Транснациональная утечка данных

Сотрудница администрации Британской Колумбии (провинция Канады, граничащая со штатом Вашингтон, США) находится под следствием по подозрению в том, что она допустила утечку информации, отправив по электронной почте персональные данные жителей провинции иностранному госслужащему, сотруднику Американской пограничной службы.


Согласно источникам администрации, в пятницу сотрудница, работающая в Министерстве жилищного строительства и социальной помощи в Нижнем Майнленде, якобы использовала свой служебный электронный адрес для того, чтобы отправить конфиденциальные данные на личный электронный адрес пограничника. Так же ее подозревают в копировании этих данных на личный электронный адрес.


Целью начатого в прошлом месяце следствия является выяснение того, какая именно информация была отправлена, и для чего она была нужна пограничнику. В пятницу информация об утечке была опубликована в газете Victoria's Times Colonist. Также в ходе расследования проверяется вся история переписки сотрудницы по электронной почте, с целью выяснить, не было ли других утечек.
Предполагается, что между гражданской служащей Британской Колумбии и пограничником могли иметь место некоторые личные отношения. Правительственные чиновники обнаружили утечку после того, как в сентябре было начато расследование по факту злоупотребления служащей доступом в Интернет и телефонной связью с рабочего места.


«По российскому опыту мы знаем, что хорошие личные отношения весьма способствуют процессам государственного управления. Дело, которое через государственную бюрократию может идти неделями (если вообще её преодолеет), решается на личных контактах за минуты», - считает главный аналитик компании InfoWatch, специализирующейся на системах по защите данных от утечек, Николай Федотов.

«Примеры этого явления мы знаем в основном положительные. Однако отрицательные тоже имеют место. Из сообщений об инциденте можно подумать, что сотрудница канадского Министерства жилья и социальной помощи руководствовалась соображениями "во благо государства" и хотела "как лучше", - комментирует ситуацию представитель InfoWatch. – Не исключено, что с помощью переданной информации пограничникам действительно удалось выявить пару нарушений. Но в данном случае уместно вспомнить о балансе между безопасностью и правами человека. Менять этот баланс, возможно, вправе законодатель. Но никак не рядовой госслужащий.»


Источник

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Госорганам России рассказали, как перейти на отечественную криптосвязь

Правительство Российской Федерации опубликовало рекомендации по переходу госсервисов на использование отечественных методов и средств шифрования. Представленные рекомендации носят временный характер и разработаны в соответствии с законом «Об информации, информационных технологиях и о защите информации».

Текст проекта нового нормативного акта выложен для обсуждения на профильном федеральном портале.

Обнародованный документ призван оказать помощь органам власти в построении клиентской части так называемого Сервиса защищенного взаимодействия (СЗВ) — комплексной службы, обеспечивающей безопасную связь. Работы по созданию СЗВ предусматривают проектирование подсистемы с клиент-серверной архитектурой, реализующей протокол защиты транспортного уровня. По замыслу, эта подсистема должна обеспечивать единую точку доступа к ресурсам госорганов и муниципальных служб, одностороннюю аутентификацию, а также расшифровку трафика с последующей передачей на обработку в другие подсистемы СЗВ.

При создании клиентской части СЗВ разработчикам рекомендуется соблюдать следующие требования:

  • свести к минимуму число компонентов, реализовать их только программными средствами, разнообразить решения;
  • предусмотреть возможность функционирования на стационарных и мобильных устройствах, а также применение различных средств криптозащиты информации (СКЗИ) на стороне пользователя;
  • предусмотреть техподдержку для используемых программ и обеспечить соответствие условий их эксплуатации нормам, определенным для СКЗИ;
  • обеспечить русскоязычный обмен с пользователями;
  • с учетом перспектив развития СЗВ предусмотреть возможность поддержки протокола с двусторонней аутентификацией и независимость от архитектур подключаемых к СЗВ информационных систем.

Аутентификация и установка защищенного соединения клиентской части должны выполняться в защищенном режиме и без взаимодействия с пользователем. К тому же эти процедуры не должны мешать работе других программ на устройстве пользователя. Функции настроек и графического интерфейса рекомендуется реализовать с учетом особенностей ОС, под которой работает клиентская часть СЗВ.

При выборе программного обеспечения разработчикам также советуют отдавать предпочтение отечественным серийным продуктам с действующей техподдержкой. Кроме того, им следует ориентироваться на встроенные или совместно используемые СКЗИ на основе TLS 1.2 с криптоалгоритмами по ГОСТ Р 34.12-2015 или МР 26.2.001-2013. При этом СКЗИ должны иметь действующий сертификат ФСБ России о соответствии требованиям к средствам защиты информации по классу КС1 и выше.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru