Всего за несколько недель мы услышали признания самых разных организаций — от крупных университетов до национальной сети обувных магазинов, — что хакеры выкрали персональную информацию из их сети.
Розничные продавцы — это очевидная мишень для похитителей данных, однако любая компания, собирающая персональную информацию об отдельных людях, стоит перед той же угрозой.
Меня всегда поражало, сколько продавцов и работников сферы услуг требуют номер моей карточки соцобеспечения, который я отказываюсь сообщать. Я отказываюсь использовать этот номер также на моих водительских правах и карточке медстрахования. К сожалению, это приводит порой к тому, что моя страховка неожиданно отменяется, или к другой бумажной волоките, но предпочитаю эти небольшие неудобства. Они помогут избежать других, гораздо более крупных.
Один из моих коллег в CMP Channel Group стал жертвой кражи персональных данных. Ему потребовалось больше двух лет и несказанное количество личного времени, чтобы решить эту проблему.
Хотя неприятности, с которыми он столкнулся, могли быть следствием его собственной готовности слишком уж охотно делиться своей персональной информацией, более вероятно, что его данные были выкрадены и незаконно использованы кем-то, получившим их от кого-то еще, кто имел вполне законное право знать эту информацию, но не потрудился ее защитить.
Реальность в том, что персональная информация, например номер кредитной карточки или карточки соцобеспечения, подвергается риску не только из-за хакеров, которые вламываются в корпоративные сети. Ведь потенциальные похитители данных часто могут получить эту информацию, вовсе не орудуя через Интернет.
«Хакеры — как автомобильные воры, которые предпочитают красть незапертые машины, а не пытаются вломиться в ту, что на замке и имеет в придачу еще два охранных устройства, которые придется так или иначе обойти».
Готов держать пари: в какой-то момент некий предприимчивый адвокат наткнется на клиента, пострадавшего от кражи персональных данных и сможет доказать: она произошла потому, что некая корпорация не поставила достаточно замков на свою сеть. Когда это произойдет, адвокат найдет способ заставить корпорацию, не сумевшую как следует защитить данные, прилично раскошелиться.
Большинство ваших заказчиков, скорее всего, об этом даже не думают, а следовало бы. У вас здесь не только появляются дополнительные возможности продаж — по моему убеждению, вам необходимо донести до заказчиков, насколько важно защитить данные, которые они собирают.
Я не юрист, но назревает вопрос: кто же будет отвечать за все это?
Допустим, вы занимаетесь продажей и поддержкой у заказчика сети, содержащей персональные финансовые данные, будь то номера кредитных карточек или карточек соцобеспечения. Если эта сеть не защищена должным образом, кто несет ответственность? Если она защищена, но изобретательный хакер находит дырку в некой программе и крадет данные, кто несет ответственность?
Хакеры — как автомобильные воры, которые предпочитают красть незапертые машины, а не пытаются вломиться в ту, что на замке и имеет в придачу еще два охранных устройства, которые придется так или иначе обойти.
Заказчики, до которых удалось донести, что они могут избежать потенциальных проблем, просто приняв несколько дополнительных мер безопасности, с большой вероятностью так и поступят.
Если одно из таких будущих судебных дел приведет к судебному иску, и хранитель данных понесет ответственность за то, что не принял достаточно мер предосторожности, мы, несомненно, увидим всеобщее стремление к защите корпоративных сетей.
Теоретически любой, кто связан с нарушением безопасности, может стать субъектом иска — включая владельца сети, реселлера, который продал ее и установил, и вендоров, создавших продукты, которые вошли в состав решения.
Как бы то ни было, в таком случае лучшая защита в суде — это хорошая защита сети, построенная на основе многих мер безопасности, которая включает в себя не только проданные вами продукты, но и изучение бизнес-процессов, что в совокупности ограничивает доступ к данным.