Алексей Андрияшин, технический директор Fortinet, рассказал о GDPR и облаке. Новое законодательство в области защиты потребителей, в том числе принятый год назад Евросоюзом Общий регламент защиты данных (General Data Protection Regulation, GDPR), или новый Калифорнийский закон о конфиденциальности данных (California Consumer Privacy Act, CCPA), предлагают потребителям дополнительную защиту, гарантируя конфиденциальность их данных и помогая предотвратить проблемы, связанные с кражей данных или их неправомерным использованием. Для этого в законах определены понятия персональных данных или персональной идентифицирующей информации (personally identifiable information, PII), устанавливаются единые стандарты соответствия, обязательные для всех организаций, а в случае, если организации не сумели защитить персональную информацию своих клиентов, в законе предусмотрены суровые штрафы.

Среди наиболее важных преимуществ нового законодательства — наличие четкого и недвусмысленного определения того, что подразумевается под персональными данными; наличие подробных правил в отношении того, как могут и не могут использоваться эти данные любыми организациями, ведущими бизнес в том или ином регионе — где живут, работают или который посещают граждане, в том числе в удаленном режиме; наличие явного определения того, что представляет собой утечка персональных данных, а также единых стандартизированных требований к уведомлению пользователей о подобных утечках; и обеспечение пользователям полного контроля над тем, как используются и хранятся их персональные данные.

В GDPR представлено более общее и широкое толкование персональных данных, чем в предыдущих попытках законодателей, в том числе здесь даны определения IP адресов, биометрических данных, идентификаторов мобильных устройств и прочих типов данных, которые могут потенциально использоваться для идентификации личности, определения местоположения пользователей или отслеживания их деятельности. В законе CCPA это определение представлено еще шире, в частности, были добавлены такие вещи, как данные геолокации и информация о покупках, просмотрах и история поиска.

Более того, организациям, на которые распространяется новое законодательство, требуется не только получать явное согласие от граждан на сохранение и использование их персональных данных, но и соблюдать их «право на забвение» — что позволяет отдельным лицам требовать от организации удаления любых персональных данных о них, какой бы ни была причина.

Сложность заключается в том, что в условиях современных высокораспределенных сетей облачные данные могут быть многократно скопированы и находиться практически в любом месте. Недавний быстрый переход на мультиоблачные сети, платформы и приложений еще больше усугубляет ситуацию. Для выполнения требований в отношении конфиденциальных данных в подобных окружениях организации вынуждены внедрять решения безопасности, которые в целях централизации управления и обеспечения прозрачности охватывают всю распределенную сеть. Это позволяет организациям обеспечивать согласованную защиту данных и применение соответствующих политик, обнаруживать и сообщать о кибер-инцидентах и удалять все экземпляры персональных данных по требованию клиентов.

Для этого необходимо придерживаться трех следующих базовых принципов:

  1. решения безопасности должны работать в мультиоблачных окружениях. Стандарты безопасности должны применяться комплексно, в масштабах всей распределенной инфраструктуры. Хотя законы о конфиденциальности данных могут относиться к какому-то отдельному региону, облачные технологии позволяют данным с легкостью пересекать эти границы. Политики и средства защиты для данных, размещенных в физическом центре обработки данных, на который распространяется действие регионального законодательства, должны «следовать» за этими данными по мере их перемещения в облаке или в другие центры обработки данных, в течение всего того времени, пока они находятся в пределах этого региона. Таким образом, возникает две проблемы, которые необходимо решить. Во-первых, нужен механизм, который позволял бы отслеживать каждый экземпляр этих данных, особенно когда они попадают в различные приложения или перемещаются между рабочими нагрузками. Данные имеют тенденцию множится, и необходим способ для управления всей этой информацией. Во-вторых, вам потребуется обеспечить последовательную сегментацию в масштабах всей распределенной инфраструктуры. Сложности возникают, когда политики безопасности действуют только в отдельном физическом или облачном окружении, и решения безопасности, в силу того что требования в каждом облачном окружении отличаются, не способны обеспечить комплексное выполнение этих политик или нужную функциональность. Инструменты безопасности должны быть нативно интегрированы в облачные платформы, чтобы обеспечить сегментирование мультиоблачных окружений, и политики безопасности должны транслироваться «на лету», чтобы учитывать различия в облачных платформах по мере перемещения данных. А центры обработки данных, находящиеся в других точках планеты, должны поддерживать эти новые требования безопасности, в противном случае они могут стать слабым звеном в цепочке безопасности;
  2. необходимо использовать технологии предотвращения утечек данных. Для отслеживания и управления персональными данными необходимо внедрять технологии предотвращения утечек данных (Data Loss Protection, DLP), которые могут применяться в виде встраиваемых решений (inline) или на уровне API интерфейсов облачной инфраструктуры. Подобные решения должны уметь выявлять, отслеживать и поддерживать «реестр» всех персональных данных. Вот несколько ключевых принципов, которых следует придерживаться при работе с персональными данными и обмене ими: DLP-мониторинг должен действовать начиная с точки получения или создания любых персональных данных; данные, содержащие персональную информацию и используемые приложениями или пользователями, должны отслеживаться и контролироваться, чтобы гарантировать должный уровень защиты при обращении к этим данным и их обработке; необходимо обеспечивать защиту перемещаемых данных, особенно когда они перемещаются между различными приложениями или облачными окружениями; необходимо осуществлять мониторинг и обеспечивать защиту хранящихся данных, — независимо от того, размещаются ли они в облаке или в физической точке; технологии DLP также должны отслеживать различные версии этих данных, или даже фрагментов этих данных, когда они копируются или используются различными приложениями или хранятся в различных локациях;
  3. отчетность о соблюдении требований должна иметь централизованное управление. Отчетность о соблюдении требований должна вестись в масштабах всей распределенной инфраструктуры. Как и в случае с другими требованиями, здесь необходима тесная интеграция со всей облачной и локальной инфраструктурой безопасности. Для этого необходимо реализовать централизованное решение для управления и оркестрирования, такое как SIEM, или внедрить любую другую единую консоль управления, которая бы обеспечивала полную прозрачность во всей мультиоблачной инфраструктуры и всей инфраструктуры безопасности. Это позволит избежать ручного сопоставления данных из нескольких систем — именно в эти моменты можно что-то упустить из виду, что при аудите может вылиться в серьезные штрафы.

Наилучший подход к обеспечению безопасности заключается в том, чтобы остановить атаку еще даже до того, как она была начата, и ограничить область ее действия в случае утечки. Для этого организации должны использовать определенные технологии и политики, такие как:

  • современные инструменты предотвращения и обнаружения угроз, в том числе технологии оперативного анализа угроз, усиленный контроль доступа, средства поведенческого анализа и ATP решения, которые позволят им быть во всеоружии при возникновении утечек;
  • сегментирование сети на основе намерений (intent-based), как самой сети, так и микро-сегментирование, чтобы ограничить область действия утечки до определенного набора данных или сегмента сети;
  • интегрированные решения безопасности, способные тесно взаимодействовать друг с другом, обмениваться накопленными данными об угрозах и координировать реагирование на угрозы. Эти инструменты должны быть нативно интегрированы с API и инфраструктурой различных облачных окружений, что позволит контролировать выполнение политик и согласованно реагировать на утечки в масштабах всей сети;
  • DLP решения позволяют отслеживать данные и предотвращать несанкционированный доступ, использование или передачу данных, независимо от того, где используются эти данные, куда они передаются или где хранятся. Для этих решений важным аспектом является возможность обмена информацией между различными защищенными инфраструктурами;
  • централизованные инструменты управления, обеспечивающие единую точку прозрачности и управления всеми данными, что позволит гарантировать согласованность политик и конфигураций, выявление утечек и соответствующую отчетность, выполнение запросов потребителей, а также согласованность и полноту отчетности о соблюдении требований.

При правильном осмыслении регламенты в отношении конфиденциальности данных не только обеспечивают защиту персональных данных потребителей, но также позволяют поднять планку безопасности для всей организации. Это вынуждает организации вернуться к самому началу, заново переосмысливать процессы и политики, выявлять и устранять пробелы, а также централизовать свои инструменты управления и решения обеспечения прозрачности. Многие из этих базовых принципов безопасности были упущены в гонке за цифровой трансформацией, и это хороший повод перегруппировать, переосмыслить и перестроить защиту вашей инфраструктуры.

Пресс-релиз

Версия для печати