За последние 10 лет данные стали не просто информацией, а ценным активном. Многие бизнесы строятся на основе данных, а некоторые разрушаются из-за их утери. Персональные данные клиентов, аналитика, отчеты о финансовых операциях и многое другое – все это ценится не меньше денег.

Да, вокруг стало очень много информационного «мусора», но даже среди сложно идентифицируемых данных опытный киберпреступник сможет найти настоящий клад. Развитие информационных технологий идет быстро, новая информация появляется и обрабатывается каждую секунду. Часто, компании просто не успевают отделять «зерна» от «плевел» и, соответственно, отправляют в свободное плаванье чувствительные данные, например, личные адреса клиентов, куда они заказывали доставку товара.

Большинство компаний уже научились собирать данные, некоторые из них – обрабатывать, меньшее число – анализировать, а вот защищать – далеко не все.

В этой статье мы расскажем, какие данные считаются чувствительными, как их защищать и какие главные ошибки допускаются при работе с чувствительными данными.

Чем отличаются обычные данные от чувствительных?

После того как на рынке появилась тенденция собирать данные, компании занялись этим вплотную. Это дает много возможностей для роста, расширения и оптимизации бизнеса, а также для вывода новых услуг на рынок. Так, например, анализируя поведение клиентов, можно предлагать им необходимые товары в самое удачное время. Или, элементарно, зная дни рождения клиентов, присылать купон на скидку в подарок, тем самым мотивируя совершить новую покупку. Возможностей много и все они произрастают из абсолютно разного вида данных.

Именно поэтому бизнес собирает данные еще до того, как будет знать зачем их использовать. Собирает на всякий случай. Точно так же не всегда получается сразу определить степень важности данных и уровень защиты необходимый им. Кто-то в таком случае выбирает путь перестраховки и априори хранит данные под надежной защитой, а кто-то оставляет их в открытом доступе, тем самым подвергая их риску.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Если очень коротко – то обычные данные можно легко восстановить и не жалко потерять. За их потерю никто не понесет наказания или убытков. А вот, под термином чувствительные данные может уже скрываться все что угодно. Сам термин sensitive data пришел из английского языка и фактически означает конфиденциальную информацию. А вот что под нее попадает, уже определяет внутри себя каждая организация самостоятельно. Отсюда следует простой вывод: обычную информацию можно и не защищать, а вот любую чувствительную информацию надо или, в отдельных случаях, предусмотренных законом, необходимо защищать.

Чувствительные данные или нет можно определить, задавшись вопросом – что будет, если их украдут? Есть два варианта развития событий. Не будет ничего – значит данные не относятся к чувствительным. Преступник, прямым или косвенным образом может навредить бизнесу или клиентам. Например, украв личные данные, ФИО и телефоны, опубликовать их в сети, ударить по репутации компании. Или, украв данные человека – его адрес, покупательские привычки и, например, дату рождения, подготовить атаку на основе социальной инженерии.

Иван Король

Разработчик ПО Anwork

По сути, главное отличие – в уровне ответственности и последствиях, если данные утекли или их украли. Когда пользователь пересылает знакомым кулинарный рецепт – это не несет рисков, а вот фотография паспорта уже может использоваться не в интересах владельца. Следует напомнить, что любые гаджеты, собирают всю информацию о пользователях. Поэтому для хранения и передачи чувствительных данных лучше использовать специализированные решения для общения и передачи с функциями шифрования, защиты от взломов или вообще не требующие регистрации с помощью персональных данных.

К чувствительным данным относится информация, которая в перспективе может навредить ее владельцу. Для обычных людей чаще всего это персональные и финансовые данные, медицинские сведения, данные об отношениях с другими людьми и графические материалы личного характера, а также данные о предпочтениях. Для бизнеса – внутренние коммерческие показатели, базы клиентов и сотрудников, конфиденциальные документы, анализы рынка и так далее.

Как понять, что данные чувствительные

Кража или раскрытие чувствительных данных нарушает конфиденциальность клиентов компании, приводит к финансовым потерям, и даже может поставить под угрозу безопасность организации. Именно поэтому очень важно отделять чувствительные персональные данные от обычных. Для этого надо произвести классификацию данных и анализ рисков. Это может включать оценку потенциального ущерба в случае утечки данных, а также оценку законодательных требований в отношении конкретных типов данных.

Владислав Иванов

Ведущий эксперт сервиса аналитики и оценки цифровых угроз ETHIC компании Infosecurity a Softline company

Компании могут понять, какие данные чувствительны для клиентов, проводя анализ рисков. Это может включать оценку потенциального ущерба в случае утечки данных, а также оценку законодательных требований в отношении конкретных типов данных. Проще говоря, при оценке потенциального ущерба задают следующие вопросы: "Что произойдет, если данные утекут? Как это повлияет на репутацию компании и ее клиентов? Какие финансовые потери может понести компания? Как утечка отразится на доверии клиентов?".

По большому счету, то, что относиться к конфиденциальной информации и персональным данным должно быть защищено. Но на этом работа с определением типа данных не заканчивается. Например, коммерческую тайну можно защищать по 21 приказу или по своему усмотрению, а вот персональные данные надо классифицировать и защищать по закону.

Дмитрий Зыков

Эксперт юридической практики «Технологии Доверия» (ТеДо)

Для того, чтобы компаниям понять, какие данные для клиентов могут быть чувствительными, следует обратиться, в первую очередь, к нормам ст. 10 и 11 Федерального закона «О персональных данных». Однако если смотреть на вопрос шире, к чувствительным данным следует относить не только персональные данные как таковые, но и сведения, относящиеся к другим видам конфиденциальной информации – так называемых «тайн». Существуют такие понятия, как врачебная тайна, банковская тайна, тайна связи и другие. Безусловно, они в значительной степени могут содержать в себе и персональные данные, тем не менее, для них предусмотрено специальное регулирование, которое также следует учитывать компаниям в зависимости от специфики их деятельности.

Эксперты по информационной безопасности считают, что для определения чувствительных данных компании ИБ-отделу вместе с представителями разных отделов – бухгалтерии, юридического отдела, HR, маркетинга нужно сформировать правила, согласно которым можно будет идентифицировать чувствительную информацию. Главным ориентиром здесь будет потенциальный финансовый или репутационный ущерб от утечки информации.

Антон Ведерников

Руководитель отдела разработки и сопровождения сервисов информационной безопасности Selectel

В случае с персональными данными есть четкая процедура определения необходимого уровня защищенности данных в соответствии с Постановлением Правительства РФ от 01.11.2012 г. № 1119. На это влияет категория персональных данных, обрабатываемый объем и актуальные угрозы. Меры, которые необходимо реализовать для обеспечения безопасности, также закреплены в Приказе ФСТЭК России от 18.02.2013 г. № 21. Чем выше уровень защищенности, тем больше предъявляется требований к обеспечению безопасности данных. Это касается не только хранения, но и всей совокупности действий с ними, включая сбор, использование, передачу, уничтожение.

Правда, не всегда показатель потенциальной угрозы при утечке данных может быть объективен. Многие киберинциденты с применением социальной инженерии показывают, что даже безобидные на первый взгляд данные о человеке можно использовать для совершения преступления.

Основные ошибки при работе с чувствительными данными

В утечке чувствительных данных может быть виноват как бизнес, так и пользователи. Со стороны бизнес чаще всего причина в банальном несоблюдении правил информационной безопасности. Например, незащищенные корпоративные сети, работа на старых ОС или отсутствие антивирусной защиты. Со стороны пользователя – незнание правил кибергигиены и непонимание, какие данные могут быть чувствительными.

Распространенные ошибки, позволяющие утекать чувствительным данным:

• недостаточная защита паролей и учетных записей;
• отсутствие классификации данных в компании;
• неправильная настройка систем безопасности;
• отсутствие шифрования данных;
• сотрудники, не обученные правилам кибергигиены.

Никита Евгенов

Директор по развитию бизнеса компании RooX – разработчика решений для авторизации и аутентификации

Важно ещё учитывать, что с пользователей не снимается личная ответственность за распространение своих данных. Человек многое раскрывает о себе сам в соцсетях или на других ресурсах. Однако бизнес ответственен за сбор информации из разных источников и упорядочивание публичных данных пользователя в едином профиле. Таким образом, если такой профиль не должным образом защищен, компания уже выполнила большую часть работы за злоумышленника.

Кроме того, часто информация оказывается недооцененной как со стороны бизнеса, так и со стороны частных лиц. Так, например, человек может считать важными данные своего паспорта, но совершенно не придавать значение публикации в социальных сетях информации о состоянии своего здоровья.

Иван Дудоров 

Руководитель группы поддержки продаж CyberPeak

Наличие излишних привилегий к чувствительным данным – самая распространённая причина их утечки. Более того, утечки зачастую происходят с обычных файловых хранилищ в результате нахождения чувствительных данных в общем доступе или в доступе у ограниченного числа неавторизованных лиц.

Андрей Федоров

CEO Velter

Еще один фактор, способствующий утечкам — концепция BYOD (Bring your own device), когда сотрудники могут работать и получать доступ к корпоративным данным со своих личных устройств. Согласно исследованию Mobile Security Index от Verizon, 41% сотрудников имеют доступ к корпоративным системам со своего телефона и планшета. Уровень безопасности личных устройств обычно гораздо ниже, чем у рабочих, что позволяет хакерам проникнуть в корпоративную сеть через уязвимые девайсы работников. Чтобы избежать утечек через смартфоны сотрудников, можно использовать специальные экранирующие устройства, блокирующие радиосигналы мобильных гаджетов.

Как и в любом другом направлении информационной безопасности на первое место выходят элементарные меры. Так, не стоит забывать об обновлениях, своевременном обучении персонала правилам кибергигиены и использовании защитных программ.

Выводы

Тема чувствительных данных только набирает свои обороты, так как активно использовать персональные данные или данные компании для совершения преступлений злоумышленники научились только в последние годы. Как раз когда бизнес начала активно собирать данные и анализировать.

Для более крупных и развитых в вопросах информационных технологий компаний вопрос находиться на более высоком уровне решения, так как они уже научились не только анализировать и сегментировать данные, но и защищать их. Но здесь остается другая сторона медали – сами пользователи сервисов компаний. Они могут находиться в крайне низкой степени осведомленности по поводу ценности своих персональных данных и провоцировать утечки.