Konica Minolta подверглась атаке вируса-вымогателя

[algotrader2013]

Походу, пора начать продавать специальные raid контроллеры для бекапов с аппаратной защитой от стирания или модификации файлов, свежее X дней, или, как вариант, давать облачный сервис для бекапов, где у бекапа будет гарантированный срок жизни, в течении которого даже с админским доступом не удалишь его.

[DaemonGloom]

Ваши требования уже исполнены. Называются «ротация кассет» (ну или дисков) для первого варианта и amazon S3 для второго.

[algotrader2013]

Интересно, разве S3 не позволит хакерам удалить бекапы, дорвавшись до кредов админа?

[DaemonGloom]

Есть метод у них S3 Object Lock. Позволяет задать период, в который с файлом вообще никакие модификации не получится сделать. Утёкшие учётные данные здесь не помогут удалить файлы.
docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html

[vmkazakoff]

Ну за исключением когда вирус вымогатель проберется в Амазон (да не, ну бред же)…

Но там тогда весь интернет встанет враскоряку немного, что сами кулхацкеры не обрадуются.

[Allister2]

Наверняка же получались всякие красивые сертификаты и проводились аудиты. Вот что нужно на свет божий вытаскивать, чтобы на деле проверить, чем это помогло.

[Moskus]

Естественно.
Корпоративная безответственность: «Мы все делали правильно, по инструкции, следовали лучшим практикам, платили лучшим специалистам, вот сертификаты и дипломы, мы не виноваты.»
Тем временем, они даже сами предоставляют «award-winning» услуги из области защиты бизнес-информации и получают красивые сертификаты.

[v1000]

Так разве эти сертификаты не означают, что данная проблема будет максимально быстро задокументирована, но при этом не особо влияют на то, что она появится?

[Moskus]

ISO 27001 действительно касается менеджмента, но менеджмент включает и внутренний аудит. Должен ли внутренний аудит влиять на возможность появления проблем с безопасностью? Скорее всего, да, иначе какой в них смысл?

[v1000]

Так я не сказал что не влияют, я сказал что не особо влияют. Тем более что данна ситуация как раз тому подтверждение. В еще вспомнился пресловутый стандарт ISO 9001, который часто лепили на упаковки товаров, потому что он назывался «стандарт качества», хотя к самому качеству продукта он имеет мало отношения, скорее к качеству процесса производства. Но что не сделаешь ради маркетинга.

[balamutang]

Ну «качество процесса производства» тоже немаловажно, как минимум оно обозначает что в цеху поддерживаются строгие санитарные нормы, работники переодеваются в спецодежду входя в цех, мясо не хранится рядом с молочкой, а продукт (например расплавленный сыр) черпают черпалкой специально для этого сыра, а не бытовым половником, которым вчера мазут механики черпали.
В общем те кто смог осилить дорогую и сложную сертификацию по ИСО (гораздо более сложную даже чем достаточно строгий ХАССП), врядли будет косячить, это как минимум будет значить что они зря круто потратились на сертификацию, которую они потеряют. Кроме того сертификация возможна только если поставщики тоже ее имеют, так что тут длинная цепочка с контролируемым качеством получается.

[v1000]

Так им необязательно косячить. Я говорю что они могут выпускать, к примеру, детали подвески автомобиля, которые будут разваливаться через пол-года. Зато дешевле. А в гарантии написать что все претензии к установщику. В итоге за счет цены будет спрос, а за счет низкого качества будет постоянный спрос. Особенно весело если они будут единственным поставщиком деталей, к примеру, для снятых с производства автомобилей.

[Moskus]

Потому что это не просто МФУ, а часть корпоративного решения электронного и бумажного документооборота вот такого типа kmbs.konicaminolta.us/kmbs/support-downloads/dispatcher-suite Собственно, вовсе не то, что «принтер не печатает» — самая плохая сторона этой истории.

[Moskus]

А кто сказал, что эта самая связь не использует серверы поставщика услуги?

[Moskus]

Пойдите поспорьте с теми, кто пишет «умные книжки», по которым учатся люди, получающие степень MBA, где пишут, что «натуральное хозяйство» — зло, а аутсорсинг непрофильных процессов — счастье.

[DaemonGloom]

А это уже не ваш выбор становится. Телеметрия и обязательный доступ часто идут как неотъемлемая часть оборудования/ПО. Не хотите давать доступ в интернет софту/железу — не покупаете софт/железо. Иногда — с сопутствующим эффектом в виде невозможности работать в данной области.

[DaemonGloom]

Зачешется пятка, отключите телеметрию — станок встанет, например, раз и навсегда. И до вызова сервиса от вендора вы будете сидеть у кучи металлолома.

[Moskus]

Это какие-то детские фантазии. Большинство предприятий идут на покупку решений в виде "оборудование + сервис" осознанно, ради удобства. Возможно, они недооценивают риск, но вполне может быть что нет. Потому что поставщик оборудования вполне может быть более компетентен в исправлении проблем, чем сотрудник предприятия. И в договоре может быть прописана неустойка за простой более оговоренного. А с кого предприятие будет брать неустойку за то, что собственный инженер не может справиться за некое время?
А про "стволы", "приковать" и так далее я даже комментировать не хочу, потому что это детский сад или феодальный строй какой-то.

[balamutang]

Апдейты прошивок например, а также какую-нибудь шелуху вроде адреса ближайшего сц. Может теоретически даже слать остаток тонера в картриджах чтобы дилер мог прислать сервисмена для замены картриджа, это смотря какое устройство и какой уровень сервиса предоставляется.

[balamutang]

Уровень сервиса может быть разным. Тонеры и сц это не забота админов, а забота эникеев. Ну или может быть вообще на аутсорсе, организации разные бывают и организован процесс может быть тоже по-разному.

[Moskus]

Именно. Типичная ситуация — принтер отправляет телеметрию, производитель предоставляет владельцу принтера (или десятка принтеров) веб-интерфейс, в котором не просто видно, сколько тонера осталось, а уже сразу посчитано, через сколько дней он закончится при типичном сценарии использования, так что ответственному за это в компании остается только нажать кнопку подтверждения заказа тонера.
Собственно, даже у паршивых домашних принтеров сейчас есть личные email-ы, через которые удаленно можно отправлять файлы на печать. Естественно, это через инфраструктуру производителя проходит.

[balamutang]

В некоторых случаях это даже без кнопки обходится, компания просто покупает контракт на печать, «бесконечный картридж», в рамках которого вопросами доставки, замены и утилизации картриджей занимается аутсорсер (как правило официальный представитель производителя), с регламентированным временем простоя принтера.

[K0styan]

Опять же, зависит от того, что именно вы у поставщика купили.

Я наблюдал довольно близко работу одного банка с одним вендором печатных устройств и услуг, году эдак в 2009-2010. В одном из отделений сидела дежурная смена техников вендора, не банка, которые и разруливали абсолютно все вопросы — от замены картриджей и мелкого ремонта на месте до замены девайсов полностью. Всё это работало с полным делегированием и жёстким SLA.

То есть договорённость была типа «Мы (банк) жмём Ctrl-P и ожидаем документ в выходном лотке не позже чем через X времени, остальное — ваша (вендора) забота, что хотите, то и делайте».

Даже если сами принтеры тогда не имели дистанционного управления, сбой на стороне вот этой диспетчерской мог здорово подкосить возможность оперативно фиксить то, что ломается просто в силу естественных причин.

[DasEzh]

Коника-Минолта сдает апараты «в аренду», вам привозят вот такую или подобную вундервафлю, а вы платите только за колличество распечатаных страниц. Все остальное( ремонт, заправка, ТО) забота Коники. Так вот, чтобы вам в конце месяца выставили правильный счет, или сервисмен знал когда у вас заканчивается тонер, или что апарат нуждается в починке, он, МФУ, должен иметь выход в инет и слать в главную контору телеметрию или что он там еще шлет.