Журнал "Системы Безопасности" № 6‘2018

A L L - O V E R - I P 56 В се большую популярность набирают встроенные системы, Интернет вещей, данные в реальном времени и когнитивные системы на основе искусственного интеллек- та. Появляется новое законодательство, например Общий регламент по защите дан- ных в ЕС (GDPR). Все это означает, что теперь компаниям придется уделять защите данных еще больше внимания. Для использования, хранения и анализа данных применяются как аппаратные, так и программные средства, поэтому нам нужен новый, более детализи- рованный подход к обеспечению их безопас- ности. Ответственность за безопасность данных лежит на всех, кто занимается их обработкой. На практике это означает, что компаниям теперь придется сосредоточиться на тех областях аппа- ратных и программных средств защиты, кото- рые раньше получали меньше внимания и инвестиций, и особенно это касается безопас- ности на уровне дисков. Важность вопроса В мире, где данные повсюду, компаниям нужна непрерывная защита. Шифрование неактив- ных данных обеспечивает безопасность дан- ных на самом носителе, где могут существо- вать разные условия хранения. Аппаратное шифрование, встроенная защита жесткого диска и технология моментального и безопас- ного стирания позволяют выводить устройства из эксплуатации с минимальным риском для утечки данных. В недавнем отчете об угрозах безопасности данных Thales Data Threat говорится, что инструменты защиты неактивных данных считаются лучшим способом защитить дан- ные, если злоумышленник уже проник внутрь. Шифрование неактивных данных находится на последней линии обороны: если преступнику удалось преодолеть остальные уровни безопасности и с помо- щью украденных или поддельных средств доступа проникнуть на охраняемый объект, аппаратное шифрование поможет пред- отвратить кражу данных. Несмотря на очевидные преимущества, на такое шифрование компании тратят гораздо меньше ресурсов, чем на остальные уровни безопасно- сти, например защиту сети или конечных точек. В этом же отчете Thales Data Threat отмечается, что расходы на безопасность неактивных дан- ных в 2016 г. увеличились всего на 44%, тогда как для сетевой безопасности этот показатель составил 62%, а для защиты конечных точек – 56%. Существует один простой способ убедиться в безопасности своих данных: проверить, что система хранения соответствует Общим кри- териям, представляющим собой междуна- родный стандарт сертификации компьютер- ной безопасности. Если система хранения соответствует этому стандарту, она обладает основным уровнем защиты, который можно использовать в качестве фундамента. Шифрование неактивных данных в действии Недавно произошла серия утечек данных в сфере розничной торговли: в пасхальные выходные 2018 г. от атак пострадало несколько розничных сетей в США. Рознич- ные магазины обрабатывают данные карт клиентов, а потому особенно уязвимы к таким атакам. Высокотехнологичные угрозы, с которыми сталкиваются предприятия розничной тор- говли, бывает довольно сложно обнару- жить. Взломав систему, злоумышленники получают неограниченный доступ к конфи- денциальной информации и иногда поль- зуются им в течение нескольких месяцев. Известны случаи, когда взлом обнаруживал- ся только после того, как платежные данные клиентов появлялись в Даркнете. Подобные скрытые атаки очень опасны для розничных магазинов, которые мало что могут сделать для защиты данных клиентов после проник- новения злоумышленников в систему. В таких случаях шифрование неактивных данных может значительно повысить без- опасность и обеспечить дополнительный уровень защиты между клиентскими данны- ми и злоумышленниками. Правильный уро- вень шифрования гарантирует, что украден- ная информация окажется практически бес- полезной для киберпреступников. Где используются неактивные данные? Шифрование неактивных данных будет особен- но актуально в медицинских учреждениях, которые хранят конфиденциальные данные о пациентах. С распространением электронных медицинских карт они становятся все более уязвимыми. Недавнее исследование, проведен- ное Американской медицинской ассоциацией и компанией Accenture, показало, что потенци- альная утечка данных пациентов вызывает тре- вогу у 74% врачей. Финансовый сектор также заинтересован в дальнейших инвестициях в шифрование неактивных данных, ведь согласно отчету Thales Data Threat 78% компаний в сфере финансовых услуг по всему миру планируют увеличить рас- ходы на обслуживание критически важных дан- ных. Предприятия среднего и малого бизнеса и даже крупные корпорации тоже не защищены от угроз: сотрудники все чаще работают на выезде или удаленно, а значит возрастает риск кражи устройств с конфиденциальными биз- нес-данными. Имена пользователей и пароли принесут мало пользы, если вор может просто извлечь незашифрованный жесткий диск и ско- пировать данные. Безопасность – это круг, а не прямая линия Поставщики технологий обычно сосредоточены на аппаратных и программных средствах защи- ты, которые они в силах контролировать. Их можно понять, но возникает риск применения одностороннего подхода к обеспечению защите данных. Безопасность данных – это не одна прямая линия. Скорее это круг, в котором у каждой еди- ницы оборудования и у каждой программы своя роль. Существует очевидная необходи- мость наладить диалог и сотрудничество в отрасли, чтобы обеспечить эффективное при- менение и взаимосвязь средств защиты данных в кругу безопасности и во всех сферах деятель- ности. n декабрь 2018 – январь 2019 www.secuteck.ru Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Илья Яськов Менеджер по развитию направления клиентских устройств компании Seagate Technology Шифрование неактивных данных: в центре круга безопасности В последнее десятилетие мы наблюдали небывалый рост в сфере создания данных и управления ими. Продукты и услуги, которые каждый день используют потребите- ли, и системы, на которые полагаются большие и маленькие компании, зависят от данных. Тревожные сообщения о крупных кражах и утечках информации поступают все чаще, и есть риск, что в ближайшем будущем положение только усугубится. Согласно исследованию DataAge 2025, проведенному компаниями IDC и Seagate, к 2025 г. почти 90% всех данных в мировой датасфере будут в той или иной степени нуждаться в защите, но фактически под защитой будет находиться меньше половины этого объема