24/799,98%SLA
Секреты массового пользования

Секреты массового пользования

  • Когда: 07 Июля 2019 г.
Инженер по облачным решениям и информационной безопасности ООО «Связь ВСД» (Linxdatacenter) Борис Меркулов согласен с тем, что уровень угроз персональным данным прямо пропорционален количеству самих данных и систем их обработки. «Чем больше систем появляется, тем выше вероятность компрометации данных, которые в них хранятся. Особенно часто такие утечки касаются финансовых и медицинских данных граждан. Недавний громкий случай – утечка базы с персональными данными и фотографиями заемщиков из Южного, Уральского и Приволжского федеральных округов и всеми их заявками на кредиты. Нередки случаи утечек и из государственных информационных систем. Свежая история – утечка данных по платежам за штрафы ГИБДД и задолженности по исполнительным производствам службы судебных приставов. Причем если сами происшествия часто становятся известны широкой публике, то о наказании за подобные утечки мы, как правило, ничего не знаем. Пару лет назад мы все слышали об утечке данных из Пенсионного фонда,  результатов проверки обнародовано так и не было. К сожалению, подобные новости сегодня уже никого не удивляют», – сетует Борис Меркулов.

По мнению Бориса Меркулова, не  вполне корректно делить угрозы на  более или менее значимые. «Для каждой информационной системы выстраивается индивидуальная модель угроз. Компетентные специалисты-эксперты в  области защиты информации оценивают абсолютно все возможные угрозы. Получается, что это практически полностью экспертная оценка, поэтому есть возможность варьировать уровень защищенности, понижая или повышая его при необходимости. Это плохо, и  в  будущем еще сыграет свою роль. Кроме того, в  текущих моделях угроз отсутствуют многие потенциальные уязвимости, которые могут содержаться в  системах, имеющих прямое или косвенное отношение к  защищаемой ИС. Иными словами, возможен запуск цепной реакции, которая может привести к  компрометации целевой системы. Не  стоит забывать и  о  человеческом факторе. На  сегодняшний день это самый значимый вид угрозы не  только персональным, но  и  в  целом любым данным в  организациях», – делится взглядом на  проблему специалист по  информационной безопасности Linxdatacenter.

Борис Меркулов полагает, что декларируемая некоторыми информационными системами деперсонализация данных граждан вряд ли может снизить уровень угроз их компрометации. «Деперсонализация практически никак не  влияет на  безопасность персональных данных. Обезличенные ПДн не  перестают быть персональными данными, и  их необходимо защищать точно так же, как и  персональные данные в  обычном формате. Может показаться, что деперсонализация снижает уровень угроз, но  это не  так. При компрометации информационной системы злоумышленнику обычно доступен алгоритм деперсонализации и  обратного восстановления, используя который можно вернуть персональные данные к  предыдущему состоянию. Деперсонализация защищает ПДн на  уровне базы данных, но  никак не  на  уровне информационной системы в  целом», – подчеркивает специалист Linxdatacenter. 

У  Бориса Меркулова – свой перечень необходимых мер защиты. «Наиболее эффективные меры – использование антивирусной защиты, периодическое сканирование уязвимостей, сканирование сети, контроль парольной политики, использование защищенного канала связи при передаче ПДн за  пределы контролируемой зоны, защита среды виртуализации, если мы говорим об  облаках, и, конечно же, резервное копирование. Другие меры защиты могут быть избыточными и  не  имеют особого смысла при компрометации чего-либо из  вышеперечисленного», – считает инженер по  облачным решениям и  информационной безопасности Linxdatacenter. 

Источник

Последние новости

Наверх