Конфиденциальные данные электронной почты: способы их защиты

В наше время, в эру цифровых коммуникаций, самым важным ресурсом являются данные. Вернее, данные организаций и пользователей. Их крадут, продают и покупают. По сути, данные стали товаром и теперь вы не являетесь их единоличным владельцем.

Основными способами «добычи» такого типа ресурса являются хакерские атаки.

Чтобы не стать жертвой кибермошенников необходимо перестать относиться к данным как к чему-то незначительному и начать их защищать уже сегодня.

Тот, кто владеет информацией – владеет миром

18 июня 1815-го года поражение при Ватерлоо положило конец планам Наполеона Бонапарта вернуть себе французский трон, а вместе с ним ознаменовало конец его политической карьеры.

За четыре года до этого, в 1811 году, Натан Ротшильд - родоначальник английской династии Ротшильдов - основал частную инвестиционную банковскую компанию. А уже в 1814 году британское правительство привлекло банк Ротшильдов для финансирования военной кампании против Наполеона.

За день до поражения Наполеона, Натан Ротшильд был единственным человеком в Лондоне, кто уже знал о поражении. И первое, что он сделал – начал массово продавать свои акции.

Поддавшись панике и полагая, что англичане проиграли сражение, его примеру последовали и другие фондовые биржи. Ценные бумаги дешевели на глазах. Как раз в это самое время агенты Ротшильда и скупили все обесцененные акции. 

На следующий день, когда мир узнал о поражении Наполеона, Ротшильд был уже миллионером.

И в этом ему помогла почта. Точнее, голубиная почта. Именно благодаря голубям, агенты Ротшильда передали ему информацию о поражении.

Тот, кто владеет вашими конфиденциальными данными – владеет вашим бизнесом

Благодаря своему отношению к конфиденциальным данным, Ротшильды смогли разбогатеть. Ведь они относились к информации с осторожностью и хранили её соответственно — как самое дорогое сокровище. 

Естественно, были попытки перехватить переписку Ротшильдов. Но все они оказывались провальными: Ротшильды шифровали свои сообщения и всё, что могли видеть злоумышленники, — это набор нечитаемых символов и неразборчивых фраз. Ведь единственными, кто мог расшифровать сообщения, были сами Ротшильды.

Времена прошли, но знаменитая фраза Ротшильда актуальна как никогда. В эпоху же цифровой коммуникации справедливым стало утверждение, что тот, кто владеет вашими конфиденциальными данными — владеет вашим бизнесом.

Поэтому защита электронной почты является наивысшим приоритетом для бизнеса. Ведь только так бизнес сможет гарантировать защиту своих конфиденциальных данных.

Что такое конфиденциальность

Конфиденциальность, в первую очередь, — это право любого человека, а также организации на сохранение в тайне определенной информации.

При этом необходимо различать два понятия: конфиденциальные данные и конфиденциальная информация.

Что относится к конфиденциальным данным 

Конфиденциальные данные — эта информация любого рода, доступ к которой ограничен и не подлежит свободному распространению.

К персональным и конфиденциальным данным пользователя относятся сведения, которые позволяют опознать (идентифицировать) личность, учетные, финансовые и контактные данные. Например, такими данными могут быть идентификационные данные пользователя (имя и пароль), данные о физическом лице (персональные данные) и др.

Сохранность личных данных и иных сведений обеспечивает так называемая конфиденциальность информации.

Что относится к конфиденциальной информации

Конфиденциальная информация — информация, не подлежащая огласке, разглашению или утечке, то есть секретная.

Примером конфиденциальной информации может быть коммерческая тайна, главная составляющая конфиденциальной информации любой организации.

Чтобы ваши бизнес-секреты не стали достоянием общественности, необходимо в обязательном порядке соблюдать конфиденциальность информации. Отчасти в этом состоит важность принятия политики безопасности, которая должна быть направлена на разработку и обеспечение мер по неразглашению конфиденциальной информации.

Как можно защитить конфиденциальные данные

Защита конфиденциальных данных — одна из главных задач информационной безопасности современной организации.

Все сведения, связанные с деятельностью организации, необходимо считать конфиденциальными.

Любое противозаконное завладение такой информации считается нарушением. В их число входит:

• перехват данных;
• изменение, подмена и удаление данных;
• промышленный шпионаж (выведывание секретной информации, недоступной широкому кругу лиц);
• хищение данных, хранящихся на каком-либо вещественном носителе (бумаге, промышленном образце, цифровом носителе);
• взлом и проникновение в компьютерные системы для получения доступа к хранящейся там информации.

Заполучив необходимую информацию, одна компания получает конкурентное преимущество над другой, что для последней может стать настоящей катастрофой.

Чтобы защитить чувствительные данные от угрозы несанкционированного доступа необходимо:

1. Определить данные, относящиеся к конфиденциальным.
2. Определить уровни доступа для каждой конкретной категории сотрудников.
3. Ограничить права доступа сотрудников, а также партнеров и других компаний к таким данным.

Одной из мер для защиты конфиденциальных данных является соблюдение рекомендаций GDPR.

GDPR

25 мая 2018 года вступило в силу постановление Европейского Союза о защите персональных данных.

Таким образом, для преодоления нарушений и усиления защиты персональных данных Европарламент разработал и внедрил General Data Protection Regulation, сокращенно GDPR. 

GDPR, или Общий Регламент по защите данных, регулирует нормы по сбору, хранению и обработке персональных данных физических лиц (субъектов данных) внутри и за пределами Европейского Союза. Но Регламент применяется не только к странам-членам Европейского Союза, а также и к любому юридическому лицу, обрабатывающему персональные данные лиц Европейского союза. 

Компании, которые занимаются обработкой персональных данных пользователей, должны соответствовать требованиям GDPR.

Несоответствие или несоблюдение требованиям Регламента сулит организациям колоссальные штрафы — до 4% годового оборота компании или 20 миллионов евро (в зависимости от того, что больше). А это влечёт за собой потерю или ухудшение международной репутации компании.

Обработать, сохранить, защитить

Согласно Регламенту, персональные данные — это данные, на основании которых может быть опознан (идентифицирован) человек: имя, фамилия, паспортные данные, информация о местоположении, интернет-идентификаторы (например, cookies) и другие.

Согласно Регламенту, компании обязаны соблюдать требование по защите персональных данных по замыслу и по умолчанию (by design and by default). 

В соответствии с GDPR, защита данных означает, что компании должны определить круг организационных вопросов для операций по обработке персональных данных; интегрировать безопасные механизмы для обработки данных; и принять ряд технических мер и способов, чтобы защитить конфиденциальность данных.

Важно понимать, что для того, чтобы соответствовать требованиям Регламента, недостаточно просто заменить или обновить политики безопасности компании — необходимо предпринять конкретные шаги.

• Первым шагом должен стать правильный выбор технического решения, которое обеспечит максимальную конфиденциальность и защиту от несанкционированного доступа к конфиденциальным данным. 
• Второе, на что стоит обратить внимание при выборе решения, это использует ли такое решение шифрование данных. 
• В-третьих, быть уверенным в том, что вашими конфиденциальными данными владеете только вы и никто другой.

Но самое главное — это осознание того, что ответственность за соответствие требованиям GDPR несёт исключительно сама компания.

Так как электронная почта — один из главных каналов для бизнес-коммуникации во всём мире, то именно он является вектором атак №1 для кражи конфиденциальной информации.

Поэтому на плечи компании возложена ещё одна важная миссия — обеспечить тайну связи и сохранность чувствительных данных при деловой переписке по электронной почте.

Миссия: обеспечить право на тайну связи 

Право на неразглашение конфиденциальных данных, а вместе с ним и право на приватность переписки — это два естественных и неотъемлемых права человека. 

Нарушением права переписки посредством электронной почты является ознакомление с сообщением третьих лиц. Другими словами, кроме отправителя и получателя никто не должен владеть, изменять, разглашать и совершать других действий, направленных на овладение такой информацией. 

Какой будет ваша реакция, когда вы узнаете, что ваши данные электронной почты хранятся не на вашем собственном сервере (в пределах защищённого периметра вашей компании), а на сервере частной компании? 

Чтобы защитить себя и свой бизнес от кражи ценной информации при ведении электронной переписки, необходимо обеспечить защиту самой переписке.

Как StealthMail защищает ваши конфиденциальные данные

StealthMail — многоуровневое решение, направленное на защиту конфиденциальной информации, передаваемой по электронной почте. 

Чтобы обеспечить максимальную и надежную защиту данных при переписке по электронной почте, решение StealthMail использует комбинацию различных криптографических алгоритмов шифрования. 

При использовании решения StealthMail:

• Данные всегда зашифрованы (при пересылке, хранении и при использовании).
  • Каждый раз, при открытии письма, данные расшифровываются.
  • По окончании работы с сообщениями, данные зашифровываются.
• Зашифрованные данные передаются на устройство только после авторизации пользователя.
• Ключи шифрования находятся под полным контролем компании.
• Использование шифрования данных с соблюдением норм законодательства страны, в которой находится компания.
• Не затрагивает текущую IT-инфраструктуру компании.
• Предоставляет выделенный конфиденциальный канал коммуникации для безопасной пересылки почты.

StealthMail работает вместе с приложением по управлению пользователями и инфраструктурой решения, которое специально разработано для системных администраторов и офицеров безопасности StealthMail Management Tool. 

StealthMail Management Tool

Приложение позволяет офицеру безопасности:

• настроить уровни доступа различных пользователей к данным;
• произвести мониторинг действий обычных пользователей и пользователей с повышенным уровнем доступа;
• отслеживать изменения;
• изменять политики хранения конфиденциальных данных;
• ограничивать общий доступ к данным.

Помимо прочего, офицер безопасности и IT-администратор могут осуществлять:

• установку собственного пароля;
• изменять пароль внутреннего пользователя (со StealthMail-аккаунтом);
• изменять номера телефона внешнего пользователя (без StealthMail-аккаунта);
• устанавливать лимит на количество устройств пользователя.

Вместо заключения

Конфиденциальные данные — это самый ценный ресурс вашего бизнеса. Поэтому критически важно позаботиться о их защите уже сегодня. Ведь от того, насколько защищены ваши конфиденциальные данные сегодня, зависит то, насколько будет успешным ваша компания завтра.

StealthMail — это решение, которое обеспечивает комплексную защиту информации компании и ее конфиденциальных данных электронной почты на протяжении всего их жизненного цикла.

Для более подробной информации о том, как StealthMail обеспечивает постоянную защиту ваших конфиденциальных данных, скачайте Техническое описание или оставьте Заявку на демо-версию.