В пьесе Шекспира «Юлий Цезарь» к Цезарю, следующему в Сенат, где собрались заговорщики, подходит прорицатель со словами: «Опасайся мартовских ид». В ответ Цезарь называет прорицателя выдумщиком. А как отреагирует ваше руководство сегодня, по мере наступления мартовских ид 2006, на предупреждение о необходимости проявлять осторожность в отношении персональных данных, которыми располагает ваша компания? Практически каждая компания располагает какой-либо персональной информацией, касающейся клиентов, сотрудников, а иногда и широкой общественности, и используемой в основной деятельности этой компании. Калифорнийский закон об информировании о нарушении безопасности персональных данных предписывает организациям сообщать о любом факте разглашения персональных данных, являющихся таковыми по определению, любому жителю Калифорнии, чьи незашифрованные персональные данные были, либо могли быть приобретены случайными лицами. Благодаря принятию этого закона изменилось представление об обеспечении безопасности, т.к. вскрылись некоторые пути разглашения данных, о которых ранее не было известно. Сегодня незаконное разглашение персональной информации почти неминуемо предается огласке. Если ваш руководитель относится к вопросам защиты персональной информации столь же легкомысленно, как Цезарь - к предупреждению прорицателя, их судьбы могут обрести печальное сходство.
Пять известных случаев нарушения безопасности персональной информации
Пути поступления персональных данных в распоряжение неправомочных лиц сильно различаются, поэтому механизмы защиты, применяемые компанией, должны соответствовать конкретной ситуации. Ниже перечислены пять недавних случаев, преданных широкой огласке. Каждый случай иллюстрирует отдельный набор факторов риска для безопасности персональной информации.
Недобросовестные клиенты. В феврале 2005 г. все газеты писали о компании ChoicePoint, занимающейся проверкой идентифицирующих и рекомендательных данных. Компания сообщила о продаже персональных данных более чем 140 000 клиентов правонарушителям, выдававшим себя за законных представителей бизнеса. Согласно данным комиссии по ценным бумагам (SEC), прямые затраты компании ChoicePoint, связанные с этим случаем, составили 11,4 млн. долл., из которых 2 млн. были потрачены только на уведомления пострадавших клиентов. Однако по сравнению с потенциальной стоимостью судебных процессов, которые могли бы стать результатом данного инцидента, эта цифра смехотворно мала.
Несанкционированный доступ к сети. Компания CardSystems, занимающаяся обработкой транзакций по кредитным картам, в июне 2005 г. сообщила о проникновении в базу транзакционных данных неустановленного злоумышленника, похитившего свыше 40 млн. регистрационных записей. Два самых крупных клиента компании, а именно, Visa и MasterCard, вместе обеспечивавших подавляющую часть доходов CardSystems, разорвали свои контракты с этой компанией после ее признания в том, что оговоренный в контракте уровень защиты регистрационных записей не был обеспечен. В октябре 2005 г. активы CardSystems приобрела другая компания.
Похищение ноутбука. В ноябре 2005 г. компания «Боинг» сообщила о пропаже ноутбука с персональными данными свыше 160 000 сотрудников, включая финансовую информацию и номера карточек социального страхования. Компания «Боинг» предложила заплатить каждому пострадавшему сотруднику за обеспечение защиты от мошенничества и контроля банковского счета. Сведения о стоимости этого инцидента опубликованы не были.
Похищение резервных копий. В 2005 г. банки Citibank, Ameritrade, Time Warner и Bank of America сообщили о пропаже магнитных лент с резервными копиями персональных данных клиентов и сотрудников. Среди 1,2 млн. клиентов Bank of America, чья персональная информация оказалась незащищенной ввиду утраты незашифрованных магнитных лент, было несколько сенаторов США. Неудивительно, что они потребовали ужесточения правил, которые должны соблюдать банки и прочие финансовые учреждения при обращении с носителями резервных копий данных.
Продажа собственным сотрудником. Эта разновидность несанкционированного разглашения в феврале 2005 г. стала реальностью для банков Wachovia, Bank of America, Commerce Bank и PNC Bank, когда за незаконную продажу персональной информации была арестована криминальная группа, включавшая сотрудников упомянутых банков. Сообщалось о нескольких миллионах долларов прибыли от продажи похищенных данных за 4 года до момента ареста. Сотрудники банков, входящие в эту криминальную группу, получали по 10 долл. США за каждую единицу информации о банковском счете.
Какова ситуация в вашей компании?
Забывать о потенциальной опасности несанкционированного разглашения персональной информации ни в коем случае не следует. Что можно сделать, чтобы дать руководству компании четкую ориентацию на предотвращение возможных катастрофических последствий? Оцените потенциальные возможности нарушения защиты данных, особенно на пяти перечисленных выше уязвимых участках. Действенной стратегией является контроль персональной информации, которой владеет организация, в указанных ниже областях. В каждой из этих областей необходимо определить, как обеспечивается защита данных и кто имеет к ним доступ.
Поступление данных. Для начала следует определить пути поступления персональных данных в распоряжение компании. Самые распространенные пути - регистрация на Web-сайтах, ручной ввод с печатных бланков и отправка по электронной почте. Необходимо заручиться уведомлением, предоставляемым отдельному лицу, о факте сбора его персональной информации. В этом документе можно указать приемлемую форму использования и передачи данных. С помощью этой информации впоследствии можно исключить возможность использования персональных данных за пределами установленных рамок и их передачи в распоряжение систем, которые могут не предусматривать уровень защиты, обеспечивавшийся при исходном местоположении данных. Этот документ не только поможет учредить порядок контроля сохранности персональных данных, но также позволит поддерживать практику обеспечения конфиденциальности.
Передача. Персональная информация, сбор которой осуществляется в организации, является предметом пересылки с компьютера на компьютер и от сотрудника к сотруднику, а также подлежит передаче другим компьютерным системам. Каждая пересылка данных создает для злоумышленника возможность предпринять попытку доступа. Необходимо установить, как обеспечивается защита данных в процессе передачи и как устанавливается правомочность получающей стороны.
Хранение. Персональная информация обычно хранится в компании, иногда в нескольких местах одновременно. Установите, кто имеет право доступа к этой информации, где она хранится и как обеспечивается ее защита.
Использование. Для персональной информации, сбор которой осуществляется в организации, нужно определить, будет ли она использоваться сотрудниками, наделенными соответствующими правами, в рамках разрешенных приложений. Определите также форму использования информации. Установите сотрудников, обладающих правом доступа к информации, определите, какую защиту данных предусматривают приложения, и допустима ли такая форма использования в рамках политики, определяющей порядок сбора информации.
Уничтожение. Персональная информация должна храниться не дольше, чем это необходимо для использования по прямому и оговоренному назначению. По окончании срока использования данные полежат уничтожению, что обычно предполагает форматирование жестких дисков и разрушение прочих видов носителей. Необходимо также предусмотреть порядок уничтожения неэлектронных форм, например, печатных документов. Существует ли в вашей компании план уничтожения персональной информации с истекшим сроком годности?
Роль ИТ
Отслеживая поток персональной информации, собираемой в организации, в указанных пяти областях, где существует потенциальная опасность ее разглашения, можно быстро выявить очевидные слабые места, такие как незашифрованные магнитные ленты с резервными копиями. Это в свою очередь позволит создать прочный фундамент для проведения более глубокого анализа отдельных областей. Установив зоны риска, вы сможете предупредить руководство своей компании в более эффективной форме, чем та, которую избрал прорицатель, повстречавший Цезаря.