BIS Journal №3(42)/2021

30 июля, 2021

«Цифровой суверенитет человека — это миф»

Необходимо понимать: абсолютной защиты не бывает. Даже если установить лучшую DLP-систему, отключить порты на компьютерах сотрудников, запретить пользоваться флешками, закрыть Интернет, включить видеонаблюдение, анализировать поведение… всё равно серьёзно замотивированный на кражу данных сотрудник найдёт способ обойти защиту. И это печально. Мы настолько привыкли к постоянным кражам и утечкам информации, что уже смирились: пусть уж лучше будет корпоративный «цифровой концлагерь», лишь бы это хоть немного исправило ситуацию.

Простых решений здесь нет. Скажем, невозможно забрать у компаний саму возможность собирать данные, чтобы пресечь их нелегальные утечки. Данные – это новая нефть, необходимая для работы «двигателя» бизнеса. Более того, люди сами предоставляют свои данные компаниям, когда пользуются их сервисами. Цифровой суверенитет человека – это миф, его не существует. В современном мире мы не можем не оставлять цифровых следов. Можно лишь пытаться избегать «цифровой слежки» или «цифрового мониторинга», отказываясь от цифровых услуг. Но вряд ли городской житель сможет отказаться от сотовой связи, услуг банков или скрыть своё лицо от видеокамер.

Ещё важно отметить, что украденные данные используются в том числе и для обогащения баз данных киберпреступников. Сама по себе одна небольшая утечка может и не угрожать человеку, но если добавить к ней информацию из прошлых и новых утечек, то со временем накопится критичный объём информации, ущерб от использования которой будет существенным для большого количества людей.

Ещё один важный аспект. Уровень анонимности профессиональных преступников в DarkNet максимальный. Они могут работать из любой точки мира и применяют такие техники и инструменты, которые практически не позволяют их идентифицировать, что делает их поимку невозможной. А взаимодействие между странами в области борьбы с киберпреступностью не всегда эффективно. Получается, что мы можем воздействовать в основном на то, что можем сами контролировать. В первую очередь я имею в виду системы защиты внутри компаний и вовлечение в них сотрудников.

Люди традиционно являются одним из самых слабых звеньев в системе защиты. Задача компании, в частности службы ИБ и кадровых подразделений, заключается в том, чтобы обучить их правилам защиты и, что крайне важно, мотивировать их защищать корпоративные данные и данные клиентов. Мотивация здесь является ключевым элементом: сотрудник должен не только бояться совершить ошибку, но и хорошо относиться к своей компании, быть лояльным, чтобы точно соблюдать все внутренние правила безопасности.

Какую поддержку этим процессам могут оказать технологии? Например, определённая анонимизация персональных данных, которая сократит возможность получения интегрированных данных. Это можно сделать с помощью технологии блокчейн. На рынке уже есть решения, которые дают возможность пользователям самостоятельно хранить свои данные и полностью контролировать их предоставление тем или иным компаниям или организациям. Думаю, этот подход получит широкое распространение.

Также самим компаниям стоит придерживаться правил «техники безопасности» при работе с корпоративными данными. Например, сокращать наборы собираемых данных. Скажем, компаниям розничной торговли не нужны паспортные данные клиентов для совершения коммуникаций, но они их нередко собирают. Это называется избыточной обработкой данных по отношению к целям обработки.

Ещё пример: компания занимается разработкой своих внутренних ERP- и CRM-систем и использует для их тестирования реальные, а не обезличенные данные. Мы знаем много громких примеров утечек, связанных именно с такой ситуацией, хотя существуют инструменты и технологии, позволяющие маскировать и обезличивать информацию, используемую для тестирования.

Указанные аспекты только часть проблемы. Конечно, нужно развивать технологии – они должны исправлять ошибки людей, нужно вводить правила и ограничения, повышать штрафы за утечки, повышать культуру кибербезопасности и многое другое.

Ещё, на мой взгляд, очень важно, чтобы государство своим примером показывало, как нужно управлять данными граждан и защищать их. Если государство будет задавать тренд и высокие стандарты безопасности данных граждан, то все остальные будут вынуждены соответствовать этому уровню.

Смотрите также