Утечка персональных данных в действии

О том, что утечки персональных данных вредны для субъектов этих данных, говорилось не раз и не два. Но, видимо, всё-таки многократные предупреждения со стороны специалистов по информационной безопасности имеют меньше влияния, чем даже самые малозаметные инциденты, в ходе которых механизм этого вреда находит реализацию. Потому что действия всегда красноречивее любых слов.

Жителей 104 домов Первоуральска сегодня утром ждал неприятный сюрприз - очередные квитанции на оплату коммунальных услуг. Жилфонд обслуживают управляющие компании «Дом Плюс» и «Магнитка». Однако извещения, которые неизвестные опустили в почтовые ящики жителей ночью, прислала другая компания - «Жилищный сервис». В этих квитанциях за август содержится лицевой счет жителя, ФИО, все коммунальные услуги,  в некоторых оказалась даже строчка "за отопление". Также в бумаге указаны расчетные реквизиты, куда нужно делать перечисления. Кроме того, на обратной стороне содержится информация о том, что весь жилищный фонд переходит в управляющую компанию «Жилищный сервис» по решению городской Администрации.  Управляющие компании «Дом Плюс» и «Магнитка» написали заявление на главу города, в прокуратуру и ОМВД Первоуральска, с просьбой разобраться в сложившейся ситуации. Как заявил заместитель Главы Администрации по жилищно-коммунальному хозяйству Сергей Гайдуков, никаких платежей по данным квитанциям жителям делать не надо и их просто нужно выбросить. 

Отсюда

Думаю, что теперь никто в Первоуральске не посмеет сказать, что защищать персональные данные - ненужная роскошь. Но проблема в том, что, к сожалению, за пределами этого самого Первоуральска никто практически ничего не узнает о том, что произошло с чужими персональными данными. В этом, на мой взгляд, главная беда всей защиты персональных данных в России: практически никто не беспокоится о персональных данных и их сохранности (в том числе, и о своих собственных), пока что-то подобное не случится с ними, ну, или хотя бы под самым их носом.

Поэтому, дамы и господа, нужно вести продуманную информационную компанию по защите персональных данных в СМИ, в трудовых коллективах, вплоть до развешивания объявлений у подъездов. Потому что давно известно: пока гром не грянет - мужик не перекрестится. Поэтому мужика (как, в принципе, и всех остальных) нужно честно информировать о возможных последствиях, как ГИБДД информирует о последствиях превышения скорости. Глядишь - и инцидентов будет меньше...

Р. Идов,

ведущий аналитик компании SearchInform

Инсайдером может быть кто угодно

В отношении инсайдерства существуют определенные стереотипы, связанные, как правило, не столько с личностью инсайдера, сколько с его социальным положением. Практически всегда имеется в виду, что инсайдер - лицо не сильно высокопоставленное, не заинтересованное в развитии той компании, где он работает. Но это не всегда так, и об этом чрезвычайно полезно помнить.

Экс-директор корпорации Intel Раджив Гоэл в понедельник приговорен к двум годам условного заключения за участие в инсайдерской схеме миллиардера основателя хедж-фонда Galleon Group Раджа Раджаратнама, сообщил офис прокурора Южного округа Нью-Йорка Прита Бхарары. 

Отсюда

Американские реалии, в том числе, и в сфере информационной безопасности, что и говорить, отличаются от российских. Поэтому в России такие махинации, как описываются по ссылке, маловероятны. Но у нас зато есть такие явления, как рейдерство и прочие малоприятные вещи. В которых руководители предприятия часто участвуют самым что ни на есть активным образом.

Серьезная дилемма: что делать безопаснику в такой ситуации, если ему стало о ней известно? По доброму толку, надо предать информацию огласке и сместить позорного инсайдера с занимаемой им должности. К сожалению, обычно после этого уходит и сам безопасник, причем с "волчьим билетом". Закрывать глаза? Рано или поздно всё тайное становится явным, и безопасник пострадает при любом раскладе. Очевидно, что выход один - уходить с загнивающего предприятия.

А вы оказывались в ситуации, когда руководство предприятия занималось злонамеренным инсайдом? Что вы делали в таком случае?

Р. Идов,

ведущий аналитик компании SearchInform

С чего начинается безопасность?

Построение системы информационной безопасности начинается вовсе не с покупки программного или аппаратного обеспечения, необходимого для её функционирования, и даже не с написания политик безопасности, которым многие, к сожалению, пренебрегают. Первым этапом создания системы ИБ является осознание руководством организации существующих информационных угроз и связанных с ними рисков.Без понимания того, что может ей угрожать, ни одна организация не сможет построить адекватную систему защиты.

 С какими основными угрозами, связанными с принадлежащей ей информацией, сталкиваются сегодня организации? Безусловно, во многом это зависит от специфики той отрасли, в которой работает организация, но наиболее распространёнными сегодня можно считать следующие угрозы:

• несанкционированный доступ внешнего злоумышленника к корпоративной информационной системе;
• потеря корпоративных данных вследствие программных или аппаратных сбоев, случайного удаления пользователями и других форс-мажоров;
• утечка конфиденциальной информации, произошедшая по вине персонала самой организации;
• порча или кража информации вредоносным программным обеспечением;
• неработоспособность корпоративной информационной системы и остановка бизнес-процессов из-за сбоев программного обеспечения или активности вредоносного ПО;
• противоправные действия сотрудников, связанные с корпоративными документами и данными.

Практически каждая организация, имеющая современную информационную систему, подвержена рискам, связанным с перечисленными выше угрозами. Наибольшему риску, конечно, подвергаются организации, основная деятельность которых связана именно с информацией: финансовые организации, ИТ-компании, исследовательские учреждения и т.д. и т.п.

Самое сложное - донести до клиента, что безопасность - это не просто купленные антивирус, DLP'шка, файрвол или что бы то ни было ещё. На мой взгляд, именно в умении объяснить это состоит одна из самых сложных частей работы безопасника.

Р. Идов,

ведущий аналитик компании SearchInform

Немного об интернет-банкинге

Думаю, что едва ли ни каждый сегодня пользуется этой услугой, предлагаемой банками. В эпоху пластиковых карточек это, в общем-то, вполне естественно, потому что это очень удобно. В то же время, любые системы ДБО (дистанционного банковского обслуживания) - это всегда большая головная боль для службы безопасности банка.

Как и любые услуги ДБО, интернет-банкинг является потенциальной лазейкой для злоумышленников, желающих воспользоваться уязвимостями в системе и завладеть деньгами клиента, пользующегося ДБО. Поэтому безопасность при дистанционном обслуживании клиентов является одним из приоритетных вопросов в работе банков.

На сегодняшний день мировым стандартом для осуществления операций с помощью систем интернет-банкинга является применение электронной цифровой подписи (ЭЦП). Она позволяет банку убедиться в том, что именно данный клиент осуществляет перевод денежных средств, а клиенту, в свою очередь, даёт возможность защитить свои деньги не только от злоумышленников, но и от ошибок банковских работников, оспаривая ошибочные операции, не защищенные с помощью ЭЦП. В то же время применение ЭЦП ставит ряд новых вопросов перед пользователем сервисов интернет-банкинга. Одним из главных при этом является вопрос хранения электронного сертификата, выданного пользователю банком. В случае, если сертификат хранится в недостаточно хорошо защищенном хранилище (а это, к сожалению, бывает слишком часто), вместо того человека, кому он выдан, воспользоваться им может практически любой, и пользователь уже вряд ли сможет вернуть свои деньги, если только не предоставит убедительных доказательств того, что транзакции совершал не он.

Другой вариант защиты – это использование разовых паролей, действительных только в течении одной сессии дистанционной работы пользователя со своим или с корпоративным банковским счетом. Пароли могут высылаться в виде SMS-сообщений на указанный при регистрации в системе интернет-банкинга номер мобильного телефона, либо каким-либо другим образом передаваться клиенту по независимому от системы интернет-банкинга каналу. Такой способ несколько менее надежен, однако позволяет клиенту не думать о том, как надежно сохранить свой цифровой сертификат.

А какой способ авторизации при использовании интернет-банкинга кажется наиболее подходящим вам?

Р. Идов,

ведущий аналитик компании SearchInform

Безопасность превыше всего

Все-таки, что ни говори, иногда новости читать бывает даже приятно. Не всегда новости со специализированных порталов по ИБ посвящены всякому негативу - утечкам, вирусам, сетевым атакам и тому подобному. Иногда они рассказывают о самой индустрии, которая растет и развивается благодаря, в том числе, и нашим с вами усилиям.

Согласно опросу, проведенному аналитической компанией Gartner в июне текущего года, бизнес считает сферу безопасности приоритетным направлением финансирования. По имеющимся прогнозам, лишь за текущий год объемы инвестирования в сферу безопасности вырастут на 8%, достигнув отметки в 60 миллиардов долларов. А до 2016 года эта цифра может достигнуть 86 миллиардов долларов. По мнению экспертов компании Gartner, не смотря на экономическую нестабильность, в указанный период рынок систем безопасности будет иметь тенденцию к росту. Рост количества киберугроз, безусловно, выведет на первый план компании, предоставляющие услуги в сфере информационной безопасности. Опрос, проведенный компанией Gartner среди ИТ-директоров компаний, показал, что 45% опрошенных планируют увеличить расходы на обеспечение безопасности компании, около половины опрошенных планируют поддерживать расходы на обеспечение безопасности компании на прежнем уровне, и лишь 5% планируют снизить расходы.

Отсюда

В принципе, всё достаточно логично. Растет число информационных угроз, соответственно, и вопросы защиты своей информации для бизнеса становятся также всё более важными. Это всё совсем не ново, но давайте разберемся, в чем же причина увеличения количества информационных угроз. Хочется списать всё на семимильную поступь прогресса, неумолимо вооружающего каждого не только персональным компьютером, но ещё и айфоном-айпадом, но всё, думается мне, выглядит несколько сложнее.

Проблема, мне кажется, прежде всего в том, что даже в традиционных отраслях типа ритейла или строительства информация играет настолько важную роль, что её становится выгодно красть. И невыгодно оставаться без неё, даже если это произошло случайно, и никто другой, как и вы сами, не смог ею толком воспользоваться. Несмотря на всю банальность этой фразы, всё именно так и есть.

На самом деле, индустрия информационной безопасности развивается сейчас как раз благодаря тем компаниям, которые еще не в полной мере вкусили прелести того, что у нас принято называть информатизацией. То есть, тех, кто еще совсем недавно внедрил все эти ERP, CRM и прочее, а теперь увидел, что это всё надо защищать, и вахтер с собакой уже неэффективен.

Отсюда логичный вопрос: как долго на таких "дрожжах" будет идти рост рынка средств обеспечения информационной безопасности? Простого ответа на этот вопрос, к сожалению, нет. Время, впрочем, само расставит все точки над "i". Ждем-с.

Р. Идов,

ведущий аналитик компании SearchInform

Очередное "ну кто бы сомневался"

Я тут в своё время критиковал парольную защиту, которая уже устарела и заметно потеряла в своей эффективности по сравнению с тем временем, когда она задумывалась. В качестве одного из доказательств я приводил разные утечки паролей с разных популярных сервисов, где самые популярные пароли имели вид 111, 123, password и так далее.

Теперь мне на глаза попалась достаточно интересная публикация, посвященная аналогичной статистике для PIN-кодов. Забегая вперед, хочу сразу сказать, что ничего неожиданного это исследование, в общем-то, не выявило: самыми популярными опять оказались самые простые PIN-коды.

Анализ позволил выявить несколько интересных фактов. Самым популярным PIN-кодом является 1234, его устанавливают почти 11% пользователей. На втором месте идёт 1111 (6%). 
    PIN       Частота
   № 1       1234       10,713%
   № 2       1111       6,016%
   № 3       0000       1,881%
   № 4       1212       1,197%
   № 5       7777       0,745%
   № 6       1004       0,616%
   № 7       2000       0,613%
   № 8       4444       0,526%
   № 9       2222       0,516%
   № 10       6969       0,512%
Отсюда

В принципе, применение максимально простых пин-кодов, как и паролей, конечно, заложено, можно сказать, в самой природе ленивого человека. Но вопрос, на самом деле, достаточно важный, поскольку PIN-коды, в отличие от паролей, используются, прежде всего, при совершении разных финансовых операций, а во-вторых, принципиально ограничены в длине. То есть, по сути, злоумышленнику, имея некоторое количество PIN-кодов и имея по три попытки для введения, достаточно перебрать верх списка для достижения успеха и получения профита. Что, согласитесь, несколько огорчает.

В общем, дамы и господа, надо продолжать наше нелегкое дело насаждения культуры информационной безопасности в массовом сознании, потому что поле это, на самом деле, просто не паханое. Везде и всегда.

Р. Идов,

ведущий аналитик компании SearchInform

Вирусы в ретейле

На днях просто-таки душевно порадовала новость о том, как предприимчивые китайские хакеры распространяют свои вирусы. Идея, в принципе, так же проста, как подброшенная к офису флэшка с кейлоггером, но реализация заставляет задуматься о том, что кое-какие моменты в безопасности стоит пересмотреть.

Проведя собственное расследование, компания Microsoft выяснила, что некоторые новые ноутбуки и настольные компьютеры в Китае продаются уже с предустановленными вирусными программами, которые отслеживают действия пользователей и служат для организации DDoS-атак (Distributed Denial of Service) на компьютеры, сообщает PCWorld. Софтверный гигант говорит, что сомневается в добросовестности участников цепочки поставок ПК.

Отсюда

Не думаю, что у нас нет таких компьютеров, потому что очень часто, когда нужно купить один-два компьютера, они заказываются в случайных местах, и нет никакой гарантии, что продавец не решил сэкономить на лицензионном "офисе" и не воспользовался "кряком", снабдившим систему каким-нибудь злобным вредоносом. Конечно, вероятность того, что вам подсунут таким макаром трояна, который будет воровать именно вашу конфиденциальную информацию, невелика - с подброшенными флэшками риск намного больше.

Но, в общем, если вы купили где-то компьютер с предустановленной системой и каким-никаким софтом, будет совсем не лишним сразу загрузиться с проверенной флэшки и просканировать всё хорошим антивирусом. Даже если компьютер приобретается в проверенных местах, стоит это сделать, потому что компьютеры все к нам попадают как раз из Китая... Ну, вы понимаете.

Р. Идов,

ведущий аналитик компании SearchInform

Кто бы сомневался...

Думаю, что никто не будет спорить с тем, что именно "айтишники" (в особенности, сисадмины) - это самая большая головная боль для отдела информационной безопасности. Собственно говоря, наши собственные исследования говорят о том же самом, но всегда приятно прочесть подтверждение из совершенно независимого источника.

Мораль и лояльность к работодателю у ИТ-сотрудников не слишком высока. Каждый девятый (11%) признался, что в случае угрозы увольнения он готов нарушить права доступа и поискать в корпоративной сети список сотрудников, подлежащих увольнению — и проверить, есть ли там его имя. Компьютерщики готовы присвоить себе и другую корпоративную информацию, если видят такую необходимость. Например, если им заранее известно об увольнении, то 11% опрошенных выразили готовность прихватить с собой часть корпоративных секретов. Около трети респондентов сказали, что руководство компании не знает, как предотвратить такую ситуацию.

Отсюда

В принципе, конечно, всё это достаточно предсказуемо. Любой человек, имеющий доступ к информации, и не особенно подверженный влиянию корпоративной культуры, является потенциальным инсайдером. К сожалению, мой опыт общения с "айтишниками" говорит о том, что эти люди склонны считать, что работодатель им что-то должен. Вообще, нужно сказать, что у подавляющего большинства офисных работников сегодня нет понимания, что он - единственное, что стоит между ними и бомжеванием с собиранием бутылок. Отношение к работодателю соответствующее, потребительское. Это необходимо исправлять, но это вопрос уже не безопасника, а, скорее, HR'а.

В связи с этим, думаю, будет полезно ставить каждого из "айтишников", работающих в компании, на особый контроль. Обязательно необходимо удостовериться в том, что никто из них не имеет доступа к DLP-системе, поскольку во многих компаниях, к сожалению, практикуется такой подход, что DLP-система - это тоже софт, а софтом должен заниматься сисадмин. Если безопасник с чем-то не может справиться, он не должен звать сисадмина, он должен звонить в техподдержку DLP-вендора и получать консультацию из первых рук.

И уж совсем дико и неправильно, когда в компании функции обеспечения ИБ делегируются "айтишникам". С таким подходом можно сразу ставить крест на всей ИБ. Думаете, так не бывает? Ошибаетесь, причем это характерно не только для сегмента SMB. Даже не самые мелкие компании то ли ради экономии, то ли просто по недомыслию грешат подобным.

Р. Идов,

ведущий аналитик компании SearchInform

Лучший ответ переманиванию сотрудников

На глаза попалась достаточно любопытная информация, озвученная небезызвестным ХэдХантером. Думаю, что большинство читателей и так более-менее представляют себе положение дел с таким явлением, как переманивание сотрудников. Но всё равно, данные ХэдХантера навевают определенные размышления...

Служба исследований компании HeadHunter выяснила, что более половины опрошенных компаний прибегали к переманиванию сотрудников у конкурентов. Если для 41% это были единичные случаи, то для 23% – норма.

...

В некоторых случаях хэдхантинг заканчивался для компании утечкой конфиденциальной информации, потому что новый сотрудник оказывался не тем, за кого себя выдавал.

Взято отсюда

Не думаю, что HeadHunter лукавит, но, тем не менее, цифра количества компаний, практикующих переманивание сотрудников, вызывает, скажем прямо, некоторые вопросы. Потому что по моим личным оценкам, которые, поверьте, тоже взяты не с потолка, правильно будет цифра в районе 75-80%. И, как показывает практика, когда одна компания решается на подобное, потом уже ей трудно соскочить с этой "иглы" и перейти к более цивилизованным методам хантинга.

Но самое интересное - это как раз реплика о том, что переманивание приводит к утечкам информации. Этакая бизнес-контрразведка в действии. Думаю, что крупным компаниям имеет смысл создавать собственные контрразведочные отделы. То есть, компания будет внедрять своих "бывших" сотрудников в конкурирующие компании, чтобы получать информацию из первых рук об организации бизнес-процессов, перспективных разработках, маркетинговых планах... Может, конечно, крупной компании и не очень это всё интересно в отношении мелких конкурентов, может, в тех отраслях, где наперекор антимонопольному законодательству, действуют синдикаты, это всё не очень актуально. Но, уверен, Apple и Samsung давно так делают:)

Нам же, дамы и господа, нужно особенно внимательно относиться к людям, которые ушлые HRы переманили от конкурентов (особенно от достаточно крупных). Нужно сразу ставить таких людей на контроль и не спускать с них глаз хотя бы по полгода, чтобы не нужно было потом кусать локти из-за случившейся утечки информации.

Р. Идов,

ведущий аналитик компании SearchInform

Хакеры поневоле

Интересную новость подсунул один из лучших отечественных ИБ-порталов. Новость эта, конечно, скорее развлекательная, чем полезная, но, думаю, в преддверие выходных это самое то, что нужно.

Как сообщает Union Leader, администрация тюрьмы, расположенной в городе Конкорд, штат Нью-Гэмпшир, обнаружила, что заключенным удалось тайком подключить один из общедоступных компьютеров, используемых в рамках тюремной индустриальной программы, к компьютерной сети учреждения. В настоящий момент неизвестно удалось ли преступникам получить доступ к конфиденциальной информации или внести какие-либо изменения.
Подробнее: http://www.securitylab.ru/news/429457.php

Как говорят в таких случаях, можно порадоваться, что страна у нас отсталая, и такое  нашей пенитенциарной системе попросту невозможно. Но это же показывает потенциальную проблему, связанную с тем, что индустрия информационной безопасности в принципе не готова к подобным ситуациям. И хорошо, если в связи с этим на свободу выйдут не опасные рецидивисты, а обычные хулиганы или кто-то ещё такой же.

В общем, дамы и господа, нужно учиться на ошибках вероятного противника, чтобы не оказываться самим в подобных неприятных, глупых, а самое главное, достаточно опасных ситуациях.

Р. Идов,

ведущий аналитик компании SearchInform

Администрация учреждения утверждает, что злоумышленники могли создать дату своего досрочного освобождения.

Как сообщает Union Leader, администрация тюрьмы, расположенной в городе Конкорд, штат Нью-Гэмпшир, обнаружила, что заключенным удалось тайком подключить один из общедоступных компьютеров, используемых в рамках тюремной индустриальной программы, к компьютерной сети учреждения. В настоящий момент неизвестно удалось ли преступникам получить доступ к конфиденциальной информации или внести какие-либо изменения.
Подробнее: http://www.securitylab.ru/news/429457.php

Социальное хакерство

Нет, речь пойдет не о социальных сетях, как можно было бы подумать, глядя на заголовок. Речь о том, что часть злоумышленников сегодня снова, как в старые романтические времена голого ДОСа, действует не ради собственной наживы, а исходя из каких-то собственных идеалистических предствалений о справедливом устройстве нашего мира. Нам, безопасникам, конечно, от этого не легче, а вот стороннему наблюдателю куда как интереснее.

Новую громкую атаку провели виртуальные преступники – на этот раз они атаковали компанию Apple. Самое интересное, что группировка AntiSec ударила по «яблочной компании» при помощи ФБР.

Недавно AntiSec разместили в сети интернет 1 млн. уникальных идентификаторов UDID для различных устройств Apple. Причем данную информацию хакеры смогли достать из ноутбука агента ФБР Кристофера К. Стэнгла, взлом лэптопа этого спецагента произошел еще в марте. Сообщается, что в общей сложности в руки хакеров попали более чем 12 млн. идентификаторов для устройств Apple, а также – другая информация, такая как имена пользователей, их адреса и номера телефонов, их списки гаджетов Apple, и т.п. Интересно кстати, как вообще вся эта информация оказалась в ноутбуке агента ФБР. Поневоле задумаешься, так ли уж плохо хакеры поступили, обратив внимание общественности на несанкционированное использование спецслужбами конфиденциальной информации о пользователях.

Отсюда

Не хочу показаться фанатом Джулиана Ассанжа, но иногда утечка информации действительно выполняет роль "санитара леса" по отношению к несколько зарвавшимся в своём служебном рвении государевым слугам, и, думается мне, это будет даже эффективнее всяких народных протестов против Wall Street. Как в старом добром фильме "Бегущий человек" со Шварценеггером, где всё дело подполья было показать неприглядную суть организаторов шоу. Конечно, в глобальном смысле это ничего не меняет, но, во всяком случае, несколько отрезвляет кукловодов.

Ну и, конечно, нельзя не заметить меняющегося отношения к Apple, которая, конечно, никогда не позиционировала себя как "корпорация добра", но зато после судебных тяжб с Samsung'ом рискующей оказаться, как и свой давний конкурент, в списках "корпораций зла". Это, конечно, к нашей теме прямого отношения не имеет, зато показывает, как негативно судебные процессы могут повлиять не репутацию даже очень популярной компании. Это на заметку всем тем, кто не боится судов по поводу утечек информации.

Думаю, в ближайшее время число таких "социальных хакеров" будет только увеличиваться. Почему? Потому что это модно и круто, с точки зрения сообщества. Конечно, никто не говорит, что толковые специалисты перестанут зарабатывать на чужой беспечности. Но, во всяком случае, тех, кто будет стараться не ради денег, а ради искусства, станет больше.

Р. Идов,

ведущий аналитик компании SearchInform

Очередной скандал с "ВКонтакте"

Наверное, сегодня социальные сети уже вполне можно назвать средоточием мирового зла с точки зрения безопасника. Дня не проходит без того, чтобы какая-нибудь новая информация об их уязвимостях, распространяемых через них вирусах и прочих "радостях" не появилась на нашем с вами горизонте. Сентябрь тоже начался с одного из подобных эпизодов, думаю, весьма показательных, поскольку сама социальная сеть (крупнейшая в России, да-да) всё-таки прямого отношения к этому, пожалуй, не имеет.

Для того, чтобы посмотреть чужие паспортные данные и другую конфиденциальную инфу в ВК, нужно перейти на vk.com/docs  и ввести ключевое слово, по которому хотим искать файлы ( в нашем случае это паспорт) и тут нашему взору открывается множество документов. Просто качай — не хочу!  Сваливать вину на Контакт тут глупо, так как их вина только в отсутствии предупреждающих сообщений пользователю при загрузке документов, остальное — вина пользователя. В кругах специалистов по ИБ ( информационной безопасности ) это называется социальная инженерия. Идея хранить документы в ВК была хорошей, а вот идея поиска по ним при безответственном отношении рядового пользователя к своим данным привела к очень печальным последствиям. 

Отсюда

Справедливости ради, стоит сказать, что слово "паспорт" уже не дает столь ошеломляющих результатов, то есть, администрация социальной сети уже успела реагировать на появившееся в интернете сообщение. Но, тем не менее, надо сказать, что пример весьма показателен. То есть, дай человеку возможность раскрыть свою персональную информацию - и он обязательно это сделает. Этакий закон Мерфи в сфере инфобеза.

Конечно, необходимо отдавать себе отчет в том, что социальная сеть - не совсем подходящее место для хранения файлов, особенно таких, как сканы паспорта. Но как объяснить это пользователям, которые увидели удобную возможность в привычном для себя социальном сервисе? Этот пример показывает, насколько всё-таки низка культура информационной безопасности в современном обществе. Видимо, нужно, чтобы сменилось не одно поколение, чтобы люди поняли, насколько это важно и актуально. Наверное, так же с боем внедрялись и такие прописные истины, как "переходить дорогу нужно на зеленый"...

Что ж, мотаем на ус и ждем новых веселых новостей от наших (и не только наших, в принципе) социальных сетей - к счастью, с ними точно не сможешь соскучиться...

Р. Идов,

аналитик компании SearchInform