Конфиденциальность данных — это безопасность данных, и одно без другого невозможно

Многие организации считают, что безопасность данных и конфиденциальность данных — это разные задачи. Адам Лауб думает иначе, и на его мысли по этому поводу стоит обратить внимание. Адам — генеральный менеджер Stealthbits Technologies, компании, занимающейся разработкой программного обеспечения для кибербезопасности, которая занимается защитой конфиденциальных данных организации и учетных данных, которые злоумышленники используют для кражи этих данных. Недавно я попросил Адама объяснить, почему компании часто отделяют идею защиты своих бизнес-данных от защиты конфиденциальности личной информации своих клиентов. Далее следует несколько мыслей, которыми он поделился со мной по этому важному вопросу.

Безопасность данных и конфиденциальность данных: две стороны одной медали

Краткий обзор истории конфиденциальности данных быстро и четко покажет, как концепции конфиденциальности и безопасности столкнулись более десяти лет назад, когда США попытались (и потерпели неудачу) принять Закон о конфиденциальности и безопасности персональных данных 2009 года. Интересно, что конфиденциальность и о безопасности часто говорят как о двух разных предметах, а не как о слиянии дисциплин и возможностей, обеспечивающих защиту данных от несанкционированного использования и доступа.

Поскольку киберпреступность на самом деле не была тем «делом», которым она является сегодня, когда в 1970-х годах появились первые законы о конфиденциальности данных, не является полной загадкой, почему некоторые люди все еще могут разделять тему конфиденциальности исключительно на то, как обрабатываются данные. Однако опрос, проведенный KPMG в июле 2020 года (Новый императив ответственности за корпоративные данные), выявил четкое сочетание проблем безопасности и конфиденциальности данных среди потребителей, поскольку для них они одинаковы. И знаешь, что? Они не ошибаются.

Различные взгляды на данные

Управление обработкой данных и контроль над ними отличаются от обнаружения и реагирования на атаки программ-вымогателей. Но в глазах потребителей или более современных правил конфиденциальности данных, которыми регулируется их информация, неспособность правильно использовать или защищать информацию о потребителях все равно является неудачей. В конце концов, какая разница между организацией, использующей вашу информацию способами, которые, по их словам, они не будут, или вы никогда не говорили, что могут, и злоумышленником, делающим то же самое без вашего участия?

В течение многих лет личная информация потребителей собиралась в массовом порядке многими организациями, с которыми они вели дела или которым делились, только для продажи другим предприятиям и редко управлялась в соответствии с надежными принципами безопасности. Эта личная информация (PII), хранящаяся практически во всех возможных форматах данных практически во всех мыслимых местах, предназначена для киберпреступников и легко извлекается. Это приводит к компрометации личных данных миллионов людей по всему миру, потерям в триллионы долларов и, следовательно, к усилению правил конфиденциальности данных, таких как GDPR ЕС и CCPA Калифорнии.

С точки зрения варианта использования мы по-прежнему можем рассматривать безопасность данных и конфиденциальность данных как два отдельных понятия (первое сосредоточено на обеспечении безопасности данных, а второе — на процессах, связанных с использованием и обработкой регулируемых данных). Это действительно не одно против другого. Только линза, через которую просматриваются данные, имеет значение с точки зрения действия, которое должно произойти.

Кто виноват?

Глядя на то, как много сценариев взлома начинаются в наши дни, заманчиво и, возможно, даже уместно указать пальцем на ряд ключевых участников.

Возьмем, к примеру, подмену учетных данных — метод атаки, при котором пары имени пользователя и пароля, обычно получаемые в результате предыдущего взлома, используются для получения доступа к системам или службам другой компании. Респонденты вышеупомянутого опроса KPMG показывают, что потребители несут ответственность за защиту данных о потребителях. Около 75 процентов американцев говорят, что считают рискованным использовать один и тот же пароль для нескольких учетных записей, использовать общедоступный Wi-Fi или сохранять карту на веб-сайте или в интернет-магазине. Тем не менее, более 40 процентов потребителей придерживаются такого поведения. Итак, виноваты ли потребители в нашей глобальной загадке утечки данных? В конце концов, многие нарушения начинаются с их небезопасного поведения в Интернете.

На противоположном конце спектра, что насчет того, когда организации, которым потребители доверили хранить свои данные в безопасности, оставляют двери широко открытыми для любого, у кого есть подключение к Интернету, чтобы уйти с 49 000 000 пользовательских записей? В 2019 году только в средах Amazon S3 было зарегистрировано 7098 утечек и 15,1 миллиарда записей, многие из которых были вызваны человеческими ошибками при защите прав доступа и другими неправильными настройками.

Дело в том, что виноватых хватает. Тем не менее, нет никаких сомнений в том, что как лица, предоставляющие записи (потребители), так и держатели записей (компании) должны лучше работать над обеспечением защиты данных от несанкционированного использования и доступа.

Что мы можем сделать?

Для потребителей простое формирование лучших привычек в Интернете может принести огромные дивиденды. Улучшенная идентификация и предотвращение фишинговых схем или использование менеджеров паролей, таких как LastPass, Dashlane или 1Password, может означать взлом одной организации, с которой они ведут бизнес, не означает взлом всех организаций, с которыми они ведут бизнес.

Хотя сосредоточение внимания на данных имеет решающее значение для обеспечения безопасности и конфиденциальности данных, это всего лишь один аспект, требующий серьезного времени и внимания. С организационной точки зрения существуют десятки факторов, которые следует учитывать в зависимости от состава и сложности одной сети по сравнению с другой. Для начала организации могут усилить безопасность и конфиденциальность, удалив учетные записи и сохранив привилегированные права доступа во всех возможных системах и приложениях. Не менее важным является обнаружение и защита конфиденциальных данных потребителей во всех хранилищах данных. Первый помогает значительно снизить риск бокового перемещения, связанного с программами-вымогателями и другими продвинутыми угрозами. Последнее помогает согласовать такие концепции, как конфиденциальность по замыслу, и упрощает запросы доступа субъектов данных, когда потребители ссылаются на свое право на забвение.

Для облачных организаций, вложивших значительные средства в Microsoft, популярны такие решения, как Microsoft Information Protection и Azure Privileged Identity Management. Для тех, кто работает с более гибридными и разнородными ресурсами, решения Stealthbits, такие как StealthAUDIT и Stealthbits Privileged Activity Manager (SbPAM), предоставляют возможности, необходимые для достижения значительных успехов в этих и других областях.

Следующий шаг

В то время как безопасность данных может быть обеспечена без учета конфиденциальности данных, конфиденциальность данных не может быть обеспечена без обеспечения безопасности данных. Именно поэтому конфиденциальность данных — это безопасность данных, а не просто ряд процессов и процедур, которые должны обсуждаться ответственными за соблюдение нормативных требований и юридическими группами. При рассмотрении с точки зрения безопасности организации могут и чаще всего добиваются большей конфиденциальности и соответствия требованиям. Все дело в линзе, через которую вы смотрите на данные.