Восемь доступных способов защитить персональные данные

12.12.2013

Сеть интернет – это огромный массив информации, где практически невозможно самостоятельно, без использования программных алгоритмов, найти необходимую информацию. Если бы не поисковые системы, интернет давно превратился бы в огромную свалку всевозможных данных. Благодаря поисковым машинам, разработанным Google, Yahoo!, Яндексом и другим, рядовой пользователь ныне имеет возможность свободно ориентироваться в большой массе интернет-контента.

internet.jpgХорошо отлаженная поисковая система стремится индексировать всю доступную информацию и выдавать соответствующие запросу пользователя сведения. Любой документ, оказавшийся в свободном доступе, да еще и на популярном сайте, будет моментально доступен для поиска.

Примером тому служит свежая история с утечкой порядка 8000 SMSсообщений абонентов «Мегафона» в России. Индексация персональных данных людей, совершавших покупки в интернет-магазинах и заказывающих железнодорожные билеты, – всего лишь вершина айсберга. Существуют сведения, например, секретные документы правительства или список агентов-шпионов, работающих под прикрытием, утечка которых в интернет может нанести серьезный как моральный, так и физический ущерб.

Так, очень много шума вызвала ситуация с одним из белорусских банков. Несколько часов на официальном сайте банка были доступны части баз, в которых содержалась персональная информация о людях, желающих взять кредит или подключить услугу интернет-банкинга. Данные хранились в обычных незашифрованных текстовых файлах и включали сведения о полном имени потенциального клиента, его месте работы, доходах, а также содержали данные о его близких родственниках. Утечка была ликивдирована спустя несколько часов, но архив с базой данных еще несколько дней был доступен для скачивания на ряде файлообменников.

Получила огласку и новость о ряде незащищенных камер видеонаблюдения, транслирующих видео не только на мониторы службы безопасности, но и для любого человека, знакомого с поиском информации в Google. Список таких видеокамер был выложен пользователем блогосервиса Livejournal еще в начале августа текущего года, и некоторые поисковые запросы по-прежнему позволяют получать изображение с камер.

Но самый казусный случай утечки через поисковую систему допустил Яндекс. Часть служебной документации для внутреннего пользования этой российской компании оказалась проиндексирована поисковиком Google. Утечка была незначительной, но серьезно подорвала авторитет Яндекса как крупнейшего российского поисковика.

Это лишь несколько примеров того, как конфиденциальная информация может стать общедоступной в интернете. Чаще всего причиной таких инцидентов служит невнимательность администраторов, выкладывающих конфиденциальные данные на вебсервер, либо недостаточное знание базовых поисковых алгоритмов.

Как обезопасить конфиденциальную информацию от попадания в свободный доступ?

Все способы защиты информации, которая гипотетически может оказаться доступной в интернете, принято делить на две большие категории: технические и организационные. Однако такое разделение не совсем верно и может приводить к путанице: важен не аспект метода, а его совокупность с другими мероприятиями по защите. Ни один из перечисленных способов не может самостоятельно являться панацеей – эффект будет лишь в случае принятия комплекса мер.

Итак, как же можно обезопасить конфиденциальную информацию от нежелательной огласки?

1. Инструктаж сотрудников, отвечающих за наполнение сайта.

Так как только администраторы ресурса имеют возможность вносить изменения в его работу, то именно они должны понимать, какая информация может появляться на сайте в открытом доступе, а какая – нет. Чаще всего утечдействий веб-мастера. Именно такой казус и произошел с упомянутым выше банком. Вся информация клиентов, заполнявших он-лайн-анкеты прямо на банковском сайте, хранилась на том же сервере, что и файлы самого ресурса.

2. Использование паролей для доступа к конфиденциальной информации.

Если существует необходимость хранить данные для внутреннего пользования с ограниченным доступом, то эти сведения должны быть запаролены. Это позволит избежать несанкционированного доступа к такой информации лиц, которые не должны иметь доступ к персональным данным.

3. Мониторинг информационных потоков в организации.

Этот способ необходим компаниям, имеющим свыше 50 рабочих станций. DLP-системы (от англ. Data Leak Prevention – предотвращение утечек данных) позволяют предотвращать утечки конфиденциальной информации, отслеживая в режиме реального времени появление такого рода информации на компьютерах пользователей. Установка DLP-системы позволяет избежать появления критической документации на общедоступных серверах. И этим ее функционал не ограничивается.

4. Мониторинг содержимого сайта.

Часто конфиденциальная информация оказывается на сайте еще в период его разработки или во время наполнения контентом. Она может быть недоступна по прямым ссылкам, однако из-за технических сбоев ресурса или посредством особо любопытных посетителей может оказаться обнародованной. Решением этой проблемы может стать использование специального программного обеспечения, например, WebSite-Watcher, которое сможет оповещать администратора сайта обо всех несанкционированных изменениях.

5. Закрытие конфиденциальных данных от индексации.

Если важные документы или персональные данные пользователей хранятся на самом сайте, то они должны быть доступны только после авторизации.

6. Проверка индексации критической информации.

Даже закрытая по всем правилам информация может появиться в результатах поиска, если, к примеру, на эти страницы сайта есть ссылки с других ресурсов. Чтобы вовремя реагировать на такие инциденты можно также использовать специализированное ПО (например, Site-Auditor). Кроме того, использование таких программ позволит оперативно выявлять в поисковых системах страницы, которые должны быть проиндексированы.

7. Удаление конфиденциальной информации.

Наиболее длительный по времени метод, так как даже удаленная с сайта страница может еще очень долгое время быть доступной в КЭШе поисковой системы. Несомненный плюс такого метода – окончательное удаление страницы из индекса и невозможность повторной индексации. Поисковый робот через некоторое время удалит из своей базы ссылку с ошибкой 404.

8. Шифрование содержимого сайта.

Многие системы управления содержимым сайта поддерживают встроенную функцию шифрования данных на странице. Это самый действенный способ защитить информацию от несанкционированного доступа.

Многие из данных способов не только «профилактические» – часть из них используется и для оперативного устранения последствий утечки. Также большинство вышеперечисленных мер не связаны с серьезными материальными затратами и доступны как для сайтов крупных компаний и организаций, так и для небольших интернет-магазинов. В любом случае, внедрение качественной системы контроля над безопасностью собственной информации в разы окупит себя. Как с финансовой точки зрения, так и с репутационной.

«Я бы добавил сюда еще один наиболее верный и эффективный способ: не запрашивать у пользователя персональные данные в случаях, когда без их предоставления можно обойтись, – комментирует Александр Ерощев, аналитик компании SearchInform. – Следует немедленно уничтожать временно необходимые данные после того, как надобность в них отпала. Выше перечисленные способы обезопасить конфиденциальную информацию следует применять в случаях, когда получение персональных данных неизбежно. Важно изначально провести аудит процессов, в которых используются ПД клиентов, и выяснить, в каких случаях они действительно необходимы, а в каких берутся «на всякий случай». Резюмируя, можно отметить, что самый надежный способ таков: провести аудит и исключить из бизнес-процессов получение персональных данных в случаях, когда возможно обойтись без их наличия».


Тематика:  Информационная безопасность
Автор:  f+s
Источник:  http://security-info.com.ua

Возврат к списку


Материалы по теме: