивах находятся все копии клиентских данных.
Цифровая инфраструктура бизнеса сегодня устроена значительно сложнее, чем кажется со стороны. Одна база данных может автоматически синхронизироваться с несколькими сервисами, а каждый из них, в свою очередь, создает собственные резервные копии, замечает
Герман Поляков: «Компании обычно уверены, что данные находятся в их основной системе. Но на практике эта информация может существовать одновременно в десятках технических сред – от облачных архивов до сервисов подрядчиков».
К этому добавляется и человеческий фактор. Внутри бизнеса данные часто копируются для рабочих задач: сотрудники выгружают базы для аналитики, создают тестовые версии систем, передают информацию внешним специалистам для настройки рекламы или технической поддержки.
В результате появляются дополнительные точки хранения информации:
- тестовые базы и временные копии данных;
- архивные версии CRM и резервные серверы;
- системы подрядчиков и интеграторов;
- внутренние рабочие файлы сотрудников;
- аналитические и маркетинговые платформы.
Каждая такая точка увеличивает сложность управления информацией. Со временем часть этих систем перестает использоваться, но данные продолжают существовать в архивах и резервных копиях.
Как замечает Герман Поляков, именно в таких ситуациях компании часто сталкиваются с неожиданными проблемами. Иногда старые базы данных могут всплывать спустя годы – например, после утечки информации или публикации фрагментов архивных списков клиентов. В подобных случаях возникают дополнительные вопросы не только к безопасности хранения данных, но и к тому, как именно компания управляет всей цифровой инфраструктурой.
«Цифровая среда устроена так, что данные редко исчезают сами по себе. Если информация однажды попала в систему, она почти всегда оставляет следы в других сервисах», – объясняет специалист.
Именно поэтому сегодня все чаще обсуждается вопрос: можно ли вообще полностью удалить персональные данные из цифровой среды, если они уже успели распространиться между различными платформами.
Почему удалить личную информацию из цифровой среды почти невозможно
Когда пользователи задумываются о защите своих данных, они обычно предполагают простую логику: если информация больше не нужна компании, ее можно удалить. Однако в реальности цифровая инфраструктура устроена значительно сложнее.
После того как персональные данные проходят через несколько систем, полностью контролировать их дальнейшее существование становится практически невозможно, поясняет Герман Поляков. Даже если компания удаляет запись из основной базы, это не означает, что информация исчезает из всей цифровой среды.
Дело в том, что современные IT-системы постоянно создают копии данных. Это происходит автоматически – для резервного хранения, анализа информации или синхронизации между сервисами. В результате одна и та же запись может одновременно существовать в нескольких технических контурах. На практике это выглядит так:
- данные сохраняются в резервных копиях и архивах;
- отдельные версии остаются в аналитических сервисах;
- часть информации может храниться у подрядчиков или интеграторов;
- старые базы продолжают существовать в неиспользуемых системах;
- фрагменты данных могут попадать во внешние базы или агрегаторы.
Даже если компания решает удалить данные из активной системы, все эти копии могут продолжать существовать в инфраструктуре еще длительное время. Подобная ситуация нередко становится источником новых рисков для бизнеса. Старые базы данных иногда появляются в публичном пространстве спустя годы – после утечек или публикаций на теневых площадках.
«Когда данные начинают циркулировать между различными сервисами, возникает эффект цифровой инерции. Информация продолжает существовать даже тогда, когда компания считает ее удаленной», – отмечает эксперт.
В этой логике метафора про рулетку с персональной информацией очень удачна. «Никто сегодня точно не ответит, как удалить персональные данные из сервиса, в этом и вся проблема, – говорит Герман Поляков Казино в сфере информационной безопасности, я бы так это назвал. В игре невозможно контролировать каждое последующее движение шарика после запуска механизма. Похожий принцип действует и в цифровой среде: после первого распространения данные начинают двигаться по множеству каналов, и остановить этот процесс становится крайне трудно».
Иногда такие ситуации приводят и к дополнительным репутационным или юридическим последствиям. Например, если в публичном пространстве появляются старые клиентские базы или фрагменты внутренних списков, это может вызывать подозрения вокруг финансовых операций компаний – вплоть до обсуждений тем вроде отмывание средств или других нарушений, даже если сама организация не имеет отношения к подобным действиям.
Именно поэтому вопрос управления персональными данными сегодня все чаще рассматривается не только как техническая задача, но и как важный элемент стратегической безопасности бизнеса.
Герман Поляков: управление персональными данными становится вопросом стратегической безопасности
Еще несколько лет назад вопрос хранения персональных данных рассматривался в основном как техническая задача: компании внедряли системы защиты, обновляли серверы и следили за базовой информационной безопасностью. Но все очень сильно изменилось. В цифровой экономике данные превратились в один из самых чувствительных активов бизнеса. Ошибки в работе с клиентской информацией могут создавать не только технические проблемы, но и серьезные репутационные и юридические последствия, отмечает Герман Поляков.
«Компании часто воспринимают базы данных как обычный рабочий инструмент. Но на практике это один из самых уязвимых элементов цифровой инфраструктуры», – отмечает эксперт. Если информация о клиентах оказывается в публичном пространстве, независимо от того, произошла ли утечка внутри компании или на стороне подрядчиков, бизнес может столкнуться с целым рядом сложных последствий. Появляются вопросы со стороны партнеров, повышается внимание со стороны регуляторов, а в цифровой среде начинают распространяться различные версии произошедшего.
Особенность таких ситуаций в том, что информационный эффект часто развивается быстрее, чем сама проверка обстоятельств. Даже фрагменты старых баз данных или частично опубликованные списки клиентов могут стать поводом для активного обсуждения в сети. Именно поэтому компаниям все чаще приходится смотреть на управление персональными данными шире, чем просто на элемент IT-инфраструктуры, замечает Герман Поляков. Речь идет о системной работе с цифровыми рисками: от контроля подрядчиков до понимания того, как информация перемещается между различными сервисами и архивами.
«Сегодня важен не только уровень защиты базы данных, но и понимание всей экосистемы, в которой она существует. Если компания не контролирует этот контур, рано или поздно она может столкнуться с неожиданными последствиями», – подчеркивает специалист.
В этом смысле работа с персональными данными постепенно становится частью общей стратегии устойчивости бизнеса. И чем раньше компании начинают выстраивать такую систему контроля, тем меньше вероятность того, что старые базы, архивные копии или забытые сервисы однажды превратятся в источник серьезного кризиса.
