Перейти к содержанию
AM_Bot

Сотрудница Ernst & Young уличена в инсайдерской деятельности

Recommended Posts

AM_Bot

sayt.pngВ российском представительстве крупнейшего международного аудитора Ernst & Young могла произойти утечка информации о крупнейших клиентах. Аудитор компании Арина Тюрина в переписке с известным борцом с коррупцией Алексеем Навальным была готова поведать ему финансовые секреты крупных банков.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Собственно она (если верить Google):

http://api.ning.com/files/0KDk5*ub7vg1sVyW...1IvKFk1Qs/7.jpg

Ей повезет, если она не сядет. Хотя, думаю, сейчас дело закрутится против всех сливавших инфу Навальному, да и вообще многие компании займутся обеспечением защиты конф. инфы более серьезно. А то, судя по переписке, которую опубликовал Hell это просто ахтунг. Настолько люди не думают своей головой, что походу не излечимо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Все супер-мега конфиденциально

Собственно она (если верить Google):

Эта фотка лучше

http://api.ning.com/files/jPOM38-gW7J7Iqdd...&height=600

ФИО: Тюрина Арина

Пол: Женский

Возраст: 25 лет

Город проживания: Москва

Тел: 8 916 369 3989

E-mail: [email protected]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

http://politrash-ru.livejournal.com/90003.html обзорчик :D

Мои комментарии :lol:

[Уголовный кодекс РФ] [Глава 22] [Статья 183]

1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом -

наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок. (прим. для карнавального )

2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, -

наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до трех лет, либо лишением свободы на тот же срок. (прим. для тупой овцы из аудита)

3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, -

наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок. (прим. следствие должно показать)

4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия, -

наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до семи лет. (прим. следствие должно показать)

Лукацкий прокомментировал:

Второй вопрос, который возникает, изучая это дело, - репутация. Если верить Hell'у, то один из источников инсайдерской информации для Навального, находился в Ernst & Young - одной из компаний большой четверки, ключевым принципом которой является не только независимость, но и конфиденциальность всей информации, к которой получают доступ сотрудники EY. И вот этот принцип дал сбой. Финансовый аудитор EY сливала конфиденциальную информацию Навальному в нарушение всех подписанных правил об обеспечении конфиденциальности и безопасности. И удар по репутации EY это наносит колоссальный. По мнению некоторых экспертов это может привести и к некоторому оттоку клиентов к конкурентам из большой четверки. Это тот редкий случай, когда инцидент ИБ напрямую влияет на репутацию компанию и достаточно легко просчитывается через некоторое время (число клиентов до и после инцидента). Сегодня настают времена, когда службам ИБ надо просчитывать свои действия и бездействия и с точки зрения ущерба репутации.

Третье. Казалось бы, утечка из EY должна показать важность DLP-решений. Но это только на поверхности. Арина Тюрина (злополучная аудитор EY) сливала данные с iPhone (история умалчивает корпоративное это было устройство или личное). И какое DLP-решение смогло бы решить эту задачу? Причем не только с точки зрения технологической, но и с точки зрения настройки. Вопрос Навального: "Можете посмотреть сколько установок в настоящий момент у них как эксплуатируемые числятся?" Ответ Тюриной: "По 08 счету числится вроде (!) одна. Сдают в лизинг". Как надо было настроить DLP, чтобы поймать эту переписку, даже если бы речь шла об отправке почты через корпоративную почту?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Сиськи не ОК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Скандалище! Ernst & Young свою репутацию подмочили нереально на этом кейсе.

Девицу конечно жаль, но она знала, что делает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе

Остается только доказать что инфа об одной буровой установке (ее наличии) - являлась хоть какой-то тайной.

А вот с этим, мне кажется, есть проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Если введен официально режим коммерческой тайны, то почти на 100% эта инфа под него попадает. Но нужно видеть все документы чтобы говорить точно.

На счет DLP Лукацкий выше все верно сказал, тут едва ли была вероятность спалить утечку. Но вот пост-анализом наверняка можно было бы установить связь этого сотрудника с Навальным. Теперь, кстати, это может быть для кого-то поводом для тихого увольнения. В архиве трафика задаешь поиск по контактам Навального и пробиваешь что с ним общался и о чем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Остается только доказать что инфа об одной буровой установке (ее наличии) - являлась хоть какой-то тайной.

А вот с этим, мне кажется, есть проблемы.

В рамках эксплуатанта установки может и не конф. инфа, а в рамках Ernst & Young - вся инфа, которая попадает к ним является конфиденциальной. И наверняка данная мадам подписывала соответствующее приложение к договору. Со стороны Ernst & Young ничего сливаться не должно. О чем наверняка также указано в договоре с заказчиком.

Я думаю тут по аналогии с врачебной и адвокатской тайной. По сути результаты анализов не конф. данные :) Но разглашать их нельзя. Как то так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Федеральный закон "Об аудиторской деятельности"

Статья 9. Аудиторская тайна

1. Аудиторскую тайну составляют любые сведения и документы, полученные и (или) составленные аудиторской организацией и ее работниками, а также индивидуальным аудитором и работниками, с которыми им заключены трудовые договоры, при оказании услуг, предусмотренных настоящим Федеральным законом, за исключением:

1) сведений, разглашенных самим лицом, которому оказывались услуги, предусмотренные настоящим Федеральным законом, либо с его согласия;

2) сведений о заключении с аудируемым лицом договора о проведении обязательного аудита;

3) сведений о величине оплаты аудиторских услуг.

2. Аудиторская организация и ее работники, индивидуальный аудитор и работники, с которыми им заключены трудовые договоры, обязаны соблюдать требование об обеспечении конфиденциальности информации, составляющей аудиторскую тайну.

(в ред. Федерального закона от 11.07.2011 N 200-ФЗ)

3. Аудиторская организация, индивидуальный аудитор не вправе передавать сведения и документы, составляющие аудиторскую тайну, третьим лицам либо разглашать эти сведения и содержание документов без предварительного письменного согласия лица, которому оказывались услуги, предусмотренные настоящим Федеральным законом, за исключением случаев, предусмотренных настоящим Федеральным законом и другими федеральными законами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
Сиськи не ОК.

А по мне очень даже хорошо девушка выглядит ;) какое нах длп, навальный и пр. Давайте еще фоток.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Федеральный закон "Об аудиторской деятельности"

Статья 9. Аудиторская тайна

Это все конечно очень интересно, но в УК нет ответственности за "аудиторскую тайну".

При нарушении конфиденциальности информации у а/орг. может быть аннулирована лицензия, а если информация составляет коммерческую тайну, то может возникнуть уголовная ответственность

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А по мне очень даже хорошо девушка выглядит какое нах длп, навальный и пр. Давайте еще фоток.

+1

Subscribe :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
А по мне очень даже хорошо девушка выглядит ;) какое нах длп, навальный и пр. Давайте еще фоток.

Есть тут: http://hghltd.yandex.net/yandbtm?text=tyur...342&keyno=0 Регистрируйтесь)) Если там еще не потерто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Почистили все фото инсайдерши :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

Хм... а девушка зарегистрована в группе "Не массовка" (Кастинг в кино,рекламу.Вас тоже заметят!)

Может и не причем, но ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Это все конечно очень интересно, но в УК нет ответственности за "аудиторскую тайну".

При нарушении конфиденциальности информации у а/орг. может быть аннулирована лицензия, а если информация составляет коммерческую тайну, то может возникнуть уголовная ответственность

Аудиторская тайна, как раз и закрепляет норму о неразглашении сведений в ходе аудита, которые включают коммерческую, налоговую или банковскую тайну.

В случае если произошло разглашение коммерческой тайны, налоговой или банковской тайны аудируемое лицо имеет право потребовать от виновных возмещение причиненного убытка в порядке, установленном законодательством РФ (т.е. как в гражданском так и в уголовном порядке). Ответственность за распространение информации определена Трудовым кодексом Российской Федерации (ст. 81 ч.1), Кодексом РФ об административных правонарушениях (ст. 13.14) и Уголовным кодексом РФ (ст. 183).

п.6 статьи 9:

В случае разглашения аудиторской тайны аудиторской организацией, индивидуальным аудитором, уполномоченным федеральным органом, уполномоченным федеральным органом по контролю и надзору, саморегулируемой организацией аудиторов, а также иными лицами, получившими на основании настоящего Федерального закона и других федеральных законов доступ к аудиторской тайне, аудиторская организация, индивидуальный аудитор, а также лицо, которому оказывались услуги, предусмотренные настоящим Федеральным законом, вправе потребовать от виновного лица возмещения причиненных убытков в порядке, установленном законодательством Российской Федерации.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

А вообще борец за правду и выводящий на чистую воду проклятых расхитителей социалистической государственной собственности, должен быть чистым,как слезинка ребенка :lol:

x_2a6e2268.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Личные данные: коммуникабельность, ответственность, умение работать в команде, стремление развиваться в профессиональном и личном плане, презентабельная внешность. ;)

http://imageshack.us/f/39/image001aa.png/

Image_2.jpg

post-6726-1341937619_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Хакер Хелл вновь обнародовал переписку оппозиционера Алексея Навального с лицами из коммерческих структур.

На этот раз информация блогеру шла из крупнейшей аудиторской компании Ernst & Young.

Некая Арина Тюрина, аудитор компании, поставляла Навальному закрытые сведения на клиентов Ernst & Young в обход службы безопасности. Так, блогер получил конфиденциальную информацию на ряд госбанков, ВТБ, ВЭБ и Сбербанк.

Как рассказали Life News в российском филиале Ernst & Young, пока официальную позицию аудиторская компания не выработала, но проверка начата.

- Только сегодня стало известно об этом. Естественно, будет тотальная проверка внутри компании. У нас есть внутренний кодекс о неразглашении конфиденциальной информации наших клиентов. Нарушение его влечет за собой ответственность в размере того, на сколько причинен ущерб клиенту, - заявил собеседник.

Представитель «Транснефть» (Ernst & Young участвовал в конкурсе на право проводить аудит этой структуры) заявил, что информацию по переписке Навального необходимо проверить, прежде чем говорить о вине кого-либо.

- «Транснефть» пострадала от действий Навального, когда он неизвестно где выкрал документы по проверке Счетной палаты. Зная господина Навального как провокатора, вполне возможно, что он мог подставить уважаемую компанию Ernst & Young, сфальсифицировав переписку, - отметил пресс-секретарь «Транснефти» Игорь Демин.

Также Демин сообщил, что их компания не боится, что блогеру могли также поступить из Ernst & Young сведения на их компанию.

- Нам скрывать нечего. Конечно, для аудиторской фирмы эта информация негативная, но тут нужно услышать саму Ernst & Young. Здесь надо разобраться, но для нас все равно это повод задуматься, - сказал представитель «Транснефти».

Ведущий эксперт Центра политической конъюнктуры Дмитрий Абзалов подчеркнул, что «слив информации» от аудиторской компании третьему лицу серьезно ударил по репутации Ernst & Yong, и вполне можно ожидать, что многие компании откажутся работать с ними.

- Здесь огромное упущение службы безопасности. Все клиенты Ernst & Young подписывают с компанией соглашения о секретности и неразглашении информации. При нарушении условий договора клиент вправе подать в суд как на Ernst & Young, так и на физическое лицо, от которого произошла утечка, - говорит Абзалов.

По словам аналитика, сотруднице аудиторской компании за невыполнение обязательств, которые она дала при приеме на работу, грозит не только увольнение, но, возможно, и уголовное дело - все зависит от ущерба, который она причинила клиенту и своей компании.

Также помимо аудитора Ernst & Young хакер Хелл раскрыл и связь сотрудника «РИА-Новости» Владимира Новикова с Алексеем Навальным. Журналист «сливал» оппозиционеру добытые им документы из Конституционного суда.

В «РИА-Новостях» корреспондента Life News так и не связали с их сотрудником, поставлявшим материалы Навальному.

http://lifenews.ru/news/96674

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot

Да лайфньюс это именно тот источник который нужно цитировать. Пеши исчо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg

А меня другой момент заинтересовал. Хелл пишет - "гражданин навальный, уже отнесший за пару лет несколько заявлений на мой журнал в прокуратуру".

Интересно, откуда дровишки? Я не видел, чтобы навальный публично делился данными, сколько раз он подавал заявление в прокуратуру? Кто-то сливает или налаженно плотное взаимодействие?:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Дровишки оттуда, что хакер Хелл давно известен своей готовностью сотрудничать с властями, когда нужно сделать грязную работу и накопать что-то на оппозиционеров. Только накопать он так ничего и не смог и продолжает видимо выслуживаться перед хозяевами. Но, по-прежнему, безуспешно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Только накопать он так ничего и не смог и продолжает видимо выслуживаться перед хозяевами. Но, по-прежнему, безуспешно

А уголовное дело, которое должны снова открыть на Навального, за распил в Кировской области? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~

Откуда дровишки?:

Дровишки оттуда, что хакер Хелл давно известен своей готовностью сотрудничать с властями, когда нужно сделать грязную работу и накопать что-то на оппозиционеров.

Из лесу, вестимо:

- Слыхать одна баба сказала, видать Баба Лера с Йэху Масквы ;)

Кирилл Керценбаум, "адреса, пароли, явки" (с) ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×