Following Google Docs: Avoiding Corporate Document Leaks
The incident with the leak of documents from Google storage will force companies to reconsider approaches to the use of public services
At a plenary session of the International Congress on Cybersecurity on July 6, German Gref invited the expert community to answer the question from whom, in their opinion, the greatest cyber threat emanates. The most popular answer was: “From the custodians of personal information”: 44.3% of respondents think so. Much less information security experts are afraid of hackers and scammers (27.2%), government (19.0%) and other people (9.5%). The story of the Google Docs leak perfectly shows how right these 44.3% are.
In the evening of July 4, 2018, the Yandex search engine indexed Google Docs documents that were not protected by privacy settings. Leaks of various kinds have happened before, but this one got a wide response: a lot of sensitive corporate information got into the network, including lists of employees with their personal data and passwords from corporate resources. Many of the documents that were in the public domain were editable and vandalized.
Why did this happen? Statistics on confidential information leaks show that most of these incidents are not connected with malicious intent, but with an elementary human factor. A modern user is accustomed to convenience, and the corporate software market does not keep pace with the rapid development of technology and cannot promptly provide friendly interfaces for work.
The level of literacy in the field of information security among ordinary users is quite low. And if in the corporate environment this problem is understood and people are trying to further increase the literacy level, then in everyday life people follow the path of least resistance (weak passwords, default access settings, storing confidential information in public files, etc.) This leads to to the fact that many transfer their personal habits of using public services to the corporate environment and upload not only personal, but also confidential corporate files to the network, thereby enhancing the synergistic effect of information security threats, lowering the level of security of corporate processes and putting their personal data at risk compromise.
What does this mean for users? If company employees use public services for storing corporate documents and working with them, the responsibility for controlling the dissemination of information lies with them. Employees of government departments in Russia are prohibited in principle from using public services for storing service materials.
But the actions of employees do not relieve responsibility from the relevant departments of the company. When an enterprise begins to implement cloud services, it becomes much more difficult for it to control the distribution of service information, monitor non-standard user behavior and integrate the approaches used in an external cloud service into its corporate information security system.
In our experience, many companies even with a corporate subscription to public office services prefer to store and process documents in their own corporate network. Today, various software products are presented on the market that allow creating user-friendly secure corporate space with its own storage. Domestic security systems for a private cloud control access to data, check the strength of passwords, manage users and can be deployed even in systems of the highest class of protection. The use of these systems in a complex eliminates the possibility of mass erroneous distribution of service information outside the company.
The main recommendation for organizations that need to work with files at any time of the day from anywhere is to avoid storing and processing official documents in public clouds. Using public services is a direct way to increase the unmanageable risks of leakage, which can negate all the benefits.
I sincerely hope that this incident will force companies affected by recent events to make conclusions - to optimize their processes, provide control over the use of corporate services and software, as well as revise approaches to using public services.
Following Google Docs: Avoiding Corporate Document Leaks | Technology | Forbes.ru
The incident with the leak of documents from Google storage will force companies to reconsider approaches to the use of public services
At a plenary session of the International Congress on Cybersecurity on July 6, German Gref invited the expert community to answer the question from whom, in their opinion, the greatest cyber threat emanates. The most popular answer was: “From the custodians of personal information”: 44.3% of respondents think so. Much less information security experts are afraid of hackers and scammers (27.2%), government (19.0%) and other people (9.5%). The story of the Google Docs leak perfectly shows how right these 44.3% are.
In the evening of July 4, 2018, the Yandex search engine indexed Google Docs documents that were not protected by privacy settings. Leaks of various kinds have happened before, but this one got a wide response: a lot of sensitive corporate information got into the network, including lists of employees with their personal data and passwords from corporate resources. Many of the documents that were in the public domain were editable and vandalized.
Why did this happen? Statistics on confidential information leaks show that most of these incidents are not connected with malicious intent, but with an elementary human factor. A modern user is accustomed to convenience, and the corporate software market does not keep pace with the rapid development of technology and cannot promptly provide friendly interfaces for work.
The level of literacy in the field of information security among ordinary users is quite low. And if in the corporate environment this problem is understood and people are trying to further increase the literacy level, then in everyday life people follow the path of least resistance (weak passwords, default access settings, storing confidential information in public files, etc.) This leads to to the fact that many transfer their personal habits of using public services to the corporate environment and upload not only personal, but also confidential corporate files to the network, thereby enhancing the synergistic effect of information security threats, lowering the level of security of corporate processes and putting their personal data at risk compromise.
What does this mean for users? If company employees use public services for storing corporate documents and working with them, the responsibility for controlling the dissemination of information lies with them. Employees of government departments in Russia are prohibited in principle from using public services for storing service materials.
But the actions of employees do not relieve responsibility from the relevant departments of the company. When an enterprise begins to implement cloud services, it becomes much more difficult for it to control the distribution of service information, monitor non-standard user behavior and integrate the approaches used in an external cloud service into its corporate information security system.
In our experience, many companies even with a corporate subscription to public office services prefer to store and process documents in their own corporate network. Today, various software products are presented on the market that allow creating user-friendly secure corporate space with its own storage. Domestic security systems for a private cloud control access to data, check the strength of passwords, manage users and can be deployed even in systems of the highest class of protection. The use of these systems in a complex eliminates the possibility of mass erroneous distribution of service information outside the company.
The main recommendation for organizations that need to work with files at any time of the day from anywhere is to avoid storing and processing official documents in public clouds. Using public services is a direct way to increase the unmanageable risks of leakage, which can negate all the benefits.
I sincerely hope that this incident will force companies affected by recent events to make conclusions - to optimize their processes, provide control over the use of corporate services and software, as well as revise approaches to using public services.
Following Google Docs: Avoiding Corporate Document Leaks | Technology | Forbes.ru
Original message
По следам Google Docs: как избежать утечки корпоративных документов
Инцидент с утечкой документов с хранилища Google заставит компании пересмотреть подходы к использованию публичных сервисов
На пленарной сессии Международного конгресса по кибербезопасности 6 июля Герман Греф предложил экспертному сообществу ответить на вопрос, от кого, по их мнению, исходит наибольшая киберугроза. Самым популярным стал ответ: «От хранителей персональной информации»,: так считают 44,3% респондентов. Гораздо меньше специалисты по информационной безопасности боятся хакеров и мошенников (27,2%), правительства (19,0%) и других людей (9,5%). История с утечкой Google Docs отлично показывает, насколько правы эти 44,3%.
Вечером 4 июля 2018 года поисковик «Яндекс» проиндексировал документы Google Docs, не защищенные настройками приватности. Утечки различного рода случались и раньше, но эта получила широкий резонанс: в сеть попало много чувствительной корпоративной информации, включая списки сотрудников с их персональными данными и пароли от корпоративных ресурсов. Многие из попавших в открытый доступ документов оказались доступными для редактирования и подверглись вандализму.
Почему это произошло? Cтатистика утечек конфиденциальной информации показывает, что большая часть подобных инцидентов связана не со злым умыслом, а с элементарным человеческим фактором. Современный пользователь привык к удобству, а рынок корпоративного программного обеспечения не успевает за стремительным развитием технологий и не может оперативно предоставлять для работы дружелюбные интерфейсы.
Уровень грамотности в области информационной безопасности у рядовых пользователей достаточно низкий. И если в корпоративной среде данную проблему понимают и пытаются дополнительно повышать уровень грамотности сотрудников, то в обычной жизни люди идут по пути наименьшего сопротивления (слабые пароли, настройки доступа по-умолчанию, хранение конфиденциальной информации в общедоступных файлах и т. д.) Это приводит к тому, что многие переносят свои личные привычки использования публичных сервисов в корпоративную среду и выкладывают в сеть не только личные, но и конфиденциальные корпоративные файлы, таким образом усиливая синергетический эффект от угроз информационной безопасности, понижая уровень защищенности корпоративных процессов и подвергая свои личные данные угрозе компрометации.
Что это означает для пользователей? Если сотрудники компании используют публичные сервисы для хранения корпоративных документов и совместной работы с ними, ответственность за контроль распространения информации лежит на них. Сотрудникам государственных ведомств в России в принципе запрещено использование публичных сервисов для хранения служебных материалов.
Но действия сотрудников вовсе не снимают ответственности с профильных подразделений компании. Когда предприятие начинает внедрять облачные сервисы, ему становится гораздо сложнее контролировать распространение служебной информации, осуществлять мониторинг нестандартного поведения пользователей и интегрировать используемые во внешнем облачном сервисе подходы в свою корпоративную систему информационной безопасности.
По нашему опыту, многие компании даже при наличии корпоративной подписки на публичные офисные сервисы предпочитают хранить и обрабатывать документы в собственной корпоративной сети. Сегодня на рынке представлены различные программные продукты, позволяющие создавать удобное пользователям защищенное корпоративное пространство с собственным хранилищем. Отечественные системы безопасности для частного облака контролируют доступ к данным, проверяют надежность паролей, управляют пользователями и могут быть развернуты даже в системах самого высокого класса защиты. Использование этих систем в комплексе исключает возможность массового ошибочного распространения служебной информации вне компании.
Главная рекомендация для организаций, которым необходима работа с файлами в любое время суток из любого места, — избегать хранения и обработки служебных документов в публичных облаках. Использование публичных сервисов — это прямой путь к увеличению неуправляемых рисков утечки, которые могут свести на нет все преимущества.
Искренне надеюсь, что данный инцидент заставит компании, пострадавшие в рамках последних событий, сделать выводы — оптимизировать свои процессы, обеспечить контроль использования корпоративных сервисов и программного обеспечения, а также пересмотреть подходы к использованию публичных сервисов.
По следам Google Docs: как избежать утечки корпоративных документов | Технологии | Forbes.ru
Инцидент с утечкой документов с хранилища Google заставит компании пересмотреть подходы к использованию публичных сервисов
На пленарной сессии Международного конгресса по кибербезопасности 6 июля Герман Греф предложил экспертному сообществу ответить на вопрос, от кого, по их мнению, исходит наибольшая киберугроза. Самым популярным стал ответ: «От хранителей персональной информации»,: так считают 44,3% респондентов. Гораздо меньше специалисты по информационной безопасности боятся хакеров и мошенников (27,2%), правительства (19,0%) и других людей (9,5%). История с утечкой Google Docs отлично показывает, насколько правы эти 44,3%.
Вечером 4 июля 2018 года поисковик «Яндекс» проиндексировал документы Google Docs, не защищенные настройками приватности. Утечки различного рода случались и раньше, но эта получила широкий резонанс: в сеть попало много чувствительной корпоративной информации, включая списки сотрудников с их персональными данными и пароли от корпоративных ресурсов. Многие из попавших в открытый доступ документов оказались доступными для редактирования и подверглись вандализму.
Почему это произошло? Cтатистика утечек конфиденциальной информации показывает, что большая часть подобных инцидентов связана не со злым умыслом, а с элементарным человеческим фактором. Современный пользователь привык к удобству, а рынок корпоративного программного обеспечения не успевает за стремительным развитием технологий и не может оперативно предоставлять для работы дружелюбные интерфейсы.
Уровень грамотности в области информационной безопасности у рядовых пользователей достаточно низкий. И если в корпоративной среде данную проблему понимают и пытаются дополнительно повышать уровень грамотности сотрудников, то в обычной жизни люди идут по пути наименьшего сопротивления (слабые пароли, настройки доступа по-умолчанию, хранение конфиденциальной информации в общедоступных файлах и т. д.) Это приводит к тому, что многие переносят свои личные привычки использования публичных сервисов в корпоративную среду и выкладывают в сеть не только личные, но и конфиденциальные корпоративные файлы, таким образом усиливая синергетический эффект от угроз информационной безопасности, понижая уровень защищенности корпоративных процессов и подвергая свои личные данные угрозе компрометации.
Что это означает для пользователей? Если сотрудники компании используют публичные сервисы для хранения корпоративных документов и совместной работы с ними, ответственность за контроль распространения информации лежит на них. Сотрудникам государственных ведомств в России в принципе запрещено использование публичных сервисов для хранения служебных материалов.
Но действия сотрудников вовсе не снимают ответственности с профильных подразделений компании. Когда предприятие начинает внедрять облачные сервисы, ему становится гораздо сложнее контролировать распространение служебной информации, осуществлять мониторинг нестандартного поведения пользователей и интегрировать используемые во внешнем облачном сервисе подходы в свою корпоративную систему информационной безопасности.
По нашему опыту, многие компании даже при наличии корпоративной подписки на публичные офисные сервисы предпочитают хранить и обрабатывать документы в собственной корпоративной сети. Сегодня на рынке представлены различные программные продукты, позволяющие создавать удобное пользователям защищенное корпоративное пространство с собственным хранилищем. Отечественные системы безопасности для частного облака контролируют доступ к данным, проверяют надежность паролей, управляют пользователями и могут быть развернуты даже в системах самого высокого класса защиты. Использование этих систем в комплексе исключает возможность массового ошибочного распространения служебной информации вне компании.
Главная рекомендация для организаций, которым необходима работа с файлами в любое время суток из любого места, — избегать хранения и обработки служебных документов в публичных облаках. Использование публичных сервисов — это прямой путь к увеличению неуправляемых рисков утечки, которые могут свести на нет все преимущества.
Искренне надеюсь, что данный инцидент заставит компании, пострадавшие в рамках последних событий, сделать выводы — оптимизировать свои процессы, обеспечить контроль использования корпоративных сервисов и программного обеспечения, а также пересмотреть подходы к использованию публичных сервисов.
По следам Google Docs: как избежать утечки корпоративных документов | Технологии | Forbes.ru
