Comments 45
Жаль, что нет технических подробностей, как вышли на злоумышленника. От того и оценить уровень сложности проделанной отделом К работы не получится.
Непонятно при чем тут статья 183 УК РФ "Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну", если выложены были персональные данные работников. Или для ОАО РЖД персональные данные работников имеют коммерческую ценность?
Кстати, часть 1 статьи 183 — только собирание сведений, без разглашения!
ИНН и СНИЛС тысяч людей с привязкой к персональным данным я думаю попадают и под налоговую и под банковскую. К тожу же за персональные данные тоже есть отдельная ответственность.
Банковская тайна: Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов.
К тожу же за персональные данные тоже есть отдельная ответственность.
Увы, нет. Есть универсальная 272-я УК РФ «Неправомерный доступ к компьютерной информации».
Ученик взял телефон нашёл интересные фотки и разослал их.
Чем правда закончилось не помню.
А учитывая «особенности» нашей страны — просто обнаружить и передать хозяевам — в лучшем случае молча прикроют конкретную проблему без планирования системы по международным нормам — всяким HIPAA, PCI DSS и подобным, это не принесёт денег же, а в худшем ещё и посадят.
Ну и что, что можно сотней методов украсть эти данные и продавать их всем подряд, подход роспозора показывает всю политику страны — если проблему спрятать, её больше нет.
Только такие крупные скандалы заставляют причастных людей хоть как-то чесаться, как бы это не было печально.
И очень неприятный пример. Представьте что у вас в городе начали воровать детей. Но вместо предупреждения граждан по всем каналам для повышения бдительности — все такие случаи будут засекречивать, всех кто посмеет что-то рассказывать — сажать в тюрьму, в сми будет полная тишина. При этом для поимки ничего делаться не будет, вдруг народ что-то заподозрит. Именно этим сейчас и занимается роспозор.
Только такие крупные скандалы заставляют причастных людей хоть как-то чесаться, как бы это не было печально.Крупный скандал? Для 95% жителей страны (давайте предположим, что все жители прочли эту статью) все выглядит хорошо: какой-то дятел похулиганил, органы его обнаружили «благодаря грамотно спланированным следственным действиям и оперативно-розыскным мероприятиям», дятлу светят несколько лет. Данные наверняка вернут обратно.
Это не скандал, это подвиг МВД.
Все эти международные нормы, к сожалению, есть, по большей части, средство перекладывания ответственности и прикрытия своих мягких частей тела, а не обеспечения безопасности — см. Equifax и им подобные случаи. Такой же бардак, только дороже. Компетентных специалистов ничто не заменит.
Я имею богатый опыт конкретно с HIPAA — там широчайший простор для технических реализаций (что и логично), главное там — распределение ответственности. Что уже не так и мало, но отнюдь не панацея. Насмотрелся я на формальный подход к этому, все по закону, притом утекает только так. Compliance != Security.
Согласны?
Ну вот в данном случае HIPAA вообще ничем не помог бы. Аудит помог бы увидеть, кто смотрел — и так увидели, со всеми бы тренинг провели, как надо жить — и тут наверняка провели, толку то. Был бы внешний аудит, на него можно спихнуть ответственность хотя бы репутационную, при этом ничто не мешает взять в аудиторы контору шараш-монтаж, которая теми же студентами укомплектована. Видел это все в реальности в США и Израиле. В итоге все пункты выполнены, мягкие места прикрыты, толку никакого.
Конечно, можно сделать по уму. Но HIPAA тут не при чем. Собственно меня зацепила фраза про защиту по международным стандартам — как будто эти самые стандарты сами по себе способны что-то защитить, либо наличие Заграничной Бумажки даёт какие-то плюсы. Не способны и не даёт. Проблемы решают люди, а не бумажки. Хотя бумажки могут умным людям помочь, спору нет.
Блин, я уж подумал, что хакера из поезда таки задержали.
Увы, это никому не нужно и такого в этой стране точно не будет.
Штрафовать в таких конторах надо не фирму, а людей ответственных за эти направления.Отвественные люди вводят промежуточную должность, на неё переводят ответственность, и назначают зарплату выше среднего. Или создают проект «ИБ», при этом ответственным за ИБ (и последствия) назначается подчиненный. Или нанимают подрядчика, скидывая ответственность на него.
Но платить будете вы, т.к. ржд — государенная де-факто.
Отличный план.
Теперь из-за этого инцидента не работает my.rzd.ru. И непонятно будет ли дальше работать. А жаль, удобный по работе был ресурс.
… смог получить неправомерный доступ к охраняемой законом информации, находящейся на внутренних ресурсах организации
Надеюсь, не в сети Сапсана?
Также он пояснил, что логин и пароль для входа на корпоративный сайт ОАО «РЖД» случайно увидел на бумажке в паспорте у знакомого.
как феноменальная память у виновника, мельком глянуть и запомнить пароль вида jP@as;1Xdf$
(типа телефон, или день рождения). Тут хошь-нехошь придется про «бумажку» рассказывать, иначе совсем глупо
Не могу сказать, что у меня отличная память (хотя и не сильно жалуюсь), но этот пароль я запомнил сразу после прочтения комментария, а если утекший пароль был написан от руки, то для некоторых людей в этом будет ещё больше зацепок для запоминания.
В этом плане радуют разные конторы (от театров до банков), которые оставляют в разных местах бумажки с паролями и данными сотрудников. При наличии времени (а его было много, пока я ждал менеджера в банке) запомнить ФИО и номер карты другого клиента было несложно.
Ерунда какая-то. Звучит как дурной детектив "Соблазнил главного бухгалтера Тамару Филипповну 1953-го года рождения с целью завладения её учётными данными для доступа..."
Допустим, ладно, сотрудник хранит у себя в паспорте бумажку с паролем. Данные явно из отдела кадров или бухгалтерии. Дальше вопросы:
- почему доступ сотрудников бухгалтерии организован по паролям, не по картам, например?
- зачем к компам бухгалтерии есть вообще удалённый доступ?
- причем удалённый доступ с произвольного адреса (..96 ip-адресов, да?)
- почему нет аудита доступа к большому количеству записей с одного аккаунта сотрудника?
Это какая то дыра в дыре...
Задержан подозреваемый в глобальной утечке персональных данных сотрудников ОАО «РЖД» в августе 2019 года