Лидери в индустрията се свързаха с нас, за да предложат своите виждания за това как се променя работното място и какво означава това за поверителността на данните.
Променящото се работно място и новите технологии водят до промени в управлението на поверителността.
Avi Raichel, вицепрезидент в Zerto GTM, компания на Hewlett Packard Enterprise, разглежда риска и не вижда едно единствено решение:
„Денят за поверителност на данните служи като критично напомняне, че поверителността и защитата на данните са все по-предизвикателни въпроси и организациите нямат друг избор, освен да ги приемат сериозно. Рансъмуер атаките ще останат, тъй като продължават да нарастват както по обем, така и по тежест и тъй като киберпрестъпниците продължават да разработват нови и неочаквани методи за криптиране на данни. Изчислено е, че до 2031 г. се очаква ransomware да атакува бизнес, потребител или устройство на всеки две секунди.
„Според изследване на IDC 95,1% от организациите са претърпели злонамерени атаки през последните 12 месеца и 43% от тези организации са претърпели невъзстановима загуба на данни, което доказва опустошителните въздействия на ransomware и други кибератаки. Организациите трябва да разберат, че защитата на вашите данни от ransomware вече не е свързана с това дали можете да се възстановите, а по-скоро колко бързо можете да възстановите работата на бизнеса си.
„Тъй като нито едно решение не може да предложи защита от атаки на ransomware със 100% сигурност, наличието на решение за възстановяване след бедствие и архивиране, базирано на непрекъсната защита на данните (CDP), предлага на компаниите способността да бъдат устойчиви в лицето на потенциално катастрофални обстоятелства. Компаниите, използващи CDP, могат да възобновят работата си в мащаб за минути и да се възстановят до състояние няколко секунди преди атака. В крайна сметка непрекъснатата защита на данните ще върне властта в ръцете на подготвените организации.“
Джеф Биби, старши вицепрезидент на Малък и среден бизнес и потребителска стратегия в OpenText, смята, че е твърде лесно за организациите да пренебрегнат рисковете за данните, присъщи на споделянето на файлове:
„Друга обичайна дейност, която мнозина не смятат за рискована, е споделянето на файлове. Често, когато даден файл е твърде голям за безопасно споделяне по имейл, мнозина вместо това използват проста и удобна платформа за споделяне на файлове, която е част от текущия им работен процес като Google Drive, личен акаунт за споделяне на файлове като Box или просто изпращане на файловете през Zoom чат. Това води до повишен риск от злонамерен софтуер, хакване и загуба или излагане на чувствителна информация. Организациите трябва да подчертаят важността на сигурното споделяне на файлове със своите служители и да използват решения, които позволяват лесно и сигурно споделяне на файлове.
„Организациите трябва също така да си създадат навик да прилагат редовни одити на сигурността, за да идентифицират уязвимости и друго подозрително поведение, което им позволява да гарантират, че чувствителните данни се архивират рутинно. Архивирането на данни гарантира на фирмите и физическите лица достъп до текущи версии на критични данни и може да поддържа бизнеса в случай на атака.
Дистанционната работа, която все повече се превръща в норма по време на пандемията, също носи предизвикателства за поверителността на данните. Майк Ууд, CMO във Versa Networks, написа:
„След експлозивната промяна към подхода за работа от всяко място през последните няколко години, хората, технологиите и данните на организациите са разпръснати в неограничени местоположения по света. В съчетание с това е нашето непрекъснато нарастващо търсене да бъдем свързани с всичко и всички през цялото време, което доведе до натиск за нововъзникващи технологии като 5G и IoT. Въпреки бързото приемане на 5G, IoT и други нови технологии, тяхната популярност далеч надхвърля тяхната сигурност. Атаките от нулев ден са огромна заплаха за IoT и 5G приложенията. Нещо повече, 5G не е частна мрежа, така че когато IoT устройствата са свързани към нея, повърхността на атака се разширява и те и данните, които съхраняват, стават уязвими. За краткото време, през което 5G беше глобално разгърнато, то се превърна в естествен компонент на IoT устройствата и също така е в перфектната позиция да помогне за трансформирането на бизнес мрежите и взаимното свързване на инфраструктурни среди, независимо дали са локални, хибридни облачни или мулти-облак. Въпреки това, като пазар, той не е претърпял достатъчно изследвания, за да могат експертите да бъдат уверени в неговата сигурност. Въпреки че удобството, свързаността и гъвкавостта са ключови за текущата ни работна среда, същото трябва да бъде и сигурността на нашите устройства и поверителността на нашите данни.“
Доти Шиндлингер, изпълнителен директор, Diligent Institute, също посочи последиците от променящия се характер на работното място върху поверителността на данните:
„Днешното работно място вече не се ограничава до традиционни дефиниции или граници. Компаниите непрекъснато се адаптират към нови модели на работа и проучват иновативни начини да ги приспособят към нуждите на своята организация. Възприемането на инструменти за сътрудничество рязко нарасна, тъй като компаниите се опитват да осигурят че производителността и ефективността остават високи, независимо дали в отдалечена, в офиса или хибридна работна среда.
„Много от тези инструменти са решения с общо предназначение, които отговарят достатъчно добре на изискванията за комуникация и сътрудничество между служителите. Но те може да не са подходящи за най-горния слой на вашата организация - борда и ръководителите.
„Управителните съвети и ръководителите работят с информация, която често е силно чувствителна и следователно има по-високи разходи за разкриване. Помислете за репутационните, правните и финансовите последици, ако класифициран документ изтече, защото е бил споделен от ръководители на комуникационен инструмент с общо предназначение. Въздействието може да бъде катастрофално. Освен това неотдавнашните кибератаки подчертаха – не само за акционерите, но и за всички заинтересовани страни – значението на защитата на най-чувствителните данни на организацията. Инструментите за сътрудничество с общо предназначение не могат да предложат нивото на защита, което очакват заинтересованите страни.
„Организациите се нуждаят от защитени среди и работни потоци, които позволяват на борда и ръководителите да комуникират безопасно изключително чувствителна информация, без да се притесняват, че тя може случайно да бъде погрешно насочена, препратена, изтекла или дори открадната. И системата трябва да бъде интуитивна и удобна, така че ръководителите да останат в нейните работни потоци и процеси, без да се отклоняват към други системи и да създават пропуски в сигурността."
Чад Макдоналд, началник на персонала и CISO на Radiant Logic, смята, че разрастването допринася за предизвикателството на защитата на самоличността:
„Тъй като броят на кибератаките значително нараства по време на пандемията, организациите трябва да въведат мерки, които могат да спрат разрастването на самоличността, като гарантират, че имат единен глобален профил, който има всички атрибути на потребител, независимо от източника, в който се намира. Организации които не успяват да управляват данните за самоличност, ще пострадат от допълнителни нарушения на данните, тъй като участниците в заплахата знаят, че данните не са защитени и лесни за хващане. Въпреки че това звучи като сложен проблем за решаване, може лесно да се направи благодарение на Identity Data Fabric.“
Райън Ейбрахам, виртуален CISO на Wisetail, написа, за да привлече вниманието към конкретната отговорност, която професионалистите по човешки ресурси имат за поверителността на данните:
„Поверителността на данните е изключително важна в HR индустрията. На професионалистите в областта на човешките ресурси са поверени чувствителните данни на служителите – от социалноосигурителни номера до телефонни номера до домашни адреси и други – така че е жизненоважно всяка компания да предприеме правилните стъпки, за да гарантира, че данните са безопасни.
„Една важна стъпка тук е да сертифицирате вашата организация като съвместима със SOC 2. SOC 2 се основава на пет фактора – сигурност, достъпност, интегритет на обработката, поверителност, поверителност – и сертификацията казва на потребителите, че вашата организация поддържа високо ниво на информационна сигурност и борави с техните данни отговорно. Освен това съответствието със SOC 2 гарантира, че вашата организация е внедрила практики за сигурност, за да се защити от кибератаки и пробиви.
„Друг чудесен начин да почетете Деня на поверителността на данните тази година е да започнете редовно обучение на служителите относно най-добрите практики за поверителност на данните, които могат лесно да бъдат създадени и присвоени на вашия екип чрез платформа за обучение (LXP). Тези курсове за обучение могат да обучат служителите как да забелязват фишинг атака, да създават силни пароли, да избягват подозрителни и опасни уебсайтове и др. Вашите служители са вашата първа линия на защита срещу заплахи за поверителността на данните, така че е от съществено значение те да са оборудвани, за да пазят себе си и бизнеса си в безопасност.“
Карл Д’Халуин, технически директор в Datadobi, отбелязва промените в технологиите и по-специално нарастващото значение и употребата на неструктурирани данни. Това води със себе си някои специфични предизвикателства:
„Никой не може да отрече, че неструктурираните данни нарастват експоненциално. Със създаването на толкова много данни се появиха широк набор от нови инструменти за управление и процеси за тяхното наблюдение — от глобална наличност на данни, защита на данните, архивиране на данни и др. В този свят с множество доставчици и много платформи, обхващащ от локални до облака, не може да се отрече, че софтуерът за управление, видимост и отчитане е незаменим за ефективното функциониране на бизнеса и за оптимизиране на приходите. От ИТ администраторите и техните екипи зависи да поемат важната задача да защитят своя арсенал от данни срещу заплахи, като изберат правилния софтуер за управление на данни.
„За да защитят данните, организациите трябва да използват платформа, която разбира какви данни къде се съхраняват, какви данни трябва да бъдат преместени, да могат да преместват тези данни и да гарантират валидността на тези данни, докато се преместват. На тазгодишния Ден за поверителност на данните бих искал да отправя призив за действие към организациите във всяка индустрия да преоценят каква платформа за управление на данни използват, за да се предпазят от днешните съвременни заплахи възможно най-добре.“
Амит Шейкд, главен изпълнителен директор на Laminar, смята, че облакът изисква нови подходи за защита на данните:
Брайън Пагано, главен катализатор и вицепрезидент в Axway, е съгласен, че няма едно единствено решение:
„Няма едно решение за оптимизирана поверителност на данните. Облакът има същите проблеми с данните в движение (трябва да получите данни към и от облака) и данните в покой (съхраняване на информация в облака). Това, което облакът ви дава, е физическа и дигитална сигурност на доставчика на облак с промишлена сила. Така че това е добра стъпка, част от решението.“
Той също така добавя някои препоръки за новата среда:
„Изоставете старата вяра в паролите. Можете да разберете дали ИТ отделът не се развива, ако от вас се изисква често да променяте паролата си (доказано е, че тази практика намалява сигурността и до голяма степен е изоставена). Поддържането на поверителността на данните включва данни в покой и данни в движение, като най-вече гарантира, че всеки, който се опитва да получи достъп до информацията, има правилните права за тези данни. Ако поверителността е основна грижа, организацията трябва да приеме проверка за необходимост от информация за всеки документ. Докажете, че имате нужда от тази информация. Съхранявайте дневници и ги проверявайте на случаен принцип. Това е подобно на позицията на Apple. За новите компании откритата, бърза комуникация често е по-важна от абсолютната поверителност. Просто напомнете на членовете на екипа, че всичко написано може да се появи публично – така че помислете, преди да пишете.
„Компаниите трябва да приемат персонализирани решения за своите изисквания за поверителност на данните. Не копирайте сляпо това, което друга компания (или организация) прави. Вие не сте те. Вашите нужди не са техни нужди. Степента на поверителност, от която се нуждаете, е да поддържате мисията на вашата организация, а не да я възпрепятствате. Така че, започнете, като попитате от какво се нуждаете и какво ще подкрепи мисията.
„API и поверителност на данните. API са критичната входна врата към вашия бизнес. Това е идеалното ниво, на което да коригирате, проверите и наложите правата за исканата информация.
Даниел Маркусън, експерт по дигитална поверителност в NordVPN, подчертава, че знанието за наличие на проблем е в най-добрия случай началото:
„Денят за поверителност на данните има за цел да повиши осведомеността по проблемите на поверителността, но информираността е безсмислена, ако не се превърне в действие. Защитата на личната ви поверителност е свързана изцяло със създаване на навици, като например полагане на допълнителни усилия за създаване на силни пароли, нещракване върху непознати връзки или изтегляне на непроверени файлове, деактивиране на Wi-Fi & Bluetooth, когато не се използват, и като цяло остават внимателни, докато сърфирате онлайн. Въпреки че това може да звучи досадно, има инструменти, които могат да направят защитата на поверителността ви много по-лесна. VPN скрива вашата лична информация, мениджърите на пароли защитават вашите идентификационни данни & генерирайте силни пароли, докато инструментите за криптиране на файлове правят така, че само вие да имате достъп до вашите файлове.
Shekkar Ayyar, главен изпълнителен директор на Arrcus, предупреждава, че Web 3.0 идва и ще донесе нови предизвикателства със себе си:
„Приложенията Web 3.0 като metaverse и defi, които са базирани на AR/VR и блокчейн, увеличават изискванията за мащаб и производителност на основната мрежова инфраструктура. Интернет днес разчита на сложна глобална мрежа от възли за маршрутизиране и комутация, поддържани от технологии като BGP или Border Gateway Protocol. Както показват неотдавнашните прекъсвания на AWS и Facebook, рискът от повреда на мрежата е висок винаги, когато е включена ръчна намеса. Важна най-добра практика, която ние от Arrcus препоръчваме, е приемането на интелигентна, управлявана от мрежов анализ автоматизация на операциите на рутера, за да се справи с коригирането на грешки и откриването на грешки в конфигурацията.“
Дани Лопес, главен изпълнителен директор на Glasswall, напомня на организациите, че не могат да пренебрегват човешкия елемент:
„Денят на поверителността на данните служи като напомняне колко важен е човешкият елемент в света на киберсигурността. Без правилно разбиране на рисковете за поверителността онлайн, организациите могат да останат беззащитни срещу хакери.
„Според доклада на IBM за разходите за нарушаване на данните за 2022 г., откраднатите идентификационни данни са най-често срещаният вектор на атака, което води до 20% от нарушенията, струващи средно 4,37 милиона USD. В допълнение, докладът за разследване на нарушения на данните на Verizon за 2021 г. посочва, че фишинг атаките са се увеличили с 11% миналата година, като киберпрестъпниците променят своите измами, за да отговарят на текущите събития и да привличат вниманието.
„Решението за отблъскване на кибератаки както на индивидуално, така и на фирмено ниво е двустранно: обучение и технология. Обучението ще въоръжи служителите да бъдат нащрек за рисковете и да следват най-добрите практики. Това може да бъде толкова просто, колкото използването на силни пароли и многофакторно удостоверяване, не отваряне на връзки и/или прикачени файлове от непознати източници и използване на антивирусен софтуер.
„От страна на технологиите, възприемането на проактивен подход с нулево доверие (никога не се доверявай/винаги проверявай), когато става въпрос за сигурност, може не само да защити компаниите, които ги прилагат, но и техните клиенти. Наличието на тези мерки не само ще помогне за предотвратяване на атаки, но също така е по-рентабилно и ефикасно от използването на служители като първа линия на защита на организацията. Чрез комбиниране на обучение и технологии поверителността на личните, фирмените и клиентските данни е значително по-достижима за организации по целия свят.“
Има човешки фактор, който трябва да се вземе предвид, разбира се, но има и бот фактор, както отбелязва Дейвид Хигинс, технически директор в CyberArk:
„Не само хората са податливи на щракване върху грешна връзка или може би са твърде небрежни към това, което споделят за себе си. Софтуерните ботове също имат проблеми със споделянето и този ден за поверителност на данните подчертаваме как можем по-добре да защитим данните, до които имат достъп, от излагане.
„Софтуерни ботове – малки парчета код, които изпълняват повтарящи се задачи – съществуват в огромен брой в организации по целия свят, в банкирането, правителството и всички други големи вертикали. Идеята зад тях е, че те освобождават човешкия персонал да работи върху критична за бизнеса, когнитивна и творческа работа, но също така помагат за подобряване на ефективността, точността, гъвкавостта и скалируемостта. Те са основен компонент на дигиталния бизнес.
„Проблемът с поверителността възниква, когато започнете да мислите от какво се нуждаят тези ботове, за да могат да правят това, което правят. През повечето време това е достъп: Ако събират чувствителни и лични медицински данни, за да помогнат на лекарите да правят информирани клинични прогнози, те се нуждаят от достъп до тях. Ако трябва да обработват клиентски данни, съхранявани на публичен облачен сървър или уеб портал, те трябва да стигнат до тях.
„Видяхме проблемите, които могат да възникнат, когато хората бъдат компрометирани и същото може да се случи с ботовете – и то в мащаб. Ако ботовете са конфигурирани и кодирани зле, така че да имат достъп до повече данни, отколкото им е необходимо, резултатът може да изтича тези данни на места, където не би трябвало да бъде.
„По същия начин чуваме за вътрешни атаки и хора, които са били компрометирани, за да се доберат до чувствителни данни почти ежедневно. Машините имат абсолютно същите проблеми със сигурността; ако имат достъп до чувствителни данни и те не са защитени правилно, това е отворена врата за нападателите – такава, която може да изложи на риск поверителността на хората. Нападателите не се насочват към хората, за да стигнат до данни, те просто се насочват към данните. Ако машините - особено тези, които отговарят за автоматизираните процеси (помислете, че повтарящи се задачи като банкови преводи, изтриване на уеб данни и преместване на файлове с данни на клиенти) са най-добрият път, за да стигнете до него, това е този, който те ще изберат.
Ботовете са наши творения и не е изненадващо, че са наследили нашите слабости. (И те упражняват някои от тези слабости в мащаб, на който най-разточителните сред нас могат само да завиждат.)
Кърт Глейзмейкърс, главен технологичен директор в Appgate, твърди, че що се отнася до поверителността, VPN е нож с две остриета:
„Няма съмнение, че VPN е изиграл важна роля в еволюцията на интернет. Въпреки това, тъй като наближаваме още един ден за защита на данните, след като станахме свидетели на повече пробиви на данни и кибератаки през изминалата година, е време да признаем, че VPN също е изиграла роля в предоставянето на организации с пропуски и уязвимости в сигурността, които ги оставят отворени за атаки и впоследствие кражба на данни.
„Разбира се, скорошен пример за опасността от VPN е прословутото хакване на Fortinet VPN през септември миналата година, където уязвимостта на VPN позволи на неавтентифицирани нападатели да четат произволни файлове, които съдържат идентификационни данни в обикновен текст. Изтеклите идентификационни данни биха могли (и все още могат) да се използват като входен вектор за по-сложни атаки. Например атаката на Colonial Pipeline от миналата година използва компрометирани идентификационни данни за наследено VPN устройство. Очевидно VPN мрежите оставят вратата отворена за киберпрестъпниците да използват уязвимостите им, да получат достъп до мрежата и да откраднат идентификационни данни и други ценни данни.
„И така, какъв е отговорът и има ли по-добро решение? Мрежовият достъп с нулево доверие (ZTNA), със своя подход „удостоверяване, след това доверие“, срещу доверието на VPN на IP адреси, става все по-масов избор сред бизнеса. Принципът се подкрепя дори от органи като Пентагона, който стартира служба за киберсигурност с нулево доверие през декември 2021 г. Чрез приемането на ZTNA организациите могат да ограничат щетите от всяка потенциална загуба на данни и да помогнат на компаниите бързо да се възстановят след инцидент. Подходът затваря празнините, оставени от остарялата технология, която вече не защитава бизнеса от развиващите се инструменти, използвани от съвременните киберпрестъпници.
„За да открият нарушител и да защитят данните си, организациите трябва да прилагат политики за нулево доверие, включително сегментиране на мрежи и допускане, че всички връзки могат да бъдат компрометирани. Нулево доверие трябва да бъде внедрено в основната инфраструктура и организациите трябва да профилират всяко устройство, което се опитва да се свърже в мрежата, да използват многофакторно удостоверяване, за да гарантират, че идентификационните данни не са компрометирани, и най-важното, да предоставят достъп до данни само според това, което потребителят или една система трябва.
„Нашите данни са един от най-ценните ни ресурси и киберпрестъпниците знаят това. Чрез прилагането на политики за нулево доверие организациите могат да гарантират, че идентификационните данни на техните служители и данните на техните клиенти са сигурни и защитени от любопитните и бдителни очи на общността на киберпрестъпниците.
Накрая, Anastasios Gkouletsos, ръководител на ИТ сигурността в Omnipresent, предлага пет мерки за безопасност, които индустрията може да приложи за защита и поддържане на личната информация и данни на клиенти и служители:
