Сегодня, когда новости полны сообщений о хищениях личных данных, кажется невероятным, что компании до сих пор становятся жертвами этого вида преступлений. Однако по словам д-ра Антона Грешона, специалиста компании «Juniper Networks» по стратегии безопасности по Европе, Ближнему Востоку и Африке, нас не должно это удивлять. Сочетание растущей сложности и динамичности атак и технической сложности многих решений по обеспечению безопасности иногда просто обескураживает. В настоящей статье д-р Грешон подробно рассматривает проблему хищения личных данных и предлагает компаниям пути, с помощью которых можно избежать подобных замешательств.
Последние крупные сбои систем безопасности, такие как случай в Королевской налоговой и таможенной службе Великобритании, сделали опасность хищений личных данных очевидной как для компаний, так и для частных лиц. Только за последний год из государственных учреждений, трастов Государственной службы здравоохранения, банков, страховых и торговых компаний Великобритании было украдено 37 миллионов личных записей. Очевидно, что Великобритания не единственная жертва таких преступлений, и при аналогичных проблемах во всех странах Европы такие сбои систем безопасности, в частности, те, что поначалу кажутся трудно контролируемыми с точки зрения инфраструктуры, должны вызывать серьезную озабоченность. Тем не менее, хотя наибольшее внимание привлекают именно сбои систем безопасности в государственных и общественных учреждениях, нет сомнений в том, что безопасность в целом и защита данных в частности остается нерешенной проблемой коммерческих компаний по всему миру.
Вторые по значимости, после сотрудников компании и наиболее ценными активами организации являются данные. К сожалению, с появлением нелегальных онлайн-аукционов по продаже личной информации, на таких преступлениях можно очень хорошо заработать. Поэтому мы все постоянно находимся под угрозой со стороны мошенников.
Несанкционированный доступ
Любая личная информация, такая как данные для входа в сеть, а также имена и личные данные сотрудников, может позволить осуществить несанкционированный доступ в сеть и открыть перед мошенником двери к любой информации. Эти данные можно продать победителю Интернет-аукциона или использовать непосредственно для получения доступа к важной финансовой информации компании, промышленным базам данных или базам данных клиентов. Вот здесь-то и наносится наибольший ущерб. Сейчас, когда атаки на самые разные компании различной величины стали обычным делом, необходимо внедрять надлежащие меры по предотвращению таких атак.
По мере развития методов атак хищение личных данных становится все более серьезной проблемой для законодателей. Сегодняшние кибер-преступники стали очень умными. Сетевые атаки по принципу «громи и хватай» неизбежно привлекут внимание отдела ИТ и незамедлительно будут блокированы. Гораздо лучше незаметно войти в сеть, собрать ценную финансовую информацию и данные клиентов и скрыться до того, как компания догадается об атаке.
А как легче всего пробраться в сеть? Через сотрудника. Когда ваши сотрудники загружают из Интернета несанкционированную программу, отвечают на электронное письмо с казалось бы обоснованным запросом на выдачу пароля для входа в сеть или просто без должного внимания относятся к такой информации, все это может представлять значительный риск для вашей компании и них самих.
Возьмем, к примеру, недавний случай в Королевской налоговой и таможенной службе Великобритании. Пропали 25 миллионов записей, причем не в результате умышленной атаки, а просто по ошибке: младший сотрудник отослал курьером незащищенный диск, содержащий имена, адреса и банковские реквизиты миллионов британских семей. Этот диск и последующая замена были потеряны при транспортировке, что вызвало шумиху в средствах массовой информации и вынудило более одного миллиона человек сменить пароли от банковских счетов и PIN-коды.
Этот случай выявил недостаток политики безопасности в месте взаимодействия инфраструктуры обработки информации и службы физической передачи данных. В этом контексте следует отметить, что на дисках содержалась и, соответственно, была утрачена вся группа записей (помните, 25 миллионов), поскольку система была неспособна выделить подгруппу данных, которые было необходимо передать. Другими словами, более совершенная политика безопасности позволила бы выбрать только те записи, которые необходимо было извлечь из базы данных и перенести. Таким образом, в случае утраты данных с этой проблемой было бы легче справится, поскольку на дисках не находилась бы информация о многих миллионах людей.
Чтобы подчеркнуть масштаб этой проблемы, отметим, что большинство предприятий сейчас имеют регуляторы, такие, например, как британский Закон о защите данных, требующий, чтобы компании следовали определенным стандартам в области защиты и целостности обработки данных. Неправильное их понимание может привести к печальным последствиям, таким как, утрата репутации и гнев клиентов. В декабре 2007 года страховая фирма «Norwich Union» была обязана выплатить рекордный штраф в размере 1,26 миллиона фунтов стерлингов за сбои в своих телефонных информационных центрах, позволившие мошенникам получить доступ к данным держателей полисов, тем самым подвергая финансовому риску почти семь миллионов клиентов компании.
Конечно, настоящий ущерб от хищения личных данных нельзя измерить обычной стоимостью, хотя, по некоторым оценкам, ущерб от таких преступлений в одной только Великобритании ежегодно составляет 1,7 миллиарда фунтов стерлингов. При таких расчетах следует также учитывать ущерб, наносимый репутации компаний, который сложнее оценить, но который может превратить успешную компанию в банкрота.
При таком большом количестве факторов, которые необходимо учитывать, что же делать компаниям, чтобы защитить себя, своих сотрудников и клиентов? И могут ли компании быть уверены в том, что их инвестиции в инфраструктуру в целях обеспечения полной защиты сети также позволят повысить производительность и эффективность их работы?
