Сказки о безопасности: Недоумок и утечка

— Потапыч, у нас неприятности!

— Ха, а когда у меня утро начиналось иначе? Что случилось?

— На имя руководства банка пришло письмо с требованием перечислить выкуп.

— За что?

— Потапыч, ты ж знаешь, что через наш банк управление социальной защиты выплачивает пособия приемным родителям.

— Нет, не знаю.

— Ну теперь знаешь!

— Короче, что случилось? За что выкуп?

— Управление социальной защиты потребовало от нас списки приемных родителей. Кроме того, сравнение списков за прошлый и этот год. В результате данные «утекли» через Интернет. Короче, злоумышленники получили данные за прошлый год и за этот. И тебе поручено разобраться, как это стало возможным.

— Понятно. Как всегда. Кто-то делает ошибки, а я разгребаю!

Прошла неделя.

— Что скажете, Потапыч? Кто виноват?

— Если я скажу, что виноват руководитель ИТ, мне ж никто не поверит. Ну и вы вместе с ним.

— А если серьезно?

— А если серьезно, то вспомните, сколько раз я говорил о том, что нельзя использовать бесплатное ПО? Сколько раз я писал о том, что ответственную работу нельзя доверять стажерам? Что если уж доверяете что-то стажеру, то за ним нужно внимательно смотреть? А результат?

— А что тут такого? Мы экономим деньги!

— Ага, вы экономите, а потом Потапыч расследует!

— Потапыч! Ты лучше говори по делу!

— Ну что ж, по делу. Сравнение списков получателей пособий и этого года поручили стажеру. Ну вы ж знаете его, Заяц-младший, студент!

— Знаю, увы. Разгильдяй с инициативой. И что он сделал?

— Да не нашел ничего умнее, чем загрузить списки прошлого года и этого на сайт, на котором можно проводить бесплатное сравнение файлов.

— Идиот!

— Безусловно! В результате оба списка оказались в Интернете в открытом доступе, чем и воспользовались злоумышленники. Итого, мы сэкономили на покупке ПО и ответственном сотруднике, зато получили утечку, за которую придется расплачиваться. Причем хорошо бы только деньгами, а то, просочись все это в прессу, нам еще и репутацию отмывать. А это очень долго и дорого!

Увы, такая история не редкость. Гораздо больше неприятностей приносят недоученные пользователи и тем более ИТ-специалисты, чем атаки злоумышленников. Не так давно подобная утечка была зарегистрирована в Maine Office of Information Technology, шт. Мэн, США. А ваша организация задумывается над обучением персонала?