В рубрику "Криптография" | К списку рубрик | К списку авторов | К списку публикаций
Но даже если этого не случится, ущерб может быть весьма серьезен: внимание и, как следствие, проверки регуляторов, переход клиентов к конкурентам, недополученная прибыль. Иногда утечки поражают своими масштабами: например, в 2011 г. Национальная служба здравоохранения США (National Health Service) признала потерю записей о здоровье более 10 млн пациентов, связанную с флеш-накопителями и дисками с резервными копиями. Потеряны были, в том числе, и номера социального страхования, которые часто используются в различных мошеннических схемах.
От утечек данных страдают не только субъекты ПДн, но и компании. На персональные данные и коммерческие секреты всегда есть спрос либо со стороны мошенников, либо со стороны конкурентов. Заинтересованные лица готовы платить за нужную им информацию серьезные деньги, а для компании ценой произошедшей утечки может стать крах бизнеса.
Под ударом находится абсолютно любая компания, не уделяющая должного внимания вопросам информационной безопасности. Ведь ценность представляют ПДн, клиентские базы и финансовые сведения, а ими оперирует любая организация.
Всем известно, что сотрудники компаний часто рассматривают базу данных клиентов как свою собственность и "уносят" ее с собой, меняя место работы. Так, когда американский First State Bank открыл два новых офиса в Канзасе, он пригласил на работу лучших сотрудников конкурирующего банка – Pulaski Bank. Приглашенные сотрудники, пользуясь конфиденциальной информацией Pulaski Bank, заключали контракты с клиентами уже в интересах нового банка. Как оказалось, одна сотрудница скопировала конфиденциальную информацию на флеш-накопитель и скидывала данные, не подлежащие разглашению, с корпоративного на внешний почтовый адрес.
Иногда крадут и чисто техническую информацию: житель Набережных Челнов, некоторое время проработавший дизайнером на мебельной фабрике, получил предложение, от которого не смог отказаться. Молодой человек получил 95 тыс. руб. за то, что сбыл некоему лицу флеш-накопитель с базой чертежей и эскизов продукции фабрики, где он работал.
По данным аналитической компании Kelly Services, менее трети всех людей в мире можно назвать лояльными сотрудниками, которые стараются не допускать потери информации и соблюдать требования политики безопасности. Пример выше хорошо это подтверждает, и он далеко не единственный.
Самый надежный способ защиты от утечек через съемные носители – это шифрование. Найти инструменты, реализующие шифрование, нетрудно. Гораздо сложнее выбрать среди них наиболее эффективный. Главный принцип защиты информации заключается в том, что затраты на нее не должны превышать ущерба, который может нанести потеря или кража этой информации.
Поэтому для защиты данных на съемных носителях оптимально использовать систему, которая, как минимум, не потребует сложного внедрения и штата специалистов для поддержки, а в идеале будет обладать более широкой функциональностью, чем просто шифрование данных на флеш-накопителях.
Современная система шифрования должна защищать данные не только на съемных носителях (включая, но не ограничиваясь флешками), но и в облачных хранилищах, файлы и папки на локальных и сетевых ресурсах.
Удобнее, если шифрование будет осуществляться в прозрачном режиме, то есть незаметно для пользователей. При этом администратор системы должен иметь возможность указать типы данных и сценарии, для которых информация будет шифроваться принудительно либо по инициативе пользователя.
Чем более гибкое и многоуровневое разделение прав доступа к зашифрованной информации предоставляет система, тем она эффективнее и удобнее в использовании. Администратор должен иметь возможность настраивать самые различные правила, начиная с отдельного сотрудника или отдела и заканчивая всей компанией. Ну и, конечно, необходимо иметь возможность расшифровывать файлы на сторонних компьютерах с помощью пароля.
Если система защиты корпоративных данных удовлетворяет перечисленным выше требованиям, то перед вами действительно надежный инструмент, который сможет защитить ваш бизнес от утечек информации.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2014