Pull to refresh

Comments 53

А если смартфон нужен по работе — гвоздем пробить объектив..

Фронтальной камеры это же не касается, правда? А чо, в объективе дырка, проходи.
Я в такие места хожу как вендор, для них правила попроще ибо в сопровождении. Местные показывали царапины гвоздем на айфонах. Буду еще — поинтересуюсь…
Как в анекдоте — потенциально мы миллионеры, а на практике — две проститутки в доме.


В аду есть специально место для тех, кто говорит «как в анекдоте» и не рассказывает анекдота.
Приходит сын к отцу.
— Папа, чем отличается теория от практики?
— Спроси свою сестру, переспала бы она с первым встречным за полмиллиона.
— Она говорит, да.
— Теперь спроси маму.
— Она говорит, тоже да.
— Так вот: Теоретически — у нас есть миллион. Практически — две проститутки в доме.
UFO just landed and posted this here
Честно говоря ИМХО самая большая угроза — это проводимый даунгрейд России и законодательства России.
Объективно это можно понять — бюрократический способ управления не может угнаться за технократическим (IT) и стремится его придавить на своем поле. НО это классический пример конфликта сил и отношений.
И обучить пользователей азам социальной гигиены тем более нереально


Реально и необходимо.

До изобретения искусственного интеллекта никакой автомониторинг не справится с естественной глупостью.
После известного случая, когда начальница отдела безопасности АЭС в фейсбуке сама (!!!) выложила схему за которую отвечала — я потерял веру в этот сценарий, уж извините.

Так что необходимо — но нереально, увы.
Стыдно сказать, но пятиминутное гугление ее не выловило.

Ведь читал со ссылками и даже название АЭС фигурировало и фамилия-имя. То ли мистика, то ли склероз…

Нашел только вот такие случаи. Или такие.

;-(
Это тяжело (особенно с людьми старшего поколения) но реально.

Просто нужно, чтобы «боссы» перестали уклоняться от тренингов (и воргеймов!) и тогда мозги персоналу можно будет более-менее вправить.

Вдруг подумалось:

Может просто приглашать сейлза из контор, занимающихся конкурентной разведкой, собрать в конеферум простых мариванн, и дать мариваннам послушать, что да как эти ребята делают «условно законными методами»
А мариваннам то от этого какой прок — они побегут срочно пинать главного безопасника? Который отличный специалист по запорам и кадрам, но вот айти — это не его?

Вы ж учтите, им на страшные убытки плевать. Они честно в офисе с 9 до 6, их дома ждут голодные мужья и дети. И у них есть выбор — сделать быстро и небезопасно и быть дома пораньше, или просидеть в офисе до ночи но зато с подтанцовками.

Ведь все эти убытки, и т. д. — процесс вероятностный, и скорее всего — ничего страшного не произойдет от одного раза пересылки почты контрагенту через мейлру. Зато быстро и дойдет гарантированно, это не местный эксчейндж с постфиксом фронтэндом, с грейлистингом, так что почта ходит через раз.

И между выбором «детей забрать из школы» и «мутная страшилка» мариванны выберут именно детей, это естественно и разумно.

Вот заставить гендира подчиняться полисям — это уже огромный успех. Он и сам помучается и других заставит сделать по нормальному, а не «мы не принимаем почту от гугля, там спам бывает». Но это такая редкость…

Все упирается в совершенно неочевидные и постоянные расходы, которые подлежат списанию. И непонятно как их списывать — с отдела проходившего трейнинг? Или с расходов всей лавки? А что делать если трейнинг вот он а вся контора лежит из-за какого-нибудь конфикера? Одни убытки чес-слово, эти ваши секуритя, лучше бы продлили подписку на «касперыча»!..
Задача эдакого мероприятия состоит исключительно в изжитии той самой естественной глупости, и привитии сотрудникам здоровой осмотрительности. Ведь думаю тетка с АЭС «зафейсбучила» документ отнюдь не с целью нанесения ущерба предприятию.

Взаимодействия с безопасником и всяческие полиси — это всетки немного другое. Тут цель — именно менталитет этот по[redacted]истический «пробить».

А так да, вопрос о том как оправдать расходы на эти тренинги — он актуален. Правда, как правило, только для тех кто еще не наступал на какие-нибудь грабли, связанные именно с «общей подготовленностью сотрудников».
То что мне попадалось — это было больше похоже на попытку переложить оргмеры на трейнинг. То есть вместо внедрения грамотной политики безопасности, с награждением непричастных и наказанием невиновных, мы просто напугаем теток до ужаса, и вот она — безопасность.

Примерно так размножались кактусы по офисам — они же притягивают ЭМИ от ЭЛТ монитора! ;-)

Я не к тому что пугать теток не надо — но виноват тут не менталитет. В Германии и США то же самое.

Ведь совершенно несложными оргтехмерами можно упростить использование внутреннего портала (вздрючить админов) и усложнить доступ к сервисам снаружи. Например, подойдет известный способ борьбы с просмотром ютуба на работе, который заключается в публикации статистики на видном месте. «Ииии! Василий Петрович занимает первую строчку хит парада!»

Мариванна конечно не хочет куковать на работе, но попасть на доску позора она хочет еще меньше.

Ну и про расходы, даже при неоднократном наступании на грабли — во-первых неочевидно что виноваты именно трейнинги (или их отсутствие), а во-вторых решать будут безопасники (закрутить гайки!) и техдиректор (надо купить DLP!), про персонал вспомнят последними и только по подсказке вендора свежекупленного чудо-комплекса.

И кстати трейнинги если и проведут то разовые — всем же понятно что это вендор хочет еще денег, тут же и так все понятно (Ц)…

Я когда внедряю систему — сразу предупреждаю что она сложная и всем выгодно провести трейнинги. И с бааальшим скрипом дело идет, как правило сначала бегут набивать себе шишки, и только потом вспоминают про обучение персонала. Хотя казалось бы… Проще им продать еще несколько дополнительных магических модулей к основному продукту, натурально.

Так это комбайн им по профилю — а с безопасностью совсем печально. Если вицепрезидент лично не застроит начальников управлений — то админы поставят еще одну суперсофтину (не решающую ничего) и все.

Может это мне так везет…
Хм. Вот не понимаю, какое отношение имеет список лидеров Ютуба к ИБ.
Или например некоторые «безопасники» занимаются анализом того, кто понимаешь «клубничку» качает.
Это все темы кадрового управления и анализа оптимизации распределения труда. Когда коту делать нечего, он сами понимаете…

Есть риск утечки через мейлрушеку или соц. сети? Включай в модель угроз. Генералу на подпись. Блокируй и то и другое.
Генерал против? Значит тащи на подпись «Принятие остаточных рисков». Пусть осознает и примет (до первого Инцидента вестимо).

Вы правильно написали про гендира, все должно начинаться от него. А если руководству это ваше иб поибэ. Тогда что вы вообще делаете в такой компании?
Прошу прощения — все в куче вышло.

Я побывал в разных местах, и наблюдал всякого странного весьма нередко. Иногда придешь к клиенту на объект — а у него только система пропуска такая что ЦУПу не снилось, прямо лаборатория с особо опасными веществами.

Но вот накатить апдейт на сервер — проще поднести планшет к окошку и раздать им самому себе вайфай.

Как так? Что это? Зачем? [shocked]

И я уже не верю что модель безопасности не только адекватная но и то что она у клиента вообще существует в природе ;-)

Кстати, как правило — генерал в вашем примере подпишет что угодно (на него политика не распространяется и он вообще не очень понимает чего хотят эти странные люди), этим очень любят злоупотреблять те самые безопасники. А уж когда за доступ доплачивают, как в известных ведомствах — вообще ад и израиль начинается.
Кстати, я могу попытаться достать слайды американской военщины (несекретные) на этот счет (введение в инфобезопасность, как не пострадать от соцсетей и.т.п.)

где-то валяются.
Если не трудно, поделитесь, пожалуйста слайдами. Очень хочется посмотреть. (можно тут, можно в личку — контакты есть в профиле)
Нереально.
Во-первых, человеческая глупость не имеет пределов.
Во-вторых, конфиденциальность той или иной информации — понятие размытое. Что-то не так очевидно для человеческого анализа, но может послужить пищей для ботов и сложнейших алгоритмов обработки. И из ваших невинных 100 паблик-фотографий или постов могут высосать определенные приватные данные, о вас или ваших знакомых. Что-то такое, что вы сами можете не знать, но что ляжет в мозаику картины мира мощного анализатора. А можно элементарно сделать фото улицы и засветить других людей на фоне, что позволяет достраивать граф социальных связей. Возможно это немного футуристическая картина мира, но прогресс не стоит на месте.
Я понимаю что ИскИн, когда будет создан, сможет по моим опечаткам определить место моего проживания :)

Но сейчас, по факту, организации страдают от ошибок совсем иного порядка, ставшихследствием (простите мой французкий) по[redacted]истического менталитета.

С этим можно и побороться, только, как правильно заметил автор, для этого должна быть заинтересованность руководства (и готовность руководства самому избавляться от разрухи в голове, а то когда гордый руководитель, обладатель престижных сертификатов по ИБ, человек и пароход, сует в первый подвернувшийся USB найденную на проходной «девчачью флешку со стразиками», это простите, е[redacted]ный стыд)
Определить по вашим отпечаткам ваше место проживания уже и так элементарно. Для этого нужно два условия: биометрический паспорт с отпечатками и утечка данных оттуда :)

Если вдруг у вас не такой паспорт, то «плохим парням» достаточно регулярно брать отпечатки везде и всюду, и вот уже вас можно будет вычислить. То есть, если такую задачу поставить сегодня и начать сканировать поверхности повсеместно, то через пару месяцев искомый результат будет делом нескольких минут. Разве что для удешевления процесса нужен какой-то скоростной, желательно безконтактный сканер.
А вообще ИМХО постановка задачи вида «инфобезопасность России» выглядит как-то странно. Нелепо даже (вероятно сказывается попытка привязать этот текст к «героическому» тексту stanwood'а)

Инфобезопасность должна быть у отдельных предприятий и/или специалистов. Так проще определять возможные угрозы и рациональные способы противодействия (кстати «не делать ничего» — в ряде случаев вполне рациональный способ реакции, например на угрозы с крайне низкой вероятностью реализации)
Я именно к этому и пытался свести весь пафос ;-)
tl;dr: защита не должна быть дороже того, что защищается.
Что-то большинство примеров про офисы и менеджеров.
Атаковать можно и критические инфраструктуры, угрожающие жизни населения, типа атомных электростанций. Вот там драконовские меры и ржавый гвоздь совсем не помешают
Атаковать водоканал или больницу гораздо проще, а эффект не менее разрушителен.

Но! Как атаку монетизировать и при этом не сесть? Вот потому и.

;-)
Вот поэтому, и не стоит слишком автоматизировать водоканал)
В автомате калашникова нет электроники (Ц)? ;-)
А финансы по вашему — единственный мотив? Т.е. вы предлагаете надеяться на сознательность определенного контингента? Не берете в расчет терроризм, потенциальный военный конфликт и т.п.? Вы не знаете примеров, когда нечто ломается просто для лулзов, меренья пиписьками, информационного эффекта и т.д.? Не предполагаете, что дырявость может быть такого уровня, что может сработать не целевая, а веерная атака, банальный вирусный скан, которыми переполнены публичные сети.
Внесите свое предложение в ФСТЭК, как раз в апреле решается вопрос по приказу ФСТЭК "… к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, ...". Мужики-то и не догадываются, сколько сил можно сэкономить по такой хитрой причине, что эти объекты как тот неуловимй Джо, который нафик никому не нужен. Раскройте им глаза.
А финансы по вашему — единственный мотив? Т.е. вы предлагаете надеяться на сознательность определенного контингента? Не берете в расчет терроризм, потенциальный военный конфликт и т.п.?


Тут как бы речь не о том, что оппоненты всегда экономически рациональны (обычные коммерческие организации тоже, кстати, иногда сталкиваются с «нерациональными» противниками), а о том, что «монетизируемость» атаки является хорошим инструментом для оценки ее привлекательности (в конечном итоге, даже террористы рассчитывают получить с атаки некий «профит», правда его корректнее выражать в экономических потерях объекта их агрессии, нежели в прибыли им самим).

Как правило, атака которую имеет смысл делать «террора для» или в «военных» целях, может быть монетизирована и обычным блэкхетом, ежели соответствующий инструмент попадет к нему в руки (шантаж + битки, в конце-то-концов)

Более подробный анализ надо делать уже с учетом особенности конкретного оппонента, а так же ИМХО желательно оценить потенциальные объекты атаки по какой-нибудь шкале вроде CARVER+Shock.

Не предполагаете, что дырявость может быть такого уровня, что может сработать не целевая, а веерная атака, банальный вирусный скан, которыми переполнены публичные сети.


Подобная ситуация как раз достаточно спокойно монетизируема блекхетами
И я не о том, о чем вы, а о том, что для ряда объектов, как например водоканал, именно монетизируемость как мерило оценки привлекательности вообще идет лесом. Для КВО по нашему текущему законодательству устраняется (по крайней мере должен) любой ненулевой риск без оглядки на формулу риск = ущерб Х вероятность. И модель злоумышленника, если это именно КВО в первую очередь подразумевает спецслужбы других государств и террористов.
Не надо демагогии, взяли конкретный пример — водоканал. Согласились с весьма катастрофическими последствиями. А потом приплели детские совершенно рассуждения про монетизируемость эксплуатации уязвимости. В жизни это по-другому. Если объект попал в разряд КВО по оценке государства — поднимаются уже готовые доки от регуляторов (ДСП в большинстве случаев) и все делается по этим стандартам. Другой вопрос, что до недавнего времени не работало это, сейчас ситуация меняется. Завтра разные водоканалы в разряд КВО будут попадать принудительно, а не на добровольных началах.
Да как бы никто не против, хотя лично мне сдается, что любая формулировка вида «устранить любой ненулевой риск» сама по себе абсурдна (в конце концов, все прекрасно понимают, что идея антиметеоритной защиты даже самых важных инфраструктурных объектов неприемлемо затратна и граничит с абсурдом, несмотря на тот факт что вероятность «случайного попадания» метеорита в отдельно взятый объект явно выше нуля).
А раз не против, к чему воздух сотрясать? Современная атомная станция в РФ пережила бы то, что не пережила Фукусима (надеюсь, по крайней мере проект предусматривает). Это где-то близко к вашему метеориту. Если же он на столько велик, то угроза стране или даже планете от него самого больше угрозы от аварии на АЭС.
Я понимаю, что это оффтоп и педантизм, но я совершенно не убежден что можно приравнять прямое попадание метеорита к землетрясению и цунами.

Если у Вас есть ссылки на этот счет, буду признателен.
Причем тут ФСТЭК, простите? Что есть «критически важные» — это давно сформулировано, я же не призываю все бросить и ничего не защищать.

Однако же относить к таким мишен-критикал объектам банальную водокачку в селе Гадюкино — как-то странно. И тем более странно требовать на объекте коммунального хозяйства строго лицензированного оборудования для защиты от атак злых хакеров.

Просто потому что последствия таких атак очень быстро восстанавливаются — выдирается соска из хаба и накатывается софт и настройки из бэкапа. После чего накатываются апдейты — и вот она штатная работа восстановлена. Полчаса в районе не будет воды, это максимальный ущерб. В отличие от обычной лопнувшей трубы или планового тестирования теплосетей каждое лето, хехе.

Про веерные атаки и вирусы — это как раз прекрасно не только считается но и обеспечивается приемлемый уровень безопасности стандартными средствами, тут разницы нет — банк это или водоканал. Апдейты, антивирь и бэкапы. Дешево и сердито, и от кучи других проблем спасает. Это же не реактор в Бушере.

А специфичный вирус под весьма специальное оборудование в публичных сетях запускать бессмысленно за отсутствием объекта атаки.

Преднамеренное нападение на объекты инфраструктуры из интернета в военном конфликте — это уже киберпанк, простите. Динамит тут гораздо эффективнее. Пока все пугаются и все защищаются, но страдают малозначимые сайты от примитивнейших атак.

Ну и вспоминая классика, от изобретательного дурака защиты нет. Поэтому успехи органов меряются не наличием воров, а умением их обезвреживать. Померился «лулзами» — присел лет на семь, отличный вариант ;-)
В США есть целое cyberwar lobby (практически официально) которое постоянно стращает конгресс историями про подрыв электроподстанций китайскими хакерами.

У Шнаера про этих зверьков есть ряд замечательнейших публикаций
Линки в студию! Желательно переведенных. Ну а нет — так и так почитаем…
Тысячи их: www.schneier.com/cgi-bin/mt/mt-search.cgi?tag=cyberwar (помимо дискуссий о лоббистах и США по этому тегу в его блоге много вкусного находится)

Наиболее релевантны из того что навскидку помню

www.schneier.com/blog/archives/2010/07/the_threat_of_c.html

www.schneier.com/blog/archives/2013/06/us_offensive_cy.html

Особенно ИМХО релевантно к данному посту в целом (хотя и не совсем про американских политиков как таковых) www.schneier.com/blog/archives/2009/09/the_exaggerated.html
Я не соглашусь, что немонетизируемость гарантирует отсутствие атаки, тем более что возможна непрямая монетизация (например, если у моего конкурента холодильные установки на складе «вдруг» выставят +29 цельсия вместо -15, то я поимею некислый профит просто потому, что мой конкурент понесет потери)

А вот возможность атак на критическую инфраструктуру, конечно, преувеличена (сколько там было реальных атак на всякие SCADA-истемы за всю систорию? 2-4? А ведь безопасность SCADA-систем обычно очень дерьмова, и об этом давно и много пишут). Что конечно не значит что эту инфраструктуру защищать не надо, просто надо подходить к этому гораздо спокойнее.
Автор сего опуса из Германии? О, весьма показательно.

И он тоже примеряет все 10 пунктов лично на себя и на всё население России? Неудивлён.

Подсказка.

Надо немного поднатужиться и начать рассуждать с другого конца.
Со стороны чёрного списка США/ЕС.

А затем обсуждать, что конкретно из изложенного полезно, эффективно и реализуемо для других лиц и категорий граждан.

P.S. Понимаю, очень тяжёло себя пересилить. Но надо постараться.
Неуважаемый rbogatyrev (или вы предпочитаете Ruslan Bogatyrev? ), главная проблема белок-истеричек вроде вас состоит в том, что значение числа пи не изменяется с пересечением государственной границы, даже в условиях военного времени.
Я понимаю, уважаемый, что у вас есть свое обоснованное мнение по любому вопросу на этом ресурсе, но именно поэтому в глазах некоторых людей, меня например, вы выглядите именно как белка-истеричка и к любой бочке затычка. Значение числа пи может и не изменяется, но люди, которые бегают с вытаращенными глазами и доказывают, что они знают правду об этом числе, а все другие придурки, выглядят не очень красиво. Это и об авторе обсуждаемой публикции можно сказать. Дальше вопросов секурности своего бизнеса и его никому другому не интересных финансовых потерь он смотреть явно не может.
Я понимаю, уважаемый, что у вас есть свое обоснованное мнение по любому вопросу на этом ресурсе, но именно поэтому в глазах некоторых людей, меня например, вы выглядите именно как белка-истеричка и к любой бочке затычка.


То есть Вы признаете, что мое мнение обоснованное?

Польщен, спасибо.

Значение числа пи может и не изменяется, но люди, которые бегают с вытаращенными глазами и доказывают, что они знают правду об этом числе, а все другие придурки, выглядят не очень красиво.


Боюсь, что никак иначе охарактеризовать лиц, утверждающих что в условиях войны Пи достигнет 4, а при неудачном стечении обстоятельств даже 8, мы никак не можем.

С детства привитая любовь к правде и доказательности мешает.

Дальше вопросов секурности своего бизнеса и его никому другому не интересных финансовых потерь он смотреть явно не может.


Я не совсем понимаю, к чему Вы клоните.

Вы намерены утверждать, что потери от ущерба гособъектам нельзя выразить в денежном эквиваленте?
Опять демагогия.
Комментарием выше я лишь хотел сказать, что хамство никого не красит. Культурный человек, даже при фактическом отсутствии уважения к собеседнику, по вопросу, не затрагивающему напрямую честь его или близких не станет хамить. Тем более тому, кто наверняка существенно старше вас.
Вы сначала обоснуйте, где тут пи, кто и почему тут за то, что бы оно было равно 4, а потом поговорим. Может быть.
Во-первых, отнюдь не факт что сей персонаж меня «старше».

Во-вторых, я не склонен испытывать пиетет к возрасту.

Если Вас это печалит, то я приношу Вам извинения за доставленные Вам неудобства.

Что же до аргумента…
Гражданин rbogatyrev вполне недвусмысленно утверждает, что принципы организации информационной безопасности зависят от того, по какую сторону географической границы ЕС/США находится объект (почему-то забыв про Китай и Индию).

Я нахожу подобное утверждение странным. rbogatyrev волнует, в отличии от Вас, не существование объектов для которых необходимо использовать не-экономические шкалы оценки (тезис с которым, как Вы могли заметить, я частично согласился) а чистая политгеграфия, что по меньшей мере нелепо (Ни законы физики, ни работа микропроцессоров, не меняются в момент пересечения границы.)
Информационные технологии дошли до такого уровня когда позволяют манипулировать сознанием и убеждениями людей на основе математических моделей со стопроцентной эффективностью. Кто контролирует информацию тот владеет миром. Для России самое важное восстановить технологический суверенитет. Создавать собственные процессоры, компьютеры, элементную базу, программы и операционные системы. Это крайне важно для экономики, так как иностранные спецслужбы активно занимаются и промышленным шпионажем. Высокие технологии это стратегический ресурс. Запад активно отдает отверточную сборку в другие страны, но точное и высокотехнологическое производство всегда оставляет у себя, ибо… (см. начало).
Информационные технологии дошли до такого уровня когда позволяют манипулировать сознанием и убеждениями людей на основе математических моделей со стопроцентной эффективностью.

[citation needed]

Запад активно отдает отверточную сборку в другие страны, но точное и высокотехнологическое производство всегда оставляет у себя


Fab 68 вообще-то в Китае.
И по факту мы имеем вами пересказанную страшилку. Злые враги под кроватью бла-бла. Уж извините за прямоту.

Для России самое важное — это получить доступ к современным технологиям. Меньше снобизма — больше пользы.

Можно например начать с покупки устаревших линий в Китае для переработки нефти.

Или всем этим головным НИИ — изобретающих очередную нетленку с неонкой унутре! в принудительном порядке свои труды решительно делать open source. И принудительно все наработки основывать также на open source. Это даст хороший толчок развитию АйТи, будет в русле общемировых тенденций, и позволит активно создавать что-то новое и полезное всему миру.

Необходимо всемерно упрощать и удешевлять доступ к общемировым знаниям. Всячески поощрять создание новых систем, комплексов, сетей, что там так красочно перечисляют на канцелярите…

Вспомните позорище со школьным порталом. А если бы он изначально создавался как опенсорц — в виде репозитория на гитхабе? Глядишь этот школьный портал был бы переведен уже на 20 языков и массово внедрялся бы по всяким там Бразилиям. А то под барабанную дробь получилось прокормить несколько жуликов и дать поработать нескольким узбекским программистам. Увы…
Sign up to leave a comment.

Articles