Мир кибербезопасности продолжает развиваться, переходя от реактивных к проактивным мерам, от индивидуальных усилий к хорошо оснащенным группам безопасности, от универсальных решений к индивидуальным подходам к кибербезопасности. Рост внутренних угроз проложил путь политикам нулевого доверия. Между тем, растущие киберриски убедили стартапы и МСП, что они тоже уязвимы для атак, а финансовые и репутационные последствия подчеркнули серьезность кибербезопасности во всех отраслях.
Меры кибербезопасности включают многофакторную аутентификацию, надежные пароли и безопасность на основе ИИ. Искусственный интеллект теперь можно использовать для обнаружения наличия персонально идентифицируемой информации (PII) в документах, уведомления о возможных угрозах и предотвращения потери данных. Однако наиболее важные части любого бизнеса — классификация данных и удаление данных — чаще всего упускаются из виду при рассмотрении мер кибербезопасности, что делает его более уязвимым для кибератак.
Удаление данных в кибербезопасности
Удаление данных служит профилактическим контролем кибербезопасности для постоянного стирания данных с дисков и устройств. При отсутствии остаточных данных компании получают уверенность в том, что никакие данные не могут быть восстановлены даже с помощью криминалистических инструментов восстановления данных. Безопасное удаление данных помогает снизить риски и обеспечить соответствие глобально действующим законам и правилам о защите данных. Законы о защите данных, такие как GDPR в Европе, CCPA в Калифорнии, PIPEDA в Канаде, Ley 25.326 в Аргентине и т. д., подчеркивают необходимость хранения данных ваших клиентов, заказчиков или потребителей только для необходимых целей. Многие из них (включая те, которые не перечислены здесь) прямо упоминают периоды хранения, после которых использование и хранение данных становится незаконным. Несоблюдение этих законов и правил влечет за собой серьезные последствия, такие как огромные штрафы за каждое правонарушение и тюремное заключение для нарушителей. Добавьте к этому несчастью: судебные иски, простой в работе, расходы на устранение ущерба, удар по с трудом заработанной репутации и миллионы недовольных клиентов.
Помимо этого, отраслевые правила, такие как HIPAA, SOX, PCI-DSS и т. д., также регулируют обработку персональных данных организациями, которые также предусматривают штрафы за несоблюдение. В 2020 году Morgan Stanley понес штраф в размере около 100 миллионов долларов США за ненадлежащее удаление данных. Штрафы были наложены Комиссией по ценным бумагам и биржам (SEC) и Управлением контролера денежного обращения США (OCC) на 35 миллионов долларов США и 60 миллионов долларов США соответственно.
Аналогичным образом, 12 августа 2024 года компания по проверке биографических данных National Public Data подтвердила, что, вероятно, произошла одна из крупнейших утечек данных за всю историю. В результате утечки были раскрыты данные 2,9 миллиарда человек. Имена, номера социального страхования и другая личная информация даже умерших людей теперь стали достоянием общественности. На данный момент никаких конкретных финансовых санкций не предусмотрено. Однако материнская компания Jerico Pictures объявила о банкротстве в октябре, а затем, спустя несколько месяцев.
Очевидно, что больше данных могут стать обязательством, а не активом, если они не защищены в достаточной степени, как с точки зрения хранения, так и стирания. Удаление данных имеет решающее значение, когда их владелец отзывает свое согласие, период хранения истекает и даже когда нет никаких юридических обязательств по сохранению данных. Давайте узнаем о необходимости стирания данных при обеспечении безопасности бизнеса:
- Выявление основных проблем обработки данных: оценка текущей технологии может дать представление об основных болевых точках, таких как наличие избыточных, устаревших и тривиальных данных (ROT) на локальных и удаленных устройствах, ИТ-активы, срок службы которых истек, устаревшие устройства без исправлений безопасности или ошибок и т. д. Это может поднять важные вопросы: «Есть ли у нас бюджет, чтобы нанять поставщика управляемых услуг (MSP) или компанию по утилизации активов информационных технологий (ITAD)?» «Существует ли политика уничтожения данных для удаленного стирания данных?» «Следует ли нам нанимать внутреннего сотрудника по защите данных (DPO) или воспользоваться услугами перед аудитом?»
- Создание политики очистки данных: уничтожение данных подразумевает, что данные становятся недоступными или нечитаемыми. Однако есть вероятность, что остаточные данные все еще могут присутствовать даже после завершения уничтожения данных. Измельчение, сжигание, сжигание, дезинтеграция или размагничивание уничтожают ИТ-активы и наносят вред окружающей среде. Очистка данных методом перезаписи (стирание данных) обеспечит двойную выгоду: постоянное стирание данных и сокращение электронных отходов. Таким образом, организации должны иметь политику очистки данных, которая руководит безопасной утилизацией данных в такие моменты, как когда устройство им бесполезно, данные, хранящиеся на облачных платформах хранения, отслужили свое или устройство сменило владельца. Организации должны гарантировать, что их деловые партнеры, сторонние клиенты, заинтересованные стороны и поставщики управляемых услуг также имеют эффективную политику очистки данных.
- Внедрение комплексной стратегии кибербезопасности: Разработайте и внедрите стратегию кибербезопасности, принимая во внимание такие факторы, как локальные и удаленные работники, выделенный бюджет для целей кибербезопасности, данные и активы, критически важные для вашего бизнеса, и, что самое важное, как данные будут помещены в конце жизненного цикла или перераспределения. Чтобы позаботиться о немедленных и предсказуемых рисках безопасности, следует внедрить и обновить запланированный график с напоминаниями об удалении данных, которые не имеют юридических, статистических или исследовательских целей. Использование масштабируемых сертифицированных инструментов удаления данных, таких как BitRaser, рекомендуется любой организации для включения в свою стратегию кибербезопасности.
- Соблюдение законов и правил защиты данных: если ваша компания обрабатывает PII, финансовую информацию, медицинские данные и подобную конфиденциальную информацию, то законы о конфиденциальности и защите данных применимы к вам. Эти законы требуют доказательств того, что данные были стерты и не могут быть восстановлены даже с помощью криминалистических инструментов восстановления данных. Сертификат об удалении или сертификат об уничтожении служат доказательством, которое должно быть представлено правоохранительным органам. Он должен содержать такие сведения, как, помимо прочего, область действия, цель, тип носителя, проверка, признанные методы уничтожения данных, серийный номер (для отслеживания носителя) и обязанности CIO/CISO и DPO.
Заключение
Хотя решений и стратегий для надежной и устойчивой кибербезопасности предостаточно, также много и мифов, которые ее окружают. Удаление данных никогда не является полностью гарантированным удалением. Удаление данных, безусловно, является важным компонентом кибербезопасности, и сертификат удаления помогает компаниям заслужить честь соответствия. Помните, что любые упущения в кибербезопасности и удалении данных могут привести к эпизоду утечки данных и миллионным штрафам. Мы не должны забывать, что согласно отчету IBM Cost of Data Breach Report за 2024 год, средняя стоимость утечки данных выросла до 4,45 млн долларов США, что на 15% больше, чем за последние 3 года. Разорвите порочный круг предположений, чтобы завершить картину кибербезопасности.