Kontaktovali nás přední představitelé oboru, abychom nabídli své názory na to, jak se mění pracoviště a co to znamená pro ochranu osobních údajů.
Měnící se pracoviště a nové technologie pohánějí změny ve správě soukromí.
Avi Raichel, viceprezident společnosti Zerto GTM, společnosti Hewlett Packard Enterprise, bere na vědomí riziko a nevidí jediné řešení:
„Den ochrany osobních údajů slouží jako kritická připomínka toho, že soukromí a ochrana dat jsou stále náročnější záležitostí a organizace nemají jinou možnost, než je brát vážně. Ransomwarové útoky tu zůstanou, protože jejich objem i závažnost neustále rostou a kyberzločinci neustále vyvíjejí nové a neočekávané metody šifrování dat. Odhaduje se, že do roku 2031 se očekává, že ransomware zaútočí na firmu, spotřebitele nebo zařízení každé dvě sekundy.
„Podle výzkumu společnosti IDC utrpělo 95,1 % organizací za posledních 12 měsíců škodlivý útok a 43 % z těchto organizací zažilo nenapravitelnou ztrátu dat, což dokazuje ničivé dopady ransomwaru a dalších kybernetických útoků. Organizace musí pochopit, že ochrana vašich dat před ransomwarem již není o tom, zda je dokážete obnovit, ale spíše o tom, jak rychle můžete svou firmu znovu rozběhnout.
„Protože žádné jediné řešení nemůže nabídnout ochranu před útoky ransomwaru se 100% jistotou, nabízí řešení pro obnovu po havárii a zálohování založené na nepřetržité ochraně dat (CDP) společnostem schopnost být odolný vůči potenciálně katastrofickým okolnostem. Společnosti využívající CDP mohou obnovit provoz ve velkém měřítku během několika minut a obnovit se do stavu několik sekund před útokem. Nepřetržitá ochrana dat v konečném důsledku vrátí moc zpět do rukou organizací, které jsou připraveny.
Geoff Bibby, viceprezident pro strategii pro malé a střední podniky a spotřebitele v OpenText, si myslí, že pro organizace je příliš snadné přehlížet rizika pro data spojená se sdílením souborů:
„Další běžnou činností, kterou mnozí nepovažují za riskantní, je sdílení souborů. Často, když je soubor příliš velký na to, aby jej bylo možné bezpečně sdílet prostřednictvím e-mailu, mnozí místo toho používají jednoduchou a pohodlnou platformu pro sdílení souborů, která je součástí jejich aktuálního pracovního postupu, jako je Disk Google, osobní účet pro sdílení souborů, jako je Box, nebo jen odesílání souborů přes Zoom. povídat si. To vede ke zvýšenému riziku malwaru, hackingu a ztrátě nebo vystavení citlivých informací. Organizace by měly zdůraznit důležitost bezpečného sdílení souborů se svými zaměstnanci a používat řešení, která umožňují snadné a bezpečné sdílení souborů.
„Organizace by si také měly zvyknout zavádět pravidelné bezpečnostní audity k identifikaci zranitelných míst a jiného podezřelého chování, což jim umožní zajistit rutinní zálohování citlivých dat. Zálohování dat zajišťuje firmám a jednotlivcům přístup k aktuálním verzím kritických dat a v případě útoku mohou udržet podnikání v chodu.
Dálková práce, která se během pandemie stále více stává normou, přináší také problémy s ochranou osobních údajů. Mike Wood, CMO ve Versa Networks, napsal:
„Po bouřlivém posunu k přístupu „práce odkudkoli“ za posledních několik let jsou lidé, technologie a data organizací rozmístěna na neomezených místech po celém světě. S tím je spojena naše stále rostoucí poptávka po neustálém připojení ke všemu a všem, což vedlo k tlaku na vznikající technologie, jako je 5G a IoT. Navzdory rychlému přijetí 5G, IoT a dalších nových technologií jejich popularita výrazně převyšuje jejich bezpečnost. Zero-day útoky jsou obrovskou hrozbou pro IoT a 5G aplikace. A co víc, 5G není soukromá síť, takže když jsou k ní připojena zařízení IoT, plocha útoku se rozšíří a oni i data, která ukládají, se stanou zranitelnými. Za krátkou dobu, kdy bylo 5G celosvětově nasazeno, se stalo přirozenou součástí IoT zařízení a je také v perfektní pozici, aby pomohlo transformovat podnikové sítě a propojení infrastrukturních prostředí, ať už jde o on-premise, hybrid-cloud nebo multi-cloud. Jako trh však neprošel dostatečným průzkumem, aby si odborníci mohli být jisti jeho bezpečností. Pohodlí, konektivita a flexibilita jsou klíčem k našemu současnému pracovnímu prostředí, ale také by mělo být zabezpečení našich zařízení a soukromí našich dat.“
Dottie Schindlinger, výkonná ředitelka Diligent Institute, také poukázala na důsledky, které má měnící se povaha pracoviště na ochranu osobních údajů:
"Dnešní pracoviště se již neomezuje na tradiční definice nebo hranice. Společnosti se neustále přizpůsobují novým pracovním modelům a zkoumají inovativní způsoby, jak je přizpůsobit potřebám své organizace. Přijímání nástrojů pro spolupráci raketově vzrostlo, protože se společnosti snaží zajistit že produktivita a efektivita zůstávají vysoké, ať už ve vzdáleném, kancelářském nebo hybridním pracovním prostředí.
„Mnoho z těchto nástrojů jsou univerzální řešení, která dostatečně splňují požadavky na komunikaci a spolupráci zaměstnanců. Ale nemusí být vhodné pro nejvyšší vrstvu vaší organizace – představenstvo a vedoucí pracovníky.
„Představenstva a manažeři se zabývají informacemi, které jsou často velmi citlivé, a proto jsou vystaveny vyšším nákladům. Vzpomeňte si na reputační, právní a finanční dopady, kdyby utajovaný dokument unikal, protože byl sdílen vedoucími pracovníky na univerzálním komunikačním nástroji. Dopad by mohl být katastrofální. Nedávné kybernetické útoky navíc zdůraznily – nejen pro akcionáře, ale pro všechny zúčastněné strany – důležitost ochrany nejcitlivějších dat organizace. Univerzální nástroje pro spolupráci nejsou schopny nabídnout úroveň ochrany, kterou zúčastněné strany očekávají.
„Organizace potřebují bezpečná prostředí a pracovní postupy, které umožní představenstvu a vedení bezpečně komunikovat vysoce citlivé informace, aniž by se museli obávat, že by mohly být náhodně nesprávně směrovány, předány, prozrazeny nebo dokonce ukradeny. A systém musí být intuitivní a pohodlný, aby vedoucí pracovníci zůstali v jeho pracovních tocích a procesech, aniž by se zabloudili k jiným systémům a vytvářeli bezpečnostní mezery."
Chad McDonald, náčelník štábu a CISO Radiant Logic, vidí rozrůstání jako příspěvek k výzvě ochrany identity:
„Vzhledem k tomu, že během pandemie výrazně narůstá počet kybernetických útoků, musí organizace zavést opatření, která mohou zastavit šíření identity tím, že zajistí, aby měly jednotný globální profil, který má všechny atributy uživatele bez ohledu na to, v jakém zdroji se nachází. Organizace které selžou při správě údajů o identitě, budou trpět dalším narušením údajů, protože aktéři hrozeb vědí, že data nejsou bezpečná a není snadné je získat. I když to zní jako složitý problém k vyřešení, lze to snadno vyřešit díky Identity Data Fabric.“
Ryan Abraham, virtuální CISO společnosti Wisetail, napsal, aby upozornil na zvláštní odpovědnost, kterou mají odborníci na lidské zdroje za ochranu osobních údajů:
„Ochrana osobních údajů je v HR průmyslu neuvěřitelně důležitá. Personalistům jsou svěřována citlivá data zaměstnanců – od čísel sociálního zabezpečení přes telefonní čísla až po domácí adresy a další – takže je životně důležité, aby každá společnost podnikla správné kroky k zajištění bezpečnosti dat.
„Jedním z důležitých kroků je certifikace vaší organizace jako vyhovující SOC 2. SOC 2 je založeno na pěti faktorech – zabezpečení, dostupnosti, integritě zpracování, důvěrnosti, soukromí – a certifikace říká uživatelům, že vaše organizace udržuje vysokou úroveň zabezpečení informací a zachází s jejich daty zodpovědně. Soulad se SOC 2 navíc zajišťuje, že vaše organizace zavedla bezpečnostní postupy, aby se mohla bránit kybernetickým útokům a narušení.
„Další skvělý způsob, jak letos uctít Den ochrany osobních údajů, je zahájit pravidelné školení zaměstnanců o osvědčených postupech ochrany osobních údajů, které lze snadno vytvořit a přiřadit vašemu týmu prostřednictvím platformy pro výuku (LXP). Tyto školicí kurzy mohou zaměstnance vzdělávat v tom, jak odhalit phishingový útok, vytvářet silná hesla, vyhýbat se podezřelým a nebezpečným webům a další. Vaši zaměstnanci jsou vaší první linií obrany proti hrozbám ochrany osobních údajů, takže je nezbytné, aby byli vybaveni, aby udrželi sebe i vaši firmu v bezpečí.“
Carl D’Halluin, technický ředitel společnosti Datadobi, si všímá změn v technologii, a zejména rostoucí důležitosti a používání nestrukturovaných dat. To s sebou přináší některé konkrétní výzvy:
„Nikdo nemůže popřít, že nestrukturovaná data roste exponenciálně. S vytvořením tolika dat se objevila široká škála nových nástrojů a procesů pro správu, které na ně dohlížejí – od globální dostupnosti dat, ochrany dat, archivace dat a dalších. V tomto světě mnoha dodavatelů a mnoha platforem, který se rozprostírá od on-premise až po cloud, nelze popřít, že software pro správu, viditelnost a výkaznictví je nezbytný pro efektivní fungování podniku a optimalizaci příjmů. Je na správcích IT a jejich týmech, aby se ujali důležitého úkolu chránit svůj arzenál dat před hrozbami výběrem správného softwaru pro správu dat.
„Pro ochranu dat musí organizace používat platformu, která rozumí tomu, jaká data jsou kde uložena, jaká data je třeba přemístit, musí být schopna tato data přemístit a zajistit platnost těchto dat při jejich přemístění. Na letošním Dni ochrany osobních údajů bych rád vyzval organizace ve všech odvětvích k akci, aby přehodnotily, jakou platformu pro správu dat používají, aby se co nejlépe chránily před dnešními moderními hrozbami.“
Amit Shaked, generální ředitel společnosti Laminar, se domnívá, že cloud vyžaduje nové přístupy k ochraně dat:
Brian Pagano, hlavní katalyzátor a viceprezident společnosti Axway, souhlasí s tím, že neexistuje jediné řešení:
„Neexistuje žádné řešení pro optimalizované soukromí dat. Cloud má stejné problémy kolem dat v pohybu (musíte získávat data do a z cloudu) a dat v klidu (ukládání informací do cloudu). Cloud vám poskytuje průmyslové fyzické a digitální zabezpečení poskytovatele cloudu. Takže je to dobrý krok, kus řešení.“
Přidává také některá doporučení pro nové prostředí:
„Opusťte starou víru v hesla. To, že se IT oddělení nevyvíjí, poznáte podle toho, že musíte často měnit heslo (ukázalo se, že tato praxe snižuje zabezpečení a byla z velké části opuštěna). Uchovávání dat v soukromí zahrnuje data v klidu a data v pohybu, protože většinou zajišťuje, že kdokoli se pokouší získat přístup k informacím, má na tato data správná oprávnění. Pokud je ochrana osobních údajů na prvním místě, měla by organizace přijmout kontrolu „potřeba vědět“ pro jakýkoli dokument. Dokažte, že tyto informace potřebujete. Uchovávejte protokoly a kontrolujte je náhodně. To je podobné postoji Applu. Pro nové společnosti je otevřená a rychlá komunikace často důležitější než absolutní soukromí. Připomeňte členům týmu, že cokoli napsaného se může objevit na veřejnosti – takže si to před psaním rozmyslete.
„Společnosti by měly přijmout přizpůsobená řešení pro jejich požadavky na ochranu osobních údajů. Nekopírujte slepě to, co dělá nějaká jiná společnost (nebo organizace). Vy nejste oni. Vaše potřeby nejsou jejich potřebami. Množství soukromí, které potřebujete, je podporovat poslání vaší organizace, nikoli mu bránit. Začněte se tedy ptát, co potřebujete a co podpoří misi.
„Rozhraní API a ochrana osobních údajů. Rozhraní API jsou kritickými vstupními dveřmi do vašeho podnikání. Je to perfektní vrstva, na které lze upravovat, kontrolovat a vymáhat nároky na požadované informace.“
Daniel Markuson, odborník na digitální soukromí ze společnosti NordVPN, zdůrazňuje, že vědět, že existuje problém, je v nejlepším případě začátek:
„Den ochrany osobních údajů si klade za cíl zvýšit povědomí o otázkách ochrany soukromí, ale povědomí nemá smysl, pokud se nepromění v činy. Ochrana vašeho osobního soukromí je o vytváření návyků, jako je vynakládání většího úsilí na vytváření silných hesel, neklikání na neznámé odkazy nebo stahování neověřených souborů, deaktivace Wi-Fi & Bluetooth, když se nepoužívají, a celkově zůstat pozorní při procházení online. I když to může znít zdlouhavě, existují nástroje, díky kterým bude ochrana vašeho soukromí mnohem jednodušší. VPN skryje vaše osobní údaje, správci hesel chrání vaše přihlašovací údaje & generovat silná hesla, zatímco nástroje pro šifrování souborů umožňují přístup k souborům pouze vy.“
Shekkar Ayyar, CEO společnosti Arrcus, varuje, že Web 3.0 se blíží a přinese s sebou nové výzvy:
„Web 3.0 aplikace jako metaverse a defi, které jsou založeny na AR/VR a blockchainu, zvyšují požadavky na rozsah a výkon základní síťové infrastruktury. Internet dnes spoléhá na komplexní globální síť směrovacích a přepínacích uzlů, podporovanou technologiemi jako BGP nebo Border Gateway Protocol. Jak ukazují nedávné výpadky na AWS a Facebooku, riziko selhání sítě je vysoké, kdykoli se jedná o ruční zásah. Kritickým osvědčeným postupem, který ve společnosti Arrcus doporučujeme, je přijetí inteligentní automatizace operací směrovačů řízené síťovou analýzou, aby bylo možné zvládnout opravu chyb a detekci chyb v konfiguraci.
Danny Lopez, generální ředitel společnosti Glasswall, připomíná organizacím, že nemohou přehlížet lidský prvek:
„Den ochrany osobních údajů slouží jako připomínka toho, jak důležitý je lidský prvek ve světě kybernetické bezpečnosti. Bez řádného porozumění rizikům ochrany soukromí online mohou organizace zůstat bezbranné proti hackerům.
„Podle IBM Cost of a Data Breach Report 2022 jsou odcizené přihlašovací údaje nejběžnějším vektorem útoku, což vede k 20 % narušení, která stojí v průměru 4,37 milionu USD. Kromě toho zpráva Verizon 2021 Data Breach Investigations Report uvedla, že phishingové útoky se v loňském roce zvýšily o 11 %, přičemž kyberzločinci vyladili své podvody tak, aby odpovídaly aktuálním událostem a upoutaly pozornost.
„Řešení, jak odrazit kybernetické útoky na individuální i firemní úrovni, je dvojí: školení a technologie. Školení vyzbrojí zaměstnance, aby byli ostražití před riziky a dodržovali osvědčené postupy. To může být tak jednoduché jako používání silných hesel a vícefaktorové autentizace, neotevírání odkazů a/nebo příloh z neznámých zdrojů a používání antivirového softwaru.
„Pokud jde o zabezpečení, proaktivní přístup s nulovou důvěrou (nikdy nedůvěřuj/vždy ověřuj), pokud jde o zabezpečení, může chránit nejen společnosti, které je implementují, ale také jejich zákazníky. Zavedení těchto opatření nejen pomůže předcházet útokům, ale je to také nákladově efektivnější a efektivnější než použití zaměstnanců jako první obranné linie organizace. Díky kombinaci školení a technologií je ochrana osobních údajů jednotlivců, společností a klientů výrazně dosažitelná pro organizace po celém světě.“
Samozřejmě je třeba vzít v úvahu lidský faktor, ale je tu také faktor bota, jak zdůrazňuje David Higgins, technický ředitel společnosti CyberArk:
„Nejen lidé jsou náchylní ke kliknutí na nesprávný odkaz nebo jsou možná až příliš přezíraví v tom, co o sobě sdílejí. Problémy se sdílením mají i softwaroví roboti a tento Den ochrany osobních údajů zdůrazňujeme, jak můžeme lépe chránit data, ke kterým mají přístup, před odhalením.
„Softwarové roboty – malé kousky kódu, které provádějí opakující se úkoly – existují v obrovských množstvích v organizacích po celém světě, v bankovnictví, státní správě a ve všech ostatních velkých vertikálách. Jejich myšlenkou je, že uvolňují lidský personál k práci na kritické, kognitivní a kreativní práci, ale také pomáhají zlepšovat efektivitu, přesnost, agilitu a škálovatelnost. Jsou hlavní součástí digitálního podnikání.
„Problém s ochranou soukromí nastává, když začnete přemýšlet o tom, co tito roboti potřebují, aby mohli dělat to, co dělají. Většinu času je to přístup: Pokud shromažďují citlivá a osobní lékařská data, aby pomohli lékařům činit informované klinické předpovědi, potřebují k nim přístup. Pokud potřebují zpracovávat zákaznická data uložená na veřejném cloudovém serveru nebo webovém portálu, musí se k nim dostat.
„Viděli jsme problémy, které mohou nastat, když jsou lidé kompromitováni, a totéž se může stát robotům – a to ve velkém. Pokud jsou roboti nakonfigurováni a nakódováni špatně, takže mají přístup k více datům, než potřebují, může výstup unikat tato data na místa, kde by neměla být.
„Stejně tak slýcháme o útocích zevnitř a o ohrožení lidí, aby se dostali k citlivým datům prakticky denně. Stroje mají úplně stejné bezpečnostní problémy; pokud mají přístup k citlivým datům a nejsou řádně zabezpečeni, jsou to pro útočníky otevřené dveře – takové, které mohou ohrozit soukromí jednotlivců. Útočníci necílí na lidi, aby se dostali k datům, ale pouze na data. Pokud jsou stroje – zejména ty, které mají na starosti automatizované procesy (předpokládejme, že opakovatelné úkoly, jako jsou bankovní převody, skartování webových dat a přesun souborů s daty zákazníků), nejlepší cestou, jak se k nim dostat, je to ta, kterou si vyberou.“
Roboti jsou naše výtvory a není divu, že zdědili naše slabé stránky. (A některé z těchto slabostí uplatňují v míře, kterou ti nejprostopášnější z nás mohou jen závidět.)
Kurt Glazemakers, technologický ředitel Appgate, tvrdí, že pokud jde o soukromí, VPN byla dvousečná zbraň:
„Není pochyb o tom, že VPN hrála důležitou roli ve vývoji internetu. Blížíme se však k dalšímu dni ochrany údajů, kdy jsme za poslední rok byli svědky většího počtu úniků dat a kybernetických útoků, a proto je načase, abychom uznali, že VPN sehrála roli také při poskytování bezpečnostních chyb a zranitelností organizacím, které je nechávají otevřené útokům a útokům. následně krádež dat.
„Samozřejmě, nedávným příkladem nebezpečí VPN je nechvalně známý hack Fortinet VPN v září loňského roku, kde zranitelnost VPN umožnila neověřeným útočníkům číst libovolné soubory, které obsahovaly přihlašovací údaje v prostém textu. Uniklé přihlašovací údaje by mohly (a stále mohou být) použity jako vstupní vektor pro složitější útoky. Například útok Colonial Pipeline z minulého roku použil kompromitované přihlašovací údaje pro starší zařízení VPN. Je zřejmé, že VPN nechávají dveře otevřené pro kybernetické zločince, aby zneužili jejich zranitelnosti, získali přístup k síti a ukradli přihlašovací údaje a další cenná data.
„Jaká je tedy odpověď a existuje lepší řešení? Síťový přístup s nulovou důvěrou (ZTNA) se svým přístupem „autentizovat, pak důvěřovat“ oproti důvěře VPN k IP adresám se mezi podniky stává stále běžnější volbou. Tento princip dokonce upřednostňují orgány, jako je Pentagon, který v prosinci 2021 spustil úřad pro kybernetickou bezpečnost s nulovou důvěrou. Přijetím ZTNA mohou organizace omezit škody způsobené případnou ztrátou dat a pomoci společnostem rychle se zotavit po incidentu. Tento přístup zaplňuje mezery, které zanechala zastaralá technologie, která již nechrání podniky před vyvíjejícími se nástroji používanými moderními kyberzločinci.
„Aby organizace odhalily narušitele a ochránily svá data, musí uplatňovat zásady nulové důvěryhodnosti, včetně segmentace sítí a za předpokladu, že všechna připojení mohou být ohrožena. V základní infrastruktuře je třeba implementovat nulovou důvěru a organizace musí profilovat každé zařízení, které se pokouší připojit k síti, používat vícefaktorovou autentizaci, aby nedošlo ke kompromitaci přihlašovacích údajů, a co je nejdůležitější, poskytovat přístup k datům pouze podle toho, co uživatel, resp. systém potřebuje.
„Naše data jsou jedním z našich nejcennějších zdrojů a kyberzločinci to vědí. Zavedením zásad nulové důvěry mohou organizace zajistit, že přihlašovací údaje jejich zaměstnanců a data jejich zákazníků jsou v bezpečí a chráněni před zvědavýma a pozornýma očima komunity kyberzločinců.“
Anastasios Gkouletsos, vedoucí IT bezpečnosti ve společnosti Omnipresent, nabízí pět bezpečnostních opatření, která může průmysl použít k ochraně a správě osobních údajů a dat klientů a zaměstnanců: