Задержан подозреваемый в глобальной утечке персональных данных сотрудников ОАО «РЖД» в августе 2019 года

[d1mk0]

Жаль, что нет технических подробностей, как вышли на злоумышленника. От того и оценить уровень сложности проделанной отделом К работы не получится.

[smind]

Я думаю было примерно так — вяли за жабры того под чьим логином качалась информация, дальше пробито окружение.

[yotec]

Непонятно при чем тут статья 183 УК РФ "Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну", если выложены были персональные данные работников. Или для ОАО РЖД персональные данные работников имеют коммерческую ценность?
Кстати, часть 1 статьи 183 — только собирание сведений, без разглашения!

[Alesh]

ИНН и СНИЛС тысяч людей с привязкой к персональным данным я думаю попадают и под налоговую и под банковскую. К тожу же за персональные данные тоже есть отдельная ответственность.

[yotec]

Налоговую тайну составляют любые полученные налоговым органом, органами внутренних дел, следственными органами, органом государственного внебюджетного фонда и таможенным органом сведения о налогоплательщике, плательщике страховых взносов.
Банковская тайна: Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов.

К тожу же за персональные данные тоже есть отдельная ответственность.

Увы, нет. Есть универсальная 272-я УК РФ «Неправомерный доступ к компьютерной информации».

[dom1n1k]

Ни в коем случае не оправдывая того мудака, всё же отмечу — я почти уверен, что он ничего не хакал, а просто вынес то, что валялось на какой-нибудь бухгалтерии или отделе кадров в свободном доступе.

[mig126]

В США как то судили учительницу, за то что не блокировала телефон паролем/отпечатком.
Ученик взял телефон нашёл интересные фотки и разослал их.
Чем правда закончилось не помню.

[HellFir-e]

теперь, как минимум не учительница, а дальше не помню

[playnet]

Не повод. Увы, но без таких проишествий данные так и будут дальше валяться фактически в открытом доступе. Сотрудников, пассажиров…
А учитывая «особенности» нашей страны — просто обнаружить и передать хозяевам — в лучшем случае молча прикроют конкретную проблему без планирования системы по международным нормам — всяким HIPAA, PCI DSS и подобным, это не принесёт денег же, а в худшем ещё и посадят.
Ну и что, что можно сотней методов украсть эти данные и продавать их всем подряд, подход роспозора показывает всю политику страны — если проблему спрятать, её больше нет.
Только такие крупные скандалы заставляют причастных людей хоть как-то чесаться, как бы это не было печально.

И очень неприятный пример. Представьте что у вас в городе начали воровать детей. Но вместо предупреждения граждан по всем каналам для повышения бдительности — все такие случаи будут засекречивать, всех кто посмеет что-то рассказывать — сажать в тюрьму, в сми будет полная тишина. При этом для поимки ничего делаться не будет, вдруг народ что-то заподозрит. Именно этим сейчас и занимается роспозор.

[Oxoron]

Только такие крупные скандалы заставляют причастных людей хоть как-то чесаться, как бы это не было печально.

Крупный скандал? Для 95% жителей страны (давайте предположим, что все жители прочли эту статью) все выглядит хорошо: какой-то дятел похулиганил, органы его обнаружили «благодаря грамотно спланированным следственным действиям и оперативно-розыскным мероприятиям», дятлу светят несколько лет. Данные наверняка вернут обратно.

Это не скандал, это подвиг МВД.

[playnet]

Тем не менее, внутри компании меры скорее всего тоже будут приняты. А при хоть немного адекватном руководстве — внутреннее расследование по уязвимости будут проведены, и отдельные руководители могут быть наказаны, может понижением в должности или переводом в другой отдел, но совсем бесследно не пройдёт. Хотя не скажу именно про ржд, но я слышал что например запись в школы через сайт госуслуг несколько лет подряд не работала в день Х, и там сменили руководство отдела.

[PleaseKING]

Все эти международные нормы, к сожалению, есть, по большей части, средство перекладывания ответственности и прикрытия своих мягких частей тела, а не обеспечения безопасности — см. Equifax и им подобные случаи. Такой же бардак, только дороже. Компетентных специалистов ничто не заменит.

[playnet]

Там прописаны в том числе нормы по строению баз и разграничению доступов, как удалённо, так и физически, аудитам. Отдельно таблица с параметрами номер-список, отдельно имя-номер… Даже тупое следование этим нормам уже существенно снижает риск серьёзных утечек и упрощает контроль доступа и анализ проишествий. Плюс это вектор специалистам, что нужно делать. Так что не могу сказать что это тупое прикрытие, хотя разумеется специалисты нужны.

[PleaseKING]

Я имею богатый опыт конкретно с HIPAA — там широчайший простор для технических реализаций (что и логично), главное там — распределение ответственности. Что уже не так и мало, но отнюдь не панацея. Насмотрелся я на формальный подход к этому, все по закону, притом утекает только так. Compliance != Security.

[playnet]

Я тоже по HIPAA больше года работаю. Думаете, от него нулевой эффект? Если нет — внедрять однозначно. Понятно что всегда можно накосячить, это не даёт 100% защиты. Но в целом ситуацию улучшает.
Согласны?

[PleaseKING]

Ну вот в данном случае HIPAA вообще ничем не помог бы. Аудит помог бы увидеть, кто смотрел — и так увидели, со всеми бы тренинг провели, как надо жить — и тут наверняка провели, толку то. Был бы внешний аудит, на него можно спихнуть ответственность хотя бы репутационную, при этом ничто не мешает взять в аудиторы контору шараш-монтаж, которая теми же студентами укомплектована. Видел это все в реальности в США и Израиле. В итоге все пункты выполнены, мягкие места прикрыты, толку никакого.

Конечно, можно сделать по уму. Но HIPAA тут не при чем. Собственно меня зацепила фраза про защиту по международным стандартам — как будто эти самые стандарты сами по себе способны что-то защитить, либо наличие Заграничной Бумажки даёт какие-то плюсы. Не способны и не даёт. Проблемы решают люди, а не бумажки. Хотя бумажки могут умным людям помочь, спору нет.

[fougasse]

Блин, я уж подумал, что хакера из поезда таки задержали.

[Nomad1]

К сожалению, вполне могли задержать как раз его и повесить все нераскрытые дела.

[fougasse]

Двушка условно — это печально

[fougasse]

"… молодой человек 1993 года рождения смог получить неправомерный доступ к охраняемой законом информации, находящейся на внутренних ресурсах организации."

[keydon2]

Робин гуд персональных данных! Отбирает данные у фсбшников, банкиров, кадровиков, других служб и отдает их обычным людям. Быть может так и рушится государственная монополия на данные и мы становимся чуть более равными.

[playnet]

10 мало, это зп их топов. Чтобы они начали чесаться, лучше штрафануть лямов на 500, и если за 3 года не приведут безопасность к международным стандартам — лярдов 5 ещё.
Увы, это никому не нужно и такого в этой стране точно не будет.

[Oxoron]

Штрафовать в таких конторах надо не фирму, а людей ответственных за эти направления.

Отвественные люди вводят промежуточную должность, на неё переводят ответственность, и назначают зарплату выше среднего. Или создают проект «ИБ», при этом ответственным за ИБ (и последствия) назначается подчиненный. Или нанимают подрядчика, скидывая ответственность на него.

[CherryPah]

Не каждый согласится себя подставить

У нас дураков которые за 100 рублей клады разносят на сто лет вперед припасено. За возможностью поработать зицпредседателем, еще и на хорошем окладе — очередь выстроится и передерется

[fougasse]

Так может начать работать правоохранителям и все вот эти промежуточные должности определять и штафовать конкретных бенефициаров всего этого банкета?
Но для этого работать нужно, а не палки собирать.

[fougasse]

Но платить будете вы, т.к. ржд — государенная де-факто.
Отличный план.

[iSherhan]

Теперь из-за этого инцидента не работает my.rzd.ru. И непонятно будет ли дальше работать. А жаль, удобный по работе был ресурс.

[MOPOH]

… смог получить неправомерный доступ к охраняемой законом информации, находящейся на внутренних ресурсах организации

Надеюсь, не в сети Сапсана?

[destroy]

В президенты! Хотя не, он же вроде не украл их…

[halted]

Также он пояснил, что логин и пароль для входа на корпоративный сайт ОАО «РЖД» случайно увидел на бумажке в паспорте у знакомого.

как феноменальная память у виновника, мельком глянуть и запомнить пароль вида jP@as;1Xdf$

[sergeyns]

А может там пароль вида 8-999-123-12-12
(типа телефон, или день рождения). Тут хошь-нехошь придется про «бумажку» рассказывать, иначе совсем глупо

[halted]

т.е. обладатель паспорта имеет настолько паршивую память, что неспособен запомнить легкий пароль? Да и не верится, что требования к паролю настолько занижены.

[playnet]

Как ни странно, политика частой смены пароля ведёт к таким же результатам. Можно помнить 1 пароль на всё, можно потом его менять с привязкой на конкретный сервис (T00LateForCoffe@mailru) — сложный, цифры (0), большие-маленькие, спецсимволы, уникальный под каждый сервис, нужно знать логику формирования), но когда менять его надо каждый месяц — дальше появится или всегда одинаковая последовательность (1019 — ноябрь 19 года), а при «ваш пароль похож на прошлые» или принудительная выдача пароля — он БУДЕТ записан. И лежать под клавой/в паспорте/наклеен на монитор. Это неизбежность. С этим невозможно бороться, 90% людей уже 3-4 пароль не смогут запомнить. Поэтому и имеет смысл введения дополнительных факторов типа google auth или duo security, а для рабочих мест — карта плюс постоянный пароль, который пользователь сам придумал.

[S-trace]

Не могу не вспомнить XKCD про «correct horse battery staple»

[pyrk2142]

Не могу сказать, что у меня отличная память (хотя и не сильно жалуюсь), но этот пароль я запомнил сразу после прочтения комментария, а если утекший пароль был написан от руки, то для некоторых людей в этом будет ещё больше зацепок для запоминания.

В этом плане радуют разные конторы (от театров до банков), которые оставляют в разных местах бумажки с паролями и данными сотрудников. При наличии времени (а его было много, пока я ждал менеджера в банке) запомнить ФИО и номер карты другого клиента было несложно.

[sanu002]

там логином является СНИЛС

[mSnus]

Ерунда какая-то. Звучит как дурной детектив "Соблазнил главного бухгалтера Тамару Филипповну 1953-го года рождения с целью завладения её учётными данными для доступа..."

Допустим, ладно, сотрудник хранит у себя в паспорте бумажку с паролем. Данные явно из отдела кадров или бухгалтерии. Дальше вопросы:

• почему доступ сотрудников бухгалтерии организован по паролям, не по картам, например?
• зачем к компам бухгалтерии есть вообще удалённый доступ?
• причем удалённый доступ с произвольного адреса (..96 ip-адресов, да?)
• почему нет аудита доступа к большому количеству записей с одного аккаунта сотрудника?

Это какая то дыра в дыре...

[alexam713]

Лапша это все. В нормальной системе доступа к базе целиком нет ни у кого. Да и не нужен он никому. Доступ бывает к отделным записям и у начальников к отчетам.