Основатель компании по кибербезопасности Vee Security Александр Литреев обнаружил, что попасть в админку Официального интернет-портала правовой информации проще простого. Сайт, на котором публикуют законы после подписания президентом России и постановления правительства, защищен связкой логина и пароля «admin/admin». К счастью, в данном случае доступ к ресурсу третьих лиц большой угрозы не нес. Но почему совершать такие детские ошибки все равно стыдно, размышляет Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ».
– То, что под защитой «admin/admin» в случае с правительственным сайтом не было ничего конфиденциального, так сказать, счастливое совпадение. Но защита доступа с помощью такого элементарного пароля – это детская ошибка. Она говорит о несистемном подходе к безопасности в принципе. Тяжесть последствий зависит от специфики ресурса. Одно дело, когда он исключительно информационный, и вся размещаемая информация публичная. Совсем другое, когда сайт используется для проведения платежей или часть информации на нем ограничена к распространению. В этом случае третьим лицам могут оказаться доступны коммерческие тайны, персональные данные клиентов и сотрудников, информация о бизнес-процессах, организации ИТ-инфраструктуры.
Потеря любой из части этих данных – это подарок для мошенников, конкурентов, шантажистов – злоумышленников всех мастей. И уж тем более государственные системы должны быть защищены в первую очередь, не только потому что государство сегодня распоряжается самой ценной и полной информацией – персональными данными граждан. Компрометация ресурса государственного уровня – удар по имиджу.
Онлайн-курс «Защита рабочих и личных данных в посткризисное время» для госслужащих. Узнать подробнее.
И ладно, если бы это был первый пример, когда организации такого уровня демонстрируют легкомысленное отношение к защите своих ресурсов. Вот только две недавних истории.
Уязвимости были выявлены на олимпиадном сайте НИЯУ МИФИ, что позволило взломать ресурс за секунду. В предельном случае злоумышленники могли влиять на результаты олимпиады.
Другой случай и вовсе вопиющий: ИБ-исследователю через незакрытый порт удалось проникнуть вовнутрь ИТ-системы РЖД. В ней он нашёл достаточно много устройств с паролями по умолчанию или вовсе без них.
Хоть обеспечить полную безопасность всех систем – задача из разряда утопических, приблизиться к максимальной защищенности можно только с помощью независимого аудита. Только оговорюсь, что организация-заказчик должна быть заинтересована, чтобы он проводился не на «бумаге», а на самом деле.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных