З початком цифрової трансформації, спричиненої збільшенням кількості віддаленої роботи, пов’язаної з пандемією, компанії зберігають більшість своїх даних у цифровому форматі. Хоча перехід на цифрове зберігання даних є неймовірно зручним і сприяє підвищенню співпраці та ефективності, він також відкрив двері для безпрецедентної кількості кібератак і витоків даних.
За останні кілька років різні країни, регіони та галузі ухвалюють дедалі суворіші правила захисту даних, спрямовані на регулювання того, як компанії поводяться з конфіденційними даними.
Визначення конфіденційних даних
У повсякденному вжитку конфіденційні дані – це будь-яка інформація, яку людина не бажає розголошувати. Однак, коли йдеться про юридичні зобов’язання, визначення конфіденційних даних є більш конкретним.
Конфіденційні дані – це особливий клас даних, які потребують додаткового захисту через наслідки їхнього розголошення. Якщо конфіденційні дані стають доступними, існує висока ймовірність фінансових, особистих або репутаційних збитків, якщо вони потраплять в чужі руки. Розуміння того, що таке конфіденційні дані, має вирішальне значення для організацій, щоб забезпечити належний захист персональної та конфіденційної інформації від несанкціонованого доступу.
Персональні дані vs. конфіденційні дані
Персональна інформація – це будь-які дані, які можуть бути використані для ідентифікації особи. Така інформація, як імена, адреси або номери телефонів, є персональними даними. У деяких випадках електронна адреса може вважатися персональними даними – наприклад, якщо це yourname@yourcompany.com. Персональні дані також можуть включати інформацію, яку хтось може використовувати для підтвердження того, що людина перебувала в певному місці, наприклад, відбитки пальців або запис з камери спостереження.
Конфіденційна інформація – це підгрупа персональних даних, яка може бути використана для того, щоб завдати людині певної шкоди. Наприклад ім’я – це особиста інформація, але номер соціального страхування – це конфіденційна інформація, оскільки зловмисник може використати її для крадіжки ідентичності. Не всі персональні дані є конфіденційними.
Типи конфіденційних даних
Як правило, конфіденційні дані не є загальнодоступними й належать до однієї з декількох категорій з підвищеним рівнем ризику. Деякі приклади конфіденційних персональних даних включають:
Фінансові дані
Інформація, пов’язана з фінансовим станом фізичної або юридичної особи, вважається конфіденційною. До неї належать:
- Номери банківських рахунків
- Інформація про кредитні та дебетові картки
- Кредитна історія
- Податкові декларації
Підприємства, які приймають, обробляють, передають або зберігають інформацію про платіжні картки, повинні дотримуватися Стандарту безпеки даних індустрії платіжних карток (PCI DSS). Він вимагає застосування надійних методів управління безпекою для захисту даних власників карток.
Персональні дані
Персональні дані, також відомі як Персональна інформація (PII), – це будь-яка інформація, яка може бути використана для ідентифікації конкретної особи. Наприклад, персональні дані захищаються таким нормативно-правовим актом, як Загальний регламент ЄС про захист даних (GDPR).
GDPR визначає «персональні дані» як будь-яку інформацію, що стосується ідентифікованої або визначеної фізичної особи («суб’єкт даних»). Персональні дані можуть бути прямими, наприклад, ім’я, ідентифікаційний номер, дані про місцеперебування або онлайн-ідентифікатор. Вони також можуть бути непрямими, наприклад, фізичні характеристики, інформація про стан здоров’я або маркери культурної чи соціальної ідентичності.
Захищена медична інформація (PHI)
HIPAA (Health Insurance Portability and Accountability Act, США) – це закон, який регулює обробку медичної інформації (PHI – Protected Health Information), встановлюючи чіткі правила для медичних установ, страхових компаній та бізнес-партнерів у сфері охорони здоров’я.
У Європейському Союзі замість HIPAA діє GDPR. Особливий статус мають медичні дані – вони входять до категорії “спеціальних категорій персональних даних”, які отримують підвищений рівень захисту. Стаття 9 GDPR прямо забороняє обробку таких даних, якщо немає чітких юридичних підстав, таких як згода суб’єкта, необхідність для медичного діагностування або лікування, підстави громадського інтересу в галузі охорони здоров’я.
Конфіденційні дані в зоні ризику
Конфіденційні дані зустрічаються в структурованих і неструктурованих типах даних у різних додатках і системах зберігання. Переміщення даних досить обмежене в структурованих сховищах даних, таких як база даних SQL-сервера, що дає більше контролю над тим, як вони передаються та захищаються. Однак файли, що зберігаються в неструктурованих сховищах, таких як файлообмінники та сайти SharePoint, мають тенденцію до вільнішого переміщення, що ускладнює визначення їхнього точного місцеперебування. Ці приховані дані важче контролювати та захищати.
Хоча GDPR є найбільш широко обговорюваним законом про захист даних, понад 70% країн прийняли правила щодо захисту даних. Більшість із цих нормативних актів мають спільну мету – захистити конфіденційні персональні дані, але їхня специфіка різниться. Ця мережа нормативно-правових актів змушує компанії брати під контроль свої конфіденційні дані. Для цього їм потрібно знати, де вони знаходяться і які заходи безпеки були впроваджені для зменшення ризику витоку конфіденційних даних.
Неспроможність захистити конфіденційні дані може призвести до серйозних наслідків для бізнесу. Відповідно до GDPR, особливо грубе невиконання вимог може призвести до штрафів у розмірі понад 20 мільйонів доларів або 4% річного світового обороту, залежно від того, яка сума є більшою. Наразі найбільший штраф був накладений на Meta, материнську компанію Facebook. Її оштрафували на 1,3 мільярда доларів за неналежний захист даних про громадян ЄС, які були передані до США.
Захист конфіденційних даних
Щоб уникнути штрафів, пов’язаних з недотриманням вимог, потрібно знайти й захистити конфіденційні дані незалежно від того, де вони зберігаються. Інвентаризація класифікації даних допоможе ідентифікувати та класифікувати дані на основі їхньої конфіденційності та важливості. Після цього потрібно буде вести всебічний облік усіх інформаційних активів, зокрема, де вони зберігаються, хто має до них доступ і як вони використовуються.
Знання того, де зберігаються дані, є першим кроком на шляху до дотримання вимог, але також потрібно переконатися, що є належні засоби контролю для запобігання несанкціонованому доступу. Компанії також повинні усвідомлювати та уникати збору більшої кількості даних, ніж це необхідно, а також обмежувати зростання обсягу даних, видаляючи непотрібні дані. Не потрібно захищати дані, які не збираються.
Як Netwrix може допомогти
Netwrix Auditor допоможе зменшити ризик витоку даних і легко пройти аудит на відповідність нормативним вимогам. Він допоможе проактивно виявляти прогалини в системі безпеки, такі як надмірні дозволи користувачів і відключені облікові записи, якими можуть скористатися зловмисники. Netwrix Auditor автоматично усуне загрози, видаливши неактивні облікові записи та відкликавши надмірні дозволи.
Дотримуючись принципу найменших привілеїв, можна контролювати, хто і з якою метою отримує доступ до даних.
