Персональные данные: утечки информации по вине сотрудников

Вместе с тотальной цифровизацией сервисов растет и риск того, что персональные данные, переданные клиентами в организации для оказания услуг, могут быть скомпрометированы как по вине внешних злоумышленников, так и вследствие неосторожности либо намеренных действий инсайдеров. Случаев, когда в сотрудники случайно раскрывали персональные данные клиентов компаний и своих коллег, в 2022 году было много, но некоторые утечки информации отличались своим объемом.

Так, например, вследствие того, что сотрудник турецкой авиакомпании Pegasus Airlines неправильно настроил параметры безопасности базы данных, в открытом доступе оказались 23 миллиона файлов с конфиденциальной информацией: полетные карты, навигационные материалы и персональные данные летных экипажей. Впервые об инциденте заговорили в июне 2022 года, когда сотрудники авиалиний обнаружили ошибку.

В марте 2022 года стало известно о том, что сотрудник избирательного участка в Гонконге случайно отправил персональные данные 15 тысяч избирателей неизвестному получателю на электронную почту. За ним последовал второй инцидент информационной безопасности, в ходе которого сотрудник случайно прикрепил к тестовому электронному письму бланк ответа члена избирательной комиссии.

Сотрудники налогового управления США (IRS) также допустили ошибку, в результате которой были скомпрометированы персональные данные 112 тысяч налогоплательщиков. Сначала данные налоговых форм были удалены из сети, но снова попали в открытый доступ, когда сотрудник компании-подрядчика загрузил на сайт файл, который все еще содержал большую часть конфиденциальной информации. По правилам заполненные формы должны быть доступны в Интернете, но также должна быть обеспечена конфиденциальность и информационная безопасность.

Еще одна утечка информации в американской госорганизации произошла в иммиграционной и таможенной полиции (ICE), когда случайно на веб-сайте были опубликованы персональные данные 6252 спасающихся от пыток и преследований иммигрантов, а именно: ФИО, даты рождения, информация о гражданстве и местах содержания под стражей. Из-за произошедшего инцидента пострадавшие от утечки информации могут оказаться в опасности, и власти обещали не депортировать их из страны до тех пор, пока не убедятся, что им ничего не грозит.

Помимо неосторожности в обращении с конфиденциальной информацией к ее утечкам приводят и намеренные действия сотрудников компаний. К примеру, в декабре 2022 сотрудник бельгийского банка Degroof Petercam злоупотребил своим доступом к информации и незаконно скачал файлы, тем самым скомпрометировав персональные данные сотен клиентов.

Месяцем ранее произошел другой инцидент информационной безопасности: помощник брокера проработал в компании «Сколково-недвижимость» 4 месяца, затем уволился, но все еще имел доступ к облачному хранилищу, принадлежащему бывшему работодателю. Спустя пару месяцев после своего увольнения экс-сотрудник скачал файлы, в которых содержалась конфиденциальная информация собственников объектов недвижимости.

Несколько раз в июле 2022 г. и раньше, в апреле 2021 г., сотрудник медицинской сети University of Florida Health (UF Health) нелегитимно обращался к данным пациентов, включая ФИО, даты рождения, почтовые адреса, номера телефонов, номера медицинских карт, имена врачей, и частично к клинической информации, такой как диагноз, состояние, даты посещения. В некоторых случаях могли быть скомпрометированы данные страхования пациентов – названия компаний-страхователей и номера полисов. Однако утверждается, что этот инцидент информационной безопасности не коснулся номеров социального страхования.

В мае 2022 года в Волгограде был вынесен приговор в виде условного срока сотруднику каршеринга, который продал третьим лицам базу, содержащую персональные данные клиентов. Скомпрометированные данные включали также и маршруты передвижения пользователей сервиса.

Каким бы образом ни были скомпрометированы персональные данные клиентов организаций – случайным или намеренным, есть высокий риск того, что они могут попасть в руки мошенников, которые в свою очередь смогут использовать их различными способами в своих схемах.