Читаем Big Data. Вся технология в одной книге полностью

Применение стандартов безопасности для коммуникации с пользователями и анализа их информации – один из компонентов сохранности данных. Фонд электронных рубежей[369] обращает внимание на «изначальную незащищенность» протокола НТТР, который передает информацию в незашифрованном виде и, к сожалению, по умолчанию используется подавляющим большинством интернет-сайтов. Инфопереработчикам следует использовать протокол HTTPS с зашифрованным каналом связи между клиентом и сервером, благодаря чему перехватить информацию станет значительно сложнее[370].

Аудит исследует порядок доступа сотрудников компании к данным. Использование двух– или более ступенчатой авторизации, при которой человек вводит второй одноразовый пароль, созданный мобильным приложением или специализированным сервисом, свидетельствует о более ответственном подходе к сохранности данных. Кроме того, наличие регистрации и анализа каждого случая доступа к информации повышает оценку уровня безопасности компании. Такие записи не только позволяют выявить исходные точки любых нештатных ситуаций, но и способствуют повышению уровня ответственности и функциональной дисциплины сотрудников. Мы уже знаем, что люди меняют свое поведение, если знают, что их действия записывают.

Однако во многих случаях истоки утечки данных находятся не в области слабого программного обеспечения, а в области человеческих слабостей сотрудников компании, которые могут быть раздражены, нелояльны, плохо обучены или попросту слишком загружены для того, чтобы должным образом выполнять свою работу. Пользователи заслуживают большей ясности в вопросе сохранности их данных в компании, в том числе подтверждения профессиональной состоятельности сотрудников, работающих с их информацией. Финансовые организации обязаны проводить проверки всех кандидатов на должности, в том числе и на предмет любых нарушений на предыдущих местах работы. Инфопереработчикам тоже следовало бы проводить проверки при приеме на работу и оценивать риски потенциальных сотрудников. Разработчикам, у которых есть широкие права доступа к первичным данным пользователей, могут поручать написание или корректировку программных кодов, проверить которые построчно способны лишь очень немногие. Если в компании уже фиксировались случаи небрежного отношения разработчика к процедурам безопасности или его явной халатности, то она должна нести ответственность за свое бездействие в подобных ситуациях[371].

Более того, некоторые самые крупные утечки являлись результатом небрежного отношения к работе с данными, а не враждебных происков. Взять, к примеру, случай с жестким диском, на котором правительственное учреждение хранило медицинские карты и послужные списки более 70 миллионов ветеранов американской армии[372]. Диск вышел из строя, и ответственный чиновник отправил его поставщику в надежде, что тот исправит дефект. Сделать это не получилось, и поставщик отправил диск на утилизацию еще одному стороннему подрядчику. Все это время данные оставались на диске. Госучреждение, в ведении которого были эти архивные записи, потом ссылалось на условие контракта с производителем об обеспечении сохранности данных. Но преступникам наплевать на такие юридические тонкости. И обращение с информацией, и реакция на ее утечку были неприемлемы.

Любая количественная оценка риска утечки данных должна подразумевать детальную проверку знаний сотрудников в области безопасной работы с данными точно так же, как инспекция ресторана подразумевает проверку знаний его работников по технике безопасности в работе с продуктами питания. Это проявление культуры компании в целом, а не отдельных ее сотрудников.

Утечка данных может произойти и через роботов, которых часто используют для скрэппинга интернет-сайтов, ориентированных на потребителей, с целью извлечения информации о пользователях. Лучшие практики обеспечения сохранности данных включают создание систем обнаружения и закрытия аккаунтов, показывающих необычную активность. Например, пользователь, ежесекундно переходящий со страницы на страницу, вряд ли является человеком. Роботы и их операторы становятся умнее и уже сейчас избегают настолько бросающихся в глаза стереотипов поведения. В условиях стремительно развивающейся «гонки вооружений» более высоких оценок в области сохранности данных заслуживают инфопереработчики, которые используют в борьбе против несанкционированного использования данных возможности машинного обучения.