Андреас Вайгенд - BIG DATA. Вся технология в одной книге

Для защиты своих активов Sony Pictures пригласила ведущего эксперта в области кибербезопасности Кевина Мандиа [368]. Консультантов нанимают многие компании, работающие с конфиденциальной информацией, будь то дорогостоящие голливудские киноленты или миллионы номеров кредитных карт. Интересы компаний и пользователей в части безопасности совпадают: ни те ни другие не хотят, чтобы их информацию украли преступники. Но сегодня большей части людей предоставляется слишком мало информации, чтобы они могли судить об уязвимости их данных в конкретной компании. Еще меньше возможностей есть для того, чтобы сравнивать подходы к вопросам безопасности, существующие у различных компаний. Вот почему необходимо распространить практику проведения аудита сохранности данных и публикации результатов на все организации, занимающиеся обработкой и анализом информации.

Применение стандартов безопасности для коммуникации с пользователями и анализа их информации – один из компонентов сохранности данных. Фонд электронных рубежей [369]обращает внимание на «изначальную незащищенность» протокола НТТР, который передает информацию в незашифрованном виде и, к сожалению, по умолчанию используется подавляющим большинством интернет-сайтов. Инфопереработчикам следует использовать протокол HTTPS с зашифрованным каналом связи между клиентом и сервером, благодаря чему перехватить информацию станет значительно сложнее [370].

Аудит исследует порядок доступа сотрудников компании к данным. Использование двух– или более ступенчатой авторизации, при которой человек вводит второй одноразовый пароль, созданный мобильным приложением или специализированным сервисом, свидетельствует о более ответственном подходе к сохранности данных. Кроме того, наличие регистрации и анализа каждого случая доступа к информации повышает оценку уровня безопасности компании. Такие записи не только позволяют выявить исходные точки любых нештатных ситуаций, но и способствуют повышению уровня ответственности и функциональной дисциплины сотрудников. Мы уже знаем, что люди меняют свое поведение, если знают, что их действия записывают.

Однако во многих случаях истоки утечки данных находятся не в области слабого программного обеспечения, а в области человеческих слабостей сотрудников компании, которые могут быть раздражены, нелояльны, плохо обучены или попросту слишком загружены для того, чтобы должным образом выполнять свою работу. Пользователи заслуживают большей ясности в вопросе сохранности их данных в компании, в том числе подтверждения профессиональной состоятельности сотрудников, работающих с их информацией. Финансовые организации обязаны проводить проверки всех кандидатов на должности, в том числе и на предмет любых нарушений на предыдущих местах работы. Инфопереработчикам тоже следовало бы проводить проверки при приеме на работу и оценивать риски потенциальных сотрудников. Разработчикам, у которых есть широкие права доступа к первичным данным пользователей, могут поручать написание или корректировку программных кодов, проверить которые построчно способны лишь очень немногие. Если в компании уже фиксировались случаи небрежного отношения разработчика к процедурам безопасности или его явной халатности, то она должна нести ответственность за свое бездействие в подобных ситуациях [371].

Более того, некоторые самые крупные утечки являлись результатом небрежного отношения к работе с данными, а не враждебных происков. Взять, к примеру, случай с жестким диском, на котором правительственное учреждение хранило медицинские карты и послужные списки более 70 миллионов ветеранов американской армии [372]. Диск вышел из строя, и ответственный чиновник отправил его поставщику в надежде, что тот исправит дефект. Сделать это не получилось, и поставщик отправил диск на утилизацию еще одному стороннему подрядчику. Все это время данные оставались на диске. Госучреждение, в ведении которого были эти архивные записи, потом ссылалось на условие контракта с производителем об обеспечении сохранности данных. Но преступникам наплевать на такие юридические тонкости. И обращение с информацией, и реакция на ее утечку были неприемлемы.

Любая количественная оценка риска утечки данных должна подразумевать детальную проверку знаний сотрудников в области безопасной работы с данными точно так же, как инспекция ресторана подразумевает проверку знаний его работников по технике безопасности в работе с продуктами питания. Это проявление культуры компании в целом, а не отдельных ее сотрудников.