Какая из соцсетей самая опасная?

Намедни довелось обсуждать в тесном кругу знакомых, какая из социальных сетей наиболее опасна для организации? В том, что опасность исходит от каждой, разногласий не возникло, но при оценке уровня этой опасности дебаты были достаточно жаркими.

В итоге большинство высказалось, как легко можно догадаться, за Facebook и его русский клон конкурент "В контакте". Основные аргументы таковы:

1) Высокая популярность в стране и в мире. И в той, и в другой социальной сети масса людей, которым сотрудники могут сболтнуть лишнее - журналисты, работники госорганов, сотрудники конкурирующих компаний... В общем, поле для деятельности инсайдеров просто непаханое.

2) В обеих социальных сетях пользователи проводят много времени, что, скажем прямо, не очень полезно для работы. По причине того, что там теперь есть средства быстрого обмена сообщениями, разговоры могут вестись часами. В тех же "Одноклассниках", как показывает статистика, количество проводимого времени несравнимо ниже.

3) Эти социальные сети неоднократно были замечены в утечках учетных записей пользователей, а также в достаточно большом числе присутствующих там мошенников, пытающихся всеми доступными способами получить доступ к пользовательским аккаунтам. Учитывая повальную компьютерную безграмотность "офисного планктона", последнее особенно удручает.

Собственно, сложно со всем перечисленным выше не согласиться, но лично мне до сих пор кажется, что наибольшую опасность представляет как раз не Facebook в любой своей ипостаси, а Twitter. Почему? Потому что разговор на Facebook'е всё-таки идет между двумя людьми, и даже опубликованное кем-то замечание будет распространено по сети не столь молниеносно, как в случае его публикации в Twitter'е, где его моментально получат практически все заинтересованные лица.

Роман Идов,

аналитик компании SearchInform

Злые сисадмины

Коварные сисадмины - любимая присказка безопасника, желающего склонить руководство к покупке DLP-системы. Сисадмин может "подставить" любого работника, скопировав тому на рабочий компьютер "неположенный" документ, который в итоге станет причиной разбирательств и депремирований. Сисадмин может запросто поменять пароль к любым корпоративным ресурсам, и случиться это может как раз накануне его увольнения. Ну и наконец при всё том же увольнении сисадмин может "случайно" прихватить с собой пару-другую терабайт корпоративных секретов на сменном винчестере, отомстив руководству.

Что и говорить, разозленный сисадмин и вправду опасен. Особенно когда злость поостыла, а желание мстить осталось. Чересчур разозленного админа, отформатировавшего, а потом забившего нелицензионной музыкой винчестер ноутбука своего босса призвать к ответу за его действия сравнительно несложно, то в случае, когда сисадмин просто пользуется безграмотностью отдельных пользователей и, образно говоря, кладет тонкие доски на открытый канализационный люк, наказать его не так уж и просто.

Намедни рассказали мне историю о том, как сисадмин действительно лихо подставил компанию, в которой работал, причем не сразу даже поняли, из-за кого всё это произошло. Во многом заслуга в этом того факта, что всё началось примерно год спустя после увольнения. Схема была предельно проста: в сами догадываетесь какую структуру поступило сообщение о том, что в организации используется нелицензионное ПО. Надо сказать, организация подстраховалась, поскольку догадывалась о том, что такое сообщение рано или поздно придти может, и предъявила соответствующие документы, говорившие о том, что у некого ООО, представлявшего кучу известных компаний, были куплены их программные продукты. Проверяющие, которые должны были удовлетвориться этим, остались чем-то недовольны, и начали копать всерьез.

В итоге выяснилось, что тем ООО, которое продало компании-работодателю упомянутого сисадмина программное обеспечение, руководил сам этот сисадмин, который был и его учредителем. Конечно, никаких денег от продажи ПО упомянутой конторе никто не получил, а сами ключи к продуктам оказались украденными или просто сгенерированными с помощью обычных "кейгенов". Сисадмина, что интересно, не нашли - хотя, вероятно, и не очень искали.

Так что вот какие они бывают, эти сисадмины. А вы говорите, информацию конфиденциальную вынести. Оказывается, если в компании бардак, нет четких административных процедур и должного контроля со стороны отдела безопасности, то можно проворачивать и такие фантастические схемы.

Р. Идов,

аналитик компании SearchInform

А может, не все так уж и беспросветно?..

Совсем недавно рассуждал я о том, почему закон "О персональных данных" совсем не торопятся исполнять в абсолютном большинстве российских организаций. А сегодня, просматривая свежие новости на нашем корпоративном сайте, наткнулся на чрезвычайно любопытную информацию, которая вселяет некоторый оптимизм по поводу будущего защиты персональных данных в России.

Конечно, не стоит сразу возводить единичный прецедент в ранг какой-то закономерности, но сам факт того, что он всё-таки произошел, не может не порадовать безопасников. Думаю, что все-таки не стоит опускать руки - пусть сегодня действительно выполнять требования нашего любимого ФЗ операторам не всегда экономически целесообразно, мы всё-таки движемся потихоньку к цивилизации.

Иногда возникает мысль: может быть, если бы немного посильнее "закрутить гайки" в плане защиты персональных данных, то всё было бы интереснее и продуктивнее? То есть, например, если бы оператор персональных данных знал, что может "попасть" из-за небрежного обращения  ними на штраф, сравнимый с западноевропейским или американским, то, может быть, он бы и стал серьезно вкладываться в обеспечение их сохранности?

Но тут возникает исконно русская проблема, заключающаяся в том, что закрутить-то, конечно, можно всё, что угодно, но каким образом это всё проконтролировать? Излишнее ужесточение может не только больно ударить по бизнесу - потому что все должны защищать ПД, а системы защиты недешевы, и у малого и среднего бизнеса может возникнуть немало проблем. Это ещё и катализатор коррупции, которая в итоге может натворить больше зла, чем халатное отношение к персональным данным. Как всегда, мы с вами на лезвии бритвы...

Роман Идов,

аналитик компании SearchInform

И всё-таки есть от них польза!

Как-то за другими событиями все уже успели немного подзабыть о таком замечательном ресурсе, как Wikileaks, некогда гремевшем не хуже того же Facebook'а. Лично я всегда достаточно скептично относился к подобному проекту, хотя, безусловно, нельзя не отметить, что Джулиан Ассанж предпринял действительно смелый эксперимент и бросил вызов очень и очень многим. Что же побудило меня вспомнить о WikiLeaks? Дело в том, что довелось прочитать намедни одну интересную статью, рассказывающую о том, какая от этого проекта есть польза обществу. Может, конечно, вы и так уже в курсе, но не поделиться не могу.

 Пересказывать всю статью не буду, но соль в том, что, оказывается, сегодня существует достаточно много ресурсов, где прямо на карте отмечены "взяточные" места. Развиваются эти ресурсы, как и все Web 2.0 проекты, за счет краудсорсинга - добровольного пополнения их людьми, столкнувшимися вживую со взяточничеством. Таких людей, чего греха таить, набирается немало, и поэтому проекты живут полнокровной жизнью. Автор статьи называет это "эффектом WikiLeaks". И в этом я, пожалуй, могу с ним согласиться - всё-таки, несмотря на то, что сам факт существования такого сайта наверняка претит любому безопаснику, определенную пользу, состоящую в том, что народ перестал бояться показывать то, что плохо лежит, и что в итоге может представлять угрозу национальной и даже общечеловеческой безопасности.

Парадокс: с одной стороны, вроде бы, нельзя ничего хорошего сказать о сайте, где публикуются утечки информации. С другой, утечка утечке рознь, и лично я не смог бы сказать, что утечка - это всегда плохо. Вот скажите, если у вас завтра окажется закрытая информация о том, что Северная Корея готовится нанести удар по России, и вы точно знаете, что она позволит спасти десятки и сотни жизней - вы её не обнародуете? Думаю, даже самые сурровые преверженцы режима секретности немного призадумаются. Так что лично я даже рад, что от WikiLeaks есть хоть какая-то польза - может быть, если инициатива по искоренению взяточничества будет исходить снизу и укрепится, то и дело сдвинется с мертвой точки?..

Роман Идов,

аналитик компании SearchInform

1 июля всё ближе, дамы и господа...

Как-то незаметно (как, впрочем, и всегда в этой жизни) подкрадывается лето, а вместе с ним и 1 июля, когда, как мы все с вами знаем, и одно очень важное событие. Вернее, конечно, событий много, но для нас с вами, думаю, одним из самых заметных всё равно будет долгожданное вступление в полную силу закона "О персональных данных".

Честно говоря, наблюдая за переносами вступления в силу всех пунктов этого закона, я уже как-то и отчаялся дождаться того момента, когда переносить или надоест, или просто уже не получится, и что-то сдвинется с мертвой точки. Конечно, в нашей стране никто не удивится, если всё опять перенесут в самый последний момент, но, честно говоря, не вижу причин предполагать ещё один перенос и очередные "китайские предупреждения".

Впрочем, судя по всему, многие операторы персональных данных думают иначе. Если же нет, то лично мне достаточно трудно объяснить их поведение впреддверие приближающихся санкций и штрафов, которые грозят буквально половине из них (как говорится, большей половине). Повальная неготовность операторов можно объяснить, конечно, известной фразой о строгости законов, необязательных к исполнению, но вроде бы уже и Роскомнадзор старается донести до массового сознания, что это, скажем так, не совсем тот случай, когда можно уповать на то, что "прокатит" и так.

Мне кажется, здесь кроме традиционного русского расчета на "авось" имеется ещё и фактор тотальной неграмотности в вопросах информационной безопасности и следующее из неё непонимание угроз, которые таит в себе распространение клиентских персональных данных. Если бы такое понимание присутствовало, то и отношение к защите персональных данных в среде операторов ПД было бы куда более ответственным.

Остаётся открытым вопрос, что существенно поменяется после 1 июля? Мне лично кажется, что, по крайней мере, на первых порах, ничего. Это, кстати, тоже один из факторов, способствующих "спячке" операторов. А как кажется вам, каких изменений стоит ждать после наступления указанной даты?

Роман Идов,

аналитик компании SearchInform

Google снова не на высоте в вопросах безопасности

Не успела толком утихнуть шумиха по поводу сбора Android'ом данных о пользователе, которые нужны Google для демонстрации владельцу "гуглофона" рекламы, являющейся, по сути, краеугольным камнем в бизнесе компании, как появилась новая информация об очередных неурядицах Google, связанных с вопросами обеспечения безопасности.

Подробнее об этом можно прочитать здесь. Думаю, что расписывать всю новость подробно здесь не имеет смысла, поэтому ограничюсь главным. Ошибка в Google Apps, которую многие уже успели метко назвать дырой в безопасности, даёт возможность пользователю этого "гугловского" сервиса получить несанкционированный доступ к чужому почтовому ящику Gmail, календарю и контактам. Казалось бы, мелочь, такие вещи сегодня сплошь и рядом, и какая разница, кто "уведёт" ваш почтовый аккаунт - коварный злоумышленник, вооруженный кейлоггером, или просто случайный пользователь Google Apps? Но, тем не менее, эта ошибка в свете весьма и весьма накалившейся ситуации вокруг сбора данных "гуглофонами" может стоить корпорации Google чрезвычайно дорого.

Всё-таки, как ни крути, а репутация для бизнеса - один из самых важных активов. Именно поэтому иски, в которых фигурирует эта достаточно эфемерная субстанция, поражают воображение астрономическими суммами, которые фигурируют в них. Для ИТ-индустрии очень важную роль играет качество предлагаемых компанией продуктов. Потому что если продукт не отвечает запросам заказчика в области качества, то всегда можно найти аналог, пусть и за большие деньги. Вспомните, какое недовольство вызвало низкое качество той же Windows Vista, и как Microsoft, фактически, потеряла единоличный контроль над рынком браузеров только из-за того, что не обновляла в течение долгого времени свой Internet Explorer.

Вполне может оказаться, что и Google потеряет свои позиции из-за скандалов, связанных с информационной безопасностью. Все-таки потеря личных данных и, тем более, таких важных, как личная почтовая переписка, в наше время стоит слишком уж дорого...

Роман Идов,

аналитик компании SearchInform

SCADA не сдадутся злоумышленникам без боя

Намедни уже делился своими мыслями по поводу безопасности SCADA-систем. Новостная лента подтвердила правильность моих мыслей: Немецкий промышленный гигант Siemens накануне заявил, что компания работает над исправлением ряда серьезных уязвимостей, выявленных в ее промышленной оборудовании для управления заводами, электро- и атомными станциями. Компания заявила, что уже тестирует исправления для своих SCADA-систем в лабораторных условиях и готовится предложить их своим клиентам.

Как вы думаете, почтеннейшая публика, кто же в итоге выиграет в противостоянии индустриальных гигантов, исправно "патчащих" свои SCADA, и злоумышленников, старающихся воспользоваться уязвимостями в них? История Microsoft, патчи которой не успевают за многочисленной малварью, которая использует дырки и бэкдоры в Windows, IE и прочих приложениях как бы намекает нам на бесперспективность этой борьбы для Siemens и других вендоров SCADA-систем.

С другой стороны, всё-таки не будем забывать о специфике рынка. SCADA - это весьма специфичный программный продукт, который разрабатывается в совершенно иных условиях, чем ПО для домашних пользователей, и условия эти даже более жестки, чем для большинства продуктов по безопасности (довелось мне видеть воочию процесс создания одного из буржуинских корпоративных файрволов - удивился, как тот вообще работает). Даже найти SCADA-систему в свободном доступе - уже большая проблема, потому что из интернета её не скачаешь, а на предприятие, которое её использует, тоже нужно проникнуть.

То есть, битву производители SCADA скорее всего, проиграют, но при этом победителями будут не прыщавые подростки, пишущие генераторы ключей для небольших утилиток, а программисты в погонах, перед которыми стоит задача разрушения промышленности вероятного противника. Нас ждет очень интересное время, дамы и господа...

Роман Идов,

аналитик компании SearchInform

Мысли о защищенности мобильных платформ

Вот уже которую неделю с интересом наблюдаю за событиями, разворачивающимися вокруг мобильных операционных систем, которые, как выяснилось, поголовно записывают и куда-то даже передают данные о местонахождения пользователя.

ИТ-издания не оставляют эту тему без внимания, регулярно спрашивая мнение специалистов по этому вопросу. Моё мнение можно узнать вот здесь: http://kv.by/index2011171301.htm. Но, помимо того, что я сказал корреспонденту "Компьютерных вестей", хочу кое-что добавить про саму ситуацию, складывающуюся сегодня вокруг смартфонов и коммуникаторов.

Во-первых, хочу отметить, что ситуация со сбором данных - это как раз из серии подкравшегося незаметно пушного зверя, который был виден издалека. Вполне очевидно, что экономическая подоплека таких действий разработчиков мобильных платформ не является чем-то уникальным в ИТ-индустрии. Вспомним те же поисковые системы, методично собирающие информацию о запросе каждого пользователя, чтобы предложить ему потом однозначно интересную и нужную ему рекламу. Было очевидно, что производители мобильных ОС просто не могут не воспользоваться таким шансом заработать.

Во-вторых, несмотря ни на что, всё-таки остаются мобильные системы, которым можно доверять. Да-да, я, в первую очередь, о BlackBerry. Не знаю, как у вас, а у меня у самого, несмотря на моду на сенсорные экраны, старый добрый BlackBerry Curve с QWERTY-клавиатурой, очень надежный и удобный телефон. Единственный минус, пожалуй, в  том, что в России недоступны фирменные BlackBerry-сервисы. Думаю, мы все догадываемся, почему они недоступны, и почему вряд ли станут доступны в ближайшие годы. Да и софта под эту платформу в таких количествах, как под iPhone и Android, нет. С другой стороны, всё действительно необходимое найти можно.

Ну и в-третьих, думаю, что это ещё цветочки. Думаю, что мобильные платформы готовят нам ещё немало "открытий чудных", которые вызовут негодование не только у ИБ-специалистов, но у обычных пользователей. Впрочем, так это или нет, покажет время.

Р. Идов,

аналитик компании SearchInform

Страшилки наяву

Истории о сотрудниках, которые при увольнении забирают с собой не только воспоминания о приятно потраченной зарплате и корпоративных праздниках, но и пару-тройку строго конфиденциальных документов, уже, наверное, набили оскомину не только "безопасникам", но и представителям менеджерского звена. Безопасники сами могут рассказать немало таких историй с различными финалами (но, как правило, не очень благоприятными для излишне хитрого увольняющегося).

К сожалению или к счастью, но далеко не все из этих историй становятся достоянием общественности и попадают на новостные порталы. Зато те, которым всё-таки это удаётся, поражают воображение поистине эпическими масштабами событий. Как, например, в этой новости:

Американский банк Huntington National Bank подал судебные иски против шести своих бывших сотрудников, обвинив их в краже более 2 тыс. записей с личной информацией клиентов банка перед увольнением и переходом на работу в конкурирующую компанию. По словам представителей Huntington National Bank, эти сотрудники совершили "наглую и вопиющую кражу коммерческих тайн" банка перед тем, как они неожиданно уволились 14 апреля текущего года и перешли на работу в новосозданный отдел займов банка MVB Bank. Как отметил главный юридический представитель Huntington National Bank, ответчики потратили несколько недель перед своим увольнением с работы на то, чтобы скачать из закрытой базы данных и распечатать конфиденциальные записи о клиентах банка. Позже они использовали эти записи при попытках переманить клиентов Huntington National Bank, данные которых были украдены.

Самое интересное в этой истории то, как обнаружился сам факт утечки. Произошло это только благодаря клиентам банка Huntington National Bank, которые стали туда звонить и спрашивать, откуда звонящим им сотрудникам MVB Bank известно о состоянии их счета. Что уже многое говорит нам о состоянии обеспечении безопасности в Huntington National Bank.

Какая мораль этой истории? Прежде всего, не надо искать лёгких путей - или, по крайней мере, в их поиске нужно руководствоваться не только желанием заработать, но и уголовным законодательством. Думаю, что эта история принесет  MVB Bank больше вреда, чем могал бы принести пользы украденная новоиспеченными сотрудниками база клиентов. Во-вторых, нужно всё-таки действовать как-то аккуратнее, если уж становишься на скользкую дорожку, а не давить жертву своими познаниями состояния её лицевого счета.

Ну а банку Huntington National Bank можно пожелать готовить деньги к выплате по искам за новые утечки данных - или искать новых безопасников, что, на мой взгляд, предпочтительнее.

Р. Идов,

аналитик компании SearchInform

С безопасностью по-прежнему не всё гладко...

Может быть, вы уже и видели результаты нашего нового исследования среди московских организаций, но, тем не менее, не могу не прокомментировать их здесь. Потому что, несмотря на то, что время идёт, положительная динамика не так хорошо заметна, как хотелось бы. Хотя она, безусловно, есть.

Результаты, которые можно увидеть по ссылке выше, не буду здесь дублировать, приведу только диаграммы, которые могут наглядно показать ситуацию (которая, повторюсь, не слишком радует).

Итак, что же именно в этой картинке меня лично не радует? В первую очередь, вторая строка, говорящая нам красноречиво о том, что большинство организаций до сих пор предпочитают разговоры с сотрудниками (см. первую строку) реальной защите своих информационных активов. И это несмотря на то, что и сотрудники, и бывшие сотрудники стараются день и ночь, вынося информацию из организаций (см. следующие две строки).

Ешё одна явно негативного толка тенденция - это стремление запрещать вместо того, чтобы контролировать. Воспитанные в духе советской системы безопасники полагают, что если что-то запретить, да ещё, кроме этого, провести политинформацию с сотрудниками, то всё будет прекрасно защищено. Но поскольку уровень компьютерной грамотности "офисного планктона" заметно превышает оный, существовавший даже пару лет тому назад, надеяться на эффективность подобных мер пока что, по крайней мере, наивно, а я бы даже сказал, что и опасно.

В свете сказанного выше просто не могу не привести мнение нашего генерального директора Льва Матвеева: «результаты  исследования, которое мы провели среди московских коммерческих и государственных организаций, довольно неутешительны: количество тех из них, где используются средства защиты от утечек информации, весьма низкое – всего 35%. На мой взгляд, во многом проблема заключается в инертности мышления руководства, которое все еще недооценивает важность информации в современных условиях – что удивительно для такого мегаполиса, как Москва. Тем не менее, налицо положительная динамика: уже больше половины организаций, по крайней мере, готовы внедрять средства защиты от утечек, а ведь еще несколько лет назад многие о них даже не слышали».

Собственно, добавить к этому нечего. Как уже предлагали читатели нашего блога, мы будем продолжать вести просветительскую работу - через семинары, СМИ и Сеть. Пусть постепенно, но ситуация в сфере обеспечения информационной безопасности в нашей стране всё-таки исправляется, и будем стараться способствовать этому и дальше.

Р. Идов,

аналитик компании SearchInform

Тень Stuxnet'а предвещает расцвет для сферы ИБ?

Думаю, что не только те, кто работает в сфере ИБ, но и большинство рядовых граждан прекрасно помнят, какая истерия была вокруг червя Stuxnet, когда выяснилось, что он нацелен на вполне определённые SCADA-системы, которые, как мне говорили, достаточно активно используются и в России. Сегодня, судя по новостям, "червивая" угроза для SCADA-систем даёт повод подумать, что в ближайшем будущем защита SCADA-систем станет особенно актуальным направлением.

Сегодня в "руках" SCADA-систем действительно, пожалуй, оказалось сосредоточено чрезвычайно много критических для человечества производств, начиная с пресловутых атомных электростанций, радующих свой надёжностью уже не только белорусов и украинцев, но и японцев, и заканчивая такими "мелочами", как машиностроение, фармацевтика, нефтепереработка... И действительно сегодня уже возникает ситуация, когда не нужно бомбить заводы вероятного противника, чтобы подорвать его и без того уже не самую прочную в мире экономику - вполне достаточно написать червя, использующие уязвимость распространённой у него SCADA-системы. Этот червь, по минималистическому сценарию, может остановить производство, а по максималистическому - и вовсе разрушить ряд дорогостоящих аппаратов, парализовав работу на месяцы.

Естественно, невозможно написать SCADA-систему без уязвимостей и ошибок. Никакие методологии, языки (даже сама Ада) и другие ухищрения не способны пока что дать результат в виде идеального продукта без каких бы то ни было багов. Отказаться от SCADA-систем сегодня тоже нельзя: во-первых, экономически не оправдано, а во-вторых, уже и психологически сложно. Какой выход? Очевидно, усиленно защищать.

Поэтому, думается, на наших глазах будет идти зарождение совершенно нового класса задач в сфере информационной безопасности - защиты SCADA-систем. Пока что такая защита мало отличается от обычной антивирусной защиты домашних ПК или серверов, но, на самом деле, думаю, тут очень большой простор для действий и производителей ПО, и теоретиков-методологов от ИБ. Весь вопрос в том, насколько быстро появятся эффективные и востребованные рынком решения...

Р. Идов,

специалист по информационной безопасности

Безакцептные платежи

- Нам придется что-то сделать с этими кредитными  карточками.

Когда я был маленьким, я однажды задумался, почему люди не пишут на брелках свой адрес? Вдруг потеряешь, а тебе их назад принесут. Детская логика, да? А что бы вы сказали, если бы я додумался, что этим адресом могут воспользоваться злоумышленники, и в качестве защиты предложил бы… наносить на брелок адрес особым шифром, известным только милиции.
Потом, можно было бы попробовать вводить повальную регистрацию всех брелков, хранить копии всех ключей в милиции, придумать (биометрическую, а лучше нанотехнологическую) процедуру подтверждения того, что пришедший за потерянным – именно тот, за кого он себя выдаёт и так далее.
Ничего не напоминает?
Хорошо. Теперь – эксперимент.  Возьмите визитницу и кошелёк. Отправьтесь в ближайший магазин и купите там… что-нибудь. Вместе с деньгами – вручите кассиру свою визитку и понаблюдайте за реакцией. Глупость предлагаю, да? Тогда почему в случае с электронным кошельком – вы считаете такую ситуацию нормальной?
Что? Персональная информация на карточке предназначена для того, чтобы я мог акцептировать перевод денег? Так это неправда. Для перевода средств в наличную форму – вполне достаточно всего двух вещей – самой карточки и пинкода. Кроме того, иногда требуется безакцептный перевод, и социальные карточки жителей города N – это тоже умеют, несмотря на наличие ПД на них. И правильно умеют – возможность проведения безакцептного микроплатежа – это крайне удобная и необходимая функция.
Альтернатива персонализированным карточкам есть. Это не париться с изобретением новых сверхзащищённых алгоритмов, а использовать старый проверенный. Платёж наличными – есть частный случай безакцептного перевода. И вероятность что водитель маршрутки внезапно объявит стоимость проезда на восемнадцать рублей больше – не отличается от того, что это же действие совершит настройщик терминала.
Зачем тогда вообще карточка? А это действительно удобно. Она меньше кошелька, при этом её можно настроить только на платежи не выше определённой суммы или только на конкретные операции, например, только транспорт и школьная столовая. Опять же – легче ловить вора, тупо сняв лог платежей после кражи и опросив свидетелей.
Остаётся совсем маленькая проблема. Когда берут больше денег – это видно сразу. Когда снимают со счёта - нет. Но только эта проблема тоже уже решена. Маленький ЖК-экран с суммой остатка.  Сколько держат батарейки в современных китайских часах? Года-два? Или уже пять?

А. Ерощев,

специалист по информационной безопасности компании SearchInform

Утечки повсюду

Меня, честно говоря, немного беспокоит количество утечек информации, происходящих в последнее время - такое впечатление, что то ли мир "с цепи сорвался", то ли просто какой-то локальный пик честности у тех, кто допускает разнообразные утечки.

Для того, чтобы понять, о чём я говорю, можете просто зайти в Гугл, выбрать поиск по новостям, и набрать в строке поиска "утечка информации". Уверяю вас, что результатов будет больше чем достаточно для того, чтобы обеспокоиться.

Еще более страшно становится, когда осознаёшь, что всё то, что попадает в Гугл - это даже не вершина айсберга, а так, небольшой кусочек этой вершины. Поэтому что из утечек информации, по разным оценкам, обнаруживаются от 50% до 70%, и лишь десятая часть этой массы становится достоянием общественности. Если принять во внимание, что и СМИ не будут писать о каждой утечке информации, то можно предположить, что реально их количество в 20-100 раз больше, чем то, что мы видим в новостях. Речь идёт, конечно, в первую очередь о более-менее крупных утечках, из-за которых может пострадать как минимум несколько десятков человек. Если же принять во внимание и те, от которых последствия менее заметны, то цифра должна получиться и вовсе пугающей.

Кстати, об утечках. Намедни наткнулся на весьма любопытное обсуждение, касающееся произошедшей в прошлом году утечки данных о победителях лотереи Green Card. Краткий пересказ ситуации: есть сайт-форум, где люди, подавшие заявку на получение GC, отмечаются о факте эплаинга и затем - выиграли или нет. В 2010 году людям, которые зарегились на сайте GC и подали заявку, оставив свои персональные данные: ФИО, место  и дату рождения, адрес, телефон, спустя несколько дней стали звонить с международных номеров и на ломаном русском или на английском спрашивать, хотели ли бы они гарантированно выиграть, заплатив 100 "вечнозелёных". Вот, собственно, обсуждению вопроса о том, откуда звонившие узнали, кому именно стоило звонить, и посвящено обсуждение по ссылке. Почитайте на досуге - возможно, дело пахнет нешуточным международным скандалом...

Р. Идов

Бойтесь данайцев, дары приносящих

Хочу поднять не самую популярную, но, тем не менее, важную с точки зрения обеспечения информационной безопасности компании тему, а именно - "стукачество" самих сотрудников по поводу вызывающих подозрения действий их коллег. Думаю, что все согласятся со мной в том, что такой важный информационный ресурс просто нельзя не использовать в своей работе отделу информационной безопасности. Вопрос в том, как не перегнуть палку, и не сделать из компании лагерь строгого режима, где каждый строчит на другого доносы в надежде на досрочное освобождение.

К сожалению, в тех компаниях, где руководство и безопасники берутся активно выстраивать систему "раннего обнаружения утечек", базирующуюся на сообщениях сотрудников о подозрительных действиях своих коллег, обычно как раз таки наблюдается тот самый "перекос", о котором я говорил выше - то есть, излишняя напряженность в трудовом коллективе и постоянная закулисная борьба, главным оружием в которой становится докладная записка.

В небольшом числе компаний можно встретить другую крайность - это полное отсутствие реагирования на подобные предупреждения, поступающие от персонала. Это тоже не лучший вариант, потому что, во-первых, можно действительно прошляпить не только утечку информации, но даже и готовящееся покушение на владельца фирмы. А во-вторых, сотрудники начинают чувствовать отсутствие контроля, что сказывается на общей дисциплине и производительности.

Лично мне идеальным вариантом для большой компании представляется формирование сети доверенных идейных "стукачей", которые будут следить за действиями других не ради какой-то собственной выгоды, и из каких-то высших соображений (т.е. на благо конторы). Хотя, конечно, материальное поощрение их деятельности на благо безопасности родной организации тоже жизненно необходимо. Конечно, найти таких людей и сформировать нужную сеть - своего рода искусства, но именно способность к их поиску и есть, как мне представляется, отличие настоящего безопасника от простого ремесленника в сфере ИБ.

Что касается небольших организаций, то там, как правило, все и так как на ладони, и лишние доносы только повредят всем, включая специалиста по ИБ и доносчика, поэтому их лучше сразу пресекать.

Р. Идов,

эксперт по информационной безопасности

И эти люди запрещают ковыряться в носу

Костюм Супермена не даёт способности летать
Из мануала

Листая на днях ютубы – наткнулся на интересное видео. Там таких тысячи. Заметьте, без всякой фильтрации контента и предупреждения о том, что это не следует смотреть беременным детям. Сделано, замечу, крайне профессионально, команде моделлеров – моё уважение. Был бы жив старина Дали, полагаю, тоже одобрил бы. Но мысль, что мой шестилетний сын далёк от идеи самостоятельно лазить в интернет на вполне легальный ютуб – мягко говоря, порадовала.
Замечу также, что я ничего не имею против этих роликов. И если (скорее – когда) сия концептуальная инсталляция попадётся ему на глаза – мы поговорим об этом. Но именно как о частном случае сюрреализма, с объяснением того, что наносить добро подобно указанным героям – не стоит. Ибо в жизни половина этих вещей анатомически невозможна, а вторая – выглядит куда менее эстетично. Но о том, почему на моей домашней машине нет (и никогда не будет) программы для родительского контроля – мы поговорим в другой раз.
Интересно другое. Если вы возьмёте одну-двух любимых жён, запишете свои забавы с ними и выложите на тот же ресурс – то в срочном порядке это завесят кучей предупреждений, требованием подтвердить свой возраст, а скорее вовсе удалят, на всякий случай. Хотя это видео нанесёт не больший (а скорее – меньший) вред неокрепшей психике.
Почему же такая дискриминация одного контента, несущего информационную опасность, и полное попустительство, если не режим наибольшего благоприятствования – другому?
Думается мне – дело не в ZOG, а в обычном делении рынка. Mortal Combat  9 – продукт, произведённый крупной корпорацией. И домашний пользователь, если он только не клиент криминальной психиатрии, конкуренцию на рынке расчленёнки составить не может. А вот бесплатное домашнее порно – сильно мешает  платному профессиональному. Вот и получается, что фильтрация – она не в защиту морали. Она – в защиту копирайта.

Александр Ерощев
специалист по информационной безопасности компании SearchInform