`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Владимир Безмалый

И снова о шифровании

+44
голоса

Сегодня стоимость аппаратных средств во много раз меньше, чем стоимость информации, содержащейся на устройстве. Потерянные данные могут привести к потере репутации, потере конкурентоспособности и потенциальным судебным тяжбам.

Во всем мире уже давно вопросы шифрования данных регулируются соответствующими законодательными актами. Так, например, в США, U.S. Government Information Security Reform Act (GISRA) требует шифрование данных для защиты конфиденциальной информации, принадлежащей правительственным органам. В странах ЕС принята Директива European Union Data Privacy Directive. Канада и Япония имеют свои соответствующие инструкции.

Все эти законы предусматривают серьезные штрафы за утрату персональной или корпоративной информации.

Как только ваше устройство похищено (утеряно) – ваши данные могут быть утрачены вместе с ним. Для запрета несанкционированного доступа к данным можно использовать их шифрование. Кроме того, не стоит забывать о такой опасности, как несанкционированный доступ к данным во время ремонта (в том числе гарантийного), либо продажи устройств, бывших в употреблении.

А то, что это не пустые слова, увы, неоднократно подтверждено фактами.

Внештатный сотрудник министерства внутренних дел Великобритании потерял карту памяти с личными данными более чем сотни тысяч преступников, в том числе и отбывающих тюремный срок.  Об этом говорится в сообщении ведомства.

На носителе хранились имена, адреса и, в некоторых случаях, детали обвинений 84 тысяч заключенных, содержащихся в тюрьмах Соединенного Королевства. Также на карте памяти находятся адреса 30 тысяч человек с количеством судимостей от шести и выше.
Как уточнили в министерстве, информация с карты памяти использовалась исследователем из компании РА Consulting.

"Нам стало известно о нарушении правил безопасности, повлекшем за собой потерю сотрудником, находящемся на договоре, личной информации о нарушителях закона из Англии и Уэльса. Сейчас проводится тщательное расследование", - сказал представитель МВД.

С комментарием по этому поводу уже успел выступить министр внутренних дел "теневого" правительства Доминик Грив. Он отметил, что британские налогоплательщики будут "в совершенном шоке" от того, как британское правительство относится к секретной информации.

Это далеко не первый в Великобритании случай потери конфиденциальной информации различными организациями и ведомствами, напомнил Грив.

В апреле крупный британский банк HSBC признался в потере диска, на котором хранились личные данные 370 тысяч его клиентов. В середине февраля стало известно о краже из британской больницы Russels Hall Hospital в городе Дадли (графство Уэст-Мидландс) ноутбука с медицинскими данными 5 тысяч 123 пациентов.

В конце января появилось сообщение, что у британской сети супермаркетов Marks and Spencer украден ноутбук с личными данными 26 тысяч сотрудников.

Глава Минобороны Великобритании Дес Браун 21 января объявил, что у ведомства были украдены три ноутбука с личными данными тысяч человек.

В декабре прошлого года стало известно о том, что частная американская компания потеряла сведения о трех миллионах кандидатов на получение британских водительских прав. Они содержались на жестком диске компьютера. Среди утраченных данных - сведения об именах, адресах и телефонных номерах претендентов на получение водительских прав в период с сентября 2004 по апрель 2007 года.

В конце октября 2007 года два диска, на которых содержалась информация о 25 миллионах получателей детских пособий и их банковских счетах, пропали по дороге между двумя государственными учреждениями. Масштабная операция по поиску дисков, которая обошлась налогоплательщикам в 500 тысяч фунтов, не дала результатов.

Также в июне прошлого года в одном из поездов, следовавших в Лондон, был обнаружен пакет с секретными документами, в которых содержится информация о борьбе с финансированием террористов, контрабандой наркотиков и отмыванием денег. Ранее пакет с секретными документами, которые касаются последней информации о террористической сети Аль-Каида, был обнаружен на сиденье поезда в Лондоне.
Спрашивается, чем думали пользователи, допустившие это?

А вот еще один факт, который должен заставить задуматься владельцев мобильных устройств.

Согласно отчета Ponemon Institute ежегодно в больших и средних аэропортах США теряется около 637 000 ноутбуков Согласно обзора, ноутбуки, как правило, теряются в контрольных точках безопасности.

Около 10 278 ноутбуков теряются еженедельно в 36 больших американских аэропортах, и 65 % из них не возвращаются владельцам. В аэропортах среднего размера регистрируется потеря около 2 000 ноутбуков в аэропортах среднего размера, и 69 % не из них не возвращены. Институт провел опросы в 106 аэропортах 46 государств и опросил 864 человека.

Наиболее часто ноутбуки теряют в следующих пяти аэропортах:

• Los Angeles International
• Miami International
• John F. Kennedy International
• Chicago O'Hare
• Newark Liberty International.

Путешественники не уверены что они возвратят потерянные ноутбуки.
Приблизительно 77 % опрошенных рассказали, что у них нет никакой надежды на возвращение потерянного ноутбука, 16 % говорят, что они ничего не делали бы, если бы потеряли свой ноутбук. Приблизительно 53 % сказали, что ноутбуки содержат конфиденциальную информацию компании, а 65 %, не сделали ничего для защиты информации.
(http://computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=17&articleId=9105198&intsrc=hm_topic)

Что этому противопоставить? Только шифрование данных. В этом случае шифрование выступает в роли последней линии физической обороны вашего ПК. Технологий шифрования жесткого диска сегодня – великое множество.

Вместе с тем хотелось бы задать вопрос, а как с этим обстоит дело на Украине? Статистики, как обычно, у нас нет, увы.

И мы имеем плюс ко всему противоречивое законодательство.

С одной стороны - для того чтобы применять криптографическую защиту данных, предприятие должно иметь лицензию. С другой стороны - лицензируются только сертифицированные продукты.

А как быть с IPSec? VPN? Как быть с шифрованием, встроенным в Windows Vista Enterprise и Ultimate? С предстоящим выходом Windows 7?

С одной стороны - покупатель, купив ОС со встроенным шифрованием, может использовать ее как ему захочется, ведь он честный покупатель, верно? С другой стороны - закон о лицензировании никто не отменял? Вот так и живем... Хотелось бы услышать комментарии юристов со ссылками на нормативные документы. Мне хотелось бы, а вам?

+44
голоса

Напечатать Отправить другу

Читайте также

На IDF Intel как раз представляла вторую инкарнацию своей технологии Anti-Theft 2.0. Благодаря ей компьютер можно заблокировать удаленно, отправив "ядовитую пилюлю" по сети, с помощью СМС либо другими путями (возможны варианты). Получив ее, ноутбук откажется закгружаться, и злоумышленник не сможет получить доступ к хранящимся на нем файлам (даже если снимет жесткий диск -- благодаря все тому же шифрованию, да).

А статистика, она конечно удручает:

Это, безусловно, очень здорово. Однако в данном случае нужно использование аппаратных технологий. Хотя решение весьма и весьма интересно. Хотелось бы узнать о нем более предметно
Microsoft Security Trusted Adviser
MVP Consumer Security

Не в тему, но кстати:

Путешественники не уверены что они возвратят потерянные ноутбуки.
Приблизительно 77% опрошенных рассказали, что у них нет никакой надежды на возвращение потерянного ноутбука, 16% говорят, что они ничего не делали бы, если бы потеряли свой ноутбук.

Надо заметить, что люди утратили "веру в человечество". На многих тех же ноутбуках на днище есть прозрачный кармашек для визитки. При этом самих визиток в этих кармашках мне видеть почти не доводилось. А ведь это не сложно. И если известно, кому вернуть находку, то вероятность её возврата намного увеличивается, особенно в аэропортах.
То же касается мобильных телефонов — там бумажку с контактом владельца можно вложить или прикрепить на внутреннюю сторону крышки отсека аккумулятора. Только не указывайте в качестве контактной информации номер этого же телефона. :)

Хотя проблемы защиты данных эти меры ни в малейшей степени не отменяют.

Вы безусловно правы. Однако стоит подумать, что стоит дороже - сам ноутбук или информация, которая находятся на нем, согласны?

Microsoft Security Trusted Adviser
MVP Consumer Security

Вы безусловно правы. Однако стоит подумать, что стоит дороже - сам ноутбук или информация, которая находятся на нем, согласны?

Конечно. Но речь как раз о возврате не столько самого устройства, сколько устройства вместе с информацией.

Предположим, в аэропорту найден забытый ноутбук. Если на нём (снаружи) нет никакой контактной информации, то сомневаюсь, что станут вещать на весь аэропорт: "Кто потерял ноутбук такой-то, подойдите туда-то". Скорее находку сдадут на хранение, а по истечении некоторого срока (в течение которого владелец, вероятно, даже ничего не предпримет для поиска, потому что "не имеет надежды вернуть утерянное") куда этот ноут денут? Хорошо (для информации) если уничтожат. А если он "уйдёт гулять"?.
Если же контактная информация (имя, название компании, номер мобильного телефона, адрес электронной почты) будет, то служащие аэропорта могут предпринять усилия либо по розыску хозяина находки прямо в аэропорту (найти "в компьютере" среди пассажиров, зарегистри­ро­вав­ших­ся на посадку, либо позвонить на мобильный), и в этом случае утерянное устройство имеет большие шансы вернуться к владельцу сразу, либо же отправить почтой по домашнему адресу или по адресу компании.

Это я к тому, что технические средства защиты информации — это хорошо и нужно, но и организационные тоже сбрасывать со счетов не стоит. Равно как и наборот: в компании может быть супер-пупер–шифрование данных, но при этом сотрудницы уносят домой отходы жизнедея­тель­нос­ти принтера, "чтобы ребёнку было на чём порисовать".

Я ни в коем случае не спорю с вами. Одно другое дополняет. Это естественно.
Microsoft Security Trusted Adviser
MVP Consumer Security

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT