В РЖД решили сразу же не комментировать произошедшее. Зато приступили к подготовке материалов, которые бы позволили выявить хакера. Данные будут направлены в правоохранительные органы.

Система продажи билетов имеет защиту персональных данных высокой степени надежности.

«В РЖД проводится проверка по поводу инцидента с публикацией в открытых источниках информации, содержащей персональные данные о сотрудниках. Готовятся материалы для передачи в правоохранительные органы», — сказали в пресс-службе холдинга.

В монополии поспешили успокоить своих клиентов. Их данные никто не взламывал и никуда не переслал. «Система продажи билетов имеет защиту персональных данных высокой степени надежности», – успокоили в пресс-службе.

СПРАВКА. Цифровые сервисы РЖД. Холдинг использует несколько онлайн-сервисов. Пассажирам доступен сайт и мобильное приложение для покупки билетов на поезд. Для сотрудников компании РЖД создали сервисный портал. Доступ в личный кабинет работники компании также могут получить с компьютера, планшета и смартфона.

По информации наших коллег, в общий доступ попали, в том числе, данные главы РЖД Олега Белозёрова, начальника Московской железной дороги Михаила Глазкова и других топов монополии. В случае гипотетического «слива» не только рабочих телефонов руководителей корпорации, но и их паспортных данных, полученная информация, оказавшись в неправильных руках, поможет взять пару-тройку кредитов, а то и вывезти из какого-нибудь банкротнувшегося банка тонну-другую денег. Надеемся, что этого не произойдёт.

Источник: http://vgudok.com/rassledovaniya/sotrudniki-rzhd-popali-v-set-vsemirnuyu-dannye-bolee-chem-703-tysyach-rabotnikov

Приказ ОАО РЖД от 10.06.2013 N 48

ОАО «РОССИЙСКИЕ ЖЕЛЕЗНЫЕ ДОРОГИ»

ПРИКАЗ
от 10 июня 2013 г. N 48

ОБ УТВЕРЖДЕНИИ ТИПОВОГО ПОЛОЖЕНИЯ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ОАО «РЖД»

Президент ОАО «РЖД»
В.И.Якунин

УТВЕРЖДЕНО
приказом ОАО «РЖД»
от 10 июня 2013 г. N 48

ТИПОВОЕ ПОЛОЖЕНИЕ
О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ОАО «РЖД»

I. Общие положения

1. Настоящее типовое положение, разработанное на основании части 1 статьи 24 Конституции Российской Федерации, федеральных законов «О персональных данных» и «Об информации, информационных технологиях и о защите информации» и главы 14 Трудового кодекса Российской Федерации, определяет порядок работы с персональными данными работников и гарантии конфиденциальности сведений, предоставленных работником работодателю.
2. Юридические и физические лица, владеющие в соответствии со своими полномочиями информацией о работниках, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение норм, регулирующих получение, обработку и защиту персональных данных работников.

II. Понятие и состав персональных данных

3. Персональные данные работника — информация о конкретном работнике, необходимая работодателю в связи с трудовыми отношениями с ним. Под информацией о работнике понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
4. В состав персональных данных работника входят, в частности:
паспортные данные;
сведения об образовании и специальности;
сведения о трудовом стаже;
сведения о доходах;
содержание трудового договора;
сведения о составе семьи;
сведения о воинском учете;
сведения о социальных льготах;
данные о наличии судимости;
адрес места жительства;
номера домашнего и мобильного телефонов;
адрес электронной почты;
сведения о близких родственниках;
сведения о пребывании за границей;
результаты медицинского обследования работника на предмет годности к осуществлению трудовых обязанностей.
5. К документам, содержащим персональные данные работника, создаваемым в процессе трудовых отношений, относятся:
трудовой договор;
основания к приказам по личному составу;
подлинники и копии приказов по личному составу;
личное дело;
трудовая книжка;
дела, содержащие материалы по повышению квалификации и переподготовке, аттестации, служебным расследованиям;
копии отчетов, направляемые в органы статистики, и др.

III. Получение, обработка и хранение персональных данных работника

IV. Доступ к персональным данным работника и их передача

V. Порядок обеспечения защиты персональных данных

СОГЛАСИЕ
работника на обработку его персональных данных в ОАО «РЖД»

_______________ _____________________ ________________________
(дата) (личная подпись) (расшифровка подписи)

Приложение
к приказу ОАО «РЖД»
от 10 июня 2013 г. 48

ОБЯЗАТЕЛЬСТВО
о неразглашении персональных данных работников в ОАО «РЖД»

Я,
________________________________________________________________________________________
________________________________________________________________________________________
_________________________________________________________________(фамилия, имя, отчество)

________________________________________________________________________________________
________________________________________________________________________________________
______________________________________________________________(должность, подразделение):

ознакомлен(на) с перечнем персональных данных работника;
обязуюсь не разглашать третьим лицам ставшие мне известными в процессе выполнения
трудовых функций персональные данные работников;
предупрежден(на) об ответственности в соответствии с законодательством Российской
Федерации за умышленное или неосторожное разглашение персональных данных работников;
в случае попытки третьих лиц получить от меня персональные данные работников
незамедлительно обязуюсь сообщать об этом своему непосредственному руководителю.
Настоящее обязательство действует в период моей работы в указанной должности и в
течение трех лет с даты ее оставления.

«___»__________ 2013 г. _________/_____________________
(подпись) (расшифровка подписи)

Источник: http://scbist.com/scb/uploaded/docs/2013/iyun-2013/4461-prikaz-oao-rzhd-ot-10-06-2013-n-48.htm

Защита эконом-класса. По интернету гуляют личные данные пассажиров РЖД

Яндекс.Поделиться

Персональные данные пользователей сайтов таких крупных компаний как РЖД, ВТБ, «Сбербанк», а также мэрии Москвы, не защищены и могут в любую минуту оказаться в руках злоумышленников. К такому выводу пришёл специалист по поисковым системам компании Rush Agency Павел Медведев. О своих наблюдениях эксперт написал в репортаже, где подробно объяснил, каковы причины утечек данных и как себя обезопасить. Редакция vgudok.com выяснила, как могло получиться, что данные, по сути, любого пассажира и клиента ФПК (РЖД) оказались в открытом доступе.

Персональные данные пользователей различных порталов и могли попасть в чужие руки. Однако преимущественно речь шла о небольших интернет-магазинах. Оно и логично, их владельцам просто не хватало средств на хороших программистов, которые могли бы обеспечить сайту безопасность. Сегодня такой «болезнью» начали страдать крупные игроки: порталы ВТБ или «Сбербанка», онлайн-сервисы РЖД, а также многочисленные агрегаторы авиабилетов. Всему виной оказалось снижение уровня обслуживания порталов. Другими словами, пишет автор, на работу стали брать крайне некомпетентных или «слабых» экспертов IT-технологий.

«Я считаю, это связано с тем, что из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад, и качество кадров в ИТ снизилось», — пишет Павел Медведев.

С ним согласен управляющий партнёр коммуникационной компании B2Chain Денис Терехов.

«Причины кроются в очень простой вещи, все мы настолько сошли с ума в попытках экономить на всём подряд, что даже такие уважаемые организации как ВТБ, «Сбербанк» и РЖД обслуживаются айтишниками из какого-нибудь абстрактного Тьмутараканьска. Те промахи, на которые указывает автор статьи, говорят о том, что люди, которые обслуживают эти ресурсы, совершают ошибки на уровне средней школы. Если такие аналогии проводить. Они, к примеру, не прописывают ограничения для определенных страниц и так далее», — рассказал vgudok.com Денис Терехов. — Поисковым машинам всё равно, откуда собирать информацию.

То, что происходит, говорит о чудовищной некомпетентности.

Машина не может понять, секретная информация или же для общего доступа. Поэтому владельцы ресурсов, особенно если речь идет о таких сложных порталах, которые работают с персональными данными, финансовой информацией, должны чётко разграничивать, на какие станицы может заходить робот, а на какие нет. То, что происходит, говорит о чудовищной некомпетентности. А проистекает всё это из попыток сэкономить. Когда очень многие сотрудники отделов закупок смотрят в том же Яндексе, что сайты можно делать за 15 тысяч рублей, потом говорят, что давайте наймём человека, который за те же 15 тысяч рублей будет нам сайт банка делать. Вот утечки и получаем».

Причиной утечки данных могут быть, в том числе, системы аналитики, считает Павел Медведев. Это счётчики, которые устанавливают на сайтах для того, чтобы понимать, сколько людей их посещают, как долго находятся на той или иной странице. Самые популярные в России — «Яндекс.Метрика» и Google Analytics. Заходим в настройки любого счётчика «Метрики» и видим по умолчанию такое предложение: «Включите эту опцию, чтобы страница не отправлялась на индексацию Яндекса». Получается, что если эту отправку не отключить, то все просмотренные пользователем страницы по умолчанию отправляются на индексацию. Более того, даже если установить запрет, приватные страницы всё равно попадают в индекс. Потому что это один из множества источников данных поисковых систем.

Устанавливая браузеры, пользователи соглашаются с возможной обработкой, отправкой анонимных данных о просмотрах и так далее. То есть это вполне легальный способ собрать большую часть когда-либо просмотренных пользователями страниц. Помимо этого, поисковые системы могут покупать анонимизированные данные о трафике, просмотренных сайтах или страницах.

Мало найдётся людей, которые раздавали бы направо и налево свои паспортные данные незнакомцам.

Условно говоря, человек покупает билет на поезд с датой отправления через полгода. Ему приходит смс-сообщение со ссылкой для просмотра и редактирования информации в личный кабинет. В это же время «Яндекс.Браузер», Android или счётчик метрики сообщает поисковику, что появилась неизвестная ранее страница. Робот проверяет — страница работает, через какое-то время он страницу индексирует.

Получивший данные злоумышленник вбивает в поиск запрос об отмене бронирования, попадает в личный кабинет пользователя, переписывает документ на собственное имя и через шесть месяцев уезжает вместо настоящего владельца билета.

Но, по мнению Дениса Терехова, скорее речь идёт всё же об эмоциональной травме. Мало найдётся тех людей, которые раздавали бы направо и налево свои паспортные данные незнакомым людям.

«Как правило, все данные, которые утекают, безусловно, персональные, но ничего особенного не происходит. Если кто-то узнает данные вашего паспорта или водительского удостоверения, конечно, злоумышленник может попробовать подать куда-нибудь заявление о получении кредитов. Но в любом случае эти данные проверяют и перепроверяют. Здесь речь идет скорее о некой эмоциональной составляющей. Вряд ли эти данные могут кого-то побеспокоить или на что-то повлиять», — уверен эксперт.

Желательно с помощью авторизации скрывать данные и запрещать роботам индексировать любую информацию.

Павел Михайлов рекомендует представителям поисковых систем больше упоминать на своих профильных конференциях о том, что любая страница, доступная без авторизации, может рано или поздно попасть в индекс. «Ещё есть проблема в том, что разные поисковые системы по-разному используют директивы, их рекомендации по индексации иногда противоречат и взаимоисключаемы. То есть разработчики, сделав всё по инструкции Google, будут удивлены, когда в «Яндексе» директивы, наоборот, перестали работать, из-за чего в индекс попало множество документов, которые не должны были индексироваться», — пишет автор. Желательно с помощью авторизации скрывать любые данные и запрещать роботам индексировать любую, тем более конфиденциальную информацию.

«Также нужно выдавать предупреждение при открытии доступа по ссылке — что наличие ссылки только у вас не значит, что о ней никто не узнает — множество программ, браузеров, плагинов, счётчиков, скриптов собирают информацию и только их разработчикам известно, как они её хранят и куда дальше направляют», — уверен Михайлов.

Эксперт vgudok.com же считает, что все эти технические нюансы — разговоры в пользу бедных, тогда как корень зла в другом.

«Мне кажется, что в целом система плохо работает, потому что в её основе лежит желание экономить на всём подряд. Это касается в основном государственных компаний, или компаний с государственным участием. Они действуют в рамках федеральных законов. Согласно им, кто приходит более дешевый, того и нанимают, — не сомневается Денис Терехов. — Здесь проблему я вижу значительно глубже, чем просто какие-то отдельно взятые безрукие программисты. Проблема как раз в тотальной экономии, которая потом оказывается критическая. «Скупой платит дважды», и здесь мы видим подтверждение этой народной мудрости».

Для РЖД история с утечкой персональных данных не нова. В 2016 году группа хакеров обнаружила в открытом доступе базы данные 3500 пассажиров, в том числе клиентов железнодорожной монополии. Ещё раньше, в апреле 2014, вездесущие хакеры даже специально создали сайт «SOS! RZD», на который выложили данные кредитных карт более чем 10 тысяч клиентов монополии.

Тогда, впрочем, представители монополии опровергали утечки, заявляя, что РЖД не хранит данные пассажиров. Верится в это с трудом – где-то данные содержатся. Но вот на отечественных или зарубежных серверах – вопрос.

Источник: http://vgudok.com/lenta/zashchita-ekonom-klassa-po-internetu-gulyayut-lichnye-dannye-passazhirov-rzhd

«Спасибо ОАО РЖД за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников”

Уже полтора часа не работает сайт «инфач».
А так да, проверил.

На личной странице каждого работника имеется, например, СНИЛС.
А также надпись: «Спасибо ОАО РЖД за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников”

27.08.2019, 17:30	#2 (ссылка)

27.08.2019, 17:55	#3 (ссылка)

27.08.2019, 18:06	#4 (ссылка)

27.08.2019, 19:02	#5 (ссылка)

А они же там соцсеть какую-то свою запускали, да. Оттуда, полагаю, и дровишки. Учитывая, что там локальный доступ, данные утекли во внешку через какого-то нелояльного сотрудника. То есть могли практически через любого.

Но это такое, человеческий фактор, от него никуда. Я, кстати, давно уже думаю, что и с «госуслуг» рано или поздно «утечет», но слишком уж удобно, не хочется отказываться.

27.08.2019, 19:16	#6 (ссылка)

Очень полезные данные.
Например:
1. скан паспорта + снилс = кредит. В болванку скана вбить нужные цифры проще простого. Кстати, и фото имеется.

2. КПД будет выше, если среди ночи позвонят и
вместо фразы: «Ваш сын совершил преступление, сейчас в милиции, нужно 100 тыщ чтобы замять»
скажут: «Волк Волкович, Ваш сын Волчонок. » и далее по тексту.

3. КПД при звонке «из банка».

27.08.2019, 19:35	#7 (ссылка)

27.08.2019, 19:53	#8 (ссылка)

27.08.2019, 20:00	#9 (ссылка)

На мне не сработало, я отказался подписывать маляву!

__________________
Будьте добрее, когда это возможно. А это возможно всегда.

Кстати, рекомендую прочитать следующие статьи на Лурке (просто, доходчиво, понятно):

27.08.2019, 20:05	#10 (ссылка)

27.08.2019, 21:47	#11 (ссылка)

27.08.2019, 22:03	#12 (ссылка)

28.08.2019, 01:51	#13 (ссылка)

Они бы еще талончики о зарплате оттуда скопировали.

28.08.2019, 11:58	#14 (ссылка)

Что с этими данными можно злоумыслить?

сразу первое что приходит в голову, можно получить доступ к аккаунту госуслуг.

можно оформить электронную подпись и на основе этого открыть фирмы, ну а далее думаю не нужно объяснять к кому придут налоговики. это еще повезет если вашу недвижимость не продадут. это все кажется шуточками, да с логической точки зрения такого просто быть не может, но попробуйте погуглить на тему получения электронной подписи и что можно с ней наворотить.

третий вариант, на основе ваших данных будут подделаны документы для мошенничества, например для продажи автомобиля в угоне, так сказать делают дубль авто, который будет биться по базам.

в общем вариантов использования личных данных как скан паспота и СНИЛС очень большое множество. которое крайне сильно может потрепать вам нервы.

Источник: http://scbist.com/narusheniya-bezopasnosti-na-seti-dorog/52034-spasibo-oao-rzhd-za-predostavlennuyu-informaciyu-putem-berezhnogo-obrascheniya-s-personalnymi-dannymi-svoih-sotrudnikov.html

Данные почти всех сотрудников РЖД оказались в открытом доступе

После появления информации об утечке персональных данных более 700 тыс. сотрудников «Российских железных дорог» (РЖД) объявили о начале проверки, сообщил представитель компании. «Готовятся материалы для передачи в правоохранительные органы», — добавил он. Представитель РЖД заверил, что персональные данные пассажиров похищены не были: «Система продажи билетов имеет защиту персональных данных высокой степени надежности».

Где были опубликованы персональные данные сотрудников

Основатель и технический директор компании DeviceLock, специализирующейся на предотвращении утечек данных с корпоративных компьютеров, Ашот Оганесян во вторник, 27 августа, сообщил в своем Telegram-канале «Утечки информации» и блоге на сайте Habr.com, что неизвестные выложили в свободный доступ персональные данные 703 тыс. человек. При этом злоумышленники добавили к публикации примечание: «Спасибо ОАО «РЖД» за предоставленную информацию путем бережного обращения с персональными данными своих сотрудников».

Согласно отчету по РСБУ за первое полугодие 2019 года, списочная численность работников РЖД составила 732 тыс. человек, таким образом, в открытом доступе оказалась информация о 96% сотрудников.

Данные работников РЖД были опубликованы на сайте «Инфач» под заголовком «Рабы РЖД». Около 14:00 мск администратор сайта закрыл к нему доступ — при попытке зайти на сайт выдается ошибка 403, «доступ запрещен». Домен infach.me был зарегистрирован в феврале 2018 года, он позволял пользователям анонимно публиковать персональные данные других людей. Среди данных сотрудников РЖД, опубликованных на сайте, были их имена, номера телефонов, должности, фотографии в форме и снимки СНИЛС.

Кто слил данные в Сеть

«Откуда произошла утечка — неизвестно, но есть предположение, что это база данных службы безопасности. Судя по формату фотографий, это снимки на пропуска», — отметил Оганесян в своем блоге. Он предполагает, что даже блокировка сайта уже не поможет предотвратить дальнейшее распространение оказавшихся в открытом доступе сведений.

Еще в прошлом году РЖД объявили о запуске интранет-портала для сотрудников под названием my.rzd.ru, к которому планировалось подключить всех работников компании. В личном кабинете они могли заказывать справки, оформлять билеты на поезд, редактировать данные о себе. Судя по отзывам пользователей, в последнее время у них были проблемы с доступом к порталу (вход по номеру СНИЛС и паролю), что они связывали с его взломом. В РЖД не ответили на запрос РБК об утечке данных с этого портала.

Гендиректор РЖД Олег Белозеров говорил в конце 2018 года о планах компании направить на цифровизацию 150 млрд руб. до 2025 года. В стратегии цифровой трансформации РЖД, в частности, уделяется внимание повышению информационной безопасности, использованию российского программного обеспечения, переводу в частное облако вычислительных ресурсов компании с возможностью хранения 12,5 петабайт данных, накоплению и обработке данных с 25 млн объектов железнодорожной инфраструктуры.

Как утекают персональные данные

По мнению председателя Ассоциации участников рынков данных Ивана Бегтина, утечки персональных данных происходят по трем основным сценариям. «В первую очередь, это утечки непосредственно из баз данных компании, когда хакеры подключаются к ним удаленно, взламывая системы безопасности. Во-вторых, это утечки, происходящие по вине инсайдеров. Зачастую бывшие сотрудники, у которых остался доступ к базам данных, могут их продавать или выставлять в публичный доступ, чтобы отомстить компании», — указывает эксперт.

О каких крупных утечках данных известно

Это не первая масштабная утечка персональных данных россиян в этом году: в июне DeviceLock также обнаружила в открытом доступе данные клиентов ОТП-банка, Альфа-банка и ХКФ-банка (имена, телефоны, паспорта и место работы), всего это коснулось примерно 900 тыс. россиян.

В отчете InfoWatch за 2018 год отмечалось, что самая большая утечка информации в России произошла из-за уязвимости на сайте Рособрнадзора, когда скомпрометированной оказалась база данных о 14 млн бывших студентов.

В первом полугодии 2019 года самая крупная утечка данных в мире произошла, когда в Сети был обнаружен незащищенный сервер компании Verifications.io, занимающейся электронным маркетингом, напомнил Арсентьев. В результате утекло 2 млрд записей персональных данных, в том числе 800 млн электронных адресов с паролями. Несколько раз в масштабных утечках персональной информации обвиняли Facebook. Например, в апреле 2019 года данные миллионов пользователей соцсети оказались в открытом доступе на других платформах, а также в облачном хранилище Amazon. В марте 2019 года пароли миллионов пользователей были обнаружены хранящимися в незашифрованном виде на серверах Facebook. Сообщалось, что без защиты оказались «сотни миллионов пользователей Facebook Lite, десятки миллионов других пользователей Facebook и десятки тысяч пользователей Instagram».

Существует ли защита от утечек

По словам Арсентьева, защита от утечек предполагает проведение комплекса технических мероприятий: внедрение систем блокировки атак и предотвращения утечек, системы поведенческой аналитики, контроль привилегированного доступа и другие. Важны также и организационные мероприятия — прежде всего это тренинги для сотрудников и стремление повысить культуру обращения с данными.

Бегтин также напомнил, что, для того чтобы защитить персональные данные, хранящиеся в компании, необходимо вводить специальные регламенты обращения с данными, их переноса, а также регламенты обеспечения безопасности данных. Он добавил, что компаниям необходимо более внимательно относиться к закону «О персональных данных».

Как злоумышленники могут использовать персональные данные

Активность киберпреступников после утечки зависит от типа и спектра информации пользователей. В лучшем случае жертвам утечки станет приходить больше электронного спама и навязчивых предложений по телефону, а в худшем — их данные могут использоваться в мошеннических целях: для получения услуг на основе чужих персональных данных, оформления кредитов, перевыпуска сим-карт для последующего мошенничества и другие варианты, объяснил Арсентьев.

По словам Бегтина, если персональные данные сами по себе достаточно ценны (как, например, медицинские данные), то их могут просто продать. Однако чаще преступники используют информацию для кражи денег — взлома мобильных банков, переоформления имущества или для того, чтобы взять кредит. Он считает, что утекшая информация может быть также использована для слежки. А организованные преступные группы могут использовать данные более масштабно. «Известные примеры — это банковское мошенничество по телефону, когда человеку звонит злоумышленник, представившись сотрудником банка. Благодаря уже имеющемуся минимальному набору утекшей информации о клиенте банка он может с помощью социальной инженерии выспросить остальные необходимые данные, чтобы воспользоваться банковским счетом пострадавшего», — объяснил Бегтин.

Источник: http://www.rbc.ru/business/27/08/2019/5d6544519a79475d51ee7532