Самозащита ПД: дьявол кроется в деталях

Как говорят французы, дьявол кроется в деталях, и, конечно же, именно на разные мелочи и нужно обращать внимание, выбирая компанию, которой вы будете готовы доверить свои персональные данные. К сожалению, мелочи эти видны далеко не всегда, и часто даже идеальные, на первый взгляд, компании оказываются не идеальными в таких мелочах.

Конечно, первое, на что стоит обратить внимание – это допускала ли уже выбранная вами компания громкие утечки информации. Здесь вам помогут «Яндекс» или «Гугл»: введите запрос «утечка информации» и название компании. Если что-то было, то что-то обязательно и найдется. Правда, если ничего не нашлось, то это еще ничего не значит. Так вот, самое интересное, что лучше выбирать те компании, которые уже допускали утечки, и при этом смогли сохранить ведущее место в бизнесе. Значит, они научились на своем предыдущем горьком опыте, и шанс повторения неприятных инцидентов сравнительно невелик.

Второе – это обратите внимание на сайт компании (если он, конечно, есть). Если там нет раздела «Политика конфиденциальности» или какого-то похожего на него, то это серьезный повод задуматься о том, кому вы планируете отдавать свои конфиденциальные данные.

Кстати, не ленитесь задавать вопросы. Если в ответ на вопрос о том, как компания обеспечивает безопасность данных своих клиентов, вам говорят какие-то общие фразы, или вовсе сообщают, что вас это не должно касаться, вполне понятно, что такого оператора персональных данных лучше обходить за тридевять земель. Кстати, что интересно, хуже всего идут на контакт почему-то именно банки и страховые компании, которые всегда отделываются скупым замечанием, что «это работа отдела информационной безопасности», в то время как, например, транспортные компании готовы рассказать чуть ли не о версиях применяемого ими защитного программного обеспечения.

Каким должен быть «хороший» ответ на такой вопрос? Во-первых, за безопасность в компании, как минимум, кто-то должен отвечать. Если там не могут найти того, кто готов вам помочь разобраться, то это тревожный сигнал. Во-вторых, компания должна, как минимум, знать, что такое закон «О персональных данных» и в какой мере он касается именно её. Ну, и в-третьих, она должна заранее сказать, какие из ваших персональных данных ей потребуются. Если ничего из этого не наблюдается, то ваш вывод для такой компании должен быть не очень утешительным…

Для компаний, у которых на сайте есть «кабинет пользователя» или что-то похожее на него, имеет смысл обратить внимание на то, каким образом этот «кабинет» реализован. Данные обязательно должны передаваться через защищенное соединение (протокол HTTPS). Если в кабинете осуществляются какие-либо операции с деньгами, то должна быть возможность включить авторизацию с помощью SMS, да и вообще, наличие многофакторной авторизации – это признак серьезного и надежного подхода к защите данных пользователя.

В общем-то, можно назвать еще несколько других, второстепенных, признаков того, что о ваших данных заботятся, но, думаю, суть вы и так уже уловили: если компания каким-либо образом занимается защитой персональных данных клиентов, то ей обычно есть что об этом сказать. Если же такие занятия ей чужды, то и сказать ей тоже обычно по этому поводу совершенно нечего.

Рекламный ад

Помните, мы не так давно уже обсуждали, что внимание маркетологов к нашим проблемам становится чересчур уж навязчивым? Так вот, оказывается, это всё еще цветочки по сравнению с тем, что нас ждет. А ждет нас самый что ни на есть натуральный рекламный ад, не побоюсь этого громкого слова.

Это забавно, но в последнем письме Google, направленном в Комиссию по ценным бумагам США (SEC), компания отмечает, что в будущем может заняться распространением рекламы на холодильниках, приборных панелях автомобилей, термостатах, очках, часах и других необычных для этого устройствах.
В Google отмечают, что с развитием технического прогресса определение «мобильный» постоянно расширяется и вполне может описывать буквально любую электронику, которая отличается от традиционных персональных компьютеров.
Отсюда
Как говорится, ни убавить, ни прибавить. Google, конечно, молодцы, что вовремя подсуетились, но всё это уже переходит все границы. Думаю, что если с помощью этой рекламы CTR подрастет хотя бы на 0,5%, то буквально всё, что может показывать рекламу, включая небольшие дисплеи холодильников, микроволновок, стиральных машин, будет достаточно быстро ею заполнено.
И вы знаете, я вижу в этом интересный вариант для бизнеса на поддерживающих ваше privacy устройствах. Этакий дауншифтинг: дорогие, просто премиальные холодильники, которые НЕ УМЕЮТ заказывать еду без вас. Не менее дорогие "стиралки", которые не будут рекламировать вам порошок и смягчитель воды. И далее в том же духе.
Понятно, что появление всего этого - вопрос не одного-двух, и даже, скорее всего, не пяти-семи лет, но в том, что такое предложение рано или поздно появится, я более чем уверен. Правда, каждого покупателя холодильника, не подключаемого к Сети, наверняка будут брать на заметку спецслужбы. И правильно, зачем это человеку такой холодильник? Может, он в нём собрался прятать трупы младенцев?..

Персональные данные: спасение утопающих - дело рук самих утопающих

Продолжим тему защиты персональных данных с точки зрения их субъекта, поднятую двумя постами ранее.

На первый взгляд кажется, что у субъекта персональных данных (то есть лица, к которому эти данные относятся) нет никакой возможности каким бы то ни было образом повлиять на судьбу своих данных, тем более, когда речь идет об их утечке. Потому что данные эти передаются и обрабатываются независимо от воли их субъекта, и утечки данных происходят обычно тоже совсем не по его вине.

И, тем не менее, всё-таки, возможность повлиять на судьбу своих персональных данных есть у каждого из нас. Ведь, в конце концов, каждый из нас во многих случаев сам выбирает своего оператора персональных данных, и поэтому тщательный отбор способен решить значительное число возможных проблем. Конечно, это возможно не во всех случаях, поскольку выбирать государственные органы, которые занимаются обработкой персональных данных, мы не можем. Зато можно отнестись ответственно с точки зрения информационной безопасности к выбору банка, медицинского центра, туроператора… Если какая-то из этих компаний из-за небрежности и халатности своих сотрудников допустит утечку данных, то вы можете потерять не только заметную сумму денег, но часто и много нервов, репутацию, а в исключительных случаях – даже жизнь. Поэтому аспект безопасности данных является ничуть не менее важным, чем профессионализм в основной сфере деятельности выбираемой организации.

Конечно, сегодня нет способов гарантированно защитить свои данные от утечки – на подобное могут претендовать разве что дауншифтеры, полностью отказавшиеся от множества современных благ цивилизации. И, тем не менее, можно, по крайней мере, существенно уменьшить вероятность утечки своих персональных данных из компании-оператора.

И всё-таки она... сидит

Я продолжаю отслеживать судьбу директрисы белорусской кондитерской фабрики, попавшейся на прослушке собственных сотрудников (мы об этом уже говорили, если помните). Так вот, есть новости. Директрису посадили. Чему, в принципе, зная белорусскую судебную систему, удивляться не приходится.
Суд определился с приговором бывшему директору фабрики «Слодыч» Татьяне Селих. Она на три года отправится в колонию общего режима. Помимо этого в течение пяти лет она не сможет работать на должностях, предусматривающих организационно-распорядительную деятельность.

Вопрос, зачем обвиняемая прослушивала своих сотрудников, остается открытым. Сама она утверждает, что хотела контролировать руководящий состав на предприятии и таким образом защитить его от коррупционных проявлений.
По версии защиты, оборудование покупалось за счет средств предприятия, так как старые телефонные аппараты на предприятии износились и подлежали замене.
Иного мнения придерживается одна из бывших сотрудников «Слодыча», которая была уволена гендиректором с должности инженера-технолога. По ее словам, Татьяна Селих желала избавиться от старого коллектива на предприятии и подслушивала работников, чтобы найти предлог для увольнения.
Отсюда
В общем-то, ситуация оказывается даже более интересной, чем я предполагал ранее, особенно если прав технолог. В общем-то, ни для кого не секрет, что и с помощью той же DLP-системы можно пособирать компромат практически на любого сотрудника, было бы, как говорится, желание. Но здесь всё же есть важное отличие: по тому, как вы настроили DLP-систему, всегда видно, что вы желаете найти. То есть, важное свойство DLP-системы - это её селективность в плане поиска информации, и именно этим она фундаментально отличается от систем прослушки телефона, которыми решили воспользоваться на белорусской кондитерской фабрике.
Хотя и версия о профилактике утечек информации тоже вполне себе жизнеспособна. Другое дело, что это, опять-таки, менее эффективно, чем DLP-система в современных условиях, даже на таком умеренно передовом предприятии, как кондитерская фабрика.

Покажите этот пост своим друзьям

Скорее всего, если вы читаете наш блог, то более-менее разбираетесь в ИБ, и вам этот пост будет не особо полезен. Но он будет архиважен для ваших друзей и родственников, не работающих в ИБ-сфере. Поэтому пошлите им его через соцсети или по почте. Потому что будет он о такой важной вещи, как персональные данные.
Их никто (ну, во всяком случае, в массовом масштабе и в России) не стремится охранять от чужих глаз. А зря, потому что это совсем не шутки, и законодатели совсем не зря обеспокоились тем, что защита персональных данных на просторах нашей родины находится не в самом лучшем состоянии.

Чем именно могут быть опасны утечки персональных данных для самого их обладателя, или, как говорят законодатели, субъекта? За примерами, к сожалению, далеко ходить не надо: ежедневно в новостях можно встретить сообщения о мошенниках, оформляющих кредиты на подставных лиц или получающих доступ к банковских счетам через «секретные вопросы» банков. Некоторые злоумышленники действуют более изобретательно: они составляют базы из таких данных, которые затем продают заинтересованным лицам. Сегодня такие базы используются, в основном, для рекламы, но бывают и менее приятные применения. Хотя даже в случае с рекламой вряд ли вам будут приятны бесконечные звонки рекламных агентов, которые получили ваш номер, скажем, из-за утечки базы вашей страховой компании, где вы значитесь важным клиентом? Ту же информацию могут использовать и квартирные воры, которые выбирают себе очередную жертву побогаче…

Представьте, что полученных каким-либо образом данных окажется достаточно, чтобы, скажем, оформить на ваше имя кредит. Вы будете удивлены и не очень обрадованы, когда за этим кредитом придут работники банка или, скорее, судебные исполнители. И даже если вам удастся доказать, что брали деньги не вы, массовые потери нервных клеток, которые, как известно, не восстанавливаются, вам всё равно обеспечены.

Так что не стоит легкомысленно относиться к утечкам персональной информации и думать, что они вас никогда не коснутся. По данным, собранным в ходе исследования компании SearchInform более 32% утечек связано с персональными данными. Поэтому вероятность пострадать в ходе одной из них, к сожалению, очень и очень высока.

Я буду говорить о защите своих ПД с точки зрения пользователя в следующих постах, так что оставайтесь, как говорится, с нами.

Откаты: неизбежное зло, или ИБ с ними все-таки должна бороться? Часть вторая

Стоит, пожалуй, также посмотреть на эту ситуацию и с обратной стороны, то есть, со стороны покупателя, а не продавца. Здесь уже в «откатах» ничего хорошего точно нет: за счет компании её не вполне добросовестный представитель поправляет собственное материальное положение, при чем не вполне законным способом. Очевидно, что компания терпит убытки и упускает возможность распоряжаться собственными средствами наиболее оптимальным образом. То есть, здесь «откат» уже представляется однозначно нежелательным явлением.

Каким образом работодатель может пресекать практику получения «откатов» собственными сотрудниками? Очевидно, что это задача отдела внутренней безопасности либо, если такой отдел есть, то отдела информационной безопасности. Поскольку сегодня большинство переговоров между специалистами по закупкам и продавцами (поставщиками услуг) идет посредством электронных каналов коммуникаций, то наиболее эффективным средством борьбы с «откатами» становится DLP-система – программный продукт, позволяющий анализировать весь входящий и исходящий трафик организации.

Большинство современных DLP-систем, имеющих нормальную поддержку русского языка (а это, как правило, системы российского производства) позволяют в автоматическом режиме определять наличие характерных для переговоров об «откатах» фраз и словосочетаний. Их наличие в почте, диалогах по ICQ и Skype и прочих сообщениях является поводом для проведения служебного расследования. Если такое расследование выявит, что схемы с «откатами» сотрудникам вашей компании имели место или планируются в будущем, то необходимо срочно применять меры – вплоть до увольнения провинившихся или даже их судебного преследования с целью причиненных ими компании убытков.

Впрочем, здесь тоже нужно не перегибать палку – если выяснится, что предложение, в итоге выбранное ответственным за заключение контракта, оказалось действительно выгодным для компании-покупателя, то можно и закрыть глаза на некоторые знаки внимания к этому сотруднику со стороны вашего контрагента.

Подводя итоги, можно сказать, что собственное отношение к «откатам» для чужих сотрудников компания должна выбрать самостоятельно. Единственное, что можно сказать с уверенностью, ‑ это то, что «откаты» не должны стать основой всего бизнеса. Ну, и если «откаты» дают вашим собственным сотрудникам, то самое время приобрести DLP-систему и поставить крест на этой порочной практике.