ИБ. Облачные хранилища файлов и документов

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()

Все большее количество организаций используют облачные хранилища для обмена большими документами, файлами или для совместной работы над документом.  Поднимать свой FTP сервере или медиа сервис уже не модно.  Даже в корпоративной среде часто используются google disk, yandex disk, microsoft onedrive. А в малом бизнесе и небольших государственных учреждениях эти облачные сервисы используются повсеместно.


В облачных сервисах могут быть разные настройки доступности документа, которым мы хотим поделиться. Но наибольшую популярность получил так способ поделиться файлом как “доступ по ссылке”.  В таком случае, чтобы поделиться с коллегами документом, достаточно передать им уникальную ссылку на документ. При этом доступ к файлу ограничен и предоставляется только тем, у кого есть специальная ссылка.


Но данный способ поделиться документом влечет за собой серьезные угрозы безопасности. После того как вы отправили ссылку на файл коллегам или партнерам, далее вы теряете контроль над информацией. Эти лица, могут также пересылать ссылку своим друзьям, знакомым, а также публиковать её в соц. сетях, в чатах, на форумах; а могут скопировать файл себе в хранилище и делиться ссылками уже на свою копию файла. Ссылка, попав в общедоступные источники будет проиндексирована поисковиками и информация фактически становится общедоступной.  Также из-за сбоев в работе некоторых сервисов, связанных с поисковыми системами, ссылка может быть проиндексирована, например, из вашей переписки.


Давайте посмотрим на несколько примеров которые выдают нам поисковики


Сравните документы, которые доступны на Google Docs через поисковые системы Yandex и Google: разница в 2000 документов говорит о том, что недавняя шумиха про утечку документов через yandex была не спроста.





Или по другим ключевым словам



Например, можно найти паспортные данные клиентов учебного центра





или планы и архив доставок курьерской службы с фио, телефонами, суммами и заказами



списки детей, зачисленных в детские сады



списки молодых семей, запросивших льготу, с членами семей и информацией о недвижимости



списки учеников, их родителей, с адресами и телефонами


 

Сомневаюсь, что в указанных случаях есть законные основания для публикации персональных данных (фактически оператор сделал их общедоступными – доступ по ссылке + публикация или утечка ссылки).


Также повсеместно осуществляется сбор ПДн с использованием google формы, расположенные не в РФ:




ПДн собранные с помощью форм консолидируются в таблицы, к которым также открывают доступ по ссылке для того чтобы работать совместно с коллегами.




Как следствие, нарушение законодательства РФ, утечки ценной информации, недовольство клиентов и т.п.

Что делать?

·         Внимательно оценивайте информацию и документы, которыми планируете поделиться через облачный сервис


·         Собирать ПДн через google формы не рекомендую в любом случае – это нарушает требования законодательства о хранении БД ПДн на территории РФ

·         Если нужно поделиться с коллегами ценной информацией – делайте это не через доступ по ссылке, а открывайте доступ пользователям поименно (в яндекс диске персональный доступ можно давать только для Папок)


·         Там, где достаточно права на просмотр, ограничивайте возможность скачивания и копирования на другие облачные диски


·         Для владельцев G Suite – запретите возможность делиться файлами с несотрудниками организации или разрешите делится только с пользователями из белого списка доменов (партнеры, постоянные контрагенты).

На главной странице консоли администратора выберите Приложения -> G Suite -> Google Диск и Документы -> Настройки доступа

·         Если у вас крупная компания или гос. орган: сделайте для пользователей инструкцию, какие типы документов можно выкладывать в облачные хранилища и как лучше открывать доступ к таким файлам. Назначьте ответственных за публикацию файлов в интернете (в общий доступ), которые понимают ценность информации и возможность её опубликования. Давайте доступ на публикацию материалов только для этих сотрудников

·         Проведите ревизию ранее опубликованных файлов. В персональном аккаунте, обратите внимание на значок рабочей группы, сигнализирующий что кому-то был предоставлен доступ к файлу (по ссылке или персонально)


·         В корпоративных аккаунтах, от учетки администратора G Suite проверьте файлы переданные доступные не сотрудникам

·         Если обнаружите, что ранее с кем-то делились ценной информацией / персональными данными “по ссылке”, проверьте не доступны ли аналогичные файлы с вашими данными через поисковые системы  




Оцените материал:
Total votes: 26
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.