Я бы сообщил об этом.

Не скрывайте свою личность, в этом нет смысла. Если ваша компания спросит Slack, Slack, вероятно, сможет сказать им, кто получил доступ к этому файлу. Все равно все есть в логах. Это просто вопрос того, кто их читает. Лично я даже не понимаю твоей потребности скрывать свою личность. Вы не сделали ничего плохого.

В любом случае лучше быть тем, кто получил доступ к файлу и сообщил об утечке, чем тем, кто получил доступ к файлу, но ничего не сообщил.

В зависимости от того, где находится ваша компания, существуют некоторые правила и законы о конфиденциальности, которые могут предписывать защиту личных данных.

Кроме того, информация, подобная той, которую вы перечисляете, может помочь потенциальному конкуренту адаптировать экономичные предложения, чтобы соблазнить сотрудников покинуть компанию.

Я думаю, вы должны сообщить об утечке, и если вы беспокоитесь о том, чтобы ваше имя не попало в эту историю, есть способы сделать это (фиктивная учетная запись электронной почты, неподписанное бумажное письмо и т. д.).

Вы должны немедленно сообщить об этом тому, кто в вашей организации отвечает за защиту данных.

К сожалению, вы не указываете свою юрисдикцию, поэтому я отвечу на основании своей юрисдикции.

В моей юрисдикции любая компания выше определенного размера должна иметь назначенного сотрудника по защите данных. (Если более 10 сотрудников регулярно обрабатывают PII в электронном виде.) Этот DPO должен иметь возможность отчитываться непосредственно перед генеральным директором, и их независимость должна быть гарантирована. Например, их нельзя уволить или объявить выговор за информирование властей об утечке данных в компании.

Вы должны немедленно сообщить об этом своему DPO. Вы можете сделать это анонимно (опять же, DPO защищен от любых выговоров за то, что они не раскрывают свой источник).

Ваша компания, в свою очередь, по закону обязана сообщить об этом в течение 72 часов своему соответствующему DPO, обычно государственному или правоохранительному органу, в противном случае они рискуют быть оштрафованными.

Речь идет только о данных PII, о которых вы говорили. Что касается просочившихся финансовых данных, то могут быть и другие законы и правила, которые также нарушаются.

Я ничего не теряю, если не сообщу об этом, и я могу что-то потерять, если сообщу

Вы можете что-то потерять, если не сообщите об этом…

…но позже это делает кто-то другой. Если после отчета будет проведена проверка, ваше имя может появиться в списке людей, скачавших файл. В результате могут возникнуть вопросы о том, что вы делали с файлом при его загрузке и почему не сообщили об этом.

Конечно, это не так серьезно, если нет доказательств того, что вы использовали данные из этого файла, и если вы коснулись файла только один раз, вы можете сочинить что-то вроде «Я случайно щелкнул не тот файл и удалил его, не читая, когда понял виноват".

Но зачем сочинять ложь, когда можно сделать то, что от тебя ожидают, то есть сразу же сообщить об этом?

Лично я бы сообщил об этом.

Подумайте об этом таким образом.

Если бы это были ВАШИ данные, что бы вы хотели, чтобы кто-то узнал о утечке ВАШИХ данных.

Я обнаружил, что сотрудник, которого больше нет с нами, загрузил в Slack гигантский файл Excel, содержащий информацию о кадрах. Файл доступен любому в нашем Slack и содержит имена всех нынешних и бывших сотрудников, их контактные данные, полные имена, у кого есть опционы на акции, право на ежегодный отпуск, историю кадров и различные примечания о них, но не детали компенсации. Файл каким-то образом есть и его можно найти в поиске, но он не прикреплен ни к одному сообщению и не размещен ни в одном канале (не знаю, как это работает).

Должен ли я сообщить об этом нашему техническому директору?

Да, вы должны сообщить об этом своему директору по информационной безопасности или техническому директору в письменной форме.

В вертикалях, где я работал, опционы на акции подпадают под вознаграждение руководителей, а вознаграждения руководителей классифицируются как данные с высокой стоимостью.

Классификация с высокой стоимостью включает слияния и поглощения, незавершенные судебные разбирательства, компенсацию руководителям, отчеты о деятельности компании, такие как неопубликованные документы SEC и т. д.

Данные о сотрудниках обычно классифицируются как данные средней или низкой ценности. Данные включают имя, адрес, номер телефона, номер социального страхования и т. д.

И, чтобы добавить изюминку, Slack может шифровать данные таким образом, что только ваша компания может их расшифровать, поэтому внешней утечки может и не быть. (Я не знаком со Slack и не проверял его безопасность, поэтому не могу сказать, что он делает).

Компании очень обеспокоены потерей или утечкой ценных данных из-за потенциального финансового и репутационного ущерба для фирмы, особенно в регулируемых средах, таких как US Financial. В США компании не слишком заботятся об утечке номеров социального страхования или номеров банковских счетов, поскольку риск их потери невелик. Даже потеря медицинских данных — это шутка, потому что HIPPA налагает искусственно заниженные ограничения на действия регулирующих органов.

Я не знаю, что происходит в Азии, ЕС или других странах и регионах.

И имейте в виду, что в США риск демократизируется за счет перекладывания убытков на держателей акций, а вознаграждение приватизируется за счет бонусов для руководителей. Большая часть потери данных не оказывает существенного влияния на компанию или руководителей. Они переложили риск на акционеров, подписчиков и потребителей, чьи данные были потеряны.

У меня нет правдоподобного объяснения того, как я нашел этот файл (да, я рылся в нашем Slack на выходных, чтобы посмотреть, что я могу найти)

На самом деле это не имеет значения. Вы [надеюсь] нашли его раньше плохого актера. Сомневаюсь, что кто-то будет винить вас за это.

Кроме того, мы довольно небольшая компания (менее 200 человек), поэтому у нас нет официальных опубликованных политик по этому поводу.

Да, это довольно типично для небольших компаний и фирм.

Это пробел в политике и процедурах вашей компании, и руководители должны его устранить. Пока руководство не решит заняться этим, лучшее, что вы можете сделать, это сообщить об инциденте директору по информационной безопасности, техническому директору или другому руководству.

Если интересно, в US Financial я работал архитектором безопасности в области риска. Я отвечал за оценку внутренних систем и систем поставщиков (и предложений поставщиков).

Мы сделали три или четыре вещи:

1. Классифицировать данные в соответствии с политиками и процедурами фирмы
2. Выполните оценку безопасности системы, чтобы убедиться, что система может обрабатывать данные в соответствии с политиками и процедурами фирмы.
3. Предоставьте предлагаемые изменения, чтобы убедиться, что данные обрабатываются в соответствии с политиками и процедурами фирмы.

Иногда поставщик отказывался привести систему в соответствие с политиками и процедурами фирмы. В этом случае руководитель, спонсирующий инициативу, может сказать : «Мне все равно, я все равно этого хочу» . Если руководитель сказал это, то система и ее оценка безопасности были отправлены в комитет по рискам для проведения подробного анализа затрат и выгод и определения того, должна ли фирма отменить мое решение. Комитет по рискам оставил последнее слово по этому вопросу.

Больше всего мне пришлось потрудиться над проектами «Board Pad» , как я их называл. Каждый руководитель хотел отказаться от бумаги и перенести бизнес-процессы компании на свои iPad для заседаний совета директоров. И, конечно же, поскольку они были руководителями, они хотели иметь дело со слияниями и поглощениями, незавершенными судебными разбирательствами, компенсациями руководителям, отчетами о деятельности компании. Все защищено 4-значным PIN-кодом, потому что разработчик, несмотря на то, что аутентификация Apple была достаточно адекватной. Вздох...

Должен ли я сообщить об этом нашему техническому директору?

Вы должны сообщить об этом кому-то из руководства, будь то технический директор, ваш непосредственный руководитель или кто-то еще.

С другой стороны, у меня нет правдоподобного объяснения того, как я нашел этот файл (да, я рылся в нашем Slack на выходных, чтобы посмотреть, что я могу найти). Я также думаю, что что бы я ни сказал в будущем, люди услышат это с мыслью «о, у этого парня был доступ к нашим трудовым книжкам» на затылке.

На самом деле неважно, как вы его нашли, и я не вижу смысла раскрывать тот факт, что вы нашли его, пока "ковырялись". Если это было в Slack вашей компании, значит, оно не было достаточно защищено или отслеживалось. Если в Slack вашей компании есть другие вещи такого рода, и если вы «наткнулись» на них в Slack, то недостаток в реализации, а не в том, что вы их нашли. Я не понимаю, почему вы думаете, что раскрытие этого будет иметь негативные последствия для вас.

Другими словами, я ничего не теряю, если не сообщу об этом, и могу что-то потерять, если сообщу. Кажется, у нас нет способа сообщать о вещах анонимно.

Опять же, я не понимаю, почему вы боитесь раскрыть это. Вы не сделали ничего плохого. Вы обнаружили информацию, которую не следует разглашать. Это не твоя вина. Если только ты не расскажешь нам всю историю. Если вы действительно «взломали» Slack вашей компании (защищенный канал, предназначенный для HR или что-то в этом роде), вам следует опасаться некоторых последствий.

Кроме того, мы довольно небольшая компания (менее 200 человек), поэтому у нас нет официальных опубликованных политик по этому поводу.

Неважно, насколько велика или мала ваша компания, и не имеет значения, есть ли у вас особые правила в отношении этого типа информации. Если эта информация подпадает под действие каких-либо законов о конфиденциальности, это может быть нарушением этих законов.

Да, и пожалуйста, сделайте это анонимно.

Другими словами, я ничего не теряю, если не сообщу об этом, и могу что-то потерять, если сообщу.

Вам определенно следует подумать о том, чтобы сообщить об этом заинтересованным лицам (технический директор, отдел кадров) и сделать это анонимно. В Slack можно удалить сообщение. Если эта информация попадет к нужным людям, они могут попросить постера удалить ее. (Не уверен, что администратор Slack также имеет право удалять/маскировать сообщения).

Кажется, у нас нет способа сообщать о вещах анонимно.

В этот день и век зависимости от цифровых устройств и услуг мы полностью забываем о простоте прошлых времен. Просто пишите анонимные письма заинтересованным лицам :) Не пишите от руки, печатайте и распечатывайте, чтобы замаскировать любую попытку распознавания почерка. У этого даже есть то преимущество, что цифровое сообщение может потеряться в шуме, но обычная почта — верный способ привлечь внимание, поскольку получать его становится все реже.

Доложите об этом.

В свете этой информации никому не будет дела до того, что вы ковыряетесь в Slack; если бы системные администраторы выполняли свою работу, то вы не стали бы поводом для беспокойства, поскольку вам должен был быть отказано в доступе ко всему, что не было в вашем домене, так сказать.

Во всяком случае, если вы не сообщите об этом, это будет выглядеть для вас еще хуже, поскольку это повышает вероятность того, что вы, возможно, пытались использовать информацию для собственной выгоды. По крайней мере, это вызовет вопросы о том, почему вы обращались к этому файлу, не поднимая тревоги. Другими словами, вы больше не будете выглядеть невинным сторонним наблюдателем.

Еще один момент для рассмотрения, который я сделаю с историей об очень похожей ситуации, в которой я оказался на предыдущем работодателе.

Я рылся в нашей сети в поисках чего-то (не имевшего ничего общего с тем, что я нашел) путем поиска в командной строке с регулярным выражением. Я даже не помню, что я искал, но я нашел файл, который каким-то образом совпадал с регулярным выражением, которое представляло собой электронную таблицу, содержащую все ставки заработной платы компании, а также их ставку оплаты (сколько компания взимала с клиентов за наше время) и другие данные, которые вряд ли будут разглашены.

Это были очень интересные данные, но я чувствовал себя виноватым, что нашел и просмотрел файл. Проблема была в том, что в компании было не так уж много людей, которые могли бы найти файл (посмотрев), но он не был защищен ACL или чем-то еще, он просто находился в общей сети. диск без какой-либо особой защиты (даже не только для чтения или защищенного паролем).

Какое-то время я мучился, не сказать ли моему руководителю, потому что не хотел, чтобы они думали, что я слежу, но в конце концов я сказал ему об этом. Выражение его лица, когда я показал ему файл, было впечатляющим, очевидно, он понятия не имел, что такая информация находится в свободном доступе для всех, у кого есть доступ к этому ресурсу (все в компании). Я почувствовал себя лучше, когда рассказал ему об этом (хотя через несколько месяцев он уволил меня вместе с кучей других людей, но я не думаю, что они родственники). Я предложил помочь нашему ИТ-отделу устранить обнаруженную мной брешь, но так и не получил от них ответа.

Итак, проходит еще месяц или два, и я прихожу к выводу, что найденный мной файл ни в малейшей степени не уникален (я знал, как называется его файл, поэтому, когда я увидел похожий файл позже, я узнал, что это за файл). был). Они включили один и тот же файл в каждый каталог заданий, были буквально тысячи копий одного и того же файла. Мои мучения были пустой тратой времени, файлы были не только совершенно незащищенными, они были повсюду, иногда в нескольких копиях в одном рабочем каталоге.

Дело в том, что у загруженной гигантской электронной таблицы может быть много-много-много братьев и сестер, о которых вы не знаете, и, возможно, вам не стоит тратить время на сообщение об этом.

Я не призываю вас игнорировать это, но учтите, что в этой истории может быть нечто большее, чем вы знаете.

Уже есть много замечательных ответов, в которых вам предлагается сообщить об этом неправомерном раскрытии данных, и я полностью с этим согласен . Вы, кажется, беспокоитесь о надлежащей безопасности данных, и это здорово, поскольку каждый в компании играет свою роль в безопасности активов компании. Я не уверен в вашей роли в компании или ее культуре, но если ваше руководство (то есть: директор по информационной безопасности, технический директор и т. д.) заинтересовано в обратной связи, мой ответ на этот вопрос должен быть полезен.

Предложите своей компании задокументировать, утвердить и сообщить всем конечным пользователям, которые будут иметь доступ к данным компании , политику защиты таких данных. Чтобы смягчить будущие сценарии, подобные тому, в котором вы находитесь сейчас, должны быть предусмотрены методы, с помощью которых сотрудники должны сообщать об инцидентах безопасности, и неправильное раскрытие информации, безусловно, будет инцидентом.

Кроме того, похоже, что доступ не контролируется должным образом. Я понимаю, что ваша компания небольшая, но управление доступом будет приобретать все большее значение по мере роста вашей компании. Отличной практикой для принятия будет принцип наименьших привилегий доступа , чтобы сотрудники / поставщики / стажеры, которым необходим доступ для выполнения своей работы, имели доступ.

200 сотрудников — это достаточно много, и я очень удивлен отсутствием политики. Моим последним работодателем была некоммерческая профессиональная ассоциация, насчитывающая около 50 человек, и я столкнулся с похожей ситуацией. Никаких политик, лучших практик, ничего документированного, нулевая согласованность. Любой, кто хотел бы напасть на нас, вероятно, мог бы сделать это без сопротивления.

Я взял на себя ответственность за это и начал разрабатывать политики, чтобы поделиться ими со своим боссом, который был вице-президентом по ИТ. Технически меня наняли, чтобы я занимался управлением веб-сайтом компании, но в итоге я занимался почти всем в ИТ-отделе. Люди были очень шокированы тем, насколько уязвимыми были наши системы, и никогда не задумывались о многих рисках. Никто никогда не спрашивал, почему я так много знаю об этой теме, но мой босс всегда хотел услышать ответы. Наш системный администратор развернул инструменты мониторинга на нашем почтовом сервере, чтобы обнаруживать и блокировать передачу PII, и это спасло нас по крайней мере от одного инцидента, когда сотрудница пыталась отправить себе по электронной почте все платежные данные, чтобы она могла обрабатывать платежную ведомость, работая дома.

Это возможность для вас взять на себя ответственность и стать лидером, если вы этого хотите. Я понимаю ваши опасения; Я был в компаниях, которые руководствовались уклонением от ответственности и обвинением других, несмотря на наши «гибкие» процессы. Я очень тщательно выбирал, кому подчиняться, и в итоге оказался выше своего непосредственного начальника, потому что он действительно заботился только о том, чтобы проблемы не возвращались к нему каким-либо образом, и мне приходилось часами объяснять вещи в деталях, чтобы он мог попытаться контролировать себя на микроуровне. безопасность. Если вы находитесь в среде, в которой вы опасаетесь, что вас могут наказать за то, что вы делаете правильные вещи и улучшаете компанию, вы не находитесь на здоровом рабочем месте и должны подумать об уходе в ближайшее время.

Я просматриваю ваше руководство для сотрудников на предмет чего-либо относящегося к делу, готовлю письменное заявление и дискретно поднимаю этот вопрос перед руководителем, которому вы доверяете.