Несоблюдение политики информационной безопасности грозит компаниям существенными потерями. Речь идёт не столько о финансовых потерях, сколько о подпорченном имидже компании и риске быть “съеденным» конкурентами.
Почему так происходит? В каждой крупной компании есть ряд сотрудников, владеющих конфиденциальной информацией.
Из-за халатности сотрудников, эта информация попадает в публичный доступ и делает компанию уязвимой.
Иван Сорбат, СЕО в компании SORBAT Corp., сертифицированный специалист в информационной безопасности ISO 17799:2005, провёл исследование по утечке информации с помощью сервиса GoogleSites http://sites.google.com.
Исследование проводилось на примере нарушений крупнейшего коммерческого банка Украины — “ПриватБанк”.
Из этой статьи вы узнаете, как не допустить и предотвратить утечку информации компании в интернете.
Закрытая информация компании доступна простому интернет-пользователю. Каким образом?
Чтобы получить доступ к конфиденциальной информации не нужно быть хакером. Достаточно знать, как пользоваться интернетом.
Несколько шагов по вскрытию не засекреченных данных о компании, на примере «ПриватБанк»:
- Заходим на сайт http://sites.google.com/ и в браузере, в адресной строке добавляем запись /a (аудит сайтов подключенных посредством Google API) и добавляем адрес домена (веб-аудит). Например: http://sites.google.com/a/privatbank.ua.
2. Далее в меню слева выбираем “Обзор сайтов” в домене privatbank.ua, и проводим аудит по тегам на доступность информации сайтов «ПриватБанк».
Результаты аудита показывают нам список категорий и сайтов, открытых сотрудниками «ПриватБанк» для общего просмотра.
3. Для просмотра материалов из списка, выбираем интересующую нас запись и переходим на сайт.
В ноябре 2014 года, когда проводился анализ доменов ПриватБанка, пользователь мог получить доступ к базе данных отделений банка, информации о сотрудниках, фотографии касс изнутри и многой другой конфиденциальной информации.
Ниже представлены примеры таблиц, которые на тот момент были в открытом доступе:
Сегодня “ПриватБанк” работает над устранением доступов к ресурсам, “подчищает” особо секретные ссылки.
Рекомендации Ивана Сорбата: как предотвратить утечку ценной информации компании?
1. Проведите аналитику, оцените степень важности уязвимости и сделайте выводы.
2. Дополнительно проведите внутренний аудит информации на сайтах компании в сервисах Google и устраните обнаруженные уязвимости.
3. Дайте задачу внутренним и внешним специалистам провести ряд таких работ:
- проверка сайта на устойчивость к атакам на основе PHP-инъекций, SQL-инъекций, XSS Cross Site Scripting и др.
- поиск уязвимостей, позволяющих злоумышленнику получить доступ к закрытым областям сайта
- анализ кода скриптов сайта инструментальным сканированием или ручным способом
- сформировать отчет и рекомендации согласно международным стандартам аудита IT-организаций CobiT, а также анализа рисков Penetration Testing Execution Standard (PTES).
4. Для внешнего аудита обратитесь к независимым экспертам. В том числе и к специалистам Analytical Center SORBAT. Они предоставят вам независимый объективный отчет о состоянии безопасности веб-сайтов компании.
Если конкуренты и другие “заинтересованные” в вашем бизнесе лица ещё не добрались до информации, которую им видеть не желательно, вам несказанно повезло. Немедленно примите меры, присвойте сайту компании гриф «совершенно секретно» и уберегите от утечки информацию.
Данные предоставлены Сорбат И.В., на основании документа “Аудит сервиса Google Sites для выявления инсайдерской деятельности на примере коммерческой организации”.