Какво представлява изтичането на данни в днешния информационен свят? Статистики и добри практики за превенция

Знаете ли, че един на всеки трима човека, чиито данни са изтекли, става жертва на кражба на самоличността?

Списъкът е от над 2.7 милиарда кражби и включва изтичане на данни, събрани от различни източници, в т.ч. дори от различни репорти от пресата и главни новинарски статии. Изброени са различните методи, а хакерството е най-често срещаното сред тях.

Нарушаване на данни и изтичане на данни

Дефиниция: Изтичане на данни е, когато чувствителните данни са случайно изложени на достояние физически, на достояние в Интернет или под друга форма. Това може да се случи например при загуба на твърди дискове или лаптопи, при изхвърлянето им без да са заличени и изтрити данните преди това. В следствие на тези ситуации кибер престъпникът може да получи неоторизиран достъп до чувствителните данни без усилия.

Въпреки че термините “нарушаване на данните” и “изтичане на данни” често се използват взаимозаменяемо, това са два отделни типове експозиция на данни:

1.  Нарушение на данните е, когато успешната атака е в състояние да наруши целостта на чувствителна информация.
2. Изтичането на данни не изисква кибер атака. Обикновено произтича от лоши практики за сигурност на данните или случайно действие или бездействие от страна на дадено лице.

Причини за изтичане на данни

Повечето нарушения се наблюдават в Северна Америка. Счита се, че средната цена на нарушение на данните ще бъде над 150 милиона долара до 2020 г., като прогнозата за годишните разходи за целия свят ще бъде 2,1 трилиона долара.

В България, както знаете от обществено достъпната информация, също се случиха няколко събития, които ни поставиха въпроси по отношение на сигурността на съхранението и обработката на данните.

Добри практики за превенция – проследимост на целия процес

За да се предпази човек от изтичане на данни, процесът включва осигуряване на защита през цялото време на тяхното управление – от генерирането на данните до унищожаването им.

Това включва процеси по:

• Събиране на данните
• Обработка на данни
• Съхранение и достъп
• Управление
• Унищожение данните

Събиране и обработка на данни

За събиране на данните Регламент ЕС 2016/679 (GDPR) постави рамка, която значително съдейства за ограничаването на самоцелно събиране на данни. Събират се и се обработват единствено онези данни, които се отнасят към целта на тяхното събиране. (Чл. 5 EC Общ регламент относно защитата на данните)

• Например – при закупуване на автомобил, не е необходимо да се събират ваши биометрични данни, тъй като нямат отношение към покупката.

Съхранение и достъп

Процедурата по съхранение на данните започва от тяхното получаване. Например, за да осигурим, че знаем какви данни съхраняваме, проследяваме и документираме целия процес.

Управление

Информацията е жива материя и тя съществува, за да е полезна. Ако я държим “под ключ”, не ни върши работа. Затова е добре да се подсигури високо ниво на нейната защита и да се приложат различни контроли на достъпа – комбинация от физически механизми за защита и дигитални инструменти.

Например – при нас основна задача е да опазим физически архивните документи, когато са при нас, но да ги направим лесни за използване от хората, на които са им необходими в работата. Използваме софтуер за визуализация на архивни документи, който е с високо ниво на сигурност. Той позволява да преглеждате документите си, когато пожелаете и е връзката между това, което виждате, и физическото им местоположение в склада.

Освен споменатата защита, при доставка на документите прилагаме следния механизъм – ако го поискате в оригинал, документът ще бъде изваден от мястото му за съхранение. Това действие се документира, за да има проследимост на целия процес:

• кога е напуснал нашата база
• кога ви е доставен
• кога е върнат обратно

Служителите като заплаха за сигурността и как да се справите

Тук не става въпрос за целенасочена злонамереност от страна на човек от екипа. Неволни действия като оставена без надзор конфиденциална информация на широко достъпно място или неправилно унищожаване на данни, може да доведе до сериозни последици. Как да се предпазите?

Периодични обучения по сигурност на информацията

Това е най-добрият и ефективен начин да се въведат добри и устойчиви практики по отношение на сигурността на информацията. Създаването на модел, при който се елиминират оперативните пропуски, грешките в процеса и лошата осведоменост за киберсигурността:

1. Запознайте всички служители защо е важно да се поддържа високо ниво на информационна сигурност. Първоначални навици, които можете да изградите и започнете да практикувате още днес, са политиките за чисто работно място и чист екран. 
2. Защитен достъп до физическата информация – съхранявайте чувствителната информация заключена в чекмеджетата с ограничен достъп, раздробявайте хартиените документи, когато е необходимо, изхвърляйте информация в специални контейнери.
3. Унищожавайте правилно старите твърди дискове и други електронни носители.

Унищожението на информация като заключителен етап

Управлението на информацията приключва с унищожението на данните. Това е заключителен процес, но е един от най-често пренебрегваните, затова и именно там се случват най-големите пропуски в сигурността.

Събиране в специални контейнери за унищожение на информация

Един от най-ефективните начини за ограничение на разпространението на документи, които вече не са потребни, но съдържат чувствителна информация е “изхвърлянето им” в специален контейнер. Обикновено той е заключен, за да може единствено да се поставя информация там, но не и да се изважда.

• Доставка на контейнер – доставката на контейнер става с изпращане на заявка. Контейнерът може да ви бъде предоставен за ползване под наем и когато го напълните – нашите колеги идват и го заместват с нов.  Друг вариант е да поръчате такъв, когато искате да поставите информацията там.
•  Местоположение – съветваме контейнерите да стоят на места, където има висока вероятност за направа на копия по погрешка или струпване на информация, съдържаща чувствителна информация, но която няма да бъде потребна за в бъдеще (например до принтера в офиса).
• За справка за 3 месеца напълнихме контейнер с вместимост от 120 l.

Методи за унищожение на данни

Ако просто скъсате документ на парчета или счупите хард диск и CD, то не сте успели да унищожим данните.

Унищожение на документи

При нас тази процедура гарантира високо ниво на сигурност във всеки един етап. Вижте повече тук.

Унищожение на хардуерни устройства

При хард дискове процесът протича чрез заличаване на данните преди тяхното унищожаване. 

Заключителни думи

Думите „незащитени данни“ сякаш се повтаряха често през 2019 г. Има различни методи и е важно да намерим своя подход. Стъпките, които можем да предприемем не е необходимо, да са свързани с разходи. Бързи и лесни организационни мерки като поддържане на осъзнатост на персонала са изключително ефективни, дават добър старт и могат да бъдат надградени.

Източници:

1. https://www.identityforce.com/blog/2019-data-breaches
2. https://www.upguard.com/blog/data-leak
3. https://selfkey.org/data-breaches-in-2019/
4. https://www.cnet.com/news/2019-data-breach-hall-of-shame-these-were-the-biggest-data-breaches-of-the-year/
5. https://en.wikipedia.org/wiki/List_of_data_breaches