15 причин утечек персональных данных

12.04.2012

Вернуться к списку новостей Ондрей Криль (Ondreо Krehel) из американской Loews Corp. опубликовал на днях интересную заметку, в которой перечисляет 15 самых распространенных "худших практик", приводящим к самым серьезным утечкам персональных данных. Он отнес к ним:

Отсутствие шифрования важной информации, особенно персональных данных.

Хранение ненужных данных, например, учетных записей уволенных сотрудников.

Использование конфиденциальной информации в тестовых целях, например, при передаче СУБД на тестирование разработчикам.

Неправильное удаление резервных копий и дампов, которые в случае небезопасного удаления легко восстанавливаются.

Неограниченные полномочия для администратора СУБД, который имеет расширенные привилегии и в других частях корпоративной сети.

Отсутствие надлежащего контроля доступа к СУБД извне.

Большое количество пользователей с расширенными административными привилегиями в СУБД.

Некорректные настройки правил доступа к таблицам СУБД.

Незащищенные пароли.

Пробелы в аутентификации, например, когда отдельным приложениям организуется доступ к данным в обход общих правил аутентификации.

Небезопасное резервное копирование, которое приводит к тому, что данные открыты для свободного доступа из Интернет.

Уязвимые СУБД, интегрированные с Интернет-порталами (XSS, SQL Injection и т.п.).

Уязвимость систем, на которых крутятся конфиденциальные данные.

Отсутствие мониторинга узлов с важными данными на предмет вторжений и иных действий злоумышленников.

Внедрение межсетевых экранов, "непонимающих" прикладные протоколы для СУБД или Web.

Вот такой список. Хотя я бы его, наверное, переименовал все-таки. Это не 15 причин утечек ПДн, а 15 технических ошибок, которые допускаются при внедрении и защите систем управления базами данных. Все-таки организационные, юридические, психологические причины в этом списке отсутствуют. А без них картина будет неполной.

 

Источник