Поговорим о сотрудниках на аутсорсе. Rush Medical Center потерял базу данных на 45 000 пациентов. Имена, адреса, дни рождения, номера социального страхования американцев пошли по рукам, после того как сотрудник подрядчика по ошибке поделился файлом «не с тем» адресатом.    
За доверчивость медцентр расплатился сполна: потратил несколько недель, чтобы отписаться всем пострадавшим, организовал справочный колл-центр и попал под надзор Управления по гражданским правам.
Что тут можно было сделать? Как минимум создать для подрядчиков виртуальную рабочую среду с запароленным входом. Удаленный контроль не убережет от всех проблем, но подстегнет сотрудника на атсорсинге быть повнимательнее.

#новости #утечки #персданные #медицина #сша

Милые дамы, выбравшие своей профессией непростую стезю ИБ-специалиста! Команда «СёрчИнформ» восхищается вами и поздравляет с Международным женским днем! Желаем вам верных компании сотрудников, надежных коллег и простого ИБ-счастья без инцидентов. Пусть на работе и дома вас окружают дружеская поддержка, вдохновение и радость.

Коллеги, пока здесь было тихо, РБК выяснил у главы «СёрчИнформ» что ждет российский ИБ-рынок, какие угрозы информационной безопасности появились за последнее время, а еще расспросил о новых ИБ-кейсах. Весь разговор по ссылке: https://bit.ly/2XPffPn

Лед тронулся! За незаконное распространение персданных в России стали наказывать штрафами посерьезнее. Экс-сотрудника администрации Кургана осудили за продажу персональных данных граждан из электронной базы мэрии. Вряд ли он ожидал, что ему придется выписывать государству чек на 200 тысяч, иначе запросил бы за свои услуги больше, чем 1-2 тысячи рублей.
Для сравнения: выброшенные в макулатуру медкарты в декабре 2018 года обошлись главврачу больницы в Свердловской области всего в 4 тысячи рублей.

Скандал на Tesla развивается по сюжету бразильского сериала. Персонажей на экране все больше, и правда теряется за эмоциями и взаимными обвинениями. Дров в костер, который разгорелся летом прошлого года, подкинула недавняя статья в Bloomberg: https://bit.ly/2JfgUKO

С понедельником нас, коллеги! На прошлой неделе мы обсуждали, что в России растут штрафы за продажу ПДн. Но свежая новость из Австралии доказывает: российским нарушителям еще хорошо живется. 21-летний житель Сиднея может получить 20 лет тюрьмы за продажу краденых учеток: https://bit.ly/2FgABN4

Продолжаем «неделю персональных данных» на канале. Хорошее дело затеяли в Open Bug Bounty. На сайте проекта появился специальный раздел, через который ИБ-исследователи могут оперативно сообщить владельцам веб-ресурсов об утечках персданных. Заметили, что кто-то забыл повесить замок на страницы в PDF, MS Office, HTML-форматах, содержащие ПДн, и анонимно намекнули хозяину сайта, что штрафы за нарушения GDPR нынче драконовские. Как итог – ПДн под защитой, компания закон не нарушает, а ИБ-исследователю – плюсик в карму.
Open Bug Bounty – некоммерческий проект, который поощряет совместную борьбу интернет-пользователей с уязвимостями.

Сегодня в рубрике «пятничное чтиво» – большое интервью Льва Матвеева. Внутри – причины вечного спора ИТ- и ИБ-службы, кейс «Как вычислить хакера в коллективе» и презентация нового модуля КИБ – File Auditor: https://bit.ly/2URTRqU

На днях литовский мошенник, фамилию которого выговорить чуть проще, чем название исландского вулкана, признал вину в краже 122 млн долларов у Google и Facebook. Хороший повод еще раз поговорить с сотрудниками о том, что социальные инженеры не дремлют и «не все письма одинаково полезны». По ссылке – детали истории и мнение эксперта: https://bit.ly/2Ts5mUB

В середине недели вдруг захотелось порассуждать на тему «А как у них?». Накопали свежее исследование Opinion Matters, которые решили  спросить у 250 руководителей и 2 000 рядовых сотрудников в Европе и США, что они, собственно, думают о безопасности в компаниях.
Результаты всех немало удивили. Коротко взгляды на ИБ-инциденты отражены в инфографике выше. Хотите подробностей? Полное исследование по ссылке: https://bit.ly/2Uca0dO

Март запомнился судебными делами, связанными с утечками информации от должностных лиц. Экс-сотрудник администрации Кургана продавал персональные данные горожан, а московский участковый сообщал об умерших в ритуальные агентства. Сегодняшний герой пошел еще дальше: выдавал преступникам данные, которые могут составлять гостайну: https://bit.ly/2JPR1lb

Отмечаем 1 апреля дайджестом отборных ИБ-инцидентов из папки «Победители премии Дарвина в инфобезе». По ссылке – пять историй, которые помогут провести понедельник весело и с пользой: https://bit.ly/2WzdMva

Криптовалютная биржа Bithumb потеряла 19 млн долларов. Представители компании уже признали, что виновники инцидента – инсайдеры. Кадровые риски на бирже недооценили, бросив все силы на защиту от внешних угроз. Поговаривают, что бунт инсайдеров – месть за массовое сокращение штата: https://bit.ly/2TSdJZH

Коллеги, а как вам такой прием – отслеживать коррупционеров через Instagram? Полиция Колумбии вышла на след крупного взяточника через «лакшери»-аккаунт его дочери: https://bit.ly/2G0Eqrs

На прошлой неделе мы рассказывали о горестях криптовалютной биржи Bithumb, которой мстили бывшие сотрудники. А сегодня все внимание сотруднику Конгресса США: он слил десятки гигабайт данных сенаторов-республиканцев после того, как узнал о своем увольнении. Ему грозит срок от 2,5 до 5 лет: https://bit.ly/2v1fBFH

А вы доверяете секреты подрядчикам? Увы, контрагенты способны выставить конфиденциальную информацию на всеобщее обозрение – по ошибке или злому умыслу. Собрали истории, которые доказывают это: https://bit.ly/2Z2vLw0

Менеджер московской турфирмы отнял море, солнце и песок у восьми клиентов. Сотрудник проиграл в букмекерской конторе 600 тысяч рублей, полученные за путевки. Но нас в этой истории интересует не сорванный отдых, а пренебрежение всеми ИБ-правилами со стороны турфирмы. Вместе с экспертом разбираемся, как можно было предотвратить инцидент: http://bit.ly/2UOqWr8

Делимся итогами свежего ИБ-исследования из США. Аналитики Gurucul спросили у компаний из разных сфер, как они воспринимают инсайдерские утечки. Выяснилось, что 72% организаций признают, что не защищены от этой угрозы, причем наиболее критичны действия инсайдеров для компаний из производственного сектора: http://bit.ly/2UkuvRw

Коллеги, мы не про Рунет. Наше внимание на этой неделе привлек кейс из Екатеринбурга, где суд вынес приговор менеджеру одного из банков. И этот рядовой случай мошенничества стоит обсудить, потому что сотрудник действовал строго в рамках своих полномочий. Обнаружить следы его преступления без продвинутых средств было сложно: http://bit.ly/2DiSSZU

С 1 июня разработчикам ИБ-программ придется попотеть, чтобы получить сертификат по новым требованиям ФСТЭК. Теперь нужно доказывать не только безопасность программы, но и безопасность процесса ее разработки. Кому-то из вендоров это кажется избыточным, другие уже давно работают по таким правилам: http://bit.ly/2v96cf4