Комментарии 57
Еще не упомянули такой момент: если можно прижать\заблокировать иностранную компанию, то будет "миллиардный" штраф, а если российская, то 60 000 руб это достаточная сумма по мнению госорганов, а чаще всего хватит пресс релиза что у нас все ОК.
Оборотные штрафы исправили бы ситуацию, но "то своё", "низя".
Если когда-нибудь и введут оборотные штрафы, то либо привлечь будет нереально, либо они будут не для всех
Ну как всегда же будет. "Суровость законов компенсируется необязательностью (в нашем случае – избирательностью) их применения"
В итоге – чем строже закон, тем жёстче страдают те, на кого он не был направлен (малый и средний бизнес, например). А госмонополии, которые "народ" и рад бы прижать, они-то вне закона
Из перечисленных в статье компаний нет ни одной госмонополии. Наличие этого закона подстегнуло бы тот же СДЕК не сливать данные клиентов направо и налево. Возможно менеджменту пришлось бы потратиться на нормальную инфраструктуру, персонал и обучение только потому, что "так дешевле чем штрафы платить".
Никто не говорит, что не будет перекосов, но сам факт, что чисто технически могут нагнуть и госмонополию, даже при условии, что она что то там "компенсирует" всё равно пойдет на пользу.
А если ты шарашкина контора и не способна хранить данные о клиентах в соответствии с требованиями законодательства, то и нечего этим вообще заниматься. Найми аутсорт в конце концов.
8 * 100 $, итого 800 $ - консультации сеньора (на весь процесс)
Я так понимаю на бумаге с печатями и гербами консультация всамделишного эксперта была.
вот тоже смотрю на ИБ у нас и вижу прикрытие инструкциями
по факту можно много что сделать и даже не нарушая формально инструкций
на вопросы к ИБ "а что вы делаете чтобы не было плохо внезапно? может учения какие проводите или поиски дыр?" в ответ "пишем инструкции, а остальное не твоего ума дела"
и кажется такое почти везде
Пока ИБ пишет нструкции (и они не выполняются) не рнарушаются бизнес-процессы. Удобно же. А как только ИБ начнет в реальную безопасность, то это и перелопачивание бизнес-процессов, и вливание денег. Не каждое руководство к такому готово, а ИБ не всегда сможет обосновать (особенно если умеет только в инструкции :)
А что тут обосновывать? Если последствия, простой бизнес-процессов и потеря данных выходят дороже, чем необходимые для устранения этих угроз действия, то ресурсы находятся. Мне кажется сложно спокойно спать если эти вопросы не закрыты.
Это вы мыслите как инженер. Для бизнеса это выглядит вот так: нужно сегодня выложить н миллионов денег, 1000 человеко-часов. В результате не изменится ничего, возможно, в будущем не утекут пользовательские данные. За утечку придется платить не сейчас, а когда нибудь потом, если вообще придется. Поэтому авантюра мягко сказать непривлекательная. Само собой после инцидента все резко схватятся за головы, но эффект будет кратковременный. В большинстве стран так вообще нет никакого наказания за утечку. Поэтому можно продолжать игнорировать проблему.
Не всё так просто.
Вы же знаете, что удар молнии с высокой вероятностью смертелен для человека и такие случаи происходят сплошь и рядом.
Но что-то я не вижу мер по защите от этого.
Ремни безопасности, а потом и подушки продвигали много лет, но даже сейчас осталась масса тех, кто ездит с заглушками. Хотя это реальные риски и результат, как говорится, виден на глаз (сломанные рëбра или гроб).
С ИБ всё даже сложнее, чем с ремнями безопасности - у многих нет чëткого понимания "где надо остановиться". По факту руководителем ИБ должен быть одновременно доверенный (так как будет владельцам бизнеса пороть какую-то свою непонятную чушь по поводу ломания существующих процессов и существенных денежных вливаний и ему чуть ли не на слово должны верить), но при этом профессиональный в своей области сотрудник.
Сейчас тезис о том, что защита не должна стоить дороже информации не в полной мере выполняется. Бизнес связан с множеством рисков, в том числе и ИБ, а также недопустимых событий. И если риск наложения штрафов легко посчиать, то например репутационный риск довольно сложно.
Это из категории «если нужно объяснять, то ненужно объяснять». Ну правда. С той поры как менеджерам не нужно понимать что они менеджерят, а софт-скиллы (куда например входит в том числе критическое мышление) это прежде всего умение нежно лизнуть начальствующий анус, да и поважней «хардов» — это всё лишь закономерное следствие.
Вы удивитесь, но манагерам* реально не нужно в этом разбираться.
(*) - манагерам высокого порядка.
Условно директор молокозавода не обязан уметь доить. Более того, кроме собственно дойки на молокозаводе происходит очень много всего. Там есть ветеринарная служба, транспортный цех, охрана, какая-то айтишка-аникейщики даже и т.п. По-вашему директор должен уметь вообще во всё это? Ну камон.
Что МТС, что СДЭК - это огромные компании, с кучей компетенций внутри. Не надо применять на них лекало "прораб и пятеро работяг".
(*) - манагерам высокого порядка.
Ну а ещё же можно было и про акционеров вспомнить и тоже по-коммонить, ещё одну звездочку нарисовав. Речь (ясен-красен) шла про довольно без-звездатых манагеров. Это как раз напоминает то, что касается компетенций МТС'ов — там всю дорогу были мастера и в мелкий шрифт, и звёзды и вот это всё (образно говоря).
Вы удивитесь, но
А так если я чему и удивился бы, так это бестолковости посыла, но чё-т уже привык, если честно. Столько любителей звёзд дорисовать, накоммонить от себя с три короба, и потом на этой кривой кобыле куда-то ехать (как-то честь «манагеров высокого порядка» спасать), что уже не удивляет, ахха. Уже даже не удивляет, что кто-то этому плюсики может ставить. ))
P. S. Отдельно доставило сравнение IT и молочки. Пеши-исчо™!
//Театр безопасности.
Уж сколько раз твердили миру.
Продолжая Вашу же мысль:
Есть Госсопка, есть 187-ФЗ КИИ, есть 367 и 368 приказы, есть 27001 ГОСТ, есть масса методик.
Есть Указ Президента от 1 мая 2022 г. № 250 о персональной ответственности руководства, но...
сейчас всегда виноват сисадмин, или простой линейный сотрудник.
Даже те немногие нормативы, которые есть, не применяются, а раз так - зачем стараться? С другой стороны, снизу сигнал, видимо, тоже не проходит или не идет вообще. Мы сейчас активно отработали с одним госорганом, руководству которого наш последний доклад лег прямо на стол, и шестеренки после этого очень лихо закрутились. Начальству объяснили, в чем проблема, чем чревато и что следует сделать, что должны были объяснить штатные спецы, но почему-то не объяснили.
сейчас всегда виноват сисадмин, или простой линейный сотрудник
Китайская модель управления. "Большой человек" не может "потерять лицо". А уж "солнечный чиновник" и вовсе непогрешим. Это всё эти подлые, маленькие люди, чьи помыслы мелки, а чаяния ничтожны – это они всё подставляют "благородных мужей". И неважно, что там в законах написано, важно, к какой модели власть имущие на самом деле стремятся
снизу сигнал, видимо, тоже не проходит или не идет вообще.
Сигнал снизу прошел в 2022 году, Тимур Измайлов продемонстрировал
что это было ? "за державу обидно" ?
расслабьтесь, мозги РФ находятся не в РФ. когда кураторы сочтут нужным, тогда может быть начнут внедрять реальный инфобез. кстати бумажный и распильный инфобез при этом сократится. потому что бюжеты ограничены, на все сразу не хватит.
Как заставить этот горшочек не варить? Свое мнение по каждому поводу, наиболее кликбейтное и находящее живой отклик.
Специалист по всему...
Как заставить этот горшочек не варить?...
наиболее кликбейтное и находящее живой отклик.
Т.е. никак. Пока есть просмотры (много) и комментарии (бурление) - такой контент идёт хабру (ну или цитированию, стоимости размещения копроблогов, etc) только в плюс.
Т.е. никак. Пока есть просмотры (много) и комментарии (бурление) - такой контент идёт хабру (ну или цитированию, стоимости размещения копроблогов, etc) только в плюс.
Это политика модерации и администрации хабра - они много лет банили технических авторов и разводили политические и копроблоги. Теперь технические статьи набирают 10-20 плюсов, зато статьи про осьминогов и лепку пельмешек кабанчиками хорошо идут. Снова стали появляться статьи Эйнштейн неправ. При этом максимум статьи набирают 600 плюсов, то есть голосующий коллектив около 600 человек. И еще с сотню минусов от копроблогов.
А что из написанного в статье неправильно или некорректно?
1) не выделены субъекты.
2) не описаны их интересы.
"это база" как сейчас модно говорить. без нее ничего не будет, кроме кококо советских инженеров на кухне, описанного еще К.Крыловым: "а вот начальство у нас дураки такие дураки".
3) не описаны ресурсы, которые субъекты готовы использовать для продвижения своих интересов.
1) не выделены субъекты.
2) не описаны их интересы.
Я был слесарь шестого разряда, Я получки на ветер кидал, А получал я всегда сколько надо И плюс премию в каждый квартал
я в RSS фид загляну
и Швабр мне даст на все ответ
https://habr.com/ru/articles/822055/
конспирология и тайная ложа там начинается со слов
"Никто публично об этом не говорит, но:"
Ну вот в этой истории (экс-бригадира предприятия РФ обвинили в удалении папки «Хлам» с критически важными расчетами с рабочего ПК) субъект выделели. Легче стало?
Как заставить этот горшочек не варить? Свое мнение по каждому поводу, наиболее кликбейтное и находящее живой отклик.
Специалист по всему...
Этот персонаж уже неоднократно разоблачен как пикабушник, нейросеть и коллектив авторов. И кармодрочер.
По фактам \ цифрам возражения есть?
Угу. Площадка заинтересована :(
Если бы на компанию/государство можно было бы подать в суд, индивидуально либо коллективно, и после этого получить реальную компенсацию - пусть немного, но получить - то поверьте, ВСЕ компании бы рвали свои задницы и весь инфобез был бы на высшем уровне. Но это наверное в какой-то другой стране.
Недавно получил письмо из отдела безопасности, в котором нужно заблокировать список ip-адресов и ссылок, примерно такое https://super6543.shop/r45tr.mp3. Заблокировал весь домен, ip относятся к российскому провайдеру. Звоню провайдеру и он сообщает, что эти адреса нормальные и нет повода для беспокойства, вообще нет официального повода. Письмо рассылает на ВСЮ страну самая важная организация по безопасности, чтобы каждое сельское поселение и бюджетная организация выполнила их инструкции.
Причем на местах уровень знаний уважаемой конторы все оценили :)) Указание дальше разослали, потому что требуют отчитаться о выполнении. В реальности все страшнее и веселее.
Работал в банке, в продукте сборка только с проверенным набором библиотек. Чтобы добавить туда новновую, надо пройти безопасниеов. Были конечно и недочеты в работе СБ, но в целом здраво без лишнего. До этого работал в компании главным по ит, и безопасники мне просто вывалили отчет спайдера на 1000стр, с чем были посланы в эротическое. Но после пары итераций принесли пару страниц действительно полезного. Уже после работал у крупного разработчика и был случай взлома и утечки. По факту разбирательства бывший сотрудник используя инсайдерскую информацию получил доступ и чета слил.
Я к тому что факта взлома из вне я лично не видел, в основном социалка или инсайд.
Я к тому что факта взлома из вне я лично не видел, в основном социалка или инсайд.
В соседней статье люди и развала R5 на ребилде не видели, из тех двух раз когда они это вообще видели.
интереснее другое
сколько ИБшников сможет реализовать возможностей дыр выявленных при сканировании?
чтобы это было повторяемо, доказуемо, наглядно.
кажется число стремящееся к нулю (уж слишком мало реально радеющих за ИБ специалистов ИМХО)
эээ нет, так не пойдёт. Для примера из своей области когда я говорю про дырки, то ни за что не буду показывать как это можно воспроизвести для наглядности. Потому что раз сказано про дырку и если возможно она когда-нибудь будет использована меня максимум уволят за то что не настоял на закрытии на тот момент абстрактной проблемы. А вот если я продемонстрирую как её использовать, есть далеко ненулевой шанс присесть. И не только в РФ.
И в случае таких дырок измеряются буквально 3 вещи: насколько большой шанс осуществить, насколько затратно исправить, сколько потеряется в случае использования. Как правило первое начинают развозить различными "если", что даже простой патч (буквально пара часов) из второго пункта становится бессмысленен. Можно заметить, что до третьей вещи никогда не доходится.
здесь проблема кроется в полном недоверии оценки реализации атаки через ту или иную дыру к ИБ
кричать что "сканер показал тут дыра!" - это одно
оценить на сколько она критична, трудоёмка для эксплуатации, продемонстрировать что реально это дыра=дыра - это другое
Вы опять про "продемонстрировать"...
Про оценку: те кто приходят со "сканер показал тут дыра" сразу уходят делать отчёт "на сколько она критична, трудоёмка для эксплуатации". И это как раз первая вещь, что я описал.
Я попробую ещё раз (вспоминая СДЭК) приходит товарищ и говорит, "GraphQL дырявый, давайте его не выставлять в инет, потому что нас могут взломать", это "сканер показал тут дыра". Когда он же делает отчёт в виде "достаточно выяснить схему базы и запросы можно будет выполнять напрямую через вебреквесты, что даёт почти прямой доступ к базе" это как раз первая вещь, что я описал. "Ну это придётся нанимать человека, который разбирается, у нас премия годовая меньше будет и вообще я не думаю, что всё так просто как ты рассказываешь, можешь показать это?" - это что я говорил 'развозить различными "если"'. И теперь вариант 1. человек демонстрирует это, его сажают (взлом же и неправомерный доступ), менеджеры сохранили премии, сдэк взломали (и не раз), и вариант 2. человек говорит "пнх, если думаешь не так важно, значит не закрываем, ты начальник", менеджеры сохранили премии, сдэк взломали (и не раз), возможно человека уволили.
Пожалуй в данном случае буду человеком из варианата 2. Но можно быть тем кто демонстрирует - если не посадят, можно в казино сходить сделать ставку..
Уважаемый автор слишком много про «замечательную Windows” и ужасный российский Линукс в который не завезли …, далее по списку, решений для безопасности.
Если в Линукс/windows все по уму настроить то что одну. Что другую систему просто так не взломаешь.
Проблема в том, что настроить правильную раздачу прав в Windows это тот ещё квест. В результате каждое первое приложение требует административный доступ и криво работает при его ограничении.
Плюс, думаю что взломы идут не через операционные системы а через новомодные базы данных/Кеш сервера которые торчат по умолчанию в интернет всеми порталами и даже без пароля username
Если в Линукс/windows все по уму настроить то
Русский вариант Microsoft Security Compliance Toolkit для русифицированных Linux покажите, для начала
Если подойти формально, то « это набор средств, с помощью которого администраторы безопасности предприятия могут загружать, анализировать, тестировать, редактировать и сохранять базовые параметры безопасности, рекомендованные Майкрософт для использования в Windows и других продуктах Майкрософт.»
Не может существовать под Линукс «за отсутствием таковых»
У Амазон/Google/Redhat/Oracle
Все вроде на Linux решениях вертится. Так что не думаю что это большая проблема
Вот вы во всех (практически) статьях только хаете. Если вы правда такой эксперт - созидайте, поделитесь своими знаниями, расскажите, как сделать правильно.
Если вы правда такой эксперт - созидайте, поделитесь своими знаниями, расскажите, как сделать правильно.
У нас товар, у вас купец. Деньги покажите.
То есть за эту статью вам заплатили?
Не знаю как тут у нас с купцом, но потом все сводится к захардкоденым паролям и именам пользователей в исходниках.
Вспомните про Stuxnet вирус, когда использовалась уязвимость в контроллерах Siemens- был захардкоден username/password и когда народ кинулся из менять Siemens написал что после этого не гарантирует работу контроллеров.
А вы тут про какую-то безопасность клиентских машин, которые не должны быть ни к чему критическому подключены. Рассказываете.
По поводу централизованных советов в открытом виде - это все хорошо, но... КТО платить будет? И это я уже умолчу, поймут ли эти советы и можно ли их реализовать в конкретном случае...
По проводу того, что вскрыли кого-то... Да было такое. И решить проблему в основной своей массе скорее всего просто невозможно. По крайней мере простым увеличением бюджетов оно точно не решается в краткосрочной, да и среднесрочной перспективе... Потому, что на рынке просто физически нет достаточного количества квалифицированных кадров. А если вдруг увеличить количество квалифицированных кадров безопасников, путем сурового увеличения зарплат, вымывая кадры из науки и разработки, то улучшения ситуации мы все равно не получим. Процент людей с преступными наклонностями он как бы примерно стабилен... И кроме подготовленных безопасников мы получим дополнительное количество черных хакеров. И замечу, что охранники дополнительного продукта не производят и к развитию не приводят.
Так что с централизованными советами - это правильно, но... Есть засада. Если вдруг в предложенных советах есть уязвимость нулевого дня, то жопа может наступить всем, кто этими советами пользовался... И тогда единичные случаи взломов, когда конторы без проблем могут привлечь внешних безопасников для ликвидации последствий, превратятся просто в ад, когда доступных внешних безопасников просто не будет, т.к. их всех заберет тот, у кого есть бюджет на это, а остальные будут ... сосать по полной программе в ожидании, как реанимировать инфраструктуру...
то жопа может наступить всем, кто этими советами пользовался
Как бы да, если везде софтина одинаковая (опечатка: одираковая), и инфраструктура гомогенна. Только выше ifap писал, что много ведомственных сайтов вообще без HTTPS. В таком случае добиться ухудшения следуя best practices невозможно. И так уже на дне. Тут же выйдет про затыкание типовых дыр. Как бы ради такого MITRE CVE и задумывались.
С т.з. пентестера, большинство атак будут также выходить из типовых рецептов и заметок (например XSS, SQLi). Анализ сорцов и настроек - уже вслепую не потыкаешься, хотя веселья выходит больше в случае находки.
"реплицироваться на другую СХД - то покажите этот пункт в открытой документации на российские СХД " - не встречал ни у ядра ни у аэродиска. Какая там репликация, когда контролеры падают раз в месяц намертво.
Чему нас НЕ учат случаи МТС, СДЭК и КБ Радуга или Имитационная Безопасность