Постановление о необходимости раскрытия фактов утечки данных:
актуальные проблемы

Впервые такое постановление в США было принято в штате Калифорния в 2004году,и с тех пор все больше и больше штатов США и стран Европы требуют, чтобы организации в обязательном порядке раскрывали общественности случаи потери или кражи данных, когда они происходят. В этих постановлениях регламентируется, какие данные важны, как указать, какой объем записей подвергся утечке, какая информация должна быть раскрыта, в течение какого периода времени, и кому. Цель таких требований не в том, чтобы наказать компании за то, что у них произошла утечка данных, а наоборот, в том, чтобы защитить клиентов, позволяя им пассивно участвовать в борьбе со взломщиками, и ограничить риск. В то время как постановления первоначально фокусировались на данных кредитных карт и других финансовых данных, во многих случаях их сфера действия расширилась, и теперь они покрывают медицинские регистрационные записи, и в том числе истории болезни, и другие личные данные. Навсегда ушло время, когда о случаях утечки данных было принято молчать.

Как большинство из нас знает из заголовков в прессе, эти обнародования в СМИ – это кошмар пиар-отделов, потому что зачастую в прессе стыдят организацию, допустившую такое, и восхищаются ее конкурентами. Но такое негативное влияние может пережить цикл общественного интереса к сегодняшним новостям (здесь и потерянная репутация бренда, и утраченное доверие клиентуры, и сократившаяся доля рынка), а затем на восстановление потребуются месяцы или годы. В зависимости от того, какая это организация и какова природа утечки данных, организации, возможно, также понадобится обеспечитьзначительные дополнительные сервисы, помимо извещения отдельных лиц – организовать перевыпуск кредитных карт или других верительных средств, обеспечить страховку, консультировать клиентов или даже обеспечить им компенсацию. Организации могут столкнуться даже с исками, поданными в суд от групп клиентов или партнеров.

Читать далее

При условии, что было бы нереалистично думать, что можно избежать всех краж или даже случайных потерь чувствительных данных, организации, которые стараются в соответствии с постановлениями добросовестно выполнять раскрытие фактов утечки данных, сталкиваются со следующими проблемами:

  1. Ясное понимание, в чем состоят обязательства организации. Выполнение постановлений о раскрытии фактов утечки данных, которые применимы к вашей организации, редко дается так просто, как это звучит, а в реальности трудно даже проанализировать поток данных в вашей организации. Новые приложения, изменения в составе персонала и новые процедуры (даже переход к передаче части производства другим организациям и к использованию облачных сервисов) часто могут стать причиной того, что эта информация никогда не попадет к тем сотрудникам, которые отвечают за соблюдение стандарта безопасности. Даже если вы действительно знаете, где находятся ваши данные, совокупность законов о раскрытии фактов утечки постоянно меняетсяи, кроме того, широко варьирует в разных регионах и отраслях промышленности. Данные, которые «выпадают из рассмотрения» в одном регионе или в один период времени, могут считаться обязательными в другом регионе или в другой период времени.
  2. Снижение риска утечки данных в местах их хранения. У данных есть нехорошая привычка перетекать между разными системами, пересекать организационные границы и домены и, таким образом, оказываться у кого-то «в собственности» - всё это происходит из-за разницы в режимах безопасности. В условиях повышенной угрозы атаки собственного сотрудника или вредоносной программы, нацеленной на что-то важное, обнаружение слабых звеньев путей, по которым пересылаются данные, становится сложной задачей. В конце концов законы о раскрытии фактов утечки не заботятся , можете ли вы обезопасить свою базу данных, например, органы власти беспокоятся только о том, чтобы вы могли защищать свои данные, куда бы они не направлялись. И, наконец, помните, что многие (может быть, даже большинство) факты утечки данных происходят из-за обычных ошибок и рядовых происшествий, а не из-за внешней атаки.
  3. Наличие систем обнаружения утечки данных. еважно, сколько усилий вы прикладываете, но утечка данных все еще продолжает происходить; и теперь ставится вопрос, можете ли вы этот факт обнаружить, если он реально имеет место? Анализ трафика и мониторинг деятельности в рамках вашей корпоративной среды определенно может помочь, но когда данные выходят из-под вашего прямого контроля и переходят в находящиеся вне вашей организации архивы или к провайдерам внешних сервисов, то становится гораздо труднее обнаружить утечку. В договорах на уровне сервиса должно быть заложено требование обязательности уведомления об атаках на системы, которым вы передаете часть своей работы, и в частности, на системы, которые вам приходится делить вместе с другими пользователями, такие, как облачные сервисы.
  4. Разработка плана реагирования и понимание, как еговыполнять. И наконец, даже если вы действительно знаете, что утечка произошла, хорошо иметь уже написанный план реагирования на происшествия, Некоторые требования по раскрытию фактов утечки налагают лимиты времени на раскрытие. В конце концов, что должен делать клиент с уведомлением об утечке данных, которая произошла 6 месяцев назад? Определение того, когда утечка на самом деле произошла, какие данные на самом деле исчезли, кого это могло затронуть, и как эту информацию надо использовать, может потребовать значительных усилий в ходе судебного расследования, и все равно картина окажется неполной. В условиях неидеальной информации сложнее принять решение и прореагировать адекватными управленческими действиями.

Скрыть раздел

Риски

  • Потеря или кража данных может привести к выполнению обязанности раскрыть факт утечки данных клиентам, которых это коснулось, и широкой общественности, – а это влечет за собой неприятные ситуации, когда надо держать ответ, испорченную репутацию и финансовые потери в бизнесе.
  • Организации, которые не раскрывают факты утечки данных, могут быть подвергнуты штрафам и привлечению к суду.
  • У утечки данных есть потенциал иметь гораздо более сильное влияние, чем всего лишь отношения с вашими собственными клиентами. Потеря паролей может вызвать каскадный эффект, если аналогичные пароли используются во многих сервисах.
  • Неспособность выполнить обязанность по раскрытию утечки и представить ясную картину того, как это произошло, может привести к тому, что вас заставят принять подход «защищай всё», что приведет к непомерному возрастанию расходов и ограничению гибкости.
  • Поверхностное соблюдение подхода концентрации на соблюдении стандарта безопасности может создать противоположную установку «раскрывай всё» (то есть мельчайшие случаи потери данных) что опять-таки приведет организацию к возрастанию расходов и к внутренней нестабильности, иногда без необходимости.

Постановление о необходимости раскрытия фактов утечки данных: решения компании Thales e-Security

Продукты и сервисы, предлагаемые компанией Thales e-Security, могут помочь вашей организации защитить регламентируемые данные и снизить риск утечки, - а, следовательно, и необходимости раскрытия неприятной информации. Многие законы об обязательном раскрытии фактов утечки данных включают в себя «безопасную гавань», которая дает организациям возможность избежать публичного раскрытия факта утечки, а именно: если данные, с которыми что-то произошло, были в нечитаемой форме, а следовательно, использовать их не мог ни взломщик, ни кто-либо еще, кто, может быть, непреднамеренно получил доступ к этим данным. Действует аргумент, что если данные бесполезны, то нет необходимости информировать об утечке лицо, которому они принадлежали. Организации имеют ряд способов обращения с нечитаемыми данными, например, шифрование, присвоение меток, маскировка и хеширование или рандомизация; у всех этих методов есть преимущества, но все же шифрование – это тот подход, который в большинстве случаев закон признает уважительной причиной не-раскрытия факта утечки. В результате законы об обязательном раскрытии фактов утечки данных часто являются важным фактором, принимаемым во внимание, когда организация определяет стратегию шифрования своих данных.

Компания Thales предлагает ряд продуктов и решений для поддержания различных стратегий шифрования данных. Проверенные на практике программные продукты из семейства решений Datacryptor, представляющие собой сетевые платформы шифрования, защищают данные, находящиеся в движении (в момент пересылки); защитные аппаратные модули (HSM) моделей nShield и payShield предлагают укрепление безопасности для широкого спектра бизнес-приложений и инфраструктуры. Компания Thales также концентрирует свое внимание на защите данных в местах хранения, поскольку кражи в местах хранения или атаки на системы хранения, в частности, на базы данных, могут привести к тому, что это затронет большие объемы чувствительных данных.

Хотя шифрование предоставляет дополнительный слой защиты и может значительно снизить или даже устранить необходимость раскрытия фактов утечки данных, но здесь встают важные операционные вопросы об управлении ключами защиты. Ценность любой формы шифрования прямо связана с безопасностью и целостностью процессов управления ключами защиты. Неспособность обеспечить наличие ключей защиты создает серьезный риск для возможности продолжать ведение бизнеса. Вполне буквально: если вы потеряете ключи, вы потеряете данные.

Применяете ли вы особые платформы шифрования, или устройства хранения с вложенными в них возможностями шифрования, или программные шифровальные решения, или вы пишете свои собственные шифровальные приложения, - вы можете рассчитывать, что компания Thales поможет вам установить высокие уровни надежности и безопасности.

Преимущества:

  • Применение шифровальных разработок компании Thales позволяет уменьшить объемы финансов и работ и негативное влияние на бизнес, которые в случае утечки данных легли бы тяжелым бременем на организацию во исполнение законов обязательном раскрытии фактов утечки данных.
  • Вы сможете воспользоваться местными возможностями шифрования в рамках коммерческого хранения информации и баз данных.
  • Вы сможете установить системы централизованного управления ключами защиты и выработать политику одновременного применения нескольких способов шифрования данных.
  • Вы обеспечите у себя высокую надежность и применение сертифицированных методов управления ключами защиты для обеспечения безопасности, и это позволит вам упростить соблюдение стандарта безопасности и судебные расследования и поможет вам адекватно реагировать на происшествия.
  • Укрепите уверенность в том, что применение технологий, направленных на соблюдение стандарта безопасности, не подвергает риску длительное благополучное существование вашей компании.