Даже если компания соблюдает все правила информационной безопасности, угроза может настигнуть из ближайшего круга. Подрядные организации, оказывающие услуги для бизнеса, допускают утечки критических данных едва ли не чаще, чем сами компании.
Что в зоне риска?
Харольд Мартин, экс-подрядчик Агентства национальной безопасности США, забирал домой секретные документы, с которыми не успевал закончить работу в офисе. Нарушение дисциплины казалось безобидным, пока не переросло в маниакальную страсть. Обнаружить странное хобби удалось благодаря «Лаборатории Касперского»: мужчина связался с компанией через Twitter и намекнул, что располагает целым архивом закрытой информации, которую готов продать. Вместо покупателей к Мартину пришло ФБР и во время обыска обнаружило целые кипы секретных бумаг в сарае на заднем дворе. Кроме того, на личных устройствах Мартина лежали 50 терабайт правительственных данных с грифами «конфиденциально», «секретно» и «совершенно секретно».
Но чаще уязвимая точка – незащищенные серверы компаний. Калифорнийский стартап At The Pool, занимавшийся разработкой приложений для Facebook, прогорел и закрылся, а рабочая информация о 22 тыс. пользователей осталась на серверах «без присмотра». В открытом доступе оказались списки друзей, интересы, фотографии, информация о членстве в группах и сообществах. Еще больше приватных данных пользователей по заказу Facebook собрала мексиканская компания Cultura Colectiva. Массив из 540 млн учетных записей пользователей хранился без пароля на сервере Amazon. ИБ-специалисты, обнаружившие уязвимость, прогнозируют Facebook репутационные потери, сравнимые с прошлогодним скандалом Cambridge Analytica.
На таком же сервере хранились персональные данные 14 млн клиентов американской телекоммуникационной компании Verzion, которые утекли в сеть в 2017 году. Виноват снова оказался подрядчик. Израильская фирма NICE Systems вела журнал звонков клиентов Verzion, но неправильно настроила защиту репозитория. Интересно, что NICE Systems – вендор аналитического ПО для колл-центров, которое должно обеспечивать защиту данных. После инцидента компании пришлось отстаивать репутацию и доказывать, что виноват не софт, а человеческий фактор.
Он же привел к громкому скандалу в штабе Республиканской партии накануне выборов президента США 2016 года. Республиканский национальный комитет обратился в аналитическую компанию Deep Root Analytics, чтобы составить базу данных избирателей. Подрядчик хранил информацию в облаке, но ответственные сотрудники не установили пароль. В итоге данные 198 миллионов американцев оказались в свободном доступе в Сети. Это почти 80% граждан США, имеющих право голоса. Утекли имена, даты рождения, адреса, информация о политических предпочтениях общим весом 25 терабайт. После обнаружения проблемы компания признала вину и оперативно устранила уязвимость.
Кто расплачивается?
Самые серьезные последствия ждут нарушителей, допустивших утечки секретных правительственных данных: всех без исключений отправляют под суд. Герой «бумажного» скандала с АНБ Харольд Мартин, которому за странное хобби грозит 9 лет тюрьмы, пока только ждет приговора, а вот Риэлити Ли Уиннер уже получила пять лет и три месяца тюремного заключения. Девушка работала в Pluribus International Corporation.
Компания стабильно сотрудничала с АНБ в обработке секретных данных и должна была тщательно проверять доступ сотрудников к этой информации. Своим доступом Уиннер решила распорядиться необычно и передала СМИ секретный доклад разведчиков о «деятельности российских военных хакеров» в ходе президентской кампании-2016.
Без сантиментов расстается с проштрафившимися подрядчиками и Пентагон. Неназванная компания хранила личную информацию, данные о поездках и платежных картах сотрудников Минобороны США. По недосмотру из этой базы в Сеть утекли данные 30 тыс. гражданских и военных служащих. Критических последствий инцидент не повлек, но министерство объявило о прекращении отношений с подрядчиком несмотря на недавно продленный контракт.
Вскоре в США и вовсе могут ввести уголовную ответственность для топ-менеджмента компаний, которые допустили или не предотвратили утечки. Хотя законопроект, предложенный сенатором Элизабет Уоррен, пока расплывчатый, предполагается, что компании-гиганты с оборотом более 1 млрд долларов будут расплачиваться и за то, что не доглядели за сторонними организациями, которым предоставили доступ к данным.
А вот в Австралии нравы мягче. По вине неназванного подрядчика произошла утечка персональных и платежных данных более 50 тыс. госслужащих. Прессе сообщили, что скомпрометированные данные были резервными копиями, а большинство информации давно утратило актуальность. Организации, чьи сотрудники пострадали больше всего, – в том числе Министерство финансов, Австралийская избирательная комиссия и Национальное агентство по страхованию от несчастных случаев – неожиданно отказались наказывать подрядчика.