Персональный данные ржд

Самое главное по теме: "Персональный данные ржд" с профессиональной точки зрения. Мы собрали и подготовили ответы на многие сопутствующие вопросы. Если вы не нашли на них ответ, то можете обратиться к дежурному консультанту.

Личные данные сотрудников РЖД утекли в Сеть

«Российские железные дороги» начали проверку в связи с утечкой в интернет персональных данных сотрудников и готовит материалы для передачи правоохранителям, сообщили в пресс-службе организации во вторник, 27 августа.

При этом в РЖД заверили, что утечки личной информации о клиентах не было. В компании объяснили это высокой степенью надежности защиты данных в системе продажи билетов, передает RNS.

Об утечке данных сотрудников перевозчика сообщил ранее в августе Telegram-канал «Утечки информации». Речь шла о личных данных 703 тыс. человек, которые попали в свободный доступ.

Ранее в августе о крупной утечке данных клиентов сообщила Mastercard. В свободный доступ попала информация о порядка 90 тыс. клиентов из Бельгии и Германии.

Авторское право на систему визуализации содержимого портала iz.ru, а также на исходные данные, включая тексты, фотографии, аудио- и видеоматериалы, графические изображения, иные произведения и товарные знаки принадлежит ООО «МИЦ «Известия». Указанная информация охраняется в соответствии с законодательством РФ и международными соглашениями.

Частичное цитирование возможно только при условии гиперссылки на iz.ru.

АО «АБ «РОССИЯ» — партнер рубрики «Экономика»

Сайт функционирует поддержке Федерального агентства коммуникациям.

Ответственность за содержание любых рекламных материалов, размещенных на портале, несет рекламодатель.

Новости, аналитика, прогнозы и другие материалы, представленные на данном сайте, не являются офертой или рекомендацией к покупке или продаже каких-либо активов.

Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций. Свидетельства о регистрации ЭЛ № ФС 77 — 76208 от 8 июля 2019 года, ЭЛ № ФС 77 — 72003 от 26 декабря 2019 года

Все права защищены © ООО «МИЦ «Известия», 2020


Источник: http://iz.ru/914620/2019-08-27/lichnye-dannye-sotrudnikov-rzhd-utekli-v-set

Названа причина утечки данных сотрудников РЖД

Личная информация и фотографии тысяч сотрудников РЖД попали в Сеть. По факту утечки данных была организована доследственная проверка.

Как установило следствие, массовая утечка персональных данных сотрудников РДЖ произошла в результате несанкционированного проникновения неизвестными в информационные служебные ресурсы компании.

В период до 28 августа злоумышленники получили доступ к фото и сведениям о сотрудниках: их должностям, снимкам СНИЛС и контактным данным.

Затем личные данные были размещены в Интернете. Напомним, в Сеть попали сведения более чем о 700 тысячах человек. К публикации злоумышленники приложили примечание: «Спасибо ОАО „РЖД“ за предоставленную информацию путем бережного обращения с персональными данными своих сотрудников». Позже доступ к сайту, где выложили данные, был закрыт.

В настоящее время расследование инцидента продолжается. В РЖД также проводится внутренняя проверка, подразделения компании активно сотрудничают со следствием.

В РЖД также ранее заверяли, что персональные данные клиентов компании похищены не были.

Источник: http://www.ntv.ru/novosti/2227924/

Данные почти всех работников РЖД оказались в открытом доступе

В интернете оказались персональные данные 703 тыс. сотрудников «Российских железных дорог». При этом злоумышленники добавили к публикации примечание: «Спасибо ОАО «РЖД» за предоставленную информацию путем бережного обращения с персональными данными своих сотрудников».

Данные работников РЖД были опубликованы на сайте «Инфач» под заголовком «Рабы РЖД». Позднее администратор сайта закрыл к нему доступ — при попытке зайти на сайт выдается ошибка 403, «доступ запрещен». Домен infach.me был зарегистрирован в феврале 2018 года, он позволял пользователям анонимно публиковать персональные данные других людей. Среди данных сотрудников РЖД, опубликованных на сайте, были их имена, номера телефонов, должности, фотографии в форме и снимки СНИЛС.

Об утечке сообщил основатель и технический директор компании DeviceLock Ашот Оганесян, пишет РБК. Он полагает, что украдена была база данных службы безопасности., поскольку судя по формату фотографий, это снимки на пропуска.

Источник: http://www.klerk.ru/buh/news/489186/

Данные более 700 тысяч сотрудников РЖД оказались в открытом доступе

Неизвестные выложили в открытый доступ персональные данные 703 тысяч сотрудников ОАО «Российские железные дороги». Компания готовит обращение в правоохранительные органы.

Пользователь Habr ashotog обратил внимание на утечку персональных данных сотрудников РЖД. На сайте, на котором был опубликован архив, присутствует надпись «Спасибо ОАО РЖД за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников». Среди доступных данных оказались ФИО, даты рождения, номера СНИЛС, должности, фотографии и телефонные номера сотрудников РЖД:

Пользователь Habr предполагает, что доступные данные являются базой службой безопасности компании. Он отметил, что формат фотографий говорит о том, что это снимки для рабочих пропусков на территорию, которая принадлежит РЖД. Пользователь также отметил, что, вероятно, данная база может появиться в открытом доступе «в виде Excel-файла и/или в формате Кронос в течение одного-двух дней»:

Даже если Роскомнадзор прикроет доступ к сайту, на котором размещены страницы с персональными данными, то это никаким образом не повлияет на доступность уже утекших данных, — подчеркнул ashotog.

Пресс-служба РЖД в комментарии РИА «Новости» заявила, что компания проводит проверку, а также готовит материалы для передачи в полицию. Представитель РЖД добавил, что утечек персональных данных клиентов РЖД не было, так как система продажи билетов оснащена защитой высокой степени надёжности:

В РЖД проводится проверка по поводу инцидента с публикацией в открытых источниках информации, содержащей персональные данные о сотрудниках. Готовятся материалы для передачи в правоохранительные органы, — сообщили в пресс-службе.

Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!

Источник: http://kod.ru/rzd-sliv-dannyh-aug-2019/

Личные данные 700 тысяч сотрудников РЖД утекли в Сеть

На одном из сайтов в Сети появилась личная информация и фотографии более 700 тысяч человек, предположительно, сотрудников РЖД. Компания готовит документы для передачи в правоохранительные органы.

О публикации сообщил Ашот Оганесян — основатель и технический директор компании DeviceLock, которая занимается предотвращением утечек данных с корпоративных компьютеров. Он рассказал, что в свободном доступе появились личные данные 703 тысяч человек — имена, номера телефонов, должности, фотографии в форме и снимки СНИЛС.

При этом к публикации злоумышленники приложили примечание «Спасибо ОАО „РЖД“ за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников».

Ашот Оганесян: «Откуда произошла утечка — неизвестно, но есть предположение, что это база данных службы безопасности. Судя по формату фотографий, это снимки на пропуска».

Читайте так же:  Состояние оформления загранпаспорта

Информация о сотрудниках РЖД была опубликована на сайте «Инфач», где пользователи анонимно выкладывают персональные данные других людей. Позже доступ к сайту был закрыт. Однако Оганесян предполагает, что даже блокировка сайта не сможет помешать дальнейшему распространению этих сведений.

В РЖД, в свою очередь, заявили, что по поводу публикации проводится проверка. Готовятся материалы для передачи в правоохранительные органы.

В компании также заверили, что персональные данные клиентов РЖД похищены не были. По словам представителя компании, система продажи билетов имеет защиту высокой степени надежности.

Известно, что сейчас в РЖД работают около 732 тысяч человек.

Источник: http://www.ntv.ru/novosti/2227004/

Персональный данные ржд

В 2019 году на ЮВЖД по системе «От вокзала к вокзалу» отправлено и получено около 8,2 тыс. малогабаритных посылок, бандеролей и писем. Это более чем в 3 раза превышает показатель 2018 года. Лидерами по количеству отправленных и принятых малогабаритных грузов стали вокзалы Воронеж-1 (2,7 тыс.), Белгород (1,6 тыс.) и Липецк (1,1 тыс.).

В настоящее время пункты приема-выдачи посылок и корреспонденции работают на 13 вокзальных комплексах ЮВЖД: Воронеж-1, Лиски, Россошь, Борисоглебск (Воронежская область), Белгород, Старый Оскол (Белгородская область), Липецк, Елец, Грязи-Воронежские (Липецкая область), Тамбов, Мичуринск-Уральский (Тамбовская область), Ртищево и Балашов (Саратовская область).

Напомним, что отправить посылку весом до 10 кг и с суммой трех измерений (высоты, длины и ширины) не более 160 см можно в 236 городов страны. Дополнительную информацию можно получить по телефону Единого информационно-сервисного центра ОАО «РЖД» 8-800-775-00-00 (звонок по России бесплатный), у дежурного помощника начальника вокзала или в справочных бюро вокзалов, сообщила служба корпоративных коммуникаций ЮВЖД.

Тематика:

звонок бесплатный для всех регионов РФ

по всему миру, оплата в соответствии с тарифами вашего оператора связи

для вопросов, связанных с электронными билетами

Источник: http://new-www.rzd.ru/ru/9284/page/3102?id=248316

СК нашел виновного в массовой утечке персональных данных из РЖД

Следователи совместно с управлением «К» МВД и службой безопасности «Российских железных дорог» (РЖД) нашли виновного в утечке персональных данных нескольких сотен тысяч сотрудников РЖД, сообщает пресс-служба Следственного комитета.

Им оказался житель Краснодарского края 1993 г., мужчине предъявлено обвинение по двум статьям: о неправомерном доступе к охраняемой законом информации и о незаконном получении и разглашении коммерческой тайны.

По данным следствия, обвиняемый получил доступ к внутренним ресурсам сети РЖД, использовав учетные записи двух сотрудников компании. Он скопировал данные сотрудников РЖД и выложил их в интернет. В сообщении уточняется, что мужчина признал вину в совершении кибератаки.

Утечку РЖД зафиксировала в июне. В открытый доступ попали имена, адреса, фотографии, должности и номера СНИЛС почти всех сотрудников – всего в корпорации работают 735 000 человек. Клиентов утечка не затронула. В августе директор по информационным технологиям РЖД Евгений Чаркин говорил, что компания передала информацию об инциденте в правоохранительные органы. В СК уточняли, что утечка данных сотрудников РЖД произошла из-за несанкционированного проникновения на серверы компании.

Источник: http://www.vedomosti.ru/business/news/2019/12/06/818081-sk

В СК назвали причину утечки данных сотрудников РЖД

Массовая утечка персональных данных сотрудников РЖД произошла из-за несанкционированного проникновения на сервера компании. Об этом 30 августа сообщила представитель Московского межрегионального следственного управления на транспорте (ММСУТ) СК Елена Марковская.

Установлено, что в период до 28 августа злоумышленники получили доступ к информационным служебным ресурсам РЖД, где размещены личные данные работников компании. Всю информацию они впоследствии опубликовали в свободном доступе в интернете, нанеся этим «вред законным интересам государства и общества».


«По факту неправомерного доступа к охраняемой законом компьютерной информации организована доследственная проверка», — цитирует Марковскую ТАСС.

По результатам проверки будет принято процессуальное решение. Внутреннюю проверку проводят и в РЖД, служба безопасности компании сотрудничает со следствием.

Ранее начальник департамента информатизации РЖД Кирилл Семион исключил версию кибератаки, заявив, что проникновения в систему извне зафиксировано не было.

В компании подчеркивали, что персональные данные клиентов похищены не были. В компании объяснили это высокой степенью надежности защиты данных в системе продажи билетов,

Источник: http://iz.ru/915913/2019-08-30/v-sk-nazvali-prichinu-utechki-dannykh-sotrudnikov-rzhd

Личные данные почти всех сотрудников РЖД оказались в открытом доступе

Неизвестные опубликовали в интернете личные данные 703 000 сотрудников РЖД, сообщил в техноблоге Habr.com специалист по корпоративной защите данных, техдиректор DeviceLock Ашот Оганесян. По его словам, откуда произошла утечка – неизвестно, но есть предположение, что это база данных службы безопасности.

Всего в компании, по данным на II квартал 2019 г., работает около 730 000 человек. Таким образом, в сеть утекли данные около 96% сотрудников РЖД. В открытом доступе оказались их ФИО, даты рождения, адреса, номера СНИЛС, фотографии, должности, телефоны.

В связи с публикацией личных данных в открытых источниках проводится проверка, сообщила «Ведомостям» пресс-служба РЖД: г отовятся материалы для передачи в правоохранительные органы. Утечек персональных данных клиентов не было, подчеркнула компания, заверив, что система продажи билетов имеет защиту высокой степени надежности.

Хотите скрыть партнерские блоки? Оформите подписку и читайте, не отвлекаясь.

Наши проекты

Контакты

Рассылки «Ведомостей» — получайте главные деловые новости на почту

Все права защищены © АО Бизнес Ньюс Медиа, 1999—2020

Сайт использует IP адреса, cookie и данные геолокации Пользователей сайта, условия использования содержатся в Политике по защите персональных данных

Любое использование материалов допускается только при соблюдении правил перепечатки и при наличии гиперссылки на vedomosti.ru

Новости, аналитика, прогнозы и другие материалы, представленные на данном сайте, не являются офертой или рекомендацией к покупке или продаже каких-либо активов.

Все права защищены © АО Бизнес Ньюс Медиа, 1999—2020

Электронное периодическое издание «Ведомости» (Vedomosti) зарегистрировано в Федеральной службе по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия 22 декабря 2006 г. Свидетельство о регистрации Эл № ФС77–26576.

Сайт использует IP адреса, cookie и данные геолокации Пользователей сайта, условия использования содержатся в Политике по защите персональных данных

Источник: http://www.vedomosti.ru/business/news/2019/08/27/809746-v

Данные больше 700 тысяч сотрудников РЖД попали в открытый доступ

Ночью 27 августа неизвестные опубликовали в свободном доступе личные данные сотрудников РЖД, из-за чего компания уже готовит обращение в правоохранительные органы. Об этом сообщает ТАСС.

В пресс-службе РЖД сказали, что сейчас они проводят «прoверку по поводу инцидента с публикацией в открытых истoчниках информации, содержащей персональные данные о сотрудниках». Также в компании отметили, что они готовят материалы для передачи в правоохранительные органы.

Из-за утечки информации в свободном доступе, вероятно, оказались данные почти всех сотрудников РЖД — 703 тысяч из 732 (это данные бухгалтерского учета). Сейчас в сети есть имена, должности, даты рождения, номера телефонов, а также домашние адреса, фотографии и номера СНИЛС. При этом, по данным РЖД, утечек персональных данных клиентoв не произошло.

Читайте так же:  Мировое соглашение как процедура банкротства

Как произошла утечка — пока неизвестно. Впервые информация о произошедшем появилась ночью 27 августа в техноблоге Habr.com. Автор статьи — специалист по корпоративной защите данных, техдиректор DeviceLock Ашот Оганесян. Он предположил, что неизвестные взломали базу данных службы безопасности, поскольку фотографии сотрудников по формату похожи на снимки на служебные пропуска. Кроме того, специалист уверен, что разрешить эту ситуацию без каких-либо последствий уже не получится.

«По моим прогнозам, данная „база РЖД“ появится в открытом доступе в виде Excel-файла и/или в формате Кронос в течение одного-двух дней. Даже если Роскомнадзор прикроет доступ к сайту, на котором размещены страницы с персональными данными, то это никаким образом не повлияет на доступность уже утекших данных», — написал Оганесян.

Видео (кликните для воспроизведения).

Источник: http://rtvi.com/news/dannye-sotrudnikov-rzd/

Удивляет, что это Вас удивляет!

Это точно. Понты — это помощь жуликам. И я в этих ситуациях целиком поддерживаю жуликов, ибо безмозглых людей надо учить.
Один из примеров:
Удача для домушника — увидеть в соцсетях модные нынче фото авиабилетов, паспортов и путёвок, сфотканные перед перед вылетом, красиво разложенные вокруг бокала мартини. В течение ближайших двух недель можно не только смело навестить хату, но и пожить в ней. А то и сдать/продать.

Встречаются даже фото банковских карт премиум класса. Сберовской «MOMENTUM», правда, никто не хвастается, а вот платиновой.

29.08.2019, 11:15 #23 (ссылка)
30.08.2019, 00:14 #24 (ссылка)

Каждые полгода? Или верите, что не повториться?
Просто приготовьтесь, что как всё затихнет и люди подзабудут (ориентировочно через квартал, хотя могут и сейчас, но КПД будет ниже), начнут по ночам окучивать по телефону. Особенно людей предпенсионного возраста.
Сделайте скриншот страницы в личном кабинете, чтобы, если оформят кредит, доказать в суде, что фото оттуда, а не с паспорта.

Даже, если ПИД надёжно защитит ваши данные (хе-хе три раза, ниже объясню почему), в следующий раз может обосраться банк или поликлиника. А могут данные уйти аккуратно, что никто посторонний не узнает.

И насчёт того, что я не верю в защиту информации ПИДа.
Когда недавно прошёлся компьютерный вирус, не заразился НИ ОДИН домашний компьютер (ну или почти ни один, возможно, у кого-то дома компьютер настраивал ПИД-специалист). Просто по умолчанию атака через эту «дырку» отключена, даже любой роутер или маршрутизатор её отсекает. Её преднамерено включили в ПИДе.

Источник: http://scbist.com/narusheniya-bezopasnosti-na-seti-dorog/52034-spasibo-oao-rzhd-za-predostavlennuyu-informaciyu-putem-berezhnogo-obrascheniya-s-personalnymi-dannymi-svoih-sotrudnikov-2.html

Сотрудники РЖД попали в сеть. Всемирную. Данные более чем 703 тысяч работников монополии оказались в свободном доступе

Яндекс.Поделиться

Мы в своём Telegram-канале @Vgudok одними из первых сообщили, что в интернете появились персональные данные более чем 700 тысяч сотрудников РЖД. На данный момент неизвестно, откуда эта информация «утекла» в сеть, и кто именно организатор этой «акции». В монополии комментировать сложившуюся ситуацию не берутся и пока готовят материалы для подачи в правоохранительные органы.

На сайте, где появились персональные данные сотрудников РЖД, неизвестный оставил подпись с благодарностью. «Спасибо ОАО «РЖД» за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников». В свободном доступе оказались фамилии, имена, отчества, даты рождения, адреса, номера СНИЛС, должности, фотографии и номера телефона 703 тысяч человек. Откуда именно произошла утечка, неизвестно. Ситуацию vgudok.com прокомментировал Chief Technology Officer крупной IT-компании Алексей Кондратьев.

«Главное — понять, кому такой «слив» нужен. Это чистый хайп против службы безопасности. Неважно, правда это, не правда, нашлись виновные, не нашлись, достоверная информация или нет. Второй вопрос, как эти данные могли уйти, если это реально произошло. Если есть фотографии с пропусков, то это точно кто-то изнутри, — уверен эксперт. — Потому что никто фотографии наружу выставлять не будет. Надо понять, какие именно данные людей попали в сеть.

Вообще, есть такой вариант, что кто-то хочет предложить свои услуги РЖД, как специалист по защите информации.

Если мы смогли украсть, значит, сможем и защитить, такова логика. В сложившейся ситуации человек, чьи данные были вскрыты, может подать в суд. Ответственность за безопасность персональных данных несёт тот, кому он их доверил. А если там есть фотографии пропуска, то очень чётко определяется, кто именно их потерял».

«База данных сотрудников монополии до того, как она появилась в сети, находилась лишь на одном сайте, но вероятнее всего уже в ближайшие дни она распространится по интернету в виде различных электронных таблиц, текстовых документов и PDF-файлов», — пишет эксперт по информационной безопасности, основатель и технический директор DeviceLock DLP Ашот Оганесян в блоге на «Хабр».

30.08.2019, 06:25 #25 (ссылка)
Видео (кликните для воспроизведения).

В РЖД решили сразу же не комментировать произошедшее. Зато приступили к подготовке материалов, которые бы позволили выявить хакера. Данные будут направлены в правоохранительные органы.

Система продажи билетов имеет защиту персональных данных высокой степени надежности.

«В РЖД проводится проверка по поводу инцидента с публикацией в открытых источниках информации, содержащей персональные данные о сотрудниках. Готовятся материалы для передачи в правоохранительные органы», — сказали в пресс-службе холдинга.

В монополии поспешили успокоить своих клиентов. Их данные никто не взламывал и никуда не переслал. «Система продажи билетов имеет защиту персональных данных высокой степени надежности», – успокоили в пресс-службе.

СПРАВКА. Цифровые сервисы РЖД. Холдинг использует несколько онлайн-сервисов. Пассажирам доступен сайт и мобильное приложение для покупки билетов на поезд. Для сотрудников компании РЖД создали сервисный портал. Доступ в личный кабинет работники компании также могут получить с компьютера, планшета и смартфона.

По информации наших коллег, в общий доступ попали, в том числе, данные главы РЖД Олега Белозёрова, начальника Московской железной дороги Михаила Глазкова и других топов монополии. В случае гипотетического «слива» не только рабочих телефонов руководителей корпорации, но и их паспортных данных, полученная информация, оказавшись в неправильных руках, поможет взять пару-тройку кредитов, а то и вывезти из какого-нибудь банкротнувшегося банка тонну-другую денег. Надеемся, что этого не произойдёт.

Источник: http://vgudok.com/rassledovaniya/sotrudniki-rzhd-popali-v-set-vsemirnuyu-dannye-bolee-chem-703-tysyach-rabotnikov

Приказ ОАО РЖД от 10.06.2013 N 48

ОАО «РОССИЙСКИЕ ЖЕЛЕЗНЫЕ ДОРОГИ»

ПРИКАЗ
от 10 июня 2013 г. N 48

ОБ УТВЕРЖДЕНИИ ТИПОВОГО ПОЛОЖЕНИЯ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ОАО «РЖД»

Президент ОАО «РЖД»
В.И.Якунин

УТВЕРЖДЕНО
приказом ОАО «РЖД»
от 10 июня 2013 г. N 48

ТИПОВОЕ ПОЛОЖЕНИЕ
О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ОАО «РЖД»

I. Общие положения

1. Настоящее типовое положение, разработанное на основании части 1 статьи 24 Конституции Российской Федерации, федеральных законов «О персональных данных» и «Об информации, информационных технологиях и о защите информации» и главы 14 Трудового кодекса Российской Федерации, определяет порядок работы с персональными данными работников и гарантии конфиденциальности сведений, предоставленных работником работодателю.
2. Юридические и физические лица, владеющие в соответствии со своими полномочиями информацией о работниках, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение норм, регулирующих получение, обработку и защиту персональных данных работников.

II. Понятие и состав персональных данных

3. Персональные данные работника — информация о конкретном работнике, необходимая работодателю в связи с трудовыми отношениями с ним. Под информацией о работнике понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
4. В состав персональных данных работника входят, в частности:
паспортные данные;
сведения об образовании и специальности;
сведения о трудовом стаже;
сведения о доходах;
содержание трудового договора;
сведения о составе семьи;
сведения о воинском учете;
сведения о социальных льготах;
данные о наличии судимости;
адрес места жительства;
номера домашнего и мобильного телефонов;
адрес электронной почты;
сведения о близких родственниках;
сведения о пребывании за границей;
результаты медицинского обследования работника на предмет годности к осуществлению трудовых обязанностей.
5. К документам, содержащим персональные данные работника, создаваемым в процессе трудовых отношений, относятся:
трудовой договор;
основания к приказам по личному составу;
подлинники и копии приказов по личному составу;
личное дело;
трудовая книжка;
дела, содержащие материалы по повышению квалификации и переподготовке, аттестации, служебным расследованиям;
копии отчетов, направляемые в органы статистики, и др.

III. Получение, обработка и хранение персональных данных работника

IV. Доступ к персональным данным работника и их передача

V. Порядок обеспечения защиты персональных данных

СОГЛАСИЕ
работника на обработку его персональных данных в ОАО «РЖД»

_______________ _____________________ ________________________
(дата) (личная подпись) (расшифровка подписи)

Приложение
к приказу ОАО «РЖД»
от 10 июня 2013 г. 48

ОБЯЗАТЕЛЬСТВО
о неразглашении персональных данных работников в ОАО «РЖД»

Я,
________________________________________________________________________________________
________________________________________________________________________________________
_________________________________________________________________(фамилия, имя, отчество)

________________________________________________________________________________________
________________________________________________________________________________________
______________________________________________________________(должность, подразделение):

ознакомлен(на) с перечнем персональных данных работника;
обязуюсь не разглашать третьим лицам ставшие мне известными в процессе выполнения
трудовых функций персональные данные работников;
предупрежден(на) об ответственности в соответствии с законодательством Российской
Федерации за умышленное или неосторожное разглашение персональных данных работников;
в случае попытки третьих лиц получить от меня персональные данные работников
незамедлительно обязуюсь сообщать об этом своему непосредственному руководителю.
Настоящее обязательство действует в период моей работы в указанной должности и в
течение трех лет с даты ее оставления.

«___»__________ 2013 г. _________/_____________________
(подпись) (расшифровка подписи)

Источник: http://scbist.com/scb/uploaded/docs/2013/iyun-2013/4461-prikaz-oao-rzhd-ot-10-06-2013-n-48.htm

Защита эконом-класса. По интернету гуляют личные данные пассажиров РЖД

Яндекс.Поделиться

Персональные данные пользователей сайтов таких крупных компаний как РЖД, ВТБ, «Сбербанк», а также мэрии Москвы, не защищены и могут в любую минуту оказаться в руках злоумышленников. К такому выводу пришёл специалист по поисковым системам компании Rush Agency Павел Медведев. О своих наблюдениях эксперт написал в репортаже, где подробно объяснил, каковы причины утечек данных и как себя обезопасить. Редакция vgudok.com выяснила, как могло получиться, что данные, по сути, любого пассажира и клиента ФПК (РЖД) оказались в открытом доступе.

Персональные данные пользователей различных порталов и могли попасть в чужие руки. Однако преимущественно речь шла о небольших интернет-магазинах. Оно и логично, их владельцам просто не хватало средств на хороших программистов, которые могли бы обеспечить сайту безопасность. Сегодня такой «болезнью» начали страдать крупные игроки: порталы ВТБ или «Сбербанка», онлайн-сервисы РЖД, а также многочисленные агрегаторы авиабилетов. Всему виной оказалось снижение уровня обслуживания порталов. Другими словами, пишет автор, на работу стали брать крайне некомпетентных или «слабых» экспертов IT-технологий.

«Я считаю, это связано с тем, что из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад, и качество кадров в ИТ снизилось», — пишет Павел Медведев.

С ним согласен управляющий партнёр коммуникационной компании B2Chain Денис Терехов.

«Причины кроются в очень простой вещи, все мы настолько сошли с ума в попытках экономить на всём подряд, что даже такие уважаемые организации как ВТБ, «Сбербанк» и РЖД обслуживаются айтишниками из какого-нибудь абстрактного Тьмутараканьска. Те промахи, на которые указывает автор статьи, говорят о том, что люди, которые обслуживают эти ресурсы, совершают ошибки на уровне средней школы. Если такие аналогии проводить. Они, к примеру, не прописывают ограничения для определенных страниц и так далее», — рассказал vgudok.com Денис Терехов. — Поисковым машинам всё равно, откуда собирать информацию.

То, что происходит, говорит о чудовищной некомпетентности.

Машина не может понять, секретная информация или же для общего доступа. Поэтому владельцы ресурсов, особенно если речь идет о таких сложных порталах, которые работают с персональными данными, финансовой информацией, должны чётко разграничивать, на какие станицы может заходить робот, а на какие нет. То, что происходит, говорит о чудовищной некомпетентности. А проистекает всё это из попыток сэкономить. Когда очень многие сотрудники отделов закупок смотрят в том же Яндексе, что сайты можно делать за 15 тысяч рублей, потом говорят, что давайте наймём человека, который за те же 15 тысяч рублей будет нам сайт банка делать. Вот утечки и получаем».

Причиной утечки данных могут быть, в том числе, системы аналитики, считает Павел Медведев. Это счётчики, которые устанавливают на сайтах для того, чтобы понимать, сколько людей их посещают, как долго находятся на той или иной странице. Самые популярные в России — «Яндекс.Метрика» и Google Analytics. Заходим в настройки любого счётчика «Метрики» и видим по умолчанию такое предложение: «Включите эту опцию, чтобы страница не отправлялась на индексацию Яндекса». Получается, что если эту отправку не отключить, то все просмотренные пользователем страницы по умолчанию отправляются на индексацию. Более того, даже если установить запрет, приватные страницы всё равно попадают в индекс. Потому что это один из множества источников данных поисковых систем.

Устанавливая браузеры, пользователи соглашаются с возможной обработкой, отправкой анонимных данных о просмотрах и так далее. То есть это вполне легальный способ собрать большую часть когда-либо просмотренных пользователями страниц. Помимо этого, поисковые системы могут покупать анонимизированные данные о трафике, просмотренных сайтах или страницах.

Мало найдётся людей, которые раздавали бы направо и налево свои паспортные данные незнакомцам.

Условно говоря, человек покупает билет на поезд с датой отправления через полгода. Ему приходит смс-сообщение со ссылкой для просмотра и редактирования информации в личный кабинет. В это же время «Яндекс.Браузер», Android или счётчик метрики сообщает поисковику, что появилась неизвестная ранее страница. Робот проверяет — страница работает, через какое-то время он страницу индексирует.

Получивший данные злоумышленник вбивает в поиск запрос об отмене бронирования, попадает в личный кабинет пользователя, переписывает документ на собственное имя и через шесть месяцев уезжает вместо настоящего владельца билета.

Но, по мнению Дениса Терехова, скорее речь идёт всё же об эмоциональной травме. Мало найдётся тех людей, которые раздавали бы направо и налево свои паспортные данные незнакомым людям.

«Как правило, все данные, которые утекают, безусловно, персональные, но ничего особенного не происходит. Если кто-то узнает данные вашего паспорта или водительского удостоверения, конечно, злоумышленник может попробовать подать куда-нибудь заявление о получении кредитов. Но в любом случае эти данные проверяют и перепроверяют. Здесь речь идет скорее о некой эмоциональной составляющей. Вряд ли эти данные могут кого-то побеспокоить или на что-то повлиять», — уверен эксперт.

Желательно с помощью авторизации скрывать данные и запрещать роботам индексировать любую информацию.

Павел Михайлов рекомендует представителям поисковых систем больше упоминать на своих профильных конференциях о том, что любая страница, доступная без авторизации, может рано или поздно попасть в индекс. «Ещё есть проблема в том, что разные поисковые системы по-разному используют директивы, их рекомендации по индексации иногда противоречат и взаимоисключаемы. То есть разработчики, сделав всё по инструкции Google, будут удивлены, когда в «Яндексе» директивы, наоборот, перестали работать, из-за чего в индекс попало множество документов, которые не должны были индексироваться», — пишет автор. Желательно с помощью авторизации скрывать любые данные и запрещать роботам индексировать любую, тем более конфиденциальную информацию.

«Также нужно выдавать предупреждение при открытии доступа по ссылке — что наличие ссылки только у вас не значит, что о ней никто не узнает — множество программ, браузеров, плагинов, счётчиков, скриптов собирают информацию и только их разработчикам известно, как они её хранят и куда дальше направляют», — уверен Михайлов.

Эксперт vgudok.com же считает, что все эти технические нюансы — разговоры в пользу бедных, тогда как корень зла в другом.

«Мне кажется, что в целом система плохо работает, потому что в её основе лежит желание экономить на всём подряд. Это касается в основном государственных компаний, или компаний с государственным участием. Они действуют в рамках федеральных законов. Согласно им, кто приходит более дешевый, того и нанимают, — не сомневается Денис Терехов. — Здесь проблему я вижу значительно глубже, чем просто какие-то отдельно взятые безрукие программисты. Проблема как раз в тотальной экономии, которая потом оказывается критическая. «Скупой платит дважды», и здесь мы видим подтверждение этой народной мудрости».

Для РЖД история с утечкой персональных данных не нова. В 2016 году группа хакеров обнаружила в открытом доступе базы данные 3500 пассажиров, в том числе клиентов железнодорожной монополии. Ещё раньше, в апреле 2014, вездесущие хакеры даже специально создали сайт «SOS! RZD», на который выложили данные кредитных карт более чем 10 тысяч клиентов монополии.

Тогда, впрочем, представители монополии опровергали утечки, заявляя, что РЖД не хранит данные пассажиров. Верится в это с трудом – где-то данные содержатся. Но вот на отечественных или зарубежных серверах – вопрос.

Источник: http://vgudok.com/lenta/zashchita-ekonom-klassa-po-internetu-gulyayut-lichnye-dannye-passazhirov-rzhd

«Спасибо ОАО РЖД за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников”

Уже полтора часа не работает сайт «инфач».
А так да, проверил.

На личной странице каждого работника имеется, например, СНИЛС.
А также надпись: «Спасибо ОАО РЖД за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников”

27.08.2019, 17:30 #2 (ссылка)
27.08.2019, 17:55 #3 (ссылка)
27.08.2019, 18:06 #4 (ссылка)
27.08.2019, 19:02 #5 (ссылка)

А они же там соцсеть какую-то свою запускали, да. Оттуда, полагаю, и дровишки. Учитывая, что там локальный доступ, данные утекли во внешку через какого-то нелояльного сотрудника. То есть могли практически через любого.

Но это такое, человеческий фактор, от него никуда. Я, кстати, давно уже думаю, что и с «госуслуг» рано или поздно «утечет», но слишком уж удобно, не хочется отказываться.

27.08.2019, 19:16 #6 (ссылка)

Очень полезные данные.
Например:
1. скан паспорта + снилс = кредит. В болванку скана вбить нужные цифры проще простого. Кстати, и фото имеется.

2. КПД будет выше, если среди ночи позвонят и
вместо фразы: «Ваш сын совершил преступление, сейчас в милиции, нужно 100 тыщ чтобы замять»
скажут: «Волк Волкович, Ваш сын Волчонок. » и далее по тексту.

3. КПД при звонке «из банка».

27.08.2019, 19:35 #7 (ссылка)
27.08.2019, 19:53 #8 (ссылка)
27.08.2019, 20:00 #9 (ссылка)
На мне не сработало, я отказался подписывать маляву!

__________________
Будьте добрее, когда это возможно. А это возможно всегда.

Кстати, рекомендую прочитать следующие статьи на Лурке (просто, доходчиво, понятно):

27.08.2019, 20:05 #10 (ссылка)
27.08.2019, 21:47 #11 (ссылка)
27.08.2019, 22:03 #12 (ссылка)
28.08.2019, 01:51 #13 (ссылка)
Они бы еще талончики о зарплате оттуда скопировали.
28.08.2019, 11:58 #14 (ссылка)
Что с этими данными можно злоумыслить?

сразу первое что приходит в голову, можно получить доступ к аккаунту госуслуг.

можно оформить электронную подпись и на основе этого открыть фирмы, ну а далее думаю не нужно объяснять к кому придут налоговики. это еще повезет если вашу недвижимость не продадут. это все кажется шуточками, да с логической точки зрения такого просто быть не может, но попробуйте погуглить на тему получения электронной подписи и что можно с ней наворотить.

третий вариант, на основе ваших данных будут подделаны документы для мошенничества, например для продажи автомобиля в угоне, так сказать делают дубль авто, который будет биться по базам.

в общем вариантов использования личных данных как скан паспота и СНИЛС очень большое множество. которое крайне сильно может потрепать вам нервы.

Источник: http://scbist.com/narusheniya-bezopasnosti-na-seti-dorog/52034-spasibo-oao-rzhd-za-predostavlennuyu-informaciyu-putem-berezhnogo-obrascheniya-s-personalnymi-dannymi-svoih-sotrudnikov.html

Данные почти всех сотрудников РЖД оказались в открытом доступе

После появления информации об утечке персональных данных более 700 тыс. сотрудников «Российских железных дорог» (РЖД) объявили о начале проверки, сообщил представитель компании. «Готовятся материалы для передачи в правоохранительные органы», — добавил он. Представитель РЖД заверил, что персональные данные пассажиров похищены не были: «Система продажи билетов имеет защиту персональных данных высокой степени надежности».

Где были опубликованы персональные данные сотрудников

Основатель и технический директор компании DeviceLock, специализирующейся на предотвращении утечек данных с корпоративных компьютеров, Ашот Оганесян во вторник, 27 августа, сообщил в своем Telegram-канале «Утечки информации» и блоге на сайте Habr.com, что неизвестные выложили в свободный доступ персональные данные 703 тыс. человек. При этом злоумышленники добавили к публикации примечание: «Спасибо ОАО «РЖД» за предоставленную информацию путем бережного обращения с персональными данными своих сотрудников».

Согласно отчету по РСБУ за первое полугодие 2019 года, списочная численность работников РЖД составила 732 тыс. человек, таким образом, в открытом доступе оказалась информация о 96% сотрудников.

Данные работников РЖД были опубликованы на сайте «Инфач» под заголовком «Рабы РЖД». Около 14:00 мск администратор сайта закрыл к нему доступ — при попытке зайти на сайт выдается ошибка 403, «доступ запрещен». Домен infach.me был зарегистрирован в феврале 2018 года, он позволял пользователям анонимно публиковать персональные данные других людей. Среди данных сотрудников РЖД, опубликованных на сайте, были их имена, номера телефонов, должности, фотографии в форме и снимки СНИЛС.

Кто слил данные в Сеть

«Откуда произошла утечка — неизвестно, но есть предположение, что это база данных службы безопасности. Судя по формату фотографий, это снимки на пропуска», — отметил Оганесян в своем блоге. Он предполагает, что даже блокировка сайта уже не поможет предотвратить дальнейшее распространение оказавшихся в открытом доступе сведений.

Еще в прошлом году РЖД объявили о запуске интранет-портала для сотрудников под названием my.rzd.ru, к которому планировалось подключить всех работников компании. В личном кабинете они могли заказывать справки, оформлять билеты на поезд, редактировать данные о себе. Судя по отзывам пользователей, в последнее время у них были проблемы с доступом к порталу (вход по номеру СНИЛС и паролю), что они связывали с его взломом. В РЖД не ответили на запрос РБК об утечке данных с этого портала.

Гендиректор РЖД Олег Белозеров говорил в конце 2018 года о планах компании направить на цифровизацию 150 млрд руб. до 2025 года. В стратегии цифровой трансформации РЖД, в частности, уделяется внимание повышению информационной безопасности, использованию российского программного обеспечения, переводу в частное облако вычислительных ресурсов компании с возможностью хранения 12,5 петабайт данных, накоплению и обработке данных с 25 млн объектов железнодорожной инфраструктуры.

Как утекают персональные данные

По мнению председателя Ассоциации участников рынков данных Ивана Бегтина, утечки персональных данных происходят по трем основным сценариям. «В первую очередь, это утечки непосредственно из баз данных компании, когда хакеры подключаются к ним удаленно, взламывая системы безопасности. Во-вторых, это утечки, происходящие по вине инсайдеров. Зачастую бывшие сотрудники, у которых остался доступ к базам данных, могут их продавать или выставлять в публичный доступ, чтобы отомстить компании», — указывает эксперт.

Третий вариант — это когда обнародование данных необходимо по закону, однако из-за несовершенства защитных систем в открытом доступе оказывается больше информации, чем было необходимо изначально, добавил Бегтин. Примером такой утечки может послужить недавний случай, когда на электронных торговых площадках в открытом доступе было обнаружено не менее 2,24 млн записей с паспортными данными, номерами СНИЛС и сведениями о трудоустройстве россиян. Документы об одобрении тех или иных крупных сделок, которые электронные площадки обязаны публиковать, содержали информацию о тех, кто эту сделку одобрил, а также об их представителях.


Руководитель отдела аналитики и спецпроектов InfoWatch Андрей Арсентьев также обратил внимание на то, что к утечкам зачастую приводят случайные нарушения, вызванные действиями персонала компании: «Именно случайные нарушения приводят к самым масштабным случаям компрометации персональных данных. В основном такие утечки вызваны некорректными настройками хранилищ и багами на сайтах». По данным InfoWatch, во втором квартале 2019 года три четверти всей информации утекло как раз в результате случайных нарушений.

О каких крупных утечках данных известно

Это не первая масштабная утечка персональных данных россиян в этом году: в июне DeviceLock также обнаружила в открытом доступе данные клиентов ОТП-банка, Альфа-банка и ХКФ-банка (имена, телефоны, паспорта и место работы), всего это коснулось примерно 900 тыс. россиян.

В отчете InfoWatch за 2018 год отмечалось, что самая большая утечка информации в России произошла из-за уязвимости на сайте Рособрнадзора, когда скомпрометированной оказалась база данных о 14 млн бывших студентов.

В первом полугодии 2019 года самая крупная утечка данных в мире произошла, когда в Сети был обнаружен незащищенный сервер компании Verifications.io, занимающейся электронным маркетингом, напомнил Арсентьев. В результате утекло 2 млрд записей персональных данных, в том числе 800 млн электронных адресов с паролями. Несколько раз в масштабных утечках персональной информации обвиняли Facebook. Например, в апреле 2019 года данные миллионов пользователей соцсети оказались в открытом доступе на других платформах, а также в облачном хранилище Amazon. В марте 2019 года пароли миллионов пользователей были обнаружены хранящимися в незашифрованном виде на серверах Facebook. Сообщалось, что без защиты оказались «сотни миллионов пользователей Facebook Lite, десятки миллионов других пользователей Facebook и десятки тысяч пользователей Instagram».

Существует ли защита от утечек

По словам Арсентьева, защита от утечек предполагает проведение комплекса технических мероприятий: внедрение систем блокировки атак и предотвращения утечек, системы поведенческой аналитики, контроль привилегированного доступа и другие. Важны также и организационные мероприятия — прежде всего это тренинги для сотрудников и стремление повысить культуру обращения с данными.

Бегтин также напомнил, что, для того чтобы защитить персональные данные, хранящиеся в компании, необходимо вводить специальные регламенты обращения с данными, их переноса, а также регламенты обеспечения безопасности данных. Он добавил, что компаниям необходимо более внимательно относиться к закону «О персональных данных».

Как злоумышленники могут использовать персональные данные

Активность киберпреступников после утечки зависит от типа и спектра информации пользователей. В лучшем случае жертвам утечки станет приходить больше электронного спама и навязчивых предложений по телефону, а в худшем — их данные могут использоваться в мошеннических целях: для получения услуг на основе чужих персональных данных, оформления кредитов, перевыпуска сим-карт для последующего мошенничества и другие варианты, объяснил Арсентьев.

По словам Бегтина, если персональные данные сами по себе достаточно ценны (как, например, медицинские данные), то их могут просто продать. Однако чаще преступники используют информацию для кражи денег — взлома мобильных банков, переоформления имущества или для того, чтобы взять кредит. Он считает, что утекшая информация может быть также использована для слежки. А организованные преступные группы могут использовать данные более масштабно. «Известные примеры — это банковское мошенничество по телефону, когда человеку звонит злоумышленник, представившись сотрудником банка. Благодаря уже имеющемуся минимальному набору утекшей информации о клиенте банка он может с помощью социальной инженерии выспросить остальные необходимые данные, чтобы воспользоваться банковским счетом пострадавшего», — объяснил Бегтин.

Источник: http://www.rbc.ru/business/27/08/2019/5d6544519a79475d51ee7532

Читайте так же:  Обязательность исполнения решения суда гпк
Персональный данные ржд
Оценка 5 проголосовавших: 1