BIS Journal №3(42)/2021

30 июля, 2021

«Цифровой суверенитет человека — это миф»

Необходимо понимать: абсолютной защиты не бывает. Даже если установить лучшую DLP-систему, отключить порты на компьютерах сотрудников, запретить пользоваться флешками, закрыть Интернет, включить видеонаблюдение, анализировать поведение… всё равно серьёзно замотивированный на кражу данных сотрудник найдёт способ обойти защиту. И это печально. Мы настолько привыкли к постоянным кражам и утечкам информации, что уже смирились: пусть уж лучше будет корпоративный «цифровой концлагерь», лишь бы это хоть немного исправило ситуацию.

Простых решений здесь нет. Скажем, невозможно забрать у компаний саму возможность собирать данные, чтобы пресечь их нелегальные утечки. Данные – это новая нефть, необходимая для работы «двигателя» бизнеса. Более того, люди сами предоставляют свои данные компаниям, когда пользуются их сервисами. Цифровой суверенитет человека – это миф, его не существует. В современном мире мы не можем не оставлять цифровых следов. Можно лишь пытаться избегать «цифровой слежки» или «цифрового мониторинга», отказываясь от цифровых услуг. Но вряд ли городской житель сможет отказаться от сотовой связи, услуг банков или скрыть своё лицо от видеокамер.

Ещё важно отметить, что украденные данные используются в том числе и для обогащения баз данных киберпреступников. Сама по себе одна небольшая утечка может и не угрожать человеку, но если добавить к ней информацию из прошлых и новых утечек, то со временем накопится критичный объём информации, ущерб от использования которой будет существенным для большого количества людей.

Ещё один важный аспект. Уровень анонимности профессиональных преступников в DarkNet максимальный. Они могут работать из любой точки мира и применяют такие техники и инструменты, которые практически не позволяют их идентифицировать, что делает их поимку невозможной. А взаимодействие между странами в области борьбы с киберпреступностью не всегда эффективно. Получается, что мы можем воздействовать в основном на то, что можем сами контролировать. В первую очередь я имею в виду системы защиты внутри компаний и вовлечение в них сотрудников.

Люди традиционно являются одним из самых слабых звеньев в системе защиты. Задача компании, в частности службы ИБ и кадровых подразделений, заключается в том, чтобы обучить их правилам защиты и, что крайне важно, мотивировать их защищать корпоративные данные и данные клиентов. Мотивация здесь является ключевым элементом: сотрудник должен не только бояться совершить ошибку, но и хорошо относиться к своей компании, быть лояльным, чтобы точно соблюдать все внутренние правила безопасности.

Какую поддержку этим процессам могут оказать технологии? Например, определённая анонимизация персональных данных, которая сократит возможность получения интегрированных данных. Это можно сделать с помощью технологии блокчейн. На рынке уже есть решения, которые дают возможность пользователям самостоятельно хранить свои данные и полностью контролировать их предоставление тем или иным компаниям или организациям. Думаю, этот подход получит широкое распространение.

Также самим компаниям стоит придерживаться правил «техники безопасности» при работе с корпоративными данными. Например, сокращать наборы собираемых данных. Скажем, компаниям розничной торговли не нужны паспортные данные клиентов для совершения коммуникаций, но они их нередко собирают. Это называется избыточной обработкой данных по отношению к целям обработки.

Ещё пример: компания занимается разработкой своих внутренних ERP- и CRM-систем и использует для их тестирования реальные, а не обезличенные данные. Мы знаем много громких примеров утечек, связанных именно с такой ситуацией, хотя существуют инструменты и технологии, позволяющие маскировать и обезличивать информацию, используемую для тестирования.

Указанные аспекты только часть проблемы. Конечно, нужно развивать технологии – они должны исправлять ошибки людей, нужно вводить правила и ограничения, повышать штрафы за утечки, повышать культуру кибербезопасности и многое другое.

Ещё, на мой взгляд, очень важно, чтобы государство своим примером показывало, как нужно управлять данными граждан и защищать их. Если государство будет задавать тренд и высокие стандарты безопасности данных граждан, то все остальные будут вынуждены соответствовать этому уровню.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.10.2024
Очередная медицинская организация США стала объектом интереса хакеров
11.10.2024
Рыбалка вредит морякам. Морской SOC выявил главные угрозы для судоходства
11.10.2024
Регулятор обязал банкиров ускориться
11.10.2024
Краснов: Работа ведомственных антихак-подразделений должным образом не ведётся
11.10.2024
Минцифры отпустило идею создания национального репозитория
11.10.2024
Оплата картой «Мир» в Никарагуа — вопрос перспективы
11.10.2024
CISA и ФБР опасаются, что иранские хакеры могут навредить выборам
10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
10.10.2024
22 октября в Москве пройдёт V Конференция по информационной безопасности ПрофИБ
10.10.2024
Это уже слишком. Теперь весь интернет знает, что вы едите «Огненное Воппер Комбо на двоих» в одиночку

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных