Риски «третьей стороны» - это серьезно
Кражи и утечки конфиденциальной информации приняли глобальный масштаб. В мире в одном только 2018 году зафиксированы утечки 5 миллиардов закрытых данных. И это только верхушка айсберга, поскольку многие компании скрывают подобные инциденты, боясь навредить репутации.
Как отмечает Мишель Друайе в журнале Chief Security Officer, значительная часть информационных утечек, так или иначе, вызвана проблемами с безопасностью у партнеров и поставщиков. Но нельзя забывать, что ответственность за утраченные или украденные по вине третьей стороны корпоративные данные лежит на вашей организации со всеми юридическими и финансовыми последствиями. Надо помнить, что популярный, особенно в последнее время, аутсорсинг при всех его плюсах расширяет пространство, где хранятся и обрабатываются служебные данные, следовательно, и увеличивает вектор потенциальных хакерских атак.
Автор публикации рекомендует уже на старте взаимодействия с новым партнером, клиентом или поставщиком самым серьезным образом проверить надежность его систем кибербезопасности. Для начала задайте себе и партнеру следующие вопросы:
- Почему необходимо отдавать на аутсорсинг данную услугу (информацию)?
- Чем конкретно придется делиться с партнером и так ли уж нужно делиться корпоративными данными?
- Как хранится и защищается информация у партнера? Например, шифруется ли она?
- Планирует ли партнер нанимать специалистов (или фирму по субконтракту) для осуществления проекта, и если да, то предполагается ли передача им вашей информации?
- Где находится центр обработки данных, которым пользуется третья сторона?
- Как сформулированы в проекте контракта вопросы, связанные с возможными инцидентами безопасности?
Ясный и четкий план мер реагирования на инцидент кибербезопасности должен быть прописан в контракте очень конкретно: кто за что отвечает, разумный период времени на ликвидацию последствий и восстановление атакованных сетей и баз данных, линии коммуникации в кризисной ситуации. Мишель Друайе подчеркивает необходимость серьезного внимания к самым, на первый взгляд, незначительным, мизерным уязвимостям и возможным инцидентам, ибо последние, подобно снежному кому, могут быстро превратиться в большую угрозу.
Не принимайте на веру слова, что все у партнера в порядке. Предусмотрите регулярную проверку состояния систем информзащиты. В тексте контракта надо прописать обязательства партнера по защите передаваемых ему данных, требования адекватно реагировать на инциденты, детальный план контроля и тестирования систем, а также перечень внешних контактов, каналов, по которым могут утекать данные.
Подобный документ, жестко регламентирующий защиту информации в процессе аутсорсинга, очень даже пригодится в судебном заседании, где решается вопрос о виновной стороне в утечке персональных данных или другой важной конфиденциальной информации. Просчеты в составлении контракта и прочих документов для аутсорсинга, к примеру, невозможность отслеживать, как обрабатываются и хранятся переданные третьей стороне данные, чреваты серьезными негативными последствиями для вашей организации, подчеркивает Друайе.
Если в процессе аутсорсинга вы убеждаетесь, что ваш партнер не выполняет принятые на себя обязательства, зафиксированные в соответствующем документе, не мешкая, разрывайте контракт!
|
вернуться назад
