Одна из крупнейших европейских клиник едва избежала многомиллионного штрафа из-за одного маленького пикселя и невнимательности IT-специалистов.
Несколько лет назад крупная международная сеть медицинских клиник проводила рекламную кампанию и для отслеживания ее эффективности установила на сайт специальный трекинговый пиксель. Это довольно распространенная практика среди маркетологов и рекламщиков. Пиксель фиксирует активность потенциальных клиентов на сайте и передает данные специалистам по продвижению для анализа и разработки новых стратегий.
После завершения кампании о пикселе забыли и не удалили его. А он продолжал незаметно перехватывать личную информацию посетителей сайта: имена, номера телефонов, даже конфиденциальные данные о состоянии здоровья из записей на прием к врачам.
Это было грубейшим нарушением GDPR (Общий регламент по защите данных — постановление Европейского Союза) и других норм конфиденциальности. Согласно европейским законам, организации грозил штраф до 4% годовой выручки. А по законам некоторых американских штатов, например Калифорнии, до $7500 за каждую утекшую медицинскую карту
Учитывая тот факт, что организация очень крупная, речь могла идти о десятках миллионов долларов. К тому же репутация клиники пострадала бы непоправимо.
Благодаря случайности, финансовой катастрофы удалось избежать. Компания Reflectiz, разработчик решений для защиты веб-ресурсов, обнаружил ошибку во время плановой проверки сайта клиники.
Инструмент Reflectiz, ScannAR сканирует веб-ресурсы на предмет аномалий. В этом случае он сработал как надо — распознал угрозу и отправил оповещение администраторам. Пиксель вовремя удалили.
Недавно специалисты Reflectiz выпустили исследование
с описанием проблемы. Одно из основных явлений, которые затрагивает работа — это «дрейф конфигурации».
Дрейф конфигурации возникает, когда текущее состояние сайта со временем все сильнее отклоняется от изначального. Это происходит по многим причинам: из-за ручных изменений кода, обновлений ПО, человеческого фактора.
Дрейф вносит несоответствия и уязвимости в работу веб-ресурсов. Обеспечивать надежную защиту данных в таких условиях довольно трудно.
Чтобы бороться с этой проблемой, компании внедряют специальные инструменты для мониторинга систем, которые помогают своевременно находить ошибки и отклонения от безопасных настроек.
В исследовании упоминаются еще два важных момента.
Первый — это несоблюдение требований PCI DSS v4.0 (Payment Card Industry Data Security Standard), регулирующих защиту платежных данных на сайтах интернет-магазинов.
Второй — нарушения нормативов HIPAA в сфере здравоохранения, защищающих конфиденциальные медицинские сведения. Здесь еще раз подчеркивается серьезность ошибки сотрудников вышеупомянутой клиники, которые игнорировали проблему целых 4 года.
Ошибки конфигурации влекут за собой не только утечки, но и серьезные финансовые риски для всех компаний из-за несоблюдения отраслевых норм.
Источник: SecurityLab