Comments 35
Классика.
Я поражаюсь — неужали так сложна настройка безопасности?
Так на то деньги тратить. А собственно какой смысл?
А зачем? Кому интересна эта ваша безопасность?
Не сломалось-не чини, кому мы нужны, всю жизнь так делали и ничего не было.
Типичные ответы системных администраторов.
Не сломалось-не чини, кому мы нужны, всю жизнь так делали и ничего не было.
Типичные ответы системных администраторов.
Так сломалось же, в итоге )
Подрабатываю по платным заявкам от провайдера.
Ваших типичных ответов от админов я не слышал, потому, что админов не видел. Их нет. Всё, что вы описали — это ответы руководителей. Практически, дословно. Ещё добавляют, «Ну вы придёте и за пару тысяч всё сделаете, зачем зарплату платить». То, что я решу именно указанную в заявке проблему, подперев очередным костылём внушительную груду говна и палок (и не скрывают этого) их мало беспокоит. Так-что нет, если вы берёте админа на 35тыр удалённо, то вина в утечке данных не на админе.
Ваших типичных ответов от админов я не слышал, потому, что админов не видел. Их нет. Всё, что вы описали — это ответы руководителей. Практически, дословно. Ещё добавляют, «Ну вы придёте и за пару тысяч всё сделаете, зачем зарплату платить». То, что я решу именно указанную в заявке проблему, подперев очередным костылём внушительную груду говна и палок (и не скрывают этого) их мало беспокоит. Так-что нет, если вы берёте админа на 35тыр удалённо, то вина в утечке данных не на админе.
Я поражаюсь — неужели так сложна настройка безопасности?
Она и сложна и дорога, поэтому и нету этой безопасности и не предвидится в ближайшее время.
К тому же основная причина утечек, это персонал, который имеет к ним доступ,
и что бы минимизировать риск, на этом участке, надо платить столько, что бы боялись рисковать, а этого никто не будет делать.
Основная причина — низкие штрафы, что-то около 50/70к. Да компаниям проще заплатить чем покупать оборудование/сертифицироваться под УЗ-3(хотя бы).
У нас в фирме вкатали СКУДную систему по "пальцам", и полтора месяца пытались доказать мне, что это не биометрия. Сначала, что картинка не хранится, потом что данные обезличены (ага, в СКУДе то), затем "у нас есть разъяснения юриста". Ткнул носом в разъяснения РКН, где черным по белому написано. Но! 2/3 народа сдали пальцы (кто-то не знал, кто-то побоялся конфликтовать) и вот чую что введут у нас эту хрень силовым методом — ну а чего? Сажать на ЗП лишнего "безопасника" ради пяти дверей + сертификация или забить и при случае (а его может не быть) заплатить 70 к — выбор очевиден. А то что при случае хэши пальцев и фио утекут, так кого это волнует?
А чем не угодила на электронных ключах? Её даже крупные банки используют. Хороший софт(который даст тревогу если сотрудник находится одновременно в двух местах или там быть не может(скопировали ключ если возможно)), плюс камеры. Мера надёжная и хорошо себя зарекомендовавшая.
Вы рассуждаете, как инженер, а балом правят менеджеры (договорняки).
Конечно же первый вопрос который мы задали — «а в чем проблема с картами?». Внятного ответа так и не получили, мол генеральный где-то увидел и зачесалось. Плюс, «вы же карту можете передать другому человеку»! Альтернативное мнение — те кто проталкивали реализацию получили откаты, а сейчас начинает пахнуть неприятными вопросами от финансового\генерального, и назад уже не сдать.
По факту, нам эта СКУД нафиг не уперлась — мы на территории другого производственного комплекса, со своей проходной. До нашего этажа доползают единицы, сидим в опен-спейсе и знаем всех коллег в лицо (50 человек запомнить не сложно), текучки нет. Доступ по помещениям не разграничить — все должны ходить ко всем, инженеры на пр-во, пр-во к службам, службы к инженерам.
Сейчас на СКУД будут вкорячивать учет рабочего времени (пришел\ушел). Эта идея так же не выдерживает критики… но… режим тестовой эксплуатации введен.
Конечно же первый вопрос который мы задали — «а в чем проблема с картами?». Внятного ответа так и не получили, мол генеральный где-то увидел и зачесалось. Плюс, «вы же карту можете передать другому человеку»! Альтернативное мнение — те кто проталкивали реализацию получили откаты, а сейчас начинает пахнуть неприятными вопросами от финансового\генерального, и назад уже не сдать.
По факту, нам эта СКУД нафиг не уперлась — мы на территории другого производственного комплекса, со своей проходной. До нашего этажа доползают единицы, сидим в опен-спейсе и знаем всех коллег в лицо (50 человек запомнить не сложно), текучки нет. Доступ по помещениям не разграничить — все должны ходить ко всем, инженеры на пр-во, пр-во к службам, службы к инженерам.
Сейчас на СКУД будут вкорячивать учет рабочего времени (пришел\ушел). Эта идея так же не выдерживает критики… но… режим тестовой эксплуатации введен.
Можно подумать, что эти данные были секретом, после того как попали к брокерам, и так понятно, что они их продают всем кто заплатит за это.
А программиста то посадили?
UFO just landed and posted this here
Пора переходить на новый формат новостей — «Сегодня не произошло никаких утечек ПД». Так меньше будет лента новостей засираться.
Писал много букав на тему законов и тому как сложно их отстаивать, о том какие незначительные наказание за невыполнение этих законов и т.д. Но все удалил, потому что можно слить базу клиентов и тебе ничего за это не будет, а можно написать комментарий и присесть за это.
А нельзя проблему ВРЕДА от утечек как-то минимизировать в своей основе? Ну там пусть банки не хранят ФИО, телефон, адрес, а хранят какой-то айдишник и всё. Налоговый номер, например. Пусть будет какая-нибудь единая «деанонимизирующая» БД, но супер-защищённая. Ну в той же налоговой. А остальные пусть обращаются к этой БД по мере надобности (приспичило кредиторам обзвонить должников).
Тогда вместо тысяч (полу)безхозных баз, ломающихся от чиха будет единая «точка отказа», которую можно подобающим образом обслуживать.
Хотя что я говорю… после «выноса» ФБР Сноуденом…
Тогда вместо тысяч (полу)безхозных баз, ломающихся от чиха будет единая «точка отказа», которую можно подобающим образом обслуживать.
Хотя что я говорю… после «выноса» ФБР Сноуденом…
А спам как рассылать? «Здравствуйте ID IDнович, позвольте предложить Вам кредит ?»
Мне думается шифрование важных данных, хранящихся в БД более логичный подход.
Мне думается шифрование важных данных, хранящихся в БД более логичный подход.
А нельзя проблему ВРЕДА от утечек как-то минимизировать в своей основе?
Для начала неплохо бы определиться, в чем именно состоит вред от этой утечки. А то возможно, что мероприятия по защите от утечек принесут больше вреда чем сами утечки ;)
единая «точка отказа»
Вот именно. Чтобы вместо почти бесполезных персональных данных (где-то писали, что на черном рынке им цена 5 коп за строчку) неудачно пропущенный шифровальщик смог таки разрушить цивилизацию?
В свете множественных статей о собеседованиях — больше чем уверен, что все, работающие с этой базой данных, успешно ответили на собеседованиях про круглые люки и сортировку пузырьком.
Если здесь есть юристы — предлагаю сделать рассылку по этому дампу и вчинить Альфе коллективный иск. Тысяч по 10 за каждого. Вероятность выигрыша дела примерно 100% и увеличивается с каждым новым истцом. В результате, граждане могут получить немножко денег, а юрист неплохо заработать.
Уверен, что после этого, народ начнет задумываться о сохранности персональных данных.
Уверен, что после этого, народ начнет задумываться о сохранности персональных данных.
А ответственность за утечки ПД вообще прописана в законе?
Ну, чтобы вот в таких случаях даже не требовался иск от тех, чьи данные слиты, а сразу по факту приостановить деятельность организации, до выяснения и устранениядиректора причины, так сказать.
Ну, чтобы вот в таких случаях даже не требовался иск от тех, чьи данные слиты, а сразу по факту приостановить деятельность организации, до выяснения и устранения
Ответственность прописана.
Более того, недавно даже появился инструмент для подачи коллективных исков
Более того, недавно даже появился инструмент для подачи коллективных исков
Only those users with full accounts are able to leave comments. Log in, please.
Очередная утечка персональных данных более 44 тыс. человек