15 причин утечек персональных данных

Ондрей Криль (Ondreо Krehel) из американской Loews Corp. опубликовал на днях интересную заметку, в которой перечисляет 15 самых распространенных «худших практик», приводящим к самым серьезным утечкам персональных данных. Он отнес к ним:
  1. Отсутствие шифрования важной информации, особенно персональных данных.
  2. Хранение ненужных данных, например, учетных записей уволенных сотрудников.
  3. Использование конфиденциальной информации в тестовых целях, например, при передаче СУБД на тестирование разработчикам.
  4. Неправильное удаление резервных копий и дампов, которые в случае небезопасного удаления легко восстанавливаются.
  5. Неограниченные полномочия для администратора СУБД, который имеет расширенные привилегии и в других частях корпоративной сети.
  6. Отсутствие надлежащего контроля доступа к СУБД извне.
  7. Большое количество пользователей с расширенными административными привилегиями в СУБД.
  8. Некорректные настройки правил доступа к таблицам СУБД.
  9. Незащищенные пароли.
  10. Пробелы в аутентификации, например, когда отдельным приложениям организуется доступ к данным в обход общих правил аутентификации.
  11. Небезопасное резервное копирование, которое приводит к тому, что данные открыты для свободного доступа из Интернет.
  12. Уязвимые СУБД, интегрированные с Интернет-порталами (XSS, SQL Injection и т.п.).
  13. Уязвимость систем, на которых крутятся конфиденциальные данные.
  14. Отсутствие мониторинга узлов с важными данными на предмет вторжений и иных действий злоумышленников.
  15. Внедрение межсетевых экранов, «непонимающих» прикладные протоколы для СУБД или Web.

Вот такой список. Хотя я бы его, наверное, переименовал все-таки. Это не 15 причин утечек ПДн, а 15 технических ошибок, которые допускаются при внедрении и защите систем управления базами данных. Все-таки организационные, юридические, психологические причины в этом списке отсутствуют. А без них картина будет неполной.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. doom

    >Внедрение межсетевых экранов, "непонимающих" прикладные протоколы для СУБД или Web.

    Зато с нужным сертификатом 😛

    Ответить
  2. Cug

    Кстати да! В суровых условиях РФ к перечню надо добавить:
    16. Использование несертифицированных СЗИ;
    17. Непроведение аттестации СЗПДн;
    18. Отсутствие лицензии на ТЗКИ и ФСБшных.
    Хотя последнее — скорей к оргмерам, да и предпоследнее отчасти.

    Ответить
  3. Алексей Лукацкий

    А как сертификат влияет на рост утечек? Тогда уж добавить в качестве плохой практики "предоставление доступа госорганов к важным данным" 😉

    Ответить
  4. Алексей Евменков

    Классный список уязвимостей — своеобразный чеклист. Новая кровь для риск менеджмента:)

    Ответить
  5. Cug

    Алексей, к причинам НСД при проверке нас РКНом были отнесены невнесение в уведомление сведений об обработке нами ПДн сотрудников, и отсутствие в анкете сотрудника по форме Т-2Гс (вроде такое название) обязательных полей, как то описание цели обработки ПДн.

    Ответить