Андреас Вайгенд - BIG DATA. Вся технология в одной книге

Подобные опыты меняют отношение компаний к цифровой безопасности. В 2015 году клиника Майо наняла с десяток лояльных «белых» хакеров, чтобы проверить на возможность взлома систему, управляющую сотнями устройств поддержания жизни пациентов по всей больнице. Результаты оказались поразительными и отрезвляющими. Устройства оказались крайне уязвимыми, причем настолько, что хакерам, многие из которых были звездами кибербезопасности, не хватило предоставленного недельного срока, чтобы разобраться со всеми изъянами в области защиты систем. Часть оборудования по-прежнему работала на паролях по умолчанию, оставшихся от заводских настроек, что для потенциального взломщика примерно равносильно полному отсутствию пароля [379]. Изучив доклад специалистов, клиника Майо пересмотрела свою закупочную политику и рабочие процедуры, предъявив к поставляемому медицинскому оборудованию жесткие требования правил безопасности. Но для системы здравоохранения в целом это нетипичный случай [380].

Слишком часто решения относительно сохранности данных принимаются на базе самой примитивной оценки экономического эффекта. Типичный пример такого мышления продемонстрировал в 2007 году топ-менеджер Sony Pictures, заявивший за пару месяцев до большого взлома системы компании, что не хочет «инвестировать 10 миллионов долларов ради того, чтобы избежать потерь на 1 миллион» [381]. Утечка обошлась куда дороже: одни только затраты на «расследование и восстановительные мероприятия» составили 15 миллионов долларов [382], а удар по репутации Sony наверняка стоил еще дороже. Одним из способов снижения затрат на обнаружение уязвимостей и программ работы с «белыми» хакерами является создание независимой отраслевой организации для проведения аудита и своего рода сертификации хакеров. При этом если пользователи будут настаивать на соблюдении высочайших стандартов безопасности, расходы компаний, не участвующих в работе такой организации, будут продолжать расти.

Получившие широкую известность утечки дают обобщенное представление о пяти элементах защиты данных, которые должны быть прозрачны для пользователей. Во-первых, это соблюдение минимальных требований, необходимых для работы в отрасли, таких как современное программное обеспечение с исправленными известными уязвимостями. Во-вторых, защита данных есть нечто большее, чем безопасность программы: она подразумевает работу с персоналом и создание корпоративной культуры, уважающей пользователей и их информацию. Внешний аудит может подтвердить соблюдение компанией общих «санитарно-гигиенических» требований и дать оценку процедур и практик в области безопасности, в том числе обучению людей технике информационной безопасности. В-третьих, команда «белых» хакеров может совершать регулярные попытки взлома сетей и компьютеров компании с целью обнаружения любых скрытых уязвимостей. В идеальном варианте аудиторы смогут оценивать время реакции на аномальную активность и предлагать конкретные усовершенствования, что послужит во благо и компании, и пользователям. В-четвертых, сохранность данных должна оцениваться на основе единых для всей отрасли стандартов и методик проверки. В-пятых, следует создать компетенцию оценки потенциального ущерба от утечки различных категорий данных. Ущерб от взлома систем автомобиля в процессе движения может привести к человеческим увечьям, несопоставимым по причиненному вреду с жульническими операциями по кредитной карточке.

В рамках программы проверки сохранности данных аудиторы будут ревизовать и тестировать работу компании, добавляя ей баллы за внедренные разумные практики. Пользователи смогут знакомиться с текущей суммарной оценкой и сопоставлять ее с оценками, полученными в предыдущих периодах. Улучшение результатов может указывать на инвестиции в инфраструктуру безопасности или на то, что обучение сотрудников со временем принесло свои плоды. Ухудшение может говорить о вновь выявленной уязвимости или о прохладном отношении к обучению новых сотрудников. Видеть тенденцию не менее полезно, чем знать текущую оценку.

Наконец, обнародование негативных результатов аудита сохранности данных или плохого рейтинга риска не должно освобождать инфопереработчика от любых юридических или этических обязательств по компенсации вреда, причиненного пользователям, в случае если утечка произошла по его халатности. Издержки такого рода инцидентов должны распределяться между теми, кто получал информацию, и теми, кто ее предоставлял. В противном случае компании вряд ли будут заинтересованы в совершенствовании безопасности на фоне низких показателей сохранности данных своих конкурентов, тем более в условиях, когда ущерб частному лицу невозможно соотнести с конкретной утечкой или иным сбоем защиты. В этой области власти или суды могут налагать штрафы или присуждать компенсации пользователям, если компании отказываются делать это добровольно.