| Данные, собираемые провайдерами гео-информационных сервисов и другими компаниями, аккумулирующими персональные сведения, представляют собой гигантское поле для злоупотреблений, которым необходимо противостоять. Пять базовых факторов для беспокойства в ближайшие два года определила компания Gartner. |
Нарушения целостности данных, облачные вычисления, геосервисы и перемены в законодательстве заставят практически все организации рассмотреть, а половину всех организаций - провести ревизию своей политики конфиденциальности до конца года 2012 года. Так считают эксперты Gartner. По мнению аналитиков, в течение последующих двух лет эти вопросы будут доминирующими в повестке дня сотрудников служб защиты информации.
Карстен Каспер (Carsten Casper), директор по исследованиям компании Gartner, сообщил, что в 2010 году компании столкнулись с новыми угрозами в отношении конфиденциальных и личных данных, в то время как бюджеты защиты конфиденциальности оставались недостаточными. «На протяжении 2011 и 2012 годов программы защиты конфиденциальности по-прежнему останутся недофинасированными, требующими от сотрудников по защите информации создания и поддержания прочных взаимосвязей с советом компании, командами HR, ИТ-безопасности, системными администраторами и разработчиками приложений. Будут преимуществом и сложившиеся отношения с регулирующими органами, сообществом защиты конфиденциальной информации», - сказал он.
Gartner определила пять основных аспектов, которым сотрудники по защите информации должны уделить особое внимание в 2011 и 2012 годах:
1. Нарушения доступа к данным будут главной заботой
Нарушения доступа к данным находятся вверху списка приоритетов, но подготовка и последующие меры по предотвращению нарушений просты. Большинство элементов контроля сработает в любом случае, если управление безопасностью работает верно.
Компании должны структурировать личную информацию, ограничить доступ к ней, шифровать данные при передаче их через открытые сети, шифровать данные на портативных устройствах, а также шифровать данные в хранилище - для защиты от пользователей, которым дано слишком много привилегий, от уволенных администраторов и от хакеров. Нужно рассмотреть механизмы предотвращения утечек данных, применение жетонов (tokens), маскирование данных и инструменты управления конфиденциальной информацией.
2. Геосервисы невообразимо эксплуатируют личные данные
Информация о местоположении пользователя может быть получена из GPS-источников, ближайшей вышки сотовой связи, из точек беспроводного доступа (Wi-Fi), внутренней информации о расположении, скорости, высоте, смарт-идентификаторах и IP-адресах. Не всякая компания работает с системами геолокации, но эта сфера быстро развивается, и определенный метод обработки может внезапно вырасти в скандал о нарушении конфиденциальности (как например, оказалось, что смартфоны хранят информацию о местонахождении пользователя в большем, чем ожидалось, объеме).
Многие провайдеры таких сервисов все еще находятся в стадии «сбора» информации, а не «использования». Они получают огромное количество данных, зачастую не имея четкого плана - что с ней делать. Это нарушает фундаментальный принцип конфиденциальности: собирайте информацию только для тех целей, для которых она необходима.
3. Облачные вычисления усложняют традиционную правовую и техническую защиту
Облачные вычисления и конфиденциальность в разногласиях с самого начала. Законы, применяемые для защиты конфиденциальности в «облаке» в одной стране, не работают в другой. Организациям следует заострить внимание на месте нахождения провайдера, а не физического местоположения его ЦОД.
Бывают и другие случаи, когда конфиденциальная информация компании не должна покинуть страну (например, когда это относится к контролю над экспортом или национальной безопасности), но в большинстве случаев и при обычных условиях в стране хранения не является обязательным соблюдение конфиденциальности. В некоторых случаях будет достаточно, чтобы личные данные не хранились на территории конкретной страны, известной своими нарушениями в отношении конфиденциальности информации.
4. Значимость конфиденциальности определяет необходимость защиты, но рассчитать это трудно
Стоимость конфиденциальной и персональной информации невозможно определить в отрыве от контекста. Личная информация трудна для оценки ее значимости или конфиденциальности. Скорее, это зависит от того, как обрабатываются данные. Не существует правильной или неправильной защиты. Поиск баланса между «не достаточно» защищенности и «чересчур» - непрерывный процесс. Требования законодательства здесь являются плохим руководством, поскольку на несколько лет тормозят технические инновации и культурный обмен.
5. Неизбежные и происходящие изменения в законах
Нормативные изменения не должны отвлекать сотрудников по защите информации от следования своей стратегии, потому что большинство законодательных инициатив имеет лишь средне- и долгосрочный эффект. При отсутствии каких-либо конкретных законов или нормативных актов компаниям необходимо интерпретировать существующее общее законодательство о конфиденциальности данных применительно к новым технологиям, таким как интеллектуальные счетчики, внутреннее позиционирование, распознавание лиц на смартфонах, связанное с фотографиями в базах данных, локаторами транспортных средств и устройств, обнаружение присутствия, сканеры человека и другим.