Что ни день, то очередная брешь в системе защиты данных. Редкая неделя в 2017 году проходила без сообщений о еще одной киберугрозе. Очередной жертвой стал сервис Uber — в ноябре компания признала компрометацию персональной информации 57 млн своих клиентов. Инцидент скрывался более года. И для тех организаций, которые все еще не уделяют достаточного внимания вопросам кибербезопасности, эта последняя атака должна стать тревожным знаком.
Uber не относится к числу компаний, вынужденных работать с унаследованными технологиями. Этот бренд — символ нынешнего цифрового века. А значит, с кражей информации могут столкнуться представители любой отрасли, такое может произойти с компанией любого размера — у 90% всех компаний, акции которых торгуются на бирже, уже обнаруживались те или иные бреши в системе кибербезопасности. Тем не менее достаточно серьезного отношения к киберугрозам мы пока с их стороны не видим.
Киберпреступность – прибыльный, процветающий бизнес, все чаще использующий те же самые технологические инструменты, что и самые инновационные предприятия. Компании больше не сомневаются в том, что их информация рано или поздно может быть скомпрометирована. Вопрос лишь в том, когда именно это произойдет.
В цифровой век мы сталкиваемся с новыми реалиями. И оставлять данные в незашифрованном виде – это сегодня недопустимая небрежность. Осталось выяснить, каких юридических последствий следует ждать компаниям, но, судя по реакции на признание Uber, сомневаться в решительном настрое клиентов не приходится.
Потребители все чаще задают вопрос, каким образом компании защищают свои (и их) данные, и достаточно ли они делают для этого. Подразумевается некое соглашение: «Если я предоставляю вам доступ к своей персональной информации, вы должны позаботиться о ней».
Брешь в системе защиты данных Uber еще раз доказывает, что одного лишь безопасного хранения данные мало – нужен способ сделать их бесполезными в том случае, если хакер все-таки доберется до них. Шифрование конфиденциальной информации должно стать обязательным.
В некоторых организациях такой порядок уже введен, но в целом это происходит пока слишком редко. Недавнее исследование Encryption Trends Study показало, что ключевое препятствие, мешающее шифрованию, для 55% организаций связано с местом размещения этих данных.
Особенно важно шифрование тем компаниям, в которых не проводится инвентаризация данных и не определяются их приоритеты. А между тем, по свидетельству 80% респондентов, наиболее опасные угрозы нарушения конфиденциальности данных возникают вследствие ошибок сотрудников.
Необходимость решения этих вопросов подтверждается мерами властей: на государственном уровне вводятся общенациональные схемы обнаружения брешей в системе защиты данных. Компаниям будет запрещено вести себя так, как Uber, скрывавшая утечку данных от пострадавших клиентов. Информация о брешах в системе кибербезопасности должна как можно быстрее становиться достоянием общественности.
Времени для самоуспокоения больше не осталось. Предприятиям, чтобы сохранить репутационное и финансовое спокойствие и следовать своим обязательствам, очень важно не только соответствовать минимальным стандартам построения надежной системы защиты, но и превосходить их.
Осознание руководством всех негативных последствий небрежного отношения к безопасности данных должно привести к радикальным переменам. Наше исследование показало, что за последние пять лет влияние ИТ-службы на стратегию шифрования данных сократилось вдвое, с 59% до 28%.
Одновременно степень влияния руководителей бизнес-подразделений выросла до 27%. А значит, ответственность за безопасность данных в конечном итоге должна от ИТ-службы перейти к совету директоров. В компании Thales уверены, что это правильная тенденция и позитивный шаг в нужном направлении.
Киберставки сегодня выше, чем когда-либо ранее, и продолжают расти. А поскольку многие компании по-прежнему плохо подготовлены к угрозам для данных, ответственность должна возлагаться на совет директоров, если, конечно, мы хотим, чтобы что-то изменилось. Определенные подвижки уже начались, но сделать предстоит еще очень многое.
Uber – не первая и не последняя компания, которой довелось столкнуться с брешами в системе защиты данных. Но если организации не хотят в следующий раз оказаться в таком же положении, им не следует оставаться в бездействии. На ошибках — пока что чужих — надо учиться.