Поделиться
Хроника крупнейших утечек. Август 2008
С каждым месяцем проблема утечек персональных данных становится все более актуальной. Несмотря на то, что август традиционно считается сезоном отпусков и падения бизнес-активности, за этот период было зафиксировано 39 публичных утечек информации – то есть более одного инцидента в день.Николай Федотов: Утрата носителя вообще не считается инцидентом
Своим экспертным мнением с CNews поделился Николай Федотов, главный аналитик компании InfoWatch.
Данные об утечках, собираемые компанией InfoWatch, хотя и отличаются от данных, представленных Perimetrix, но показывают такие же общие зависимости и тенденции.
Значительную часть известных инцидентов составляют потери и кражи мобильных носителей конфиденциальной информации - ноутбуков, дисков, флэш-накопителей. И в каждом сообщении о таком инциденте упоминается из раза в раз примерно следующее: "к сожалению, конфиденциальные данные не были зашифрованы". А задумывался ли читатель, отчего такая халатность? Неужели так трудно зашифровать? Хотя бы только чувствительную информацию. Хотя бы на мобильных носителях.
Все дело в том, что утрата носителя, на котором конфиденциальная информация была зашифрована, вообще инцидентом не считается. Не учитывается, не расследуется службой безопасности, об этом не уведомляются потенциальные потерпевшие и государственные органы, не узнает пресса. Поэтому и создается впечатление, что мало кто шифрует свои данные. На самом деле шифрование мобильных носителей достаточно распространено.
Оно было бы распространено повсеместно и тотально. Технически это несложно, и ресурсов тратится совсем немного. Однако имеются препятствия организационного типа. Не всегда удается преодолеть лень и беспечность пользователей. Как пользователей-работников (в случае защиты информации предприятия), так и пользователя-себя любимого (в случае защиты домашнего ПК).
Для первого случая часто применяется принудительное или полупринудительное шифрование. Например, работникам выдают мобильные компьютеры и флэшки с заранее инсталлированной и включенной системой шифрования всего содержимого. Или за шифрованием отчуждаемого носителя следит DLP-система, которая попросту не позволит записать на флэшку или CD незашифрованную конфиденциальную информацию.
Казалось бы, организовать такое не очень сложно. Технически - да. Но упомянутая методика входит в резкое противоречие с картиной мира, как ее видят многие руководители служб безопасности. В ходе своей работы автору неоднократно приходилось наблюдать следующую ситуацию. Вместо того, чтобы организовать шифрование конфиденциальных данных на всех переносных носителях, СБ вводит тупой запрет. Такие данные на ноутбуки и флэшки записывать запрещается. Раз запрещено, о шифровании можно не заботиться. Понятно, что запрет не соблюдают. Рядовые работники - втихаря, руководители - внаглую. Недолго приходится ждать, пока сисадмин спьяну посеет флэшку, а у вице-президента в аэропорту уведут казенный ноутбук. В предвкушении увлекательного процесса поиска и назначения виноватых хочется, однако, спросить: а не дешевле, не проще ли было с самого начала разрешить хранить конфиденциальную информацию на мобильных носителях, но с обязательным ее шифрованием?
В заключении хотелось бы отметить еще одну особенность обсуждаемых инцидентов. Часто в сообщениях мелькает нечто типа: "представитель компании выразил уверенность, что данные на утерянном носителе не будут использованы злоумышленником, поскольку они защищены паролем".
Возможно, для простого пользователя что шифрование, что "защита паролем" - все едино защита. Для специалиста это не так. Для такой угрозы, как утеря (хищение) носителя только шифрование рассматривается как защита, то есть, мера, снижающая стоимость риска. Любая иная "защита" (например, встроенная в ОС авторизация) для такого случая защитой не считается, риски не снижает и не делает инцидент менее опасным.
Короткая ссылка
