Адрес документа: http://itsec.ru/newstext.php?news_id=57694
АРДФИ было обнаружено, что в период с апреля 2006 по июль 2007 ЦФК не была в состоянии обеспечить надлежащую защиту конфиденциальных данных клиентов. На сервере компании было установлено не надлежащим образом настроенное программное обеспечение сетевой защиты (файрволл), а так же логин и пароль для факсимильного сервера позволяли несанкционированно проникнуть в систему к сохраненным изображениям факсимильных сообщений, где содержалась конфиденциальная информация клиентов, такая как номера социального страхования, номера счетов, даты рождения и другая секретная информация клиента. "Защита" компании так же не обеспечивала защиту от фишинга. Когда ЦФК обнаружила фишинговые атаки, было проведено неадекватное ситуации расследование и были разосланы уведомления, с некорректной информацией 1400 клиентам, пострадавшим от мошенничества.
"Тот факт, что компания была оштрафована именно за инцидент, который она допустила, вызывает некоторую зависть - только такой порядок вещей может привести к усилению безопасности, - считает главный аналитик компании InfoWatch, эксперта в области систем обеспечения информационной безопасности и защиты данных от утечки, Николай Федотов. - Когда же компания наказывается за несоблюдение установленного порядка защиты (независимо от того, были инциденты или нет) - это не совсем верно. И совсем уж неверно, когда инцидент происходит, но оператор не несёт за это ответственности, поскольку у него в наличии все положенные бумаги о соблюдении установленного порядка. К сожалению, обе эти ситуации слишком часто у нас встречаются".
15 июля 2007 года сервер ЦФК был подвержен фишинговой атаке с третьей стороны. Фишинговое мошенничество используется для извлечения персональной информации пользователей, такой как логины, пароли, информации по банковским и кредитным счетам. Файл, имитирующий популярный интернет аукцион был передан на сервер ЦФК, и в течение трех дней было зарегистрировано 895 несанкционированных входа в систему с 459 IP адресов, большинство из них были произведены получателями массовых рассылок, которая была сделана мошенниками.
После того как инцидент был раскрыт, ЦФК отправила уведомление с некорректной информацией примерно 1400 клиентам и их брокерам, сообщив, что несанкционированный доступ был разовый и информация на сервере не была доступна. В письме не сообщалось о том, что было массовое вторжение и что это произошло из-за не отвечающего требованиям безопасности файрволу и доступным логину "Administrator" и паролю "password" к серверу. Неадекватным ситуации поведением ЦФК были нарушены федеральные правила установленные S-P и АРДФИ.
"Также вызывает уважение позиция регулирующих органов США, что важно не только соблюдать правила ИБ, не допускать инцидентов, но и верно реагировать, когда инцидент произошёл. Абсолютно надёжной защиты не бывает, - комментирует главный аналитик компании InfoWatch. - Поэтому всегда обязательно иметь "второй эшелон" и позаботиться о снижении вредных последствий инцидента. В некоторых ситуациях это даже важнее, чем "первичная" защита. Такого раздела (о заглаживании последствий утечек) явно не хватает в российском законе "О персональных данных".
Согласно условиям решения, "Centaurus" обязуется обеспечить клиентов и их брокеров надлежащей информацией, которым ранее была отправлена неверная информация, и предложить им бесплатный кредитный мониторинг. Помимо этого, в ЦФК будет проведена сертификация в соответствии с требованиями АРДФИ.
Copyright © 2004-2019, ООО "ГРОТЕК"
