Kontaktieren Sie uns in Messenger oder per Telefon.

whatsapp telegram viber phone email
+79214188555

Following Google Docs: Avoiding Corporate Document Leaks

НСК-СБ

Teammitglied
Private Zugriffsebene
Full members of NP "MOD"
Mitglied seit
14.07.2011
Beiträge
3.170
Punkte für Reaktionen
2.159
Punkte
613
Ort
Новосибирск
Following Google Docs: Avoiding Corporate Document Leaks

The incident with the leak of documents from Google storage will force companies to reconsider approaches to the use of public services

At a plenary session of the International Congress on Cybersecurity on July 6, German Gref invited the expert community to answer the question from whom, in their opinion, the greatest cyber threat emanates. The most popular answer was: “From the custodians of personal information”: 44.3% of respondents think so. Much less information security experts are afraid of hackers and scammers (27.2%), government (19.0%) and other people (9.5%). The story of the Google Docs leak perfectly shows how right these 44.3% are.

In the evening of July 4, 2018, the Yandex search engine indexed Google Docs documents that were not protected by privacy settings. Leaks of various kinds have happened before, but this one got a wide response: a lot of sensitive corporate information got into the network, including lists of employees with their personal data and passwords from corporate resources. Many of the documents that were in the public domain were editable and vandalized.

Why did this happen? Statistics on confidential information leaks show that most of these incidents are not connected with malicious intent, but with an elementary human factor. A modern user is accustomed to convenience, and the corporate software market does not keep pace with the rapid development of technology and cannot promptly provide friendly interfaces for work.

The level of literacy in the field of information security among ordinary users is quite low. And if in the corporate environment this problem is understood and people are trying to further increase the literacy level, then in everyday life people follow the path of least resistance (weak passwords, default access settings, storing confidential information in public files, etc.) This leads to to the fact that many transfer their personal habits of using public services to the corporate environment and upload not only personal, but also confidential corporate files to the network, thereby enhancing the synergistic effect of information security threats, lowering the level of security of corporate processes and putting their personal data at risk compromise.

What does this mean for users? If company employees use public services for storing corporate documents and working with them, the responsibility for controlling the dissemination of information lies with them. Employees of government departments in Russia are prohibited in principle from using public services for storing service materials.

But the actions of employees do not relieve responsibility from the relevant departments of the company. When an enterprise begins to implement cloud services, it becomes much more difficult for it to control the distribution of service information, monitor non-standard user behavior and integrate the approaches used in an external cloud service into its corporate information security system.

In our experience, many companies even with a corporate subscription to public office services prefer to store and process documents in their own corporate network. Today, various software products are presented on the market that allow creating user-friendly secure corporate space with its own storage. Domestic security systems for a private cloud control access to data, check the strength of passwords, manage users and can be deployed even in systems of the highest class of protection. The use of these systems in a complex eliminates the possibility of mass erroneous distribution of service information outside the company.

The main recommendation for organizations that need to work with files at any time of the day from anywhere is to avoid storing and processing official documents in public clouds. Using public services is a direct way to increase the unmanageable risks of leakage, which can negate all the benefits.

I sincerely hope that this incident will force companies affected by recent events to make conclusions - to optimize their processes, provide control over the use of corporate services and software, as well as revise approaches to using public services.
Following Google Docs: Avoiding Corporate Document Leaks | Technology | Forbes.ru
 
Original message
По следам Google Docs: как избежать утечки корпоративных документов

Инцидент с утечкой документов с хранилища Google заставит компании пересмотреть подходы к использованию публичных сервисов

На пленарной сессии Международного конгресса по кибербезопасности 6 июля Герман Греф предложил экспертному сообществу ответить на вопрос, от кого, по их мнению, исходит наибольшая киберугроза. Самым популярным стал ответ: «От хранителей персональной информации»,: так считают 44,3% респондентов. Гораздо меньше специалисты по информационной безопасности боятся хакеров и мошенников (27,2%), правительства (19,0%) и других людей (9,5%). История с утечкой Google Docs отлично показывает, насколько правы эти 44,3%.

Вечером 4 июля 2018 года поисковик «Яндекс» проиндексировал документы Google Docs, не защищенные настройками приватности. Утечки различного рода случались и раньше, но эта получила широкий резонанс: в сеть попало много чувствительной корпоративной информации, включая списки сотрудников с их персональными данными и пароли от корпоративных ресурсов. Многие из попавших в открытый доступ документов оказались доступными для редактирования и подверглись вандализму.

Почему это произошло? Cтатистика утечек конфиденциальной информации показывает, что большая часть подобных инцидентов связана не со злым умыслом, а с элементарным человеческим фактором. Современный пользователь привык к удобству, а рынок корпоративного программного обеспечения не успевает за стремительным развитием технологий и не может оперативно предоставлять для работы дружелюбные интерфейсы.

Уровень грамотности в области информационной безопасности у рядовых пользователей достаточно низкий. И если в корпоративной среде данную проблему понимают и пытаются дополнительно повышать уровень грамотности сотрудников, то в обычной жизни люди идут по пути наименьшего сопротивления (слабые пароли, настройки доступа по-умолчанию, хранение конфиденциальной информации в общедоступных файлах и т. д.) Это приводит к тому, что многие переносят свои личные привычки использования публичных сервисов в корпоративную среду и выкладывают в сеть не только личные, но и конфиденциальные корпоративные файлы, таким образом усиливая синергетический эффект от угроз информационной безопасности, понижая уровень защищенности корпоративных процессов и подвергая свои личные данные угрозе компрометации.

Что это означает для пользователей? Если сотрудники компании используют публичные сервисы для хранения корпоративных документов и совместной работы с ними, ответственность за контроль распространения информации лежит на них. Сотрудникам государственных ведомств в России в принципе запрещено использование публичных сервисов для хранения служебных материалов.

Но действия сотрудников вовсе не снимают ответственности с профильных подразделений компании. Когда предприятие начинает внедрять облачные сервисы, ему становится гораздо сложнее контролировать распространение служебной информации, осуществлять мониторинг нестандартного поведения пользователей и интегрировать используемые во внешнем облачном сервисе подходы в свою корпоративную систему информационной безопасности.

По нашему опыту, многие компании даже при наличии корпоративной подписки на публичные офисные сервисы предпочитают хранить и обрабатывать документы в собственной корпоративной сети. Сегодня на рынке представлены различные программные продукты, позволяющие создавать удобное пользователям защищенное корпоративное пространство с собственным хранилищем. Отечественные системы безопасности для частного облака контролируют доступ к данным, проверяют надежность паролей, управляют пользователями и могут быть развернуты даже в системах самого высокого класса защиты. Использование этих систем в комплексе исключает возможность массового ошибочного распространения служебной информации вне компании.

Главная рекомендация для организаций, которым необходима работа с файлами в любое время суток из любого места, — избегать хранения и обработки служебных документов в публичных облаках. Использование публичных сервисов — это прямой путь к увеличению неуправляемых рисков утечки, которые могут свести на нет все преимущества.

Искренне надеюсь, что данный инцидент заставит компании, пострадавшие в рамках последних событий, сделать выводы — оптимизировать свои процессы, обеспечить контроль использования корпоративных сервисов и программного обеспечения, а также пересмотреть подходы к использованию публичных сервисов.
По следам Google Docs: как избежать утечки корпоративных документов | Технологии | Forbes.ru

НСК-СБ

Teammitglied
Private Zugriffsebene
Full members of NP "MOD"
Mitglied seit
14.07.2011
Beiträge
3.170
Punkte für Reaktionen
2.159
Punkte
613
Ort
Новосибирск
The X-Files: how Yandex found Google user documents

Do you think that only Google Docs with access for everyone can become someone else’s prey? Log in to the VKontakte social network, select “Documents”, type in “passwords” and enjoy. The Russian Internet is a monument to human carelessness
At approximately 11:00 p.m. on July 4, the first news appeared in RuNet that Yandex would send out files contained in Google Drive in a search. Considering that users are now trying to store all documents in the cloud, quite important information came across: passwords from services, contacts of partners, and even incriminating evidence. Who's guilty? And most importantly, what to do in order not to suffer?

Option 1. Google
At the time of publication of the material, the Russian representative office of Google did not answer how it could happen that the personal files of users of the Disk service were in the public domain.

For a site to appear in the search, it must be indexed, the Yandex robot or another search engine visits the site and writes a “copy” of the site’s information with a pen in a notebook to understand in general what it can be searched for. Of course, this all happens in the digital world. The speed of indexing sites is limited by the performance of search engine servers - therefore, for example, Yandex looks better in RuNet, and Google searches among English-language sites, each focusing on its own segment.

The rules allow developers to disable the indexing of pages that should not appear in the search engine - the indexing rules for the site are written in the robots.txt file, which the search engine must check. If programmers made a mistake when creating or modifying it, then data that is not intended for public viewing may be made publicly available. It’s clear that for “Google Drive” the file has existed for a long time, and the data has got to the network only now, therefore we need to find out the reasons.

As it was already, in 2011 they were indexed at Yandex posts Megafon users sent from the site. Why is not Yandex to blame? After all, only he indexed the messages? It can be assumed that the Google search engine simply did not have time to reach them, but it was only a matter of time.

Option 2. Yandex
Still, it is suspicious why Yandex had not indexed messages in Google Drive before, and suddenly they were available? What changed? Do not suspect the Internet company of sabotage, as we already said, just at that moment the robot could get to the information.

But users report that it was possible to enter not only files with “for all” access rights, but also those that were accessible only by reference. No clear confirmations were found, but there is a hypothesis that smart algorithms overdid and used links opened by the Yandex browser, considering them to be publicly available information. This, of course, would be a gross blunder of the developers.

However, any developers are sometimes mistaken. At the beginning of the decade, a modification of security rules led to the fact that on Facebook was publicly available information that, according to the authors, only friends could see. Then Mark Zuckerberg managed to fight back, saying that the younger generation is more open and does not need privacy. However, with the growing popularity of the Facebook service, I was puzzled by the problem of data security - and the company will be disassembling the case with the scandal around Cambridge Analytica for a long time to come.

As a result, a few hours after the first reports of access to other people's materials, Yandex generally removed the ability to search for documents on docs.google.com. Even those that are in the public domain. At the same time, public files from Google Drive can be found on Google or other search services.

Companies are sometimes mistaken, but they are corrected, and all errors cannot be prevented. And much more often the problem on the other side of the screen is in the actions of the users themselves.

Option 3. And, I am afraid, the most correct
Many consider users guilty for one simple reason: “Everything that is posted on the Internet can be stolen.” I do not agree with this.

Indeed, any files can leak, passwords can be cracked, protection systems can be circumvented. But we have been living on the Internet for most of our lives. Carrying all the information with you, as well as synchronizing it on different devices, is simply unrealistic. Yes, and it’s not safe - if earlier robbers took money, now they can take away a flash drive with passwords from bank cards and mail.

We live in a digital world, and if you are not going to live in the forest as a hermit, you should not avoid the Internet, but study and use them.

What is your e-mail? Does it match the login in iCloud? Does it consist of the phone number to which your bank card is linked? If the answer is "Yes, it’s convenient." Then think that it is convenient not only for you.

Unfortunately, the interface is made by programmers, people with a technical mentality and logic that is not always obvious, for example, to users with a business vein or humanitarian abilities. Even the best interface will be brutally disfigured, while the project goes through all stages of coordination and completion. Worth the time, but study them.

Do you think that only Google Docs with access for everyone can become someone else’s prey? Enter the VKontakte network, select “Documents”, type “passwords” and enjoy. The Internet is a monument to human carelessness.

Tip 1 . Check the default privacy settings for documents in cloud services. It seems to you that they should be hidden from prying eyes, the service could decide otherwise. Check regularly that your privacy settings haven’t been lost.

Tip 2 . Perhaps this time information was also disclosed for documents with privacy settings “by reference”. Remember that this is the minimum level of protection. One careless user who received the link can share the information. You won’t even be able to check what kind of “unidentified deer” is in the document right now, and understand if the file has been left to strangers. Direct connection by e-mail is more reliable, and allows you to keep track of who made changes to the document.

Tip 3 . Do you really need a PIN from a bank card on its back and passwords from online banks in the cloud? Master password managers built into browsers or as separate applications - these are programs in which all the others can be encrypted with one password.

Can't remember your password? Think again. You can make a maiden name not of a mother, but of a grandmother. Add your nephew’s birthday (ok, at least a year), write back your most hated dish backwards and add the address of the neighboring house.

Use modern biometric methods of protection. Yes, a fingerprint can be faked, but it costs much more effort than picking up a link address or intercepting a password from your service.

Tip 4 . I do not believe that you cannot do without a list of passwords. But at least complicate the task of the thief. Write the PIN code from the card in your notebook to Grandma’s contact (put the operator code and the missing numbers “out of my head”). Elementary, do not write the username and password into one file - even if they leak, the attacker will have only half the code in his hands. And most importantly.

Stop hoping that companies will do everything for you. Even the longest and most complex password that is used on several services can be thrown out if you enter it under a surveillance camera. Master the modern possibilities of protecting your data. The Internet has given us a new world. Do not forget to master the instructions for its use.
The X-Files: how Yandex found Google users' documents | Technology | Forbes.ru
 
Original message
Секретные материалы: как «Яндекс» нашел документы пользователей Google

Вы думаете, только «Google Документы» с доступом «для всех» могут стать чужой добычей? Входите в соцсеть «ВКонтакте», выбирайте «Документы», набирайте «пароли» — и наслаждайтесь. Российский интернет — это памятник человеческой беспечности
Примерно к 23:00 4 июля в рунете появились первые новости, что «Яндекс» выдает в поиске файлы, содержащиеся на «Google Диске». Учитывая, что пользователи сейчас все документы стараются хранить в облаке, попадалась и достаточно важная информация: пароли от сервисов, контакты партнеров и даже компромат. Кто виноват? И главное, что делать, чтобы не пострадать?

Вариант 1. Google
На момент публикации материала российское представительство Google не ответило, как могло так получиться, что личные файлы пользователей сервиса «Диск» оказались в публичном доступе.

Чтобы сайт появился в поиске, он должен быть проиндексирован, на сайт заходит робот «Яндекса» или другого поисковика и «ручкой в блокнотик» переписывает «слепок» информации сайта, чтобы понимать в целом, что на нем можно искать. Конечно, это все происходит в цифровом мире. Скорость индексации сайтов ограничена производительностью серверов поискового сервиса — поэтому, например, «Яндекс» лучше ищет в рунете, а Google — среди англоязычных сайтов, каждый фокусируется на своем сегменте.

Правила позволяют разработчикам отключать индексирование страниц, которые не должны появиться в поисковике, — правила индексации для сайта прописываются в файле robots.txt, который обязательно проверяет поисковик. Если программисты ошиблись при его создании или модификации, то в открытый доступ могут попасть данные, не предназначенные для публичного просмотра. Понятно, что для «Google Диска» файл существует давно, а данные в сеть попали только сейчас, поэтому и нужно выяснять причины.

Так уже было, в 2011 году оказались проиндексированы в «Яндексе» сообщения пользователей «Мегафон», отправленные с сайта. Почему виноват не «Яндекс»? Ведь только он проиндексировал послания? Можно предположить, что поисковик Google просто не успел до них добраться, но это был только вопрос времени.

Вариант 2. «Яндекс»
Все-таки подозрительно, почему раньше «Яндекс» не индексировал послания в «Google Диске» и вдруг они оказались в доступе? Что изменилось? Не стоит подозревать интернет-компанию в диверсии, как мы уже говорили, просто именно в этот момент до информации мог добраться робот.

Но пользователи сообщают, что можно было зайти не только в файлы с правами доступа «для всех», но и в те, которые были доступны только по ссылке. Четких подтверждений найти не удалось, но есть гипотеза, что умные алгоритмы перестарались и использовали ссылки, открываемые браузером «Яндекса», считая их общедоступной информацией. Это, конечно, было бы грубейшей ошибкой разработчиков.

Однако любые разработчики иногда ошибаются. В начале десятилетия модификация правил безопасности привела к тому, что в Facebook в публичном доступе оказалась информация, которую по замыслу авторов могли видеть только друзья. Тогда Марку Цукербергу удалось отбиться, заявив, что молодое поколение более открытое и не нуждается в приватности. Однако с ростом популярности сервиса Facebook пришлось озадачиться проблемой безопасности данных — и кейс со скандалом вокруг Cambridge Analytica компания будет разбирать еще долго.

В результате через несколько часов после первых сообщений о доступе к чужим материалам «Яндекс» вообще убрал возможность искать документы на docs.google.com. Даже те, которые находятся в публичном доступе. При этом общедоступные файлы с «Google Диска» можно найти в самом Google или других поисковых сервисах.

Компании иногда ошибаются, но они исправляются, а все ошибки предотвратить невозможно. И гораздо чаще проблема по другую сторону экрана, в действиях самих пользователей.

Вариант 3. И, боюсь, самый правильный
Многие считают пользователей виноватыми по одной простой причине: «Все, что выложено в Интернет, может быть украдено». Я с этим не согласен.

Действительно, любые файлы могут утечь, пароли могут быть взломанными, системы защиты можно обойти. Но мы живем в интернете уже большую часть своей жизни. Таскать с собой всю информацию, а еще и синхронизировать ее на разных устройствах, просто нереально. Да и небезопасно — если раньше грабители отнимали деньги, то теперь могут увести и флешку с паролями от банковских карт и почты.

Мы живем в цифровом мире, и, если вы не собираетесь жить в лесу отшельником, надо не избегать возможностей интернета, а изучить их и использовать.

Какой у вас e-mail? Он совпадает с логином в iCloud? Не состоит ли он из номера телефона, к которому привязана ваша банковская карта? Если ответ: «Да, это удобно». То подумайте о том, что это удобно не только вам.

К сожалению, интерфейс делают программисты, люди с техническим складом ума и логикой, которая не всегда очевидна, например, пользователям с бизнес-жилкой или способностями в гуманитарной области. Даже самый хороший интерфейс будет зверски изуродован, пока проект пройдет все этапы согласования и доделок. Стоит потратить время, но изучить их.

Вы думаете, только Google «Документы» с доступом «для всех» могут стать чужой добычей? Входите в сеть «ВКонтакте», выбирайте «Документы», набирайте «пароли» — и наслаждайтесь. Интернет — это памятник человеческой беспечности.

Совет 1. Проверьте настройки приватности по умолчанию для документов в облачных сервисах. Вам кажется, что они должны быть скрыты от посторонних глаз, сервис мог решить иначе. Регулярно убеждайтесь, что настройки приватности «не слетели».

Совет 2. Возможно, в этот раз была раскрыта информация и для документов с настройками приватности «по ссылке». Помните, что это минимальный уровень защиты. Один неосторожный пользователь, получивший ссылку, может выложить информацию в общий доступ. Вы не сможете даже проверить, что за «неопознанный олень» сейчас в документе, и понять, не достался ли файл чужим. Непосредственное подключение по e-mail и надежнее, и позволяет следить, кто вносил изменения в документ.

Совет 3. Вам правда нужны пин-код от банковской карты на ее обратной стороне и пароли от онлайн-банков в облачном доступе? Освойте менеджеры паролей, встроенные в браузеры или в виде отдельных приложений, — это программы, в которых одним паролем можно зашифровать все остальные.

Вы не можете запомнить пароль? Подумайте еще раз. Можно же загадать девичью фамилию не матери, а бабушки. Добавьте день рождения племянника (ок, хотя бы год), напишите задом наперед свое самое ненавидимое блюдо и добавьте адрес соседнего дома.

Применяйте современные биометрические методы защиты. Да, отпечаток пальца можно подделать, но это стоит несравнимо больших усилий, чем подобрать адрес ссылки или перехватить пароль от вашего сервиса.

Совет 4. Я не верю, что вы не можете обойтись без списка паролей. Но хотя бы усложните вору задачу. Пин-код от карты запишите в записную книжку в контакт бабушки (код оператора и недостающие цифры поставьте «из головы»). Элементарно не пишите в один файл логин и пароль — даже если они утекут, у злоумышленника в руках будет только половина кода. И главное.

Перестаньте надеяться, что компании все за вас сделают. Даже самый длинный и сложный пароль, который применяется на нескольких сервисах, можно выкидывать, если вы введете его под камерой наблюдения. Освойте современные возможности защиты своих данных. Интернет подарил нам новый мир. Не забудьте освоить инструкцию по его использованию.
Секретные материалы: как «Яндекс» нашел документы пользователей Google | Технологии | Forbes.ru