Как украинским компаниям защитить данные клиентов от утечек?

08.09.2018 14:40

Как украинским компаниям защитить данные клиентов от утечек?

После вступления в силу в мае этого года Генерального регламента о защите персональных данных (GDPR) наши компании все чаще начали задумываться о том, как защитить данные своих клиентов. Хоть Украина и не является частью ЕС, нашему бизнесу все равно в ближайшее время придется внедрять стандарты регламента.

Как же защитить информацию о своих клиентах от утечки, какие технологии использовать для этого и чего компаниям требовать от своих служб ИТ-безопасности? Согласно принципам GDPR, главными факторами обработки персональных данных клиентов являются конфиденциальность, целостность, доступность, наблюдаемость. Каким же образом компаниям обеспечить все эти ключевые факторы? Хорошая новость заключается в том, что в большинстве компаний уже работают системы защиты информации, которые можно просто правильно настроить для выполнения требований GDPR.

Для начала давайте разберемся в том, где именно и в каком виде сохраняются персональные клиентские данные? Неактивные, то есть архивные данные, как правило, хранятся в резервных копиях, базах данных, архивах. Доступ к ним имеют администраторы информационных систем и баз данных компаний. С точки зрения вероятности утечки данных, самый большой риск — это резервные копии документов. Для минимизации угроз в этом направлении компаниям нужно обязательно покупать лицензии на шифрование резервных копий при их создании.

Для защиты от хищения данных инсайдерами нужно использовать фаейрвол для внутренней сети. Еще одно средство — "маскировка" части информации о клиенте. Если сотруднику, например, администратору базы клиентов, не нужно видеть для работы, например, номер банковской карты, для него он будет скрыт.

Что касается данных, которые используются и обновляются, то это, как правило, – изменяемая и дополняемая информация о клиентах в базах данных и приложениях. Работают с ними в основном, администраторы и аналитики, но доступ к ним могут иметь также другие сотрудники компании и даже потребители услуг или продуктов компании. Главная угроза здесь – авторизованный или неавторизованный доступ. То есть, масштабную утечку могут спровоцировать как инсайдеры, так и внешние хакеры, имитирующие администраторов или сотрудников вашего бизнеса.

Минимизировать угрозу здесь позволяют такие классы приложений, как Database Firewall или Web Application Firewalls, а также маскировка данных. Например, можно использовать такое средство как псевдоанонимизация — замена ID физлица и его имени генерируемым кодом, к которому привязываются данные.

Что касается данных в движении — это информация в момент, когда она передается по локальным или глобальным сетям. Доступ к ним имеют администраторы, сотрудники компании, потребители и провайдеры. Утечку в этом случае может предотвратить шифрование сессий при работе с данными. Компаниям также нужно использовать
правильные сертификаты сайтов удостоверяющие подлинность организации или компании. В случае с данными в движении также обязательно нужно блокировать съемные носители информации (флешки или внешние диски) и контролировать доступ сотрудников к копиям документов и архивам.

Источник

Читайте также