На днях компания Marriott сообщила об утечке данных 500 миллионов клиентов. Попробуем разобраться как такое могло произойти и что нужно сделать, чтобы у вас этого не произошло.
Так как я всю жизнь работал в санаториях, то говорить буду прежде всего о них. Но всё это относится и к крупным отелям от 100 номеров и выше.
Как было раньше?
Вопрос с безопасностью хранения персональных данных в электронном виде возник сравнительно недавно. В СССР санатории, как правило, были ведомственными и в них часто отдыхали высокие партийные работники. Все их данные, включая медкарты, хранились в бумажном виде в специальном архиве, а за их сохранность отвечал специальный сотрудник с погонами. Несмотря на то, что такой архив можно было вывезти только на грузовике, к защите информации тогда относились очень серьезно.
Потом на смену бумажным архивам пришли электронные. Но в конце прошлого века компьютеры были настолько слабые, что их базы чистились от старых данных ежегодно, иначе они просто "зависали".
В начале 2000-х годов санатории стали обзаводиться мощными серверами, но сеть предприятия оставалась локальной, т.е. внутренней. Интернет был очень медленный и дорогой. Поэтому файлы базы данных можно было вынести только на физическом носителе. В те времена у меня на сервере стояла программа, которая при обнаружении в USB разъеме "флешки" присылала мне на почту фото с камеры видеонаблюдения, установленной в серверной.
Потом пришел скоростной оптический интернет и беспроводной Wi-Fi.
Именно с этого момента на то, чтобы украсть любые данные предприятия, "умельцам" стало достаточно нескольких десятков минут.
Какую информацию мы храним?
Во-первых, это ФИО, адреса, телефоны, почта, а также паспортные данные гостей. Во-вторых, это все персональные данные сотрудников. В-третьих, коммерческая информация о работе предприятия. Санатории не хранят данные банковских карт гостей, но зато хранят их медицинскую карту. Защита этой информации, согласно №152-ФЗ - обязанность объекта размещения. К сожалению, технические меры, которые требует соблюдать закон очень дорогостоящие. Зачастую, вместо них выполняется только юридическая (бюрократическая) часть защиты.
Как защитить данные?
1. ИТ специалист должен регулярно обновлять все программное обеспечение, как на сервере, так и на рабочих ПК пользователей.
2. Он должен мониторить подозрительную сетевую активность на предприятии. Передача больших объемов данных внутри сети или внезапный большой исходящий трафик в интернет - это серьезный повод начать беспокоиться.
3. Огромная дыра в безопасности - это беспроводной Wi-Fi. Для того, чтобы попасть к вам в сеть, человеку не нужно даже быть внутри вашего помещения. К тому же это идеальный способ стянуть пользовательские пароли. Я знаю санаторий, в котором гостевую сеть Wi-Fi физически разделили с внутренней локальной, используя даже разных провайдеров интернета.
4. Нужны регулярные проверки работы вашего системного администратора. Так же как вы проверяете качество уборки номера горничной, вы должны регулярно использовать ИТ-аудит независимой фирмы. Знаю объект, на котором сменилось 3 сисадмина за 5 лет, но все пароли оставались прежними. Хороший специалист быстро бы вычистил лишние учетные записи и убрал средства удаленного доступа.
Если вы используете для оценки работы отеля услуги "тайного гостя", то знайте, что этот метод прекрасно подходит и для ИТ! Просто гость должен быть специалистом по безопасности. Поселенный на ночь к вам в отель, вполне возможно, он уже утром сможет со своего ноутбука распечатать на принтере вашей секретарши картинки с ваших камер видеонаблюдения и пароли ваших сисадминов! История реальная.
5. Но самая большая проблема в безопасности санатория - это не техника и не "обиженный" сисадмин, а безграмотные пользователи. Это они открывают вложения зараженные вирусами, запускают троянские программы, шифровальщики, открывают общий доступ к папкам с документами, копируют файлы на флешки, которые потом где-от теряют. Если таких сотрудников нельзя заменить, то вам остается их только учить.
Я несколько раз лично наблюдал, с какой легкостью получает доступ к данным санатория, сотрудник ИТ-безопасности банка или провайдера, поэтому достаточно серьезно отношусь к информационной безопасности. Не экономьте на персонале. Своевременно модернизируйте программное обеспечение и инфраструктуру. Развивайте своих сотрудников! И тогда злоумышленникам будет проще скачать данные не у вас, а в каком-нибудь другом месте.
