Что нужно знать о шифровании информации и утечках данных
Недавно в СМИ появилось исследование, согласно которому больше половины российских предпринимателей не уверены в своей способности надёжно защитить собственные данные и данные своих клиентов.
О том, как обстоят дела в области защиты информации в компаниях и как снизить вероятность утечек, рассказывает Сергей Борисов, руководитель по информационной безопасности компании MANGO OFFICE.
Инфобезопасность: нормы и их соблюдение
Тот факт, что больше половины российских компаний не уверены в надёжности своей информационной защиты, тревожит, но не удивляет. До недавних пор компании и организации несли невысокую финансовую ответственность за утечки данных.
Законопроект об её повышении был согласован в Минцифры только недавно и сейчас ожидает рассмотрения и утверждения. В случае его одобрения штрафные санкции будут составлять порядка 1% годовой выручки, а в ряде случаев и более 1% (сейчас установлен порог в 500 тыс. рублей).
В странах, где подобные законодательные инициативы о защите персональных данных появились раньше, уровень уверенности компаний выше. В качестве примера можно привести Японию или США, где законы о материальной ответственности компаний за отсутствие защиты данных существуют уже давно. А в Европе действуют нормы GDPR – генерального регламента о защите персональных данных.
Возможно, принятие подобного закона в России поможет улучшить ситуацию, поскольку утечки чаще всего происходят из-за того, что компании не выполняют требований и рекомендаций собственных подразделений информационной безопасности. То есть дело, во-первых, в игнорировании требований, а во-вторых, в отсутствии необходимого набора мер в этой области.
Бывает, что в компании вовсе нет подразделения по инфобезопасности, которое наделено полномочиями влиять на выпускаемые продукты и на изменения ИТ-ландшафта.
Например, в продукте могут измениться компоненты, и какая-то его часть станет доступной извне. В результате злоумышленники могут получить прямой доступ к базам персональных данных.
Таких ситуаций в принципе не должно быть, но, если подразделение инфобезопасности не наделено полномочиями вносить изменения и устанавливать свои требования, риск утечек повышается.
Почему происходят утечки данных
Утечки провоцирует, в первую очередь, отсутствие так называемой цифровой гигиены в компании. Сюда относятся неправильное хранение информации, слабый контроль за доступом к данным, отсутствие обновлений систем.
Во-вторых, к утечкам приводят действия злоумышленников, которые пользуются выявляемыми уязвимостями, например, сканируют защиту внешних серверов и находят в ней слабые места. Чаще всего это следствие первой причины, то есть отсутствия цифровой гигиены, но действия злоумышленников (часто их называют хакерами) могут быть и целенаправленными.
На третьем месте – злоумышленные деяния со стороны сотрудников компании. На практике работники редко сливают массивы данных, а чаще совершают точечные кражи, к примеру, историй звонков между абонентами сотовой связи.
Всё зависит ещё и от сегмента, в котором работает компания. Так, у операторов сотовой связи фрод провоцирует утечки не реже, чем хакерские атаки, а иногда и вовсе выходит на первый план. А вот, например, на металлургическом комбинате внутренний фрод – редкость, его сотрудники вряд ли станут воровать базу.
Шифрование данных – один из способов частично нивелировать риски. Само по себе оно существует тысячелетия, а цифровое шифрование возникло с появлением первых вычислительных машин. С развитием компьютерной техники шифрование стало использоваться повсеместно, и теперь распространено достаточно широко.
Однако при этом компании редко его используют, и причин тому несколько. С одной стороны, оно может замедлять технологический процесс, влиять на производительность и требовать дополнительных вычислительных мощностей, что влечёт за собой определённые ограничения.
С другой стороны, шифрование зависит от требований регуляторов. У операторов связи оно не всегда входит в число обязательных мер, но может внедряться по запросу компании.
Например, компания MANGO OFFICE, подключая клиенту виртуальную АТС, по его запросу может опционально настроить шифрование звонков. В гибридной АТС, разработанной специально для компаний с высокими требованиями к информационной безопасности, используется шифрование по протоколам SRTP (Secure Real-time Transport Protocol) и TLS (Transport Layer Security).
В ретейле и банковском секторе шифрование обязательно используется при проведении транзакций, обеспечивающих взаимодействие с платёжными системами. В других случаях требования по шифрованию зависят от модели угроз, которую определяют операторы персональных данных.
Шифрование: настоящее и будущее
В настоящее время применяются два основных типа шифрования: симметричное и асимметричное. Главное отличие между ними в использовании ключей.
В симметричном для шифрования и дешифрования данных используется один ключ, который вводится на устройствах обоих собеседников. То есть ключ знают обе стороны, что можно считать некоторым недостатком. При асимметричном применяется два ключа, один из которых частный, другой – открытый. На практике второй тип шифрования встречается чаще.
Шифрование как таковое в простейшем виде присутствует в бизнесе практически повсеместно. В частности, многие компании используют в обязательном виде шифрование на уровне сайта там, где пользователь вводит логин и пароль. В иных ситуациях компания может отказаться от шифрования в виду стоимости его реализации.
Во-первых, оно предполагает затраты на покупку программных решений. Во-вторых, оно может влиять на скорость процессов и операций, в связи с чем необходимо инвестировать в более высокопроизводительное оборудование, которое способно обеспечить шифрование пропуска данных. В-третьих, его внедрение требует найма специалистов по криптографии, которые умеют работать с системами шифрования.
В будущем можно ожидать, что новые алгоритмы значительно повысят скорость шифрования. Все ждут появления квантовых компьютеров, производительность которых на порядок выше, чем у текущей микроэлектроники.
Вслед за этим придётся повышать надёжность алгоритмов шифрования, так как квантовые компьютеры за счёт высокой производительности смогут их быстро взламывать.
Пока же такой вопрос перед компаниями не стоит, они ищут инструменты для повышения уровня защиты данных? Например, могут сделать свою ИТ-инфраструктуру современнее за счёт комплексного внедрения средств защиты и шифрования, используя их не только в конкретном узле или в базе данных, а покрывая все уязвимые места.