October 22nd, 2019

Джакарта, ЕГАИС, ИБ, еТокен, Токены

Про утечки

Приветствую, читатели!
За последний обозримый промежуток времени утекли данные из 3 очень важных для нас сфер: транспорт/логистика (РЖД), экономика/финансы (Сбер), связь/коммуникации/интернет (Билайн).  Что это: целенаправленная атака или просто безалаберность и дремучесть в сфере защиты информации?  И сегодня же обнаружил смехотворный и нелепый способ слива госномеров связи чиновников через портал госзакупки.
Что касается Сбербанка. То спасибо им за условную прозрачность, вот вышла новость об очередном сливе инфы – 5000 человек с обнародованными данными. Нашли уже виновного, давайте поверим в то, что тут сыграл человеческий фактор. Однако, на мой взгляд, продажа сотрудником базы выглядит наивно. Уже потому, что утечки продолжается. Сомневаюсь, что после всего случившегося, данные продолжили бы публиковаться.
Про РЖД. По немногочисленной информации, так как РЖД все еще совково-уставная компания, известно, что почти миллион человек были «слиты» на просторы интернета со своими данными. Тут катастрофично то, что помимо снилсов и телефонов, слились фото. То есть помимо обезличенных Иванов Иван Ивныч, есть фото конкретного Иванова Ивана Иваныча с его персональными данными. Что обозначает возможности виртуального клонирования личности и использование ее в неблагонадежных целях. По данным СК, в РЖД подтвердили, что произошел несанкционированный взлом серверов компании.
Про Билайн. Данные почти 9 000 000 пользователей с 2016 года оказались на просторах интернета.  ФИО, адреса и номера договоров, в т.ч.т и скрытых. Журналисты Ведомостей «проверили» себя и нашли базу актуальной. Это относится и к пользователям только интернета, или только ТВ и т.д.
Даже если сайты наш Роскомнадзор и заблокирует, циркуляция БД в интернете/дарк нете все равно останется.
Такая информация может иметь немалую ценность для мошенников, использующих социальную инженерию. Кроме того, такую информацию можно объединить с данными из других баз, что позволит преступникам собрать полный «профиль» жертвы.
На каком-то банальном бытовом уровне наши люди пока еще не понимают, что любые данные сегодня – это ценнейший ресурс.
Для меня важно понять, насколько данные проблемы можно решить, обязав, например, использовать для всех процессов так или иначе связанных с персональными данными электронную подпись.  М.б. это сделает весь оборот данными в разы безопаснее? Так же вопрос: стандарт электронной подписи. У нас это все регулируется ФСБ, регулируется, где и какая подпись может быть использована.  Для ЭДО один токен, для ЕГАИС другой, для банкинга третий и т.д.  Наличие стандартов и ГОСТов электронной подписи обеспечивает контроль за безопасностью и прочее. Например, есть уже устоявшееся мнение, что если нужен токен для ЕГАИС, то это Рутокен ЭЦП 2.0. Потому что соответствует всем стандартам, нормам и т.д., имеет сертификаты. Для персонального использования простой смертный рядовой человек не подумает запрашивать токены, для защиты своих данных на компе и прочее. Почему? Потому что нет понимания, что любая информация даже рядового гражданина может быть ценной и является ей.