Без царя в голове

12 сентябрь, 2018 - 09:15Євген Куліков

Инциденты с нарушением безопасности персональных данных регулярно случаются как в компаниях, так и в правительственных учреждениях. При среднем ущербе от одного инцидента в 3,86 млн. долл. экономические последствия значительные. И эта цифра, скорее всего, будет расти, т.к. 25 мая вступил в силу новый европейский регламент по защите персональных данных (GDPR), который также подразумевает строгую отчетность о нарушениях данных в соответствующие органы. Бизнес должен защищать персональные данные, которыми управляет, во избежание серьезного ущерба. Но знают ли компании, где хранятся эти данные?

Gemalto провела опрос более тысячи сотрудников во всем мире, которые участвуют в принятии ИТ-решений, а также свыше 10 тыс. пользователей, чтобы выяснить состояние конфиденциальности данных. Полученная статистика далеко не обнадеживающая.

Исследование выявило, что только 54% компаний знают, где хранятся конфиденциальные персональные данные их пользователей. Среди прочей информации, к таким данным относятся банковские реквизиты и физические адреса, кража которых может повлечь серьезные проблемы. Если компания не знает точно, где они хранятся, как она может узнать, что они были украдены или произведена попытка кражи? Более того, как компания может точно знать, кто имеет доступ к этим данным? Важно помнить, что кража, выполненная инсайдерами-злоумышленниками, – это один из наиболее частых случаев нарушений, а потому без ясной «видимости» таких данных очень сложно предотвратить их кражу.

Проблема еще связана с тем, что многие данные хранятся в неструктурированном виде, но как осуществлять их поиск? Фактически, 65% компаний собирают так много данных, что они не способны их классифицировать и анализировать. С таким объемом данных не удивительно, что их очень сложно найти. Но если компания не способна анализировать эти данные, то она не сможет оценить их значимость, а потому не сможет адекватно выбрать те средства безопасности, которые необходимы для обеспечения их безопасности.

Без царя в голове

Если говорить про европейские компании, то в этом году самым значимым событием с точки зрения защиты персональных данных было вступление в силу GDPR. Однако на протяжении многих лет уже действуют и другие нормы и требования законодательства. Несмотря на то, что большинство из этих мер не являются чем-то новым, 82% компаний заявили, что они испытывают трудности при соблюдении всех этих норм и требований. Более того, 68% заявили, что они не выполняют всех процедур в соответствии с положениями законодательства о персональных данных. Но без соблюдения всех этих требований риск нарушения безопасности данных возрастает многократно.

Такая корпоративная халатность отражается и на уровне доверия со стороны потребителей: всего 52% из них сказали, что они доверяют тому уровню безопасности, который установлен компаниями и организациями при хранении их персональных данных. Но для финансовых организаций этот уровень еще ниже: всего 41% пользователей верят, что их персональные данные хранятся с должным уровнем безопасности.

Согласно исследованию, только 48% лиц, участвующих в принятии ИТ-решений, считают, что ИТ-безопасность их компании находится на достаточно высоком уровне, позволяющем отражать вторжения хакеров. Но если злоумышленнику удалось проникнуть в систему, то только 43% ИТ-руководителей считают, что данные в их компании могут остаться в безопасности. Таким образом, высока вероятность, что данные пользователей окажутся в руках кибер-преступников.