четверг, 7 июня 2007 г.

О наболевшем.

Собственно, об информационной безопасности и ее важности говорят все, только у каждого свои причины об этом говорить и при этом не заниматься безопасностью. Казалось бы, уже того, что могут быть украдены/уничтожены/искажены какие-то данные должно быть достаточно для того, чтобы пытаться их защитить. Ан нет. Не защищают.

Тогда давайте подкинем пару деталей, относящихся, собственно, не столько к безопасности данных, сколько к Вашей личной безопасности. Например, недавно был украден ноутбук с базой данных, содержащих личные данные всех полицейских штата Техас. Кому и с какой целью будут проданы эти данные - неизвестно, но ясно, что жизнь этих полицейских может оказаться под угрозой (Ох уж мне эти ноутбуки, да и вообще мобильные устройства. Я бы вообще специально для них выдумал бы  заново наши старые армейские наклейки с надписью: "обработка конфиденциальной информации запрещена". Поперек экрана. Просто потому, что только в Лондонском такси за полгода теряется по 5000 ноутбуков и PDA и более 60000 мобильных телефонов, многие из которых сейчас мало отличаются от PDA). Вы мне скажете: "что мне до полицейских, я ITшник"? ОК, не вопрос. По информации King Research 73% потерявших работу ITшников потеряли ее из-за инцидентов безопасности. Вы все еще не заинтересованы в безопасности?

О, Вы заинтересовались? И тут возникает масса крайностей:

  • Поставить абсолютно все программы, обеспечивающие безопасность, какие только найдены и... утонуть в получившемся океане информации.
  • Поставить систему и... не настроить ее.
  • Настроить единожды систему и... перестать ее мониторить и подгонять под суровые реалии жизни.
  • Увидеть сообщение о страшной уязвимости "в анимированном курсоре" и не поставить никакого патча. (Патч вышел, а код использующий эту уязвимость все еще занимает больше 11% всех инцидентов).

Ну и, спрашивается, зачем? Зачем Вы тогда об этом говорите? Неужели трудно на несколько недель отключить говорилку и хотя бы просто поставить везде антивирус, систему управления обновлениями (e.g. WSUS), и установить на тех же ноутбуках шифрацию информации (EFS, для Vista BitLocker, Для *nix тоже есть свои решения) и назначить ответственного за управление этой системой? Конечно, и эти шаги отнюдь не панацея, они всего лишь затрудняют работу для тех, кто не пытается целенаправленно завладеть именно Вашей информацией. Да и тот же BitLocker должен повлечь за собой изменение настроек лаптопа с тем, чтобы при закрытии крышки, например, он (лаптоп) уходил в hibernation, а не в stand-by. Но даже это лучше пустых разговоров. Сделайте это. Пусть это будет первым шагом. А потом понемногу можно развивать эту схему, чтобы сделать Ваши данные неуязвимыми.

5 комментариев:

Pavel Nagaev комментирует...

Саша, главная проблема - понимание собственно безопасности. Я стал об этом задумываться, когда набрал в гугле свое имя и фамилию. Я поражаюсь людям, которые заполняют анкеты на сайтах, указывая персональную информацию. Все эти новомодные социальные сети - поиск одноклассников и т.д. Опытному мошеннику нужно просто собрать сведения в Интернете и можно развести вас или других людей на что угодно, используя эти данные. Один из знакомых людей потерял бумажник с прилепленными пинкодами. А человек он очень не бедный. Секретарше пришлось долго возиться с банками, чтобы карты заблокировать. Ведь номеров карт тоже не осталось :-) Про компьютерную безопасность я молчу вообще. У меня у самого сперли ПИН код и через инет отправили деньги на какое-то ООО на Украине. Хорошо банк не успел отправить и их служба безопасности позвонила мне сначала. Как сперли - я до сих пор не знаю, есть подозрение, что камера сняла возле банкомата номер и пинкод. Правда банк поменял систему безопасности, но прецедент был.

Alexander Trofimov комментирует...

Да ясно все это, Паша. И про поиск информации тоже ясно (хотя про меня, вроде можно там вычислить только основное место жительства, то есть форумы TechNet и, может быть, место работы. Параноик я =) ). Я как раз и писал, собственно, о том, что безопасность это не только и не столько деньги, на которые ты попадаешь при инциденте. Это даже не программы и не политики. Это, прежде всего, отношение к себе, своей жизни и жизни окружающих. Если я не могу вдолбить человеку, что пароль из 34х разнообразнейших символов, прикрепленный к днищу клавиатуры или, как в твоем примере, пин-код, хранящиеся вместе с пластиковыми картами это опасно, то какой мне, нафиг, толк от шести антивирусов на одной рабочей станции. Если я не ставлю патч в течении хотя бы недели поле его выхода и дожидаюсь не то что эксплойта - вируса, использующего данную уязвимость, то никакой антивирус и файрволл (который тоже стоит с правилами по-умолчанию и не мониторится) мне уже не поможет.
Меня просто удивляет инертность большинства наших менеджеров и ITшников. Они думают, что раз сейчас такой период в жизни страны, что мелкие и средние фирмы особенному риску не подвергаются, то так будет и впредь. Хотя на западе хакеры - нет, лучше сказать, воры, потому что цель уже не прогреметь на весь мир, а снять денег - уже начинают потихоньку шерстить этот класс предприятий. А они не готовы. 43% этих самых средних предприятий имеют годовой бюджет на ИБ менее $100К. Это там. А у нас такого бюджета у многих и вовсе нет. Именно поэтому нужно потихоньку поднимать понимание предмета безопасности, и зачем она нужна. Потому что через пару лет может начаться (а может и раньше) и тогда люди спросят меня и таких как я: «а где вы были?». А мне этого жуть как не хочется =)

Михаил Даньшин комментирует...

Сегодня по радио слышал, что по статистике, за год, в такси New York'а забывается около 10 000 ноутбуков.

А вы никогда не задумывались о том, что даже если и выполняется требование не светить номер пластиковой карты в слипе (недавно ввели такое требование), то пишется ли он в log-файл на POS терминале?
Я больше не расплачиваюсь в магазинах пластиковыми картами.
Администратору ничего не стоит подделать номер карты в файле который передается в банк. И деньги спишутся с другого счета. Как поставлен обмен данными между POS-терминалом и банком я вообще молчу. Могу целую статью написать на эту тему.

Alexander Trofimov комментирует...

Приветствую, Михаил.
Ну, во-первых, а почему бы и не написать Вам действительно такую статью? =)
Во вторых понятно, что при общении с пластиком возникают риски, которых нет при общении с наличными. Хотя, по крайней мере, на западе обычно такие вот мошеннические операции с карточками вредят банку, а не владельцу карты. Разве что нервы тратят сильнее. Зато красть саму карту - совершенно бессмысленное занятие, в отличии от наличных. И для меня это перевешивает =)

Михаил Даньшин комментирует...

Здравствуйте Александр.
Статью писать боюсь, вдруг ее кто ни будь увидит. :)
И нал и пластик сопряжен с определенными рисками. Просто о них надо знать и учитывать. Если среднестатистическому человеку с налом все понятно, но с пластиком не все так прозрачно, что делает подобные мошеннические операции настолько простыми, что порой страшно.