ТАРИФ "VIP Канонир" - СКИДКА 50%!

Перед оплатой введите промо-код:

PIRAT.BIZ_50%

Пиратский вестник По следам Google Docs: как избежать утечки корпоративных документов

Henry Morgan

Капитан
Регистрация
19.02.18
Сообщения
15,600
Реакции
79,505
Депозит
27400
Сделки
189
Нарушения
0 / 0
Монетки
450809.5
    Голосов: 0
    0.0 5 0 0 https://pirat.biz/threads/%D0%9F%D0%BE-%D1%81%D0%BB%D0%B5%D0%B4%D0%B0%D0%BC-google-docs-%D0%BA%D0%B0%D0%BA-%D0%B8%D0%B7%D0%B1%D0%B5%D0%B6%D0%B0%D1%82%D1%8C-%D1%83%D1%82%D0%B5%D1%87%D0%BA%D0%B8-%D0%BA%D0%BE%D1%80%D0%BF%D0%BE%D1%80%D0%B0%D1%82%D0%B8%D0%B2%D0%BD%D1%8B%D1%85-%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D0%BE%D0%B2.33268/
  • #1
Посмотреть вложение 17374

Инцидент с утечкой документов с хранилища Google заставит компании пересмотреть подходы к использованию публичных сервисов
На пленарной сессии Международного конгресса по кибербезопасности 6 июля Герман Греф предложил экспертному сообществу ответить на вопрос, от кого, по их мнению, исходит наибольшая киберугроза. Самым популярным стал ответ: «От хранителей персональной информации»,: так считают 44,3% респондентов. Гораздо меньше специалисты по информационной безопасности боятся хакеров и мошенников (27,2%), правительства (19,0%) и других людей (9,5%). История с утечкой Google Docs отлично показывает, насколько правы эти 44,3%.
Вечером 4 июля 2018 года поисковик «Яндекс» проиндексировал документы Google Docs, не защищенные настройками приватности. Утечки различного рода случались и раньше, но эта получила широкий резонанс: в сеть попало много чувствительной корпоративной информации, включая списки сотрудников с их персональными данными и пароли от корпоративных ресурсов. Многие из попавших в открытый доступ документов оказались доступными для редактирования и подверглись вандализму.
Почему это произошло? Cтатистика утечек конфиденциальной информации показывает, что большая часть подобных инцидентов связана не со злым умыслом, а с элементарным человеческим фактором. Современный пользователь привык к удобству, а рынок корпоративного программного обеспечения не успевает за стремительным развитием технологий и не может оперативно предоставлять для работы дружелюбные интерфейсы.

Уровень грамотности в области информационной безопасности у рядовых пользователей достаточно низкий. И если в корпоративной среде данную проблему понимают и пытаются дополнительно повышать уровень грамотности сотрудников, то в обычной жизни люди идут по пути наименьшего сопротивления (слабые пароли, настройки доступа по-умолчанию, хранение конфиденциальной информации в общедоступных файлах и т. д.) Это приводит к тому, что многие переносят свои личные привычки использования публичных сервисов в корпоративную среду и выкладывают в сеть не только личные, но и конфиденциальные корпоративные файлы, таким образом усиливая синергетический эффект от угроз информационной безопасности, понижая уровень защищенности корпоративных процессов и подвергая свои личные данные угрозе компрометации.
Что это означает для пользователей? Если сотрудники компании используют публичные сервисы для хранения корпоративных документов и совместной работы с ними, ответственность за контроль распространения информации лежит на них. Сотрудникам государственных ведомств в России в принципе запрещено использование публичных сервисов для хранения служебных материалов.
Но действия сотрудников вовсе не снимают ответственности с профильных подразделений компании. Когда предприятие начинает внедрять облачные сервисы, ему становится гораздо сложнее контролировать распространение служебной информации, осуществлять мониторинг нестандартного поведения пользователей и интегрировать используемые во внешнем облачном сервисе подходы в свою корпоративную систему информационной безопасности.
По нашему опыту, многие компании даже при наличии корпоративной подписки на публичные офисные сервисы предпочитают хранить и обрабатывать документы в собственной корпоративной сети. Сегодня на рынке представлены различные программные продукты, позволяющие создавать удобное пользователям защищенное корпоративное пространство с собственным хранилищем. Отечественные системы безопасности для частного облака контролируют доступ к данным, проверяют надежность паролей, управляют пользователями и могут быть развернуты даже в системах самого высокого класса защиты. Использование этих систем в комплексе исключает возможность массового ошибочного распространения служебной информации вне компании.
Главная рекомендация для организаций, которым необходима работа с файлами в любое время суток из любого места, — избегать хранения и обработки служебных документов в публичных облаках. Использование публичных сервисов — это прямой путь к увеличению неуправляемых рисков утечки, которые могут свести на нет все преимущества.
Искренне надеюсь, что данный инцидент заставит компании, пострадавшие в рамках последних событий, сделать выводы — оптимизировать свои процессы, обеспечить контроль использования корпоративных сервисов и программного обеспечения, а также пересмотреть подходы к использованию публичных сервисов.
 
Верх Низ