Информационная безопасность

Уже давно стало ясно, что компаниям нужно в обязательном порядке реагировать на все возрастающее количество предупреждений систем безопасности. А с учетом скорости, с которой в 2017 году распространялись по миру атаки вирусов-вымогателей, и все более жестких законодательных требований реакция должна быть гораздо более быстрой. В условиях дефицита соответствующих специалистов компании обращаются к средствам машинного обучения и искусственного интеллекта для автоматизации процессов безопасности.

Что такое искусственный интеллект и машинное обучение?

В контексте информационной безопасности искусственный интеллект (artificial intelligence, AI) – это ПО, способное интерпретировать состояние среды, распознавать происходящие в ней события и самостоятельно принимать необходимые меры. AI особенно хорошо справляется с распознаванием закономерностей и аномалий, поэтому может быть прекрасным инструментом обнаружения угроз.

Системы машинного обучения – это ПО, способное самостоятельно обучаться на введенных человеком данных и результатах выполненных действий. Средства машинного обучения способны строить прогнозы, опираясь на сведения о развитии событий в прошлом.

Применение искусственного интеллекта и машинного обучения для обнаружения угроз

В компаниях уже начали пользоваться искусственным интеллектом и машинным обучением для распознавания угроз безопасности и реагирования на них. Появились достаточно мощные инструменты, но нужно определиться, как включить их в общую стратегию кибербезопасности предприятия.

Например, в банке Barclays Africa применяют искусственный интеллект для обнаружения признаков компрометации систем в локальной корпоративной сети и в облаке. При этом требуется обработка гигантских объемов данных, а в связи с быстрым изменением мирового ландшафта угроз и растущим взаимодействием атакующих, для противостояния им необходимы самые передовые технологии и методы.

Внедрив машинное обучение, людям можно поручить задания, с которыми они справляются лучше машин. Сетуя на острый дефицит специалистов, в банке отмечают, что решать задачи безопасности вручную сегодня уже просто невозможно.

В компании Cadence Design Systems, предоставляющей инженерные услуги, внедрили системы непрерывного мониторинга угроз, помогающие защищать ее интеллектуальную собственность. Ежедневный трафик данных безопасности, поступающих от 30 тыс. оконечных устройств и 8,2 тыс. пользователей, составляет порядка 30-60 Гбайт, а аналитиков, которые их изучают, в компании всего 15. И это еще не все данные о сети, которые можно было бы обрабатывать, отмечают в Cadence, и, поскольку необходим анализ еще большего объема, приходится внедрять средства искусственного интеллекта, позволяющие более эффективно обнаруживать и устранять проблемы.

Для мониторинга поведения пользователей и систем, а также для управления доступом в Cadence пользуются соответствующими продуктами Aruba Networks, дочерней компании HPE. Как отмечают в Cadence, важным свойством платформы Aruba является то, что она работает по принципу обучения без учителя. Атаки меняются и становятся все сложнее, добавляют в компании: например, в течение какого-то времени может иметь место малозаметная вредоносная активность, которая лишь позднее даст злоумышленнику возможность украсть большой объем данных, инструменты же машинного обучения помогают обнаружить подобное.

Из-за перегруженности большими объемами данных по безопасности страдают даже некрупные компании. Например, у Daqri, производителя очков и шлемов дополненной реальности для архитекторов и специалистов производственных предприятий, в штате только 300 сотрудников, причем в центре обеспечения безопасности работает всего один человек. При этом процессы анализа и реагирования на события безопасности чрезвычайно трудоемкие.

С помощью средств искусственного интеллекта от компании Vectra Networks в Daqri ведут мониторинг трафика приблизительно 1,2 тыс. устройств, работающих в корпоративной среде. Автоматизированные средства способны заметить, когда кто-то выполняет сканирования портов, переходя от хоста к хосту, или, допустим, необычным способом пересылает большие объемы данных. В компании собирают всю соответствующую информацию, анализируют ее и вводят в модель глубокого обучения. Благодаря этому достигается возможность надежно прогнозировать вероятность того, что тот или иной вид трафика окажется вредоносным.

Такой анализ необходимо выполнять быстро, сократив до минимума время между распознаванием и реакцией. Искусственный интеллект позволяет ускорить разбор инцидентов и тем самым улучшить понимание происходящего в корпоративной сети, точнее прогнозировать серьезные утечки, быстрее обнаруживать инциденты и оперативно реагировать на них, чтобы минимизировать возможный ущерб.

Применение искусственного интеллекта для обеспечения безопасности растет

Искусственный интеллект и машинное обучение существенно ускоряют реагирование на угрозы, признают аналитики Nemertes Research. По их словам, сегодня это уже серьезный рынок, сформированный под влиянием реальной потребности.

В Nemertes провели глобальное исследование, посвященное безопасности, и его результаты свидетельствуют: в среднем на обнаружение атаки и реагирование на нее в организациях уходит 39 дней, однако в некоторых компаниях сумели сократить это время до считанных часов. Скорость реагирования напрямую зависит от уровня автоматизации, которая обеспечивается средствами AI и машинного обучения.

Среднее время обнаружения атаки – час. В самых эффективных компаниях, применяющих машинное обучение, на обнаружение уходит менее 10 минут, а в отстающих – дни или недели. Что касается среднего времени анализа угроз, оно составляет три часа. В лучших компаниях на такой анализ уходят минуты, в худших – дни или недели. Поведенческий анализ угроз уже применяется в 21% компаний, участвовавших в опросе, и еще в 12% сообщают, что внедрят соответствующие средства к концу текущего года.

На передовой находятся компании сферы финансовых услуг. Поскольку их данные имеют повышенную ценность, они обычно по кибербезопасности идут на шаг впереди всех и вкладывают значительные средства в новые далеко не дешевые технологии.

По масштабам применениях AI и машинного обучения в целом показатели еще выше. Согласно исследованию Vanson Bourne, сегодня в 80% организаций применяют для тех или иных целей искусственный интеллект, и это уже окупается. Больше всего дивидендов он приносит в области исследований и разработки новых продуктов – 50% респондентов сообщили, что новшество обеспечивает положительные результаты. Второе и третье места – у цепочки поставок (46%) и основной деятельности (42%). Ненамного отстают безопасность и управление рисками: 40% респондентов сообщили о положительном опыте применения AI в этих областях.

Перечисленные показатели продолжат расти: как выявило недавнее исследование Spiceworks, в 30% организаций, имеющих более 1 тыс. сотрудников, применяют искусственный интеллект в ИТ-службах, в 25% собираются начать это делать в следующем году.

В маркетинговом агентстве Garrigan Lyman Group внедряют искусственный интеллект и машинное обучение для решения целого ряда задач кибербезопасности, в том числе для обнаружения необычной активности сети и пользователей, а также для распознавания новых кампаний фишинга. Без новых технологий было бы невозможно нормально работать, поскольку злоумышленники уже давно прибегают к автоматизации своей деятельности, признаются в Garrigan Lyman.

Искусственный интеллект и машинное обучение обеспечивают этой компании преимущество. Сама она небольшая, всего 125 сотрудников, но благодаря облачным сервисам имеет возможность быстро внедрять самые новые технологии. В Garrigan Lyman удается вводить в эксплуатацию полезные новшества всего за пару недель. В частности, здесь пользуются средствами безопасности с искусственным интеллектом компаний Alert Logic и Barracuda Networks, и, как признаются в Garrigan Lyman, системы «умнеют буквально на глазах».

Искусственный интеллект помогает системам адаптироваться к требованиям компании без объемного предварительного обучения. Например, как отмечают в Barracuda, модель AI может самостоятельно понять, что, когда генеральный директор компании определенного типа пользуется некорпоративным адресом электронной почты, это аномалия. «В некоторых организациях, если руководитель общается через личную почту на мобильном устройстве, это норма, а вот если главный бухгалтер отправляет сообщения с персонального адреса, это уже аномалия», – добавляет Асаф Сайдон, вице-президент по сервисам обеспечения безопасности контента Barracuda.

Еще одно преимущество облачной доставки: разработчикам проще совершенствовать свои продукты исходя из клиентских откликов.

«Кибербезопасность – это как соседская бдительность: если я заметил что-то подозрительное в нашем квартале, то предупрежу других», – говорит Крис Гейзер, директор по технологиям Garrigan Lyman. Фишинговые сообщения или сетевые атаки могут быть обнаружены раньше в других часовых поясах, благодаря чему у компаний появляется время подготовиться. Естественно, должно быть доверие к поставщику сервиса. В Garrigan Lyman при выборе поставщиков проводили подробный анализ – например, удостоверялись в том, что кандидат придерживается определенных норм проведения аудита, и в том, что доступ к клиентским данным могут получить только уполномоченные лица.

Недоверие к новшествам затрудняет переход от традиционных процессов к автоматизации на основе искусственного интеллекта – ведь кроме знания особенностей работы вашего поставщика не помешают сведения о том, как именно AI принимает решения. Принципы работы экспертных систем должны быть понятными, чтобы им можно было доверять. Понимая, как действует система, клиент дает свои отзывы и пожелания, это помогает совершенствовать модели машинного обучения.

В компании LexisNexis Legal and Professional 12 тыс. ее сотрудников недавно начали для защиты электронной почты пользоваться системой GreatHorn. Теперь, если, к примеру, начинают поступать сообщения из домена, по написанию похожего на хорошо известный, система автоматически отметит его в качестве «самозванца» и сообщит, почему это сделано: «Отметка поставлена, поскольку домен похож на тот, с которым вы обычно обмениваетесь сообщениями, однако его техническая информация выглядит подозрительно».

По мере роста уровня доверия к системе и точности ее решений в LexisNexis хотят перейти от простой маркировки подозрительных сообщений к автоматическому перемещению таких сообщений в карантин. На сегодня результаты весьма впечатляющие: маркируются именно вредоносные сообщения. А когда будет налажено карантинирование, пользователи вообще перестанут их видеть. После этого инструмент планируется внедрить и в других подразделениях компании, а также изучить иные возможности использования AI для обеспечения безопасности.

Как искусственный интеллект позволяет опередить злоумышленников

AI совершенствуется по мере роста объема получаемых данных. При накоплении достаточно больших срезов данных системы способны обнаруживать очень ранние признаки появления новых угроз. Пример – SQL-инъекции. В компании Alert Logic ежеквартально собирают данные примерно по 500 тыс. инцидентов, происходящих у 4 тыс. ее клиентов. Около половины таких инцидентов связаны с атаками на основе SQL-инъекций. Ни в одной компании мира нет возможности рассматривать каждый такой инцидент в отдельности, чтобы выяснить, удалась ли попытка инъекции, уверены в Alert Logic.

Благодаря машинному обучению системы компании не только быстрее обрабатывают данные, но и коррелируют события, происходившие в разные периоды времени в разных регионах. Некоторые атаки могут повторяться через несколько недель или месяцев, при этом исходить из других сегментов Интернета. Если бы не машинное обучение, такие инциденты в Alert Logic упускали бы, уверены в компании.

Большие объемы информации об угрозах также собирают в GreatHorn, компании, являющейся оператором облачного сервиса безопасности электронной почты для Microsoft Office 365, Google G Suite и Slack. «Сейчас у нас накопилось почти 10 Тбайт уже проанализированных данных по угрозам, – сообщил Кевин О'Брайен, генеральный директор GreatHorn. – Мы постепенно вводим эту информацию в модель на основе тензорного поля, что позволит обнаруживать взаимосвязи между различными видами сообщений, типами почтовых сервисов, сообщениями с разной тональностью высказываний и т. п.».

Сервисы GreatHorn способны обнаруживать новые кампании фишинговых рассылок и переносить сообщения в карантин либо дополнять их предупреждениями за несколько дней до того, как исследователи придут к выводу о появлении новой угрозы. «А после ее идентификации мы можем автоматически удалять такие сообщения из всех почтовых ящиков, куда они были доставлены», – говорит О'Брайен.

Перспективы использования искусственного интеллекта в мире безопасности

Обнаружение подозрительной активности пользователей и сетевого трафика – самое очевидное применение машинного обучения. Нынешние системы все успешнее справляются с выявлением необычных событий в больших потоках данных, решением стандартных задач анализа и рассылкой уведомлений.

Следующий шаг – использование AI для борьбы с более сложными проблемами. Например, уровень киберриска для компании в каждый конкретный момент зависит от множества факторов, в том числе от наличия систем без заплат, незащищенных портов, поступления сообщений направленного фишинга, уровня надежности паролей, объема незашифрованных конфиденциальных данных, а также от того, является ли организация объектом атаки со стороны спецслужб другого государства.

Доступность точной картины рисков позволила бы рациональнее использовать ресурсы и разработать более детальный набор показателей эффективности обеспечения безопасности. Сегодня соответствующие данные либо не собираются, либо не преобразуются в осмысленные сведения, уверены в компании Balbix, занимающейся прогнозированием риска утечек данных с использованием искусственного интеллекта.

Специалисты компании реализовали 24 вида алгоритмов, которые выстраивают «тепловую карту» рисков, учитывающую все особенности клиентской среды и позволяющую выяснить, почему та или иная «горячая» область обозначена в качестве таковой. При этом сервис выдает советы по исправлению ситуации – если последовать им, «горячая» красная область станет сперва желтой, затем зеленой. Системе также можно задавать вопросы вроде «Что именно мне стоит предпринять в первую очередь?», «Каков мой риск фишинга?» или «Каков мой риск оказаться жертвой WannaCry?».

В дальнейшем искусственный интеллект будет помогать компаниям определяться, в какие новые технологии безопасности следует вкладываться. «В большинстве компаний сегодня не знают, сколько и как тратить на кибербезопасность, – уверен Джеймс Стэнгер, главный евангелист технологий CompTIA. – Искусственный интеллект нужен, чтобы выявить показатели, на основе которых ИТ-директор сможет обратиться к руководителю компании или в совет директоров и объяснить, сколько и каких ресурсов нужно для того или иного проекта, подкрепив требования конкретными данными».

Есть большое пространство для развития. Сегодня AI используется в безопасности очень ограниченно. Можно говорить об отставании от других отраслей, и даже поразительно, что самоуправляемые автомобили появляются раньше, чем сети, защищающие сами себя. Нынешние платформы AI еще по сути не «понимают» окружающий мир. «Эти технологии хорошо справляются с классификацией данных, которые похожи на срезы и которые использовались для обучения, – поясняет Стив Гробмэн, директор по технологиям McAfee. – Но искусственный интеллект не является по-настоящему разумным – он не может понять идею, лежащую в основе той или иной атаки». Поэтому человек по-прежнему является ключевым элементом любого решения в области киберзащиты.

В других областях, где сейчас применяется AI, например в распознавании образов, речи и прогнозировании погоды, ситуация иная. «Ураган не может изменить законы физики и заставить воду испаряться как-то по-другому, чтобы усложнить вам задачу его обнаружения, – говорит специалист McAfee. – А в мире кибербезопасности все происходит именно так».

И все же прогресс в борьбе с киберугрозами есть. Существует такое направление исследований, как генеративные состязательные сети, – когда одновременно работают две модели машинного обучения с противоположными целями. Например, одна пытается что-то обнаружить, а другая – скрыть то же самое от обнаружения. Этим принципом можно пользоваться при создании команд условного противника, чтобы выяснять, какими могут быть новые угрозы.

– Maria Korolov. How AI can help you stay ahead of cybersecurity threats. CSO. OCT 19, 2017

Тема надежности паролей гарантированно вызовет зевоту у слушателей, заставив их «отключиться» и игнорировать вас, но реальность такова, что пароли по-прежнему имеют значение. Электронная почта, социальные СМИ, интернет-банки и игры, образовательные приложения и облачные сервисы – для любых систем, хранящих пользовательские данные, требуются пароли, чтобы защитить их от посторонних. И если не заботиться о надежности паролей, злоумышленники продолжат взламывать аккаунты и грабить банковские счета.

Основы известны всем: не используйте слова вроде password и не применяйте один и тот же пароль с разными аккаунтами. Включите двухфакторную аутентификацию по мере возможности; одноразовые пароли, присылаемые в SMS, – это в любом случае лучше, чем ничего. Пользуйтесь диспетчерами паролей, чтобы держать их в одном месте. Но хотя все эти рекомендации, безусловно, разумны, по-настоящему действенны они лишь в определенном контексте. Перечислим ряд популярных мифов о паролях и развеем их.

Миф № 1. Для надежности достаточно варьировать регистр букв и добавлять числа и специальные символы

Правда: уровень безопасности, обеспечиваемый сложными паролями, ограничен. Да, letmein – неудачный пароль, но Password1, Abc123 и Passw0rd – ничем не лучше, несмотря на смешанный регистр и цифры. Пользоваться паролями на основе простого слова в любом случае неудачная идея: взломщики паролей умеют перебирать разные варианты написания слов и словосочетаний, вроде vuln3rabl3 и trustno1. Можно упомянуть хотя бы тот факт, что последний из этих вариантов попал в список 25 самых распространенных паролей SplashData в 2014 году.

Справедливости ради отметим, что смешанный регистр, числа и спецсимволы значительно усиливают пароль по сравнению с написанным целиком в нижнем регистре. По приблизительной оценке, современному компьютеру нужно около двух суток на то, чтобы взломать пароль из восьми символов в нижнем регистре (поскольку возможных сочетаний 26^8 – 208 827 064 576), тогда как обширному ботнету на это достаточно всего 1,8 сек. Смешанный регистр замедляет перебор, а один-два спецсимвола сильно увеличивают количество сочетаний.

Но, если используемая в качестве пароля строка не представляет собой действительно случайную последовательность символов, не помогут ни смешанный регистр, ни числа со спецсимволами: в список 25 самых распространенных паролей SplashData за 2015 и 2016 годы попали соответственно 1qaz2wsx и 1q2w3e4r. То есть налицо попытка следовать правилам, но, если при этом нажимать клавиши, расположенные рядом, или использовать другие простые последовательности, эффективность метода сводится на нет. Взломщики паролей знают о том, как расположены клавиши на клавиатуре, и обязательно попробуют соответствующие варианты.

Миф № 2. Хороший пароль должен быть очень длинным

Правда: более длинные пароли, конечно, надежнее, но от 8 до 12 символов – вполне достаточно. Короткие пароли, действительно, взламываются «лобовым» методом – перебором – гораздо быстрее. Злоумышленнику намного проще угадать пароль из 6 символов, чем пароль из 10 или даже 8 символов. На современном компьютере 8-символьный пароль с буквами разного регистра и числами взламывается за 5,88 года, а на мощном ботнете – за 31 минуту. А вот если увеличить длину пароля всего на 2 символа, то такому ботнету уже понадобится 83 дня. А 10-символьный пароль с буквами, числами и специальными символами, что-нибудь вроде вроде %ZBGbv]8g?, компьютер будет взламывать 289 217 лет, а ботнет – 3 года.

Можно даже не добавлять символы и цифры: на взлом пароля длиной 40 знаков смешанного регистра уйдет больше 1000 лет. Так что же, выходит, все-таки лучше во что бы то ни стало делать пароль как можно длиннее?

Не спешите, нужно еще принять во внимание модель угрозы. Если больше всего беспокоит, что кто-то взломает базу и украдет хеши, то максимально длинные и сложные пароли – определенно лучший способ защиты (используемый метод хеширования тоже имеет значение, но сейчас речь не об этом). Но в компаниях обычно больше всего боятся вероятности многократного использования паролей и атак фишинга, а в этом отношении длина пароля не особенно важна. Если злоумышленник уже получил сам пароль с помощью фишинга, то неважно, сколько в нем символов – 8, 20 или 50. Копирование, вставка – и в вашем аккаунте чужак. А если от пользователей требуют вводить 20-символьные пароли, но при этом диспетчеры паролей не применяются, то пароли будут использовать многократно – это несомненно.

Важно также, что именно защищается. Если риск невелик – например, речь идет о компьютере в районной библиотеке, то 8-символьного пароля вполне достаточно. А если о сервисе, в котором хранится полная история ваших финансовых операций, то более длинный пароль – необходимость. Безопасность – это компромиссы: самые ценные аккаунты нужно защищать паролями, надежными, как Форт-Нокс. Не пользуйтесь одними и теми же паролями, не поддавайтесь на фишинг, и для многих аккаунтов 8-символьных паролей будет достаточно. Именно поэтому в последней версии рекомендаций Национального института стандартов и технологий указано, что 8 символов достаточно.

Есть еще и побочная проблема: пароли могут быть настолько длинными, что проще пользоваться функцией восстановления и сбрасывать пароль путем ответа на «секретный вопрос». А взломщику будет гораздо проще выяснить кличку вашего домашнего животного или название города, где вы выросли, чем угадать ваш пароль.

Миф № 3. Никогда не следует записывать пароли

Правда: все зависит от того, как вы это делаете. Кроме использования Password1 в качестве пароля, самый страшный «грех» – записывать свои пароли на бумажке. На самом деле это не всегда так уж ужасно. Главное, не наклеивать на монитор стикер с пометкой «мой новый пароль от онлайн-банка». Если вы записали новый длинный сложный пароль и неделю носите его в бумажнике, пока хорошенько не запомните, – это нормально, поясняют в компании Sophos. Более того, там даже советуют записывать самые важные пароли и хранить в сейфовой ячейке, чтобы в случае чего близкие смогли получить к ним доступ.

Миф № 4. Обязательная периодическая смена паролей повышает безопасность

Правда: таким образом только повышается вероятность того, что пользователи будут выбирать слабые пароли. Требование регулярной смены паролей было одним из главных элементов корпоративных политик безопасности буквально до недавнего времени. В некоторых организациях даже указывают минимальный «возраст» паролей, а чтобы пользователи не переходили сразу к предыдущему паролю, ведут историю паролей для предотвращения повторного использования и назначают минимально допустимое число символов нового пароля, чтобы он «достаточно отличался» от прежнего. Обязательная смена паролей имеет смысл, если существует опасность утечки паролей. Когда у организации есть подтверждение того, что пароли скомпрометированы, то принуждать к их смене, конечно же, нужно. Но менять пароли только потому, что прошло определенное число дней? Большого смысла в этом нет.

Согласно новым рекомендациям NIST, политики составления паролей нужно делать менее сложными, поскольку иначе пользователям труднее выполнять свои рабочие обязанности и повышаются расходы на обеспечение выполнения правил. Хотя смена паролей, казалось бы, хорошая идея, на самом деле пользователям так труднее запоминать очередной, и они начинают применять одни и те же пароли или легко угадываемые закономерности – например, Password1, Password12 и т. д.

– Fahmida Y. Rashid. Want stronger passwords? Understand these 4 common password security myths. CSO. October 3, 2017

25 мая 2018 года регулирующий акт Евросоюза «Общие положения о защите данных» (General Data Protection Regulation, GDPR) вступает в силу в полном объеме, он касается любой компании в мире, занимающейся обработкой и хранением персональных данных лиц, проживающих в ЕС. Новый акт предоставляет людям больше прав касательно управления их персональными данными (Personally Identifiable Information, PII), осуществляемого компаниями. Также он предусматривает крупные штрафы за его неисполнение и нарушение конфиденциальности данных – до 4% годового дохода компании. Кроме того, компании должны в течение 72 часов предоставлять отчеты об утечках данных. (См. подробную информацию о данном регулирующем акте в «Требованиях, нормативных сроках и фактах “Общих положений о защите данных (GDPR)"».) 

Даже если вы не ведете бизнес с ЕС, вероятнее всего, новый закон окажет влияние на стандарты обеспечения глобальной безопасности в перспективе. Поэтому компании, работающие в ЕС или с данными, на которые распространяется действие GDPR, пытаются быстро и заблаговременно обеспечить соответствие этому документу. Службам безопасности необходимо будет убедиться в том, что данные, идентифицирующие личность, надлежащим образом защищены и соответствующие процедуры отчетности имеются.

По словам Брайана Вечи, технического евангелиста компании Varonis, которая специализируется на разработке систем по контролю и управлению правами доступа к распределенным файловым ресурсам, большинство компаний совсем не готовы к работе в новых условиях. Есть американские компании, которые подпадают под действие этого нового документа о конфиденциальности лишь потому, что кто-то из ЕС подписался на их информационную рассылку. И если в вашей организации имеются персональные данные гражданина одной из 28 стран – членов Сообщества, то этот акт касается и вас.

GDPR не определяет каких-либо конкретных средств управления защитой данных, которые должна использовать организация. Компания может сама определять необходимые средства обеспечения безопасности собранных данных, конфиденциальности и управления рисками.

GDPR не определяет каких-либо конкретных средств управления защитой данных, которые должна использовать организация. Компания может сама определять необходимые средства обеспечения безопасности собранных данных, конфиденциальности и управления рисками.

Оливье ван Хуф, менеджер по предварительным продажам в Европе бельгийской компании Collibra, разрабатывающей ПО, считает, что GDPR начинается с управления данными: «Вы должны установить платформу управления данными прежде, чем вы действительно сможете начать защищать данные. Это значительно больше, чем просто техническая защита данных. Большинство организаций начинают с рассмотрения своих бизнес-процессов, затем переходят к рассмотрению логических процессов, используемых при сборе данных, и затем – к самим физическим данным. GDPR – это также понимание того, что данные действительно принадлежат личности. Вы же в действительности лишь размещаете у себя эти данные».

Что GDPR подразумевает под персональными данными?

Определение персональных данных в GDPR значительно шире, чем ранее существовавшие. Оно включает в себя любую информацию, касающуюся конкретного человека, будь то личные, публичные или профессиональные данные. Это не только имена, адреса и финансовая информации, но и все то, что может идентифицировать личность (например, IP-адреса, идентификация пользователей при регистрации для входа в систему, данные биометрической идентификации, данные о географическом местоположении, видеоматериалы, статистика лояльности клиента, посты и фото в социальных сетях).

Обеспечение соответствия GDPR означает, что вы не только должны обеспечивать защиту большего числа видов данных в будущем, но и затрачивать больше усилий на идентификацию существующих данных.

Страны, затрагиваемые GDPR, должны будут идентифицировать в силу своих возможностей информацию, которая не отслеживалась или не индексировалась ранее. Например, записанный звонок в службу поддержки клиентов, возможно, необходимо будет локализовать, защитить, отследить и внести в отчет.

Каковы новые права пользователей в сфере персональных данных?

Документально оформленное добровольное согласие лица на использование информации должно даваться каждым человеком (или его официальным представителем). Согласие должно однозначно определять собираемые данные, цель их использования и длительность их хранения. Пользователи могут отозвать свое согласие в любое время и отправить запрос на удаление их персональных данных (при условии, что они укажут обоснованную причину).

В соответствии с GDPR физические лица могут также контролировать, что происходит с их персональными данными. Они могут рассчитывать на исправление фактических ошибок, видеть, какая информация о них хранится, и даже экспортировать ее для своего персонального просмотра и использования. Эти важные права являются новыми для большинства организаций.

Большинству компаний сначала просто нужно понять, какие положения GDPR у них уже выполняются. Им необходимо выяснить, где хранятся эти данные и подпадают ли они под действие GDPR. Затем им необходимо обеспечить их защиту по принципу минимальных привилегий и отслеживание их изменений. Компания Varonis так и делала с самого начала. Она специализируется не только на поиске данных, но и на определении, кто к чему имеет доступ и нужен ли им доступ к этим данным. Прежние нормативные документы, касающиеся защиты данных, требовали обеспечивать защиту данных от доступа извне. Теперь их необходимо лучше защищать изнутри, поскольку статья 25 GDPR гласит, что данные должны быть защищены по принципу минимальных привилегий намеренно и по умолчанию. И вы не можете сделать это, не понимая, где они находятся и кто может получить к ним доступ.

Каким образом GDPR влияет на структуру служб безопасности?

GDPR дает определение многочисленных функций участников процесса, прописывает правила и обязанности каждого из них. Субъект данных – это лицо, чьи персональные данные собираются. Управляющий данными – это организация, собирающая данные. Обработчик – это организация, обрабатывающая данные по поручению управляющего данными. Управляющие и обработчики обязаны вести письменный учет того, какие данные были собраны, каким образом они были собраны, как они были использованы, когда они были удалены.

Службам безопасности предстоит не только защищать данные от традиционных угроз, но и делать это так, чтобы процесс был прозрачным, документально оформленным и пригодным для возможного использования в отношении большого количества субъектов данных, и все это при строгом обеспечении безопасности данных. Каждому члену службы компьютерной безопасности необходимо разъяснить методы обеспечения соответствия требованиям GDPR.

Многие предприятия-участники, частные и государственные, должны иметь ответственного за защиту данных (data protection officer, DPO). Руководитель по защите данных должен обладать техническими знаниями или иметь персонал для защиты данных и обеспечения преемственности бизнеса. В ЕС считают, что позиция DPO настолько важна, что разработали отдельный, подробный 18-страничный документ о данной позиции.

Может показаться, что позиция по защите данных больше всего подходит руководителю информационной безопасности, однако руководитель по защите данных должен четко понимать требования к конфиденциальности и обеспечению соответствия, что обычно лучше понимают директора по вопросам конфиденциальности (chief privacy officer, CPO) или другие защитники конфиденциальности, однако они могут не понимать технической стороны вещей. В малом бизнесе все может закончиться назначением «наиболее подходящего» работника в качестве управляющего данными или даже выбором внешнего руководителя по защите информации. В любом случае GDPR требует, чтобы такой руководитель был независимым аудитором соответствия требованиям и был доступен для субъектов данных, для организации, следующей предписаниям данного акта, и для инспекторов GDPR.

Ван Хуф отмечает, что большинство европейских компаний уже наняли директоров по защите данных.

Отчеты о защите и обработке данных должны храниться и предоставляться для текущих и регулярных проверок не только аудиторам, но и субъектам данных. Каким образом организация обеспечит доступ к отчетам для индивидуальной частной проверки и в то же время защитит их от несанкционированного просмотра? Потребуется ли для каждого отдельного субъекта новая система сопровождения управления идентичностью и контроля доступа с учетом того, что потенциально возможных субъектов данных миллионы? Может ли организация соответствовать требованиям GDPR, просто распечатывая личные отчеты и рассылая пользователям бумажные копии? Это важные моменты, которые должны проработать директора по защите данных, руководящий состав и служба безопасности.

Национальные органы управления защитой данных

Каждая страна – член Сообщества имеет национальный орган управления защитой данных (data protection authority, DPA). DPA несут ответственность за установление соответствия и проведение в жизнь соответствующих законов на национальном уровне, но обязаны быть независимыми даже от контроля со стороны собственного национального правительства.

Страны – члены Сообщества могут иметь один или более органов управления. Каждая организация может выбрать один DPA, который контролирует соответствие GDPR для организации в целом. Единый надзорный орган имеет возможность контролировать обработку и защиту данных, обеспечиваемые в других странах-членах. Критики справедливо отмечают, что компании, работающие в нескольких странах – членах Сообщества, могут выбрать для работы наиболее гибкий DPA подобно тому, что они уже сегодня делают для снижения налогов и организационной независимости.

DPA созданы в рамках предыдущего закона ЕС о защите данных, но были значительно усилены в регулирующем акте. DPA фактически являются официальными государственными регулирующими и надзорными органами в структуре GDPR. Орган управления защитой данных помогает принимать решения в правовых вопросах и может расследовать деятельность компаний в случае нарушений и приостанавливать работу управляющих данными и обработчиков, несущих юридическую ответственность за нарушения GDPR, и определять штрафные санкции. Кроме того, он решает, может ли организация передавать данные за пределы ЕС, и если да, то какие механизмы защиты следует применить. В конкретной организации основным лицом, поддерживающим связь с DPA, вероятно, будет руководитель по защите данных.

Если субъект данных понимает, что произошло нарушение, он может связаться либо с DPO, либо с DPA, который был выбран данной компанией и контакты которого были переданы субъекту. На практике это может быть очень неудобно, поскольку DPO или DPA компании, управляющей данными или обрабатывающей их, может не находиться в той же стране.

Об утечках данных следует сообщать незамедлительно

Об утечках персональных данных следует сообщать немедленно или по крайней мере в течение 72 часов в единый надзорный орган – DPA. Лица, которых это коснулось, должны быть оповещены, если ожидаются негативные последствия. Однако если эти данные соответствующим образом зашифрованы или обезличены и эта критичная защита не была взломана, то людей оповещать не следует.

Службы безопасности, вероятно, будут испытывать больше давления, поскольку должны убедиться в том, что все персональные данные надлежащим образом зашифрованы или обезличены. Ранее шифрование в основном было направлено на защиту портативных устройств. Обеспечение соответствия GDPR, скорее всего, приведет к большому спросу на еще большее шифрование данных во всей компании.

Также службы безопасности будут подвергаться повышенному давлению из-за необходимости быстрее, чем раньше, определить, явилась ли утечка данных событием, требующим отчетности. 72 часа – слишком малое время для многих организаций, особенно если пытаться понять, может ли какой-либо факт предотвратить необходимость сообщать об утечке затронутым субъектам данных или в прессу.

Как подготовиться

Любой сотрудник компаний, подпадающих под действие GDPR, занятый сбором, хранением, обработкой данных, уже должен знать основы регулирующего акта. Необходимо сформировать группы людей, которые будут заниматься подготовкой к введению GDPR в действие и обеспечением его выполнения. Наиболее важные сотрудники должны пройти обучение по GDPR с проверкой их знаний. При необходимости назначьте или наймите сотрудника, ответственного за обеспечение соответствия данных требованиям GDPR.

Оцените готовность вашей компании выполнить требования GDPR (например, персонал, инструменты и процессы), отметив области, требующие наибольшего внимания. Простое определение имеющихся данных, уже соответствующих требованиям GDPR, будет серьезной первоначальной задачей. Большинство компаний столкнутся с необходимостью создать новые системы для отслеживания изменений данных в соответствии с нормами GDPR или изменить существующие системы.

Заранее определите, что вашей компании придется делать в случае утечки персональных данных. С кем вы будете связываться? Какую информацию вы должны передать? Кто определяет, следует ли уведомить субъектов данных?

GDPR – это новый стандарт по защите конфиденциальности персональных данных. Он призван дать субъектам данных больше возможностей по контролю данных и обеспечить прозрачность операций и защиту. Это отличная вещь для защиты конфиденциальности, но масса работы для тех, кто должен выполнять требования этого акта.

***

Многие компании видят в GDPR лишь еще одну обузу, дополнительные расходы. Но, может быть, следует его рассматривать как возможность? Часто бывает, что компании собирают данные в течение длительного времени и даже не уверены, нужны ли они им. А GDPR заставит их пересмотреть причину сбора этих данных, срок их хранения, способ их обработки. Это шанс оптимизировать не только данные, но и работу, связанную с этими данными.

− Roger A. Grimes. How to protect personally identifiable information under GDPR. CSO. August 14, 2017

Регулирующий акт Евросоюза «Общие положения о защите данных» (General Data Protection Regulation, GDPR) вступит в силу 25 мая 2018 года и кардинально изменит способы сбора и использования персональных данных, поэтому европейские (и не только) компании должны полностью пересмотреть свои механизмы обработки клиентской информации. Подчеркнем, что эти требования распространяются и на многие российские компании, которые могут даже и не подозревать об этом; например, отечественный интернет-магазин может оказаться «оператором» клиентских данных посетившего его гражданина ЕС, а потому должен надлежащим образом обрабатывать, хранить и защищать их. Мы попросили специалистов отечественных ИТ-компаний пояснить, кого может реально коснуться закон в России.

Кому следует задуматься?

Андрей Янкин, заместитель директора центра информационной безопасности компании «Инфосистемы Джет», считает, что для большинства российских компаний данная тема не актуальна, но есть организации, которым все же пришлось озаботиться данным вопросом. В первую очередь это «дочки» западных организаций, а также компании, имеющие филиалы в Евросоюзе или предоставляющие сервисные услуги европейским потребителям. Последняя категория не подпадает напрямую под GDPR, но их клиентам необходимо выполнять требования регулятора, и они требуют того же от поставщиков услуг.

«Нормы GDPR конкретно коснутся тех, кто так или иначе работает со странами Европы. Это финансовые компании, технологические, медиа- и телеком-компании, фармацевтические, транспортные, интернет-магазины», – отмечает Тимур Аитов, заместитель генерального директора группы компаний «Программный Продукт» и заместитель председателя подкомитета по платежам и информационной безопасности ТПП РФ. К примеру, система «Платон», в которой зарегистрировано около 2 млн личных кабинетов, сразу подпадает под действие GDPR. В сфере внимания окажутся и те, кто намерен предоставлять свои товары и услуги в странах Европейской экономической зоны: использует для их описания европейские языки, ведет заметный (агрессивный) маркетинг в ЕЭЗ, осуществляет мониторинг поведения европейцев, анализируя его с целью подготовки прогнозов, выявления предпочтений и т. п.

По мнению Антона Боженко, архитектора управления пресейла и прототипирования центра компетенций Больших Данных компании «Техносерв», закон коснется еще и тех компаний, которые ведут регистрацию пользователей веб-ресурсов, используют адресный или интернет-маркетинг, обрабатывают большие объемы персональных данных. Например, это могут быть не только транспортные и финансовые компании, но и туроператоры или социальные сети.

Анастасия Казакова, специалист по связям с государственными органами «Лаборатории Касперского», рекомендует обратить внимание на два ключевых момента, которые подскажут, попадает ли компания под действие закона: сфера применения GDPR и определение «персональных данных» и их «обработки». Сфера применения охватывает практически все случаи, когда деятельность компании распространяется не только на территорию ЕС, но и на ее граждан.

Говоря о втором пункте, стоит отметить, что GDPR существенно расширяет определение персональных данных – теперь это любая информация, которая может прямо или косвенно идентифицировать пользователя (имя, фамилия, адрес и т. д.). Более того, закон выделяет особую категорию персональных данных – sensitive personal data, куда входят биометрические данные, указание расовой, религиозной и этнической принадлежности, философские взгляды, членство в профсоюзных и иных некоммерческих ассоциациях, данные о здоровье и сексуальной ориентации. Для обработки таких данных GDPR вводит еще более строгие правила.

«Можно выделить три типа организаций, которых коснется GDPR», – говорит Руслан Вагизов, исполнительный директор ICL Services. В первую очередь это организации, у которых есть представительства в ЕС, а также компании, которые реализуют свои товары гражданам ЕС. К третьей группе относятся организации, использующие при реализации товаров валюту и язык одной из стран ЕС, адаптирующие под них свои продукты, проводящие маркетинговые акции для европейских потребителей, отслеживающие их потребительские предпочтения. По этим критериям под действие GDPR могут, например, попасть нефтегазовые, фармацевтические, медицинские и ИТ-компании.

Какие действия точно надо предпринимать, а от чего можно воздержаться?

«Стоит отметить, что и сами европейские компании пока слабо понимают, что именно необходимо делать для соответствия законодательству. Из-за этого множество проектов в области безопасности поставлено на паузу», – подчеркивает Янкин. Нет полного понимания того, как гармонизировать эти активности с новыми требованиями GDPR. Пока можно однозначно говорить о том, что необходимо выстраивать риск-ориентированный подход к ИБ, строить систему менеджмента ИБ. В целом в этом нет ничего нового, но для многих компаний GDPR – это стимул для выхода на новый уровень зрелости по данным направлениям.

Боженко согласен с тем, что требования закона предполагают наличие организованного процесса использования данных – он должен включать сбор, обработку, хранение, защиту и уничтожение. Стоит обратить внимание на полноту процесса, степень его соответствия закону, уровень реализации и контроля за его исполнением. При этом важной его частью является возможность удаления персональных данных («право на забвение»). Причем удаление персональных данных из системы должно осуществляться без потери ее работоспособности.

Что касается защиты информации, то явное указание на методологию в законе отсутствует. Российские компании защищают персональные данные в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» и используют методологию защиты информации, построенную на базе международного стандарта ISO/IEC 27001. В связи с этим возможно использование существующих мер по защите персональных данных и для данных граждан Евросоюза. Однако при оценке защищенности данных граждан ЕС стоит учесть, что трактовка понятия «персональные данные» в GDPR несколько шире, чем в российском законодательстве, они могут включать информацию, которая неявно указывает на физическое лицо – например, к ним могут относиться онлайн-идентификаторы или сookies.

«Можно самостоятельно пройти короткий тест или вообще на время «забыть» о проблеме GDPR. Однако при таком подходе возникают риски – возможная потеря репутации, огромные штрафы и пр.», – считает Аитов. Штрафы за нарушение требований GDPR могут достигать 20 млн евро или 4% годовой выручки компании. Помимо этого, каждая страна Евросоюза может установить дополнительные санкции. Самый очевидный шаг – при малейших сомнениях обратиться к консультантам, хотя ряд положений GDPR до сих пор не вполне однозначно трактуется самими экспертами.

«Для законной обработки данных существует несколько оснований, – говорит Казакова. – Одним из них является получение недвусмысленного и ясно выраженного согласия от пользователя. При запросе такого согласия оператор должен простым и понятным языком изложить цель обработки данных, а также указать на право пользователя отозвать это согласие впоследствии и потребовать от оператора удаления данных». Кроме того, операторы должны сделать процессы обработки персональных данных прозрачными: GDPR обязывает компании предоставлять сведения об обработке и передаче данных третьим лицам по запросу пользователей или правомочных органов. Более того, данные должны быть представлены в структурированном формате для простой перезаписи.

Как указывает Вагизов, очень многое зависит от того, как в организации сейчас построены процессы обработки персональных данных. Однако в качестве отправной точки можно порекомендовать руководство «Подготовка к GDPR за 12 шагов» («Preparing for the GDPR: 12 steps to take now»), разработанное британским регулятором в области защиты данных.

Некоторые из этих рекомендаций будут актуальны только для британских компаний, но в любом случае они помогут сформировать общую картину и понять, на что обратить внимание.

Какие ИТ-решения могут быть полезными?

«Отдельные провайдеры облачных сервисов уже предлагают решения, которые соответствуют требованиям нового законодательства, ведь во многом GDPR «заточен» именно на облака и соцсети», – говорит Аитов. При собственной же разработке ИТ-решений действовать придется по принципу «семь раз отмерь» и советоваться с юристами. Причем это относится к разработке всех политик, процедур и всех информационных систем организации.

По словам Янкина, с точки зрения технических средств защиты информации необходимо прежде всего учитывать те риски, которые выявляет для себя компания. Однако уже сейчас можно говорить о том, что GDPR вызовет рост на рынке шифрования и обезличивания данных, так как такие технологии защищают компанию от необходимости разглашать информацию о компрометации систем, тем самым снижая репутационные риски.

«Текст закона не предполагает обязательного внедрения каких-либо решений и инновационных продуктов», – подчеркивает Боженко. Его требования направлены на развитие процессов управления данными в организациях и усиление взаимодействия между подразделениями ИТ и ИБ. Для повышения уровня автоматизации при приведении ИТ-процессов в соответствие требованиям GDPR следует обратить внимание на решения класса Data Governance. Наличие полной и актуальной информации о данных, местах их размещения, методах обработки и правах доступа поможет в практической реализации требований закона.

Казакова, напротив, полагает, что инновацией GDPR является то, что закон заставляет операторов не только перестроить организационные процессы, но и существенно пересмотреть техническую сторону работы компании. Для этого GDPR вводит принципы Privacy by Design и Privacy by Default. Иными словами, ИТ-процесс должен стать таким, чтобы конфиденциальность персональных данных была обеспечена по определению и по умолчанию. Например, GDPR говорит о проведении псевдонимизации и шифровании персональных данных, внедрении механизмов для обеспечения конфиденциальности, целостности, доступности и устойчивости систем обработки данных, об обеспечении способности систем своевременно восстанавливать доступ к персональным данным в случае инцидента, при проведении регулярного тестирования.

Какой подход следует избрать?

«Пока не сформировалась четкая практика приведения процессов обработки данных в компаниях в соответствие требованиям GDPR, я бы рекомендовал заняться требованиями по сбору согласий на обработку, выстраиванию каналов взаимодействия с субъектами персональных данных, – говорит Янкин. – Эти направления деятельности вполне понятны всем, кто занимался, например, вопросами соответствия российским требованиям по защите персональных данных. К тому же стоит пересмотреть свою систему менеджмента ИБ и управления рисками».

Как полагает Боженко, в первую очередь необходимо выявить виды обрабатываемой информации (из защищаемых законом), цели и последовательность процессов их обработки, а также существующие методы их защиты. После этого надо разработать комплексный план мероприятий по реализации требований закона. Комплекс мероприятий должен затрагивать зоны ответственности ИТ-подразделений и подразделений информационной безопасности. Именно по этой причине так важно с самого начала проекта обеспечить участие в нем руководителей уровня CIO и CISO.

«Для начала ИТ-директору полезно написать красочную «страшилку» и отправить руководству», – рекомендует Аитов. Адаптация к нормам GDPR – это огромная и длительная работа, которая ляжет на службы ИТ, ИБ, корпоративных юристов.

Европейцы от контроля за нормами GDPR отступать не намерены, и огромные штрафы появились неслучайно. Обстановка в мире непростая: поводы со стороны GDPR могут быть использованы в том числе для «наказания» крупных отечественных представителей бизнеса – конкуренцию никто не отменял. Однако неприятности могут возникнуть у компании любого размера.

GDPR как свод законов – это заметный вызов для самих стран европейской экономической зоны именно потому, что нормы закона получили прямое действие в отношении всех стран.

Миллениалы – люди в возрасте от 20 до 35 лет – занимают все больше рабочих мест по всему миру. По результатам исследования, проведенного в 2015 году американским Исследовательским центром Пью (Pew Research Center), к числу миллениалов относится по крайней мере один из трех работников. По данным PwC, к 2020 году половина мировой рабочей силы будет состоять из представителей этой демографической группы.

Термин «миллениалы» служит для обозначения группы людей с определенными особенностями. Перечислим некоторые из них. Миллениалы любят общение в социальных сетях. Они ценят хорошие впечатления от использования приложений. Они гибко подходят к выполнению рабочих задач. Если ожидания миллениалов не оправдываются, они предпочитают не оставаться на месте, а идти дальше. В будущем эти особенности будут определяющими для сферы труда. Существующим стратегиям сетевой безопасности многих организаций предстоит пройти серьезное испытание.

Рассмотрим три ключевых фактора, влияющих на корпоративную безопасность и имеющих непосредственное отношение к поведению миллениалов.

Социальные сети

Блокировать или не блокировать? Этим вопросом задаются многие руководители, когда речь заходит об использовании сотрудниками социальных сетей на рабочем месте.

Поставщик программного обеспечения для управления кадрами CareerBuilder провел исследование, в ходе которого были опрошены работодатели на территории Северной Америки. 37% из них полагают, что социальные сети являются одним из основных факторов, снижающих производительность работы. Социальные сети занимает четвертое место после мобильных телефонов и обмена сообщениями (55%), Интернета (41%) и разговоров на рабочем месте (39%). Три из четырех работодателей заявили, что из-за отвлекающих факторов в день теряется два часа и более.

С точки зрения сетевой безопасности социальные сети являются одним из каналов передачи вредоносных программ и атак с применением социальной инженерии. Какое количество ссылок, которыми делятся пользователи, понятия не имея об их содержании, ведет на зараженные веб-сайты? Даже если сотрудники используют социальные сети профессиональным образом, их друзья и члены списка контактов не обязательно делают то же самое.

Запретить или ограничить доступ к социальным сетям на уровне сети достаточно легко. Статические фильтры URL-адресов в составе программного обеспечения Web Filtering могут блокировать или отслеживать определенные URL-адреса. С помощью фильтрации по категориям можно заблокировать целую группу веб-сайтов. Однако это не означает, что ИТ-директора должны немедленно заняться блокировкой социальных сетей на рабочем месте.

Более эффективен комплексный подход к обеспечению сетевой безопасности. Для начала необходимо сформировать четкую программу работы с социальными сетями и обучения персонала. Например, сотрудники отдела сбыта должны иметь представление об угрозах безопасности и деловых рисках, связанных с входом в учетные записи социальных сетей во время нахождения на рабочем месте.

Наиболее важным элементом стратегии безопасности является надежная многоуровневая инфраструктура безопасности. Не следует всецело рассчитывать на то, что сотрудники не сделают ни одного неверного движения после входа в свои учетные записи в социальных сетях.

Многоуровневая система безопасности – лучшая защита

В настоящее время широко распространены системы безопасности, состоящие из нескольких уровней, направленных на обеспечение безопасности данных, устройств и пользователей. Такие многоуровневые системы позволяют обнаружить атаки, источниками которых являются разные уровни: сети, приложения, устройства или пользователи, – и остановить их распространение. Также эти системы эффективно справляются с защитой от угроз разных типов.

Приток сотрудников, принадлежащих к поколению миллениалов, способствует изменению рабочих процессов. В этих условиях перед ИТ-директорами стоит задача пересмотра способов настройки каждого уровня защиты.

Возьмем, к примеру, вопрос использования личных устройств на рабочем месте. Согласно исследованию, проведенному McKinsey, примерно в 80% организаций сотрудникам разрешено использовать личные устройства для подключения к корпоративным сетям. ИТ-отделам приходится реагировать на растущие требования сотрудников, касающиеся поддержки личных устройств с доступом к таким корпоративным приложениям, как электронная почта и календарь. Эта тенденция, получившая название концепции использования сотрудниками собственных устройств (Bring Your Own Device, BYOD), приводит к появлению новых угроз безопасности.

В частности, в обязанности директоров по ИТ входит обеспечение безопасности на уровне устройств. Первый шаг на этом пути – защита самих устройств посредством разработки определенной структуры межсетевых экранов, средств защиты от вредоносного ПО, решений для управления мобильными устройствами (Mobile Device Management, MDM) и путем обеспечения непрерывного внесения исправлений. Кроме того, с культурой BYOD связана такая угроза безопасности корпоративной сети, как взлом принадлежащих сотрудникам интеллектуальных устройств со слабой защитой паролем. В организации необходимо внедрить правила, требующие использования надежных паролей.

Также можно задействовать функцию идентификации типов устройств, которая будет ограничивать доступ к некоторым областям сети через хуже защищенные устройства, например через мобильные телефоны. Кроме того, следует принять меры по обеспечению безопасности сеансов – например, путем запрета на посещение пользователями небезопасных веб-сайтов.

Аналогичным образом следует обеспечить защиту пользовательского уровня в целях устранения набирающих силу рисков, связанных с внутренними угрозами. Как правило, необходимость соблюдать баланс между безопасностью и удобством делает этот уровень наиболее сложным в управлении. Существует множество способов проверки подлинности, предназначенных для идентификации пользователей сети и развертывания разных уровней доступа. Важными мерами являются обучение персонала и повышение грамотности сотрудников.

Контроль теневых ИТ-ресурсов

Термин «теневые ИТ-ресурсы» обозначает использование приложений и служб, нередко облачных, которые не одобрены организацией. Неподконтрольность таких ресурсов представляет собой угрозу безопасности и усложняет управление.

Рассмотрим следующий случай. Сотрудник открывает файл с помощью смартфона. Существует вероятность того, что телефон сделает копию этого файла и эта копия впоследствии в ходе регулярно выполняемого автоматического резервного копирования поступит в несанкционированное интернет-хранилище. Что мы видим? Защищенные корпоративные данные были перемещены в небезопасное расположение. К переносу конфиденциальных корпоративных данных в небезопасное расположение могут также привести многие приложения для совместного использования, которым отдают предпочтение миллениалы.

Маловероятно, что запрет на использование персоналом несанкционированных устройств и приложений остановит людей. В силу повсеместного распространения смартфонов сотрудники будут пользоваться социальными сетями и личными облачными приложениями независимо от требований корпоративной политики. Для решения этой проблемы могут оказаться более эффективными другие меры: обучение пользователей и развертывание таких технологий, как шифрование данных, контроль доступа и отслеживание трафика.

В целом можно сказать, что к появлению теневых ИТ-ресурсов приводит неудовлетворенность сотрудников решениями, одобренными организацией. Директора по ИТ могут не справиться с тем, чтобы предотвратить использование сотрудниками альтернативных приложений, например, для совместной работы. Однако они могут держать ситуацию под контролем, учитывая потребности сотрудников.

— Александр Мормуш, менеджер по работе с клиентами, Fortinet

В апреле Европейский парламент принял нормы Общего регулирования защиты данных (General Data Protection Regulation, GDPR). От бизнеса требуют обеспечить защиту персональных данных и конфиденциальности граждан Европейского Союза при выполнении транзакций внутри государств, входящих в ЕС. Вместе с тем GDPR регулирует пересылку персональных данных за пределы Евросоюза. Компании, ведущие бизнес в странах ЕС и обрабатывающие персональные данные их граждан, должны выполнить соответствующие требования к 25 мая 2018 года.

Положения эти согласованы между всеми 28 странами Евросоюза, а значит, компании должны соблюдать внутри ЕС единые стандарты. Требования этих стандартов исключительно высоки и большинству компаний понадобятся значительные инвестиции в реализацию и администрирование необходимых мер. (Подчеркнем, что эти требования распространяются и на многие российские компании, которые могут даже и не подозревать об этом; например, отечественный интернет-магазин может оказаться «оператором» клиентских данных посетившего его гражданина ЕС, а потому должен надлежащим образом обрабатывать, хранить и защищать их. — Прим. ред.)

GDPR содержит 99 статей, которые определяют требования и права, предоставляемые гражданам ЕС, операции и структуру норм регулирования, а также штрафные санкции. Наиболее существенное влияние на бизнес окажут несколько статей.

Статья 5: обработка и хранение персональных данных. Все персональные данные должны обрабатываться прозрачно, в соответствии с действующим законодательством и в целях, определенных их владельцами. Данные разрешено хранить «в форме, позволяющей идентифицировать их субъекта не дольше, чем это необходимо для целей, в которых обрабатываются персональные данные». Все персональные данные должны обрабатываться с учетом требований к безопасности и обеспечению защиты от несанкционированного доступа, потерь и повреждений, с использованием подходящих технических и организационных средств. Указанные средства не регламентированы, но если данные потеряны или украдены, компания может быть обвинена в несоблюдении нормативных требований.

Статьи 6, 7 и 8: согласие. Обработка персональных данных должна осуществляться в соответствии с требованиями законодательства; каждый индивидуум должен дать согласие на использование его персональных данных. Собранные данные должны быть нужны для выполнения задач или транзакций, инициированных индивидуумом. Исключение составляют запросы органов государственной власти.

Статья 15: право доступа. Граждане стран Евроcоюза имеют право знать, какие персональные данные хранит компания, и как они используются.

Статья 17: право на забвение и уничтожение данных. Граждане стран Евроcоюза вправе требовать прекращения обработки и удаления их персональных данных по первому требованию.

Статья 20: право на перенос данных. Граждане стран Евроcоюза имеют право на перенос своих персональных данных из одной компании в другую по запросу.

Статьи 25 и 32: защита данных. Компании должны предоставлять гражданам стран Евроcоюза «разумный» уровень защиты данных и конфиденциальности. Что понимается под «разумным уровнем», неясно.

Статья 35: оценка воздействия. Компании должны проводить оценку воздействия защиты данных с целью выявления рисков для граждан стран Евроcоюза. В оценке необходимо указать, каким образом компания намерена управлять этими рисками.

Статьи 37, 38 и 39: ответственные за защиту данных. В некоторых компаниях необходимо ввести должность ответственного за защиту данных, который будет контролировать выполнение стратегии в области безопасности и соответствие нормам GDPR. Ответственный должен назначаться, если компания обрабатывает или хранит большие объемы данных о гражданах ЕС, обрабатывает или хранит специальные персональные данные, регулярно осуществляет мониторинг субъектов данных либо относится к органам государственной власти. По оценке Международной ассоциации специалистов в области конфиденциальности (International Association for Privacy Professionals, IAPP), в целом потребуется заполнить 28 тыс. таких вакансий.

Статья 50: международные компании. Международные компании, собирающие и обрабатывающие данные граждан ЕС, должны соответствовать нормам GDPR.

Статья 83: штрафные санкции. На компании может быть наложен штраф в размере 20 млн евро или 4% глобального годового оборота, в зависимости от того, какая сумма окажется больше.

- Michael Nadeau. What are the GDPR requirements? CSO. June 29, 2017

Регулирующий акт Евросоюза «Общие положения о защите данных» (General Data Protection Regulation, GDPR) стал одним из самых строгих законов, касающихся защиты персональных данных. Директива вступит в силу 25 мая 2018 года и кардинально изменит способы сбора и использования персональных данных, поэтому европейские (и не только) компании должны полностью пересмотреть свои механизмы обработки клиентской информации. Старый подход «лучше заплатить штраф, чем выполнять требования закона» здесь не работает, поскольку регулирующие органы получат право накладывать крупные штрафы за серьезное нарушение акта — вплоть до 20 млн евро (примерно 1,5 млрд руб.) или 4% годового дохода компании.

Основные положения GDPR включают право на забвение, непрерывную защиту персональных данных, гарантии конфиденциальности, целостности и доступности данных, оповещения о несанкционированном доступе к данным в течение 72 часов, принцип минимизации данных, передачи и переноса данных. При этом понятие «персональные данные» определено широко и включает в себя все данные, относящиеся как к установленной личности, так и к тем пользователям, чью личность можно установить.

Как повлияет GDPR на российский бизнес

В связи с экстерриториальностью, акт GDPR создает риск крупных штрафов и для российских компаний. Даже если граждане ЕС не являются клиентами или партнерами бизнеса, автоматический сбор данных (например, cookies) уже считается мониторингом персональной активности. По сути, под регулирование GDPR попадают любые интернет-компании. Сырьевые, крупные промышленные и финансовые компании должны соблюдать GDPR, поскольку имеют филиалы в странах ЕС. Отдельной строкой проходят транспортные компании: РЖД, «Аэрофлот», S7 Airlines и другие, реализующие онлайн-продажи билетов. Такие компании хранят и обрабатывают данные граждан ЕС. Кроме того, регламентированная GDPR обязанность раскрывать информацию о нарушении конфиденциальности может нанести репутации компании не меньший ущерб, чем штрафы.

Какие меры следует предпринять бизнесу

Для выполнения требований GDPR организации должны внедрить самые эффективные и строгие практики управления данными и политики безопасности. Важный первый шаг в этом направлении – понять, где и как компания собирает, использует и хранит персональные данные (на серверах организации или в облаке), какие системы используют эти данные и кто имеет к ним доступ. Некоторые CIO считают, что приложениями управлять относительно несложно, а основную проблему представляют неструктурированные данные, которые легко распространяются по внутренним системам и рабочим ноутбукам и поэтому часто «утекают» в чужие облака и клиентские устройства.

Казалось бы, с точки зрения выполнения требований GDPR легче управлять структурированными данными приложений, однако быстрое увеличение числа приложений на крупных предприятиях резко усложняет управление этими данными. К тому же крупные предприятия должны обеспечить соблюдение требований GDPR и для неструктурированных данных, хранящихся на серверах, в системах электронной почты и на клиентских устройствах. Это крайне сложная задача, поскольку почти 80% всех используемых в бизнесе данных приходится на неструктурированные. Возможно ли обеспечить соответствие требованиям GDPR в типичной современной компании, где для управления данными применяются различные, никак не интегрированные между собой продукты? Это трудная задача, но вполне осуществимая.

Единая платформа управления данными – эффективное решение проблемы

Многие организации выбрали стратегию консолидации на одной унифицированной платформе управления данными. Такая платформа дает четкую картину всех приложений и неструктурированных данных компании, помогает обеспечить соответствие ключевым принципам GDPR, а при необходимости – продемонстрировать соблюдение требований законодательства регулирующим органам.

Если платформа выполняет все процессы управления данными, то ИТ-отдел может создать контентный индекс всех данных компании, тогда как при использовании нескольких отдельных продуктов это зачастую сделать невозможно. Такой индекс создаст прочный фундамент для политик управления информацией и предоставит CIO общую картину данных и контроль над ними, которые нужны для выполнения самых строгих требований по защите персональных данных.

Интегрированный подход дает полное представление в масштабе организации о том, где находятся персональные данные, поэтому становится возможным оптимизировать контроль над доступом к данным, консолидировать усилия по обеспечению информационной безопасности и выделить среди них приоритетные. В то же время организация сможет предоставить информацию по соблюдению законодательства. Кроме того, автоматизируется применение политик сохранения информации для всего ландшафта данных, а значит, резко сокращаются риски, связанные с клиентскими устройствами.

Анализ данных гарантирует, что конфиденциальные данные получат необходимый уровень защиты, а если произойдет нарушение конфиденциальности, то удастся намного быстрее оценить последствия этого инцидента. Если данные будут испорчены, необходимо их быстрое восстановление внутри ИТ-инфраструктуры организации или в облаке, а также оперативное оповещение о нарушении конфиденциальности.

Использование существующих ИТ-процессов для консолидации данных

Может показаться, что для консолидации всех данных организации на одной унифицированной платформе потребуется большое количество изменений в существующем ИТ-ландшафте, создание новых процессов и подсистем и дополнительные инвестиции. Но это не совсем так. Дело в том, что в каждой организации уже присутствуют ИТ-процессы, которые работают со всеми или почти со всеми данными, – это процессы создания резервных копий и архивов. Они могут быть разрозненными или централизованными, использовать различные технологические решения, но они есть в том или ином виде. Для решения задач, описанных выше, достаточно посмотреть на эти процессы шире, добиться их унификации, использовать единые современные инструменты для их реализации. И создаваемый единый репозиторий архивов и резервных копий вполне будет выполнять задачи контроля, анализа и управления данными предприятия.

До вступления в силу GDPR осталось меньше года, и организациям необходимо за оставшееся время обеспечить соответствие требованиям этого закона. Главное препятствие на пути обеспечения требований GDPR – медленное внедрение новых бизнес-процессов и технологий в компаниях. Хотя еще есть время для исправления ситуации, проблема осложняется тем, что сейчас компании пытаются успеть выполнить требования директивы, часть из которых нечетко сформулирована и нуждается в серьезной технологической экспертизе.

До первого прецедентного случая трудно прогнозировать применение GDPR по отношению к российским компаниям. Ясно одно: защита и менеджмент данных в этом году снова станут ключевым вопросом для ИТ-директоров крупнейших российских компаний.

– Андрей Вышлов, глава представительства Commvault в России

Большие Данные, включающие в себя информацию о конкретных людях, нуждаются в особой защите, однако правовых норм, регулирующих оборот данных именно этой категории, пока нет, как нет и юридически обоснованного понятия Больших Данных. Такая ситуация чревата рисками для предприятий. При этом ответственность за инциденты с персональными данными обычно несут ИТ-директора и руководители корпоративных служб информационной безопасности. В ближайшей перспективе в нашей стране могут появиться правовые нормы, регулирующие процессы обработки Больших Данных на предприятиях. Но снимут ли они остроту проблемы или добавят ИТ-директорам новых хлопот, пока не ясно.

Интернет-омбудсмен Дмитрий Мариничев: «В отрасли пока нет четкого понимания того, кому, собственно, принадлежат Большие пользовательские данные: государству, бизнесу, гражданам?»

Вопросов по теме хранения, использования и защиты Больших Данных, содержащих персональную информацию, пока больше, чем ответов. Так считают участники дискуссии, которая развернулась на форуме BIG DATA 2017, организованном издательством «Открытые системы». Как отметил российский интернет-омбудсмен Дмитрий Мариничев, в отрасли пока нет четкого понимания того, кому собственно принадлежат Большие пользовательские данные: государству, бизнесу, гражданам? А поскольку уже есть случаи утечки и несанкционированного использования таких данных, то очевидно, что их оборот необходимо регулировать. Однако непонятно, где провести границы госконтроля и как минимизировать нагрузку на бизнес. В значительной степени эта неразбериха объясняется отсутствием консенсуса по базовым понятиям. Если с определением персональных данных ситуация в целом довольно прозрачна (на то есть 152-ФЗ), то с Большими Данными – ясности нет никакой. Некоторые эксперты считают, что сам этот термин еще не устоялся.

«Это скорее технический и маркетинговый термин, а потому Большие Данные нельзя вводить в область правового регулирования. Но из этого не следует, что Большие Данные, как они понимаются многими экспертами, существуют в абсолютном правовом вакууме. Поскольку многие данные, обрабатываемые средствами аналитики, могут рассматриваться как персональные, регулированию они подлежат», – убежден юрист НИУ ВШЭ Александр Савельев.

Другие специалисты вообще отрицают существование Больших Данных как предмета для регулирования.

Заместитель директора по технологическому развитию ФРИИ Сергей Алимбеков: «Никаких Больших Данных нет. Есть просто данные. Какая разница, много их или мало»

«Никаких Больших Данных нет. Есть просто данные. Какая разница, много их или мало. Они есть, и их можно использовать для разных целей», – полагает заместитель директора по технологическому развитию ФРИИ Сергей Алимбеков.

Эту точку зрения разделяет и директор департамента универсальных платформ данных IBS Сергей Золотарев: «Мы давно решили для себя, что Больших Данных нет. Технически мы можем работать сегодня с любыми типами данных и в любом режиме».

Отрицающие само понятие Больших Данных эксперты одновременно поддерживают идею о необходимости регулирования просто данных. Эта необходимость уже перезрела, считает Алимбеков. А Золотарев подчеркивает, что именно вопрос прикладного использования данных сейчас ставится во главу угла и бизнесом, и государством, провозгласившим курс на цифровую экономику.

Владимир Журавлев, заведующий кафедрой УЦ «Информзащита», считает, что вопрос, как отделить Большие Данные от персональных, весьма актуален, поскольку бизнес может попасть под весьма жесткое законодательство. Он напомнил, что всего лишь за несоответствие письменной формы согласия на обработку персональных данных требованиям ФЗ-152 «О персональных данных» организация может быть оштрафована на 75 тыс. руб.

Вероятно, в перспективе вопросы регулирования оборота Больших Данных, содержащих персональные сведения, все же найдут свое решение, а ключевые, но не формализованные на данный момент понятия станут юридически значимыми. Как заявил эксперт по защите персональных данных и информационной безопасности DHL Express Алексей Мунтян, сейчас уже не стоит вопрос, будет или нет регулироваться оборот Больших и персональных данных. Это уже происходит.

Мунтян напомнил, что в январе 2017 года Еврокомиссия опубликовала план подготовки нового документа, посвященного электронным коммуникациям – E-privacy Regulation. И в нем явно и четко поднимается проблема регулирования Больших Данных.

«ЕК предлагает синхронизировать и гармонизировать новый европейский документ по защите персональных данных General Data Protection Regulation, который вступит в силу в мае 2018 года, с актом E-privacy Regulation. В этой связи там впервые обсуждаются такие термины, как метаданные, данные, касающиеся взаимодействия пользовательских устройств и технической инфраструктуры сервис-провайдеров. Фактически ЕС уже стоит на пороге регулирования Больших Данных в сфере электронных коммуникаций. Но этим дело не ограничится – это только первый шаг в регулировании Больших Данных», – заявил представитель DHL.

Российские регулирующие органы о ситуации, конечно, осведомлены, поэтому нам стоит ожидать аналогичных законодательных инициатив, считают эксперты.

Большинство из них приветствуют появление новых правил на строящейся дороге к цифровой экономике, но призывают сделать их эффективными.

Директор Российской ассоциации электронных коммуникаций Сергей Плуготаренко: «Российский рынок не готов к исполнению законов, регулирующих работу с Большими Данными»

Активную позицию заняли компании, оперирующие персональными данными миллионов своих клиентов. Это телекоммуникационные операторы и интернет-компании, опасающиеся излишней зарегулированности оборота данных со стороны государства. Ведь слишком жесткие правила вынудят их инвестировать избыточные средства в инфраструктуру обработки данных. Недавно «ВымпелКом», «МегаФон», МТС, «Ростелеком», Mail.Ru Group и «Яндекс» задумались о создании саморегулируемой организации под рабочим названием «Ассоциация Больших Данных». Представители перечисленных компаний уже ведут соответствующие переговоры. Они также выступают за открытость ассоциации для участников других отраслей – финансовой, страховой и пр.

Директор Российской ассоциации электронных коммуникаций Сергей Плуготаренко считает, что российский рынок не готов к исполнению законов, регулирующих работу с Большими Данными, в случае если они несут в себе какие-то новые ограничения. В интервью ТАСС он заявил, что обсуждать целесообразно лишь подходы к сбалансированному законодательству, стимулирующему переход к цифровой экономике и одновременно способному предотвращать негативные последствия от непрофессиональной или незаконной обработки Больших и персональных данных.

Для принятия таких сбалансированных правил необходим диалог между регулятором и отраслевым профессиональным сообществом. Это позволит заблаговременно донести до властей мнение бизнеса по вопросам регулирования Больших Данных, которые могут быть признаны персональными.

Кому-то 2017-й представляется годом зарождения «дивного нового мира», но специалистам по информационной безопасности он видится пугающим. Прислушаемся к прогнозам аналитиков Gartner:

• к 2020 году 60% цифровых предприятий переживут масштабные сбои обслуживания из-за неспособности специалистов по ИТ-безопасности грамотно управлять цифровыми рисками;
• к этому же времени 60% корпоративных бюджетов информационной безопасности будет выделяться на средства оперативного распознавания угроз, тогда как в 2016-м аналогичный показатель был вдвое меньше;
• к 2018-му 25% трафика данных предприятий будет проходить от мобильных устройств напрямую в облако в обход корпоративных систем безопасности;
• в предстоящие два года половина производителей устройств Интернета вещей окажутся неспособны защитить их от угроз из-за слабости механизмов аутентификации.

Какие технологии будут менять ситуацию в пользу отделов ИТ? По мнению специалистов, это автоматизация, аналитика и искусственный интеллект.

Что касается автоматизации, платформы безопасности, обнаружив новую угрозу, сами, без участия человека, будут возводить необходимые барьеры и принимать меры. Так можно будет сократить промежуток времени между компрометацией и устранением угрозы, который атакующие могут использовать, чтобы нанести вред.

Аналитические движки будут обрабатывать данные, поступающие с сетевого оборудования и оконечных устройств, в поисках аномалий, указывающих на угрозы. Определившись с нормой, такие системы смогут обнаруживать поведение, выходящее за рамки обычного, оценивая, указывает ли оно на вредоносную активность.

Искусственный интеллект позволит расширить возможности таких систем: они смогут обнаруживать аномалии не только в сетевом трафике, но и в поведении отдельных компьютеров и пользователей, а также их групп.

В 2017 году такие платформы станут более развитыми и завоюют больше доверия – они смогут распознавать атаки на более ранних стадиях и останавливать их еще до начала разрушительной деятельности.

Над этим работают все тяжеловесы отрасли: например, Cisco готовит платформу Tetration Analytics, IBM развивает способности когнитивной платформы Watson в области информационной безопасности, а Google – систему машинного обучения DeepMind.

Tetration Analytics – это комплексная система, получающая информацию от аппаратных и программных датчиков и анализирующая ее с помощью средств обработки Больших Данных и машинного обучения. Имея показатели нормального поведения сети и приложений, решение Cisco может мгновенно обнаруживать отклонения. Кроме того, система предоставляет инструменты проведения экспертизы – полуавтоматического анализа журналов операций.

«Главное, что нужно сделать для защиты центра обработки данных, – это составить белый список тех, кто имеет доступ к различным ресурсам, но такая задача – одна из сложнейших, – отмечает Том Эдсолл, старший вице-президент, директор по технологиям Cisco. – Tetration позволяет разработать правила формирования белых списков гораздо быстрее и эффективнее, чем прежде. Решив эту важную задачу информационной безопасности, можно будет начать переход к самоуправляемым дата-центрам будущего».

В дальнейшем в Cisco обещают большое число новых приложений безопасности, работающих на базе Tetration.

Суперкомпьютер IBM Watson, в свою очередь, анализирует трафик корпоративных сетей в поисках вредоносов, параллельно обучаясь на собственном опыте, а также используя данные научных докладов, сводки сведений об угрозах и новости о киберпреступности. Со временем Watson начинает самостоятельно разрабатывать новые стратегии обнаружения атак на разных этапах их осуществления. Сейчас проект Watson for Cybersecurity находится в стадии бета-версии, а в течение 2017 года может быть предложен его коммерческий вариант.

Также есть государственные исследовательские проекты, способные оказать влияние на мир кибербезопасности. К примеру, в Агентстве передовых исследований в области разведки (IARPA) хотят разработать систему «датчиков» для Интернета, которые будут следить за поисковыми запросами, публикациями в социальных СМИ и т. д. в поисках ранних признаков кибератак.

«Кибератаки развиваются поэтапно, – отмечается в описании соответствующего проекта IARPA, который получил название CAUSE (Cyberattack Automated Unconventional Sensor Environment). – Сегодня распознавание обычно происходит на поздних стадиях атаки, а выяснить ее признаки, характерные для начальных этапов, удается лишь путем анализа уже после того, как ущерб нанесен. Наблюдение за первыми стадиями – разведкой, планированием, запуском – позволило бы заблаговременно распознавать инциденты и предотвращать вред».

Ожидается, что технологии, разработанные в рамках программы CAUSE, смогут действовать без участия человека. Специалисты, возможно, будут помогать разрабатывать, обучать и совершенствовать эти системы, но им не придется вручную фильтровать и рассылать предупреждения, а также направлять работу системы. Такие предупреждения должны будут генерироваться машиной и пересылаться в IARPA автоматически.

Читайте далее: Блокчейн

С наступлением эпохи Интернета управление персональными данными довольно быстро теряет практический смысл, если, конечно, не отказываться от мобильных и интернет-сервисов полностью. По мере распространения Интернета вещей и технологий Больших Данных становится все больше и больше различных способов сбора и обработки информации. И когда дело касается конфиденциальности данных, то между пользователями, государством и бизнесом возникает конфликт интересов.

«Обеспечить конфиденциальность в цифровой век весьма непросто, и одной из ключевых задач здесь становится повсеместное соблюдение политик конфиденциальности интернет-ресурсами», – подчеркнул Норман Садех, профессор Школы компьютерных наук при Университете Карнеги-Меллона (Carnegie Mellon University, CMU), являющийся также директором CMU Mobile Commerce Lab, председателем совета директоров компании Wombat Security Technologies, а ранее еще и научным директором инициативы Евросоюза в области электронной коммерции. Кроме того, Садех — один из руководителей программы CMU Master's, нацеленной на поиск компромисса между функциональностью и конфиденциальностью и на разработку новых цифровых продуктов, изначально учитывающих требования конфиденциальности.

«Политики конфиденциальности веб-сайтов должны стать фактическим стандартом, регламентирующим правила 'уведомлений и выбора' в Интернете, – добавил Садех. – Чтобы принимать осознанные решения, пользователи должны иметь возможность получать информацию о правилах обеспечения конфиденциальности на тех сайтах, которые они посещают. На практике же пользователям о политиках конфиденциальности, как правило, ничего не известно».

Даже если описания политик конфиденциальности доступны, пользователям зачастую трудно понять, что они означают на деле. С мобильными приложениями ситуация еще более запутанная. У пользователей установлено в среднем 50-100 мобильных приложений, и у каждого из них имеется от трех до пяти параметров конфиденциальности — если эти параметры пользователю вообще видны.

«А вам известно что-нибудь о настройках мобильных приложений на вашем смартфоне? – вопрошает Садех. – Оказывается, почти никто не имеет о них никакого понятия. И это просто ошеломляет».

Сложность (и несовместимость)

Сложность с обеспечением конфиденциальности обусловлена тем, что у каждого пользователя есть свои представления о возможности раскрытия информации в тех или иных целях. Все люди разные. А значит, у них разные предпочтения в отношении той информации, которой они готовы поделиться.

Эти вопросы уже пытались решать. Еще в 2002 году Консорциум World Wide Web Consortium представил Platform for Privacy Preferences Project (P3P) – протокол, с помощью которого сайты объявляли бы о возможности использования информации, собранной у пользователей. В 2010 году Федеральная комиссия по торговле США призвала создать систему, которая вообще не отслеживала бы подобные данные. Вскоре в наиболее популярных браузерах – Mozilla Firefox, Microsoft Internet Explorer, Apple Safari, Google Chrome и Opera – появилась поддержка заголовков Do Not Track (DNT), они запрашивали у веб-приложений разрешения отключить отслеживание конкретных пользователей. Сегодня W3C продолжает работать над стандартизацией DNT.

Все эти проекты направлены на разработку машинно-читаемых форматов, подчиняющихся правилам управления данными на веб-сайте, однако владельцы сайтов весьма неохотно их внедряют. Более того, никаких законов и прочих нормативных требований к внедрению P3P или использованию DNT не существует.

В 2012 году, запустив в производство Windows 8, корпорация Microsoft объявила, что поддержка DNT будет по умолчанию реализована в Internet Explorer 10 в рамках настроек Express Settings операционной системы. Это обернулось нападками со стороны представителей рекламной отрасли, которые настаивали на том, что параметры DNT могут существовать лишь в виде опции и никак не по умолчанию.

В конечном итоге ассоциация Digital Advertising Alliance разрешила своим членам игнорировать DNT: «DAA не требует от компаний учитывать сигналы DNT, зафиксированные и посылаемые производителями браузеров. Сигналы DNT, автоматически рассылаемые IE10 или другими браузерами, не подпадают под действие ни DAA Principle, ни DAA Program. Органы Council of Better Business Bureaus и Direct Marketing Association не станут наказывать компании, не реагирующие на сигналы DNT в IE10 и других браузерах».

В итоге в Microsoft были вынуждены объявить, что функции DNT не будут включаться в Windows 10 по умолчанию, предоставив четкие инструкции тем, кто хотел бы использовать такую возможность.

Управление конфиденциальностью: от сайтов к пользователям

По мнению Садеха, управление со стороны пользователей параметрами конфиденциальности не должно зависеть от степени их кооперации с владельцами сайтов. Пользователи должны иметь возможность делать все самостоятельно, а для этого им понадобится сочетать средства обработки естественного языка, моделирование настроек конфиденциальности, краудсорсинг и построение интерфейса конфиденциальности.

Чтгбы реализовать предложенное, Садех участвует в реализации двух проектов: Usable Privacy Policy Project и Personalized Privacy Assistant Project.

Первый проект финансируется Национальным научным фондом США в рамках инициативы Security and Trustworthy Cyberspace. В реализации проекта участвуют Университет Карнеги-Меллона, Центр права и информационной политики Юридической школы Фордхэм и Центр Интернета и общества Стэнфордской юридической школы.

«Цель проекта заключается в том, чтобы выяснить, в какой степени можно использовать компьютеры для полуавтоматического извлечения информации из политик конфиденциальности, – пояснил Садех. – Тогда мы получим ответы на ключевые вопросы, интересующие пользователей, и сумеем предоставлять им при помощи расширений браузеров информацию, которую будет легко понять. Соответствующие функции будут доступны благодаря машинному обучению, средствам обработки естественного языка и краудсорсинговым технологиям. Мы хотим показать, что, несмотря на результаты предыдущих исследований, свидетельствовавшие о непонимании пользователями политик конфиденциальности, есть достаточное количество энтузиастов, которые помогут получать содержательные ответы на ключевые вопросы».

Проект Personalized Privacy Assistant Project финансируется Университетом Карнеги-Меллона и направлен на создание интеллектуальных агентов, изучающих предпочтения конфиденциальности пользователей, задействуя средства машинного обучения. Агенты эти в состоянии обеспечить полуавтоматическую настройку многих параметров и готовы принимать в интересах пользователей многие решения, касающиеся конфиденциальности. Помощники в области конфиденциальности могли бы предупреждать пользователей о тех настройках, с которыми они чувствуют себя некомфортно, и время от времени подталкивать их к пересмотру ранее принятых решений в части конфиденциальности. Что касается мобильных приложениями, то такой помощник мог бы распознавать, какие приложения обращаются к пользовательским данным, не спрашивая на это разрешения.

Проект включает в себя несколько исследовательских направлений. Он призван определить ориентированные на пользователя процессы, которые преобразуют модели личных предпочтений конфиденциальности, прозрачные механизмы и диалоговые примитивы в функциональность помощника.

Выгода для бизнеса

В конечном итоге исследования принесут дивиденды и бизнесу. Хотя люди имеют разные представления о том, какой информацией они готовы поделиться, их предпочтения зачастую затрагивают относительно небольшое число сегментов.

«Есть много взаимодействующих между собой факторов, – заявил Садех. – И эту корреляцию можно эффективно использовать для помещения пользователей в разные сегменты. Тем, кто планирует собирать определенные виды информации, мы сможем сообщить, какое количество пользователей из их целевой аудитории будет чувствовать себя при этом некомфортно».

Такого рода сведения помогут организациям принимать решения о том, имеет ли смысл заниматься созданием новой функциональности.

- Thor Olavsrud. Carnegie Mellon University helps you control your privacy. CIO. September 7, 2016