Как украинским компаниям защитить данные клиентов от утечек?

Як забезпечити розвиток і стійкість компаній: досвід TERWIN, NOVUS, Arcelor Mittal, СК ІНГО та 40 інших провідних топменеджерів та державних діячів.

11 квітня на Business Wisdom Summit дізнайтесь, як бізнесу адаптуватися до нових регуляторних вимог, реагувати на зміни та залучати інвестиції у нинішніх умовах. Реальні кейси від лідерів українського бізнесу.

Забронировать участие

После вступления в силу в мае этого года Генерального регламента о защите персональных данных (GDPR) наши компании все чаще начали задумываться о том, как защитить данные своих клиентов. Хоть Украина и не является частью ЕС, нашему бизнесу все равно в ближайшее время придется внедрять стандарты регламента.

Как же защитить информацию о своих клиентах от утечки, какие технологии использовать для этого и чего компаниям требовать от своих служб ИТ-безопасности? Согласно принципам GDPR, главными факторами обработки персональных данных клиентов являются конфиденциальность, целостность, доступность, наблюдаемость. Каким же образом компаниям обеспечить все эти ключевые факторы? Хорошая новость заключается в том, что в большинстве компаний уже работают системы защиты информации, которые можно просто правильно настроить для выполнения требований GDPR.

Для начала давайте разберемся в том, где именно и в каком виде сохраняются персональные клиентские данные? Неактивные, то есть архивные данные, как правило, хранятся в резервных копиях, базах данных, архивах. Доступ к ним имеют администраторы информационных систем и баз данных компаний. С точки зрения вероятности утечки данных, самый большой риск — это резервные копии документов. Для минимизации угроз в этом направлении компаниям нужно обязательно покупать лицензии на шифрование резервных копий при их создании.

Для защиты от хищения данных инсайдерами нужно использовать фаейрвол для внутренней сети. Еще одно средство — "маскировка" части информации о клиенте. Если сотруднику, например, администратору базы клиентов, не нужно видеть для работы, например, номер банковской карты, для него он будет скрыт.

Что касается данных, которые используются и обновляются, то это, как правило, –  изменяемая и дополняемая информация о клиентах в базах данных и приложениях. Работают с ними в основном, администраторы и аналитики, но доступ к ним могут иметь также другие сотрудники компании и даже потребители услуг или продуктов компании. Главная угроза здесь  – авторизованный или неавторизованный доступ. То есть, масштабную утечку могут спровоцировать как инсайдеры, так и внешние хакеры, имитирующие администраторов или сотрудников вашего бизнеса.

Минимизировать угрозу здесь позволяют такие классы приложений, как Database Firewall или Web Application Firewalls, а также маскировка данных. Например, можно использовать такое средство как псевдоанонимизация — замена ID физлица и его имени генерируемым кодом, к которому привязываются данные.

Что касается данных в движении — это информация в момент, когда она передается по локальным или глобальным сетям. Доступ к ним имеют администраторы, сотрудники компании, потребители и провайдеры. Утечку в этом случае может предотвратить шифрование сессий при работе с данными. Компаниям также нужно использовать
правильные сертификаты сайтов удостоверяющие подлинность организации или компании. В случае с данными в движении также обязательно нужно блокировать съемные носители информации (флешки или внешние диски) и контролировать доступ сотрудников к копиям документов и архивам.

В целом же, руководителям служб ИТ-безопасности и безопасности, как и топ-менеджерам компаний нужно понимать, что информационная безопасность вашего бизнеса — это не столько продукт, сколько процесс, причем системный. Компании, причем не только крупные, но и средние, должны постоянно выделять ресурсы на организацию процессов информационной безопасности, обучение специалистов, учиться оперативного реагировать на инциденты, использовать мировую практику и международные стандарты защиты. Только в этом случае данные ваших клиентов будут защищены.