Для спеціалістів у сфері комплаєнсу не буде відкриттям, якщо я почну перелічувати і розповідати про стандартні підходи комплаєнс-служби, day-to-day activities, з якими стикаються більшість комплаєнс-спеціалістів незалежно від сектору діяльності компанії. Звичайно, корпоративна етика, запобігання конфлікту інтересів, реалізація функції KYC, підтримка «лінії довіри», протидія корупції та недопущення навіть натяків на участь у відмиванні коштів, добросовісність у рекламі, участь у аудиті використання активів, тобто все, що належить до управління комплаєнс-ризиками, є важливим для нашої компанії. Та все ж є де які відмінності, специфіка комплаєнсу в авіації. Тож користуючись можливістю, радше розповім про ці особливості та про те, як вплинула на комплаєнс-функцію в нашій компанії пандемія Covid-19, зокрема, як комплаєнс допомагає пережити коронавірусну кризу.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
До речі, про кризу. Трішки сумної статистики. Через вплив пандемії кількість польотів над Україною у 2020 р. зменшилась на 57,6% порівно з 2019 р. Так, у повітряному просторі, що перебуває під відповідальністю України, у 2020 р. було здійснено 68 870 міжнародних польотів (–57,7%).
Міжнародна асоціація повітряного транспорту (IATA) оголосила загальносвітові результати пасажирських перевезень за 2020 р., які свідчать про те, що міжнародний пасажирський попит у 2020 р. був на 75,6% нижчий від рівня 2019 р. Це на сьогодні є найбільшим падінням кількості пасажирських перевезень в історії авіації. При цьому число бронювань на майбутні подорожі, зроблених у січні 2021 р., зменшилось на 70% порівняно з роком тому, що свідчить про подальший тиск на авіацію та потенційно впливає на очікувані строки відновлення міжнародного авіаційного сполучення. За прогнозами Міжнародної асоціації повітряного транспорту (IATA), світове авіасполучення відновиться до докризового рівня лише у 2024 р.
Тож у чому полягають особливості роботи комплаєнс-служби в авіації, і чому коронавірус вплинув на комплаєнс у нашій компанії?
Практично всі суб'єкти господарювання авіаційної галузі стикаються з необхідністю обробки величезного обсягу персональних даних пасажирів. Наприклад, одна авіакомпанія може обробляти десятки мільйонів записів про пасажирів. Тож виникає потреба у певних заходах захисту даних клієнтів. Під кіберзахистом у режимі 24/7 мають перебувати літаки та, відповідно, екіпажі й пасажири на борту. Нехтування заходами захисту призводить не тільки до репутаційних втрат, а й до фінансових, а інколи й до людських жертв.
У 2018 р. гонконгська компанія Cathay Pacific Airlines помітила підозрілу активність у своїй внутрішній мережі. У результаті слідчих дій було виявлено, що хакер отримав доступ до особистої інформації 9,4 млн клієнтів. Зокрема, була викрадена інформація про кредитні картки, паспортні дані, інші персональні дані пасажирів. Це порушення захисту даних у Cathay Pacific стало не першим в історії, але найбільшим в авіаційній галузі. Пасажири втратили довіру, і вартість акцій компанії різко впала, що продемонструвало важливість кібербезпеки в цивільній авіації, якою мають займатися не лише ІТ-спеціалісти.
У якості іншого прикладу хочу навести ініціативу Міністерства національної безпеки США (DHS), яке в 2017 р. оголосило про необхідність впровадження додаткових заходів запобігання спробам терористів викрасти або збити літаки. На думку DHS, цьому має сприяти функція кіберкомплаєнсу, яка має бути важливою для будь-якої авіакомпанії. Наразі, під час пандемії Covid-19, значення цієї функції лише збільшується, оскільки авіакомпанії застосовують нові онлайн-технології, а співробітники змушені працювати віддалено, що тільки додає ризиків.
Хоча існує багато подібного між практиками кібербезпеки в авіації та в інших галузях, професіонали в галузі авіації стикаються з унікальними проблемами. Нові технології дають змогу покращити зв'язок, але також відкривають нові потенційні вразливі місця. Однією з таких технологій є так звана електронна польотна сумка (EFB), що по суті являє собою планшет, котрий пілот бере з собою у кожен рейс, який містить величезний обсяг інформації стосовно рейсу, екіпажу і пасажирів на борту літака. Хоча це зручно, EFB створюють реальний ризик для безпеки польоту, який авіакомпаніям потрібно правильно оцінювати та відповідно контролювати.
У галузі авіації сформувалася нова взаємодія зацікавлених сторін, які активно оцінюють ризики втрати даних та ризики кібербезпеки, що безпосередньо пов'язано як із впровадженням новітніх технологій, так і з новими регуляторними актами у сфері захисту персональних даних. У нашій компанії, до прикладу, основні структурні зміни почалися на початку 2018 р., що було пов'язано з необхідністю дотримання вимог нового регламенту ЄС 2016/679 про захист фізичних осіб стосовно обробки персональних даних та вільне переміщення таких даних від 27.04.2016 р. (він же GDPR). У компанії почали активно впроваджувати додаткові заходи із забезпечення інформаційної безпеки, зокрема безпеки персональних даних, котра, зрозуміло, безпосередньо пов'язана з кібербезпекою. Звичайно, ми й до 2018 р. переймалися цими питаннями, але зміни таки відбулися, і деякі з них вплинули на організаційну структуру компанії. Зокрема, було призначено офіцера із захисту даних (DPO), головною метою роботи якого стало забезпечення виконання функцій з нормативного й організаційного супроводу бізнес-процесів, пов'язаних з обробкою та захистом персональних даних.
По факту майже всі дані, якими оперує авіакомпанія, так чи інакше пов'язані з персональними даними чи то клієнтів, чи співробітників та інших фізичних осіб, які надають компанії послуги. Цікавою особливістю посади DPO є його повна незалежність від виконавчого органу компанії — на рішення офіцера, які стосуються обробки і захисту даних, не мають права впливати жоден зі співробітників, у т. ч. керівництво. Більше того, DPO не може бути звільнений за прийняті у межах своєї компетенції рішення, майже як народний депутат.
Також компанією було створено представництво з питань захисту персональних даних на території ЄС, як передбачає GDPR (авіакомпанія по специфіці свої діяльності підпадає під критерії, які визначають такий обов'язок для тих, хто не зареєстрований на території Союзу).
Серед організаційно-технічних заходів можна виділити проведення повного ІТ-аудиту, проходження тестів на проникнення (penetration test), придбання новітніх систем виявлення і запобігання ризикам втрати даних.
Оскільки фактично офіцер із захисту даних відповідає за data privacy-комплаєнс, який безпосередньо пов'язаний з кібербезпекою, було прийняте рішення про розширення функції і зони відповідальності. Протягом 2020 р., під час пандемії, працюючи переважно з ІТ-дирекцією, DPO став генератором змін у кіберкомплаєнсі. Були переглянуті і оновлені внутрішні нормативні акти, що регулюють питання кібербезпеки, до яких у багатьох компаніях комплаєнс-служба зазвичай не торкається. Відповідно, були проведені певні зміни і у процесах, що пов'язані з віддаленою роботою співробітників компанії. Комплаєнс-офіцер розробив посібник з основними порадами для підвищення рівня кібербезпеки та провів дистанційне навчання співробітників інших підрозділів з питань кіберзахисту в режимі дистанційної роботи.
Сьогодення вимагає змін, і вони торкнулися майже всіх. Комплаєнс-функція теж має змінюватися під впливом обставин, ставати ширшою, охоплювати нові галузі знань. На прикладі авіаційної галузі, таке оновлення і розширення відбулося, в першу чергу, у зв'язку з вимогами європейських нормативних актів. Але не обов'язково чекати законодавчих вимог. Пандемія вже другий рік поспіль показує по всьому світу, що бізнес вже не зможе функціонувати, як раніше. І одним з найважливіших напрямів, куди вже є сенс рухатися комплаєнс-функції, є кіберкомплаєнс.