Защита личных данных
Современный уклад общества предполагает все более стремительную интеграцию новых технологий в рабочие и жизненные процессы.
Цифровизация давно не новость, а вот разрастание мета-вселенных и BIG DATA начиная с 2021 года уже не просто набирает свои обороты, а захватывает и наши жизнь и время. В периоды перехода от пост-капиталистического уклада к экономике, где ключевым ресурсом является цифровая информация, необходимо уделять особое время кибербезопасности.
Защита личных данных должна осуществляться не только на всех этапах рабочего процесса, но и стать обыденной привычкой. Если вы ведете свой бизнес, особенно в котором есть трансграничные вопросы, вам необходимо и действительно ценно будет добавить в штат сотрудников специалисты службы безопасности и Data Protection Officer, которые будут стоять на страже вашего спокойствия и нивелируют риски утечек информации, кибер-атак и нарушения законодательства о персональных данных, которые ставят под угрозу все бизнес-процессы вашей организации.
Лучшими практиками для бизнеса в сфере защиты информации по праву могут называться:
Создание тематических ЛНА, разработка политик BYOD (Bring Your Own Device);
Проведение аудитов и тестов на проникновение;
Обучение персонала, защита устройств, мониторинг и анализ логов, сетевой активности и анализ журналов событий для выявления аномалий;
Ограничение прав доступа к критически важной информации;
Соблюдение законодательства РФ и иных стран. Соответствие требованиям регулирующих органов и стандартов, таких как GDPR, PCI DSS и т.д;
Разработка плана реагирования на инциденты, случаи кибератак или утечек данных. Наиболее резонансными и известными даже для обывателя проблемами с безопасностью являются сейчас взломы аккаунтов, проходящие через активную деятельность телефонных мошенников.
В случаях с телефонными звонками очевидным является не доверять незнакомцам информацию о счетах в банке и паролях от аккаунтов, то при ведении бизнеса, сопряжённого с IT технологиями или просто с современными высоко мощностными ресурсами, все не так просто. Коммуникация как внутри инхаус-компаний, так и у малого бизнеса в целях амортизации расходов осуществляется через email.
В том числе заметим, что клиенты сейчас приходят в основном через email, что не всегда помогает качественно удостовериться в личности отправителя и в подлинности его намерений. Любой пользователь может с помощью специальных платформ создать или «арендовать» на непродолжительное время электронный адрес или телефонный номер для регистрации на сервисах, в том числе использовать их для Интернет- коммуникации. Идентифицировать пользователя, посмотреть личные документы на предмет достоверности, просто предварительно оценить своего клиента перед сотрудничеством поможет процедура KYC.
Именно поэтому рекомендуем не пренебрегать пополнением своей команды экспертами в этой области, такими как сотрудники службы безопасности и DPO, которые призваны защитить от хакерских атак и любых иных проблем с информацией организации.
Последнее время многие пользователи стали пользоваться VPN сервисами, не уделяя должного внимания своим персональным данным. Очевидно, что именно бесплатные сервисы как в виде приложений, так и сайты, питаются вашими персональными данными и контактной информацией. Делают они это не только с целью так называемого «прогрева» - таргет-инструментов, навязчивых рассылок и бесконечного потока рекламы, но и для формирования своей базы данных. Такое сгруппированное хранилище может быть продано или несанкционировано передано другим компаниям, которые захотят воспользоваться не только телефоном и почтой, но и информацией о ваших предпочтениях.
Полагаю, не многим понравится ощущать себя как на ладони в том смысле, что о вас будут знать не только поверхностные и общеизвестные вещи, которые вы сами дали Интернету, но и вкусы, желания и интимные моменты на основе поисковых запросов, корзины и избранного.
Не мало важным для кибербезопасности будет является контроль предоставляемой информации через добровольное согласие – прием тех самых cookies. Ставя галочку на против вежливой просьбы сайта, пользователи дают право отслеживать действия на сайте. Причем само отслеживание действий может показаться невинным, представляясь как бы контролем в синхронном режиме онлайн по аналогии с видеофиксацией городских улиц.
Сразу возникает добрая картинка, как охрана сидит на посту, отслеживает камеры, а сами записи хранятся на бобинах кассет и сжигаются через пару месяцев хранения. С любой Интернет-информацией все происходит иначе, бесследно и безвозвратно не пропадает ничего. Принимая cookies, невинное именуемые на сербских сайтах как «бисквитки», вы даете право не просто отслеживать ваши действия и геопозицию, но и осуществлять парсинг данных, сгруппировывать информацию и делать на ее базе выводы, вешать ярлыки на пользователя и его предпочтения. Надо понимать, что в Ваши cookies входят не только поверхностные данные о вашем имени и контактной информации, но и весь набор вашего виртуального облика: от личной информации, до логинов с паролями от всех аккаунтов пользователя и его sensitive data.
Защитится можно путем отказа предоставлять cookies и установления платного Ad Block на устройства или, если уже поздно, обратиться к администратору сайта или к компании с официальным заявлением об отзыве своего согласия на предоставление своих персональных данных. В том числе выработка культуры осознанного пребывания в Интернете, регулярная чистка cash, истории браузеров и регуляция cookies в том числе увеличит уровень киберзащищенности пользователей.
Последним трендом является борьба с так называемой «проблемой мертвых ящиков» и пустых криптокошельки. Технологически обусловлено, что в Интернет-пространстве ничего не «умирает»: не удаляется бесследно, не пропадает из пространства навсегда. Информация лишь поглощается подобно черным дырам С. Хокинга, но не исчезает бесследно. Чтобы по разным причинам избавиться от виртуального ресурса, на практике используется метод «удаления»: криптовалюта отсылается на кошелек, от которого нет пароля ни у кого (так предполагается), получается заброшенное хранилище. Однако, надо понимать, что сам (например) биткоин хранит информацию о всех транзакциях и адресатах, которые были с ним взаимосвязаны и технически, и юридически.
И поэтому отсылая по своей сути контейнер с информацией о Вас, которая по свойству и назначению блокчейн технологий является конфиденциальной, вы не удаляете его, а просто перемещаете в мета пространстве среди массива big data. Стоит ли говорить о том, что скоро начнется гонка на майнинг не самой криптовалюты, а паролей к некоторым известным «мертвым» кошелькам?
Остается только догадываться о масштабах и соблюдать меры безопасности, не пользуясь такого рода методами для избавления от виртуальных объектов.Учитывая сказанное выше, отличными рекомендациями и по улучшению безопасности личных данных стали бы:
- Штат специалистов: DPO, KYC специалисты, служба безопасности, compliance менеджеры.
- Использование сложные и уникальные пароли, антивирусы, бэкапы, резервные копии, шифрование данных, включение двухфакторной аутентификации на личных и рабочих технических средствах(2FA), осторожность к фишинговыми письмам.
- Апдейты ПО и БД, использование платных и лицензионных программ с «прозрачным» регулированием данных пользователей.
- Ограничения доступа к данным, предоставление информации только проверенным источникам и сервисам.
- Контроль за устройствами сотрудников и их действий в сети, получения доступов к коммерческой тайне и sensitive информации.
С неумолимо быстрым темпом роста технологий становится понятно, что с технологиями развиваются подобно мутации вирусов и методы их обхода с недобросовестным использованием. В любом случае на каждую хакерскую атаку и хитрый трюк, придуманы методы превентивного воздействия и контроля уровня безопасности в вашем бизнесе – и все благодаря непрерывному образованию команды и уверенных специалистов в сфере безопасности, персональных данных и комплаенса.
Инна Литтих
