Комментарии 16
Вот мне стало интересно, как бумажка защитит организацию, если
Вывод у меня такой: самая сложная часть в таких делах — доказать, что именно SMM-щик «слил» информацию о паролях.
Вы хоть тонну бумажек напишите, толку с этого ноль :)
Также:
Чем больше бумажек, тем сложнее будет процедуры обновления/получения пароля. И в итоге, все будет просто работать медленнее, и все. Ну и формально у руководителя будет прикрыта 5ая точка, но если проихойдет "инцидент безопасности", то бумажками он все равно будет разве что подтираться
Компроментация пароля может произойти кучей способов, в том числе банально украден. Что дальше?
Намного проще, если ресурс поддерживает, закрыть аутентификацию вторым фактором, чем пытаться "юридически" создать иллюзию безопасности
Ну и надо понимать, что это все давно изобретено уже давно и изюется всеми. Ну разве что мелкие конторки
Но само по себе NDA не будет работать. Почему?
...
Самая главная причина в том, что в компании не выстроен режим коммерческой тайны.
Если кто то решил именно слить явки/пароли, то можно бумажками обложиться хоть в три слоя. Смысла в этом никакого в плане предотвращения. Давным давно существует уголовный кодекс и система тюрем, но преступления никуда не исчезли.
Я так думаю автор вёл к тому, что юридически даже предъявитель тому, кто слил конфиденциальную информацию, ничего нельзя, если вы не оформили всё как следует. А если оформили - то уже можно и в суд пойти и компенсацию стрясти.
Автор хоть и пишет на ИТ ресурсе, но кажется сам не понимает, что аутентификация пользователя не имеет никакого отношения к NDA. Тем более по описанному в статье примере.
Если SMM передал свой пароль, и на сайте опубликовали левый материал, то за это будет отвечать именно SMM, так как по формальным критериям это сделал именно он сам. Либо ему придется доказывать, что его взломали, пытали и прочее.
А если с помощью этого логина-пароля заходят 10 человек или с помощью логина SMM можно войти в корпоративную сеть для чтения коммерческой информации, то тут проблема не в пароле, а либо к ИТ отделу, либо это неправомерный доступ к компьютерной информации, но опять же NDA тут не причем.
Ни тот случай, ни другой. Речь об аккаунте компании в соцсети. SMM входит в аккаунт компании под логином и паролем, которые были установлены кем-то из сотрудников компании. А потом этот пароль передаёт кому-то, кому не должен передавать. Используя пароль, в аккаунте компании постят некую условную дичь, у компании определённый убыток.
Используя пароль, в аккаунте компании постят некую условную дичь, у компании определённый убыток.
Это скорее ущерб деловой репутации, неправомерный доступ и т.д. но никак не относится ни к NDA, ни к коммерческой тайне. И юридически правильно это называется не убыток, а упущенная выгода или недополученная прибыль.
Вывод у меня такой: самая сложная часть в таких делах — доказать, что именно SMM-щик «слил» информацию о паролях. Но можно сделать то, что зависит от компании: ввести режим коммерческой тайны, фиксировать, кому и когда даётся доступ к информации, чтобы минимизировать риски.
Тут возникает вопрос, а какой в этом смысл в большинстве случаев? Если у сервиса один аккаунт, то тот, кто давал SMMшику доступ, может так же этот пароль передать кому-то ещё.
Если архитектурой системы не предусмотрены явно разные эксклюзивные аккаунты сотрудников без возможности для администратора получить к ним доступ, то на все вопросы сотрудник может отвечать «Не я, ничего не знаю»
Коммерческая тайна — это информация, которую компания не разглашает, чтобы увеличить доходы, избежать неоправданных расходов, сохранить или улучшить своё положение на рынке либо получить любую другую коммерческую выгоду.
Логин и пароль - это способ аутентификации пользователя в компьютерной системе или на сайте.
Наталья, Вы точно уверены, что логин и пароль попадают под категорию "коммерческой тайны" и для его использования нужно расписываться в журнале ознакомления с коммерческой тайной компании?
Да. Нужно установить в отношении этих сведений режим коммерческой тайны.
Из определения ФЗ "О комм. тайне" информация, составляющая коммерческую тайну, обладает следующими признаками:
1. это любая информация, за исключением перечисленной в ст.5 закона.
2. в отношении нее установлен режим ком. тайны
она ценна, пока неизвестна третьим лицам и к ней нет доступа.
Мда... Я же вам даже специально процитировал, что такое логин и пароль.
А вы в курсе, что при нормально настроенной политике безопасности в компании, пароль пользователя не знает даже системный администратор (это такой самый главный человек по компьютерам), да и пользователь может поменять пароль в любой момент? Другими словами, даже если бы использование логина и пароля для аутентификации пользователей требовался режим коммерческой тайны, то расписываться было бы не за что?
Я видела цитату, да. Но логин и пароль отвечают признакам, которые указаны в законе. И передача информации должна же фиксироваться документально, о том, кто получает доступ к аккаунту в соцсети.
Поэтому, для критических ресурсов выдают one-time password. После смены которого никто, кроме установившего его, его извлечь из системы не может.
Я согласен с коллегами выше - вы не понимаете о чем пишете. Процедуры безопасности заменить бумагами нельзя. Только создать иллюзию или найти козла отпущения.
Будет уголовка тому, кто воспользовался логином, а SMM пойдет как соучастник.
Это если нужно его будет наказать.
А так то - NDA тут вообще не причем.
защитить секретные данные — логин и пароль аккаунта в соцсети.
Лучше лечить причину – дайте ему в качестве второго фактора юбикей и толку от слива почти нет (или оставьте второй фактор у себя)
Разве что чел пошерил полностью профиль браузера со всеми куками, это же по NDA не запрещено у вас?
А если соцсеть не использует кукисы, а local storage или типа того? (Например github)
Почтой аккаунта тоже только он владеет или это мейлгруппа, или алиас от имей-рилея? На случай странных изменений в аккаунте и удаления с почтового сервера записей об этом – чтобы был бэкап
Менеджеры паролей используете? Бывает пароли очень простые люди ставят (простое слово, первая буква большая, в конце единичка и восклицательный знак). Менеджеры паролей вам по 100 символов могут генерировать, да так, что в утечках лишь часть засветится
Если не в менеджере паролей, то где храните? Текстовый файл или браузер? И как в таком случае доказать, что не инфостилер их спёр? Надеюсь хотяб антивирусом пользуетесь и только официальным ПО (не крякнутым, кряки с торрентов = вы уже часть ботнета)
А будет ли нарушением NDA, если сотрудник стал жертвой фишинговой атаки? Вы ведь проводите такие учения и обучения? Также имеете MDR/EDR решения, чтобы доказать невиновность сотрудника?
P.S.: сегодня в современном мире мы не знаем не то, что пароли, но и логины, и вторые факторы ;)
Поможет ли NDA, если SMM-щик решит «слить» пароль от аккаунта компании