В феврале этого года в Университете Мэриленда узнали на собственной шкуре, что хранение данных может обойтись дороже, чем кажется. После успешного взлома и кражи 287 000 студенческих записей университет выложил 5 миллионов долларов на оплату услуг кредитного мониторинга для каждого пострадавшего. Хуже всего то, что вузу требовались лишь 63 000 из этих записей. После инцидента в университете смогли удалить 78% имевшихся данных, но это не помогло: Университет по-прежнему несет ответственность за то, что личные данные всех тех людей попали в чужие руки. Так какие уроки могут извлечь из этой истории другие организации?
Прежде всего, мы должны пересмотреть методы решения проблемы хранения данных за последние десять лет.
На данный момент уже в течение некоторого времени стоимость хранения данных остается достаточно низкой, так что перед нами больше не стоит трудный выбор того, что нужно удалить. Стало предпочтительнее сохранять любые данные, которые потенциально могут пригодиться когда-нибудь, и по мере совершенствования технологий маркетинга накапливается больше данных PII (личной идентификационной информации), чем когда-либо прежде.
Однако, когда по умолчанию решено хранить данные, а не удалять, компания, вероятно, не принимает во внимание все затраты на обеспечение информационной безопасности. В то время как каждый ИТ-специалист знает, что кибербезопасность – штука дорогая, довольно редко вспоминают о стоимости ответственности при утечке PII. Маловероятно, что большинство маркетинговых подразделений, в первую очередь, ответственных за сбор данных, учитывают такой риск в процессе принятия решений. Наиболее вероятная причина того, что в Университете Мэриленда хранились лишние PII, заключается либо в том, что кто-то заключил, будто нет оснований отказываться от этих данных, либо никто не принимал никакого решения вообще. Данные накапливались в течение долгого времени, а риски, связанные с их защитой, не переоценивались.
Пора пересмотреть принципы хранения данных и внедрить обучение основам кибербезопасности, — @cjonsecurity
Tweet
Пора пересмотреть нашу позицию в отношении хранения данных, и в процессе, возможно, внедрить обязательное обучение основам кибербезопасности. Один из выходов заключается в соблюдении трех аспектов при принятии компанией каждого решения о хранении данных (по крайней мере, в том, что касается PII или ценных секретов). Вот эти три аспекта:
- Чистить
- Вывести в оффлайн
- Защищать
Чистка является единственным аспектом, который ничего не стоит, поэтому ее всегда следует иметь в виду. Во втором случае лучшим решением будет рассмотреть вопрос о целесообразности хранения данных в оффлайне. При отсутствии активного сетевого или интернет-доступа к данным это может быть отличным решением для критичной информации. Если владельцы данных настаивают на их сетевой доступности, они, по крайней мере, должны осознавать связанный с этим риск. И когда для защиты информации требуются дополнительные (дорогие) меры безопасности, можно даже возложить эти расходы на самих владельцев данных.
Конечно, подобный более жесткий подход может оказаться трудно воплотить в отделах продаж и маркетинга (как правило, эти организации наиболее агрессивно собирают PII). Для того чтобы приучить их к порядку как можно скорее, ИТ-отдел может рассылать следующее уведомление о ценных данных, которые активно не используются:
Уведомление о чистке данных
Если меры не будут приняты в течение 30 дней, ИТ-отдел будет считать приведенные ниже данные более не нужными и удалит их. Как вы знаете, компания несет значительные расходы в связи с хранением таких данных. Затраты на защиту данных и на потенциальную юридическую ответственность за сохранение ненужных данных [которые могут быть украдены] требуют, чтобы компания занимала активную позицию в вопросе сокращения издержек и удаляла всю лишнюю информацию.
Затем, в зависимости от реакции, следует предложить вариант с выводом данных в оффлайн. Даже если будет решено продолжать защищать данные в доступном формате, весь этот диалог уже является шагом в верном направлении. То есть туда, где не только ИТ-отделы берут на себя больше ответственности за уровень рисков, которым они ежедневно и беспечно подвергают компанию, а ИТ-специалисты продолжают за все это отвечать в полной мере.
Синтия Джеймс, Глобальный директор по развитию бизнеса, CISSP, в апреле делала доклад об утечке в Университете Мэриленда «Выводы из взломов вузов» на конференции ISOC для университетов штата Джорджии в Саванне.