Утечка данных, сохранение конфиденциальности

Published on Февраль 5, 2009 by   ·   Комментариев нет

2008 – это год секретности в Европе. Секретность данных станет основным направлением на следующие 24-36 месяцев. Конечная безопасность становится все более популярной, и были разработаны различные технологии, чтобы реализовать решения, которые решают эту проблему. На рынке уже начали появляться лидеры, но гонка затянется надолго.

За первую четверть 2008 свыше восьми крупных утечек данных произошли в Европе, в результате чего только в одном UK свыше 50 миллионов человек осталось незащищенными. Если брать весь мир в целом, то эти цифры гораздо больше. Существует статистика, которая отражает конкретные цифры, однако, они преуменьшены, т.к. организации и правительственные структуры не особо любят распространяться об утечках данных, или кражах данных.

В конце февраля 2008 на EBay был куплен ноутбук, содержащий CD (не в CD приводе, а спрятанный в компьютере). Этот ноутбук был сдан на починку в местный компьютерный магазин из-за треска, и выяснилось, что этот CD принадлежал одной компании в UK. На CD было написано, что в случае находки просьба вернуть его по конкретному адресу, а данные на CD были зашифрованы. В этом случае данные хранились в безопасном состоянии, а ноутбук был также зашифрован, поэтому шифровальные ключи были в безопасности (или были ли они?). Эта история отличается от миллионов других историй, в которых данные хранились в открытом виде и были потеряны при перевозке.

Недавно в Университете Принстона (Princeton University) были проведены некоторые тесты, которые вылились в интересное открытие. Было обнаружено, что шифровальные ключи для некоторых продуктов для шифрования хранились в RAM, а эту RAM можно забрать с компьютера, а затем восстановить ключи. Некоторые проигнорировали эту уязвимость, но другие отнеслись к ней со всей серьезностью, особенно рассматривая тот факт, что некоторые продавцы продают решения, которые защищают от такого раскрытия данных.

Почему происходит утечка данных, и почему так мало делается с этими инцидентами в частном секторе? Понимают ли организации, представители и чиновники последствия? Кто-нибудь в действительности заботиться о вашей информации? Учитывая, что кража личности – это самая большая проблема в цифровом веке, многое необходимо сделать для того, чтобы гарантировать, что ваши логины и информация хранятся и передаются безопасно.

Недавно я обнаружил организации, которые не шифруют свои данные, и большинство опрощенных людей не видят преимуществ в засекречивании своих данных потому, что:

  • Организации не понимают механизмы шифрования, а также как они могут использоваться в контексте их бизнес деятельности.
  • Руководящие члены компаний, чиновники, управляющие и директора ничего не знают о законах, предписывающих шифрование определенных данных, находящихся в их юрисдикции.
  • Это было консенсусом, что шифрование увеличивает административные и операционные накладные расходы, которые были отброшены, как ненужные и потенциально дорогостоящие.
  • Некоторые организации считают, что общая стоимость партнерства слишком высока по сравнению с ценностью данных.
  • Некоторые организации не знают о шифровании, или для чего оно используется, поэтому решили, что раз они хорошо справлялись без нее, то она не нужна, а является всего лишь еще одним средством технического контроля, которое сложно реализовывать и поддерживать.
  • Некоторые организации заявили, что им нечего скрывать, и что они не хранят данные на перевозимых устройствах.
  • В некоторых случаях организация пробовала использовать шифрование, но эти попытки оказывались неудачными, в результате чего проект полностью останавливался или оставался в заброшенном состоянии.

Как хранятся и передаются данные?

Данные хранятся в контейнерах, как жидкость. Термин утечка данных очень подходящий, т.к. он характеризует, как возникает данный феномен. Некоторые данные перемещаются из одного места в другое по средствам коммуникаций (сети или VPN соединения), как вода в трубах, где снова может произойти утечка. В этом сценарии данные утекают с компьютера, на котором данные обрабатываются и передаются. Чтобы избавиться от таких утечек, необходимо использовать шифрование. Такие решения, как IPSec позволяет обезопасить передаваемую информацию.

Жидкость также можно переносить ведрами. Точно также данные можно переносить на ноутбуках, мобильных телефонах, USB устройствах, картах памяти, лентах и т.п. В этих ведрах могут быть дыры, или отсутствовать решения по контролю доступа, чтобы запретить людям брать воду из ведра. Такие технические средства контроля могут проявляться в виде шифрования или жесткого контроля доступа. В наши дни настоятельно рекомендуется использовать шифрование, т.к. большинство средств контроля доступа очень легко обойти.

Другие потенциальные источники утечки данных – это решения для удаленного доступа, клиенты для обмена удаленными сообщениями, электронные письма, распечатки, а также атаки злоумышленников. Даже через оконный проем в небоскребе кто-нибудь может наблюдать с помощью телескопа с другого здания, что может обернуться кражей данных. Не исключайте такие типы атак. Хотя этот способ кажется старинным и низкотехнологичным, совсем недавно я показал высокопрофильному банку, как легко это сделать с публичного здания через дорогу.

Для чего необходимо остановить утечку данных?

  • Шифрование: С помощью шифрования обеспечивается конфиденциальность; это значит, что если данные попадут не в те руки, данные нельзя будет прочитать.
  • Требование двухфакторной аутентификации: Пароли становятся слишком слабыми, поэтому двухфакторная аутентификация становится все более необходимой, т.к. наша жизнь становится все более цифровой. Подумайте о вашей цифровой идентификации.
  • Шифрование коммуникаций: Если вы не хотите, чтобы вас кто-нибудь услышал, изменить способ общения. Шифрование коммуникаций – это не новая техника – он использовалась во времена римлян. Будьте уверены, что если вы не заинтересованы в безопасности ваших коммуникаций, то найдутся недобросовестные люди, которые позаботятся об этом за вас.
  • Защищайте ваши ключи: Это очень важно и должно быть первоочередной задачей. Доступ ключам = доступ к данным. Ваши ключи необходимо хранить безопасным способом, точно также как и ключи от вашего дома. Не плохо было бы иметь второй набор ключей, хранящийся в безопасном месте, на тот случай, если первый набор утерян или уничтожен, вы безопасно сможете воспользоваться вторым набором. Только в этом году я консультировал четырех крупных клиентов, которые потеряли свои ключи. Одному я смог помочь, просканировав весь все их запоминающие устройства на наличие ключей. Это также является уязвимостью в безопасности, но благодаря ей, данные были спасены. Другие клиенты, потерявшие доступ к своим данным, по-прежнему ищут ключи.
  • Храните резервные копии ваших данных в безопасном месте: Хранение данных и резервных копий данных необходимо осуществлять безопасным способом. Очень важно, чтобы сохранялся доступ к данным, а также была возможность их восстановить, параллельно с этим очень важно хранить такие данные в конфиденциальном виде, чтобы неавторизованные пользователи не могли прочитать или манипулировать этими данными. Ужасно знать, что менее 5% финансовых институтов Европы шифруют резервные копии своих данных. Во время недавней консультации крупный финансовый институт сообщил мне, что шифрование увеличивает время, отводимое на резервное копирование, и усложняет процесс восстановления в случае аварии.

Резюме

В заключение, производителям необходимо помнить, что решения, которые обеспечивают шифрование важных данных, необходимо легко поддерживать и устанавливать. Это означает, что ключевой материал должен храниться таким способом, который позволит организации восстановиться в случае аварии.

Источник www.windowsecurity.com


Смотрите также:

Tags:

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]