Շատ ընկերություններ այժմ լիովին կախված են իրենց ցանցային սերվերներում, համակարգիչներում, նոութբուքերում, բջջային սարքերում կամ ամպային տեխնոլոգիաներում պահվող տվյալներից: Այս տվյալների մի մասը, հավանաբար, պարունակելու է անձնական և/կամ գաղտնի ընկերության տեղեկատվություն:.
Այստեղ մենք կանդրադառնանք ձեր համակարգչային համակարգերի անվտանգությունը վերանայելիս հաշվի առնելիք որոշ հարցերի և տվյալների կորստի ռիսկերը նվազագույնի հասցնելու եղանակներին: Մենք ունենք համապատասխան տեղեկատվական թերթիկ, որը ներառում է որոշ լրացուցիչ նկատառումներ նրանց համար, ովքեր տվյալներ ունեն ամպային միջավայրում կամ օգտագործում են աութսորսինգի որևէ ձև:.
Տվյալների կորստի բազմաթիվ աղմկահարույց դեպքեր են գրանցվել, որոնց ընթացքում մեծ քանակությամբ անձնական տեղեկություններ են հայտնվել հանրային տիրույթում։ Դրանք ներառում են առողջական գրառումներ, ֆինանսական գրառումներ և աշխատակիցների տվյալներ։.
Առևտրային կազմակերպությունը նաև բախվում է մրցակցի օգտին տվյալների կորստի լրացուցիչ ռիսկի հետ։.
Ակնհայտ է, որ պետական գերատեսչությունների և կորպորացիաների կողմից տվյալների ավելի մեծ կորուստները հայտնվել են լրատվամիջոցների վերնագրերում։ Այնուամենայնիվ, ցանկացած ընկերություն, անկախ իր չափից, կարող է տվյալների կորուստ ունենալ, եթե խելամիտ նախազգուշական միջոցներ չձեռնարկվեն։.
Մշակույթի, լրատվամիջոցների և սպորտի նախարարության (DCMS) կողմից պատվիրված հետազոտության համաձայն՝ 2021 թվականի ընթացքում Մեծ Բրիտանիայի բիզնեսների մոտ 39%-ը ենթարկվել է որևէ տեսակի անվտանգության խախտման կամ կիբեռհարձակման: Հաշվետվությունը կարող եք գտնել հետևյալ հղումով՝ https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2022:
Անձնական տվյալների օգտագործման և պահպանման ստուգում
Հաշվի առեք ձեր բիզնեսի կողմից պահվող պոտենցիալ զգայուն և գաղտնի տվյալները
- անձնակազմի գրառումներ՝ ծննդյան ամսաթվով, բժշկական տվյալներով, աշխատավարձով և բանկային հաշվի տվյալներով և այլն
- հաճախորդների և մատակարարների գրառումներ՝ բանկային/վարկային քարտի հաշվի տվյալներով, PIN համարներով, գաղտնաբառերով, գործարքի տեղեկատվությամբ, պայմանագրի տեղեկատվությամբ, զեղչերով և գնագոյացմամբ
- ֆինանսական և կատարողական տվյալներ և բիզնես պլաններ
- Գաղտնի տվյալները միշտ չէ, որ հարմար է պահել «անվտանգ» տվյալների բազայում։ Հաճախ աշխատակիցները պետք է ստեղծեն և տարածեն ad hoc հաշվետվություններ (օգտագործելով աղյուսակներ և այլ փաստաթղթեր), որոնք սովորաբար տվյալների բազայում պահվող տեղեկատվության քաղվածքներ են։ Այս տեսակի տվյալների վերականգնումը բավականին հաճախ կատարվում է տվյալների անվտանգության հաշվին, քանի որ տվյալների բազան ինքնին անխուսափելիորեն կունենա մուտքի վերահսկողություն, բայց այս ad hoc հաշվետվությունները սովորաբար չունեն։
- պարզել, թե ինչ է կատարվում տվյալների հետ և ինչպիսի վերահսկողություններ են իրականացվում այդ տեղեկատվության պատահական կամ դիտավորյալ կորուստը կանխելու համար։.
Ռիսկերի վերլուծություն և ռիսկերի նվազեցում
Հիմնական հարցն այն է, որ եթե այս տվյալներն ամբողջությամբ կամ մասամբ կորչեն, ո՞ւմ կարող է վնաս պատճառվել և ինչպե՞ս։
Այդ հարցին պատասխանելուց հետո պետք է ձեռնարկվեն քայլեր տվյալների կորստի ռիսկերը մեղմելու համար։ Ահա մի քանի քայլեր, որոնք պետք է ձեռնարկվեն տվյալների կորստի ռիսկը նվազեցնելու համար
- կանոնավոր կերպով կատարել պահուստային պատճեններ և պահպանել պահուստային տվյալները անվտանգ կերպով՝ տեղանքից դուրս
- եթե բարձր ռիսկի տվյալներ են պահվում ամպում, հասկացեք, թե ինչ անվտանգության մեխանիզմներ կան և ինչպես կարող եք անհրաժեշտության դեպքում վերականգնել այս բոլոր տվյալները։
- Վերանայեք բոլոր այն սարքերում (ներառյալ նոութբուքեր, բջջային հեռախոսներ, պլանշետներ և այլն) պահվող տեղեկատվության տեսակը, որոնք օգտագործվում են արտաքին միջավայրից դուրս: Եթե նման տեղեկատվությունը պարունակում է անձնական և/կամ գաղտնի տվյալներ, փորձեք նվազագույնի հասցնել կամ անանունացնել տվյալները: Համոզվեք, որ այդ տվյալների նկատմամբ կիրառվում են տվյալների անվտանգության և տվյալների կոդավորման ամենահարմար մակարդակները:
- Եթե բջջային սարքերին թույլատրվում է օգտագործել ընկերության հարմարությունները, համոզվեք, որ գործում է «Բերեք ձեր սեփական սարքը» (BYOD) ակտիվ քաղաքականությունը: Բացի այդ, կիրառեք համապատասխան անվտանգության միջոցներ՝ սահմանափակելու համար նման սարքերում պահվող տվյալների տեսակը:
- Համոզվեք, որ առցանց վճարումներ մշակող ընկերությունների կայքերն ունեն առկա ամենաբարձր մակարդակի անվտանգություն, օրինակ՝ տվյալների փոխանցման համար SSL-ի վերջին տարբերակների օգտագործումը: Եթե վճարումների գործընթացը չեք փոխանցում վճարային դարպասի ծառայությանը և պահելու եք վարկային քարտի ցանկացած տեղեկատվություն՝ սկավառակի վրա կամ ձեր սեփական սերվերների հիշողության մեջ, ապա դուք պետք է համապատասխանեք վճարային քարտերի արդյունաբերության տվյալների անվտանգության ստանդարտին (PCI DSS):
- Վերանայեք USB-ի և այլ գրելու կրիչների, ինչպիսիք են օպտիկական սարքերը, օգտագործումը/մատչելիությունը ընկերության ներսում և մտածեք այդ սարքերին մուտքը միայն լիազորված օգտատերերի համար սահմանափակելու մասին՝ համապատասխան անվտանգության կարգավորումների, տվյալների կոդավորման և ֆիզիկական կառավարման միջոցով։
- Համոզվեք, որ ընկերության կայքերն ու ցանցերը ստուգվում են հարձակումներից խոցելիության առկայության համար և դիտարկեք ներթափանցման թեստավորման ընկերությունների վարձումը՝ այդ թեստերը ձեր անունից անցկացնելու համար։
- ունենալ զգայուն տեղեկատվության հետ գործ ունենալու և դրա անվտանգ ոչնչացման ընթացակարգ, երբ տվյալները այլևս անհրաժեշտ չեն լինի, սա պետք է ներառի նաև տպագիր նյութերի ոչնչացումը։
- ունենալ ընթացակարգ, որի միջոցով բջջային սարքերում պահվող ցանկացած անձնական/կորպորատիվ տվյալ կարող է ջնջվել կամ դրանց մուտքը դադարեցվել։
- վերապատրաստել անձնակազմին իրենց պարտականությունների, ընկերության տվյալների անվտանգության ընթացակարգերի և տվյալների կորստի դեպքում նրանց անելիքների վերաբերյալ
- Վերապատրաստեք անձնակազմին՝ կեղծ էլեկտրոնային փոստերը, փրկագին պահանջող ծրագրերը, վնասակար ծրագրերը և այլ պոտենցիալ սպառնալիքները, ինչպես նաև հետևելիք ընթացակարգերը նույնականացնելու համար։.
Անվտանգության խախտում
Ռիսկերի նվազեցումից բացի, լավ պրակտիկա է նաև ունենալ ընթացակարգեր անվտանգության խախտման դեպքում: Դրանք պետք է կենտրոնանան չորս հիմնական ոլորտների վրա՝
- վերականգնման ծրագիր և վնասի սահմանափակման հետ կապված ընթացակարգեր
- վերականգնման վերանայման գործընթաց՝ անհատների համար հնարավոր անբարենպաստ հետևանքները գնահատելու համար, թե որքան լուրջ կամ էական են դրանք և որքան հավանական է, որ դրանք կրկին տեղի կունենան։
- ծանուցման ընթացակարգեր՝ սա ներառում է ոչ միայն այն անձանց տեղեկացումը, ովքեր տուժել են կամ կարող են տուժել։ Եթե անվտանգության խախտումը ենթադրում է անձնական տվյալների կորուստ, ապա պետք է տեղեկացվի Տեղեկատվության հանձնակատարը (ICO): Կարող են լինել այլ կարգավորող մարմիններ և այլ երրորդ կողմեր, ինչպիսիք են ոստիկանությունը, բանկերը և լրատվամիջոցները, որոնք պետք է տեղեկացվեն։
- խախտումից հետո՝ ապահովել, որ ձեռնարկվեն համապատասխան միջոցառումներ նմանատիպ միջադեպը կանխելու համար, թարմացնել ընթացակարգերը և համապատասխանաբար վերապատրաստել կամ վերագործարկել անձնակազմը։.
Օգտակար ռեսուրս
Ազգային կիբերանվտանգության կենտրոն (Մեծ Բրիտանիա) – www.ncsc.gov.uk/guidance։
Կիբերսպառնալիք Մեծ Բրիտանիայի բիզնեսի համար՝ www.ncsc.gov.uk/cyberthreat:
