Открыть список
Как стать автором
Обновить

Комментарии 35

Я поражаюсь — неужали так сложна настройка безопасности?
Так на то деньги тратить. А собственно какой смысл?
Всё равно же кто-то занимается ИТ инфраструктурой.
Сложно нанять профессионалов, если начальник IT дуб дубом.
Начальников IT обычно берут тех, кто хорошо продвигает странички в инстаграмчике, вконтактике, и пр.

Профессионалы обычно за свою работу ещё хороших денег хотят, а можно нанять пару студентов и хорошо сэкономить бюджет.

А зачем? Кому интересна эта ваша безопасность?
Не сломалось-не чини, кому мы нужны, всю жизнь так делали и ничего не было.
Типичные ответы системных администраторов.
Так сломалось же, в итоге )
Так это у безопасников сломалось, если в поднимаете о чём я…
Разделение труда )
Скорее разделение ответственности.
Подрабатываю по платным заявкам от провайдера.
Ваших типичных ответов от админов я не слышал, потому, что админов не видел. Их нет. Всё, что вы описали — это ответы руководителей. Практически, дословно. Ещё добавляют, «Ну вы придёте и за пару тысяч всё сделаете, зачем зарплату платить». То, что я решу именно указанную в заявке проблему, подперев очередным костылём внушительную груду говна и палок (и не скрывают этого) их мало беспокоит. Так-что нет, если вы берёте админа на 35тыр удалённо, то вина в утечке данных не на админе.
Я поражаюсь — неужели так сложна настройка безопасности?

Она и сложна и дорога, поэтому и нету этой безопасности и не предвидится в ближайшее время.
К тому же основная причина утечек, это персонал, который имеет к ним доступ,
и что бы минимизировать риск, на этом участке, надо платить столько, что бы боялись рисковать, а этого никто не будет делать.

Основная причина — низкие штрафы, что-то около 50/70к. Да компаниям проще заплатить чем покупать оборудование/сертифицироваться под УЗ-3(хотя бы).
У нас в фирме вкатали СКУДную систему по "пальцам", и полтора месяца пытались доказать мне, что это не биометрия. Сначала, что картинка не хранится, потом что данные обезличены (ага, в СКУДе то), затем "у нас есть разъяснения юриста". Ткнул носом в разъяснения РКН, где черным по белому написано. Но! 2/3 народа сдали пальцы (кто-то не знал, кто-то побоялся конфликтовать) и вот чую что введут у нас эту хрень силовым методом — ну а чего? Сажать на ЗП лишнего "безопасника" ради пяти дверей + сертификация или забить и при случае (а его может не быть) заплатить 70 к — выбор очевиден. А то что при случае хэши пальцев и фио утекут, так кого это волнует?

А чем не угодила на электронных ключах? Её даже крупные банки используют. Хороший софт(который даст тревогу если сотрудник находится одновременно в двух местах или там быть не может(скопировали ключ если возможно)), плюс камеры. Мера надёжная и хорошо себя зарекомендовавшая.
Вы рассуждаете, как инженер, а балом правят менеджеры (договорняки).

Конечно же первый вопрос который мы задали — «а в чем проблема с картами?». Внятного ответа так и не получили, мол генеральный где-то увидел и зачесалось. Плюс, «вы же карту можете передать другому человеку»! Альтернативное мнение — те кто проталкивали реализацию получили откаты, а сейчас начинает пахнуть неприятными вопросами от финансового\генерального, и назад уже не сдать.

По факту, нам эта СКУД нафиг не уперлась — мы на территории другого производственного комплекса, со своей проходной. До нашего этажа доползают единицы, сидим в опен-спейсе и знаем всех коллег в лицо (50 человек запомнить не сложно), текучки нет. Доступ по помещениям не разграничить — все должны ходить ко всем, инженеры на пр-во, пр-во к службам, службы к инженерам.

Сейчас на СКУД будут вкорячивать учет рабочего времени (пришел\ушел). Эта идея так же не выдерживает критики… но… режим тестовой эксплуатации введен.
Можно подумать, что эти данные были секретом, после того как попали к брокерам, и так понятно, что они их продают всем кто заплатит за это.

А программиста то посадили?

расстреляли меня, внучок...
Что то много новостей про утечки ПД в инфопространстве — стопудов гайки закрутят
Ну тут не надо быть Пифией, гайки в любом случае затягивают и будут продолжать, особо инфоповоды можно и не привязывать.
… и новостей уже не будет?
Пора переходить на новый формат новостей — «Сегодня не произошло никаких утечек ПД». Так меньше будет лента новостей засираться.
Писал много букав на тему законов и тому как сложно их отстаивать, о том какие незначительные наказание за невыполнение этих законов и т.д. Но все удалил, потому что можно слить базу клиентов и тебе ничего за это не будет, а можно написать комментарий и присесть за это.
Добро пожаловать в чудесный новый мир самоцензуры!
А нельзя проблему ВРЕДА от утечек как-то минимизировать в своей основе? Ну там пусть банки не хранят ФИО, телефон, адрес, а хранят какой-то айдишник и всё. Налоговый номер, например. Пусть будет какая-нибудь единая «деанонимизирующая» БД, но супер-защищённая. Ну в той же налоговой. А остальные пусть обращаются к этой БД по мере надобности (приспичило кредиторам обзвонить должников).
Тогда вместо тысяч (полу)безхозных баз, ломающихся от чиха будет единая «точка отказа», которую можно подобающим образом обслуживать.

Хотя что я говорю… после «выноса» ФБР Сноуденом…
А спам как рассылать? «Здравствуйте ID IDнович, позвольте предложить Вам кредит ?»
Мне думается шифрование важных данных, хранящихся в БД более логичный подход.
А нельзя проблему ВРЕДА от утечек как-то минимизировать в своей основе?


Для начала неплохо бы определиться, в чем именно состоит вред от этой утечки. А то возможно, что мероприятия по защите от утечек принесут больше вреда чем сами утечки ;)

единая «точка отказа»


Вот именно. Чтобы вместо почти бесполезных персональных данных (где-то писали, что на черном рынке им цена 5 коп за строчку) неудачно пропущенный шифровальщик смог таки разрушить цивилизацию?
В свете множественных статей о собеседованиях — больше чем уверен, что все, работающие с этой базой данных, успешно ответили на собеседованиях про круглые люки и сортировку пузырьком.
а что там про «круглые люки»?
Если здесь есть юристы — предлагаю сделать рассылку по этому дампу и вчинить Альфе коллективный иск. Тысяч по 10 за каждого. Вероятность выигрыша дела примерно 100% и увеличивается с каждым новым истцом. В результате, граждане могут получить немножко денег, а юрист неплохо заработать.
Уверен, что после этого, народ начнет задумываться о сохранности персональных данных.
Для того, чтобы вчинить иск, необходимо доказать либо материальный, либо моральный ущерб. Получение 100 (писем, звонков), возможно (но меня берут очень большие сомнения), суд может оценить в сумму до 1000 руб. Причем допрашивать в суде по тому, реальный ли это ущерб, будут каждого истца.
А ответственность за утечки ПД вообще прописана в законе?
Ну, чтобы вот в таких случаях даже не требовался иск от тех, чьи данные слиты, а сразу по факту приостановить деятельность организации, до выяснения и устранения директора причины, так сказать.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.