Нашлось тоже немало. Политики информационной безопасности, подробные описания систем защиты, схемы сетей с указанием всей адресации, отчеты, коммерческие предложения, списки цен, результаты тестирования продуктов (не всегда положительные), анализы рынка, проекты документов, файлы паролей, конфиги (с открытыми паролями)… Прошелся и по тематике персональных данных. Причем двояко. Сначала просто поискал различные ПДн на сайтах — нашел выше крыши. Причем явно такие ПДн находятся на сайте незаконно — видимо кто-то выложил файл на сайт, а служба ИТ/ИБ то ли не проставила прав доступа на разделы сайта, то ли забыла установить запрет на индексацию… Но итог очевиден — персональных данных полно. Также как и полно документов, регламентирующих вопросы обработки и защиты ПДн. И это не политика в области обработки ПДн, которая должна быть разработана по ст.18.1 ФЗ-152. Речь идет именно о внутренних нормативных актах, которые не должны светиться наружу. Причем доходит до смешного. Общался с некоторыми коллегами на конференциях. Спрашиваю — «разработали вы нормативку по ПДн?». Отвечают утвердительно. «Можете показать?». «Нет. Конфиденциальная информация». Ввожу их сайты в Google — получаю полный набор документов, которые они скрывали 😉
Еще случай. На одном из сайтов предлагается комплект документов и программное обеспечение по моделированию определенных процессов. Стоимость комплекта — несколько сотен тысяч рублей. Опять в Google. Вуаля. В одном из разделов сайта находятся все документы. При этом раздел не доступен из меню сайта и системы поиска. Но Google замечательно обошел все препоны и выдал прямую ссылку на местоположение данных, на которых можно было бы заработать. И таких примеров можно привести множество.
Какова причина сего безобразия? Я вижу их несколько. Самая банальная — отсутствие взаимодействия между ИТ и ИБ службами организации. Первые делают и запускают сайт, не ставя в известность вторых. Итог печален. Вторая причина — низкая квалификация сотрудников служб ИБ, которые сами не всегда знают как защищать сайты. То есть общие-то принципы им известны, а вот конкретные шаги применительно к конкретной системе управления сайтом или Web-серверу им незнакомы. И вновь итог печален. И третья причина — отсутствие регулярного мониторинга защищенности и конфигурации своих сайтов. Может быть при создании сайт и был защищен, но он рос, развивался, менялся. В итоге первичные настройки уже забыты, а про новые никто и не вспомнил. Результат опять предсказуем.
Что могу посоветовать сделать прямо сейчас. Введите в Google следующий поисковый запрос: «filetype:doc site:»адрес своего сайта»» (в Google вводить все без кавычек). Этот запрос выдаст все файлы формата DOC, которые доступны извне. Можете сузить запрос и перед filetype ввести ключевое слово или фразу. Тогда будут найдены все файлы Word, содержащие искомый запрос. Кстати, учитываете, что расширения DOC и DOCX в Google — это разные результаты в поисковой выдаче. Можно попробовать и такой запрос «filetype:dat passwd» (не забудьте использовать оператор site с указанием своего домена). Он может выдать вам очень интересный результат. А вообще с помощью Google у себя на сайте можно много чего поискать — пароли, реестры, ключи, сертификаты и т.д. Главное, правильно составить запрос, используя стандартные функции Google.
Ну а что делать, если вы у себя нашли какие-нибудь дыры, открытые всем, я думаю, вы знаете.
"Какова причина сего безобразия? Я вижу их
несколько." стоит еще добавить так Вами нелюбимые сертификаты. Они конечно проблемы не решат, но в какой-то степени минимизируют совсем уж идиотские ошибки.
Кстати есть чему порадоваться: проверил выдачу гугла по сайту и ничего не нашлось.
Радикальное решение: "Нет сайта — нет проблемы!"