25 мая 2018 г.
Входим в зону множества рисков
Генеральный регламент о защите персональных данных (General Data Protection Regulation, GDPR) был принят Евросоюзом в апреле 2016 года и вступает в силу в эту пятницу (25.05.18). Он имеет целью предоставить всем, проживающим в ЕС, больше контроля за тем, как используются их персональные данные.
Немедленное уведомление о взломе, требование взять под контроль неструктурированные данные и соблюдение права пользователей на забвение, а также защита от недолжного использования — вот лишь некоторые из тех значительных препятствий, которые должны будут преодолеть все компании, чтобы обеспечить соблюдение GDPR.
Согласно положениям Регламента, организации могут обнаружить, что они попали под проверку как часть цепочки поставок другой компании, или, возможно, им придется иметь дело с последствиями попытки скрыть инцидент, о которой стало известно публике. Также, у организаций растет желание считать все данные о клиентах, которыми они располагают, «критически важными» для их бизнеса.
CRN/США указывает главные риски, с которыми столкнутся компании в результате принятия GDPR, — от невозможности быстро удалить данные о клиентах до необходимости сразу заявить о взломе, даже еще не зная его масштаба. В этом рассмотрении редакции помогут руководители и технические специалисты десяти компаний — вендоров и поставщиков решений.
1. Аудит компании как участника цепочки поставок европейского вендора
Самый ближайший риск, связанный с GDPR, это когда проводится аудит компании из-за того, что она является частью цепочки поставок европейской компании, говорит Крис Кох (Chris Koch), директор по продажам через канал в регионе Северной Америки компании Forcepoint (Остин, шт. Техас).
Если компания не может продемонстрировать специально введенные меры конфиденциальности и что действуют надлежащие меры контроля, то она рискует быть изгнанной из цепочки поставок, поскольку она ставит под удар другую компанию, что та не соблюдает требования GDPR, пояснил Кох.
Если компания не проведет аудит своей цепочки поставок, и произошел взлом, который начался с одного из ее поставщиков, она всё еще находится под угрозой штрафа, говорит Кох.
2. Стирание данных может использоваться для сокрытия преступлений
Пользователи, просящие уничтожить их данные, могут на самом деле скрывать свидетельства против себя или же данные, которые потенциально могут быть использованы для их разоблачения в будущем, если они совершат что-то противоправное, говорит Мори Хабер (Morey Haber), директор по технологии компании BeyondTrust из Финикса.
Если кто-то будет методично просить компании уничтожить информацию о нем, совершив то или иное преступление, это может привести к стиранию цифровых свидетельств, необходимых для установления личности правонарушителя и его судебного преследования, говорит Хабер.
«Если данных нет, это затруднит работу полиции и правоохранительных органов», — сказал он.
Организациям нужно разрешить хранить информацию о местонахождении, записи с телефонов, данные для возможного расследования либо тот или иной документальный след, чтобы правоохранительные органы могли извлечь какую-то информацию, если это будет необходимо, считает он.
3. Необходимость быстро удалить данные клиентов
Возможность удалить данные из учетной записи или вовсе удалить аккаунт по требованию пользователя будет трудной задачей для организаций, говорит Ник Кейли (Nick Caley), вице-президент по финансовым услугам компании ForgeRock из Сан-Франциско.
После взлома будет лавина обращений пользователей с требованием удалить их данные, что очень трудно сделать, поскольку сама компания также должна оправиться после кибератаки, говорит Кейли. Этот процесс займет много времени и будет осуществляться вручную, если всё не было заранее автоматизировано, сказал он.
Компании могут автоматизировать управление мастер-данными, синхронизировав персональные данные в одну главную запись идентификации, говорит Кейли. Это намного упростит удаление пользовательских данных в самые короткие сроки, сказал он.
4. Стремление считать все данные «критически важными» для бизнеса
Компании будут пытаться противостоять запросам на удаление информации, позволяющей установить личность пользователя, считая ее важной для соблюдения нормативно-правовых требований и долгосрочной устойчивости бизнеса, говорит Дерек Смолл (Derek Small), учредитель и главный управляющий компании Nulli Identity Management (Калгари, Канада).
Такие компании будут утверждать, что данные пользователя защищены, поскольку они зашифрованы, сказал он.
Организации, ведущие бизнес в Евросоюзе, скорее всего, будут в рамках новых требований, говорит Смолл, но всё будет гораздо хуже, когда они попытаются применить те же процедуры к своему бизнесу в США, Канаде и других странах за пределами Европы.
5. Требование немедленно заявить о взломе
Как только возникает подозрение, что случилось что-то плохое, организациям свойственно «закрыться от мира», чтобы понять масштаб проблемы, прежде чем публично объявить об этом, говорит Пол Трулав (Paul Trulove), директор по разработке продуктов компании SailPoint (Остин, шт. Техас). В результате часто проходит много времени между обнаружением взлома и признанием этого, как внутри компании, так и публично, сказал он.
Он ожидает, что штрафы за несоблюдение GDPR чаще всего будут вызваны несоблюдением требования о своевременном раскрытии информации об инцидентах.
Организации могут ускорить свои возможности отклика, моделируя сценарии межподразделенческого реагирования и доводя до каждого, как они должны действовать, — от юридического и ИТ-отдела до маркетинга и связей с общественностью, говорит Трулав.
6. Уведомить о взломе в течение 72 часов
Раньше о взломах можно было молчать дольше, чем это возможно теперь, с принятием регламента GDPR, — целые месяцы, а то и годы, говорит Барри Скотт (Barry Scott), директор по технологии в регионе EMEA компании Centrify (Санта-Клара, шт. Калифорния). Теперь им придется заявить об этом гораздо быстрее.
«Это будет нечто новое — уведомить о взломе в течение 72 часов, — говорит Скотт. — И им будет весьма непросто сделать это».
Он полагает, что компании в первую очередь сосредоточат внимание на технологии предотвращения взломов, чтобы вообще не доводить до этого. Организации могут уменьшить вероятность атак, направив внимание на типичные схемы, такие как фишинг, введя для этого многофакторную аутентификацию и сводя к минимуму последствия любого взлома, который всё же случится, ограничив пользовательские права и полномочия администратора, говорит Скотт.
7. Не изучать происшедшее, а внедрять средства предотвращения атак
Средства отчетности зачастую вселяют чувство безопасности — что можно будет прокрутить всё назад, изучить и ликвидировать то плохое, что случилось, говорит Джеймин Патель (Jaimin Patel), директор по предоставлению ресурсов компании Imprivata (Лексингтон, шт. Массачусетс).
Но изучать следы взлома постфактум — это не то же самое, что сразу предотвратить доступ, который может нанести ущерб, говорит Патель. Упреждающий мониторинг крайне важен, чтобы знать, что происходит, — чтобы служба ИБ могла тут же принять меры, говорит он.
Средства управления идентификацией и доступом помогут компаниям вовремя принять меры, чтобы избежать взлома, напомнил Патель. Например, эти средства защиты могут потребовать дополнительную или многофакторную аутентификацию от врача, который находится вне клиники и запрашивает данные пациента, пояснил он.
8. Негативные последствия огласки
Некоторые фирмы в США успокаивают себя тем, что требования GDPR их не касаются, поскольку вопросы международной юрисдикции еще не проработаны, говорит Джереми Уитткоп (Jeremy Wittkop), директор по технологии компании InteliSecure (Гринвуд-Виллидж, шт. Колорадо). Они считают, что не могут быть привлечены к суду в Европе, так как зарегистрированы в Соединенных Штатах, говорит он.
Но Регламент дает право собирать и публиковать информацию о взломе, говорит Уитткоп. Поэтому компаниям нужно учитывать не только юридические последствия этого, но и публичный скандал из-за того, что были не соблюдены требования, сказал он.
9. Знать, кто имеет доступ к закрытой информации
Организации должны выяснить, насколько они уязвимы, и усилить меры защиты, чтобы доступ мог получить лишь тот, кто нужно, и в отведенное время, говорит Нупур Гойал (Nupur Goyal), менеджер по маркетингу продуктов компании Duo Security (Анн-Арбор, шт. Мичиган).
Сегодня, говорит Гойал, многие организации даже не знают, сколько устройств без должного управления имеют доступ к их информации и сколько людей используют свои полномочия для доступа к определенным приложениям.
Это действительно важно — знать, кто имеет доступ к какой информации, говорит Гойал. Компаниям следует рассматривать GDPR как возможность ввести контроль и ограничить доступ тех, кто не нуждается в использовании тех или иных приложений, считает он.
10. Защитить все свои неструктурированные данные
Организации Северной Америки направили свои усилия по соблюдению GDPR прежде всего на системы типа Salesforce и другие, работающие со структурированными массивами данных, говорит Дейв Пакер (Dave Packer), вице-президент по маркетингу продуктов и альянсам компании Druva (Саннивейл, шт. Калифорния). Но на самом деле компании держат у себя информацию из множества источников неструктурированных данных, говорит он.
Каких-нибудь пять лет назад, говорит Пакер, сотрудники хранили корпоративные данные локально на своих компьютерах либо использовали общие файлы и папки на сервере компании. Сегодня все поголовно используют Box, Salesforce, Google, Office 365 или другие сторонние приложения и хранилища, что создает большую дыру потенциальной утечки.
И это создает трудности в соблюдении Регламента, поскольку неструктурированные данные рассредоточены на гораздо большей территории, говорит Пакер. Результат тот, что ИТ-компании не в состоянии «взять под крыло» все данные, хотя GDPR возлагает на них ответственность за это, заключил он.
© 2018. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Майкл Новинсон, CRN/США