Закрити витік: чому про захист інформації варто подумати заздалегідь

Закрити витік: чому про захист інформації варто подумати заздалегідь

І як убезпечити від крадіжки персональні дані користувачів

Закрити витік: чому про захист інформації варто подумати заздалегідь
Фото: depositphotos.com

Цифровий простір давно став для нас буденним. Ми зберігаємо свої особисті дані в електронному вигляді, починаючи від сімейних фото закінчуючи особистими паспортними даними та робочими документами. Бізнес та державні структури теж переводять свої послуги й контент до віртуального простору. Це автоматизує безліч процесів, проте робить їх вразливими. Адже сьогодні достатньо знайти слабке місце в системі безпеки компанії, щоб отримати контроль як над цілою структурою, так і над конкретною людиною. Які прецеденти витоку даних були зафіксовані останнім часом і які засоби захисту інформації варто використовувати, розповів Mind директор із розвитку бізнесу UCloud Данило Бєлов

Згідно зі звітом дослідницького центру з крадіжки особистих даних (ITRC), 2021 року було зафіксовано понад 1800 публічних повідомлень про витік даних, які набули значного інформаційного резонансу. Це найбільший показник за останні 15 років.

Пропонуємо згадати кілька гучних інцидентів витоку даних і розібратися, як бізнесу краще захистити приватну інформацію.

Як Estee Lauder втратила 440 млн файлів 

Перші, про кого варто згадати в контексті втрати персональних даних, – бренд люксової косметики Estee Lauder. Справа викликала резонанс, оскільки стала наймасштабнішим витоком даних. У компанії викрали понад 440 млн файлів. Серед них були журнали аудиту, електронні адреси користувачів, внутрішні імейл-адреси компанії тощо.

Найцікавіше, що у відкритому доступі файли знайшли ледь не випадково. Усі викрадені дані завантажили на відкритих ресурсах інтернету. Незахищену паролем базу даних виявив наприкінці січня 2020 року експерт із кібербезпеки безпеки Єремія Фоулер. Отже, як давно вона в публічному доступі – невідомо.

Фоулер розповів, що база також містила записи, які належать до проміжного програмного забезпечення, що теж може бути дуже небезпечним. Оскільки ця інформація цілком може стати в пригоді зловмисникам у майбутніх незаконних операціях.

Попри те що компанії вдалося уникнути судових справ і подальшого використання інформації в шахрайських цілях, Estee Lauder залишиться в історії кіберзлочинів, як бренд, що не лише втратив найбільшу кількість персональних даних клієнтів, а й не помітив цього.

Як викрали інформацію про дослідження вакцини Pfizer 

Ми добре знаємо Pfizer як одну з найвідоміших вакцин від ковіду. Зацікавилися нею і кіберзлочинці. На компанію BioNTech, яка виробляє вакцину, та Європейське медичне агентство (EMA) у грудні 2020-го здійснили дві атаки, внаслідок яких вкрали дані про дослідження вакцини Pfizer.

Атаку здійснили за день до того, як EMA мало відзвітувати Європейському парламенту про хід розгляду заявки на використання вакцини. Одна з версій крадіжки – спроба затримати процедуру ліцензування, оскільки, окрім нормативних документів, інші файли не постраждали.

Розслідування досі триває, а детальну інформацію про кількість викрадених даних засекречено.

Як розкрили 296 ГБ даних із 200 поліцейських дільниць США 

У червні 2020-го група активістів під назвою DDoSecrets опублікувала в мережі 296 ГБ даних, які були викрадені більш ніж у 200 поліцейських дільниць і центрів охорони правопорядку по всій території США.

Оприлюднений дамп містив понад мільйон файлів, зокрема скани документів, відеоролики, електронні листи, аудіофайли тощо. До того ж деякі з файлів містять конфіденційну та особисту інформацію, зокрема номери банківських рахунків співробітників та телефонів.

Усі файли можна було переглянути у відкритому доступі з 19 червня і лише в липні правоохоронні органи Німеччини провели операцію, за результатами якої знайшли та вилучили сервер BlueLeaks. Тож майже місяць кожен охочий міг ознайомитися з офіційними й засекреченими документами поліції США.  

Як мережа готелів Marriott втратила особисті дані 5 млн клієнтів 

Наприкінці листопада 2018-го мережа готелів Marriott International оголосила про злом бази даних бронювання готелів Starwood Hotel і витік інформації про 5 млн клієнтів. До загального доступу потрапили особисті дані клієнтів, а саме: ім'я, поштова адреса, номер телефону, адреса електронної пошти, номер паспорта, дата народження та стать.

Найцікавіше, що кіберзлочинці зламали базу ще 2014 року, скопіювали наявні в ній дані, зашифрували їх, а пізніше спробували видалити продубльовану інформацію. Через це 2020-го за недбале ставлення до безпеки особистих даних клієнтів британська служба захисту конфіденційності даних оштрафувала мережу готелів на $24 млн.

Що сталося із 17 млн приватних даних CouchSurfing 

Влітку 2020-го популярний серед мандрівників онлайн-сервіс із підбору безкоштовного житла CouchSurfing також був зламаний. Як і у випадку з Marriott, проблему помітили не одразу. Компанія дізналася про це лише після того, як дані 17 млн користувачів сервісу були виставлені на продаж. Зокрема, хакери викрали інформацію про імена, адреси електронної пошти та налаштування облікового запису клієнтів CouchSurfing.

Тож можна було простежити хто саме, коли, скільки та з ким подорожував. У такий спосіб, окрім викрадання особистих даних, які можна використовувати для махінацій, зокрема отримати доступ до банківських рахунків тощо, можна було й шантажувати користувачів сайту. Це своєю чергою завдало великих репутаційних збитків порталу.  

Спочатку інформацію продавали в приватних каналах Telegram. Пізніше файли потрапили й на більш публічні форуми хакерів, зокрема RAID Forum, який спеціалізується на купівлі та продажу вкрадених баз даних.

Де краще зберігати інформацію 

Як бачимо, витоки персональних даних можуть зіпсувати репутацію, навіть якщо компанія напрацьовувала її роками, стати причиною штрафів та затримки в роботі тощо. Як для великих корпорацій, так і для середнього та малого бізнесу недостатній захист даних може мати найнеочікуваніші наслідки: від судових процесів до повного закриття через порушення безпеки до неможливості виплатити штрафи. Як же краще й де безпечніше зберігати дані, розбираємо нижче. 

Розглянемо плюси та мінуси найпопулярніших місць для зберігання приватної інформації.

Сервер

Цей варіант стає все менш популярним і поступово відходить на другий план. Однак його досі широко використовують у великих компаніях.

Сервер може бути як у власному центрі обробки даних (ЦОД), так і у комерційному. Якщо ви вибрали перший спосіб зберігання даних, варто врахувати деякі моменти.

По-перше, цифрова інформація зберігатиметься на обладнанні, яке належить вашій компанії, відповідно, ви самі відповідаєте за його обслуговування, доступ до нього та стабільність роботи.

По-друге, власний сервер – досить дороге задоволення. Зокрема, необхідно придбати обладнання, програмне забезпечення, профінансувати його утримання та створити спеціальні умови: подбати про електричне забезпечення, кондиціонування приміщення тощо.

Якщо ж сервер розташований в комерційному ЦОД, частину цих питань бере на себе компанія, яка, власне, і надає місце для сервера. Вона ж і відповідає за безпеку обладнання.  

Серед плюсів використання сервера є те, що власник отримує максимальну свободу дій на сервері, наприклад, може самостійно вибирати методи інтеграції з іншими системами тощо.

Мережевий накопичувач файлів (NAS)

Абревіатура NAS розшифровується як Network Attached Storage, що в перекладі означає «мережевий накопичувач даних».

Це спеціальний невеликий пристрій, усередині якого розташовані жорсткі диски для зберігання даних та плата керування. Він повністю автономний і має програмне забезпечення, яке дозволяє повноцінно керувати доступом до сховища, його налаштуваннями, резервним копіюванням, підключенням до різних мультимедійних пристроїв тощо.

Серед переваг використання мережевого сховища – можливість під'єднати пристрій до Smart TV, Blu-ray-програвачів, ігрових приставок тощо. Також можна налаштувати автоматичне резервне копіювання даних із вашого комп'ютера або ноутбука.

Є у NAS і мінус – висока ціна пристрою, якщо ми говоримо про сховище з великим обсягом даних. Однак у порівнянні з фінансовими витратами на утримання та покупку власного сервера, мережевий накопичувач економічно вигідніший.

Хмарні сховища

Це – технологія, принцип роботи якої полягає в тому, що вся важлива інформація зберігається в одному місці, на сервері постачальника послуг. Доступ користувачі отримують через програму чи браузер.

Один із плюсів хмарних серверів у тому, що вони значно економлять час і гроші. Використовувати хмарне сховище можна без зайвих витрат, адже купівля сервера, його утримання й обслуговування не потрібні.

Також при видаленні даних із комп'ютера їх легко відновити. Безпеку даних забезпечує власник хмари. 

Звичайно, хмарні сховища мають і свої мінуси, наприклад, отримати доступ до даних можна лише за наявності інтернету. Але з іншого боку, разом із доступом до мережі власник бізнесу отримує і доступ до сховища, незалежно від того, де фізично перебуває та яким пристроєм користується.

На відміну від приватного сервера чи мережевого накопичувача, хмара робить персонал максимально мобільними.

Документи, фото та відео, загальну інформацію про компанії сьогодні зручніше зберігати на спеціальних хмарних сервісах на кшталт Microsoft 365 та Google Workspace. Для зберігання даних інформаційних систем, баз даних тощо, використовують професійні сховища від світових виробників із високою надійністю та швидкодією.

Окремий пласт даних – резервні копії даних компанії. Для цього виду даних дуже важливо мати декілька копій у різних ЦОД, які можуть розміщуватися навіть у різних країнах.

Варіанти зберігання персональних даних різноманітні, і кожен має свої плюси та мінуси. Обираючи для себе найзручніший, головне врахувати власні потреби залежно від конкретної ситуації. Адже від правильного рішення залежить безпека як особисто вас, так і вашого бізнесу.

Стежте за актуальними новинами бізнесу та економіки у нашому Telegram-каналі Mind.ua

Автори матеріалів OpenMind, як правило, зовнішні експерти та дописувачі, що готують матеріал на замовлення редакції. Але їхня точка зору може не збігатися з точкою зору редакції Mind.

Водночас редакція несе відповідальність за достовірність та відповідність викладеної думки реальності, зокрема, здійснює факт-чекінг наведених тверджень та первинну перевірку автора.

Mind також ретельно вибирає теми та колонки, що можуть бути опубліковані в розділі OpenMind, та опрацьовує їх згідно зі стандартами редакції.

Проєкт використовує файли cookie сервісів Mind. Це необхідно для його нормальної роботи та аналізу трафіку.ДетальнішеДобре, зрозуміло