Министерство здравоохранения США приняло новую стратегию BYOD

 Руководство министерства здравоохранения и социального обеспечения США намерено требовать от сотрудников министерства, желающих использовать для решения профессиональных задач личные смартфоны и планшеты, оплачивать технические и другие работы, необходимые для приведения устройств в соответствие со стандартами, позволяющими осуществлять безопасный доступ к закрытой информации ведомства.

В соответствии с новой технологической стратегией HHS Mobile, прежде чем использовать личные устройства для выполнения рабочих задач, сотрудники должны получить специальное разрешение начальника технологического подразделения. Планируется, что эти подразделения будут отвечать за предоставление программного обеспечения, соединяющего личные мобильные устройства сотрудников с информационными сетями министерства.

Такая концепция позволит поощрять (на уровне отдела) сотрудников, меняющих казённые устройства на личные. Система поощрений не будет распространяться на сотрудников министерства, уже сменивших казённое мобильное устройство на личное.

Документ был одобрен Советом при главном техническом директоре министерства здравоохранения и социального обеспечения США в январе, но в соответствии с требованиями закона о свободном доступе к информации (Freedom of Information Act), перед вступлением в силу, был размещён в сети Интернет (на сайте GovernmentAttic.org).

До принятия новой стратегии министерство здравоохранения и социального обеспечения руководствовалось общеправительственной цифровой стратегией, принятой в мае текущего года наряду с множеством рекомендаций по BYOD, выпущенных в августе. В конечном итоге, можно утверждать, что именно общеправительственная цифровая стратегия оказала наибольшее влияние на политику министерства здравоохранения и социального обеспечения США в отношении BYOD.

Однако, новая стратегия, принятая министерством, позволит техническим отделам ведомства рассчитать стоимость, схему оплаты и схему управления программным обеспечением BYOD.

В стратегии, принятой министерством здравоохранения и социального обеспечения, отмечается, что предписания относительно системы оплаты перехода сотрудников на использование личных мобильных устройств носят рекомендательный характер, могут быть реализованы по усмотрению начальника подразделения, и не являются обязательными для министерства в целом.

При этом новая стратегия требует ужесточения и неукоснительного соблюдения мер безопасности. Согласно документу, персональные устройства должны включать в себя "безопасный анклав" или "контейнер", отделяющий рабочую информацию от личной. В этом "контейнере" и должна содержаться правительственная информация. Все устройства, используемые сотрудниками министерства, должны полностью отвечать требованиям госбезопасности. Сотрудники служб безопасности должны обеспечить применение сложных паролей и других средств аутентификации для доступа к анклавам с рабочей информацией, и должны иметь возможность удаленно стереть все данные, содержащиеся в таких анклавах.

Работникам, использующим личные устройства для выполнения рабочих задач, будет запрещено любое несанкционированное скачивание сторонних приложений в защищённый анклав. В соответствии с принятой стратегией, сотрудникам министерства здравоохранения и социального обеспечения США также запрещается менять прошивки, взламывать или иным способом снимать с устройства ограничения, предусмотренные производителем. Данное предписание является обязательным, и распространяется как на личные, так и на казённые устройства, используемые сотрудниками министерства.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Карта утечек: к Яндекс.Еде добавили ГИБДД, СДЭК, Билайн и Wildberries

Сайт слитых данных сервиса доставки, наделавший весной много шума, существенно расширил свой арсенал. Адреса и телефоны клиентов “Яндекс.Еды” теперь дополняют данные ГИБДД, СДЭКа, Avito, Wildberries, «Билайна» и ВТБ. В двух частях представлены досье на известных персон.

 

 

Создатели сообщили, что на новую версию сайта их подтолкнул ничтожный размер штрафа, выписанный сервису доставки в прошлый раз.

“Суд оштрафовал "Яндекс.Еду" на 60 тыс. руб. за утечку данных клиентов, т.е. наши адреса доставки и личностные данные стоят 0.009 руб. за пользователя (6397035 пользователей)”, — говорится на сайте. 

Искать информацию можно по одной из трех опций: номеру телефона или фамилии, просто “тапнуть” точку на интерактивной карте. Больше всего данных по Москве — 22 000 записей. Автор статьи нашла по своему номеру сведения «Билайн», интернетом которого пользовалась 8 лет назад, а также адрес доставки СДЭК примерно того же периода.

Найти себя по фамилии сложнее. Алгоритм не позволяет фильтровать данные по имени и отечеству. Так на “Афанасьев” система выдала 40 000 записей. В найденных досье значатся марка, цвет, номера и год регистрации автомобилей. Часть профилей содержат данные маркетплейса Wildberries: ФИО, телефон, электронную почту и адрес доставки. В некоторые досье внесены имена и адреса электронной почты аккаунтов «ВКонтакте».

В обновленной версии теперь отдельно содержатся сведения о публичных персонах. Они разбиты на две части. Можно узнать, что за полгода Ксения Собчак потратила на доставку еды 23 тыс. рублей, а Елизавета Пескова почти 90 000.

В сервисе Яндекса Forbes прокомментировали, что «никаких новых инцидентов не фиксировали”.

“Предпринимаем все возможное, чтобы минимизировать распространение информации злоумышленниками — добиваемся блокировки и разделегирования ресурсов, на которых появляется база», — говорят представители "Яндекс.Еды".

Также пресс-служба сервиса добавила, что компания работает не только над общим усилением информационной безопасности, но и «над инструментами, которые дадут пользователям возможность видеть, какие данные хранятся в системе, и удалять их по своему желанию».

 

В Wildberries и Avito утечки отрицают, оправдывая опубликованный “урожай” парсингом. Роскомнадзор ситуацию пока не комментировал.

Интересно, что на сайте есть раздел “Обратная Связь”. Создатели обещают удалить персональные данные из системы, если им позвонить. Телефон указан там же. Журналистке Anti-Malware.ru ответил мужчина. Он был удивлен звонку и заявил, что о карте данных не знает и отношения к ней не имеет.

Предыстория: Суд оштрафовал “Яндекс.Еду” в конце апреля. Сама утечка произошла в конце февраля. 1 марта сервис заявил, что слив ПДн клиентов случился по вине инсайдера. Эта база и стала основой интерактивной карты, которая сегодня расширилась.

В начале мая мы выпустили большой материал “Утечка данных пользователей Яндекс.Еды: новые угрозы”, в котором подробно разбираем причины и возможные последствия инцидента.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru