Уже не новость, что в сеть утекли данные клиентов лаборатории «Гемотест». В слитой базе данных, предположительно около 30 000 000 аккаунтов. В публичном доступе оказалась практически вся информация о клиентах – имена, адреса, телефоны, серии и номера паспортов, реквизиты страховки и СНИЛС. Вся информация, что запрашивали у клиентов в регистратуре, появилась в даркнете, где и была предложена к продаже.
По информации Telegram-канала «Утечки информации», украденная база появилась в закрытом доступе у ряда лиц еще в начале весны. Чуть позже на теневом форуме разместили объявление с «расширенными» опциями. Кроме базы данных о пользователях и результатов их анализов предложение включало в себя и информацию об обнаруженной уязвимости, дающей доступ к серверу. Указывалось, что список содержит 554 млн заказов с ФИО, годом рождения клиентов, датой оформления заявки.
Лаборатория уже проводит служебное расследование и даже обещает ужесточить меры безопасности. Вот только неизвестно, будет ли от этого «ужесточения» какой-либо прок? Ведь дело вовсе не в конкретном случае утечки, а в общем отношении к делу которым занимаешься.
Позвольте привести несколько примеров:Служащий Вооруженных Сил РФ – занимается разминированием неразорвавшихся снарядов, оставшихся от Великой Отечественной Войны. Больше ничего неизвестно. Почему? Никогда, независимо от своего состояния, дружеского отношения к собеседнику и родственных связей между ними, он не говорит о своей службе. У человека прошедшего идеологическую подготовку и, видимо, имеющего доступ к секретным сведениям – своя мотивация. Вполне возможно, что это даже не боязнь последствий, а элементарное уважение к своей работе и к своей стране.
Сотрудник компании с мировым именем. Пусть даже он не ведущий специалист в своей отрасли, а обычная «рабочая лошадка». Хороший специалист, заработок которого позволяет неплохо жить недалеко от Сан-Франциско. Поинтересуйтесь у него между делом, что там новенького в корпорации Х … Много узнаете? Вряд ли. Да, здесь нет места идеологии и патриотизму, зато есть место для эгоистичных интересов и боязни потерять очень хорошо оплачиваемую работу. Будет ли он сливать любые данные? Вероятность крайне мала.
А теперь давайте вернемся к нашим реалиям. Год 2012, в регистратуре распиаренной «областной сети элитных клиник», клиенту дают направление на анализ крови, медицинскую карту и вдобавок к ней десяток бланков с готовыми тестами посторонних людей на ВИЧ, – «Отнесите заодно, все равно же туда идете…»
Год 2017, в местечковом отделении всенародного банка сотрудница с интересом поглядывая в сторону клиента: «А зачем вы столько денег на карточке держите? Давайте мы вам срочный вклад откроем? А почему вы так грубо со мной разговариваете?» Вопрос почему рядовые сотрудники имеют доступ к информации о состоянии счета клиентов так и остался без ответа. Есть подозрения, что за прошедшие пять лет ничего не изменилось.
Наконец, вспомним недавние скандалы, связанные с утечкой данных пользователей. Виновники были найдены и понесли суровое наказание. Сумму штрафа вы и сами знаете. В связи с этим возникла неплохая идея: если кто-то еще желает что-либо слить – берите абонемент. Проще будет. Вся эта возня с оплатой штрафов сильно утомляет…
Все причины, приводящие к тому, что личная жизнь клиентов окажется на виду предельно просты. Отсутствие элементарной мотивации и лояльности к компании, недостаток навыков работы с личными данными у низового персонала, и мизерная оплата труда. Чем вы можете испугать человека, зарплата которого 20-30 тысяч рублей, увольнением? Вы можете требовать от него уважения к личной жизни клиентов, когда он своей личной жизни не имеет? Каким образом вы планируете добиться от сотрудника соблюдения правил корпоративной безопасности, если ему никто не объяснил последствия?
Если на все вопросы вы затруднились ответить, то у меня для вас плохие новости. Вашего сотрудника замотивируют другие люди. Те, которых интересуют секреты вашей компании. Те, кто предложит его годовой заработок, всего за одну небольшую услугу. Сколько бы не пытались защитить персональные данные с помощью новейших систем безопасности и контроля доступа, как бы не «дрессировали» персонал и ужесточали меры безопасности, пока у того-же админа или девочки из офиса нет мотивации к этому. Мы и будем периодически печатать новости об очередной утечке личных данных пользователей.
Благо, штрафы за это небольшие – всего 60 000 рублей.