Boldon James. Πραγματική προστασία δεδομένων δεν μπορεί να υπάρξει χωρίς να αντιμετωπιστούν οι απειλές από το εσωτερικό
Η προστασία των ευαίσθητων δεδομένων των πελατών αποτελεί τεράστια προτεραιότητα για τους σημερινούς οργανισμούς, οι οποίοι αντιμετωπίζουν αυξημένες πιέσεις από πλευράς κανονιστικών ρυθμίσεων, από πλευράς συμμόρφωσης και από τις απεριόριστες προσδοκίες των πελατών. Μια και μόνο παραβίαση δεδομένων μπορεί να έχει τεράστιες επιπτώσεις στην εμπιστοσύνη των πελατών. Το 70% των καταναλωτών λέει πως θα σταματήσει την συνεργασία με κάποια εταιρεία ή οργανισμό στην περίπτωση που συμβεί κάποια (παραβίαση δεδομένων).
Έχει σημειωθεί σημαντική πρόοδος για διασφάλιση της ιδιωτικής ζωής και των δεδομένων μέσω μιας ποικιλότροπης (και συνεχώς αυξανόμενης) σειράς τεχνικών, από την διασφάλιση των δικτύων και των διακομιστών ενάντια σε εξωτερικές κυβερνοεπιθέσεις και την χρήση τεχνητής νοημοσύνης (AI) για τον εντοπισμό και την κρυπτογράφηση ευαίσθητων ψηφιακών δεδομένων μέχρι και την εφαρμογή αυστηρών πολιτικών (μέχρι και στους εκτυπωτές γραφείου) για να διασφαλιστεί ότι μόνο εξουσιοδοτημένοι υπάλληλοι μπορούν να εκτυπώνουν έγγραφα που περιέχουν απόρρητες ή ιδιωτικής φύσης πληροφορίες.
Ωστόσο, μια πραγματικά αυστηρή και ολοκληρωμένη προσέγγιση για την προστασία της ιδιωτικής ζωής και των δεδομένων των πελατών δεν μπορεί να υπάρξει εκτός και αν αντιμετωπιστεί μια σημαντική πηγή παραβιάσεων – των προνομιούχων διαχειριστών. Ένα άτομο με προνόμια μπορεί να είναι οποιοδήποτε πρόσωπο με έγκυρα διαπιστευτήρια για την πρόσβαση σε εσωτερικούς πόρους, και το οποίο επομένως είναι σε θέση να χρησιμοποιήσει αυτήν την εξουσιοδοτημένη πρόσβαση για να επηρεάσει αρνητικά την ακεραιότητα ενός συστήματος ή την εμπιστευτικότητα των ευαίσθητων δεδομένων των πελατών.
Αυτά τα άτομα, ενδέχεται να μην παρακινούνται από κακία ή απληστία, ούτε απαραίτητα να χαρακτηρίζονται από αμέλεια ή έλλειψη δεοντολογίας. Στην πλειοψηφία τους είναι ακούσιοι πρωταγωνιστές – που αγνοούν ότι κάνουν κάτι κακό ή δεν αντιλαμβάνονται τις πιθανές συνέπειες των πράξεων τους. Το 64% των επιχειρήσεων αναφέρει τους ακατάλληλους εργαζομένους και εργολάβους ως την πιο κοινή αιτία εσωτερικής απειλής, σύμφωνα με πρόσφατη έρευνα.
Ανεξαρτήτως της υποκείμενης αιτίας μιας απειλής, οι κίνδυνοι για την προστασία της ιδιωτικότητας των δεδομένων των πελατών είναι σημαντικοί και οι επιπτώσεις για την επιχείρηση μπορεί να περιλαμβάνουν μείωση στα έσοδα, κόστη αποκατάστασης, απώλεια φήμης για τα εμπορικά σήματα, διακοπή στην λειτουργία της επιχείρησης και πολλά άλλα.
Οι πέντε βέλτιστες πρακτικές για την προστασία από απειλές, είναι:
Παρακολουθήστε τη δραστηριότητα στο εσωτερικό της εταιρείας. Ορισμένοι οργανισμοί είναι πρόθυμοι να εφαρμόσουν μεθόδους παρακολούθησης, πιστεύοντας ότι οι εργαζόμενοι θα δουν μία τέτοια κίνηση ως παρεμβατική συμπεριφορά τύπου «Μεγάλος Αδερφός». Είναι σαφές ότι κάτι τέτοιο πρέπει να αντιμετωπιστεί κατάλληλα, αλλά τα οφέλη από την παρακολούθηση των εμπιστευτικών πληροφοριών – τόσο για την επιχείρηση όσο και ατομικά για κάθε εργαζόμενο – υπερτερούν σε μεγάλο βαθμό από τα μειονεκτήματα. Σύμφωνα με εκτιμήσεις της IBM, το 60% των παραβιάσεων είναι αποτέλεσμα εσωτερικών παραγόντων και η προληπτική παρακολούθηση μπορεί να είναι το κλειδί για την εξάλειψη ή τον μετριασμό τους. Οι οργανισμοί θα πρέπει επίσης να λάβουν υπόψη τους την εκπαίδευση και την κατάρτιση των υπαλλήλων τους, ώστε να κατανοήσουν ότι θα επωφεληθούν και οι ίδιοι από τη μεγαλύτερη προστασία και την απομόνωση των κινδύνων.
Να είστε ενεργοί και αναλυτικοί διαρκώς. Η τελευταία έρευνα του Ινστιτούτου Ponemon δείχνει ότι το χρονικό διάστημα που απαιτείται για να αντιληφθεί μία εταιρεία ότι έχει υποστεί παραβίαση δεδομένων είναι 191 ημέρες – περισσότερο από έξι μήνες. Σε περίπτωση λοιπόν μίας κακόβουλης εμπλοκής, οι επιτιθέμενοι έχουν αρκετό χρόνο για να σπείρουν τον όλεθρο, κλέβοντας τα δεδομένα των πελατών πριν ο οργανισμός ανακαλύψει ότι κάτι κακό έχει συμβεί. Δεν είναι πλέον αποδεκτό να παρακολουθείται παθητικά η δραστηριότητα στο δίκτυο και στις βάσεις δεδομένων και να αποκλείεται η πρόσβαση όταν κάτι δεν μοιάζει σωστό ή κανονικό. Αντ ‘αυτού, οι οργανισμοί θα πρέπει να αναλύουν προληπτικά τη συμπεριφορά των χρηστών και να ενεργούν σύμφωνα με τις τάσεις που βλέπουν, για να παραμείνουν μπροστά από πιθανά περιστατικά και απειλές.
Προχωρήστε με μία «granular» λύση. Ένας λόγος που οι παραβιάσεις είναι τόσο επιζήμιες για την ικανοποίηση του πελάτη και τη φήμη του εμπορικού σήματος είναι ότι, σε πολλές περιπτώσεις, περισσότεροι πελάτες ενημερώνονται για τη παραβίαση από ότι ενδεχομένως είναι απαραίτητο. Όταν έχουν αμφιβολίες ποιανών τα στοιχεία έχουν παραβιαστεί, οι οργανισμοί συνήθως εκτιμούν ότι έχει επηρεαστεί το μεγαλύτερο μέρος των πελατών τους από την παραβίαση, χωρίς όμως απαραίτητα να ισχύει αυτό. Κάτι τέτοιο ειδικά σήμερα φαίνεται πως θα γίνει ο κανόνας, ειδικά μετά την εφαρμογή του Ευρωπαϊκού Γενικού Κανονισμού Προστασίας των Προσωπικών Δεδομένων που υποχρεώνει οργανισμούς και εταιρείες να αναφέρουν τυχόν παραβιάσεις εντός 72 ωρών. Η επίτευξη τέτοιου επιπέδου «granularity» (διαβάθμισης), απαιτεί κάτι περισσότερο από το να είναι γνωστή η διάρκεια των συνεδριών των εργαζομένων σας στο εσωτερικό της εταιρείας, αλλά απαιτεί να γνωρίζετε ακριβώς με ποιο τρόπο, πότε και σε ποια δεδομένα της εταιρείας υπήρξε πρόσβαση. Ενδεχομένως να διαπιστώθηκε πρόσβαση σε μία βάση ευαίσθητων δεδομένων, αλλά μόνο σε ένα μικρό τμήμα εντός της, και όχι σε ολόκληρη. Στη περίπτωση μίας παραβίασης εμπιστευτικών πληροφοριών, το υψηλό επίπεδο διαβάθμισης (granularity) θα διευκολύνει σημαντικά την υποβολή εκθέσεων και ειδοποιήσεων, ενώ παράλληλα θα ελαχιστοποιήσει τις περιττές παράπλευρες απώλειες (ενδεχομένως να αποφευχθεί κάποιο αρκετά μεγαλύτερο πρόστιμο από αυτό που θα έπρεπε, για παράδειγμα).
Διαχειριστείτε τα προνομιακά διαπιστευτήρια. Πολλοί οργανισμοί αποτυγχάνουν να διαχειριστούν σωστά τα προνομιακά διαπιστευτήρια ορισμένων εργαζομένων τους – πράγμα που σημαίνει ότι αν αντικατασταθεί κάποιο άτομο με ένα άλλο στην ίδια θέση ή ένα άτομο αλλάξει ρόλο ή εργασία μέσα στην εταιρεία και δεν απαιτείται πλέον πρόσβαση σε ένα ευαίσθητο σύνολο δεδομένων, η πρόσβαση αυτή δεν διακόπτεται σε όλες τις περιπτώσεις, ενώ θα έπρεπε. Αντ ‘αυτού, ο χρήστης συγκεντρώνει πρόσβαση σε ολοένα και περισσότερα δεδομένα καθώς εξελίσσεται μέσα στην εταιρεία, παρόλο που η πρόσβαση αυτή ενδέχεται να μην είναι απαραίτητη πλέον. Ακόμη χειρότερα, η Osterman Research διαπίστωσε πρόσφατα ότι το 67% των οργανισμών δεν μπορούσε να είναι σίγουρο ότι κάποιος πρώην υπάλληλος της εταιρείας ενδέχεται να εξακολουθεί να έχει πρόσβαση σε εταιρικούς πόρους. Τα διαπιστευτήρια που δεν ελέγχονται σωστά μπορούν να δημιουργήσουν σημαντικούς κινδύνους σε έναν οργανισμό, και με τον καιρό καθίστανται εκθετικά δυσκολότερα στον εντοπισμό, στην αντιμετώπιση και στον περιορισμό τους όταν οι εργαζόμενοι περνούν από την πόρτα της εξόδου της εταιρείας.
Επικεντρωθείτε εκεί που βρίσκονται τα πιο ευαίσθητα δεδομένα. Μια τυπική επιχείρηση έχει πολλές αποθήκες δεδομένων κατά μήκος του δικτύου της. Ο καθορισμός των πηγών των δεδομένων που πρέπει να παρακολουθούνται για τυχόν απειλές από το εσωτερικό (από κατόχους εμπιστευτικής πληροφόρησης) είναι ουσιαστικά ζήτημα εντοπισμού των τοποθεσιών που βρίσκονται κρίσιμης σημασίας δεδομένα. Συχνά κάτι τέτοιο είναι το mainframe. Εκτιμάται ότι το 80% των εταιρικών δεδομένων συνεχίζει να βρίσκεται ή να προέρχεται από το mainframe, καθιστώντας το πρωταρχικό στόχο για το κακόβουλο προσωπικό σας.
Οι σημερινές απειλές για την ιδιωτικότητα των δεδομένων εξελίσσονται διαρκώς, αλλά μια σταθερά είναι το ανθρώπινο στοιχείο. Ακόμα και η φαινομενικά πλέον αυστηρή πρωτοβουλία για την προστασία των ιδιωτικών δεδομένων δεν μπορεί να είναι πλήρης εκτός και αν αντιμετωπιστεί η απειλή των «insiders». Οι οργανισμοί πρέπει να είναι επιθετικοί, ειδικά από την ώρα που τέτοιες απειλές, σε αντίθεση με αυτές από το εξωτερικό, είναι και δυσκολότερο να αποτραπούν.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.