Не так давно была обнародована любопытная новость. Ее суть: онлайновое файловое хранилище Dropbox начало расследовать возможную утечку данных своих пользователей, которым стали приходить на электронную почту спамные письма. А самое интересное в том, что тех. поддержка Dropbox’а узнала об этом инциденте… от недовольных спамом юзеров сервиса.
Интригующе, не правда ли? Из крупной организации утекает важная информация, но никто из сотрудников этого не знает. Как тут не почувствовать свою безнаказанность хакерам и беспомощность компаниям? И этот инцидент с Dropbox – не единичный случай.
Достаточно полистать ленту новостей на любом айтишном портале, чтобы убедиться в этом. Вот, к примеру, еще не забытая утечка хешей паролей от сервиса Formspring. В тексте новости видим: «Узнали об утечке учетных данных после того, как около 42 тыс. паролей было обнаружено и опубликовано в открытом доступе на одном из форумов».
А вот еще одна свежая новость. На этот раз она касается игры NFS: Most Wanted 2. А точнее, части игровых кодов находящегося в разработке гоночного симулятора. Опубликованы они были на форумах хакерской тематики, а в компании-разаработчике Criterion Games об утечке узнали только уже от завсегдатаев этих сообществ. Только на этот раз в инциденте подозревается не хакер, а собственный сотрудник.
Дальше пересказывать ленту новостей за июль не стоит. Тенденция очевидна. Другой вопрос, что с этой тенденцией делать. Повторять еще раз о таких набивших оскомину вещах, как антивирус, DLP-система, разграничение доступа и т.д. явно не стоит – об этом сказано уже достаточно.
И скорее всего, весь комплекс этих мер применяется во всех серьезных компаниях, перечисленных выше. Но не помогает. Утечки не просто происходят. О них знают все, кроме самих сотрудников организаций.
А как у нас?
Все, о чем шла речь выше, так или иначе, касается западных компаний. Это и не удивительно – акцентированию внимания на проблемах информационной безопасности в Европе и США всегда уделяется большое внимание. Но есть ли такая же тенденция к стелс-утечкам у нас, в Украине, России и других странах СНГ?
Могу утверждать, что есть, хоть со свежими примерами могут возникнуть сложности. Вся проблема в том, что у нас «невидимые» утечки невидимы вдвойне: когда о ней узнают в самой организации, тут же делают все возможное, чтобы этот инцидент не стал достоянием общественности. Очень часто это получается. Но иногда все же информация оказывается доступной.
Самым громким скандалом такого рода можно считать прошлогодние утечки SMS сотовых операторов. И имеется в виду не сам инцидент с смс-ками Мегафона, который случился аккурат после принятия закона о ПДн, а его последствия. На волне интереса к этой теме было обнаружено в свободном доступе множество другой конфиденциальной информации об абонентах других мобильных операторов. О чем последние были не в курсе.
Так что в этом плане мы недалеко ушли от Запада.
Что делать?
Тут, похоже, как у Чернышевского – вопрос риторический. Вроде как и законодательная база есть, и технические решения имеются, и о безопасности немало сказано. Можно было бы по традиции свалить все на недостаточный опыт местных сотрудников службы безопасности, но и это не так – в других странах ситуация аналогичная.
Вот и получается, что большая часть безопасности ложится на плечи самих пользователей различных интернет-сервисов. Сложные пароли, надежный e-mail, который нигде не «засвечен», осторожность при публикации своих персональных данных – все это поможет обычному пользователю минимизировать свой риск в случае утечки информации.
Кроме того, есть смысл оповещать службу поддержки сервиса или сайта в том случае, если вы видите некую подозрительную деятельность: приходят спамные и фишинговые письма якобы от лица администрации, попытки взлома учтенной записи и т.д. Возможно, ваша внимательность поможет компании вовремя заметить утечку и устранить ее последствия.
Внимательность пользователей в совокупности с опытом отдела безопасности поможет в разы увеличить уровень защиты многих интернет-сервисов.
Роман Идов, аналитик компании SearchInform, эксперт по информационной безопасности:
Для защиты своих персональных данных самое главное – быть разборчивым в том, кому ты их доверяешь. Нет ничего плохого в том, чтобы узнать у туроператора, медицинского центра и других подобных учреждений, что они делают для того, чтобы обезопасить данные клиентов от утечки. Если внятного ответа нет, и организации начинают «темнить» ‑ нужно сразу уходить из такого места и искать такое предложение на рынке, которое не заставит потом жалеть о доверенных данной организации данных.
