Предприятия должны анализировать факты нарушения безопасности данных и предусматривать ответные меры. Кроме того, в компаниях, где имеются группы реагирования, стоимость похищенной части информации значительно снижается.
Вероятно, нет нужды говорить о том, как важно подготовиться к возможной утечке данных. Последние новости о нарушениях границ информационной безопасности, затронувших компании Target и Home Depot, говорят сами за себя, но все же приведем некоторые факты.
- По результатам опроса, проведенного в институте Ponemon, о фактах утечки данных на предприятиях в 2014 году сообщили 43% из 567 опрошенных руководителей, что на 10% больше, чем в 2013 году.
- Судя по результатам проведенного IBM анализа стоимости утечки информации в 2014 году, средняя стоимость одной утерянной или похищенной части информации составляет 201 долл.
Эти данные говорят о том, что случаи утечки данных учащаются и обходятся весьма недешево.
Однако есть и хорошие новости. Число предприятий, где имеются план соответствующих действий и группа реагирования на утечку данных, выросло за последний год с 61 до 73%. Предприятия принимают к сведению факты нарушения информационной безопасности и готовят ответные меры. Кроме того, в компаниях, создавших группы реагирования, стоимость отдельной похищенной записи значительно снижается. По результатам опроса, проведенного специалистами института Ponemon, предприятия с официальным планом реагирования снизили стоимость похищенной части информации в среднем на 17 долл. Это может сэкономить тысячи долларов за один факт нарушения информационной безопасности. Вывод можно сделать следующий: каждому предприятию необходимо подготовить план и создать группу реагирования на утечку информации.
Группа реагирования на утечку данных
В целевую группу реагирования на утечку данных должны входить разные люди, например руководители структурных подразделений, руководители высшего ранга, сотрудники отделов, отвечающих за связи с общественностью, ИТ-специалисты и прочие работники, уполномоченные оперативно решать вопросы, связанные с нарушением информационной безопасности. Они должны быть готовы отреагировать быстро и в любое время. Репутация предприятия и сохранность информации клиентов зависят от вашей способности быстро решать проблемы. Подберите нужных специалистов и убедитесь в том, что они знают, как поступать в случае утечки данных. ИТ-специалисты отвечают за сетевой аспект проблемы, а специалисты по связям с общественностью должны быть готовы общаться с пострадавшими клиентами; каждый выполняет свою работу. Прежде чем составлять план, полезно обсудить причины возникновения бреши в системе информационной безопасности.
Понимание причин утечки данных
Как отмечалось во многих публикациях, посвященных ошибкам пользователей (например, по адресу www.storagecraft.com/blog/disasters-focus-user-error/), люди и процессы являются главной причиной обращений в службу поддержки Microsoft. Любой пробел в системе информационной безопасности, скорее всего, есть результат некой комбинации человеческого фактора, процессов и технологий. Роль человеческого фактора может быть реализована за счет действий сотрудников организации, в том числе бывших (которые могут по-прежнему владеть «ключами от королевства»), а также поставщиков, с которыми вы работаете. Технологии и процессы включают методы и средства получения и защиты информации. Помните, что речь не всегда идет о цифровых данных. Существует множество физических документов, содержащих конфиденциальные данные, которые тоже могут попасть в чужие руки. Пробелы в системе безопасности могут возникнуть на любом уровне, и люди тоже несовершенны, поэтому сложно предугадать, где окажется слабое звено. Обеспечение максимальной защиты по всем направлениям имеет большое значение для поддержания информационной безопасности. Для этого, в частности, необходимо знать, с какими типами данных вы имеете дело.
Всесторонняя оценка данных
Теперь, когда вы знаете, где может случиться утечка информации, определите все типы данных в своей организации. Некоторые данные безобидны; ничего страшного, если, скажем, один из документов Word вашего специалиста по маркетингу попадет в чужие руки, но вам определенно не захочется, чтобы кто-то завладел финансовыми данными клиентов. Проведите инвентаризацию имеющихся данных, выясните, где они хранятся, и каков финансовый риск в случае их утраты. В статье, опубликованной на страницах Entrepreneur, предлагается избавляться от данных, которые вам больше не нужны (www.entrepreneur.com/article/206386). Проще следить за тем, что компактно и управляемо. Полезно также рассмотреть возможность киберстрахования. Изучите текущий договор страхования вашего предприятия и выясните, распространяется ли он на риски кибератак.
Защита критически важных данных
Опубликованные сведения об утечках данных, как правило, связаны с крупными компаниями, многие из которых относятся к сфере розничной торговли. Однако небольшие компании тоже находятся в зоне риска, особенно в области здравоохранения. В отчете, опубликованном Центром по борьбе с хищениями личных данных, говорится, что к сектору здравоохранения относится почти 44% от общего числа утечек, имевших место в 2013 году, то есть больше, чем в любой другой отрасли.
Преступление часто является следствием открывшейся возможности, и наверняка последнее, что вам хотелось бы сделать – это облегчить хакеру задачу кражи ваших данных. Поэтому спросите себя: все ли, что должно быть защищено брандмауэром, действительно находится под его защитой? Безопасным ли образом организовано получение и хранение финансовой информации? Имеют ли доступ к этим данным только те, кому он действительно необходим? Что можно сделать, чтобы усилить безопасность? Лучший метод защиты от утечки данных – тотальное исключение возможных факторов риска.
Создайте план реагирования
Что вы будете делать в случае утечки? Есть несколько вопросов, которые следует обдумать, разрабатывая план реагирования. Ответы на эти вопросы необходимо найти до того, как что-то произойдет.
Где источник утечки? Необходимо выяснить, как вы сможете определить, что послужило причиной возникновения бреши. Если что-то случится, потребуется выявить проблемы и устранить их, чтобы предотвратить повторную утечку.
Куда обращаться? Необходимо составить алгоритм действий сотрудников в случае утечки данных. Как оперативно оповестить группу реагирования о случившемся? Текстовым сообщением, по электронной почте, телефонным звонком? Обсудите с членами группы, как быстрее всего достичь эффективного взаимодействия.
Группа реагирования должна подключить правоохранительные органы и клиентов. В каждом государстве свои законы, регулирующие оповещение людей об утечке данных. И в большинстве случаев закон требует своевременного уведомления правоохранительных органов и пострадавших лиц. Ознакомьтесь с соответствующими законами, чтобы убедиться, что вы действуете правильно. Самое главное – быстро оповестить всех, кого нужно. Чем больше времени вы тратите, тем больше проблем может возникнуть в результате утечки, поэтому правоохранительные органы должны быть осведомлены, а клиенты должны знать, чего следует ожидать.
Как вы будете решать проблемы с клиентами? Этот вопрос имеет решающее значение. Клиенты теряют доверие к вам, если вы не можете защитить их данные. Если данные попадут в чужие руки, то чем вы сможете это компенсировать? Существуют различные способы решения данной проблемы. Одним из примеров могут служить действия компании Home Depot после недавнего инцидента. После того, как у нее были похищены тысячи номеров банковских карт, компания объявила о том, что ее клиенты не будут нести ответственность за возможные убытки по мошенническим транзакциям, и даже предложила бесплатные услуги по защите личности пострадавших клиентов. Компания также сообщила об усилении защиты точек продаж, которые, по крайней мере, сейчас, полностью безопасны.
Ваш случай, конечно, может отличаться, но главное, чтобы ваши клиенты знали о том, что произошло, а также о том, что вы предприняли для исправления ситуации и предотвращения подобного инцидента, а также какого рода компенсации (если это предусмотрено) получат пострадавшие. Принятие окончательного решения – дело руководителей, но администраторы должны продумать некоторые идеи, чтобы иметь возможность действовать быстро.
Сделайте это сейчас
То, что утечка данных обойдется вам дорого и нанесет ущерб репутации компании – неумолимый факт. Заблаговременное принятие всевозможных мер, чтобы ее избежать – неотъемлемая часть любого бизнес-плана. Потратьте некоторое время, чтобы продумать план реагирования, и сделайте все, что в ваших силах, для обеспечения максимальной сохранности вверенных вам данных. Если повезет, то вам вообще никогда не придется пустить ваш план реагирования в ход.