securityinform

Хочу поделиться примером из жизни, которых тут как-то уже давненько не встречалось. Пример такой: некая компания тестирует в своей уютной корпоративной сети "Контур информационной безопасности" и обнаруживает, что группа сотрудников в популярнейших социальных сетях ведет не совсем приличную переписку в одной группе, посвященной этой самой компании...

Неприличность переписки, конечно, относительная, но для широкой публики компания (не самая известная, но всё же) открывается с весьма неожиданной и даже неприглядной стороны. Что, естественно, не есть здорово.

Но речь тут не столько о пользе "Контура", которая даже не обсуждается:), а о том, что компания, прошу прощения за свой французский, пощелкала клювом всё, что только можно. Ведь для того, чтобы отыскать в социальной сети группу "%COMPANYNAME% - унылое г...но" вовсе не нужны никакие контуры. Нужно просто залезть в социальную сеть и поискать по названию компании. Иногда даже не нужно лезть в эти непонятные новомодные социальные сети, придуманные специально для офисного планктона, а не для его начальников. Достаточно зайти в Яндекс и погуглить там по названию компании. Можно даже про "унылое" не дописывать - поисковик сам вас раскусит.

В общем, есть просто банальное нежелание следить за своей репутацией в интернете. И нежелание это, скажем прямо, не идет на пользу бизнесу. Почему? Думаю, объяснения излишни. Вопрос генезиса этого нежелания также весьма прост и прозрачен. Потому что никому из руководства и в голову не приходит заботиться о какой-то там репутации в какой-то там сети.

Чья недоработка?  Маркетолога? Безопасника? Топ-менеджера? Вопрос сложный. Я думаю, скорее всего, последнего, потому что именно его должен волновать облик бизнеса в глазах всех и вся. Но рассказать ему о его недоработке никто не может, вот и приходится подобными вопросами заниматься безопасникам. В общем, грустно всё это, дамы и господа...

Р. Идов,

аналитик компании SearchInform

Весьма интересная новость, прочитанная мною сегодня, натолкнула меня на не менее интересные размышления. Одна небезызвестная фирма решила брать деньги за обновления, закрывающие дыры в системе безопасности одного из своих главных продуктов. Казалось бы, решила и решила, ну и одна дождинка ещё не дождь, и далее по списку. Но поскольку наши заокеанские друзья приучены к прецедентному праву, то и любой прецедент для них - вещь важная. А это прецедент, да ещё какой!

Ведь, по сути, что означает исправление для системы безопасности? Оно означает, что кто-то, простите, накосячил, но впоследствии осознал свою ошибку и старается загладить, насколько может, свою вину. Это как производитель, обнаруживший, что на высоких оборотах отрываются колеса, отзывает свои автомобили и бесплатно устраняет дефект, как строительная компания, по ошибке покрывшая крышу линолеумном, а пол в квартирах битумом, исправляет свои оплошности. Брать за это деньги - это за гранью добра и зла. Зато очень, очень выгодно.

Ведь можно не только продавать обновления (за крупную дырку ведь и взять можно соответственно), но и сэкономить на отделе QA, который при подобном подходе становится только вредным и лишает компанию дополнительных сверхдоходов. Теперь дело за малым - найти пользователей, которые будут готовы пользоваться продуктом, выпускаемым по такой прекрасной модели.

А вообще, конечно, иногда это и правильно - раздавать патч безопасности за деньги. Может, тогда хоть жаба задушит не ставить купленное, и все будут использовать более-менее безопасные версии любимого софта.

Р. Идов, 

аналитик компании SearchInform

Изменение интерфейса у любимой мною гугловой блоговой платформы (где, в отличие от ЖЖ, интерфейс есть, и над ним работают) натолкнуло на мысли об интерфейсе ИБ-систем. Который, конечно, в них не есть самое главное, но всё равно достаточно важен в силу того неизвестного, похоже, многим вендорам факта, что с их системами всё-таки, оказывается, работают люди.

 Интерфейс многих корпоративных систем давно стал притчей во языцех. Хрестоматийный пример - SAP, которая в последнее время на всех своих мероприятиях говорит даже не столько о профитах, которые её монстры сулят покупающим их монстрам, сколько о "new Apple-sexy UI". DLP-системы и прочие ИБ-инструменты, конечно, не настолько разрекламированы как образчики дикого интерфейса, но тоже могут доставить немало интересных минут пытающимся разобраться в них начинающим специалистам. Редкая DLP-система имеет внятный пользовательский интерфейс, и, без всякой рекламы скажу, что мы в этом плане молодцы, достаточно посмотреть на наши скриншоты и скриншоты конкурентов. Но речь не об этом.

Насколько важен для DLP-системы интерфейс? Готов поспорить, что большинство скажет что-то в духе "чуть более, чем никак". В том смысле, что привыкнуть можно к любому интерфейсу, после чего на неудобства перестанешь обращать внимание.

Это, конечно, так, но есть некоторые "но". Во-первых, пресловутое соотношение 80/20: 80% времени нужно 20% возможностей, а когда нужны остальные, то в системе с неудобным и нелогичным интерфейсом попробуй их ещё найди. Во-вторых, все-таки в отделе ИБ тоже есть текучка кадров, и каждый новый безопасник вынужден будет снова тратить месяцы на освоение системы, что не есть хорошо и правильно. И, наконец, в-третьих, рано или поздно вендор начнет исправлять свои косяки, и придется переучиваться.

Так что интерфейс всё-таки важен, и при выборе DLP не надо отмахиваться от него - это очень даже может "выйти боком".

Р. Идов,

аналитик компании SearchInform

Каким образом службе ИБ доказать свою эффективность или просто даже хотя бы элементарную нужность? Вопрос непростой. Если, например, отделу продаж или ИТ-отделу не нужно лишний раз говорить, что они молодцы, потому что и так видно, как быстро богатеет фирма и как часто простаивают сломанные компьютеры, то с ИБ всё гораздо сложнее. Инцидентов нет - и непонятно, почему. То ли ИБ и вправду молодцы, стараются, то ли просто повезло.

Поэтому иногда в головах некоторых топ-менеджеров возникает вопрос: так а на кой нам эта ИБ вообще сдалась, если непонятно, что она делает и за что получает деньги? Вопрос озвучивается на очередном совете директоров, и иногда так бывает, что ИБ вливается в другую службу (чаще всего, в ИТ или в СБ), чтобы "оптимизировать расходы". Расходы оптимизируются, и, если компании везет и утечки какое-то время обходят её стороной, то руководство радостно потирает руки. До тех пор, пока не грянет гром.

Понятно, что как тут правильно писали в комментариях, можно посчитать риски и экономически обосновать существование ИБ в компании. Но сделать так, чтобы руководство вняло этим расчетам, часто сложно, потому что перебороть аргумент "вы ж всё равно ни хрена не делаете" достаточно сложно. Даже сложнее, чем что-то делать в таких условиях.

Конечно, нельзя сказать, чтобы такой отказ от ИБ был тенденцией, но косые взгляды в её сторону неизбежны практически в любой компании. Потому что... непонятно. А объяснить на пальцах не всегда получается. Издержки профессии? Видимо так.

Р. Идов,

аналитик компании SearchInform

В очередной раз цивилизованная Европа проявляет нешуточное беспокойство по поводу данных, хранящихся на электронных девайсах своих граждан. В принципе, вроде бы, всё правильно, но всё равно хочется, чтобы власть заботилась не только о правах, но и об обязанностях своих граждан, а также об их уровне грамотности - если он будет на высоте, то и проблема с хранением данных сама собой решится.

Представители Европейской комиссии заявили, что они будут проводить консультации по поводу того, как собирается, хранится и обрабатывается информация в устройствах.
Европейская комиссия исследует возрастающее распространение Интернет в различных гаджетах. Регулятор отмечает, что до 2020 года Интернет будет использоваться в подавляющем количестве домашних электронных приборов. Об этом сообщает BBC.
Представители Европейской комиссии заявили, что они будут проводить консультации по поводу того, как собирается, хранится и обрабатывается информация в устройствах. Регулятор хочет удостовериться, что в рамках этих процессов не нарушаются права пользователей.
Подробнее: http://www.securitylab.ru/news/423183.php

Именно такие органы, как Европейская комиссия, и порождают гнев тучи офисных хомячков, которым на каждом шагу чудится, что нарушаются их права. В то же время, если бы больше внимания уделялось не правильности хранения данных, а вопросам трудовой дисциплины и, к примеру, правомерности использования мобильных устройств на рабочих местах, или так называемой консьюмеризацией ИТ, которой озабочены сегодня многие эксперты на Западе.

Впрочем, Европе, конечно, виднее, какие проблемы для неё сегодня более актуальны. Что же касается России и вообще всего постсоветского пространства, то у нас, к сожалению, также наблюдается тенденция к тому, что внимание к правам работников зачастую заставляет общественность сквозь пальцы смотреть на грубые и вопиющие факты пренебрежения ими своими непосредственными обязанностями. Что, в принципе, и понятно - общественность сама не прочь порассказывать про плохих работодателей и производителей софта/железа, которые мешают ей жить и развиваться.

Но стоит ли такие разговоры поощрять?.. Для меня ответ очевидный, а для вас?

Р. Идов,

аналитик компании SearchInform

Досточно интересную новость вычитал сегодня, и уже спешу с вами ею поделиться. Оказывается, американская армия испытывает недостаток в специалистах по информационной безопасности. Уже так и вижу лес рук желающих уплыть за океан и там на благо страны, которую на одной шестой суши называли не иначе как "вероятным противником", начать применять свои знания. Но пишу я здесь об этом вовсе не для того.

Новость заслуживает того, чтобы привести её здесь целиком и полностью: 

Армия США столкнулась с проблемой нехватки квалифицированных кадров в сфере IT-безопасности, передает Computerworld.
В директиве Министерства обороны США (The Department of Defense, DOD), опубликованной еще в 2005 году, подробно описывается, какие соответствующие обучения должны пройти военнослужащие, а также какие сертификаты получить, чтобы иметь право работы в информационных системах Министерства обороны по обеспечению информационной безопасности.
По словам программного менеджера по информационной безопасности компании, предоставляющей IT-решения для информационных систем армии США, Лизы Ли (Lisa Lee), согласно требованиям этой директивы, даже ценного сотрудника могут понизить в должности, если он не имеет указанного сертификата. Она отметила, что очень часто сотрудники, имеющие сертификаты по IT-безопасности не настолько компетентны в своей работе как те, которые не имеют такого сертификата. Ли также добавила, что за получение некоторых типов сертификатов и за прохождение обучения военные должны платить сами.
Для того чтобы решить эту проблему, было принято решение, согласно которому не все специалисты должны соответствовать требованиям, изложенным в директиве министерства. Отныне более квалифицированным специалистам армия будет предоставлять высшие административные привилегии в сети, в то время как менее компетентные лица будут иметь меньше прав в сети и, соответственно, меньшую заработную плату. «Я была вынуждена это сделать. У нас есть компетентные люди, у которых возникают проблемы при прохождении тестов. Они просто не очень хороши в сдаче тестов», - сообщила Ли.
Источник: http://www.securitylab.ru/news/423020.php

Что обращает на себя внимание? В первую очередь, сам факт того, что такое значение придаётся вопросам готовности личного состава армии к ИБ-инцидентам. Про российскую армию нечего и говорить - там сегодня совсем другие проблемы, поэтому там американцев попросту не поймут. И здесь армия, по сути дела, есть всего лишь отражения того отношения к вопросам информационной безопасности, которым пронизано всё общество, включая и госаппарат, и бизнес.

Это наталкивает на интересную мысль. А что, если и отношение к инфобезу начать менять именно с армии? Если уж даже суровые прапорщики и старшины проникнутся проблемами ИБ, то донести их до государственных мужей в высоких кабинетах будет куда как проще. Ну, а бизнес уже как-нибудь подтянется. Жаль только, что армии пока не до ИБ...

Р. Идов, 

аналитик компании SearchInform

Уж много раз твердили миру: безопасность для бизнеса, а не бизнес для безопасности. Аналогично и с другими сферами жизни: стандарты для прогресса, регуляторы для общества, власть для народа... Ну, в общем, все всё поняли. Нет, сейчас не о политике, а о безопасности и о том, как рационализация и автоматизация вредны  там, где не вполне уместны.

"Узнав о нарушениях в родной компании, многие сотрудники американских корпораций и финансовых институтов теперь, собрав доказательства, бегут к регуляторам. Ведь по новым правилам информаторы могут стать миллионерами — им причитается от 10 до 30% штрафа или выплаты по мировому соглашению, которые придется заплатить компании-нарушителю", - пишут Ведомости.
Конечно, в России такое не пройдет по целому ряду причин, которые так или иначе своими корнями упираются в русский менталитет. Да и вообще где-либо на просторах бывшего СССР этот подходя вряд ли вызвал бы особенный наплыв жалобщиков. Хотя, возможно, поскольку речь идет о финансовой сфере, всё не так и плохо... Но дело не в этом - дело в том, что же опаснее для бизнеса и общества в данном случае, молчание сотрудника, или его нелояльность работодателю?

Не надо удивляться, что бизнес и общество тут у меня стоят вместе, как не надо удивляться и самой постановке вопроса: в конечном счете, бизнес тоже нужен обществу. Так вот, по моему мнению, в данном случае нелояльность опаснее. Да, конечно, кто-то может пострадать от очередной финансовой пирамиды или стать жертвой недобросовестной конкуренции. Но, скажите, разве это стоит тех семян имени Павлика Морозова, которые подобными законами насаждаются в компаниях? В конечно итоге, они подрывают общество еще хуже, чем любые нарушения финансового законодательства.

Так что, как обычно, благими намерениями оказалась вымощена дорога в ад. Пусть, конечно, и в фигуральном смысле, но всё же.

Р. Идов,

аналитик компании SearchInform

Думаю, все ещё хорошо помнят недавние баталии вокруг инцидента с переманиванием нашего сотрудника компанией "Инфосистемы Джет", гремевшие в нашем ЖЖ. Конечно, может быть, кто-то сочтет мой новый пост толстым троллингом, но я хотел бы вернуться к теме законности контроля почты и других каналов передачи данных на рабочем месте.

Подтолкнула меня к этому публикация не не слишком любимом мною за свою закрытость Хабрахабре (придумают же название!), в которой достаточно подробно разобран вопрос законности контроля переписки сотрудников на рабочем месте. Рекомендую всем ознакомиться. Ну а здесь приведу резюме того, что должен сделать руководитель организации, чтобы обезопасить себя от утечек информации и нападок офисных хомячков:

Указать в Уставе организации, кто является собственником всех материальных, технических и интеллектуальных (информационных) ресурсов, в том числе и содержимого служебной переписки, которая осуществляется сотрудниками организации в служебное время и при помощи технических средств, принадлежащих организации.
Установить в организации режим коммерческой тайны (согласно ст. 10 ч.1 Закона «О коммерческой тайне»). Руководитель должен издать приказ, определяющий права доступа сотрудников к информации, носящей конфиденциальный характер.
При заключении с сотрудником трудового договора необходимо включить пункт, по которому работодатель оставляет за собой право контроля деятельности сотрудника на рабочем месте в служебное время, в том числе проверку содержимого служебной переписки, каким бы способом она ни велась (на бумажных носителях, при помощи электронной почты).

В общем, что и требовалось доказать. На работе нужно работать, а если кто-то желает что-то написать по поводу новой работы, здоровья любимой бабушки или потомства любимой собачки, он может сделать это дома. Не опасаясь при этом того, что его переписку будут читать злые дядьки из отдела информационной безопасности.

Р. Идов,

аналитик компании SearchInform