Утечка информации в компании

Утечка информации в компании

Утечка информации из компании – частое явление, которое в эру цифровых технологий стало настоящей проблемой для организаций. По данным InfoWatch за первые 6 месяцев прошлого года стало известно о 64,5% случаев нежелательного распространения информации сотрудниками компаний. Это на 10% больше, чем в 2017 году. При этом процент хищения и утечки информации из-за внешних факторов снизился. Каким образом это происходит и как сказывается на репутации компаний?

Приложения, которые собирают базу пользователей

GetContact – приложение для определения незнакомых входящих номеров.

GetContact

Впервые приложение появилось в конце 2017 года и быстро набрало популярность в Казахстане и Айзербаджане. О разработчиках известно, что это основатели компании LLP – Бурак Селахаттин Саглык и Мустафа Севинч. Для того чтобы запустить приложение, пользователю необходимо открыть доступ к своему списку контактов. Сервис сохраняет весь список телефонов под именами, записанными в смартфоне. Приложение в течение двух месяцев завоевало огромную популярность и собрало обширную базу контактов, поскольку пользователи сами с интересом стали искать, как записаны их собственные номера, а также телефоны друзей.

Через некоторое время приложение было заблокировано на территории Киргизии, Казахстана и Азербайджана из-за нарушения закона о защите персональных данных. Тем не менее в правилах мобильного сервиса было указано, что он имеет право делиться информацией пользователей с любой третьей стороной, а также использовать данные в маркетинговых целях. Разработчики заявили, что в марте 2018 года количество номеров в базе данных достигло 2 млрд контактов. При этом у многих клиентов в телефонной книге записаны также пин-коды от банковских карт, пароли, адреса и другая личная информация. Ради развлечения приложение устанавливали самые разные группы пользователей, в том числе сотрудники компаний, журналисты, известные личности. После проверки сервиса Роскомнадзором разработчики согласились перенести базу контактов российских пользователей на территорию РФ, а также уведомлять клиентов об использовании персональных данных.

Утечка данных из-за ошибок настройки

Mos.ru – сайт мэрии Москвы

Mos.ru

В конце декабря 2018 года произошла массовая утечка платежных данных с сайта московской мэрии. В интернете оказались квитанции об оплате в формате pdf, их можно было просмотреть, настроив поиск «Яндекса» по определенным параметрам. Среди получателей платежей числились столичные школы и ГИБДД. Этот случай оказался не единичным. Ранее общедоступными стали паспортные данные и отсканированные документы, которые пользователи прикрепляли к обращениям, отправляемым в столичный департамент транспорта. Это произошло из-за простой ошибки: организации не прописали в коде запрет на индексацию определенных страниц. Именно по этой причине в сети оказались доступными для просмотра страницы с обращением граждан и платежная информация. C подобной проблемой столкнулась в 2011 году компания «Мегафон», когда в сети оказалось 8000 sms с указанием номеров абонентов.

В 2017 году крупная утечка произошла из отделения Пенсионного Фонда России. В документе содержалась информация о более чем 17000 человек – их ФИО, адреса регистрации, а также СНИЛС. Есть подозрение, что изначально документ содержал еще больше сведений о застрахованных, которые были удалены и отправлены предпринимателям. Представители ПФР сообщили о том, что по данному факту проходит проверка инцидента.

Слив информации в сеть по ошибке сотрудника

«Сбербанк» – крупнейшее кредитно-финансовое учреждение России

В октябре 2018 года в интернете появилась база сотрудников «Сбербанка», включающая более 400 тыс. человек. В файле содержалась информация не только об именах и фамилиях работников банка на территории России, за рубежом и его дочерних компаний, но также их должности, наименования подразделений, почта, а также данные доступа к персональным компьютерам. Среди контактных данных в сеть попала также документация, касающаяся разработки ПО DevOps.

Представители банка подтвердили утечку информации и заверили, что клиентские данные остаются в безопасности. Выложенный в сеть файл с именами сотрудников является доступным для всех сотрудников банка и не угрожает раскрытию персональной информации. Но инцидент косвенно нанес удар по репутации организации, которая уверяет клиентов в том, что обладает одной из самых защищенных систем хранения пользовательской информации. Позже выяснилось, что утечка произошла из головного офиса «Сбербанка». Сначала предполагалось, что базу слил в сеть один из бывших или нынешних сотрудников организации. Но после расследования обнаружилось, что виной послужила ошибка сотрудника, который отправлял данные с компьютера себе на личную почту для работы.

Хакерские атаки

Equifax – крупнейшее кредитное агентство США

Осень 2017 года в истории запомнилась одной из самых глобальных утечек информации за последние несколько лет. Злоумышленники проникли на серверы компании за полгода до инцидента и использовали веб-приложение на сайте Equifax. В сентябре хакеры завладели информацией о 143 млн клиентов компании, которая включала в себя страховые номера, адреса, водительские удостоверения, а также данные о банковских счетах. Основными пострадавшими стали жители США, хотя есть сведения о том, что жертвами стали также канадцы и британцы. По иронии услугами Equifax пользуются многие организации, которые столкнулись с утечкой пользовательских данных. Это инцидент косвенно сказался на репутации компании.

PlayStation Network – сервис, который позволяет загружать контент для приставки Sony и открывает доступ к сетевой игре
Сервис PlayStation Network был взломан в 2011 году. Хакеры завладели информацией о 70 млн пользователей. Руководство приняло решение в срочном порядке отключить сеть и провести мероприятия по восстановлению сервисов, а также доскональному изучению инцидента для предотвращения повторения подобной ситуации. В распоряжении хакеров оказались логины и пароли от входа в сеть, электронная почта и адреса проживания, а также зашифрованные данные о банковских картах.

За период простоя Sony потеряла 171 млн долларов. Компании потребовался почти месяц, чтобы сервис заработал в прежнем режиме. Этот случай стал резонансным и показал уязвимость облачных сервисов, которые в то время стали активно внедряться на рынок информационных технологий. Компания была оштрафована британским судом за нарушение законов о защите и хранении персональной информации. Также получила иски от физических лиц и отказ страховой компании компенсировать возмещение убытков после случившегося.

Кража коммерческой тайны

Apple – американская компания, занимающаяся разработкой и производством электронных устройств и программного обеспечения
Летом 2018 года один из сотрудников компании Apple, причастный к разработке беспилотного автомобиля, внезапно заявил об уходе после отдыха в Китае. Система безопасности компании проявила интерес к его неожиданному увольнению и проверила сетевую активность работника. Оказалось, что Сяолан Чжан скопировал данные о проекте, а также вынес из лаборатории сервер и микросхемы. Полиция арестовала бывшего сотрудника в тот момент, когда он собирался вылететь из страны в Китай. Сяолан Чжан хотел устроиться работать в китайскую компанию Xiaopeng Motors. Если бы данная информация была получена китайской компанией, то ущерб от утечки составил миллиарды долларов. К данному проекту причастны около 5 тыс. сотрудников, половина из которых имеют доступ к секретной информации. Таким образом, действия одного сотрудника чуть не поставили под угрозу всю разработку автономного автомобиля.

«Норманн» – строительная компания Санкт-Петербурга.

В настоящий момент в компании «Норманн» сотрудники проверяются на полиграфе – детекторе лжи. Нововведение появилось после произошедшего инцидента, когда уволенный топ-менеджер организации выложил в сеть информацию о деталях и подробностях строительства одно из крупных объектов недвижимости. Таким образом бывший сотрудник хотел отомстить руководству. Просочившаяся в интернет внутренняя документация существенно сказалась на репутации компании. Организация понесла потери на сумму, превышающую 100 млн рублей по причине того, что дольщики стали отзывать свое участие в строительстве данного объекта. Сейчас руководство компании сотрудничает с бывшим следователем, который проводит собеседования при поступлении на работу новых сотрудников, а также проверяет давних сотрудников. По трудовому кодексу организации имеют право применять полиграф в качестве метода контроля за сотрудниками, но его данные в суде не могут использоваться в качестве доказательств.

«Фотосклад.ру» – сеть магазинов по продаже цифровой техники

Компания стала жертвой действий недобросовестного сотрудника, который ушел к конкурентам. Уволившийся интернет-маркетолог забрал с собой всю контактную информацию о клиентах. База содержала порядка 25 тыс. электронных адресов. Бывший работник стал их использовать для спама, рассылая ложную информацию об открытии новой торговой точки. Это стало известным благодаря тому, что среди контактов были в том числе адреса сотрудников компании. Через какое-то время он предпринял попытки продать имеющуюся базу, а также выложил в сеть аналитическую информацию об организации. Все действия бывшего работника были направлены на то, чтобы подорвать репутацию и одновременно ослабить конкурента, так как он планировал открыть собственный интернет-магазин. Размещенные в интернете данные стоили миллионы, так как это был труд нескольких лет за время существования компании, «Фотосклад.ру» был нанесен прямой ущерб.

На видео: Современные средства защиты информации от утечек

Роман
Оцените автора
Безопасник
Добавить комментарий