BIG DATA. Вся технология в одной книге - читать онлайн книгу. Автор: Андреас Вайгенд cтр.№ 67

Аудит сохранности данных должен стать обязательным для любой компании, работающей с социальными данными, а его результаты должны быть доступны пользователям. Исходя из опыта прошлого, потребители имеют право требовать, чтобы предоставление им результатов проверки надежности и безопасности стало нормой. Тем не менее компании не спешат делиться ими, поскольку опасаются, что обнародование результатов аудита сохранности данных сделает их более уязвимыми для хакеров. По их словам, обнародование низкой оценки сохранности данных, не говоря уже об описании слабых мест системы, равносильно тому, чтобы поставить у незапертого дома плакат, приглашающий в него грабителей. Однако взломщики выбирают свои цели по критерию ценности, а не доступности.

Для защиты своих активов Sony Pictures пригласила ведущего эксперта в области кибербезопасности Кевина Мандиа ^[368]. Консультантов нанимают многие компании, работающие с конфиденциальной информацией, будь то дорогостоящие голливудские киноленты или миллионы номеров кредитных карт. Интересы компаний и пользователей в части безопасности совпадают: ни те ни другие не хотят, чтобы их информацию украли преступники. Но сегодня большей части людей предоставляется слишком мало информации, чтобы они могли судить об уязвимости их данных в конкретной компании. Еще меньше возможностей есть для того, чтобы сравнивать подходы к вопросам безопасности, существующие у различных компаний. Вот почему необходимо распространить практику проведения аудита сохранности данных и публикации результатов на все организации, занимающиеся обработкой и анализом информации.

Применение стандартов безопасности для коммуникации с пользователями и анализа их информации – один из компонентов сохранности данных. Фонд электронных рубежей ^[369] обращает внимание на «изначальную незащищенность» протокола НТТР, который передает информацию в незашифрованном виде и, к сожалению, по умолчанию используется подавляющим большинством интернет-сайтов. Инфопереработчикам следует использовать протокол HTTPS с зашифрованным каналом связи между клиентом и сервером, благодаря чему перехватить информацию станет значительно сложнее ^[370].

Аудит исследует порядок доступа сотрудников компании к данным. Использование двух– или более ступенчатой авторизации, при которой человек вводит второй одноразовый пароль, созданный мобильным приложением или специализированным сервисом, свидетельствует о более ответственном подходе к сохранности данных. Кроме того, наличие регистрации и анализа каждого случая доступа к информации повышает оценку уровня безопасности компании. Такие записи не только позволяют выявить исходные точки любых нештатных ситуаций, но и способствуют повышению уровня ответственности и функциональной дисциплины сотрудников. Мы уже знаем, что люди меняют свое поведение, если знают, что их действия записывают.

Однако во многих случаях истоки утечки данных находятся не в области слабого программного обеспечения, а в области человеческих слабостей сотрудников компании, которые могут быть раздражены, нелояльны, плохо обучены или попросту слишком загружены для того, чтобы должным образом выполнять свою работу. Пользователи заслуживают большей ясности в вопросе сохранности их данных в компании, в том числе подтверждения профессиональной состоятельности сотрудников, работающих с их информацией. Финансовые организации обязаны проводить проверки всех кандидатов на должности, в том числе и на предмет любых нарушений на предыдущих местах работы. Инфопереработчикам тоже следовало бы проводить проверки при приеме на работу и оценивать риски потенциальных сотрудников. Разработчикам, у которых есть широкие права доступа к первичным данным пользователей, могут поручать написание или корректировку программных кодов, проверить которые построчно способны лишь очень немногие. Если в компании уже фиксировались случаи небрежного отношения разработчика к процедурам безопасности или его явной халатности, то она должна нести ответственность за свое бездействие в подобных ситуациях ^[371].

Более того, некоторые самые крупные утечки являлись результатом небрежного отношения к работе с данными, а не враждебных происков. Взять, к примеру, случай с жестким диском, на котором правительственное учреждение хранило медицинские карты и послужные списки более 70 миллионов ветеранов американской армии ^[372]. Диск вышел из строя, и ответственный чиновник отправил его поставщику в надежде, что тот исправит дефект. Сделать это не получилось, и поставщик отправил диск на утилизацию еще одному стороннему подрядчику. Все это время данные оставались на диске. Госучреждение, в ведении которого были эти архивные записи, потом ссылалось на условие контракта с производителем об обеспечении сохранности данных. Но преступникам наплевать на такие юридические тонкости. И обращение с информацией, и реакция на ее утечку были неприемлемы.