+7 (812) 418-34-95 Санкт-Петербург       +7 (495) 984-54-41 Москва
30.08.2019 12:05:38
ЖД Транспорт / Интервью
РЖД-Партнер

Персональные данные сотрудников ОАО РЖД, оказавшиеся в открытом доступе, могут быть использованы в самых различных схемах мошенничества

Уже несколько дней одной из обсуждаемых тем остается утечка данных сотрудников ОАО «РЖД». Напомним, что 27 августа в открытом доступе оказались данные более 700 тыс. сотрудников компании: фамилии, имена, должности и фотографии, номера СНИЛС, мобильные телефоны и ИНН.

Накануне представитель РЖД сообщил о том, что компания направила в правоохранительные органы материалы после инцидента.

О том, чем произошедшее может грозить сотрудникам монополии, РЖД-Партнер поговорил с заместителем заведующего кафедрой компьютерной безопасности Московского института электроники и математики им. А. Н. Тихонова Александром Сорокиным.
Персональные данные сотрудников ОАО РЖД, оказавшиеся в открытом доступе, могут быть использованы в самых различных схемах мошенничества
 Александр Владимирович, почему вообще могла произойти утечка информации?

– Как правило, в подобных ситуациях можно назвать не менее двух возможных причин. Из них можно выделять более частные причины, но наиболее общие – следующие.

Уровень информационной безопасности организации недостаточен для успешного противостояния распространенным угрозам безопасности информации. Персональные данные сотрудников, вероятно (подробности мне неизвестны), хранились (в базе данных или как-либо иначе), обрабатывались, пересылались некоторым кругом сотрудников и попадали на некоторый круг устройств.

Уязвимость, через которую осуществлена утечка, потенциально может оказаться в любом месте этой цепочки обработки данных. Кто-то из сотрудников халатно отнесся к обязанностям и допустил компрометацию данных учетной записи для доступа к базе данных, на каком-то из рабочих компьютеров оказалась вредоносная программа, нарушителем оказался один из сотрудников, действующий сознательно в собственных интересах либо что-то иное. Сказать, что конкретно сделало утечку возможной, можно только в результате подробного исследования системы и расследования инцидента.

Мировая практика кибератак убеждает в том, что злоумышленник, обладающий возможностью изучить интересующую его систему, в состоянии преодолеть любую защиту. Сдерживающим фактором является затратность реализации атаки с точки зрения времени, усилий, денежных средств, которые потребуется потратить на получение желаемого результата. Если потенциальный доход от успешной реализации атаки превышает издержки на ее осуществление, нарушитель будет искать пути достижения своей цели. При этом представляется ошибочным называть существовавший на момент инцидента уровень безопасности недостаточным – если инцидент произошел по нетипичному, специально разработанному сценарию, спрогнозировать его крайне сложно.

По сути, это два различных случая: либо из-за недостаточного уровня безопасности стало возможным получить доступ к информации сравнительно обычным способом, либо система подверглась целенаправленной атаке со стороны высококвалифицированного противника.

 Чем может грозить такая утечка?

– Прежде всего, утечка подобного рода, как представляется, может свидетельствовать о нарушении законодательства в области персональных данных. В частности, если будет подтверждено наличие грубых нарушений требований безопасности информации со стороны организации, возможно, будет поднят вопрос как минимум об административной ответственности. Не берусь углубляться в юридические вопросы, оставляя их профессионалам в соответствующей сфере.

 Можно ли говорить о репутационных потерях?

– Да, поскольку случилась утечка данных сотрудников, может снизиться именно их доверие к собственному работодателю в вопросе безопасности их данных и, как следствие, безопасности в целом. Вероятно, будут публикации в СМИ, предполагающие с той или иной степенью уверенности, что у пострадавшей компании проблемы с информационной безопасностью, снижающие доверие аудитории к организации.

Для объективности следует отметить, что в случае если все-таки имела место именно подготовленная целенаправленная атака, обвинять организацию в этом представляется необоснованным. Сами персональные данные могут быть использованы в самых различных схемах мошенничества, направленного как на самих сотрудников, так и иных лиц.

- А как вообще можно использовать персональные данные?

- В первом случае, владея персональными данными сотрудников, можно побуждать их совершать нужные мошенникам действия, чаще всего направленные на причинение материального ущерба. Допустим, звонок с требованием в течение нескольких часов осуществить некоторую оплату во избежание санкций. («У Вас не оплачен налог/штраф – если не оплатите его до 18.00, будет взыскание в судебном порядке» или что-то подобное). Может быть обращение по фамилии, имени и отчеству, назван номер паспорта, дата рождения, ИНН, адрес прописки, чтобы убедить потенциальную жертву мошенничества в том, что звонок от легального абонента.

Во втором случае аналогичные действия осуществляются в отношении лиц, с которыми субъекты похищенных персональных данных имеют какие-либо связи – личные или деловые. Цели, вероятно, аналогичные: причинение материального ущерба путем убеждения жертвы в том, что с ней общается конкретное лицо или общение происходит от его имени. Совершенно не обязательно, что факт работы в конкретной организации будет использоваться – можно предположить даже совсем простые и распространенные схемы. Что-то вроде звонка коллеге или близкому родственнику от имени представителя органов власти («Ваш коллега сбил человека, нужно ему помочь»). Называются конкретные паспортные данные, место прописки, дата рождения. Если среди похищенных персональных данных есть фото, может подробно описываться внешность. Вероятно, может быть реализован и более сложный сценарий: предположить все возможности злоумышленного использования персональных данных не представляется возможным.

Беседовала Наталья Гусаченко
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редактору.


Чтобы оставить свой отзыв, Вам необходимо авторизоваться


ГОРЯЧИЕ ТЕМЫ



Читайте также

  • Перевозки скоропортящихся грузов: проблемы есть. Есть ли решения?
    Как сегодня гарантировать безопасность перевозки скоропорта, обсуждали отраслевые эксперты и непосредственные участники перевозочного процесса в рамках делового семинара «Грузовая панорама. Перевозки скоропортящихся грузов в новых условиях», организованного журналом «РЖД-Партнер». Подробнее - в нашем специальном проекте.
  • Сибирь на передовой трансформации логистики
    Санкции развернули товарооборот на восток. Одним из крупнейших хабов, через который грузы распределяются в различных направлениях различными видами перевозок, стала Сибирь. О проблемах, вызовах, победах и планах в области транспорта, логистики и инфраструктуры – в нашем специальном проекте.
  • Нефтяной разворот
    Санкции изменили структуру перевозок нефтепродуктов. Российская логистика развернулась из Европы в Азию, на Ближний Восток и в Африку. Как это отразилось на экспорте нефтеналивных грузов и чего ждать дальше? Все не так просто, как может показаться на первый взгляд. Своими мнениями в рамках делового семинара «Грузовая панорама. Перевозки нефтепродуктов в условиях санкций» с нами поделились отраслевые эксперты и непосредственные участники процесса перевозок. Подробности - в нашем специальном проекте по ссылке.
  1. На российском транспортном рынке активно продвигается китайская продукция. Являются ли поставки из КНР вариантом для снижения дефицита контейнеров и запчастей к вагонам?

Выставка Конгресс Конференция Круглый стол Премия Саммит Семинар Форум Дискуссионный клуб
Индекс цитирования Рейтинг@Mail.ru

Copyright © 2002-2024 Учредитель ООО «Редакция журнала «РЖД-Партнер»

Информационное агентство «РЖД-Партнер.РУ»

Главный редактор Ретюнин А.С.

адрес электронной почты rzdp@rzd-partner.ru  телефон редакции +7 (812) 418-34-92; +7 (812) 418-34-90

Политика конфиденциальности

При цитировании информации гиперссылка на ИА РЖД-Партнер.ру обязательна.

Использование материалов ИА РЖД-Партнер.ру в коммерческих целях без письменного разрешения агентства не допускается.

Свидетельство о регистрации СМИ ИА № ФС77-22819 от 11 января 2006 г., выдано Федеральной службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия.

Любое использование материалов допускается только при наличии гиперссылки на ИА РЖД-Партнер.ру

Разработка сайта - iMedia Solutions