Вступ

У сучасну цифрову еру витоки даних стали серйозною проблемою для організацій по всьому світу. Індія, з її швидко розвиваючою цифровою економікою, не є винятком. Цей звіт аналізує фінансові наслідки витоків даних в Індії, вивчає регуляторне середовище, що визначає захист даних, і розглядає рівень нагляду за індійськими організаціями після таких інцидентів. Крім того, звіт досліджує нові тенденції та виклики у запобіганні витоків даних і їх мінімізації в індійському контексті.

Нещодавнє затвердження правил DPDP Міністерством внутрішніх справ є важливим кроком до впровадження Закону про захист персональних даних у цифровому середовищі, 2023 року. Це підкреслює прагнення уряду створити надійну систему захисту даних в Індії та наближає Закон до повної реалізації. Хоча Закон DPDP окреслює основні принципи захисту даних, ці правила нададуть детальні рекомендації щодо процедурних аспектів і механізмів виконання, що дасть більшу ясність організаціям і особам щодо їх прав та обов'язків. Очікується, що цей розвиток зміцнить довіру до індійської системи захисту даних та заохотить більшу відповідність вимогам Закону.

Витрати на витоки даних в Індії

Витрати на витоки даних в Індії зростають у останні роки. Згідно з доповіддю IBM Security Data Breach Report 2022, середня вартість витоку даних в Індії досягла рекордного рівня — ₹17,6 crore (приблизно $2,2 мільйона)¹. Це означає зростання на 6,6% порівняно з попереднім роком та на 25% порівняно з 2020 роком¹. Крім того, середня вартість витоку на одну записану одиницю досягла 11-річного максимуму ₹6,100, що на 3,3% більше, ніж ₹5,900 у 2021 році¹. Більш актуальні дані від IBM, опубліковані у липні 2024 року, свідчать про те, що середня вартість продовжує зростати і досягла ₹19,5 crore². Цей зростаючий тренд підкреслює зростаючий фінансовий тягар, який витоки даних накладають на індійські організації.

На це зростання витрат впливають кілька факторів. Втрата бізнесу, включаючи втрату доходів і відтік клієнтів, є основним чинником³. Витрати на сповіщення, що передбачають інформування постраждалих осіб і регуляторних органів, також значною мірою сприяють збільшенню витрат³. Крім того, витрати на реагування після витоку, такі як юридичні витрати, судово-медичні розслідування та виправлення наслідків, також додають до загальних фінансових збитків.

Витоки даних, що стосуються публічних хмар, зазвичай є більш дорогими, з середньою вартістю ₹227 мільйонів⁴. Це підкреслює необхідність надійних заходів безпеки хмар для захисту чутливих даних, що зберігаються в таких середовищах.

Звіт IBM також показує, що найбільші середні витрати на витоки даних спостерігаються в промисловому секторі Індії, де вони досягають ₹255 мільйонів³. Далі йде технологічний сектор з ₹243 мільйонами та фармацевтичний сектор з ₹221 мільйоном³. Ці сектори зазвичай опрацьовують великі обсяги чутливих даних, що робить їх привабливими цілями для кіберзлочинців⁵.

Цікаво, що аналіз витрат на витоки даних IBM показує, що організації, які на більш зрілому етапі впровадження процедур нульової довіри, витратили ₹160 мільйонів на витоки даних¹. Організації, що знаходяться на початкових етапах впровадження безпеки хмар, стикалися з витратами на витоки даних, що перевищують ₹200 мільйонів¹. У порівнянні з ними організації без впровадження нульової довіри зазнали загальних витрат на витоки даних у розмірі ₹246 мільйонів¹. Це свідчить про те, що впровадження системи безпеки нульової довіри може значно зменшити фінансові наслідки витоків даних.

Регулювання захисту даних в Індії

Регуляторне середовище Індії щодо захисту даних постійно змінюється. Закон про захист персональних даних у цифровому середовищі, 2023 року (DPDP Act) є важливим законодавчим актом, що встановлює всеосяжну систему для регулювання обробки персональних даних в Індії⁶.
Цей Закон вводить кілька ключових положень, спрямованих на покращення захисту даних:

• Згода: Особи, які обробляють дані (data fiduciaries), повинні отримати явну згоду від суб'єктів даних (data principals) перед обробкою їхніх даних⁷.
• Обмеження мети: Персональні дані можна обробляти лише для конкретної мети, для якої була отримана згода⁸.
• Мінімізація даних: Особи, що обробляють дані, повинні збирати та обробляти лише мінімальну кількість персональних даних, необхідних для досягнення мети⁸.
• Заходи безпеки: Особи, що обробляють дані, зобов'язані впроваджувати розумні заходи безпеки для запобігання витокам персональних даних⁷.

Важливо зазначити, що Закон DPDP відрізняється від GDPR за своєю сферою застосування. Якщо GDPR охоплює всі персональні дані, то DPDP Act зосереджується конкретно на цифрових персональних даних, тобто на даних, що збираються в цифровій формі або спочатку збираються в недигітальній формі, а потім оцифровуються⁹.

Нещодавнє опитування PwC India показало, що лише 16% індійців знали свої права щодо персональних даних згідно з DPDP Act². Це підкреслює необхідність підвищення обізнаності та освіти щодо прав на захист даних серед населення Індії.

Виконання та санкції згідно з DPDP Act

Згідно з DPDP Act передбачається створення Ради з захисту даних Індії, незалежного органу, відповідального за виконання Закону та обробку сповіщень про витоки даних¹⁰. Рада з захисту даних матиме розслідувальні повноваження для вивчення порушень цього Закону¹¹. Вона також може видавати вказівки особам, що обробляють дані, щодо необхідних коригувальних заходів для забезпечення виконання вимог¹¹.

Згідно з DPDP Act, Рада з захисту даних має право накладати різноманітні штрафи за порушення⁷, включаючи:

Регуляторний нагляд за індійськими організаціями

Регуляторний нагляд за витоками даних в Індії здебільшого здійснюється Міністерством електроніки та інформаційних технологій (MeitY) та майбутньою Радою з захисту даних Індії¹². Організації, які зазнали витоків даних, можуть стикатися з розслідуваннями, коригувальними наказами та штрафами за недотримання вимог до захисту даних.

У 2017 році Резервний банк Індії (RBI) оштрафував Indian Bank на $1 мільйон за те, що банк не повідомив центральний банк про витік даних, що стався в 2016 році в його мережі банкоматів. Цей інцидент, який торкнувся 3,2 мільйона дебетових карток, став найбільшим витоком, коли-небудь зареєстрованим в індійській банківській системі на той час. Хоча стороння організація керувала мережею банкоматів, RBI наголосив, що банки повинні повідомляти про витоки протягом двох до шести годин після виявлення, незалежно від того, хто є відповідальним²³.

Варто зазначити, що нагляд за питаннями кібербезпеки на рівні ради директорів збільшується¹³. Ради директорів вимагають більше звітності про ризики кібербезпеки та заходи з їх пом'якшення, що свідчить про зростаючу обізнаність щодо важливості кібербезпеки на найвищих рівнях корпоративного управління.

Останні випадки, як, наприклад, ймовірний витік даних у Star Health Insurance, що стосується особистих даних понад 31 мільйона клієнтів, підкреслюють збільшення регуляторного нагляду за індійськими організаціями¹⁴. Ці інциденти підкреслюють важливість надійних заходів захисту даних і дотримання вимог DPDP Act.

Кейс-стаді витоків даних в Індії

В останні роки в Індії сталося кілька значних витоків даних, які торкнулися різних секторів і підкреслили вразливість організацій до кібератак. Ось кілька прикладів:

• BigBasket: У 2020 році онлайн-платформа BigBasket зазнала витоку даних, в результаті якого було розкрито особисту інформацію понад 20 мільйонів користувачів¹⁵. Скомпрометовані дані включали електронні адреси, хеші паролів, номери телефонів, адреси та інші чутливі дані¹⁵.
  Цей інцидент підкреслив вразливість платформ електронної комерції, які зберігають великі обсяги даних клієнтів.
• Dominos India: У 2021 році компанія Dominos India зазнала кібератаки, що призвела до ймовірного витоку даних з 180 мільйонів замовлень, включаючи деталі клієнтів та інформацію про замовлення¹⁵. Цей витік викликав занепокоєння щодо безпеки платформ онлайн-замовлення їжі та потенціалу зловживання даними клієнтів.
• Airtel: У 2020 році телекомунікаційний гігант Airtel зазнав витоку даних через вразливість в їх мобільному додатку, що могло призвести до витоку такої інформації, як імена, адреси та номери телефонів клієнтів¹⁵. Цей інцидент продемонстрував важливість безпечної розробки мобільних додатків і необхідність регулярних оцінок безпеки.

Ці випадки демонструють різноманітність витоків даних і потенційні наслідки для організацій та індивідів. Вони також підкреслюють необхідність постійної пильності та проактивних заходів безпеки для зменшення таких ризиків.

Глобальні стандарти та практики

У глобальному контексті стандарти та практики захисту даних розвиваються швидко. Загальний регламент захисту даних Європейського Союзу (GDPR) став провідною моделлю, що впливає на закони щодо захисту даних у різних юрисдикціях¹⁷. GDPR наголошує на принципах, таких як права суб'єктів даних, відповідальність контролера даних та обмеження на трансфер даних між країнами¹⁷.

Інші міжнародні стандарти, такі як ISO/IEC 27001, забезпечують системний підхід до управління ризиками інформаційної безпеки¹⁸. Ці стандарти надають керівництво щодо впровадження засобів безпеки, оцінки ризиків та механізмів реагування на витоки даних.

Порівняння індійського регуляторного ландшафту з глобальними стандартами виявляє кілька важливих відмінностей. Хоча DPDP Act черпає натхнення з GDPR, він обирає менш прописний підхід у певних сферах, таких як міжнародні трансфери даних⁹. DPDP Act дозволяє трансфер даних до всіх країн, окрім тих, що спеціально обмежені урядом, що надає більше гнучкості порівняно з вимогами щодо адекватності GDPR⁹.

Нові тенденції та виклики

Є кілька нових тенденцій і викликів, що формують ландшафт попередження та пом'якшення витоків даних в Індії:

Нові тенденції:

• Архітектура нульового довіри: Ця модель безпеки передбачає, що жоден користувач або пристрій не повинні автоматично довірятися, і вимагає постійної перевірки для доступу до ресурсів¹⁹. Такий підхід допомагає мінімізувати поверхню атаки і обмежувати вплив потенційних витоків.
• Штучний інтелект (AI) та машинне навчання (ML): AI та ML все частіше використовуються для виявлення та реагування на кіберзагрози в реальному часі, покращуючи рівень безпеки. Ці технології можуть аналізувати великі обсяги даних для виявлення аномалій і потенційних загроз, що дозволяє вжити проактивних заходів безпеки.
• Безпека хмар: З зростаючим використанням хмарних технологій, забезпечення безпеки хмарних середовищ і даних, що зберігаються в хмарі, стає критично важливим. Рішення з безпеки хмар надають спеціалізовані інструменти та послуги для захисту даних та додатків у хмарі.

Виклики:

• Недостатність кадрів: Недолік кваліфікованих спеціалістів з кібербезпеки створює серйозні труднощі для організацій при впровадженні та управлінні ефективними заходами безпеки²⁰. Цей дефіцит ускладнює пошук та утримання кваліфікованих кадрів для обробки відповідальності за кібербезпеку.
• Брак обізнаності: Багато працівників не мають достатньої обізнаності щодо найкращих практик у сфері кібербезпеки, що робить їх вразливими до фішинг-атак та інших методів соціальної інженерії²⁰. Це підкреслює необхідність регулярного навчання співробітників та програм з підвищення обізнаності щодо кібербезпеки.
• Еволюція ландшафту загроз: Кіберзагрози постійно еволюціонують, що вимагає від організацій бути в курсі останніх технологій безпеки та стратегій²¹.
  Це вимагає постійного навчання та адаптації до нових загроз і вразливостей.
• Дистанційна робота: Перехід до дистанційної роботи збільшив ризики кібербезпеки, оскільки більше співробітників отримують доступ до корпоративних мереж з незахищених середовищ²¹. Це вимагає від організацій впровадження надійних заходів безпеки для віддаленого доступу та забезпечення того, щоб співробітники дотримувались безпечних практик під час роботи віддалено.

Щоб впоратися з цими викликами та покращити індивідуальну кібербезпеку, ось кілька практичних порад:

• Використовуйте надійні паролі та двофакторну автентифікацію.
• Постійно оновлюйте програмне забезпечення та операційні системи.
• Використовуйте авторитетну програму антивірусного захисту та брандмауер.
• Будьте обережні при натисканні на посилання та завантаженні файлів.
• Не використовуйте публічний Wi-Fi без VPN.
• Регулярно створюйте резервні копії своїх даних.

Ці поради є частиною ширшої тенденції до індивідуальної відповідальності у кібербезпеці, де люди відіграють активну роль у захисті своїх даних та пристроїв.

Висновок

Витоки даних становлять значну і зростаючу загрозу для організацій в Індії. Фінансові наслідки цих інцидентів значні, а регуляторний ландшафт стає все більш суворим. DPDP Act вводить всебічну структуру для захисту даних, наголошуючи на згоді, обмеженнях за метою та заходах безпеки. Організації повинні пріоритетно ставитись до виконання цього Закону та впроваджувати надійні заходи безпеки для зменшення ризиків витоків даних.

DPDP Act має суттєві наслідки для бізнесу, що працює в Індії. Він вимагає від організацій переглянути свої практики обробки даних, отримати чинну згоду на збір даних і впровадити відповідні заходи безпеки. Невиконання вимог Закону може призвести до значних фінансових штрафів та репутаційних збитків.

Багатошаровий підхід до попередження витоків даних є необхідним. Це включає поєднання технічних заходів безпеки, таких як шифрування та контроль доступу, з організаційними заходами, такими як навчання співробітників та планування реагування на інциденти. Регулярні оцінки безпеки та аудити також важливі для виявлення та усунення вразливостей.

Зміни в ландшафті загроз вимагають постійної адаптації. Організації повинні бути в курсі нових загроз та вразливостей, оновлювати свої заходи безпеки відповідно до цих змін та сприяти розвитку культури обізнаності щодо кібербезпеки серед співробітників.

Проактивно вирішуючи ці проблеми та приймаючи нові тенденції в кібербезпеці, організації можуть краще захистити себе та своїх зацікавлених сторін від зростаючої загрози витоків даних.

Використані джерела

1. What Is the Average Cost of a Data Breach in India? — UpGuard, https://www.upguard.com/blog/average-cost-of-a-data-breach-in-india

2. Avg data breach cost hit Rs 19 cr in 2024; 16% Indians know privacy rights, https://www.business-standard.com/finance/personal-finance/avg-data-breach-cost-hit-rs-19-cr-in-2024-16-indians-know-privacy-rights-124102300821_1.html

3. IBM Report: Escalating Data Breach Disruption Pushes Average Cost of a Data Breach in India to All-Time High of INR 195 Million in 2024, https://in.newsroom.ibm.com/2024-07-31-IBM-Report-Escalating-Data-Breach-Disruption-Pushes-Average-Cost-of-a-Data-Breach-in-India-to-All-Time-High-of-INR-195-Million-in-2024

4.
4. Середня вартість витоку даних в Індії досягла рекордної позначки в 19,5 крор рупій: звіт IBM, https://timesofindia.indiatimes.com/business/india-business/average-cost-of-data-breach-in-india-reached-record-high-of-rs-19-5-crore-ibm-report/articleshow/112161487.cms

1. Середня вартість витоків даних в Індії досягла 2,18 мільйона доларів: звіт RBI — Business Standard, https://www.business-standard.com/finance/news/average-cost-of-data-breaches-in-india-hits-2-18-million-rbi-report-124072900610_1.html

2. Індія прийняла давно очікуваний закон про конфіденційність — WilmerHale, https://www.wilmerhale.com/en/insights/blogs/wilmerhale-privacy-and-cybersecurity-law/20230818-india-passes-long-awaited-privacy-law

3. Законодавство Індії — DLA Piper Global Data Protection Laws of the World, https://www.dlapiperdataprotection.com/index.html?t=law&c=IN

4. Закон про захист персональних даних в Індії, 2023 — MeitY, https://www.meity.gov.in/writereaddata/files/Digital%20Personal%20Data%20Protection%20Act%202023.pdf

5. Індійський Закон про захист персональних даних 2023 проти GDPR: порівняння, https://www.globalprivacyblog.com/2023/12/indias-digital-personal-data-protection-act-2023-vs-the-gdpr-a-comparison/

6. Національний орган захисту даних в Індії — DLA Piper Global Data Protection Laws of the World, https://www.dlapiperdataprotection.com/index.html?t=authority&c=IN

7. Звіт про закони та нормативні акти щодо захисту даних 2024–2025 Індія — ICLG.com, https://iclg.com/practice-areas/data-protection-laws-and-regulations/india

8. Захист даних в Індії | Інсайти — Linklaters, https://www.linklaters.com/en/insights/data-protected/data-protected---india

9. Кібербезпека в Азіатсько-Тихоокеанському регіоні: зростаючі загрози та прийняття GenAI — PwC, https://www.pwc.com/gx/en/issues/cybersecurity/global-digital-trust-insights/asia-pacific.html

10. Star Health стикається з регуляторним контролем через ймовірний витік даних, експерти попереджають про юридичні наслідки, https://legal.economictimes.indiatimes.com/news/corporate-business/star-health-faces-regulatory-scrutiny-over-alleged-data-breach-experts-warn-of-legal-ramifications/114176484

11. Витоки даних в Індії — Wikipedia, https://en.wikipedia.org/wiki/Databreachesin_India

12. Кейс дослідження — Безпека мобільних пристроїв — Staysafeonline, https://www.staysafeonline.in/concept/mobile-device-security/case-study

13. Витоки даних: причини, вплив на відповідність та найкращі практики — Bright Security, https://brightsec.com/blog/data-breaches-causes-compliance-impact-and-best-practices/

18.
18. Посібник з стандартів безпеки даних | Iron Mountain Сполучені Штати, https://www.ironmountain.com/resources/blogs-and-articles/g/guide-to-data-security-standards

1. 5 тенденцій захисту даних у 2024 році — Astra Security, доступно за посиланням, https://www.getastra.com/blog/security-audit/data-protection-trends/

2. Стан кібербезпеки в Індії: виклики та шляхи розвитку — ET Edge Insights, https://etedge-insights.com/technology/cyber-security/state-of-cybersecurity-in-india-challenges-and-pathways/

3. Найбільші виклики, з якими стикаються професіонали з безпеки в Індії — Entrepreneur, https://www.entrepreneur.com/en-in/technology/the-biggest-challenges-faced-by-security-professionals-in/481877

4. Кібербезпека в Індії: тенденції, загрози та стратегії захисту | nasscom, https://community.nasscom.in/communities/cyber-security-privacy/cybersecurity-india-trends-threats-and-strategies-protection

5. RBI накладає штраф на Yes Bank в розмірі 1 мільйон доларів за запізнення з повідомленням про витік — BankInfoSecurity, https://www.bankinfosecurity.com/rbi-fines-yes-bank-1-million-for-tardy-breach-reporting-a-10403

Перекладено з: Data Breach Costs and Regulatory Scrutiny in India