По следам Google Docs: как избежать утечки корпоративных документов

Тема в разделе "Информационная безопасность.", создана пользователем НСК-СБ, 7 июл 2018.

  1. НСК-СБ

    НСК-СБ Команда форума Действительный члены НП "МОД" Приватный уровень доступа

    Сообщения:
    2.080
    Симпатии:
    711
    Баллы:
    113
    По следам Google Docs: как избежать утечки корпоративных документов

    Инцидент с утечкой документов с хранилища Google заставит компании пересмотреть подходы к использованию публичных сервисов

    На пленарной сессии Международного конгресса по кибербезопасности 6 июля Герман Греф предложил экспертному сообществу ответить на вопрос, от кого, по их мнению, исходит наибольшая киберугроза. Самым популярным стал ответ: «От хранителей персональной информации»,: так считают 44,3% респондентов. Гораздо меньше специалисты по информационной безопасности боятся хакеров и мошенников (27,2%), правительства (19,0%) и других людей (9,5%). История с утечкой Google Docs отлично показывает, насколько правы эти 44,3%.

    Вечером 4 июля 2018 года поисковик «Яндекс» проиндексировал документы Google Docs, не защищенные настройками приватности. Утечки различного рода случались и раньше, но эта получила широкий резонанс: в сеть попало много чувствительной корпоративной информации, включая списки сотрудников с их персональными данными и пароли от корпоративных ресурсов. Многие из попавших в открытый доступ документов оказались доступными для редактирования и подверглись вандализму.

    Почему это произошло? Cтатистика утечек конфиденциальной информации показывает, что большая часть подобных инцидентов связана не со злым умыслом, а с элементарным человеческим фактором. Современный пользователь привык к удобству, а рынок корпоративного программного обеспечения не успевает за стремительным развитием технологий и не может оперативно предоставлять для работы дружелюбные интерфейсы.

    Уровень грамотности в области информационной безопасности у рядовых пользователей достаточно низкий. И если в корпоративной среде данную проблему понимают и пытаются дополнительно повышать уровень грамотности сотрудников, то в обычной жизни люди идут по пути наименьшего сопротивления (слабые пароли, настройки доступа по-умолчанию, хранение конфиденциальной информации в общедоступных файлах и т. д.) Это приводит к тому, что многие переносят свои личные привычки использования публичных сервисов в корпоративную среду и выкладывают в сеть не только личные, но и конфиденциальные корпоративные файлы, таким образом усиливая синергетический эффект от угроз информационной безопасности, понижая уровень защищенности корпоративных процессов и подвергая свои личные данные угрозе компрометации.

    Что это означает для пользователей? Если сотрудники компании используют публичные сервисы для хранения корпоративных документов и совместной работы с ними, ответственность за контроль распространения информации лежит на них. Сотрудникам государственных ведомств в России в принципе запрещено использование публичных сервисов для хранения служебных материалов.

    Но действия сотрудников вовсе не снимают ответственности с профильных подразделений компании. Когда предприятие начинает внедрять облачные сервисы, ему становится гораздо сложнее контролировать распространение служебной информации, осуществлять мониторинг нестандартного поведения пользователей и интегрировать используемые во внешнем облачном сервисе подходы в свою корпоративную систему информационной безопасности.

    По нашему опыту, многие компании даже при наличии корпоративной подписки на публичные офисные сервисы предпочитают хранить и обрабатывать документы в собственной корпоративной сети. Сегодня на рынке представлены различные программные продукты, позволяющие создавать удобное пользователям защищенное корпоративное пространство с собственным хранилищем. Отечественные системы безопасности для частного облака контролируют доступ к данным, проверяют надежность паролей, управляют пользователями и могут быть развернуты даже в системах самого высокого класса защиты. Использование этих систем в комплексе исключает возможность массового ошибочного распространения служебной информации вне компании.

    Главная рекомендация для организаций, которым необходима работа с файлами в любое время суток из любого места, — избегать хранения и обработки служебных документов в публичных облаках. Использование публичных сервисов — это прямой путь к увеличению неуправляемых рисков утечки, которые могут свести на нет все преимущества.

    Искренне надеюсь, что данный инцидент заставит компании, пострадавшие в рамках последних событий, сделать выводы — оптимизировать свои процессы, обеспечить контроль использования корпоративных сервисов и программного обеспечения, а также пересмотреть подходы к использованию публичных сервисов.

    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !

     
  2. НСК-СБ

    НСК-СБ Команда форума Действительный члены НП "МОД" Приватный уровень доступа

    Сообщения:
    2.080
    Симпатии:
    711
    Баллы:
    113
    Секретные материалы: как «Яндекс» нашел документы пользователей Google

    Вы думаете, только «Google Документы» с доступом «для всех» могут стать чужой добычей? Входите в соцсеть «ВКонтакте», выбирайте «Документы», набирайте «пароли» — и наслаждайтесь. Российский интернет — это памятник человеческой беспечности
    Примерно к 23:00 4 июля в рунете появились первые новости, что «Яндекс» выдает в поиске файлы, содержащиеся на «Google Диске». Учитывая, что пользователи сейчас все документы стараются хранить в облаке, попадалась и достаточно важная информация: пароли от сервисов, контакты партнеров и даже компромат. Кто виноват? И главное, что делать, чтобы не пострадать?

    Вариант 1. Google
    На момент публикации материала российское представительство Google не ответило, как могло так получиться, что личные файлы пользователей сервиса «Диск» оказались в публичном доступе.

    Чтобы сайт появился в поиске, он должен быть проиндексирован, на сайт заходит робот «Яндекса» или другого поисковика и «ручкой в блокнотик» переписывает «слепок» информации сайта, чтобы понимать в целом, что на нем можно искать. Конечно, это все происходит в цифровом мире. Скорость индексации сайтов ограничена производительностью серверов поискового сервиса — поэтому, например, «Яндекс» лучше ищет в рунете, а Google — среди англоязычных сайтов, каждый фокусируется на своем сегменте.

    Правила позволяют разработчикам отключать индексирование страниц, которые не должны появиться в поисковике, — правила индексации для сайта прописываются в файле robots.txt, который обязательно проверяет поисковик. Если программисты ошиблись при его создании или модификации, то в открытый доступ могут попасть данные, не предназначенные для публичного просмотра. Понятно, что для «Google Диска» файл существует давно, а данные в сеть попали только сейчас, поэтому и нужно выяснять причины.

    Так уже было, в 2011 году оказались проиндексированы в «Яндексе»

    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !

    пользователей «Мегафон», отправленные с сайта. Почему виноват не «Яндекс»? Ведь только он проиндексировал послания? Можно предположить, что поисковик Google просто не успел до них добраться, но это был только вопрос времени.

    Вариант 2. «Яндекс»
    Все-таки подозрительно, почему раньше «Яндекс» не индексировал послания в «Google Диске» и вдруг они оказались в доступе? Что изменилось? Не стоит подозревать интернет-компанию в диверсии, как мы уже говорили, просто именно в этот момент до информации мог добраться робот.

    Но пользователи сообщают, что можно было зайти не только в файлы с правами доступа «для всех», но и в те, которые были доступны только по ссылке. Четких подтверждений найти не удалось, но есть гипотеза, что умные алгоритмы перестарались и использовали ссылки, открываемые браузером «Яндекса», считая их общедоступной информацией. Это, конечно, было бы грубейшей ошибкой разработчиков.

    Однако любые разработчики иногда ошибаются. В начале десятилетия модификация правил безопасности привела к тому, что в Facebook в публичном доступе оказалась информация, которую по замыслу авторов могли видеть только друзья. Тогда Марку Цукербергу удалось отбиться, заявив, что молодое поколение более открытое и не нуждается в приватности. Однако с ростом популярности сервиса Facebook пришлось озадачиться проблемой безопасности данных — и кейс со скандалом вокруг Cambridge Analytica компания будет разбирать еще долго.

    В результате через несколько часов после первых сообщений о доступе к чужим материалам «Яндекс» вообще убрал возможность искать документы на docs.google.com. Даже те, которые находятся в публичном доступе. При этом общедоступные файлы с «Google Диска» можно найти в самом Google или других поисковых сервисах.

    Компании иногда ошибаются, но они исправляются, а все ошибки предотвратить невозможно. И гораздо чаще проблема по другую сторону экрана, в действиях самих пользователей.

    Вариант 3. И, боюсь, самый правильный
    Многие считают пользователей виноватыми по одной простой причине: «Все, что выложено в Интернет, может быть украдено». Я с этим не согласен.

    Действительно, любые файлы могут утечь, пароли могут быть взломанными, системы защиты можно обойти. Но мы живем в интернете уже большую часть своей жизни. Таскать с собой всю информацию, а еще и синхронизировать ее на разных устройствах, просто нереально. Да и небезопасно — если раньше грабители отнимали деньги, то теперь могут увести и флешку с паролями от банковских карт и почты.

    Мы живем в цифровом мире, и, если вы не собираетесь жить в лесу отшельником, надо не избегать возможностей интернета, а изучить их и использовать.

    Какой у вас e-mail? Он совпадает с логином в iCloud? Не состоит ли он из номера телефона, к которому привязана ваша банковская карта? Если ответ: «Да, это удобно». То подумайте о том, что это удобно не только вам.

    К сожалению, интерфейс делают программисты, люди с техническим складом ума и логикой, которая не всегда очевидна, например, пользователям с бизнес-жилкой или способностями в гуманитарной области. Даже самый хороший интерфейс будет зверски изуродован, пока проект пройдет все этапы согласования и доделок. Стоит потратить время, но изучить их.

    Вы думаете, только Google «Документы» с доступом «для всех» могут стать чужой добычей? Входите в сеть «ВКонтакте», выбирайте «Документы», набирайте «пароли» — и наслаждайтесь. Интернет — это памятник человеческой беспечности.

    Совет 1. Проверьте настройки приватности по умолчанию для документов в облачных сервисах. Вам кажется, что они должны быть скрыты от посторонних глаз, сервис мог решить иначе. Регулярно убеждайтесь, что настройки приватности «не слетели».

    Совет 2. Возможно, в этот раз была раскрыта информация и для документов с настройками приватности «по ссылке». Помните, что это минимальный уровень защиты. Один неосторожный пользователь, получивший ссылку, может выложить информацию в общий доступ. Вы не сможете даже проверить, что за «неопознанный олень» сейчас в документе, и понять, не достался ли файл чужим. Непосредственное подключение по e-mail и надежнее, и позволяет следить, кто вносил изменения в документ.

    Совет 3. Вам правда нужны пин-код от банковской карты на ее обратной стороне и пароли от онлайн-банков в облачном доступе? Освойте менеджеры паролей, встроенные в браузеры или в виде отдельных приложений, — это программы, в которых одним паролем можно зашифровать все остальные.

    Вы не можете запомнить пароль? Подумайте еще раз. Можно же загадать девичью фамилию не матери, а бабушки. Добавьте день рождения племянника (ок, хотя бы год), напишите задом наперед свое самое ненавидимое блюдо и добавьте адрес соседнего дома.

    Применяйте современные биометрические методы защиты. Да, отпечаток пальца можно подделать, но это стоит несравнимо больших усилий, чем подобрать адрес ссылки или перехватить пароль от вашего сервиса.

    Совет 4. Я не верю, что вы не можете обойтись без списка паролей. Но хотя бы усложните вору задачу. Пин-код от карты запишите в записную книжку в контакт бабушки (код оператора и недостающие цифры поставьте «из головы»). Элементарно не пишите в один файл логин и пароль — даже если они утекут, у злоумышленника в руках будет только половина кода. И главное.

    Перестаньте надеяться, что компании все за вас сделают. Даже самый длинный и сложный пароль, который применяется на нескольких сервисах, можно выкидывать, если вы введете его под камерой наблюдения. Освойте современные возможности защиты своих данных. Интернет подарил нам новый мир. Не забудьте освоить инструкцию по его использованию.

    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !

     

Поделиться этой страницей

Яндекс.Метрика
  1. Этот сайт использует файлы cookie, чтобы персонализировать контент и сохранить вход в систему, если Вы зарегистрируетесь.
    Продолжая использовать этот сайт, Вы соглашаетесь на использование файлов cookie.
    Скрыть объявление