III КВАРТАЛ 2022Г. - 55 баллов 
«Это результат халатности в отношении правил и норм безопасности, – комментирует инцидент В. Медведев. – Необходимо проводить инструктаж для сотрудников и строго распределять доступ. Но этого мало – периодически надо проводить внутренний аудит безопасности. Необходимо проверять способы хранения и доступность информации для пользователей из различных групп (как в сети предприятия, так и физически), а также устраивать анкетирование сотрудников на предмет понимания ими правил работы с корпоративной информацией».
Другим слабым звеном в информационной безопасности РЖД эксперт называет нелояльность сотрудников, или человеческий фактор.
«Это самый важный пункт, и если для вас актуальна именно эта проблема, то о какой-то безопасности не стоит даже говорить, – предупреждает В. Медведев. – Стопроцентного метода решения этой проблемы не существует, и все они сводятся не к искоренению нелояльности, а к повышению лояльности.
В настоящее время множество компаний имеет огромный пул бывших сотрудников, которые уже давно не работают на этих предприятиях, но их учетные записи и пароли доступа к корпоративным ресурсам по-прежнему сохраняются. Эти люди уже не имеют к фирмам никакого отношения, но у них есть множество возможностей для саботажа или просто вредительства».
Ранее ФАН подробно рассказывало о случаях слива персональных данных бывшими сотрудниками компаний.
Из других крупных корпораций от масштабной утечки персональных данных пострадал Сбербанк – личная информация около 420 тыс. работников банка была слита в открытый доступ. По статистике аналитического сайта Infowatch, в большинстве случаев (77,9%) в таких сливах виноваты обычные сотрудники, на долю внешних злоумышленников приходится 9,5% таких эпизодов. Согласно данным того же информационного ресурса, Россия занимает 2-е место после США в мировом рейтинге стран, пострадавших от утечек персональных данных.
«Злоумышленники на втором месте, но и это не совсем так, – говорит В. Медведев. – Да, непосредственно уводят данные именно они, но виноваты в том, что хакеры проникли в сеть, системные администраторы и специалисты по ИБ, с одной сторон, – те, кто настраивают средства безопасности, и руководители, с другой, – те, кто не выделяют бюджет на закупки необходимого ПО и назначают низкие оклады, не позволяющие нанять специалистов по информационной безопасности с нормальной квалификацией».
В каждой компании за защиту персональных данных отвечает человек, напрямую подотчетный руководству компании, и в больших компаниях, подобных Сбербанку или РЖД, им не может быть просто системный администратор, считает эксперт.
«В частности, это лицо должно не просто утвердить меры защиты, но и контролировать соблюдение уровня защиты персональных данных, – объясняет собеседник ФАН. – Как это можно делать? Если мы касаемся утечек данных в связи с доступностью их из интернета, то это аудит защищенности инфраструктуры, аудит приложений, исследования уязвимостей и, естественно, так называемый пентест, или тестирование на проникновение».
К сожалению, специалисты по информационной безопасности компаний неспособны сами правильно определить актуальные угрозы. Так, статистика компании «Доктор Веб» показывает, что примерно 19 из 20 компаний не знают о том, что неизвестные средствам защиты угрозы существуют, и рассчитывают на то, что их средство защиты нейтрализует 100% угроз в момент проникновения.
«Полная утопия, – комментирует В. Медведев. – При этом не принимаются минимальные компенсирующие меры. Ограничение прав на запуск неизвестных программ, например».
В некоторых публикациях РЖД уже обвинили в использовании небезопасной системы Windows XP на клиентских компьютерах, но собеседник ФАН считает, что дело не в системе, а во внутренних настройках политики безопасности.
«Важно, заблокированы ли порты USB, есть или нет возможность копировать и устанавливать ПО на компьютере, – говорит он. – Старая XP может быть закрыта для атак политикой безопасности, и тогда риск взлома и утечки минимален. Если в системе уже отлажены многие процессы, то менять ее на всех компьютерах крайне затратно и проблематично, это может вызвать сбои в работе служб. В ряде аэропортов тоже стоят старые операционные системы и древнее программное обеспечение по документообороту. Но оно изолировано и дорабатывается силами IT-департаментов предприятий».
Сейчас РЖД планируют обратиться в транспортный СКР, чтобы привлечь к расследованию следователей, а по прогнозам А. Оганесяна, база РЖД появится в открытом доступе в виде Excel-файла и/или в формате Cronos в течение одного-двух дней.
«Даже если Роскомнадзор прикроет доступ к сайту, на котором размещены страницы с персональными данными, это никаким образом не повлияет на доступность уже утекших данных», – написал специалист по информационной безопасности в своем блоге.
Чтобы не повторить историю РЖД, к информационной безопасности крупных компаний должны подключиться сразу несколько структур, считает собеседник агентства.
«В каждой компании и организации должен быть ответственный за защиту персональных данных. В каждой компании должны проводиться мероприятия по оценке эффективности защиты, – перечисляет В. Медведев. – Компании должны совершенствовать меры защиты. ФСТЭК России обязан давать рекомендации по мерам защиты. Центры ГосСОПКА должны выпускать уведомления о современных угрозах. Роскомнадзор обязан проверять меры по защите персональных данных и выявлять нарушения прав субъектов персональных данных».
Напомним, что в ближайшие 6 лет корпорация РЖД планирует вложить 150 млрд руб. в программу цифровизации. Один из пунктов этой программы развития до 2025 года – внедрение централизованных средств обеспечения информационной безопасности на базе импортонезависимых решений. В сентябре 2018 года в рамках ВЭФ глава компании Олег Белозеров пригласил к сотрудничеству партнеров для развития цифровых технологий.
«Железная дорога сегодня – самый большой владелец информации», – отметил тогда О. Белозеров.
После новости о сливе персональных данных сотрудников ОАО «РЖД» обычные покупатели билетов тоже волнуются о безопасности своих личных сведений. Но, по мнению информационного аналитика, для пользователей сайта компании опасности нет – речь идет об утечке с внутреннего ресурса.
