Comments 31
Походу, пора начать продавать специальные raid контроллеры для бекапов с аппаратной защитой от стирания или модификации файлов, свежее X дней, или, как вариант, давать облачный сервис для бекапов, где у бекапа будет гарантированный срок жизни, в течении которого даже с админским доступом не удалишь его.
Интересно, разве S3 не позволит хакерам удалить бекапы, дорвавшись до кредов админа?
docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html
Корпоративная безответственность: «Мы все делали правильно, по инструкции, следовали лучшим практикам, платили лучшим специалистам, вот сертификаты и дипломы, мы не виноваты.»
Тем временем, они даже сами предоставляют «award-winning» услуги из области защиты бизнес-информации и получают красивые сертификаты.
ISO 27001 действительно касается менеджмента, но менеджмент включает и внутренний аудит. Должен ли внутренний аудит влиять на возможность появления проблем с безопасностью? Скорее всего, да, иначе какой в них смысл?
В общем те кто смог осилить дорогую и сложную сертификацию по ИСО (гораздо более сложную даже чем достаточно строгий ХАССП), врядли будет косячить, это как минимум будет значить что они зря круто потратились на сертификацию, которую они потеряют. Кроме того сертификация возможна только если поставщики тоже ее имеют, так что тут длинная цепочка с контролируемым качеством получается.
Так им необязательно косячить. Я говорю что они могут выпускать, к примеру, детали подвески автомобиля, которые будут разваливаться через пол-года. Зато дешевле. А в гарантии написать что все претензии к установщику. В итоге за счет цены будет спрос, а за счет низкого качества будет постоянный спрос. Особенно весело если они будут единственным поставщиком деталей, к примеру, для снятых с производства автомобилей.
А кто сказал, что эта самая связь не использует серверы поставщика услуги?
Это какие-то детские фантазии. Большинство предприятий идут на покупку решений в виде "оборудование + сервис" осознанно, ради удобства. Возможно, они недооценивают риск, но вполне может быть что нет. Потому что поставщик оборудования вполне может быть более компетентен в исправлении проблем, чем сотрудник предприятия. И в договоре может быть прописана неустойка за простой более оговоренного. А с кого предприятие будет брать неустойку за то, что собственный инженер не может справиться за некое время?
А про "стволы", "приковать" и так далее я даже комментировать не хочу, потому что это детский сад или феодальный строй какой-то.
Апдейты прошивок например, а также какую-нибудь шелуху вроде адреса ближайшего сц. Может теоретически даже слать остаток тонера в картриджах чтобы дилер мог прислать сервисмена для замены картриджа, это смотря какое устройство и какой уровень сервиса предоставляется.
Уровень сервиса может быть разным. Тонеры и сц это не забота админов, а забота эникеев. Ну или может быть вообще на аутсорсе, организации разные бывают и организован процесс может быть тоже по-разному.
Собственно, даже у паршивых домашних принтеров сейчас есть личные email-ы, через которые удаленно можно отправлять файлы на печать. Естественно, это через инфраструктуру производителя проходит.
Я наблюдал довольно близко работу одного банка с одним вендором печатных устройств и услуг, году эдак в 2009-2010. В одном из отделений сидела дежурная смена техников вендора, не банка, которые и разруливали абсолютно все вопросы — от замены картриджей и мелкого ремонта на месте до замены девайсов полностью. Всё это работало с полным делегированием и жёстким SLA.
То есть договорённость была типа «Мы (банк) жмём Ctrl-P и ожидаем документ в выходном лотке не позже чем через X времени, остальное — ваша (вендора) забота, что хотите, то и делайте».
Даже если сами принтеры тогда не имели дистанционного управления, сбой на стороне вот этой диспетчерской мог здорово подкосить возможность оперативно фиксить то, что ломается просто в силу естественных причин.
Konica Minolta подверглась атаке вируса-вымогателя