Коварное «облако»: почему личные данные попадают в сеть
На этой неделе в сети разразился информационный скандал: личные документы пользователей из облачного хранилища Google Docs попали в выдачу «Яндекса». Наряду с частными пользователями пострадали и крупные компании. В результате инцидента в публичном доступе оказались документы работников Тинькофф Банк, менеджеров Virtus.pro, сайта «Ашана» и других. Почему так произошло и как защитить данные от утечки в сеть, выяснял обозреватель РИАМО.
Кибер-ловушки: почему не стоит размещать личные данные в соцсетях >>
Удобно, но небезопасно
В минувшую среду поисковик «Яндекса» начал выдавать документы с приватной информацией, пароли, корпоративные данные. В считанные часы проблема была устранена, но многие пользователи успели пострадать.
Как объяснил в комментарии РИА Новости представитель "Яндекса", поисковик индексирует только открытую часть интернета, так что страницы, защищенные настройками приватности, в выдачу не попали.
Генеральный директор SiteSecure Максим Лагутин подтвердил РИАМО, что поисковая система могла увидеть только те документы, которые были общедоступны.
«То, что случилось — отчасти безалаберность пользователей, потому что эти документы лежали в открытом доступе. Не секрет, что для упрощения совместной работы по файлам многие делают публичную ссылку и открывают доступ по ссылке к этому документу. При этом безопасность не соблюдается, и эта ссылка утекает в сеть, где индексируется», - объясняет он.
«Распространенная ошибка – при создании новых файлов сразу же открывать доступ для всех», - отмечает эксперт.
По его словам, в крупных компаниях очень сильны бюрократические препоны для доступа к документации. Неудивительно, что работники так любят веб-сервисы: они позволяют быстро раздать нужный файл. Плюсы таких инструментов известны, но и в минусах все убедились, комментирует он.
Как отмечает Лагутин, многие корпоративные пользователи используют для отправки файлов веб-мессенджеры, доступные через браузер.
«Такие системы передачи данных обеспечивают определенный уровень безопасности, но никто не защищен от утечек. Если злоумышленник захочет целенаправленно взломать компанию, он найдет способ», — предупреждает специалист.
Облачные сервисы привлекательны и очень востребованы по многим причинам, соглашаются специалисты. Любой человек может завести себе аккаунт и пользоваться услугой, зачастую бесплатно. Такие сервисы доступны из Интернета и не управляются работодателем. Они удобные, повышают производительность труда и позволяют эффективно взаимодействовать с клиентами и контрагентами, отмечает директор по развитию бизнеса компании Web Control Дарья Орешкина.
Однако бесконтрольное хранение корпоративных документов в сторонних сервисах, в частности, Google Docs, небезопасно.
«А что будет, если кто-то скопирует важный рабочий документ в личный облачный аккаунт, а его взломают, или этот документ станет публично доступным по каким-то еще причинам? Для сотрудников правильно было бы согласовать со службой ИТ и защиты информации, какие документы и куда можно передавать/ сохранять», - считает Орешкина.
«Хомяк» или продвинутый юзер: какой ты интернет‑пользователь >>
Шифровка и локальные диски
При всем удобстве Google диска и других сервисов по работе с документами, необходимо соблюдать меры безопасности, советуют эксперты.
Если документ содержит данные, которые могут повлиять на работу компании, ее имидж или продажи, передавать их можно только тем людям, которые будут работать с ними.
Максим Лагутин советует не давать ссылку на файл, а добавлять конкретного человека каждый раз – это дольше, зато безопаснее.
«Если вы собираетесь просто хранить файлы в облаке, сначала нужно сделать архив, зашифровать его и только после этого загружать в облако. Документы, которые содержат персональные данные, конфиденциальную информацию, физическую информацию, лучше передавать по почте и хранить на локальных носителях», — советует он.
По словам Дарьи Орешкиной, у служб информационной безопасности сегодня достаточно широкий инструментарий, чтобы сделать работу в Интернете удобной и безопасной.
«Во-первых, это средства обнаружения опасных или неблагонадежных для бизнеса сервисов в Интернете. Во-вторых, это средства обезличивания документов при передаче в сторонние сервисы. Такие средства по заданному алгоритму подменяют чувствительную информацию в документе так, что если документ попадет «не в те руки», то важную информацию из него получить все равно не получится. В частности, производитель программного обеспечения Symantec предлагает такие средства», - рассказывает Орешкина.
Если вы являетесь непосредственным владельцем документов и несете все риски, связанные с обнародованием этих документов, то решение о выборе облачного помощника за вами, добавляет специалист.
Орешкина советует выбирать общеизвестные сервисы с хорошей репутацией. При этом утечка данных может произойти даже из самого лучшего сервиса, поэтому о дополнительной защите важных документов стоит позаботиться.
«Документы можно защитить разными методами. Самый простой – запаковать в архив и установить на него пароль. На взлом пароля у злоумышленника уйдет дополнительное время, плюс для этого должно быть желание и вычислительные мощности», - отмечает собеседница агентства.
Если вы узнали, что утечка данных все-таки произошла, прочтите рекомендации компании, которая предоставляла услуги. Зачастую провайдер услуг заботится о своей репутации и принимает меры, чтобы минимизировать ущерб от атаки злоумышленников или от ошибок своих сотрудников, рекомендует эксперт.
Кроме того, можно просто вырезать особо важную информацию и сохранить ее отдельно.
Психолог: «Интернет-зависимость — когда испытываешь ломку в кафе без Wi-Fi» >>
Грамотный пользователь значит защищенный
Заведующий кафедрой информационной безопасности НИУ ВШЭ, заместитель генерального директора АО «Главный научный инновационный внедренческий центр» (ГНИВЦ) Александр Баранов рекомендует хранить важные данные на локальных дисках, а не в облачных серверах. Иначе нет никакой гарантии, что однажды они не попадут в сеть.
«То, что произошло – вопрос доверия к облачным технологиям. Это очень серьезный инцидент, который показывает, что даже такие крупные и ведущие обработчики информации, позиционирующие себя как надежные хранилища, оказываются вовсе ненадежными», — резюмирует он.
Кроме того, в данном случае очень важна грамотность пользователей.
«Работа с облаком при необходимости обеспечения безопасности данных требует определенной подготовки и знаний. Этого у основной массы пользователей нет. Было бы полезным получать от облака стандартные инструкции и рекомендации», - заключил эксперт.