Утечка данных, сохранение конфиденциальности

Опубликовано: 10 Апреля, 2023

2008 год — год конфиденциальности в Европе. Конфиденциальность данных будет тенденцией в цикле шумихи в течение следующих 24-36 месяцев. Безопасность конечных точек становится все более важным направлением, и для реализации решений, решающих эту проблему, было разработано множество изобретательных технологий. Лидеры в рыночном пространстве уже начали появляться, но эта гонка долгая.

В первом квартале 2008 г. в Европе произошло более восьми крупных утечек данных, в результате которых только в Великобритании пострадало более 50 миллионов человек. Во всем мире эти цифры оцениваются в десять раз. Это статистические данные, отражающие сообщаемые цифры, однако считается, что они занижены, поскольку организации и правительственные учреждения не стремятся сообщать об утечке данных или утечке данных.


В конце февраля 2008 года на EBay был куплен ноутбук с компакт-диском (не в приводе компакт-дисков, спрятанным в компьютере). компакт-диск принадлежал головному офису в Великобритании. На компакт-диске было написано, что если он будет найден, пожалуйста, верните (конфиденциально для домашнего офиса), а данные на компакт-диске были зашифрованы. В данном случае данные хранились в защищенном состоянии, а ноутбук тоже был зашифрован, поэтому ключи шифрования были в безопасности (или были?). Это отличается от историй прошлого, когда миллионы записей оказались в открытом виде и потеряны в пути.


Недавно в Принстонском университете были проведены некоторые тесты, в результате которых было сделано интересное открытие. Было обнаружено, что ключи шифрования для некоторых продуктов шифрования хранят ключ/ключи доступа в оперативной памяти, и эту оперативную память можно извлечь из компьютера, а ключи можно восстановить. Некоторые проигнорировали эту уязвимость, но другие восприняли ее очень серьезно, особенно с учетом того, что некоторые поставщики продают решение, защищающее от раскрытия данных.


Почему утечки данных продолжают происходить и почему в частном секторе мало что делается для устранения этих инцидентов? Понимают ли организации, представители и официальные лица последствия? Кто-нибудь действительно заботится о ваших данных? Учитывая, что выявление кражи на сегодняшний день является самой большой проблемой в цифровую эпоху, необходимо сделать больше в отношении гарантии того, что ваши учетные данные и информация хранятся и передаются безопасно.


Недавно я обнаружил, что организации не шифруют свои данные и что по большей части опрошенные люди не видят преимуществ в обеспечении конфиденциальности своих данных, потому что:



  • Организации не понимали механизма шифрования и того, для чего оно было или может быть использовано в их бизнес-контексте.
  • Ключевые сотрудники, должностные лица, руководство и директора не были осведомлены о законах, определяющих, что шифрование необходимо для определенных данных в их операционной деятельности и в их юрисдикции.
  • Также было достигнуто общее мнение, что шифрование добавит как административные, так и операционные накладные расходы, которые считались ненужными и потенциально дорогостоящими.
  • Некоторые организации обнаружили, что общая стоимость владения слишком высока по сравнению с ценностью данных.
  • Некоторые организации не знали о шифровании или о том, для чего оно используется, и поэтому считали, что если они до сих пор работали без него, то оно было ненужным и, возможно, просто еще одним техническим средством контроля, внедрение и обслуживание которого было бы дорогостоящим.
  • Некоторые организации заявили, что им нечего скрывать и что при передаче данные на их устройствах не сохраняются.
  • В некоторых случаях организация уже однажды пробовала шифрование, но имела неудачный опыт с шифрованием и, таким образом, полностью прерывала проект или оставляла решение в плохом состоянии.

Как данные хранятся и передаются?


Данные хранятся в контейнерах, таких как жидкость. Термин «утечка данных» подходит, поскольку он контекстуализирует то, как происходит явление. Некоторые данные перетекают с места на место по каналам (сетям или каналам VPN), таким как вода в трубах, и опять же они подвержены утечке. В этом случае данные утекают рядом с краном, на компьютере, где данные обрабатываются и передаются. Канал/сеть может снова прослушиваться/прослушиваться, что приводит к утечке данных. Противодействием этим уязвимостям является шифрование. Такие решения, как IPSec, могут помочь обеспечить безопасность передаваемой информации.


Жидкость также можно носить в ведрах; данные аналогичным образом могут передаваться на ноутбуках, мобильных телефонах, USB-устройствах, картах памяти, лентах и т. д. Эти ведра могут иметь отверстия или могут не иметь решений для контроля доступа, чтобы люди не могли брать воду из ведра. Эти технические средства контроля могут быть в форме шифрования или строгого контроля доступа. В наши дни настоятельно рекомендуется надежное шифрование, поскольку большинство средств контроля доступа легко обойти в результате доступа к инструментам, доступным в Интернете.


Другими потенциальными точками утечки данных являются решения для удаленного доступа, клиенты обмена мгновенными сообщениями, электронная почта, распечатки и атаки злоумышленников. Даже стеклянное окно, являющееся частью небоскреба, через которое кто-то может заглянуть в телескоп, используя точку обзора в другом здании, может привести к краже данных. Не исключайте эти типы атак. Хотя это звучит надуманно и низкотехнологично, я консультирую в банковском центре и недавно показал известному банку, как легко сделать это из общественного здания через дорогу от того места, где обрабатываются данные для многих их клиентов.


Почему мы должны остановить утечку данных?



  • Шифровать: Шифрование данных обеспечивает конфиденциальность; это означает, что если данные попадут в неавторизованные руки, данные станут нечитаемыми.
  • Требовать двухфакторную аутентификацию: пароли стали слишком слабыми, двухфакторная аутентификация становится все более необходимой по мере того, как наша жизнь становится все более цифровой. Подумайте о ценности вашей цифровой личности.
  • Зашифруйте общение: если вы не хотите, чтобы другие слышали, что вы говорите, измените то, как вы говорите. Шифрование коммуникаций не новая техника, она использовалась еще во времена римлян. Будьте уверены, если вы не заинтересованы в безопасности ваших сообщений, есть много недобросовестных людей.
  • Защитите свои ключи: это очень важно и должно быть проблемой номер один. Доступ к ключам = доступ к данным. Ваш ключ должен храниться в безопасном месте, как и ключ от вашего дома, хорошо иметь второй набор ключей, хранящийся в безопасном месте, чтобы, если первый набор был уничтожен, вы могли безопасно получить свой второй ключ. Только в этом году я консультировал четырех крупных клиентов, потерявших ключи. Одному я смог помочь, просканировав весь съемный материал в поисках ключей. Ключи получены, данные восстановлены. Это также уязвимость системы безопасности, но данные были сохранены. Остальные клиенты потеряли доступ к своим данным и все еще ищут ключи.
  • Резервное копирование данных безопасным способом. Хранение и резервное копирование данных должны выполняться безопасным способом. Важно, чтобы данные были доступны и возможность восстановления имела первостепенное значение, параллельно также важно, чтобы такие данные хранились в конфиденциальном виде и чтобы неавторизованные пользователи не могли читать или манипулировать этими данными. Страшно осознавать, что менее 5% финансовых учреждений в Европе шифруют свои резервные копии. В ходе недавней консультации крупная финансовая организация сообщила мне, что шифрование сокращает окно резервного копирования и усложняет операцию аварийного восстановления. Неудивительно, почему цифры не складываются…

Резюме


В заключение поставщики должны иметь в виду, что решения, включающие шифрование ценных данных, должны быть просты в обслуживании, развертывании и следовании передовым методам управления ключами. Это означает, что ключевой материал хранится таким образом, чтобы организация могла восстановиться в случае аварии. Это оказывается жизненно важным при восстановлении, и невыполнение этой простой практики приведет к отсутствию доступности.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023