Масштаб утечки данных в штате Юта резко возрос

Николай Головко 10 Апреля 2012 - 07:09

...

30 марта текущего года неизвестные злоумышленники вторглись на сервер, принадлежащий министерству здравоохранения данного штата; там хранились данные по программе Medicaid. Поначалу эксперты и ответственные лица полагали, что компрометации подверглось не очень значительное количество информации - порядка 25 тысяч записей, - однако теперь, по новым оценкам, суммарное число пострадавших приближается к миллиону.

Чиновники представили новые данные, из которых следует, что киберпреступникам могли достаться 280 000 номеров социального страхования; кроме того, риску раскрытия подверглись менее важные персональные сведения о гражданах (такие, как имена, даты рождения и физические адреса), общим количеством в 500 000 записей. Насколько можно судить по имеющимся сообщениям, два вышеупомянутых множества не пересекаются, так что итоговое число жертв инцидента может достичь 780 000. Эта оценка стала уже второй за последние три дня; ранее высказывалось предположение о 255 000 пострадавших.

Сообщается, что сервер был оснащен необходимыми средствами безопасности, но все они оказались бесполезны из-за ошибки в настройках системы аутентификации пользователей. Взломщики, действовавшие с территории Восточной Европы, обошли защиту сети, периметра и приложений, после чего успешно получили доступ к базам данных сервера. Изначально чиновники сообщали, что злоумышленники скомпрометировали 24 000 записей, затем последние превратились в 24 000 файлов (а один файл уже мог содержать несколько сотен таких элементов), и с тех пор предполагаемые масштабы утечки все увеличивались.

Жертвами инцидента могли стать все граждане, обращавшиеся к поставщикам медицинских услуг в течение последних четырех месяцев; в основном это участники программ Medicaid и CHIP. Руководство штата начало отправку уведомлений пострадавшим пользователям; те, чьи номера социального страхования были похищены, смогут рассчитывать на бесплатный мониторинг счетов в течение одного года.

В целом стоит заметить, что учреждения, организации и предприятия все еще уделяют мало внимания базовым вопросам защиты информации. Недавнее исследование Verizon показало, что в 96% случаев утечек, зарегистрированных в 2011 году, хакеры использовали простые методы проникновения, и нередко несанкционированный доступ становился возможным именно из-за изъянов в системах аутентификации - например, "благодаря" сохранению заводских или установке откровенно слабых паролей.

Computerworld

Письмо автору

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Яков Шпунт 11 Февраля 2026 - 11:24

Утечки информации Умышленные утечки информации Кража данных Соответствие законодательству РФ Общее

Минтруду не удалось оспорить штраф за утечку данных

Министерству труда не удалось оспорить в Верховном суде штраф за утечку персональных данных сотрудников и членов их семей. Ранее административное наказание было назначено судами нижестоящих инстанций. Основным аргументом ведомства стало то, что причиной инцидента стала халатность внешнего подрядчика.

Объём утечки оказался относительно небольшим — около 1400 записей. Однако в открытый доступ попали наиболее востребованные на теневом рынке сведения, включая номера паспортов и реквизиты банковских карт.

Мировой судья оштрафовал Минтруд на 100 тыс. рублей. Ведомство попыталось оспорить решение, настаивая, что ответственность за защиту данных лежала на подрядной организации, а значит, само министерство следует считать пострадавшей стороной. В итоге спор дошёл до Верховного суда.

Верховный суд подтвердил, что именно Минтруд является оператором персональных данных и несёт полную ответственность за их защиту, включая контроль за действиями подрядчиков. Суд указал, что ведомство не приняло необходимых мер для обеспечения безопасности инфраструктуры, а о факте утечки узнало лишь после запроса контролирующего органа. Кроме того, был нарушен установленный порядок уведомления о компьютерных инцидентах, что также образует состав административного правонарушения.

Руководитель практики защиты данных Stonebridge Legal Денис Бушнев в комментарии для радиостанции «Коммерсантъ FM» назвал решение Верховного суда логичным продолжением сложившейся правоприменительной практики и разъяснений Роскомнадзора:

«Есть оператор и есть подрядчики оператора — так называемые обработчики или лица, действующие по поручению. Переложить ответственность на таких обработчиков не получится: оператор отвечает за всё. Верховный суд фактически подвёл черту под этим вопросом. Резонанс делу придаёт то, что в нём фигурирует Минтруд. При этом размер штрафа оказался сравнительно небольшим».

«Минтруд, имея возможность провести аудит, ничего не предпринял. Если бы были представлены акты проверок, ответственность можно было бы попытаться переложить на подрядчика, но для этого необходимо выполнить ряд мер. В выигрыше оказываются юристы, которые убеждают клиентов выстраивать корректную систему работы: раньше им не хватало наглядного судебного примера. Теперь он есть — с конкретным штрафом, да ещё в отношении госструктуры. А выигрывают и те, кто заранее выстроил процессы и “подстелил соломку”», — отметила руководитель практики комплаенса юридической фирмы LCH.LEGAL Елена Шершнева.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »