Персональные данные и их защита
Персональные данные представляют из себя исключительную ценность для хакеров. В 2014 году от действий хакерских группировок были дискредитированы данные аккаунтов пользователей многих крупнейших сервисов - Sony Playstation Network, Gmail.com, Mail.ru, Yandex.ru, Xbox Live, HTC, McDonalds, AT&T, Китайских Железных Дорог и многих других.
Сегодня мы расскажем вам как сохранить безопасность личной информации в киберпространстве.
Многие современные системы безопасности строятся на защите личной информации пользователей, поэтому утечка данных может потенциально ослабить уровень безопасности не только конкретно отдельного пользователя или сайта, но и интернета в целом.
Каждое нарушение безопасности, которое ведет к утечке личных данных, имеет кумулятивный эффект. В интернете хранится огромное множество личных данных, из которых хакеры складывают целые профили по каждому пользователю. С помощью всего лишь нескольких частей воры могут получить доступ к личным кабинетам на вебсайтах и к банковским счетам.
Два вида персональных данных
Персональные данные – очень широкое понятие, включающее в себя множество информации, которая может быть использована для идентификации физических лиц. Можно разделить данные на два типа: динамические и статические.
Динамические персональные данные включают в себя такую информацию, как номера кредитных карт и банковских счетов, адреса электронной почты и пароли. То есть это те данные, которые могут быть изменены или планово меняются в течении определенного времени или в случае их дискредитации.
Статические персональные данные, такие как дата и место рождения, номер паспорта являются гораздо более ценными для хакеров. Даже девичья фамилия матери – это статические данные. При утечке такая информация не может быть изменена, что приводит к угнетению персональной безопасности в целом.
Все что-то теряют
Когда какой-нибудь веб-сайт взламывают, в проигравших остаются и сам сервис, и его пользователи. Для компаний потеря данных клиентов в лучшем случае обернется антирекламой и большими расходами. Массовая утечка данных стоит компании около 60 миллионов долларов прямых затрат. В первом квартале 2014 года в результате множественных утечек данных объем мирового рынка розничной торговли снизился на 5 процентов. Люди просто боятся что-то покупать в интернете и предпочитают вовсе не тратить деньги.
Пользователи тоже должны нести ответственность
Перенос ответственности за безопасность данных с поставщика услуг на конечного потребителя может принести пользу обеим сторонам. Рассмотрим такой способ аутентификации, как «общие вопросы», при котором сайт просит пользователя ввести персональную информацию, например, «любимый цвет». Чтобы предотвратить возможность случайного угадывания ответа, многие сайты используют весьма специфичные вопросы, ответы на которые иногда не помнит даже сам пользователь, например, введите имя вашего первого плюшевого медведя.
Позвольте пользователям самим выбирать секретные вопросы, в таком случае они будут использовать те данные, которые публично не задокументированы и мало кому известны.
Кроме того, предоставление пользователям более прозрачной информации о их действиях, например, времени и месте последнего входа в систему, даст возможность обнаружить попытки взлома учётной записи самостоятельно. Даже сложная система обнаружения вторжений не может быть столь же эффективна, как конечный пользователь: «Эй, я не был в Китае вчера. Здесь что-то не так!»
Использование персональных данных
Никто не хочет верить в то, что уровень безопасности их личных данных очень низок, но это поможет трезво взглянуть на реальность. Можно сравнить сохранение персональных данных с человеческим здоровьем. В обоих случаях есть риски потерь.
Подготовка мер по защите от утечек может дать понять компаниям, что они являются неотъемлемой частью мировой экосистемы, включающей в себя все персональные данные всех пользователей. Ведь если веб-сервис одной компании был взломан, это может привести к утечке данных со многих других веб-сервисов. Мы все плывем в одной лодке.
Готовность противостоять хакерским атакам –лучший метод защиты. Ниже приведены три стратегии, которые помогут вам защитить персональные данные пользователей:
Модификация паролей и использование хэшей. Одностороннее шифрование паролей должно быть применено повсеместно, ведь взлом правильно зашифрованных паролей – весьма дорогостоящее мероприятие.
Не полагайтесь на фиксированные персональные данные. Вполне вероятно, что такие данные, как номер паспорта уже не являются секретными. Если они однажды уже были обнародованы, то их невозможно будет заменить, что подрывает общую безопасность персональных данных пользователя в интернете.
Не храните персональные данные в течение длительного времени. Предположим, что хакеры получили часть или все данные, хранящие на серверах компании. Очистка конфиденциальных данных, которые больше не представляют из себя пользы, например, данные счетов, которые были закрыты, уменьшит важность утекшей информации для хакеров.
Сейчас компании находят компромисс между обеспечением безопасности личных данных и использованием их в маркетинговых целях. Однако не стоит забывать, что статичные данные должны храниться в тайне. Даже правительственные сайты не должны использовать их для идентификации. Во Франции во время регистрации в онлайн системе налогообложения предоставляется цифровой сертификат, который используется для входа на сайт. Этот способ аутентификации намного безопаснее, так как сертификат может быть удален и заменен на другой в случае взлома.
Программные продукты для защиты данных
Компаниям важно помнить, что и их внутренняя информация должна быть надежно защищена для предотвращения утечки важных данных.
Существует масса продуктов, которые помогают сохранить данные в целостности и ограждают от атак хакеров, но если речь заходит о более сложных и специфических задачах, таких как защита исходного кода приложений или корпоративного документооборота, то объем предлагаемого ПО сильно уменьшается.
Рассмотрим два продукта, которые призваны справляться с подобными задачами:
StarFortce С++ Obfuscator. Программа предназначена для защиты кода и данных, использующихся в приложениях, написанных на языках C и C++. Этот сложный и объемный по возможностям защиты продукт слабо схож с примитивными утилитами, которые широко распространены в интернете и часто неэффективны. Он предназначен для больших и трудоемких проектов, которым необходима взломостойкая защита для сохранения важной информации.
StarFortce Content Enterprise – это не просто программа, по сути это ряд мер, которые должна внедрить любая компания для обеспечения защиты конфиденциальности всех документов, содержащих также и персональные данные. Решение разворачивается внутри компании и позволяет защищать документы как внутри, так и за пределами периметра корпоративной информационной системы.
Все это не просто меры предосторожности, а необходимость по сохранению конфиденциальности данных, учитывая растущую активность киберпреступников.