Проект видавничого дому «МЕДІА-ПРО»
Персональные данные клиентов: как и зачем защищать? | director.com.ua

Персональные данные клиентов: как и зачем защищать?

Автор статьи: 

Алексей ДРОЗД

Заглавное изображение: 

Согласно данным исследования компании «Лаборатория Касперского», девять из десяти компаний за последний год как минимум один раз сталкивались с киберугрозами. Например, в России об этом сообщили 96 % респондентов, в то время как в среднем по миру — 91 %. Для каждой третьей организации эти инциденты закончились потерей данных, в том числе важных для ведения бизнеса

Такие «страшилки» любят приводить в качестве примера маркетологи. Невольно вспоминается афоризм, рожденный в условиях современных рыночных отношений: «По статистике, более 90 % цифр в статистике взяты с потолка». Поэтому обратимся к реальным цифрам и фактам.

5 сентября 2011 года в медицинской организации UCLA произошла утечка персональных данных более 16 тыс. пациентов. Жесткий диск с базой был украден из дома бывшего сотрудника компании. Несмотря на то, что диск был зашифрован, пароль был записан на клочке бумаги, который лежал рядом с компьютером. Этот случай примечателен тем, что буквально за несколько месяцев до инцидента UCLA потратила $865 тыс. на создание политик безопасности, удовлетворяющих требованиям регулятора. В итоге против организации выдвинут коллективный иск более чем на $16 млн.

Всем известно, что умные люди учатся на чужих ошибках. Мы тоже будем придерживаться этой «традиции». Как видим, порой недостаточно лишь привести систему своей компании в соответствие с требованиями регулятора. Однако, прежде, чем рассказать, как защищать свои (и чужие) данные, необходимо понять, зачем это вообще нужно.

Зачем?

Первая и главная причина, на которую руководитель обращает внимание, — финансовый аспект. Но она далеко не единственная. Не менее критичны следующие последствия утечек:
•ухудшение имиджа компании;
•утрата технологических секретов;
•ослабление позиций в конкурентной борьбе;
•необходимость затрат на устранение последствий утечки;
•судебные иски, поданные клиентами против компании;
•санкции контролирующих органов;
•увольнение сотрудников;
•снижение числа новых и отток существующих клиентов.

Безусловно, никто не захочет продолжать сотрудничать с банком, если любой «человек с улицы» будет иметь доступ к персональной информации по всем счетам и переводам.

Из года в год средний ущерб от информационной утечки возрастает. Признанным экспертом в области отслеживания и анализа подобных инцидентов является Ponemon Institute. По данным этой организации, в 2010 году «стоимость» одной утечки приблизилась к 3 млн фунтов стерлингов. Кстати, буквально два–три года назад она составляла 2 млн.

Исходя из этого, руководитель должен принять одно из самых важных решений — о необходимости защиты данных. Кому-то этот постулат может показаться настолько очевидным, что и обсуждать здесь вроде бы нечего. Тем не менее, практика показывает, что хорошего специалиста по информационной безопасности, как и хорошего системного администратора, руководство со временем начинает воспринимать как «дармоеда»: мол, сидит, ничего не делает, да еще и прибавку к зарплате требует. Но не следует недооценивать роль IТ-специалиста в компании. Ведь именно он является тем «инструментом», с помощью которого минимизируются все риски и издержки, грозящие предприятию
в случае утечки конфиденциальных сведений.

Итак, будем считать, что оснований для защиты информации у нас достаточно и с вопросом «Зачем?» мы разобрались. Самое время перейти к гораздо более серьезной части статьи — практической. В ней речь пойдет о том, как защитить персональные данные и на что обратить внимание в первую очередь.

Как?

Прежде чем предпринимать какие-либо действия и попеременно хвататься то за чековую книжку, то за сердце, важно определить, от кого компания собирается защищаться. В СНГ понятие «информационная безопасность» часто воспринимается как защита от внешних угроз, таких как вирусы и хакерские атаки. Это суждение ошибочно, поскольку не учитывает наличие инсайдеров — собственных сотрудников, тем или иным способом способных украсть и передать конкурентам секретные сведения фирмы. Причины тому разные: это может быть банальная обида на начальство, «прощальный аккорд» от увольняющегося работника, неосторожность, халатность либо намеренный промышленный шпионаж.

За примерами далеко ходить не придется. И если Пушкина «язык до Киева довел», нам достаточно «пройтись» до Харькова. Именно там летом 2011 года сотрудник местного подразделения Службы безопасности Украины «слил» в Сеть весь план мероприятий СБУ на полугодие, с явочными квартирами, осведомителями и внедренными сотрудниками.

Еще одним общемировым трендом в последнее время стали утечки по халатности сотрудников, когда они банально не знают, какая информация является конфиденциальной и что именно нельзя обсуждать с коллегами в «аське».

Профессионально и комплексно оценить ситуацию с безопасностью на вашем предприятии может аудит, проведенный сторонними специалистами. Многие фирмы, производящие решения в области ИБ, а также интеграторы, предоставляют подобную услугу. Однако ее главным недостатком является высокая стоимость.

Провести оценку бизнес-рисков можно и собственными силами. Подробнее об этом мы рассказывали в предыдущем номере журнала в статье «Как оценить бизнес-риски?».

Поэтому рассмотрим различные варианты ответа на вопрос «Как?».

Шифрование данных

Это довольно популярный метод хранения конфиденциальной информации, основным недостатком которого часто становится человеческий фактор. Особо красноречивым является пример, приведенный в начале публикации, когда персонал хранит пароли рядом с носителями информации. К несовершенствам можно отнести также высокую стоимость метода, по сравнению с обычными носителями, которые и так значительно прибавили в цене после наводнения в Таиланде. Кроме того, необходимость шифровать данные неизбежно сказывается на общей скорости работы системы.

Права доступа

Помните поговорку о «любопытной Варваре»? Рассматривая фольклор с точки зрения сотрудника службы безопасности, мы видим явную недоработку: Варвара имела доступ ко всем сведениям. В идеале каждый сотрудник компании должен иметь доступ лишь к той информации, которая необходима ему для качественного выполнения своей работы. Это значит, например, что HR-
менеджер не должен иметь возможности заглядывать в бухгалтерские документы.

Авторизация

Более серьезным шагом к повышению внутренней безопасности, помимо стандартной учетной записи в домене, является авторизация с помощью персональных токенов. Это устройство должно быть подключено к компьютеру, без него работа на ПК технически невозможна.

SIEM

Аббревиатура расшифровывается как Security Information and Event Management. Это системы, настроенные на работу с логами и предназначенные для того, чтобы из их великого множества — следов, которые оставляются пользователями в Сети, — отыскивать «логи криминальные», свидетельствующие об атаке, о преступном поведении лица, оставившего эти следы. Традиционные методы поиска подобных сведений утомительны. Поэтому в своих рекомендациях компании-поставщики решений ИБ и фирмы, сами занимающиеся расследованием инцидентов, советуют использовать системы SIEM, обеспечивающие быстрый поиск по датам или иным отличительным чертам, активный мониторинг с целью избежать инцидентов безопасности, соответствие определенным правилам передачи данных во внешние сети и в целом — политикам безопасности.

Правда, эти системы больше подходят для ретроспективного анализа инцидента, а не для его предупреждения. Для выявления самых опасных врагов — инсайдеров — нужно более мощное средство анализа. Решение должно быть способно не только отслеживать
изменения и пересылку документов, но и анализировать поведение персонала, выявлять подозрительные связи и разговоры.

DLP

Еще одна аббревиатура, произошедшая от первых букв Data Leak Prevention (предотвращение утечек информации). Следует отметить, что DLP — не панацея. Нельзя установить данную систему и тем самым на 100 % защититься от всех видов утечек.

Это инструмент, а значит, очень многое зависит от того, кто им пользуется. На примере «Контура информационной безопасности SearchInform» рассмотрим, что может дать подобное решение при грамотной эксплуатации:

1. Комплексный подход к контролю каналов передачи информации. Анализируется и передача документов на печать, и запись информации на различные внешние устройства. Также под контролем находятся интернет-мессенджеры (ICQ, Skype и т. п.), FTP, HTTP(s) и почтовые протоколы.

2. Возможность блокировки передаваемой информации. Эта функция лучше всего защитит от случайных утечек по неосторожности.

3. Анализ связей между сотрудниками. В последнее время эта функция появилась не только в продуктах SearchInform, но и, например, у Falcongaze, что доказывает ее полезность.

4. Контроль ноутбуков. Причем, даже если они находятся не в корпоративной сети. В связи с их активным использованием в бизнесе, во время командировок, возможность контроля долгое время была желанием № 1 у пользователей DLP-систем.

5. Разнообразие поиска. В том числе с применением словарей синонимов, указанием уровня релевантности, поиска по регулярным выражениям и пр.

Итого

Защищать информацию нужно. Это не модный тренд, а необходимость. На сегодняшний день в мире активно дорабатываются стандарты, требования и ответственность за их несоблюдение. Пока что главными международными стандартами являются ISO 27000 и ISO 27001. На их основе разрабатываются национальные стандарты и законы. Поэтому самое время задуматься о том, как наиболее эффективно защитить конфиденциальные сведения.

Есть простое правило: если финансовые потери при утечке информации сопоставимы со стоимостью решения для ее защиты, значит, решение стоит внедрять.

 

 

 

© 2017 ООО «МЕДИА-ПРО». Все права защищены. Украина, 02660, г. Киев, ул. М.Расковой 11, корпус А, 6 этаж