GDPR

Последен ъпдейт на 28 юни 2018 в 13:26 ч.

Правото за опазване на лични данни в онлайн пространството е (или трябва да бъде) основно човешко право. В наши дни, определението за „лична информация“ онлайн може да варира много, но в повечето случаи става въпрос за данните от потребителските интеракции. Докато броят на по-внимателните, които не оставят следи след себе си се увеличава, за по-голямата част от потребителите това е непосилно. Те оставят парченца информация навсякъде, предоставяйки на всеки кибер-престъпник една прекрасна игрална площадка.

Факт, е че не друго, а потребителските данни движат една от следващите големи „революции“ – изкуствения интелект. Въпросът тук е колко от тези системи ще работят и ще се съобразяват с „правото да бъдеш забравен“? Колко от компаниите, които изграждат такива системи, ще се отнесат отговорно към данните, които обработват?

Защото много от нас са наясно с това, че данните им се събират от различни услуги като социални мрежи. Но има още много, много услуги, които събират и използват личните ни данни, без дори да се замисляме за това.

Безплатен ли е безплатният софтуер?

В днешно време потребителите все повече очакват софтуерът да им бъде предоставян на много ниски цени или дори безплатно. Това подтиква много производители да направят безплатни версии на продуктите си, от които да изкарват пари по други начини – например като използват потребителските данни. В крайна сметка, когато нещо е напълно безплатно, а изглежда сякаш не трябва да бъде, най-вероятно продуктът сте вие.

Do you accept the Terms and Conditions?

Не само този тип софтуер използва такава стратегия за печалба. Повечето производители на безплатен софтуер въвеждат дълги и сложни условия за ползване и политики за данни, в които се крие отговорът на това дали и как продават данните ви на трети страни.

Нужно е да разберете как компанията, чийто софтуер ползвате, печели пари. Например, мобилните игри често има изискване да закупите достъп до по-висока версия на продукта или да платите, за да спрете да виждате реклами. Ако не е очевидно какъв е метода за монетизация на компанията, то най-вероятно тя печели именно от продаването на вашите данни.

Какво правихте днес?

Докато от софтуерна страна можете да издадете онлайн навиците си, с навлизането на свързаните устройства (или IoT) това събиране на информация може да се пренесе към офлайн живота ви. Представете си, че докато се прибирате, телефонът ви следи местоположението ви, за да изчисли най-бързия път. Освен това се сещате да пуснете дистанционно „интелигентния“ си термостат, за да се приберете на топло.

Завършете веригата както искате, но това трябва да ви дава представа, че събирането на такива данни и подреждането им от системи за изкуствен интелект може да предвиди или директно издаде всеки малък елемент на ежедневието ви. Свързаните устройства трябва да се използват с повече добре информирани решения от потребителите си, за да се предотврати ненужно шпиониране.

Добрите новини

През май 2018 ще влезе в действие нов регламент за защита на личните данни в Европейския съюз – GDPR (General Data Protection Regulation). Тя цели да даде на потребителите решението за това как и дали личните им данни се съхраняват, разпространяват и използват. Това значи, че всички сайтове и услуги, чиято потребителска база съдържа граждани на държави от ЕС ще трябва да се съобразяват с изискванията му.

Подобна регулация е особено важна в наши дни, тъй като събирането на данни по всички обсъдени тук начини значи, че е възможно изграждането на сложен потребителски профил, който може да съдържа много чувствителни данни за вас, интересите ви, навиците ви. От своя страна, съществуването на такъв профил дава особено примамлива възможност на хакери да получат всичката информация за вас на едно място.

Нека се надяваме, че 2018 г. ще ни донесе повече права за защита на данните ни. Въпреки че събирането им става все по-лесно и достъпно за всички, не трябва да му позволяваме да излиза извън контрол.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:29 ч.

Най-лошият сценарий за един бизнес, е не просто атака, не е дори и особено мощна атака, а успешна атака. Подготовката на план, предотвратяващ потенциален пробив и изтичане на данни е огромна отговорност – но в случай, че пробив в сигурността все пак се случи е нужно максимално адекватна реакция (а според изискванията на GDPR – е дори и задължителна такава).

Естествено, най-доброто време да се приготвите как да реагирате при източване на данни е преди изобщо то да се е случило. Нека разгледаме най-важните насоки на действие:

Не го дръжте в тайна

Инвестициите в информационна сигурност не спират да растат – поредното проучване, което го доказвам е GISS – Global Information Security Survey. Въпреки тази позитивна тенденция, все още под 4% от проучените организации заявяват, че са напълно готови да контролират щетите, причинени от изтичане на данни. Около 35% от проучените фирми отговарят, че политиката им за защита на данните или обхваща единствено специфичен казус, или изобщо не съществува.

В допълнение, 17% от фирмите не биха докладвали изтичане на данни на всички потребители. А 10% не биха известили дори потребителите, които са засегнати (грубо нарушение на GDPR – според изискванията на регламента, всички засегнати потребители трябва да бъдат уведомени за пробив в сигурността до 72 часа след разкриването му).

Създайте план

Погледнете на него като на списък с действия, който бихте оставили на детегледачка, в случай, че нещо сериозно се обърка с децата ви. Трябва да е точен и изчерпателен и да отговаря на въпроси от типа на:

• Какъв е обхватът на атаката?
• Как да продължи работата на засегнатите услуги?
• По какъв начин инфекцията може да се изолира?
• Как най-бързо и ефективно да уведомим всички засегнати?

Както и всичко друго приложимо за бизнеса ви и обстоятелствата, които го обграждат.

Този план трябва да се обновява, за да обхваща всички нови процеси и назначения, както отсъствия на служители. В най-добрия случай трябва да е на достатъчно сигурно място, че да не попада в грешните ръце, но да бъде достатъчно лесно достъпен.

Пригответе си подходящо съобщение за засегнатите страни

Човек, който се намира по средата на създалия се пожар трудно би могъл да реагира достатъчно добре. От друга страна, пък, въображаеми разговори под душа трудно могат да ви подготвят за мащаба на един такъв пробив. Използвайте помощта на добре запознато юридическо лице, за да подготвите шаблонен отговор по отношение на изтичане на данни. Можете да създадете уеб страница, която е достатъчно лесно достъпна, че да бъде разпращана. В процеса на разрешаване на проблема, можете да я обновявате с най-новата налична информация.

Защитете клиентите си допълнително

Въпреки че това не е една от стъпките, които задължително трябва да се случат след изтичане на данни, то тя би ви помогнала да си върнете доверието. Подсигурете навременното предоставяне на допълнителна сигурност и рекламирането ѝ може да ви върне част от клиентското доверие.

Тествайте, тествайте, тествайте!

Редовно тествайте плановете си и всички описани процеси чрез симулирани атаки и не пропускайте нито една от стъпките! Използването на реални сценарии за тренировъчната атака може да ви даде по-реалистична преценка относно протичането на плана. Точно тези тестове ще ви покажат какво (а често и как) трябва да се промени в действията, които смятате да предприемете.

Последно, никога не трябва да приемате, че просто защото бизнесът ви не е привидно важен, то вие няма да станете нечия цел. Ако имате каквато и да е информация, която може да се монетизира (продаде), то вие вече сте под заплаха. Добрата подготовка може да превърне пълното бедствие в предизвикателство.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.