Top menu

Когда хорошие ирландцы допускают глупые утечки…

Сегодня пойдет речь про довольно типовые случаи утечек информации, которые происходят без злого умысла. Подобные непреднамеренные утечки составляют подавляющее большинство среди всех случаев утечек данных в компаниях. Их всех характеризует одно выражение «when good people do stupid things» («когда хорошие люди совершают глупые поступки»).

Так получилось, что в эту подборку попали случаи утечек персональной информации, случившиеся недавно в Ирландии.

Банк Ирландии.

В начале ноября Банк Ирландии сообщил, что работник отдела кадров разослал по электронной почте файл с информацией о пенсионных и прочих выплатах 100 своих сотрудников не имеющим доступа к подобной информации 20 менеджерам Банка. Известно, что некоторые из этих 20 получателей переслали письмо другим пользователям.

В конце ноября Банк сообщил о том, что Excel-файл, содержащий информацию о выполненных работах нескольких десятков сотрудников одного из филиалов Банка оказался в индексе поисковиков и был свободно доступен для всех пользователей Интернета.

Центральное статистическое агентство Ирландии.

Работник центрального статистического агентства Ирландии (Central Statistics Office - CSO) случайно отправила персональные данные 1000 текущих и 3000 бывших сотрудников на 4 адреса электронной почты.

Трое из этих четырех получателей сами оказались бывшими сотрудниками CSO, а четвертый – бухгалтер в компании одного из бывших сотрудников.

Разумеется, такое происходит буквально по всему миру, а не только в Ирландии.

Совсем недавно сотрудник Управления по информационным технологиям штата Мэн отправил файл с данными 2100 человек, получавших пособия по уходу за детьми, на публичный веб-сайт и сделал информацию доступной для поисковиков. Подробнее тут.

Чуть ранее конфиденциальная документация норвежского нефтяного гиганта Statoil также оказалась в индексе поисковиков, т.к. была отправлена на сервер бесплатного онлайн переводчика Translate.com. Подробнее тут.

Со всеми этими непреднамеренными утечками не способны бороться системы пассивного наблюдения («псевдо ДЛП»): мониторинг случившегося, поиск по базе данных сохраненных сообщений и файлов, запись экрана и клавиатуры, профили пользователей, красивые отчеты и графы – все это никак не способно предотвратить утечку и уберечь компанию от имиджевых, юридических и финансовых потерь. Зато настоящие DLP-системы, работающие в активном режиме легко останавливают такие «глупые» утечки, причем делают это буквально «из коробки» (не требуется какое-то специальное внедрение или глубокая настройка).

Автор: Ашот Оганесян