+7 495 228-02-08 info@tessis.ru
ВХОД
Меню
Array ( [ROOT_MENU_TYPE] => top [MENU_CACHE_TYPE] => Y [MENU_CACHE_TIME] => 36000000 [MENU_CACHE_USE_GROUPS] => Y [MENU_CACHE_GET_VARS] => [MAX_LEVEL] => 2 [CHILD_MENU_TYPE] => left [USE_EXT] => [DELAY] => N [ALLOW_MULTI_SELECT] => [CACHE_TYPE] => Y [CACHE_TIME] => 36000000 [~ROOT_MENU_TYPE] => top [~MENU_CACHE_TYPE] => Y [~MENU_CACHE_TIME] => 36000000 [~MENU_CACHE_USE_GROUPS] => Y [~MENU_CACHE_GET_VARS] => [~MAX_LEVEL] => 2 [~CHILD_MENU_TYPE] => left [~USE_EXT] => N [~DELAY] => N [~ALLOW_MULTI_SELECT] => N [~CACHE_TYPE] => Y [~CACHE_TIME] => 36000000 [CACHE_SELECTED_ITEMS] => 1 )

Искусство защиты от утечек данных

Совсем недавно, в октябре,  компания  Verizon заявила, что массивная атака на Yahoo причинила непоправимый вред технологической компании с точки зрения доверия клиентов, предоставив провайдеру беспроводной связи выйти или  пересмотреть условия сделки по приобретению компании стоимостью в $4.83 миллиарда. Также в октябре Управление Комиссара по Информации Великобритании оштрафовало компанию TalkTalk на сумму в более чем $400,000 за кибер атаку в 2015.

Утечки данных будут происходить и дальше. Нужно не только двигаться от предотвращения утечек до их признания, но и необходимо инвестировать деньги в технологии, которые помогут нам приготовиться к ним и защитить наиболее уязвимые данные.  Для того, чтобы это осуществить, каждая организация должна задать себе следующие вопросы:

1.  Как вы определяете уязвимые данные?

Необходимо задуматься над пониманием того, что представляют собой конфиденциальные данные и каковы параметры для их определения. Например, отделы службы поддержки и ИТ-департамент компании  могут иметь различные представления о том, что такое конфиденциальные данные. Каждая организация должна иметь политику безопасности, которая распространяется на всю компанию (публичную, конфиденциальную, регуляторную, и т.д.), классификацию данных (публичной информацией может делиться любой, конфиденциальная информация должна быть зашифрована, и т.п.), также как и меры, которые применяются для того, чтобы соответствовать требованиям регуляторов, таких как PCI-DSS и HIPAA, в России ФСТЭК.

2. Кто имеет доступ к вашим данным?

Данные организаций находятся сейчас во многих местах. Компаниям нужно защититься не только от внешних угроз, но также от  злоупотребления данными и атак злоумышленников изнутри. После того, как конфиденциальные данные определены, организациям нужно регламентировать тем, кто имеет доступ к ним и с каких устройств. Многофакторная аутентификация (MFA), также известная как двухфакторная аутентификация или строгая аутентификация может гарантировать что пользователи, где бы они ни находились, являются теми, за кого себя выдают и авторизованы для получения доступа.  Многофакторная аутентификация может разграничивать роли доступа, предоставляя пользователям иметь соответствующий уровень доступа для их позиции и функции, а также что у организации есть возможность управлять и получать отчет по каждой группе.

3.  Где ваши данные?

Будь то внутри физической сети, виртуальной среды, облака или в движении, данные находятся во множестве мест, как никогда ранее и злоумышленники не всегда очевидны. Недавнее исследование Gemalto и институтом  Ponemon обнаружило, что половина облачных услуг и данных, хранящихся в облаке не контролируются департаментом  IT.

В первую очередь компаниям нужно определить, где находятся конфиденциальные данные внутри организации. Они хранятся в базах данных, файловых серверах, конечных устройствах, системах хранения? Они находятся в локальных системах, виртуально или в облаке?  Это очень важно определить, так как шифрование может использоваться во множестве локаций и покрывать и структурированные и неструктурированные данные.

Компании должны понимать, что происходит с данными, когда они передаются в другое место. С того момента, как данные начинают передаваться, компания уже их не контролирует, и могут быть легко и дёшево взломаны злоумышленниками по различным причинам. В добавлении к этому, человеческие ошибки и поломки оборудования  это те риски, которые могут проявляться чаще, чем вы можете подумать. Однако, эти риски могут быть нивелированы автоматическим шифрованием данных в движении.

4. Как вы управляете шифрованием и где находятся ваши ключи шифрования?

Определение и шифрование всех конфиденциальных данных внутри организации это всего лишь первый шаг на пути к защите от утечек. Это требует ключей шифрования и во многих случаях управление ими недальновидно игнорируется. Без управления ключами во всей организации, содержание этих разрозненных систем шифрования становится затратным по времени и неуправляемым.

Поскольку ключи хранятся в нескольких местах, часто в самих системах, содержащих конфиденциальные данные, они уязвимы для кражи и неправомерного использования. Резервно скопированные ключи также не защищены при передаче, оставляя ещё одну брешь. Ограничивая доступ к этим криптографическим ключам также составляет лучшую практику. Также важно убедиться в том, что ни один пользователь не должен иметь права на все.

3 уровневый подход к защите от утечек данных

Внедряя трехуровневый подход 1) шифруя данные в состоянии покоя и при движении, 2) безопасно управляя и храня все ключи, и контролируя доступ и аутентификацию пользователей – организации могут подготовиться к утечке данных. Это позволяет нам видеть через искаженное поле реальности кибербезопасности и  перейти от подхода приспособления к реальности, такой как она была,  - предотвращение утечек, к стратегии приспособленной к реальности, такой, какая она есть, безопасная стратегия защиты от утечек.  

Джейсон Харт (Jason Hart), Gemalto

Оригинал статьи.

Все решения Gemalto по защите и шифрованию данных здесь.

Защита от утечек данных