Дані – це нове золото. Цінність конфіденційної інформації та особистих даних може здатися не такою вже великою, але їх витік — одна з найдорожчих катастроф для всіх типів організацій — підприємств, урядів та інших установ. Відсутність належного захисту даних — це аварія, яка чекає свого часу, тому що кіберзлочинці постійно шукають шанс отримати у свої руки конфіденційні дані, які вони можуть продати іншим злочинним організаціям для різних цілей.
На додаток до прямих фінансових наслідків, які можуть виникнути внаслідок витоків даних, організації, які стали їх жертвами, також зазнають репутаційних втрат і повинні сплачувати величезні штрафи наглядовим органам за недотримання законів про конфіденційність даних, законів про захист даних, а також інші правила конфіденційності, такі як GDPR, HIPAA, CCPA та інші.
В цілому, однією з основних проблем кібербезпеки сьогодні є запобігання попаданню інформації, що дозволяє встановити особистість, до рук зловмисників. Фахівці Endpoint Protector підготували 5 основних правил, яких необхідно дотримуватись для забезпечення безпеки даних та конфіденційності інформації в організації.
Запобігання втрати даних там, де це відбувається найчастіше
Якщо зосередитися на сенсаційній інформації, що надходить зі ЗМІ, було б легко повірити, що причина номер один втрати даних — це кібератаки, здійснені досвідченими фахівцями. Однак це далеко від істини. Більшість витоків даних є результатом людської помилки, а не зловмисних дій.
Якщо проаналізувати причини найбільших історичних випадків, наприклад, на основі даних, зібраних у Вікіпедії, то найчастіше трапляються дві причини: злом та погана безпека. А категорія поганої безпеки стосується випадків, коли дані, наприклад, були доступні в незашифрованому вигляді в незахищеній базі даних, доступної без будь-якої автентифікації. Ці дані тільки й чекали, щоби їх вкрали.
А далі видно все більше випадків випадково опублікованих, втрачених/вкрадених носіїв і помилок всередині компанії. У той час як найсерйозніші порушення безпеки, такі як злом Capital One, могли бути пов’язані з навмисними діями, більша частина даних втрачається через збої, яким можна легко запобігти, впровадивши автоматичні засоби захисту не від злому, а від необдуманості.
Висновок. При виборі безпекової стратегії обов’язково варто подумати про запобігання потенційно ризикованому санкціонованому доступу не менше, ніж про захист від навмисного несанкціонованого доступу.
Врахування всіх можливих джерел витоку даних
Сьогодні не можна уявити собі організацію, яка не використовує антивірусне/захисне від шкідливих програм рішення на своїх кінцевих точках. Цей вид захисту давно став нормою. Також важко уявити мережу без брандмауера, і майже кожна організація навчає своїх співробітників небезпеки фішингу. Проте все ще є підприємства та установи, яким не вдається вийти за межі цих основних методів захисту.
Дві області, які багато компаній не розглядають як потенційні джерела витоку даних, – це вебінтерфейси та типові дії кінцевих точок, такі як спілкування в чаті, електронна пошта, публікація в соціальних мережах або використання USB-накопичувача для переміщення даних. Багато компаній застосовують дуже суворі правила доступу до інформації та при цьому зовсім не контролюють, які дані передаються через програми обміну повідомленнями, електронну пошту та підключені пристрої. Без превентивних заходів необережний внутрішній користувач може легко спричинити трагедію, поділившись конфіденційними даними не з тією людиною або випадково вставивши їх у коментар на LinkedIn. Без достатнього захисту конфіденційності даних внутрішній зловмисний користувач може легко відправити конфіденційні дані на особисту адресу електронної пошти.
Висновок. Якщо користувач захищає себе від витоку даних через фішинг, відкриті мережеві порти, незахищені IP-адреси, віруси та трояни, йому слід приділяти стільки уваги іншим потенційним джерелам витоку даних, таким як потенційно безвідповідальні та випадкові дії.
Моніторинг усіх потенційних джерел конфіденційної інформації
Конфіденційна інформація не завжди зосереджена в одному джерелі. Хоча малоймовірно, що номери кредитних карток будуть лежати в текстових файлах на жорсткому диску одного зі співробітників, це набагато ймовірніше, коли йдеться про інші випадки обробки персональних даних, які знаходяться під захистом, так само як і ці номери кредитних карток – навіть такі прості, як дата народження користувача. Як і раніше, можна заплатити солідний штраф органу захисту даних за втрату номерів соціального страхування та інших типів PII, а також за неможливість видалити особисті дані, якщо їх власник виявив таке бажання.
Багато організацій не розуміють, що за нинішнього стану розвитку технологій кібербезпеки можна ідентифікувати таку конфіденційну інформацію лише за тим, як її побудовано. Можна реалізувати захист конфіденційності за допомогою рішення для профілювання даних, яке розпізнає конфіденційні дані до того, як вони будуть надіслані небезпечним каналом, таким як, наприклад, соціальні мережі. Користувачі можуть нічого не знати про конфіденційність в Інтернеті та не розуміти, що деякі типи даних, наприклад, вважаються конфіденційною інформацією про здоров’я або є біометричними даними, але інтелектуальне ІТ-рішення не припуститься цієї помилки.
Висновок. Не варто думати, що конфіденційна інформація міститься лише у добре ідентифікованих джерелах. Потрібно використовувати сучасні рішення, щоб ідентифікувати її не тільки за місцем зберігання, а й за контентом.
Профілактика краще, ніж лікування – шифрування скрізь, де це можливо
Якщо 20 років тому шифрування інформації вважалося рідкісним явищем і асоціювалося лише з передачею секретів, то настала епоха переносимості даних (data portability), коли майже кожна передача даних шифрується. Наприклад, більшість вебсторінок, які сьогодні відвідують користувачі, використовують з’єднання SSL/TLS (HTTPS), які гарантують, що ніхто не зможе прослуховувати зв’язок між браузером і вебсайтом або вебдодатком. Сервери електронної пошти також взаємодіють один з одним, і багато платформ обміну миттєвими повідомленнями застосовують шифрування і навіть дозволяють надсилати повідомлення з обмеженим терміном зберігання, надаючи можливість автоматичного стирання після вибраного проміжку часу.
Однак, хоча всі ці механізми доступні, багато хто їх не застосовує. Не кожен вебсайт дозволяє лише безпечні з’єднання, багато хто все ж таки дозволяє використовувати незашифровану передачу даних. Вміст електронної пошти майже ніколи не шифрується, і є відомі платформи обміну повідомленнями, які довіряють стороннім каналам зв’язку для обробки шифрування. Тому слід застосовувати шифрування скрізь, де це можливо, особливо якщо є підозра, що будь-яка конфіденційна інформація може бути включена до збору даних.
Висновок. Краще використовувати шифрування скрізь, де це можливо. Навіть якщо користувач використовує захищені канали, додаткове шифрування даних нікому не зашкодить та забезпечить додатковий рівень захисту.
Сприйняття безпеки як інвестиції, а не як тягаря
Усі додаткові заходи безпеки можуть здатися тягарем. Раніше просто потрібні були хороші замки на дверях, а тепер треба думати та про всі ці потенційні джерела витоку даних. Багатьом підприємствам не подобається витрачати великі гроші на кібербезпеку і вони вирішують обмежити такі витрати, йдучи на прорахований ризик. Однак саме такі компанії фігурують у списках найбільших витоків даних.
Одним з найважливіших аспектів безпеки, а не тільки захисту та конфіденційності даних, є мислення. Якщо ставиться до кібербезпеки як інвестиції, можна побачити, що вона окупиться, допомагаючи уникнути раптових витрат, які можуть призвести до банкрутства організації.
Висновок. Розпочинати ініціативи в галузі кібербезпеки потрібно з правильним мисленням, розглядаючи заходи безпеки, як інвестиції, які допоможуть уникнути потенційно трагічних наслідків.
Рішення – Endpoint Protector
Для розв’язання всіх проблем, зазначених у наведених вище рекомендаціях, потрібно кілька різних класів рішень або зовнішніх постачальників послуг. Однак багато з цих проблем, насамперед ті, які пов’язані з випадковою втратою даних внаслідок безвідповідальних або зловмисних дій внутрішніх користувачів, можна вирішити за допомогою Endpoint Protector, який допоможе контролювати можливу втрату інформації через підключені пристрої та сучасні канали зв’язку. Крім того, це допоможе ідентифікувати особисту інформацію, що зберігається у локальних джерелах даних.
Озброївшись Endpoint Protector, можна бути впевненим, що не залишається великих дірок у безпеці, які були причиною багатьох реальних сценаріїв втрати даних. А зараз ще є можливість отримати рік безкоштовного користування цим рішенням.
