Access web Add modules industryArtboard 58 Analyse App control Created with Sketch. Adv_Artboard 21 industryArtboard 61 Oficer Adv_Artboard 22 Ресурс 31 Business process icon Created with Sketch. Business Shape Created with Sketch. Artboard 13 Central policy Certificate Chain Adv_Artboard 27 Combined Shape Copy 3 Created with Sketch. Artboard 50 Artboard 48 Artboard 51 Artboard 47 Artboard 46 Artboard 49 Shape Created with Sketch. Cloud B7B55A6B-30C0-4E73-9637-1794E793654E Created with sketchtool. B3F1D6A1-80F6-48B0-9EBD-786404E82049 Created with sketchtool. Shape Created with Sketch. Соц.Ответств._Artboard 29 Cup Artboard 12 Delete Develop Mobile control Detect data Corporate devices icon Created with Sketch. Use Development Монтажная область 52 Effective Ресурс 29 icon Created with Sketch. Created with Sketch. industryArtboard 56 Соц.Ответств._Artboard 28 785FDCCF-4DD0-4D89-92DF-A0C4AC73109E Created with sketchtool. 5F4F180E-E1AA-4429-9F5C-BB866CAD85FA Created with sketchtool. Ресурс 26 Fill 1 Created with Sketch. Flash Adv_Artboard 23 Ресурс 28 industryArtboard 54 Ресурс 35 Adv_Artboard 19 Hidden app Adv_Artboard 24 Page 1 Created with Sketch. CityArtboard 17 1451A714-6689-46A8-8D48-D7A246F52BE2 Created with sketchtool. industryArtboard 59 Like Group 9 Created with Sketch. Locking Mail Main modules Adv_Artboard 20 Created with Sketch. Messenger Microscope CityArtboard 18 industryArtboard 55 Effective PC Ресурс 30 Report PC IT Ресурс 34 industryArtboard 60 Shape Created with Sketch. 4658DE58-0BFB-4713-AC6C-19C0753FDB86 Created with sketchtool. Photocamera Printer automatic scan icon Created with Sketch. Report icon Created with Sketch. Safe web_1 Safe Safety CityArtboard 14 industryArtboard 57 Scale Соц.Ответств._Artboard 30 Lingvo search Technology search Shape Created with Sketch. Secure Computer Flash Messenger Notebook Printer Smartphone Web Server 56B89AD1-943C-4CF7-8FC3-C3DD35C6EE7C Created with sketchtool. Skills industryArtboard 53 Smartphone Facebook Copy_White Created with Sketch. LinkedIN Copy_White Created with Sketch. Telegram_White Created with Sketch. Twitter_White Created with Sketch. VK_White Created with Sketch. Socials icon Created with Sketch. Structure web Created with Sketch. Created with Sketch. Fill 1 Created with Sketch. Adv_Artboard 25 Update_1 Created with Sketch. Created with Sketch. Artboard 11 Fill 1 Created with Sketch. Web 1 2_1 3 4 Created with Sketch. Safe
22 июля 2010

Крупнейшая база данных Европы - добро пожаловать на проходной двор!

По информации аналитического центра InfoWatch, безопасность  крупнейшей базы данных Европы, содержащей около 90 миллионов записей, неоднократно нарушалась в течение нескольких лет сотрудниками Судов Ее Величества королевы Великобритании, Министерства труда и пенсионного обеспечения, а также работниками других министерских подразделений. 

В прошлом году власти Великобритании уволили 26 государственных служащих за несанкционированный доступ к данным, содержащимся  в Информационной системе потребителей (ИСП) Министерства труда и пенсионного обеспечения (МинТиП). ИСП насчитывает около 90 миллионов записей, являясь крупнейшей базой данных Европы.

По сообщению британской версии Computer Weekly, с момента создания БД, т.е. с 2005 года,  сотрудники государственного сектора неоднократно попадались на краже или просмотре персональных данных  БД МинТиП. В период с 2009 по 2010 годы МинТиП зарегистрировал  124  случая нарушения системы защиты базы данных сотрудниками консульства.  Как заявляет Министерство юстиции (Минюст), за тот же период отслежены 23 случая несанкционированного доступа к персональным данным БД служащими Судов Ее Величества. На данный момент известно 180 случаев незаконного проникновения в ИСП госслужащих с целью просмотра записей о себе, своих родственниках, знакомых, коллегах и знаменитостях.  Всего же доступ к базе имеют 200 000 человек!

Небезопасная безопасность

По утверждению Минюста, аудит системы безопасности БД пострадавшего министерства проводился регулярно раз в квартал. Однако очевидно, что этого не было достаточно.  Разработанные министерством юстиции  меры по обеспечению безопасности были настолько расплывчаты, что IT-ишники МинТиП не знали, что конкретно они должны сделать для защиты персональных данных, хранящихся в БД. Периодически от них поступали сообщения  о возможной угрозе информации, однако, зачастую спустя несколько месяцев после случившейся утечки.

Первое сообщение об утечке Минюст получил от МинТиП спустя 3 года после того, как сотрудники Судов Ее Величества произвели несанкционированный доступ к БД. На просьбу, направленную в отдел по рискам МинТиП от аналитика Минюста о содействии в расследовании инцидента, спустя несколько недель был получен следующий ответ: «В компетенцию отдела не входит предоставление свидетельских показаний по данному делу».

В итоге, Минюст провел собственное расследование: было уволено 35 человек.  Но уроком для остальных госслужащих это не стало. Доступ к базе постоянно или периодически имеют около 200 000 сотрудников, и всех нарушителей не уволишь. Не помогла и система электронной идентификации личности - инсайдеры успешно ее обходят.

В феврале 2008 года МинТиП отправил запрос в Министерство юстиции, в котором говорилось, что не конкретизированные меры безопасности должны быть пересмотрены. Ведь далеко не каждый сотрудник пользуется возможностью доступа к БД в корыстных целях. Чаще все же - для выполнения служебных обязанностей, например, для подтверждения права граждан на получение бесплатных медикаментов или школьного питания.

В 2009 году в Великобритании был принят Coroners and Justice Act, одним из положений которого явилось ужесточение процедуры проверок Британской комиссией по информации организаций на предмет соблюдения Закона о защите данных (Data Protection Act). Однако необходимые меры безопасности так и не были конкретизированы в данном законе.,

В ходе разбирательств выяснилось, что Минюст не ведет учет количества нарушений и принятых мер по разрешению ситуации. В связи со всеми обстоятельствами, власти Великобритании были вынуждены принять дисциплинарные меры касательно сотрудников британских министерств. В результате из 81 нарушителя лишь 8 были уволены.

Ситуацию комментирует главный аналитик InfoWatch Н. Федотов: «Отрадно то, что нарушения хоть и имеют место, но выявляются; при этом виновные наказываются.  Силы службы безопасности не брошены целиком на сокрытие инцидентов, а меры защиты не сводятся к составлению разнообразных бумаг, как это принято в некоторых других странах.

При таком огромном количестве пользователей (200 тысяч) результат более чем хороший. Этот результат таков: крупнейшая БД Европы до сих пор не продаётся на Савёловском рынке на DVD. Несмотря на перечисленные недостатки защиты, работу службы информационной безопасности Министерства труда следует оценить положительно, а опыт по эксплуатации такой крупной БД следует изучить.

Также хотелось бы отметить, что все упомянутые нарушения связаны с инсайдерами, с превышением ими предоставленных полномочий. Но не упоминается инцидентов с несанкционированным доступом "внешних" нарушителей. Из этого надо сделать вывод, что защита от "внешних" угроз (НСД, перехват на каналах связи, подбор паролей, внедрение троянских программ и т.п.) поставлена у англичан хорошо. Защититься же от внутренних злоумышленников - всегда было более трудной задачей».

Источник

Вебинар «Был случай»

Смотрите вебинар о самых необычных случаях выявления злоумышленников из нашей практики

В записи

Подпишитесь на рассылку INFOWATCH