ТАШКЕНТ, 15 дек — Sputnik. Почти 2% всех утечек личных данных пользователей в 2019 году осуществлялись через IT-специалистов. Несмотря на незначительное число самих случаев, объемы ущерба весьма внушительные. Об опасной тенденции сообщают "Известия" со ссылкой на представителей компании DeviceLock.
К печальному выводу о причастности системных администраторов к этой незаконной деятельности эксперты пришли после того, как проанализировали условия организации их процесса, в частности, выгрузку из систем управления доступом, присутствие в слитых таблицах служебных полей, а также наличие полной резервной копии с большим количеством строк.
На этот канал утечки конфиденциальной информации приходится пока лишь 2% случаев, остальные — на другие отделы и подразделения организаций, работающих с данными, например, на сотрудников бэк-офиса или клиентской поддержки.
"Технологические решения по предотвращению утечек защищают от мошеннических действий сотрудников бизнес-подразделений, но не IT-специалистов, например, имеющих полномочия администратора. Кроме того, доказать вину айтишника, имеющего базовые понятия об информбезопасности, на порядок сложнее, чем менеджера, который продает данные через Telegram, привязанный к SIM-карте под его именем", — приводит издание слова технического директора DeviceLock Ашот Оганесян.
На преступный шаг, по его мнению, IT-специалистов толкает изменившаяся ситуация на рынке труда, в частности, в этом сегменте. Чем больше айтишников работает на рынке, тем жестче конкуренция и ниже зарплаты, а значит, всегда есть соблазн продать ценную информацию и в один момент заработать приличную сумму, рассуждают авторы исследования.
Только в текущем году в открытом доступе оказались десятки миллионов данных клиентов Сбербанка, а также десятки и сотни тысяч записей пользователей других кредитно-финансовых учреждений.
Представитель одного из российских банков заявил изданию, что полностью обойтись без IT-специалиста для поддержки работоспособности таких баз невозможно, однако в целях безопасности этим сотрудникам предоставляется минимально возможный доступ лишь для совершения базовых задач.
"Банки реализуют целый комплекс мер, направленных на защиту клиентских данных: от повышения осведомленности работников по вопросам сохранности личной информации и мер ответственности за их разглашение до сугубо технических процедур — мониторинга атак и реагирования на них", — цитируют "Известия" директора департамента информбезопасности МКБ Вячеслава Касимова.
Специалисты, опрошенные изданием, заметили, что для снижения риска такого вида кражи конфиденциальной информации компаниям, прежде всего кредитным организациям, необходимо более тщательно работать с IT-персоналом, разграничивая полномочия сотрудников и повышая их ответственность и лояльность, чтобы избежать злоупотреблений и нарушения закона.
О проблеме защиты персональных данных, а также о кибербезопасности госструктур говорили в октябре в рамках международной конференции в "Сколково". Выступая от Узбекистана, премьер-министр республики Абдулла Арипов подчеркнул, что только за минувший год было зафиксировано свыше восьми миллионов инцидентов. Эта угроза заставляет правительство принимать комплексные меры по защите информации, прежде всего, на сайтах различных структур и ведомств, а также в финансовых учреждениях. Для борьбы с этой общей угрозой он призвал страны СНГ активнее взаимодействовать и обмениваться информацией для совершенствования каналов связи и систем защиты данных.