Согласно отчету, три четверти компаний хранят все больше конфиденциальных данных

Согласно новому отчету, объем конфиденциальных данных, которые компании хранят в непроизводственных средах, таких как разработка, тестирование, аналитика и AI/ML, растет. Руководители также все больше беспокоятся об их защите — и их включение в новые продукты AI не помогает.

В отчете «Delphix 2024 State of Data Compliance and Security Report» говорится, что 74% организаций, обрабатывающих конфиденциальные данные, увеличили объем, хранящийся в непроизводственных, также известных как нижние, средах за последний год. Более того, 91% обеспокоены тем, что в результате их расширенный след подвержен риску нарушений и штрафов за несоблюдение требований.

Объем данных о потребителях, хранящихся в компаниях, в целом растет из-за роста числа онлайн-потребителей и их продолжающихся усилий по цифровой трансформации. IDC прогнозирует, что к 2025 году глобальная сфера данных вырастет до 163 зеттабайт, что в десять раз больше 16,1 зеттабайт данных, сгенерированных в 2016 году.

В результате объем хранимых конфиденциальных данных, таких как персональные данные, защищенная медицинская информация и финансовые сведения, также увеличивается.

Конфиденциальные данные часто создаются и хранятся в производственных или действующих средах, таких как CRM или ERP, которые имеют жесткий контроль и ограниченный доступ. Однако стандартные ИТ-операции часто приводят к многократному копированию данных в непроизводственные среды, что обеспечивает больший доступ персонала и увеличивает риск взлома.

Результаты отчета стали результатом опроса 250 руководителей высшего звена в организациях, имеющих не менее 5000 сотрудников, которые обрабатывают конфиденциальные данные потребителей. Опрос проводил поставщик программного обеспечения Perforce.

SEE: Утечка национальных публичных данных: 2,7 млрд записей утекли в Dark Web

Более половины предприятий уже столкнулись с утечкой данных

Более половины респондентов заявили, что уже сталкивались с утечкой конфиденциальных данных, хранящихся в непроизводственных средах.

Другие данные подтверждают, что проблема усугубляется: исследование Apple показало, что с 2022 по 2023 год количество утечек данных увеличилось на 20%. Действительно, 61% американцев в какой-то момент узнали, что их персональные данные были взломаны или скомпрометированы.

В отчете Perforce говорится, что 42% опрошенных организаций столкнулись с программами-вымогателями. Это вредоносное ПО, в частности, представляет собой растущую угрозу во всем мире; исследование Malwarebytes, опубликованное в этом месяце, показало, что глобальные атаки программ-вымогателей увеличились на 33% за последний год.

Часть проблемы заключается в том, что глобальные цепочки поставок становятся длиннее и сложнее, увеличивая количество потенциальных точек входа для злоумышленников. Отчет Центра ресурсов по краже личных данных показал, что количество организаций, пострадавших от атак на цепочки поставок, выросло более чем на 2600 процентных пунктов в период с 2018 по 2023 год. Более того, выплаты впервые превысили 1 миллиард долларов (790 миллионов фунтов стерлингов) в 2023 году, что делает это все более прибыльным занятием для злоумышленников.

ИИ — главный виновник небезопасности данных потребителей

Поскольку компании теперь внедряют ИИ в свои бизнес-процессы, становится все сложнее контролировать, какие данные куда попадают.

Системы ИИ часто требуют использования конфиденциальных данных потребителей для обучения и эксплуатации, а сложность алгоритмов и потенциальная интеграция с внешними системами могут создавать новые векторы атак, которыми трудно управлять. Фактически, отчет показал, что ИИ и МО являются основными причинами роста конфиденциальных данных в непроизводственных средах, как указали 60% респондентов.

«Среды ИИ могут быть менее управляемыми и защищенными, чем производственные среды», — пишут авторы отчета. «В результате их легче скомпрометировать».

Лица, принимающие бизнес-решения, знают об этом риске: 85% сообщают о проблемах с несоблюдением нормативных требований в средах ИИ. Хотя многие нормативные акты, касающиеся ИИ, находятся в зачаточном состоянии, GDPR требует, чтобы персональные данные, используемые в системах ИИ, обрабатывались законно и прозрачно, и в США действуют различные применимые законы на уровне штатов.

СМОТРИТЕ: Указ AI: Белый дом публикует отчет о ходе работы за 90 дней

В августе вступил в силу Закон ЕС об искусственном интеллекте, который устанавливает строгие правила использования искусственного интеллекта для распознавания лиц и гарантии для систем искусственного интеллекта общего назначения. Компании, которые не соблюдают законодательство, подвергаются штрафам в размере от 35 миллионов евро (38 миллионов долларов США) или 7% от мирового оборота до 7,5 миллионов евро (8,1 миллиона долларов США) или 1,5% от оборота в зависимости от нарушения и размера компании. Предполагается, что в ближайшем будущем в других регионах появятся более похожие правила, касающиеся искусственного интеллекта.

Другие опасения по поводу конфиденциальных данных в средах ИИ, высказанные более 80% респондентов исследования Perforce, включают использование некачественных данных в качестве входных данных для моделей ИИ, повторную идентификацию персональных данных и кражу данных обучения моделей, которые могут включать интеллектуальную собственность и коммерческие тайны.

Компании обеспокоены финансовыми издержками из-за небезопасных данных

Еще одна главная причина, по которой крупные компании так обеспокоены небезопасными данными, — это перспектива крупного штрафа за несоблюдение. Потребительские данные широко подпадают под действие растущих правил, таких как GDPR и HIPAA, которые могут быть запутанными и часто меняться.

Многие правила, такие как GDPR, применяют штрафы на основе годового оборота, поэтому более крупные компании сталкиваются с более высокими штрафами. Отчет Perforce показал, что 43% респондентов уже были вынуждены платить или корректировать несоответствия, а 52% столкнулись с проблемами аудита и сбоями, связанными с непроизводственными данными.

Но стоимость утечки данных может превысить штраф, поскольку часть потерянного дохода приходится на остановленные операции. Недавний отчет Splunk показал, что самой большой причиной простоев являются человеческие ошибки, связанные с кибербезопасностью, такие как нажатие на фишинговую ссылку.

Незапланированные простои обходятся крупнейшим компаниям мира в 400 миллиардов долларов в год, включая прямые потери дохода, снижение акционерной стоимости, стагнацию производительности и репутационный ущерб. Действительно, прогнозируется, что ущерб от программ-вымогателей превысит 265 миллиардов долларов к 2031 году.

По данным IBM, средняя стоимость утечки данных в 2024 году составляет $4,88 млн, что на 10% больше, чем в 2023 году. В отчете технологического гиганта также говорится, что 40% утечек касались данных, хранящихся в нескольких средах, таких как публичное облако и локально, и они обходились в среднем более $5 млн и требовали больше всего времени для выявления и локализации. Это показывает, что руководители бизнеса правы, когда обеспокоены разрастанием данных.

СМОТРИ: Почти 10 миллиардов паролей утекли в крупнейшую подборку всех времен

Принятие мер по обеспечению безопасности данных в непроизводственных средах может потребовать значительных ресурсов.

Существуют способы защиты данных, хранящихся в непроизводственных средах, например, путем маскировки конфиденциальных данных. Однако отчет Perforce показал, что у предприятий есть несколько причин, по которым они не хотят этого делать, в том числе то, что респонденты считают это трудным и трудоемким, а также потому, что это может замедлить работу организации.

Почти треть обеспокоены тем, что это может замедлить разработку программного обеспечения, поскольку безопасное копирование производственных баз данных в непроизводственные среды может занять недели. 36% говорят, что замаскированные данные могут быть нереалистичными и, следовательно, влиять на качество программного обеспечения. 38% считают, что протоколы безопасности могут помешать компании отслеживать и соблюдать правила.

В отчете также установлено, что 86% организаций допускают исключения соответствия данных в непроизводственных средах, чтобы избежать хлопот с их безопасным хранением. К ним относятся использование ограниченного набора данных, минимизация данных или получение согласия субъекта данных.

Рекомендации по защите конфиденциальных данных в непроизводственных средах

Команда Perforce выделила четыре основных способа, которыми компании могут защитить свои конфиденциальные данные в непроизводственных средах:

Статическое маскирование данных: постоянная замена конфиденциальных значений вымышленными, но реалистичными эквивалентами. Предотвращение потери данных (DLP): подход к обеспечению безопасности периметра, который обнаруживает потенциальные утечки и кражу данных и пытается их предотвратить. Шифрование данных: временно преобразует данные в код, предоставляя доступ к данным только авторизованным пользователям. Строгий контроль доступа: политика, которая классифицирует пользователей по ролям и другим атрибутам и настраивает доступ этих пользователей к наборам данных на основе этих категорий.

Авторы пишут: «Защита конфиденциальных данных в целом — непростая задача. AI/ML усугубляют эту сложность.

«Инструменты, которые специализируются на защите конфиденциальных данных в других непроизводственных средах, например, при разработке, тестировании и аналитике, прекрасно подходят для защиты вашей среды ИИ».