Главная » Блоги Экспертов И ИТ-Компаний » ИБ. Облачные хранилища файлов и документов

ИБ. Облачные хранилища файлов и документов

Все большее количество организаций используют облачные хранилища для обмена большими документами, файлами или для совместной работы над документом.  Поднимать свой FTPсервере или медиа сервис уже не модно.  Даже в корпоративной среде часто используются googledisk, yandexdisk, microsoftonedrive. А в малом бизнесе и небольших государственных учреждениях эти облачные сервисы используются повсеместно.
В облачных сервисах могут быть разные настройки доступности документа, которым мы хотим поделиться. Но наибольшую популярность получил так способ поделиться файлом как “доступ по ссылке”.  В таком случае, чтобы поделиться с коллегами документом, достаточно передать им уникальную ссылку на документ. При этом доступ к файлу ограничен и предоставляется только тем, у кого есть специальная ссылка.
Но данный способ поделиться документом влечет за собой серьезные угрозы безопасности. После того как вы отправили ссылку на файл коллегам или партнерам, далее вы теряете контроль над информацией. Эти лица, могут также пересылать ссылку своим друзьям, знакомым, а также публиковать её в соц. сетях, в чатах, на форумах; а могут скопировать файл себе в хранилище и делиться ссылками уже на свою копию файла. Ссылка, попав в общедоступные источники будет проиндексирована поисковиками и информация фактически становится общедоступной.  Также из-за сбоев в работе некоторых сервисов, связанных с поисковыми системами, ссылка может быть проиндексирована, например, из вашей переписки.
Давайте посмотрим на несколько примеров которые выдают нам поисковики
Сравните документы, которые доступны на GoogleDocsчерез поисковые системы Yandex и Google: разница в 2000 документов говорит о том, что недавняя шумиха про утечку документов через yandexбыла не спроста.
%25D1%258F%25D0%25BD%25D0%25B4%25D0%25B5%25D0%25BA%25D1%2581%2B1.png
%25D0%25B3%25D1%2583%25D0%25B3%25D0%25BB%2B2.png
Или по другим ключевым словам
%25D1%258F%25D0%25BD%25D0%25B4%25D0%25B5%25D0%25BA%25D1%2581%2B3.png
Например, можно найти паспортные данные клиентов учебного центра
%25D1%2583%25D1%2582%25D0%25B5%25D1%2587%25D0%25BA%25D0%25B0%2B1.png
или планы и архив доставок курьерской службы с фио, телефонами, суммами и заказами
%25D1%2583%25D1%2582%25D0%25B5%25D1%2587%25D0%25BA%25D0%25B0%2B2.png
списки детей, зачисленных в детские сады
%25D1%2583%25D1%2582%25D0%25B5%25D1%2587%25D0%25BA%25D0%25B0%2B3.png
списки молодых семей, запросивших льготу, с членами семей и информацией о недвижимости
%25D1%2583%25D1%2582%25D0%25B5%25D1%2587%25D0%25BA%25D0%25B0%2B5.png
списки учеников, их родителей, с адресами и телефонами
%25D1%2583%25D1%2582%25D0%25B5%25D1%2587%25D0%25BA%25D0%25B0%2B6.png

 

Сомневаюсь, что в указанных случаях есть законные основания для публикации персональных данных (фактически оператор сделал их общедоступными – доступ по ссылке + публикация или утечка ссылки).
Также повсеместно осуществляется сбор ПДн с использованием googleформы, расположенные не в РФ:
%25D1%258F%25D0%25BD%25D0%25B4%25D0%25B5%25D0%25BA%25D1%2581%2B4.png
%25D1%2584%25D0%25BE%25D1%2580%25D0%25BC%25D1%258B%2B1.png
%25D1%2584%25D0%25BE%25D1%2580%25D0%25BC%25D1%258B%2B4.png
ПДн собранные с помощью форм консолидируются в таблицы, к которым также открывают доступ по ссылке для того чтобы работать совместно с коллегами.

%25D1%2584%25D0%25BE%25D1%2580%25D0%25BC%25D1%258B%2B3.png

Как следствие, нарушение законодательства РФ, утечки ценной информации, недовольство клиентов и т.п.
Что делать?
·         Внимательно оценивайте информацию и документы, которыми планируете поделиться через облачный сервис
·         Собирать ПДн через googleформы не рекомендую в любом случае – это нарушает требования законодательства о хранении БД ПДн на территории РФ
·         Если нужно поделиться с коллегами ценной информацией – делайте это не через доступ по ссылке, а открывайте доступ пользователям поименно (в яндекс диске персональный доступ можно давать только для Папок)
%25D1%2580%25D0%25B5%25D0%25BA%25D0%25BE%25D0%25BC%25D0%25B5%25D0%25BD%25D0%25B4%25D0%25B0%25D1%2586%25D0%25B8%25D0%25B8%2B%25D1%258F%25D0%25BD%25D0%25B4%25D0%25B5%25D0%25BA%25D1%2581.png
·         Там, где достаточно права на просмотр, ограничивайте возможность скачивания и копирования на другие облачные диски
%25D1%2580%25D0%25B5%25D0%25BA%25D0%25BE%25D0%25BC%25D0%25B5%25D0%25BD%25D0%25B4%25D0%25B0%25D1%2586%25D0%25B8%25D0%25B8%2Bgoogle.png
·         Для владельцев GSuite– запретите возможность делиться файлами с несотрудниками организации или разрешите делится только с пользователями из белого списка доменов (партнеры, постоянные контрагенты).
На главной странице консоли администратора выберите Приложения -> G Suite -> Google Диск и Документы -> Настройки доступа
%25D1%2580%25D0%25B5%25D0%25BA%25D0%25BE%25D0%25BC%25D0%25B5%25D0%25BD%25D0%25B4%25D0%25B0%25D1%2586%25D0%25B8%25D0%25B8%2Bgoogle%2B2.png%25D1%2580%25D0%25B5%25D0%25BA%25D0%25BE%25D0%25BC%25D0%25B5%25D0%25BD%25D0%25B4%25D0%25B0%25D1%2586%25D0%25B8%25D0%25B8%2Bgoogle%2B3.png
·         Если у вас крупная компания или гос. орган: сделайте для пользователей инструкцию, какие типы документов можно выкладывать в облачные хранилища и как лучше открывать доступ к таким файлам. Назначьте ответственных за публикацию файлов в интернете (в общий доступ), которые понимают ценность информации и возможность её опубликования. Давайте доступ на публикацию материалов только для этих сотрудников
·         Проведите ревизию ранее опубликованных файлов. В персональном аккаунте, обратите внимание на значок рабочей группы, сигнализирующий что кому-то был предоставлен доступ к файлу (по ссылке или персонально)
%25D1%2580%25D0%25B5%25D0%25BA%25D0%25BE%25D0%25BC%25D0%25B5%25D0%25BD%25D0%25B4%25D0%25B0%25D1%2586%25D0%25B8%25D0%25B8%2Bgoogle%2B4.png
·         В корпоративных аккаунтах, от учетки администратора GSuiteпроверьте файлы переданные доступные не сотрудникам
%25D1%2580%25D0%25B5%25D0%25BA%25D0%25BE%25D0%25BC%25D0%25B5%25D0%25BD%25D0%25B4%25D0%25B0%25D1%2586%25D0%25B8%25D0%25B8%2Bgoogle%2B5.png
·         Если обнаружите, что ранее с кем-то делились ценной информацией / персональными данными “по ссылке”, проверьте не доступны ли аналогичные файлы с вашими данными через поисковые системы  


Источник: http://sborisov.blogspot.com/2018/08/blog-post.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>