В настоящее время многие компании полностью зависят от данных, хранящихся на их сетевых серверах, персональных компьютерах, ноутбуках, мобильных устройствах или в облаке. Часть этих данных, вероятно, содержит личную информацию и/или конфиденциальную информацию компании.
Здесь мы рассмотрим некоторые вопросы, которые следует учитывать при проверке безопасности ваших компьютерных систем, и способы минимизации рисков потери данных. У нас также есть информационный бюллетень, в котором рассматриваются дополнительные аспекты для тех, кто хранит данные в облаке или использует аутсорсинг.
Произошло множество громких случаев утечки данных, когда большие объемы личной информации попали в открытый доступ. К ним относятся медицинские карты, финансовые документы и данные о сотрудниках.
Коммерческая организация также сталкивается с дополнительным риском потери данных в пользу конкурента.
Разумеется, крупные утечки данных в государственных ведомствах и корпорациях попали в заголовки новостей. Однако любая компания, независимо от ее размера, может понести убытки, если не будут приняты разумные меры предосторожности.
Согласно исследованию, проведенному по заказу Министерства культуры, СМИ и спорта (DCMS), в 2021 году около 39% британских компаний столкнулись с тем или иным видом нарушений безопасности или кибератак. С отчетом можно ознакомиться по адресу: https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2022 .
Проведение аудита использования и хранения персональных данных
Учтите, какие потенциально конфиденциальные данные хранятся в вашей компании:
- кадровые документы, содержащие дату рождения, медицинскую информацию, данные о заработной плате и банковские реквизиты и т.д
- Данные о клиентах и поставщиках, включая банковские реквизиты/данные кредитных карт, PIN-коды, пароли, информацию о транзакциях, информацию о контрактах, скидки и цены
- финансовые и операционные данные, а также бизнес-планы
- Конфиденциальные данные не всегда удобно хранить в «защищенной» базе данных. Часто сотрудникам необходимо создавать и распространять разовые отчеты (используя электронные таблицы и другие документы), которые обычно представляют собой выдержки из информации, хранящейся в базе данных. Такое извлечение данных зачастую осуществляется в ущерб безопасности данных – поскольку сама база данных неизменно имеет средства контроля доступа, а эти разовые отчеты обычно их не имеют
- Выясните, что происходит с данными и какие меры контроля приняты для предотвращения случайной или преднамеренной потери этой информации.
Анализ рисков и снижение рисков
Главный вопрос: если все или часть этих данных будут потеряны, кто может пострадать и каким образом?
После того, как на этот вопрос будет дан ответ, необходимо предпринять шаги для снижения рисков потери данных. Вот несколько шагов, которые следует предпринять для уменьшения риска потери данных:
- Регулярно создавайте резервные копии и надежно храните резервные данные вне офиса
- Если в облаке хранятся данные, представляющие высокий риск, необходимо выяснить, какие механизмы безопасности используются и как можно восстановить все эти данные при необходимости
- Проверьте тип информации, хранящейся на всех устройствах (включая ноутбуки, мобильные телефоны, планшеты и т. д.), используемых вне офиса. Если такая информация содержит персональные и/или конфиденциальные данные, постарайтесь минимизировать или анонимизировать их. Убедитесь, что к этим данным применяются наиболее подходящие уровни защиты и шифрования данных
- Если использование мобильных устройств разрешено в помещениях компании, убедитесь, что действует политика «Принеси своё устройство» (BYOD). Кроме того, внедрите соответствующие меры безопасности для ограничения типов данных, которые могут храниться на таких устройствах
- Убедитесь, что веб-сайты вашей компании, обрабатывающие онлайн-платежи, имеют максимально высокий уровень безопасности, например, используют последние версии SSL для передачи данных. Если вы не передаете процесс платежей платежному шлюзу и будете хранить информацию о кредитных картах на диске или в памяти на собственных серверах, вам необходимо соблюдать стандарт безопасности данных платежных карт (PCI DSS).
- Проанализируйте использование/доступность USB-накопителей и других записываемых носителей, таких как оптические устройства, в компании и подумайте об ограничении доступа к этим устройствам только для авторизованных пользователей с помощью соответствующих настроек безопасности, шифрования данных и физического контроля
- Убедитесь, что веб-сайты и сети вашей компании проверены на уязвимость к атакам, и рассмотрите возможность привлечения фирм, занимающихся тестированием на проникновение, для проведения этих тестов от вашего имени
- Необходимо разработать процедуру обработки конфиденциальной информации и ее безопасного уничтожения после того, как данные перестанут быть необходимыми; это также должно включать утилизацию распечаток
- иметь процедуру, позволяющую удалять или отзывать доступ к любым персональным/корпоративным данным, хранящимся на мобильных устройствах
- Обучить персонал их обязанностям, процедурам обеспечения безопасности данных компании и тому, что им следует делать в случае пропажи данных
- Обучить персонал распознаванию вредоносных электронных писем, программ-вымогателей, вредоносного ПО и других потенциальных угроз, а также процедурам, которые необходимо соблюдать.
нарушение безопасности
Помимо снижения рисков, целесообразно также иметь процедуры на случай нарушения безопасности. Эти процедуры должны быть сосредоточены на четырех основных областях:
- план восстановления и процедуры по минимизации ущерба
- Процесс оценки восстановления позволяет оценить потенциальные негативные последствия для отдельных лиц, их серьезность и существенность, а также вероятность повторения подобных ситуаций
- Процедуры уведомления – это включает в себя не только уведомление лиц, которые пострадали или потенциально могут пострадать. Если нарушение безопасности повлекло за собой потерю персональных данных, то необходимо уведомить Уполномоченного по вопросам информации (ICO). Могут быть и другие регулирующие органы и третьи стороны, такие как полиция, банки и средства массовой информации, которых также необходимо уведомить
- После взлома необходимо принять соответствующие меры для предотвращения подобных инцидентов, обновить процедуры и провести соответствующее обучение или переобучение персонала.
Полезный ресурс
Национальный центр кибербезопасности (Великобритания) – www.ncsc.gov.uk/guidance .
Киберугрозы для бизнеса в Великобритании – www.ncsc.gov.uk/cyberthreat .
