С серверов оператора фискальных данных «Дримкас» в общей сложности, вероятно, утекло более 90 млн записей с различными данными о юридических и физических лицах. Ресурс ОФД с 76 млн строчек информации, по-видимому, с 8 августа семь дней находился в открытом доступе, сообщили «Известиям» в DeviceLock. 9 сентября на три дня стали доступны журналы с более 14 млн записей, писали «Известия» ранее.
Среди попавших в Сеть сведений — полные реквизиты фискальных чеков (есть в распоряжении «Известий»), включая порядковый номер, дату и время, ФИО продавца, количество товара, его название и цену. Например, 1 августа 2019-го покупатель с квитанцией номер 44793 купил три упаковки чипсов со вкусом зеленого лука за 31 рубль за штуку и пачку сигарет за 102 рубля. Оператор работал в смену с номером 360. Общая сумма —195 рублей, включая 6% НДС по упрощенному налогообложению. В другом чеке от 30 июля 2019-го видно, что сигареты куплены за 107 рублей в «Магазине у клена», расположенном в городе Новоалтайске.
В пресс-службе ФНС «Известиям» сообщили, что попавшая в открытый доступ информация с серверов передавалась в рамках отдельной коммерческой услуги «Дримкас кабинет», которая не подлежит регулированию и защите в рамках законодательства о контрольно-кассовой технике.
— Защищенный канал связи, по которому идет обмен данными с ФНС, не затронут. Мы проводим проверку ОФД «Дримкас» в части передаваемых сведений в рамках коммерческих сервисов. По закону операторы несут ответственность за сохранность полученной ими информации. По результатам проверки будут приняты соответствующие меры, — говорится в сообщении пресс-службы ФНС.
В «Дримкас» не ответили на вопрос «Известий», каким образом в онлайне оказалась доступная компании информация, однако уточнили, что конфиденциальность фискальных данных на сервере ОФД не нарушена и разглашения персональных сведений не происходило. Ранее в компании заявляли, что в начале сентября серверы были атакованы и контур защиты на одном из них пострадал, но проблема уже устранена.
— Проводится дополнительный аудит и модернизация системы безопасности, — сообщал «Известиям» гендиректор «Дримкас» Павел Толстоносов.
За слив персональных данных в Сеть предусмотрен административный штраф до 75 тыс. рублей, а максимальная уголовная ответственность — лишение свободы на срок до пяти лет. Также пострадавший может взыскать убытки, причиненные из-за нарушения правил обработки персональных данных, добавила Екатерина Тягай.Утечки такого рода связаны с некорректной политикой безопасности. Если процесс настроен, то организация производит контроль внутренних и внешних периметров, отметил бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий. По его словам, серверы попадают в открытый доступ, когда компании не очень внимательно относятся к мониторингу, а самое главное — к политике конфигурирования своих систем.
Так как результаты работы технических средств анализируют вручную, то, скорее всего, причиной утечки стал человеческий фактор, предположил технический директор «Киви» Кирилл Ермаков. Для зрелых компаний свойственно наличие строгих бизнес-процессов управления собственными серверами и программным обеспечением. И политика доступа к ресурсам извне упрощенно звучит как «запрещено всё, что не разрешено», подчеркнул эксперт.
— Возможно, в данном случае имела место ошибка конфигурирования сервера администраторами системы. Или же, к примеру, ошибка настройки межсетевого экрана, — предположил Кирилл Ермаков.
Оставить комментарий