• Ставка на полувагон
    1305
    -12.2 %
    руб./сут.
    март 2020
  • Индекс качества IV КВАРТАЛ 2019Г. - 65 баллов
  • Финансы USD ЦБ РФ 77.73 0 EUR ЦБ РФ 85.74 0
    BTC 6748.77 usd BTC 521342.48 rub
+7 (812) 418-34-95 Санкт-Петербург       +7 (495) 984-54-41 Москва
30.08.2019 12:05:38
ЖД Транспорт / Интервью
РЖД-Партнер

Персональные данные сотрудников ОАО РЖД, оказавшиеся в открытом доступе, могут быть использованы в самых различных схемах мошенничества

Уже несколько дней одной из обсуждаемых тем остается утечка данных сотрудников ОАО «РЖД». Напомним, что 27 августа в открытом доступе оказались данные более 700 тыс. сотрудников компании: фамилии, имена, должности и фотографии, номера СНИЛС, мобильные телефоны и ИНН.

Накануне представитель РЖД сообщил о том, что компания направила в правоохранительные органы материалы после инцидента.

О том, чем произошедшее может грозить сотрудникам монополии, РЖД-Партнер поговорил с заместителем заведующего кафедрой компьютерной безопасности Московского института электроники и математики им. А. Н. Тихонова Александром Сорокиным.
Персональные данные сотрудников ОАО РЖД, оказавшиеся в открытом доступе, могут быть использованы в самых различных схемах мошенничества
 Александр Владимирович, почему вообще могла произойти утечка информации?

– Как правило, в подобных ситуациях можно назвать не менее двух возможных причин. Из них можно выделять более частные причины, но наиболее общие – следующие.

Уровень информационной безопасности организации недостаточен для успешного противостояния распространенным угрозам безопасности информации. Персональные данные сотрудников, вероятно (подробности мне неизвестны), хранились (в базе данных или как-либо иначе), обрабатывались, пересылались некоторым кругом сотрудников и попадали на некоторый круг устройств.

Уязвимость, через которую осуществлена утечка, потенциально может оказаться в любом месте этой цепочки обработки данных. Кто-то из сотрудников халатно отнесся к обязанностям и допустил компрометацию данных учетной записи для доступа к базе данных, на каком-то из рабочих компьютеров оказалась вредоносная программа, нарушителем оказался один из сотрудников, действующий сознательно в собственных интересах либо что-то иное. Сказать, что конкретно сделало утечку возможной, можно только в результате подробного исследования системы и расследования инцидента.

Мировая практика кибератак убеждает в том, что злоумышленник, обладающий возможностью изучить интересующую его систему, в состоянии преодолеть любую защиту. Сдерживающим фактором является затратность реализации атаки с точки зрения времени, усилий, денежных средств, которые потребуется потратить на получение желаемого результата. Если потенциальный доход от успешной реализации атаки превышает издержки на ее осуществление, нарушитель будет искать пути достижения своей цели. При этом представляется ошибочным называть существовавший на момент инцидента уровень безопасности недостаточным – если инцидент произошел по нетипичному, специально разработанному сценарию, спрогнозировать его крайне сложно.

По сути, это два различных случая: либо из-за недостаточного уровня безопасности стало возможным получить доступ к информации сравнительно обычным способом, либо система подверглась целенаправленной атаке со стороны высококвалифицированного противника.

 Чем может грозить такая утечка?

– Прежде всего, утечка подобного рода, как представляется, может свидетельствовать о нарушении законодательства в области персональных данных. В частности, если будет подтверждено наличие грубых нарушений требований безопасности информации со стороны организации, возможно, будет поднят вопрос как минимум об административной ответственности. Не берусь углубляться в юридические вопросы, оставляя их профессионалам в соответствующей сфере.

 Можно ли говорить о репутационных потерях?

– Да, поскольку случилась утечка данных сотрудников, может снизиться именно их доверие к собственному работодателю в вопросе безопасности их данных и, как следствие, безопасности в целом. Вероятно, будут публикации в СМИ, предполагающие с той или иной степенью уверенности, что у пострадавшей компании проблемы с информационной безопасностью, снижающие доверие аудитории к организации.

Для объективности следует отметить, что в случае если все-таки имела место именно подготовленная целенаправленная атака, обвинять организацию в этом представляется необоснованным. Сами персональные данные могут быть использованы в самых различных схемах мошенничества, направленного как на самих сотрудников, так и иных лиц.

- А как вообще можно использовать персональные данные?

- В первом случае, владея персональными данными сотрудников, можно побуждать их совершать нужные мошенникам действия, чаще всего направленные на причинение материального ущерба. Допустим, звонок с требованием в течение нескольких часов осуществить некоторую оплату во избежание санкций. («У Вас не оплачен налог/штраф – если не оплатите его до 18.00, будет взыскание в судебном порядке» или что-то подобное). Может быть обращение по фамилии, имени и отчеству, назван номер паспорта, дата рождения, ИНН, адрес прописки, чтобы убедить потенциальную жертву мошенничества в том, что звонок от легального абонента.

Во втором случае аналогичные действия осуществляются в отношении лиц, с которыми субъекты похищенных персональных данных имеют какие-либо связи – личные или деловые. Цели, вероятно, аналогичные: причинение материального ущерба путем убеждения жертвы в том, что с ней общается конкретное лицо или общение происходит от его имени. Совершенно не обязательно, что факт работы в конкретной организации будет использоваться – можно предположить даже совсем простые и распространенные схемы. Что-то вроде звонка коллеге или близкому родственнику от имени представителя органов власти («Ваш коллега сбил человека, нужно ему помочь»). Называются конкретные паспортные данные, место прописки, дата рождения. Если среди похищенных персональных данных есть фото, может подробно описываться внешность. Вероятно, может быть реализован и более сложный сценарий: предположить все возможности злоумышленного использования персональных данных не представляется возможным.

Беседовала Наталья Гусаченко
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редактору.
На ту же тему
РЖД-Партнер

Паники на рынке контейнерных перевозок я не вижу

Паники на рынке контейнерных перевозок я не вижу
Сегодняшняя эпидемиологическая ситуация не могла не оказать влияния на рынок железнодорожных перевозок транзитных контейнерных грузов. О том, как распространение коронавирусной инфекции может сказаться на ситуации в этом сегменте, РЖД-Партнеру рассказал генеральный секретарь Международного координационного совета по трансъевразийским перевозкам (КСТП) Геннадий Бессонов.
РЖД-Партнер

Уральские локомотивы: активное развитие продолжается

Уральские локомотивы: активное развитие продолжается
Несмотря на сложную ситуацию, связанную с угрозой распространения в РФ коронавируса и введением во многих регионах страны ограничительных мер, влияющих в том числе на деятельность крупных промышленных предприятий, завод «Уральские локомотивы» (входит в Группу «Синара») не снижает темпов проектирования новых электровозов и электропоездов. Об этом РЖД-Партнеру рассказал генеральный директор ООО «Уральские локомотивы» Олег Спаи.
РЖД-Партнер

Железнодорожная отрасль в кризис COVID-19 потребует господдержки

Железнодорожная отрасль в кризис COVID-19 потребует господдержки
Коронавирус вносит свои поправки в логистику государств ЕС. И сейчас железнодорожники вынуждены предлагать свои решения для обеспечения бесперебойной доставки товаров народного потребления. Как этого добиться? На вопросы ответил генеральный секретарь ассоциации ALLRAIL Ник Брукс.

Индекс цитирования

Copyright © 1998-2020 ООО «Редакция журнала «РЖД-Партнер»

При цитировании информации гиперссылка на ИА РЖД-Партнер.ру обязательна.

Использование материалов ИА РЖД-Партнер.ру в коммерческих целях без письменного разрешения агентства не допускается.

Свидетельство о регистрации СМИ ИА № ФС77-22819 от 11 января 2006 г., выдано Федеральной службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия.

Любое использование материалов допускается только при наличии гиперссылки на ИА РЖД-Партнер.ру

Разработка сайта - iMedia Solutions