Едва ли не четверть всех утечек, сообщения о которых появляются в прессе, происходит по достаточно банальной схеме: организация продаёт старые компьютеры, ноутбуки, или даже просто винчестеры, забыв проверить, что за информация находится на них в момент продажи. Иногда бывает, что технику не продают, а просто выбрасывают, но, в принципе, это уже не самые принципиальные отличия.
В принципе, ничего удивительного в этом нет. Поскольку продажа и списание техники даже в тех редких конторах, где есть собственный отдел информационной безопасности, обычно проходит без участия последнего, то и проверять, не случится ли чего плохого, если ненужную технику продать или выкинуть, просто некому. У тех же, кто занимается её продажей, свои заботы: как больше на этой продаже наварить, как поскорее это всё провернуть, и т.д.Конечно, не могу обойтись без морализаторства, и не подчеркнуть, что просто необходимо уничтожать информацию на носителях, которые организация продает или выбрасывает. Насколько сильно при этом стараться в её уничтожении - вопрос непростой. Но вполне очвидно, что даже простое удаление средствами операционной системы и последующее форматирование дисков гораздо лучше, чем вообще ничего. Но, конечно, если браться серьёзно, то нужно хотя бы воспользоваться специальным софтом, который перезапишет информацию на носителе несколько раз с помощью "цифрового шума", чтобы её нельзя было восстановать с помощью утилиток, которыми полон Интернет. В идеале, конечно, ещё лучше было бы и вовсе отказаться от продажи носителей в пользу их уничтожения, но для большинства организаций это будет выглядеть уже как форменная паранойя, и вряд ли руководство согласится с необходимостью подобного шага.
Говорить о том, как обстоит ситуация с продажами отработавшей своё компьютерной техники на постсоветском пространстве, конечно, можно, но очень уж грустным выйдет подобный разговор. Впрочем, конечно, определенный прогресс есть, потому что, например, те же банки уже задумались над этой проблемой, и многие из них включили процедуру очистки в установленный процесс списания техники. Но всё-таки это скорее исключение, чем правило.
Понимаю, конечно, что читатели этого блога - не совсем та аудитория, которой нужно рассказывать азы безопасности, но, думаю, что лишним напомнить не будет: чистите старые компьютеры перед продажей!
Р. Идов
.. вот если бы в "службу безопасности" каждого банка вошли не только охранники и сисадмины (с задачей установить-обновить программу), но и специалисты по информационной безопасности, да еще читающие подобные блоги).. недавно читала историю о подобном инциденте в США, когда с аукциона чуть было не продали компьютеры с конфиденциальными данными различных гос.учреждений. на вопрос "почему не очистили жесткие диски от информации" сотрудник одного из этих учреждений ответил, что устройство, предназначенное для уничтожения данных, вызывало слишком много шума и создавало магнитное поле. ощущение, что когда вопрос касается мер по обеспечению ИБ в компании, логика многих руководителей, к сожалению, именно такова.
ОтветитьУдалить