Комментарии 9
Итак, чему это нас учит?
Даже самый крутой спец может обосраться. (хотя тут скорее не он, а его команда)
Даже у самого крутого спеца не всегда хватает мужества признать косяк.
Остальное - логичное следствие п. 1 и 2.
Надзорные органы посчитали выплату гонорара по Bug Bounty «сокрытием инцидента». Хотя сами эксперты программы были этому удивлены, ведь технологические компании часто вознаграждают хакеров, которые находят уязвимости в инфраструктуре и сообщают об этом.
Есть один момент. Одно дело "у вас там дыра, мы тут даже для примера данные одного пользователя получили", и другое "мы тут всю вашу базы спёрли, давайте выкуп или мы её сольем". И мне кажется что в этом кейсе было гораздо ближе ко второму чем к первому...
В чьих интересах должен действовать руководитель по ИБ: компании, закона или своих собственных?
Ну уж явно не в своих. Как говорится, назвался груздем - полезай в короб. Да и вряд ли вообще возможно действовать в своих интересах, когда выбираешь между вариантами быть уволенным за некомпетентность, либо рискнуть получить срок за сокрытие. Если вдаться в рассуждения, работодатель обязан обеспечить сотрудников условиями труда в рамках закона. Если он таких условий не обеспечивает, или, тем более, сам подталкивает сотрудников на нарушение закона, то и с сотрудников в отношении работодателя в таком случае взятки гладки. Однако этот факт не помешает работодателю вас уволить. С другой стороны, как показывает жизнь, не всё хорошо, что по закону, а иногда и ровно наоборот. И не всегда нарушение закона бывает наказуемо. Но, опять же, если вам не повезёт, законотворцам это не помешает упечь вас за решётку. В итоге возвращаемся к тому, с чего начали: назвался груздем - полезай в короб. Думаю, человек, идущий на такую должность, должен ясно осознавать, что может оказаться в такой ситуации, и быть готовым принимать соответствующие решения.
Мне не понятно в этой истории, зачем новому руководителю было афишировать причину увольнения. Похоже дело было не в том, что
доверять ему он больше не мог, поэтому и уволил
, а просто хотел поднагадить, и это ему таки удалось.
В чьих интересах должен действовать руководитель по ИБ: компании, закона или своих собственных?
Должен - в интересах закона. Действует - в интересах компании, иначе компания быстро находит нужную замену. Идеально, когда пункт 1 не противоречит пункту 2.
Хакеры сперли базу и обещали слить в открытиый доступ. В результате БД с десятками миллионами пользователй стали бы достоянием не только нескольких хаекров, но и всех на свете. Т.е. ущерб - катастрофический и для клиентов и для компании.
Принимается решение заплатить незначительную сумму денег, тем самым защитить десятки миллионов клиентов от публикации БД.
Альтернатива: заявить о взломе, привлечь правохранительные органы, компания теряет репутацию, БД с клиентами будет слита в открытий доступ и все это будет в итоге стоить баснословную сумму денег.
Внимание вопрос: какое решение "правильное", а какое в интересах общества?
Герой или «козел отпущения» для ИБ-сообщества? Рассказываем историю одного начальника службы безопасности Uber