Персональные данные, безопасность и IoT. Интернет вещей ( IoT ) постепенно охватывает индустриальный сегмент общества. Как следствие, закрытые ранее сети, изначально сконструированные для внутренней работы, вынуждены контактировать с внешними сетями, встраиваться в сложные экосистемы. Например, ритейлеры сталкиваются с необходимостью интеграции своих систем управления заказами в цепочке поставок с социальными медиа для того, чтобы быть ближе к потребителям.
Какие вопросы безопасности приходится решать в связи с распространением IoT?
Наибольший рост IoT ожидается в сегменте межмашинного взаимодействия (M2M). Уже сегодня существует возможность построения как относительно простых систем телеметрии, так и очень сложных эко-систем. Примером подобной простой системы может служить кардио-монитор, выгружающий в сеть кардио-профиль после тренировки и интегрированный с детально разработанной программой питания. Эта, на первый взгляд, невинная информация является персональными данными и требует соответствующей защиты.
Каждая новая точка интеграции является потенциальным местом утечки значимой информации. Наиболее уязвимыми с этом отношении являются подключения к общественным сетям.
Наиболее уязвимыми с этом отношении являются подключения к общественным сетям. Многие компании полагаются на многоэшелонированную оборону, так называемую охрану периметра, для защиты своих систем. Проблема при таком подходе заключается в том, что в основу заложено понятие доверия: доверенные системы допущены за «забор», те, кому в доверии отказано, находятся снаружи (например, интернет). Некоторые системы могут получить ограниченный доступ посредством идентификации и аутентификации.
Продолжающаяся череда частых кибератак, показывает, что защита периметра более не является эффективным способом защиты.
В мире IoT не существует надежного метода определения степени доверия субъекту, что ведет нас к Модели Полного Недоверия (Zero Trust Model), представленной Forrester Research. Данная модель описывает дата-центристский подход к кибер-безопасности и предполагает защиту значимой информации, позволяя повсеместный доступ и взаимодействие между системами. Модель трансформирует поход «Доверяй, но проверяй», в подход «Проверяй, но никогда не доверяй», сосредотачиваясь на защите данных, как основе обеспечения безопасности.
Какие задачи по обеспечению безопасности данных ставят инновационные технологии перед ритейлом?
В общем случае, технологии защиты закрывают обнаруженные пробелы в системе безопасности, оставаясь безоружными перед новыми типами атак. Технология защиты построенная на основе дата-центристской модели безопасности, является шагом вперед.
Взаимодействие между покупателями, ритейлерами, платежными системами создает транзакционные данные, содержащие персональные и платежные данные потребителей. Во многих случаях, ритейлер становится и хранителем этих данных. Это вынужденная мера, поскольку ритейлер обязан управлять платежами, исполнять заказы, при необходимости оформлять возврат покупок. Таким образом, ритейлеру приходится решать критически важную бизнес-функцию – обеспечение информационной безопасности.
Многие ритейлеры слишком сильно полагаются на системных интеграторов и сторонние компании при решении вопроса защиты данных. Ритейлеры обязаны взять на себя роль лидера в этом вопросе и сделать информационную безопасность одной из своих основных компетенций.
Ответственность наступает с момента прохождения первой транзакции электронного платежа клиента.Ритейлерам следует защищать данные, образующиеся в результате взаимодействия новых систем оплаты, так же, как они защищают остальные данные. Необходимо учитывать жизненный цикл данных: данные создаются, обрабатываются/трансформируются, публикуются, устаревают, удаляются. Данные также имеют состояния:
Данные в покое. Рассматривается жизнестойкость данных, временной горизонт — как долго данные хранятся в заданном месте (дисковый накопитель, флеш-память, магнитная лента). На этой стадии основная забота лежит на обеспечении мер по защите доступа к данным и контрмер по удалению устаревших и ненужных данных.
Данные в пути. Данные в пути являются наиболее частой мишенью в ходе атак, направленных на перехват данных в пути между соединенными системами. В большинстве случаев современные защищенные протоколы передачи данных обеспечивают надежное шифрование и защиту от утечек информации.
Данные в работе. На этом этапе защита данных обеспечивается защитой памяти и приложения. Это наиболее сложный элемент построения системы безопасности. Поскольку обрабатываемые данные должны быть читаемыми, то это создает значительные риски для защиты данных.
Данные, информация – это активы любой компании. Активы имеют количественное и качественное значение. Кроме того, данные имеют различные уровни чувствительности для компании. Поэтому каждый уровень требует грамотного осмысления с точки зрения безопасности и соответствующей защиты.
По материалам: Demetrio Leon Guerrero, CTO, Acuative
Изображение: Vodafone Germany Corporate Communications / Foter / CC BY-ND