Sliktas drošības izmaksas

Pagājušajā mēnesī Sony atklāja cenu zīmi, kas saistīta ar masveida drošības pārkāpuma novēršanu, kas atklāja vairāk nekā 100 miljonu PlayStation Network un Qriocity straumēšanas multivides pakalpojumu lietotāju personisko informāciju: vismaz 171 miljonu USD. Tas bija lielākais šāda veida pārkāpums, kāds jebkad ir pieredzēts jebkuram uzņēmumam, saskaņā ar Sony priekšsēdētāja sera Hovarda Stringera teikto, un satriecošā summa segs drošības uzlabojumus, klientu kompensāciju un izmeklēšanas pakalpojumus. Taču pilnu nodevu būs grūtāk izmērīt, jo tajā ietilps klientu uzticības zaudēšana uzņēmumam.





Neatpalikt: Konsultāciju firma Enterprise Strategy Group jautāja 308 IT speciālistiem lielos uzņēmumos, kādi faktori ir motivējuši viņu lēmumus uzlabot datu drošību. Atbilstība normatīvajiem aktiem bija saraksta augšgalā

Šī epizode bija atgādinājums par likmēm, kas saistītas ar datu drošību, un rādītājs, ka daudzas organizācijas neaizsargā sevi pietiekami labi. Runājot par visām šīm drošības problēmām, uzņēmumi netērē iepriekš, bet tiem ir jātērē daudz naudas aizmugurē, lai labotu lietas, saka Tomass Ristenparts, Viskonsinas Universitātes Medisona datoru drošības pētnieks.

Šis mēnesis, Uzņēmējdarbības ietekme koncentrējas uz datu aizsardzību pret zādzībām un nozaudēšanu. Mēs izpētīsim drošības taktiku, kas uzņēmumiem būtu jāizmanto, ieguldījumus, kas tiem būtu jāveic, un jautājumus, kas tiem būtu jāuzdod. Mēs izpētīsim viedo praksi mobilajām ierīcēm, attālinātiem darbiniekiem un mākoņdatošanu, kā arī gūsim ieskatus no labākajiem domājošiem šajā jomā.



Informācijas drošības apdraudējumi pieaug, jo pasaules datu krātuves strauji pieaug, jo krātuves izmaksas strauji samazinās un datoru un tīkla piekļuves pieejamība palielinās. Pieaugot šim datu daudzumam, palielinās tā pievilcība noziedznieku un hakeru acīs.

Lai aizsargātu sevi, uzņēmumi var noteikt piekļuves kontroli konfidenciāliem datiem, šifrēt šos datus un atbilstoši pārvaldīt šifrēšanas atslēgas, pārbaudīt lietotāju darbības un piesaistīt konsultantus, lai pārliecinātos, ka drošības prakse ir atjaunināta. Un, tā kā drošības ķēdes vājais posms bieži ir cilvēki, viena no svarīgākajām lietām, ko uzņēmumi var darīt, ir vienkārši apmācīt darbiniekus par datu drošības pamatpraksi. Šī mēneša stāstu pakete apgalvos, ka informācijas drošība nav tikai jautājums, par ko jāuztraucas IT nodaļai. Tam ir jāreģistrējas visā uzņēmumā, sākot ar augstākajiem līmeņiem, kur tiek pieņemti lēmumi par kapitālieguldījumiem.

Lielas bažas: Tajā pašā Uzņēmumu stratēģijas grupas aptaujā tai pašai IT darbinieku grupai tika lūgts noteikt vājās vietas viņu tīkla drošībā.



Viens liels izaicinājums tika atspoguļots 2009. gada kiberdrošības pētniecības ceļvedī (PDF) veidojis ASV Iekšzemes drošības departaments. Cita starpā tika atklāts, ka, tā kā informācijas tehnoloģijas un uzbrukuma metodes attīstās tik strauji, organizācijām ir grūti noteikt, vai to dati kļūst vairāk vai mazāk droši, vai tie ir vairāk vai mazāk droši nekā citu organizāciju dati un vai investīciju līmenis ir vērtīgs. Tas nepalīdz, ka daudzas organizācijas novērtē pamatjautājumus par drošību no īstermiņa finanšu perspektīvas, lai gan izmaksu un ieguvumu analīzi ir grūti veikt, jo izmaksas, kas rodas, ja netiek veikti atbilstoši drošības pasākumi, var nebūt redzamas gadiem ilgi. Šādu analīžu rezultātā pieņemtie lēmumi bieži vien kaitēs būtisku drošības uzlabojumu veikšanai ilgtermiņā, teikts ziņojumā.

Lietas vēl vairāk sarežģī tas, ka tad, kad notiek datu pārkāpumi, uzņēmumi ne vienmēr ir pilnībā pretimnākoši. (Sony bija sešas dienas, lai brīdinātu lietotājus, ka viņu informācija ir atklāta.) Ātrāka atbilde palīdzētu cietušajiem vai potenciālajiem upuriem indivīdiem vai uzņēmumiem, kuru dati tika atklāti, veikt pasākumus, lai mazinātu kaitējumu.

Iespējamās izmaiņas valdības noteikumos varētu padarīt stingrākus noteikumus par to, kā tiek ziņots par šādiem pārkāpumiem un kas jāatklāj. Amerikas Savienotajās Valstīs pašlaik 47 štatu likumi reglamentē tādu datu pārkāpumu izpaušanu, kas atklāj personas informāciju, taču prezidents Obama nesen ierosināja, ka process būtu jāregulē ar vienu federālo likumu.



Tas būtu noderīgi, saka kriptologs Brūss Šnejers, globālās telekomunikāciju uzņēmuma BT galvenais tehnologs, lai gan tas, cik noderīgi būs, ir atkarīgs no tā, cik pamatīgs ir likums. Tagad ir skaidrs, ka datu pārkāpumu sekas dažkārt ir neskaidras. Mēs nezinām, kam bija piekļuve datiem — vai tie ir noziedznieki, bērni, vai spiegi, saka Šneiers. Mēs nezinām ievainojamību, kas izraisīja pārkāpumu. Dažreiz viss, ko mēs droši zinām, ir kaitējuma izmaksas.

paslēpties