Директорам по информационной безопасности в Австралии настоятельно рекомендуется более пристально взглянуть на риски утечки данных

Директорам по информационной безопасности в Австралии настоятельно рекомендуется более пристально взглянуть на риски утечки данных

25 мая 2024 г.

Киберпартнер Clayton Utz Брентон Стенкамп повидал свою долю кибератак. Вернувшись в Австралию в октябре после семилетнего пребывания в Амстердаме, он привез домой истории о борьбе с многочисленными крупными атаками программ-вымогателей в Европе, а также уроки управления данными, которые они преподали.

Стенкамп сказал, что он заметил, что многие австралийские организации еще не приняли «сменяющую парадигму» точку зрения на риски, связанные с массивами данных, которая необходима для будущего управления данными, и вскоре местные директора по информационной безопасности могут оказаться под прицелом регулирующих органов в результате новой глобальной волны регулирования. Действие разворачивается на местных берегах.

Он рекомендует организациям контролировать массивы данных, используя такие меры, как более качественная классификация записей данных, вопрос о необходимости сохранения данных и минимизация данных за счет удаления данных. Привлекая все заинтересованные стороны, директора по информационной безопасности также должны иметь возможность в любое время представить картину рисков данных.

Австралийские организации не сталкиваются с рисками, связанными с хранением данных.

Стенкамп отметил, что с наступлением эры больших данных организации уже давно не хотели собирать как можно больше информации. Тогда они будут иметь доступ к этой информации, чтобы делать все, что им нужно, например, для облегчения персонализации маркетинга и продаж.

Однако сейчас растет осознание того, что, чему способствует рост утечек данных, это привело к «новому уровню риска». По его словам, организации снова и снова попадают в ловушку, часто не осознавая, какие данные хранятся у них в банке, и что их соблюдение требований и процессы «упустили риск».

ПОСМОТРЕТЬ: Загрузите политику управления рисками с сайта TechRepublic Premium.

Хотя он сказал, что в Австралии есть осведомленность о национальных принципах конфиденциальности, меньший объем регулирующих мер означает, что организации еще не «почувствовали боль» в виде штрафов или наказаний (например, привлечение к ответственности директоров по информационной безопасности или членов совета директоров), поэтому риски данных не полностью учтены.

Дело OAIC против австралийских клинических лабораторий

Одним из тревожных звонков является дело Управления Комиссара по информации Австралии против австралийских клинических лабораторий. В этом случае OAIC заявило, что организация, учитывая ее размер, не приняла разумных мер для защиты личной информации от несанкционированного доступа или не приняла разумных мер безопасности.

Стенкамп сказал, что это дело поднимает два вопроса. Во-первых, это то, как предприятия защищают хранящиеся у них данные, что является типичной сферой деятельности директора по информационной безопасности. Второе — это эффективная оценка и управление рисками, связанными с данными, с точки зрения кибербезопасности.

Организациям настоятельно рекомендуется осознать всю степень риска данных

По мнению Стенкампа, австралийским организациям необходимо провести более глубокую и целостную оценку рисков, связанных с их массивами данных. Если организации не понимают риски, связанные с их данными, и не связывают это с безопасностью, у них возникает «различная точка зрения, которая может быть рискованной», сказал он.

«Это потребует совершенно нового подхода к выявлению рисков», — сказал он. «Вы не сможете повысить ставку в отношении своей безопасности, если вы в то же время не устраняете реальный риск, неотъемлемый риск, связанный с данными, которые вы внедрили в свои организации и через третьих лиц».

Это потребует от организаций сделать шаг назад и взглянуть на свою политику и процессы в отношении того, что такое риск, что он означает для данных, которые они хранят, и как они могут предпринять разумные шаги для снижения этого риска. Это также необходимо будет оценивать и реализовывать на постоянной основе.

Организационные риски, существующие в мире «предполагаемого нарушения»

В феврале 2024 года хакеры успешно взломали UnitedHealth, крупную медицинскую страховую компанию США, обрабатывающую около 50% медицинских претензий в США. Согласно заявлению компании, несмотря на выплату выкупа, здоровье и личные данные «значительной части людей в Америке» были украдены.

Стенкамп сказал, что, хотя расследование взлома все еще продолжается, похоже, что, несмотря на наличие достаточных мер безопасности, организация все же подверглась взлому. По его словам, в подобных ситуациях вопрос с точки зрения риска заключается в следующем: что вы делали за кулисами с точки зрения данных?

Если организации не решают более широкие аспекты риска, связанные с их хранилищами данных, и не внедряют управление данными и меры безопасности для минимизации и смягчения риска, сказал Стенкамп, взлом UnitedHealth показывает, что «жизнеспособность организации потенциально страдает».

Волна регулирования и правоприменения вскоре может прийти к берегам Австралии.

Волна нормативных мер может ударить по берегам Австралии после того, как нынешние предлагаемые изменения в Законе о конфиденциальности будут приняты в качестве закона.

Стенкамп заявил, что директора по информационной безопасности могут быть привлечены к ответственности за халатность в тех случаях, когда они искажают информацию о готовности организации к обеспечению безопасности, не обеспечивают надлежащий контроль или не доводят проблемы до сведения совета директоров.

Сообщается, что в некоторых случаях специалисты по безопасности на зарубежных рынках вообще избегают продвижения на должности директора по информационной безопасности, опасаясь, что новые обязанности могут привести к тому, что они попадут на крючок из-за организационных данных и сбоев в безопасности, которые иногда могут оказаться не в их компетенции. контроль.

Глобальные случаи демонстрируют стремление бороться с неэффективным управлением данными

Стенкамп сказал, что ряд примеров с мировых рынков вскоре может быть повторен в Австралии.

    Комиссия по ценным бумагам и биржам США преследует бывшего финансового директора Uber, среди прочего, за введение в заблуждение и создание неверного впечатления о рисках данных и состоянии безопасности компании, подвергая риску огромные объемы данных водителей и клиентов. Комиссия по ценным бумагам и биржам (SEC) также возбудила дело против директора по информационной безопасности компании SolarWinds Тимоти Брауна, утверждая, что он солгал инвесторам, когда преувеличил методы кибербезопасности SolarWinds и занизил или не раскрыл известные риски, которые стали известны после крупного хакерского события в 2021 году. Недавно регулирующие органы Франции оштрафовали Google на 250 миллионов евро (271,73 миллиона долларов США) за искажение информации, которую компания предоставила о данных, которые она собирала, без согласия французских издателей. Google использовал данные для обучения моделей искусственного интеллекта.

«Я думаю, что это серьезный тревожный звонок», — сказал Стинкамп. «Во всем мире, в Америке, а также среди регулирующих органов в Европе, особенно в континентальной Европе и Ирландии, существует тенденция занимать агрессивную позицию в отношении всей проблемы, связанной с данными», — сказал он.

Организациям придется пройти «разумный тест»

Австралийская комиссия по ценным бумагам и инвестициям ясно дала понять, что в случае утечки данных она будет стремиться подать пример, преследуя в судебном порядке любых отдельных членов совета директоров или руководителей, чьи компании не так подготовлены, как следовало бы, к кибератакам.

Стинкамп сказал, что, в конечном счете, «разумным критерием» станет планка, которой австралийские организации должны соответствовать. Это потребует от организаций понимания специфики ландшафта рисков данных, с которыми они сталкиваются, принятия адекватных мер по защите данных или принятия мер по устранению любых выявленных пробелов в безопасности, которые могут быть выявлены.

Практические шаги, которые могут помочь организациям получить больший контроль над рисками данных

Руководители ИТ-отделов и служб безопасности могут предпринять практические шаги, чтобы лучше справляться с рисками, связанными с данными. Стенкамп сказал, что «меньше значит больше», когда дело касается данных, и приоритеты включают непрерывный процесс изучения имеющихся у вас данных, их классификацию и сохранение только того, что вам нужно, до тех пор, пока оно вам нужно.

Этот момент становится очевидным из нынешних коллективных исков Medibank и Optus после крупных утечек данных в этих организациях. Речь идет, во-первых, о том, существовали ли адекватные меры безопасности для защиты данных, и, во-вторых, нужны ли организациям эти данные вообще.

Стинкамп рекомендует организациям уделять первоочередное внимание таким мерам, как следующие:

Улучшите классификацию данных и периоды хранения

Организации должны проверять и классифицировать записи данных по всему своему имуществу и применять практические рекомендации по хранению и удалению данных. Стенкамп снова и снова повторял, что крупные утечки данных связаны с данными, которые, как понимают организации, «никогда бы не сохранили, если бы знали об этом».

Занимайтесь минимизацией данных, а не максимизацией

Минимизация риска данных предполагает минимизацию данных. Стенкамп рекомендовал использовать диагностику и технологии, чтобы определить, где находятся данные, а затем минимизировать эти данные, особенно когда это конфиденциальные данные, такие как данные о здоровье или личная информация.

Понимать риск достаточно хорошо, чтобы предоставить моментальный снимок риска.

Директора по информационной безопасности и специалисты по коммерческим рискам должны иметь возможность продемонстрировать или нарисовать картину степени риска организации в отношении данных в любой момент времени. Это покажет, что организация устранила необходимые риски и предпринимает адекватные шаги для смягчения любых потенциальных пробелов.

Сообщите совету директоров о рисках, связанных с данными, и способах их смягчения.

Советы директоров должны быть проинформированы о ситуации с рисками, связанными с данными. Хотя может возникнуть соблазн избежать этого, спросив, действительно ли это юридическая проблема или проблема совета директоров, Стенкамп сказал, что если данные будут раскрыты, первый вопрос, который задаст совет директоров, заключается в том, почему они не были проинформированы или не получили необходимого понимания рисков, связанных с этим. данные.

Подпишитесь на информационный бюллетень Daily Tech Insider AU Будьте в курсе новейших технологий с Daily Tech Insider Australian Edition. Мы представляем вам новости о ведущих компаниях, продуктах и ​​людях отрасли, а также избранные статьи, файлы для загрузки и лучшие ресурсы. Вы получите руководства по актуальным технологическим темам, наиболее актуальным для рынков Австралии, которые помогут вам оставаться на шаг впереди. Доставка по четвергам Адрес электронной почты Подписываясь на нашу рассылку, вы соглашаетесь с нашими Условиями использования и Политикой конфиденциальности. Вы можете отписаться в любое время. Подписаться
Подпишитесь на информационный бюллетень Daily Tech Insider AU Будьте в курсе новейших технологий с Daily Tech Insider Australian Edition. Мы представляем вам новости о ведущих компаниях, продуктах и ​​людях отрасли, а также избранные статьи, файлы для загрузки и лучшие ресурсы. Вы получите руководства по актуальным технологическим темам, наиболее актуальным для рынков Австралии, которые помогут вам оставаться на шаг впереди. Доставка по четвергам Адрес электронной почты Подписываясь на нашу рассылку, вы соглашаетесь с нашими Условиями использования и Политикой конфиденциальности. Вы можете отписаться в любое время. Подписаться

Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE