Новые тенденции в области информационной безопасности в 2012 г.
Как известно российские законодатели при формировании правил игры для ИТ-отрасли внимательно смотрят на Европу и США и выбирают оттуда наиболее тенденциозные нормы. К счастью для нас, американские SOPA и PIPA, призванные серьезно ограничить Интернет, не прошли. А вот со стороны европейских законодателей есть несколько весьма неоднозначных инициатив, которые могут потребовать коренных изменений в политике информационной безопасности. Вот четыре тенденции, которые нужно учитывать при составлении планов ИТ-безопасности на 2012 г.
Запрос разрешения использовать cookie. В 2012 году одной из главных задач для компаний, имеющих веб-сайты, будет пересмотр использования куки-файлов. Раньше компаниям не требовалось официального согласия пользователей на прием куки-файлов на свой компьютер. Но с 2012 г. в Европе вступают в силу новые правила, регулирующие применение куки-файлов. Компании должны провести анализ использования куки-файлов: проверить, какие куки-файлы создает их веб-страница и как часто они отправляются, и устранить возможные проблемы конфиденциальности. После этого компаниям придется получить согласие пользователей на создание куки-файлов. Интересно, а остались ли еще в Интернете сайты, которые не пытаются поставить куки на компьютер каждого посетителя? Если ваш сайт смотрят в Евросоюзе, то возможно и вам стоит подумать о внесении соответствующих изменений.
Обновленный закон о защите персональных данных. Защита персональных данных - это не только российская инициатива. С целью стандартизации систем защиты Европейская комиссия внесла поправки в закон о защите персональных данных, ужесточающие правила обработки личной информации. В частности, поправки предполагают следующие:
значительное увеличение штрафов за серьезные нарушения законодательства (до 5% от годового оборота компании);
право «быть забытым», гарантирующее пользователям сайтов и социальных сетей возможность безвозвратно удалять свои данные;
право легко передавать свои данные от одного провайдера к другому;
ответственность сервисных компаний, ведущих обработку данных от имени других организаций. (По текущему законодательству вся ответственность за персональные данные лежит на владельце данных).
В случае если законопроект будет одобрен странами ЕС, обновленный закон о защите персональных данных вступит в силу в 2013 г. Однако компаниям уже сейчас необходимо принять во внимание эти изменения, особенно при средне- и долгосрочном стратегическом планировании. Стоит задуматься, как они повлияют на условия обслуживания компании и покроются ли эти дополнительные риски имеющейся программой страхования.
Новый подход к пользователям смартфонов и планшетов. Быстрое развитие мобильных устройств и приложений порождает и новые проблемы для их пользователей, поэтому необходимо пересмотреть вопросы доверия и ответственности компании и пользователей. Ни у iOS, ни у Android нет понятия «администратор». Всем управляет пользователь, поэтому так легко вредоносное ПО и проникает в мобильные устройства. Компаниям необходим новый подход, который позволит пользователям гибко сочетать обработку рабочих и личных данных на одном устройстве, но это потребует от пользователей принять на себя ответственность за безопасность. Для этого специалистам по безопасности придется провести большую работу с пользователями мобильных устройств.
APT-угрозы. В прошлом году многие компании пострадали от целенаправленных атак. Логично предположить, что крупные организации и впредь будут привлекать внимание кибер-преступников, и, безусловно, им придется усилить меры защиты от Advanced Persistent Threats (APT). Злоумышленники создают программы для взлома и зарабатывают деньги на их продаже третьим лицам. Хакеры обмениваются информацией друг с другом, поэтому новые успешные техники взлома быстро распространяются и начинают применяться более широко. В 2012 г. опасность целенаправленных атак на ИТ-ресурсы компаний выйдет на новый уровень: "средства нападения" станут столь дешевыми и легко доступными, что атак следует ожидать не только крупным компаниям, но даже малому бизнес и индивидуальным пользователям. В России атаки на веб-сайты и ресурсы в социальных сетях - вполне привычное явление, так что, если Интренет-ресурсы для вас важны, то стоит заранее приготовиться к возможным проблемам с этой стороны.
По материалам searchsecurity.techtarget.co.uk