🍪 Федеральный Закон №152-ФЗ обязывает нас уведомить вас, что в целях корректного функционирования сайта, мы собираем метаданные, такие как cookie, данные об IP-адресе и местоположении.
OK
Блог

Самые нелепые нарушения ИБ: когда виноват человек

Безопасность
Информационная безопасность — это не только про фаерволы, антивирусы и зашифрованные базы данных. На деле, куда чаще причиной утечки становится человек. Один забытый стикер, отправленный файл, "удобная" привычка — и корпоративные данные уже в чужих руках.
Ниже привели реальные истории из практики российских компаний. Глупые, смешные, но от этого не менее опасные.

1. Пароль от Wi-Fi — на стикере под роутером

Что случилось:
В одной из аптек в Нижегородской области системный администратор прикрепил логин и пароль от корпоративной Wi-Fi-сети прямо к роутеру на видном месте. Пароль был несложным — pharmacy2023, а логин — admin.
Чем все закончилось:
Один из клиентов сфотографировал стикер и выложил в соцсети. Внутренняя сеть оказалась полностью открытой, включая доступ к системам учета и частично к базе пациентов. Роскомнадзор провел проверку, зафиксировал нарушение ФЗ-152 и выписал штраф. Аптека была вынуждена модернизировать оборудование и пересмотреть ИБ-политику.

2. Excel с клиентской базой — всем по email

Что случилось:
Менеджер по персоналу фитнес-клуба в Екатеринбурге разослала по внутренней рассылке Excel-файл с полной базой клиентов: ФИО, телефоны, адреса, даты рождения и паспортные данные. Это была "техническая рассылка", которую никто не проверил.
Чем все закончилось:
Файл попал к уволенному сотруднику, который опубликовал его в закрытом телеграм-чате. Спустя пару дней клиенты начали получать фишинговые сообщения. Роспотребнадзор инициировал проверку, клубу пришлось внедрить систему контроля доступа к данным и провести обучение персонала.

3. Админка сайта без пароля — «кому она нужна»

Что случилось:
Создатель сайта магазина подарков из Новосибирска не стал ставить пароль на административную панель сайта. Любой мог перейти по адресу site.ru/admin и получить доступ к управлению.
Чем все закончилось:
Сайт попал в базы сканеров, и вскоре туда залили вредоносный код. Злоумышленники начали собирать платежные данные и редиректить клиентов на поддельные страницы. Пострадала репутация, пришлось менять хостинг, восстанавливать сайт и обращаться к специалистам по ИБ.

4. «ПАРОЛИ» в заметках телефона без пароля

Что случилось:
Системный администратор IT-компании из Казани хранил логины и пароли от серверов, баз данных и облачных хранилищ в обычной заметке на своем телефоне. Название заметки — «ПАРОЛИ». Телефон не был защищен даже пин-кодом.
Чем все закончилось:
Смартфон украли в кафе. Воры получили доступ к конфиденциальной информации и инфраструктуре компании. Экстренная смена всех учетных записей, аудит уязвимостей, простои в работе — итог безобидной на первый взгляд привычки.

5. Флешка с клиентской базой забыта в такси

Что случилось:
Сотрудник интернет-магазина из Ростова-на-Дону сохранил базу клиентов на USB-флешке и поехал с ней на встречу. Забыл накопитель в салоне такси. На корпусе маркером было подписано: «Клиенты_2023».
Чем все закончилось:
Таксист сдал флешку в пункт приема техники. Там ее подключили, увидели данные — и сообщили в СМИ. База содержала более 50 000 клиентов. Компания попала под проверку, получила административный штраф и понесла расходы на создание централизованной системы хранения.

Вывод

Эти случаи кажутся забавными, но за ними — настоящие проблемы: утечки данных, штрафы, недовольные клиенты и потерянные деньги. Все они произошли из-за простых и легко избегаемых ошибок.

Человеческий фактор — одна из главных угроз информационной безопасности. Слишком слабый пароль, открытая ссылка, неосторожная рассылка — и доступ к данным уже у злоумышленников.

ИБ начинается с базовых вещей: надежных паролей, понятных инструкций и внимательных сотрудников. Даже в небольшой компании нельзя пускать все на самотек.

Лучше заранее подумать о защите, чем потом разбираться с последствиями.