В связи с ростом числа нарушений безопасности, вызванных жаждой киберпреступников до чужих данных, компаниям необходимо разработать план сбора и хранения данных и оценки связанного с этим риска, пишет на портале InformationWeek Трой Файн, директор по управлению рисками кибербезопасности и соблюдению нормативных требований компании Drata.
Современные организации собирают поразительное количество данных. Они собирают персональные данные, такие как имена, IP-адреса, демографическую информацию и даже номера социального страхования. Они собирают финансовые данные, такие как информация о банковских картах, номера банковских счетов или идентификаторы цифровых кошельков. Они собирают данные об использовании и поведении пользователей, такие как привычки просмотра веб-страниц, история покупок и продолжительность пребывания посетителей на определенных страницах. В зависимости от отрасли некоторые из них могут также отслеживать данные о здоровье и медицинских показаниях. Все эти данные имеют ценность не только для самих организаций, но и для киберпреступников, постоянно стремящихся заполучить их.
В последние годы значительно возросли как частота, так и серьезность утечек данных, поскольку злоумышленники стремятся заполучить любые данные. Чем больше данных собирает организация, тем больше мишень на ее спине. Конечно, сбор данных в той или иной степени неизбежен — он необходим для ведения бизнеса, — но важно подходить к нему целенаправленно и тщательно продумывать. Организациям следует ответить себе на ряд вопросов, чтобы лучше понять, стоит ли рисковать теми данными, которые они планируют собирать.
Вопрос № 1. Какие данные мы собираем?
Этот вопрос может показаться простым, однако многие организации не задают его себе. Руководителям необходимо знать, какие данные собираются — не только по логистическим соображениям, но и по соображениям соответствия нормативным требованиям. Определенные типы данных имеют особые правила и нормы, регулирующие их обработку, и если сотрудники ИТ-отдела, отдела комплаенса и представители руководства не знают о том, что такие данные собираются, то это может грозить организации значительными штрафами или другими санкциями. Конечно, большинство компаний в той или иной степени собирают персональные данные и платежную информацию, но важно знать об этом наверняка.
Вопрос № 2. Необходимо ли нам собирать эти данные?
Расширение применения API означает, что системы и приложения связаны друг с другом как никогда раньше. Чтобы поддерживать эти API в рабочем состоянии, большинство компаний собирают как можно больше информации и анализируют ее постфактум. С точки зрения операционной деятельности это, возможно, и работает, но с точки зрения безопасности данных организация оказывается в шатком положении. Если данные не используются по прямому назначению, то они фактически становятся тяжким бременем: их защита требует затрат энергии и ресурсов, не принося практически никакой ощутимой пользы. Вместо того чтобы собирать ненужную информацию, которая только привлекает злоумышленников, организациям следует анализировать минимальный объем данных, необходимый для поддержания работоспособности основных служб.
Вопрос № 3. Куда направляются эти данные?
Очень важно знать, где хранятся данные и кто имеет к ним доступ. Хранятся ли они локально или в облаке? Есть ли третьи стороны, имеющие к ним доступ, например, поставщики или SaaS-партнеры? Если да, то проверены ли их возможности по обеспечению безопасности? Недавнее исследование показало, что более половины организаций в течение последних 12 месяцев сталкивались с нарушениями, вызванными действиями сторонних поставщиков, что подчеркивает важность понимания того, куда уходят данные. И в зависимости от того, где хранятся данные, могут применяться различные стандарты, например SOC 2.
Вопрос № 4. Нужно ли нам согласие субъектов на сбор этих данных?
По мере того как во всем мире набирают силу нормы, регулирующие конфиденциальность данных, понимание того, когда и где применяется согласие, становится критически важным. Организации, не получившие надлежащего согласия, могут оказаться перед лицом дорогостоящих нарушений законов о персональных данных. Если организация намерена собирать данные, ей необходимо сначала понять, какие нормативные акты регулируют порядок их сбора, и придерживаться их.
Вопрос № 5. Как долго мы должны хранить эти данные?
В некоторых отраслях существуют требования к хранению данных, которые определяют продолжительность хранения. Например, организация здравоохранения должна хранить и защищать медицинскую информацию в течение длительного времени. С другой стороны, в некоторых отраслях существуют требования по удалению данных, и по истечении определенного срока от них необходимо избавляться. Несоблюдение этих требований не только грозит организациям атаками, но и может повлечь за собой штрафные санкции со стороны регулирующих органов.
Подходите к сбору данных с планом
Для большинства организаций сегодня сбор данных — это просто часть ведения бизнеса. Однако при этом необходимо учитывать целый ряд моментов, включая то, как эти данные будут храниться, как они будут защищены и есть ли у вас вообще право на их сбор. Вместо того чтобы решать проблемы по мере их возникновения, организациям следует проанализировать свои конкретные потребности в сборе данных и подойти к этому процессу с тщательно продуманным планом. Если вы не можете ответить на пять вышеперечисленных вопросов до начала сбора данных, возможно, пришло время сделать шаг назад и рассмотреть их более тщательно.