Гособлако в Индии годами сливало персональные данные и документы в интернет. Поисковики все это индексировали
Правительство Индии борется с проблемой утечки конфиденциальных данных граждан, возникшей из-за неправильной конфигурации облачного сервиса. Гособлако использовалось для создания правительственных веб-сайтов.
Потеря персональных данных
По информации издания TechCrunch, гособлако правительства Индии годами допускало утечки персональных данных граждан в интернет. Проблема усугубляется тем, что поисковые системы проиндексировали эту информацию. Таким образом, любой желающий может искать сведения о тех или иных лицах при помощи привычных запросов.
Исследователь безопасности обнаружил сотни документов с личной информацией, такой как номера Aadhaar, данные о вакцинации от COVID-19 и паспортные данные, выложенные в интернет.
В 2022 г. исследователь безопасности Сураджит Маджумдер (Sourajeet Majumder) обнаружил, что эта уязвимость потенциально может привести к раскрытию информации. конфиденциальных личных данных около 250 тыс. граждан Индии, в первую очередь получателей вакцины от COVID-19.
После того как ИБ-специалист Маджумдер сообщил об этом Internet Freedom Foundation, CERT-In и Национальный центр информатики при правительстве Индии быстро приняли меры для удаления ссылок на конфиденциальные файлы из сети. Однако исследователь утверждает, что утечка данных на апрель 2024 г. продолжается и это создает риск для кражи личных данных и мошенничества граждан Индии.
По словам Маджумдера, конфиденциальные данные некоторых граждан начали попадать в сеть уже после того, как он впервые раскрыл информацию о неправильной конфигурации в 2022 г. TechCrunch сообщил о некоторых открытых данных в CERT-In. В связи с продолжающимся обнародованием личных данных Сураджит Маджумдер обратился к TechCrunch за помощью в обеспечении безопасности оставшихся данных.
Утечка была обнаружена в облачной платформе под названием S3WaaS, которая позиционируется как «безопасная» система для создания и размещения государственных веб-сайтов. CERT-In быстро признала проблему, и ссылки с конфиденциальными файлами из публичных поисковых систем были удалены. Точный масштаб данных, которые попали в интернет на апрель 2024 г. неизвестен. Однако исследователь Маджумдер предупреждает, что злоумышленники, вероятно, уже продали эти данные на форумах.
Облачный сервис S3WaaS
S3WaaS - это сервис, разработанный для государственных организаций с целью создания безопасных, масштабируемых и доступных веб-сайтов. Он позволяет государственным организациям выбирать различные темы для создания веб-сайтов, а также легко настраивать и управлять контентом, что дает им возможность поддерживать свое присутствие в интернете.
Государственные организации, которым требуются веб-сайты преимущественно информационного характера, могут использовать фреймворк S3WaaS для создания и размещения веб-сайта в домене gob.in или nic.in.
Гособлако
В наше время цифровизации и информатизации государства играют важнейшую роль в обеспечении своих граждан качественными государственными услугами и безопасным хранением информации. В этом контексте, одним из ключевых проектов, ориентированных на совершенствование информационных систем и обеспечение их безопасности, является «Гособлако» – единая облачная платформа, предназначенная для госорганов.
«Гособлако» - это набор стандартизированных облачных услуг, предоставляемых независимыми поставщиками. Управление государственной единой облачной платформой осуществляется государственной информационной системой управления распределенной информационно-коммуникационной инфраструктурой. Это позволяет государственным учреждениям сэкономить средства, которые ранее тратились на обслуживание собственной информационно-технологической инфраструктуры, и тем самым оптимизировать использование бюджетных средств.
Основными пользователями этой системы являются госорганы и сфера здравоохранения. С течением времени ожидается, что все больше государственных платформ перейдет на использование этой безопасной, быстрой и более экономичной технологии облачных вычислений.
Утечка данных
Это когда конфиденциальные данные пользователя или организации становятся доступными, похищаются и используются неавторизованными пользователями. Злоумышленники могут получить доступ к конфиденциальным данным, когда они случайно раскрываются из-за человеческой ошибки или через уязвимости в инфраструктуре данных. Они также могут украсть конфиденциальные данные, нацелясь на пользователя или организацию с помощью кибератаки. Утечка данных может привести к краже персональных данных, при которой злоумышленники крадут личную идентифицирующую информацию жертвы (PII) и выдают себя за нее для совершения мошенничества.
Большинство организаций, которые сталкиваются с утечками данных, либо некачественно расследуют инциденты, поэтому не располагают достоверной информацией о количестве нарушенных и скомпрометированных баз данных. В другом случае не афишируют инциденты по разным причинам, например, чтобы сохранить репутацию, как в случаи с S3WaaS.
Для того чтобы снизить риски утечки информации, руководители компаний все чаще внедряют современные технологии и системы безопасности. Общемировые траты на обеспечение информационной безопасности (ИБ), по оценке Gartner, к концу 2017 г. превысили $86 млрд. В 2018 г. компании потратили на защиту данных более $93 млрд.