Как стать автором
Обновить

Поможет ли NDA, если SMM-щик решит «слить» пароль от аккаунта компании

Уровень сложностиПростой
Время на прочтение2 мин
Количество просмотров2.4K
Всего голосов 8: ↑2 и ↓60
Комментарии16

Комментарии 16

Вот мне стало интересно, как бумажка защитит организацию, если

Вывод у меня такой: самая сложная часть в таких делах — доказать, что именно SMM-щик «слил» информацию о паролях.

Вы хоть тонну бумажек напишите, толку с этого ноль :)

Также:

  • Чем больше бумажек, тем сложнее будет процедуры обновления/получения пароля. И в итоге, все будет просто работать медленнее, и все. Ну и формально у руководителя будет прикрыта 5ая точка, но если проихойдет "инцидент безопасности", то бумажками он все равно будет разве что подтираться

  • Компроментация пароля может произойти кучей способов, в том числе банально украден. Что дальше?

  • Намного проще, если ресурс поддерживает, закрыть аутентификацию вторым фактором, чем пытаться "юридически" создать иллюзию безопасности

Ну и надо понимать, что это все давно изобретено уже давно и изюется всеми. Ну разве что мелкие конторки

Но само по себе NDA не будет работать. Почему?

...

Самая главная причина в том, что в компании не выстроен режим коммерческой тайны.

Если кто то решил именно слить явки/пароли, то можно бумажками обложиться хоть в три слоя. Смысла в этом никакого в плане предотвращения. Давным давно существует уголовный кодекс и система тюрем, но преступления никуда не исчезли.

Я так думаю автор вёл к тому, что юридически даже предъявитель тому, кто слил конфиденциальную информацию, ничего нельзя, если вы не оформили всё как следует. А если оформили - то уже можно и в суд пойти и компенсацию стрясти.

Автор хоть и пишет на ИТ ресурсе, но кажется сам не понимает, что аутентификация пользователя не имеет никакого отношения к NDA. Тем более по описанному в статье примере.

Если SMM передал свой пароль, и на сайте опубликовали левый материал, то за это будет отвечать именно SMM, так как по формальным критериям это сделал именно он сам. Либо ему придется доказывать, что его взломали, пытали и прочее.

А если с помощью этого логина-пароля заходят 10 человек или с помощью логина SMM можно войти в корпоративную сеть для чтения коммерческой информации, то тут проблема не в пароле, а либо к ИТ отделу, либо это неправомерный доступ к компьютерной информации, но опять же NDA тут не причем.

Ни тот случай, ни другой. Речь об аккаунте компании в соцсети. SMM входит в аккаунт компании под логином и паролем, которые были установлены кем-то из сотрудников компании. А потом этот пароль передаёт кому-то, кому не должен передавать. Используя пароль, в аккаунте компании постят некую условную дичь, у компании определённый убыток.

Используя пароль, в аккаунте компании постят некую условную дичь, у компании определённый убыток.

Это скорее ущерб деловой репутации, неправомерный доступ и т.д. но никак не относится ни к NDA, ни к коммерческой тайне. И юридически правильно это называется не убыток, а упущенная выгода или недополученная прибыль.

Вывод у меня такой: самая сложная часть в таких делах — доказать, что именно SMM-щик «слил» информацию о паролях. Но можно сделать то, что зависит от компании: ввести режим коммерческой тайны, фиксировать, кому и когда даётся доступ к информации, чтобы минимизировать риски.

Тут возникает вопрос, а какой в этом смысл в большинстве случаев? Если у сервиса один аккаунт, то тот, кто давал SMMшику доступ, может так же этот пароль передать кому-то ещё.

Если архитектурой системы не предусмотрены явно разные эксклюзивные аккаунты сотрудников без возможности для администратора получить к ним доступ, то на все вопросы сотрудник может отвечать «Не я, ничего не знаю»

Коммерческая тайна — это информация, которую компания не разглашает, чтобы увеличить доходы, избежать неоправданных расходов, сохранить или улучшить своё положение на рынке либо получить любую другую коммерческую выгоду.

Логин и пароль - это способ аутентификации пользователя в компьютерной системе или на сайте.

Наталья, Вы точно уверены, что логин и пароль попадают под категорию "коммерческой тайны" и для его использования нужно расписываться в журнале ознакомления с коммерческой тайной компании?

Да. Нужно установить в отношении этих сведений режим коммерческой тайны.

Из определения ФЗ "О комм. тайне" информация, составляющая коммерческую тайну, обладает следующими признаками:

1. это любая информация, за исключением перечисленной в ст.5 закона.

2. в отношении нее установлен режим ком. тайны

  1. она ценна, пока неизвестна третьим лицам и к ней нет доступа.

Мда... Я же вам даже специально процитировал, что такое логин и пароль.

А вы в курсе, что при нормально настроенной политике безопасности в компании, пароль пользователя не знает даже системный администратор (это такой самый главный человек по компьютерам), да и пользователь может поменять пароль в любой момент? Другими словами, даже если бы использование логина и пароля для аутентификации пользователей требовался режим коммерческой тайны, то расписываться было бы не за что?

Я видела цитату, да. Но логин и пароль отвечают признакам, которые указаны в законе. И передача информации должна же фиксироваться документально, о том, кто получает доступ к аккаунту в соцсети.

Поэтому, для критических ресурсов выдают one-time password. После смены которого никто, кроме установившего его, его извлечь из системы не может.
Я согласен с коллегами выше - вы не понимаете о чем пишете. Процедуры безопасности заменить бумагами нельзя. Только создать иллюзию или найти козла отпущения.

Когда есть такое решение - прекрасно. Но как быть с аккаунтлм в соц. сети? Тоже изменяют? Я вижу это с юридической стороны, когда такую инфу передают по актам, чем фиксируют факт передачи информации в документе. Да, чтобы найти козла отпущения, для этого и существует процедура.

Будет уголовка тому, кто воспользовался логином, а SMM пойдет как соучастник.

Это если нужно его будет наказать.

А так то - NDA тут вообще не причем.

защитить секретные данные — логин и пароль аккаунта в соцсети.

Лучше лечить причину – дайте ему в качестве второго фактора юбикей и толку от слива почти нет (или оставьте второй фактор у себя)

Разве что чел пошерил полностью профиль браузера со всеми куками, это же по NDA не запрещено у вас?

А если соцсеть не использует кукисы, а local storage или типа того? (Например github)

Почтой аккаунта тоже только он владеет или это мейлгруппа, или алиас от имей-рилея? На случай странных изменений в аккаунте и удаления с почтового сервера записей об этом – чтобы был бэкап

Менеджеры паролей используете? Бывает пароли очень простые люди ставят (простое слово, первая буква большая, в конце единичка и восклицательный знак). Менеджеры паролей вам по 100 символов могут генерировать, да так, что в утечках лишь часть засветится

Если не в менеджере паролей, то где храните? Текстовый файл или браузер? И как в таком случае доказать, что не инфостилер их спёр? Надеюсь хотяб антивирусом пользуетесь и только официальным ПО (не крякнутым, кряки с торрентов = вы уже часть ботнета)

А будет ли нарушением NDA, если сотрудник стал жертвой фишинговой атаки? Вы ведь проводите такие учения и обучения? Также имеете MDR/EDR решения, чтобы доказать невиновность сотрудника?

P.S.: сегодня в современном мире мы не знаем не то, что пароли, но и логины, и вторые факторы ;)

Это я к чему:

Культура и защита это не то, что можно описать на бумаге и оно заработает, — их нужно выстраивать (как процесс)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории