Конфиденциальность данных клиентов: 10 не подлежащих обсуждению рекомендаций по защите вашего бизнеса

В июле 2020 года хакер получил доступ к внутренним инструментам Twitter, чтобы захватить 130 высокопоставленных учетных записей Twitter, таких как Илон Маск, Билл Гейтс, Барак Обама и Джефф Безос, чтобы совершить аферу «удвоить биткойн».

На это повелись тысячи пользователей Twitter, и всего за несколько часов хакер украл биткойнов на сумму более 118 000 долларов. С тех пор были взломаны тысячи организаций, от крупных транснациональных корпораций, таких как Apple и Facebook, до университетов, отелей, больниц, государственных учреждений и даже церквей и веб-сайтов по сбору средств.

Дело в том, что любая организация, которая собирает, обрабатывает или хранит данные о клиентах, подвергается риску взлома, включая вашу. Вот почему вы должны действовать сейчас, чтобы защитить эти данные. Эта статья покажет вам, как это сделать.

Оглавление

Важность конфиденциальности данных

Меры и средства контроля конфиденциальности данных преследуют три основные цели: защитить конфиденциальность и целостность информации, завоевать доверие клиентов и соблюдать законы о конфиденциальности данных. Невыполнение этих мер контроля может привести к нарушению, которое может иметь серьезные последствия как для отдельных лиц, так и для организаций.

Воздействие на отдельных лиц

Лица, чьи данные украдены, могут стать жертвами кражи личных данных или мошенничества. Хакеры могут использовать украденные данные, чтобы выдавать себя за жертву и открывать кредитные линии, подавать заявки на кредиты и т. д.

Потеря конфиденциальных или личных данных может также привести к унижению, дискриминации, финансовым или психологическим травмам жертвы. В серьезных случаях их здоровью, жизни или семье может угрожать опасность.

Влияние на организации

Утечки данных также наносят ущерб организациям, особенно в финансовом плане. По данным IBM, в 2022 году средняя стоимость взлома выросла до 4,35 млн долларов. Затраты на нарушение могут включать в себя требования злоумышленников о выкупе, а также «расходы на очистку», связанные с устранением нарушений и судебными расследованиями. Регуляторные штрафы и судебные иски также могут увеличить стоимость.

Нарушение может также нанести ущерб репутации компании, восприятию клиентов и ценам на акции. Он может потерять доверие своих клиентов и с трудом выполнять свои договорные обязательства, что может повлиять на его деловые отношения и прибыль.

Правила и стандарты конфиденциальности данных, которые необходимо знать

После серии утечек данных в последние годы многие правительства приняли законы о конфиденциальности данных. Эти законы регулируют сбор, обработку, хранение и уничтожение данных потребителей организациями. Они предназначены для защиты конфиденциальности данных потребителей и защиты потребителей от разрушительного воздействия утечек данных.

GDPR

GDPR применяется к любой компании, работающей в любой стране, которая собирает информацию о резидентах ЕС. Он определяет, как компании собирают, используют, передают и защищают эти данные. Организации, которые не соблюдают закон, могут быть оштрафованы на 20+ миллионов долларов или 4% от общего мирового оборота.

Законы США о конфиденциальности данных

В США нет единого федерального закона о конфиденциальности данных. Вместо этого многочисленные отраслевые или государственные законы регулируют сбор, обработку или использование организациями данных о потребителях. Например, Закон о переносимости и учете медицинского страхования (HIPAA) направлен на обеспечение конфиденциальности защищенной медицинской информации (PHI). Аналогичным образом, Закон штата Калифорния о конфиденциальности потребителей (CCPA) определяет, каким образом организации могут собирать личную информацию жителей Калифорнии.

Источник изображения

Отраслевые стандарты конфиденциальности

Некоторые отраслевые органы разработали стандарты конфиденциальности, применимые к организациям в определенных отраслях. Одним из примеров является стандарт PCI-DSS, который применяется ко всем продавцам во всем мире, которые собирают информацию о кредитных картах потребителей. Хотя стандарт не соблюдается ни одним правительством, продавцы должны придерживаться его из-за своих договорных отношений с компанией-эмитентом кредитных карт. Цель состоит в том, чтобы гарантировать, что предприятия реализуют необходимые меры безопасности для защиты данных держателей карт и предотвращения мошенничества с кредитными картами.

В индустрии технологий и рекламы в последние годы мы наблюдаем ряд изменений, касающихся конфиденциальности. Например, Google снижает видимость отчета о поисковых запросах, а Facebook требует измерения совокупных событий.

Самые большие угрозы конфиденциальности и безопасности данных

данных Конфиденциальность — это контроль над тем, как данные собираются, передаются и используются, а безопасность данных связана с защитой данных от внешних злоумышленников и внутренних злоумышленников. Несмотря на эти различия, между этими идеями есть несколько совпадений. Кроме того, существует множество угроз, которые могут повлиять как на конфиденциальность данных, так и на безопасность.

Фишинговые мошенничества

При фишинговом мошенничестве злоумышленник отправляет электронные письма, которые, как представляется, исходят из надежного источника. Электронное письмо может содержать вредоносную ссылку или вредоносное вложение. Когда пользователь нажимает на ссылку, он попадает на веб-сайт, где его попросят предоставить личную информацию.

Затем злоумышленник крадет эту информацию, что приводит к взлому. Если пользователь откроет вложение, злоумышленник может скомпрометировать его устройство. Они также могут получить доступ к другим ресурсам в корпоративной сети и причинить масштабный ущерб. Поэтому важно убедиться, что вы инвестируете в правильное решение для защиты от фишинга для вашего бизнеса.

Источник изображения

Вредоносное ПО и программы-вымогатели

Вредоносные программы и программы-вымогатели представляют собой огромную угрозу безопасности и конфиденциальности данных. При атаке программы-вымогателя злоумышленник заражает корпоративные устройства вредоносным ПО, которое шифрует систему и блокирует пользователя. В обмен на ключ дешифровки преступник требует от организации солидный выкуп. Многие штаммы программ-вымогателей могут распространяться по сети и похищать огромные объемы данных.

Внутренние угрозы

Внутренние угрозы — еще одна серьезная угроза конфиденциальности данных. С 2020 года частота инсайдерских инцидентов увеличилась на 44%, а стоимость одного инцидента увеличилась до 15,38 млн долларов.

Некоторые угрозы исходят от злонамеренных или скомпрометированных инсайдеров, таких как сотрудники или сторонние поставщики. Другие исходят от незлонамеренных или небрежных инсайдеров с плохой гигиеной кибербезопасности. Например, пользователь может поделиться своим паролем с коллегой, а другой может хранить конфиденциальные данные в общей папке. Такие ошибки могут привести к случайным утечкам или раскрытию данных.

Уязвимости программного обеспечения

Уязвимости безопасности в устройствах и приложениях открывают двери для киберпреступников. Многие злоумышленники используют эти уязвимости для атак на организации и кражи или компрометации данных клиентов.

10 лучших практик для защиты конфиденциальности данных клиентов

Вот десять способов защитить ваши ценные данные клиентов от кибератак и хакеров.

1. Знайте, какие данные вы собираете

Вы можете защитить данные, только если знаете, что это такое и где оно хранится. Поймите, какие данные вы собираете от клиентов, как они используются и кто их использует. Вы также должны знать, насколько конфиденциальны данные, где они хранятся и когда ими делятся.

Проведите аудит данных для выявления данных по всему предприятию. Затем классифицируйте каждый тип данных в соответствии с конфиденциальностью, вариантом использования и потребностью в доступности. Наконец, подготовьте инвентаризацию данных, чтобы понять, какие данные необходимо защищать и какие законы о соответствии применимы к вашей организации.

Источник изображения

Вот некоторые классификации данных, которые следует учитывать:

• Общедоступные данные: пресс-релизы, заявления о миссии, информация о каталогах.
• Внутренние данные: графики работы, бюджеты, планы проектов, бизнес-процессы, стратегии, маркетинговые данные.
• Конфиденциальные данные: личная информация, защищенная информация о состоянии здоровья, кадровая документация, финансы.
• Данные ограниченного доступа: пароли, планы слияний/поглощений, интеллектуальная собственность.

2. Собирайте только важную информацию

Вы можете свести к минимуму потенциальный ущерб от утечки данных, собрав ограниченный объем персональных данных. Собирайте только те личные или конфиденциальные данные, которые нужны вашему бизнесу для достижения определенных целей, например, для улучшения качества обслуживания и удержания клиентов.

Чтобы оценить, какие данные необходимы, проводите периодический аудит данных. Затем оцените, действительно ли вам нужны эти данные. Если нет, прекратите собирать его. Таким образом, вы можете уменьшить вероятность потерь в случае взлома.

3. Создайте и опубликуйте прозрачную политику использования данных и конфиденциальности.

Разработайте и внедрите четкую политику конфиденциальности данных и доведите ее до сведения всех заинтересованных сторон. Политика должна определять, кому разрешен доступ к данным и как. В нем также должно быть четко указано, как следует и не следует использовать данные.

Кроме того, опубликуйте политику конфиденциальности для клиентов на веб-сайте вашей компании. В политике должно быть указано, как ваша компания собирает, хранит, использует и защищает данные клиентов. Если вы вносите изменения в политику, обязательно информируйте клиентов.

4. Зашифруйте все конфиденциальные пользовательские данные

Незашифрованные, плохо хранящиеся данные дают хакерам повод атаковать организацию. Шифруйте все свои данные как в пути, так и в состоянии покоя. Используйте 256-битное шифрование для защиты данных в электронных письмах и шифрование на уровне файлов для защиты данных в системах и серверах.

Кроме того, регулярно делайте резервные копии данных и храните их в безопасном месте. Таким образом, даже если вы стали целью кибератаки, например программы-вымогателя, вы все равно сможете получить доступ к данным. Кроме того, вам не придется платить выкуп.

Источник изображения

5. Защитите себя от фишинга

Чтобы снизить риск потерь из-за фишинговых атак, внедрите фильтры спама в электронной почте по всей организации. Также обновите все устройства с помощью антивирусного и антивредоносного программного обеспечения, которое автоматически обновляется для борьбы с возникающими угрозами и постоянной защиты данных.

Люди играют важную роль в минимизации последствий фишинговых атак. Поощряйте сотрудников сообщать о любых случаях мошенничества по электронной почте, с которыми они сталкиваются, соответствующему лицу или в отдел.

6. Обновите все программное обеспечение

Хакеры используют уязвимости безопасности в устройствах и программном обеспечении для атак на организации и компрометации данных клиентов. Поставщики программного обеспечения обычно выпускают исправления после обнаружения уязвимостей в своих продуктах. Внедрите эти исправления, чтобы обновить программное обеспечение и защитить данные клиентов.

7. Внедрите многофакторную аутентификацию

Многофакторная проверка подлинности (MFA) обеспечивает более надежную защиту корпоративных учетных записей и данных. Для MFA требуется дополнительный фактор проверки подлинности, а не только пароль. Таким образом, даже если хакер украдет пароль авторизованного пользователя, ему все равно понадобится второй фактор для входа в корпоративную учетную запись. Обычно этот фактор остается под контролем авторизованного пользователя, поэтому хакеру сложно его скомпрометировать или украсть.

Источник изображения

8. Обучите людей методам кибербезопасности

Обучение кибербезопасности необходимо для устранения недостатков кибербезопасности, связанных с людьми. Обучите своих сотрудников передовым методам кибербезопасности. Обучите их распознавать признаки фишинговой атаки и избегать мошенничества с использованием социальной инженерии.

Объясните важность надежных паролей и MFA. Кроме того, покажите им, почему им не следует использовать общедоступные сети Wi-Fi для работы и всегда придерживаться политики безопасности и конфиденциальности организации.

9. Ограничьте доступ к данным

Ограничение доступа к данным по мере необходимости минимизирует внутренние угрозы для данных. По возможности реализуйте принцип наименьших привилегий (PoLP), чтобы пользователи могли получать доступ или редактировать только те данные, которые им нужны для их роли. Управляйте уровнями доступа и разрешениями с помощью инструментов управления идентификацией и доступом (IAM).

10. Внедрите комплексную инфраструктуру защиты данных

Чтобы защитить данные клиентов и избежать утечек, вам нужна комплексная инфраструктура безопасности со всеми этими инструментами:

• Антивирусное и антивредоносное программное обеспечение
• Антирекламное и антишпионское ПО
• Веб-брандмауэр нового поколения
• Блокировщики всплывающих окон
• Инструменты обнаружения и реагирования конечных точек (EDR)
• Сканер уязвимостей
• Менеджер паролей
• МИД

Выделите бюджет на эти инструменты. Они помогут защитить вашу организацию от утечки данных, и вы довольно быстро окупите свои инвестиции.

Защитите свой бизнес, клиентов и данные

В последние годы количество и частота утечек данных значительно возросли. Последние пять лет были особенно плохими, когда хакеры атаковали ряд известных организаций и затронули миллионы людей.

К счастью, не все потеряно. У вас есть некоторый контроль над данными, которые вы собираете и используете. Что еще более важно, вы можете защитить эти данные и не допустить их попадания в чужие руки. Используя представленные здесь идеи и лучшие практики, вы можете снизить риски для своей компании и клиентов.

1. Знайте, какие данные вы собираете
2. Собирайте только важную информацию
3. Создайте и опубликуйте прозрачную политику использования данных и конфиденциальности
4. Шифрование всех конфиденциальных пользовательских данных
5. Защита от фишинга
6. Обновите все программное обеспечение
7. Реализовать многофакторную аутентификацию
8. Обучайте людей методам кибербезопасности
9. Ограничить доступ к данным
10. Внедрить комплексную инфраструктуру защиты данных

Об авторе

Ирина Мальцева — руководитель отдела роста в Aura и основатель ONSAAS. Последние семь лет она помогает SaaS-компаниям увеличивать свои доходы с помощью входящего маркетинга. В своей предыдущей компании, Hunter, Ирина помогала маркетологам 3M наладить важные деловые связи. Сейчас в Aura Ирина работает над своей миссией по созданию более безопасного Интернета для всех. Чтобы связаться с ней, подпишитесь на нее в LinkedIn.