По результатам исследования, проведенного Университетом графства Гламорган в
Великобритании, в компьютерах, выставленных на продажу на интернет-аукционе eBay
и на компьютерных рынках, содержится конфиденциальная корпоративная информация и
персональные данные клиентов и сотрудников компаний Laura Ashley, Ford, Nokia и
др.
В ходе исследования были обнаружены жесткие диски, содержащие достоверную
информацию корпоративного и персонального характера. Ниже приведен список
некоторых компаний, чьи данные были обнаружены, а также их комментарии этих
событий.
Laura Ashley
В результате исследования было обнаружено некоторое количество жестких
дисков, содержащих информацию, принадлежащую компании Laura Ashley (крупный
онлайн-магазин товаров для дома и модной одежды). На дисках содержался большой
объем корпоративной информации, включая информацию частного и конфиденциального
характера. В частности: описание системы контроля товаров и коды скидок,
внутренняя переписка сотрудников и адреса электронной почты, информация,
касающаяся торгового бюджета компании. На одном из дисков содержались частные
фотографии сотрудников, а также формы заказа клиентов через интернет, включающие
их имена и адреса.
"Мы делаем все возможное, чтобы уничтожить всю корпоративную информацию
компании, и приоритетной целью является, проведение расследования, каким образом
эта информация стала доступной. Мы рады, что этот вопрос затронул нас, и мы
постараемся ввести более жесткий контроль в будущем", - заявило руководство
компании.
Lanarkshire NHS
Было обнаружено два диска, принадлежащих британскому медицинскому Трасту
Lanarkshire NHS. На одном из них содержались отчеты госпиталей Hairmyres и
Monklands. На другом - данные медицинских обследований пациентов, касающиеся
радиологии и рентгеновских исследованиях. В частности: данные о сменах
медперсонала, информация из медицинской системы о посещениях пациентов, кадры
рентгеновских снимков, конфиденциальное письмо служащего.
Согласно заявлению, сделанному руководством траста на "Channel4 News": "Эти
диски содержат информацию 2006 года. В настоящее время у NHS Lanarkshire есть
договор с компанией - подрядчиком по ликвидации компьютерного оборудования. В
данном случае, информация была удалена не достаточно хорошо. Это прямое
нарушение договора и абсолютно неприемлемо. Наша компания уделяет приоритетное
внимание управлению информации, и в 2008 году мы пересмотрели политику
управления и хранения информации для того, чтобы наши пациенты могли быть
уверены в том, что их информация останется конфиденциальной. В результате мы
решили отказаться от услуг компаний по утилизации устаревшего оборудования.
Сейчас мы гарантируем, что все устаревшее оборудование утилизируется на нашей
территории под контролем наших специалистов.
Мы также провели работу по усилению системы защиты для обеспечения надлежащей
защиты информации, включая шифрование карт памяти и всех ноутбуков NHS. В
настоящее время мы также переносим все данные с настольных компьютеров и
ноутбуков в общую сеть, для того чтобы на персональных компьютерах не
содержалось никакой конфиденциальной информации".
Ford Motor Company
На одном из найденных дисков содержалась корпоративная информация компании
Ford Motor коммерческого и технического характера. В частности: САПР станочных
систем и количественные оценки, договорная информация по обучению ПО, некоторая
информация по конфигурации сети компании, корпоративные требования к защите
информации, датированные 1996-2001 гг, несколько файлов с именами разработчиков.
Представители Ford сделали заявление на "Channel4 News": "Мы были уведомлены
о том, что был найден диск с технической информацией, принадлежащей Ford. Эта
информация, по всей видимости, была изъята из старого компьютера, мы пока не
будем предпринимать шифрование всех жестких дисков, как на настольных
компьютерах, так и на ноутбуках. Мы проводим расследование по данному вопросу…,
чтобы идентифицировать компьютер, с которого был взят этот диск, и определить
его первоначальную историю. Данные с диска были также переданы нам и будут
проанализированы. Пока ведется расследование, мы приостановили возврат
компьютеров и ноутбуков поставщикам, а также мы изучаем все действия, связанные
с удалением информации и возвратом оборудования".
Nokia
Еще на одном диске содержалась информация, отмеченная "конфиденциально",
принадлежащая британскому отделению компании Nokia. В этом случае речь идет об
изображениях системы безопасности мобильного телефона, протоколах внутренних
собраний, некоторых персональных данных и частных оценочных результатах.
Из заявления представителей компании на "Channel4 News" следует, что "у
компании имеются жесткие требования по хранению и удалению конфиденциальной
информации. Из соображений безопасности мы не будем раскрывать эти требования".
По мнению Николая Федотова, ведущего аналитика InfoWatch, "продажа за
бесценок исправного, но морально устаревшего оборудования в западных компаниях
практикуется давно. Большой выгоды она не приносит и никогда не приносила.
Теперь выяснилось, что эта практика несёт дополнительный риск. Но отказаться от
неё совсем не позволяет инерция. Западная традиция. Привычка. Устоявшийся
корпоративный ритуал.
В России подобной практики почти нет. Более того, списать физически исправную
технику очень сложно. Сейчас, когда выяснилось и многократно подтвердилось, что
подержанные компьютеры угрожают утечкой из компании конфиденциальных данных,
такая практика, скорее всего, и не возникнет".
