`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Кібербезпека чи Інформаційна безпека?

Час від часу бачу як журналісти, різні ІТ спеціалісти чи маркетологи плутають поняття Кібербезпеки та Інформаційної безпеки, підміняючи поняття та вводячи людей в оману, чи то навмисно, чи то по нерозумінню різниці. Спробував розкласти мухи і котлети окремо.

Матчасть

Кібербезпека – це безпека ІТ систем (обладнання та програм).

Інформаційна безпека – це безпека інформації, зазвичай організації чи компанії, у тому числі в ІТ системах. Кібербезпека є частиною Інформаційної безпеки будь-якої організації.

Приклади

Наскільки захищений ваш домашній комп’ютер чи ваш веб-сайт від зламу хакерами – це питання кібербезпеки. Але чи кріпите ви стікер із записаним паролем від комп’ютера чи профайлу у соцмережі на екран свого монітору – це вже питання вашої Інформаційної безпеки.

На сайтах пошуку роботи часто можна зустріти об’яви на кшталт «потрібен спеціаліст з інформаційної безпеки», де в описі задач вказано «адміністрування системи моніторингу», «адміністрування антивірусу», «аналіз наявності вразливостей в системах (пентестер)» – це все вузькі задачі спеціалістів з кібербезпеки. Спеціаліст з інформаційної безпеки має вміти набагато більше, це і організація навчання працівників з питань ІБ, і впровадження проектів ІБ, аналіз ризиків, аналіз компанії на відповідність регуляторним чи законодавчим вимогам і т.п.

Часто продавці різного ІТ обладнання та ІТ продуктів пропонують «рішення з інформаційної безпеки», хоча по факту вони пропонують рішення для кібербезпеки – антивіруси, фаєрволи, мережеві екрани і т.п. Якщо ви купуєте дорогий маршрутизатор з розширеними функціями безпеки чи дорогий програмний продукт, який виявляє та нейтралізує віруси, ви закриваєте одну із задач міжнародного стандарту з інформаційної безпеки ISO 27001 по захисту від зловмисного коду, а в цілому в даному стандарті з ІБ десятки різних задач, які потрібно вирішувати кожній організації, аби її інформація була захищеною.

Хороший приклад правильного використання термінів маємо в назві проекту Закону України «Про основні засади забезпечення кібербезпеки України». Хоча по самому проекту закону є багато зауважень, які детально виклали мої колеги з київського відділення всесвітньої асоціації з розроблення методологій та стандартів у галузі управління, аудиту і безпеки інформаційних технологій ISACA (Information Systems Audit and Control Association), але по своїй суті цей документ якраз і покриває питання саме кібербезпеки.

З іншого боку, маємо не зовсім вдалий приклад використання словосполучення «інформаційна безпека» в документі «Доктрина інформаційної безпеки України». Даний документ описує в основному цілі та дії, які має застосовувати держава щодо протидії Росії в інформаційному полі (телебачення, радіо, інтернет). В документі згадується Державна служба спеціального зв'язку та захисту інформації України (ДССЗІ), але тільки в контексті захисту спеціального зв'язку, захисту інформації, телекомунікацій та користування радіочастотним ресурсом України. Більш вдалою назвою для цього документу була б «Доктрина інформаційної політики України», як на мене. Бо для того, аби цей документ покривав всі питання інформаційної безпеки держави, потрібно також врегулювати не тільки питання забезпечення безпеки інформаційних систем в державі, але також і проведення аналізу цих систем на відповідність (аудит ІТ систем), врегулювати питання освітницької діяльності щодо підвищення і підтримки на належному рівні знань громадян щодо питань інформаційної безпеки, врегулювати питання аналізу та реагування на інциденти ІБ (тим чим займається CERT-UA), питання безперервності роботи державних ІТ систем. Цього всього в поточній «Доктрині інформаційної безпеки» немає, і в цілому ці питання залишаються неврегульованими на державному рівні, тому і по інформаційній безпеці України залишається багато відкритих питань.

Хакери, вони хто?

Всім відомі хакери – це, в основному, спеціалісти з кібербезпеки. Вони вивчають як побудовані різні ІТ системи, щоб знайти в них слабкі місця і використати їх для отримання вигоди, чи то фінансової, чи для інших цілей. Хакерам протидіють не тільки Білі Хакери (White Hats), які також знаходять вразливі місця в наших ІТ системах, але роблять це відкрито, аби допомогти нам закрити наявні проблемні місця, але й спеціалісти з інформаційної безпеки, тому що для проникнення в ту чи іншу організацію можуть використовуватись не тільки прямі методи зламу тієї чи іншої системи, але також і прості людські слабкості – збережені паролі у відкритих місцях, зайва балакучість співробітників, фішинг, спам, прийоми соціальної інженерії по телефону, емейл і т.п.

Як відрізнити спеціаліста кібербезпеки від спеціаліста з ІБ?

Найпростіший і найочевидніший спосіб – по сертифікації. Сертифікацій на тему кібербезпеки та ІБ у світі величезна кількість, але є декілька найпоширеніших та найбільш популярних.

Спеціалісти з Кібер-безпеки:

  • CEH (Certified Ethical Hacker);
  • CISSP (Certified Information System Security Professional);
  • CCSP (Cisco Certified Security Professional).

Спеціалісти з Інформаційної безпеки:

  • CISM (Certified Information Security Manager);
  • CISA (Certified Information Systems Auditor);
  • ISO 27001 Lead Implementer;
  • ISO 27001 Lead Auditor.

З ІТ аудиторами також часто виникає плутанина. Класичний ІТ аудитор чітко знає набір процедур і методологічних практик, які потрібно пройти, аби проаналізувати будь-які ІТ систему згідно поставлених цілей. Також є Пентестери, які інколи позиціонують себе як ІТ аудитори, але виконують зовсім інші задачі. Задача Пентестера – зламати систему, у той час як задача ІТ аудитора проаналізувати систему, наприклад, на відповідність налаштувань до рекомендацій постачальника.

Якщо вам потрібно перевірити вашу систему на міцність – тут в нагоді стане Пентестер, CEH, White Hat. Якщо потрібно просто проаналізувати, наскільки адекватні налаштування ІТ системи, чи порядок з правами користувачів в системі – допоможе ІТ Аудитор, CISA.

Microsoft: должен остаться только один

Корпорация Microsoft продолжает удивлять. Притом приятно и не очень одновременно. С тех пор, как я стал «счастливым» обладателем нового ноутбука с предустановленной Windows 8, мне пришлось немало поудивляться. Я привыкаю к «особенностям» новой Windows уже 10 месяцев. К одним приспособился, другие фичи претерпели изменения за это время (после выхода обновлений), с третьими мы мирно сосуществуем, – я не трогаю их, они не мучают меня. Так и живем.

Одним из новшеств, которыми я заинтересовался стал бесплатный онлайн офис. Не то, чтобы мне это нужно было позарез – Google Docs мне хватает за глаза – просто решил потестировать аналогичный инструмент от Microsoft, чтобы быть в курсе последних веяний. Избалованный google-овской простотой, я открыл SkyDrive (еще на то время так назывался OneDrive), создал файл Excel и начал им пользоваться.

Тестирование проходило хорошо. Возможности онлайн версии табличного редактора, как и обещал Microsoft, оказался урезанным. Но для ведения простой таблицы с историей, накоплением помесячной информации, суммированием колонок и столбцов, построения простых графиков и диаграмм, Excel online справлялся на отлично. Временами, правда, он зависал, радуя смешной фразой «мы все еще работаем над этим».

Все было замечательно в течение полугода до того момента, когда я привычно открыл OneDrive и обнаружил «0» своих файлов. Их не было. Ни одного. Как с опытом в ИТ, я не стал сразу впадать в панику, а выполнил весь набор обязательных ритуалов в таких случаях. Как говориться, и капот поднимал и по колесу стучал и вокруг машины ходил. Перекладывая бородатый анекдот на язык ИТшников, – кэш интернета на ноутбуке почистил, зашел на OneDrive не только из Chrome, но также из канонического Internet Explorer, даже ноутбук перегрузил для чистоты эксперимента. Все тщетно. Файлы не появились. К счастью, ничего важного я там не хранил, в основном это были копии рабочих файлов, с которыми я экспериментировал в онлайн версиях Word, Excel и PowerPoint. Но было любопытно, это разовый сбой или что-то глобальное произошло в Microsoft, и файлы пропали не только у меня.

Порыскал по Интернету. Новостей в стиле «Microsoft потеряла данные нескольких миллионов пользователей» обнаружено не было. Соответственно появилось подозрение, что инцидент случился почему-то конкретно со мной.

Поскольку, как известно, за спрос не бьют в нос, решился написать в службу поддержки Microsoft. Хотя реакции на запрос по пользованию бесплатного инструмента я, честно говоря, особо не ожидал. Поэтому ответ, полученный спустя два дня (!), искренне и приятно удивил. Общение, правда, в итоге растянулось почти на целый месяц. Мне отвечали раз в несколько дней, я выполнял то что просили, писал «не помогло», и ожидал следующего совета.

Решение оказалось достаточно необычным. SkyDrive, еще в самом начале моей работы с онлайн офисом, принял меня не по учетной записи xxx@outlook.com, под которой я работаю в Windows, что было бы логично. А по другому адресу xxx@yugconsulting.com.ua, которым я также пользуюсь на базе outlook.com. Все это время файлы сохранялись под учетной записью xxx@yugconsulting.com.ua. И на одном из этапов трансформаций OneDrive почему-то все-таки решил работать со мной по учетной записи Windows. Что привело к трудностям совмещения нескольких учетных записей outlook.com на одном компьютере. По факту – файлы нашлись, но, как говорится, осадок-то остался.

В FAQ по онлайновому офису прямо написано, «если вы используете несколько адресов электронной почты для входа в службы Microsoft (например, если вы используете один адрес электронной почты для Hotmail и OneDrive и другой для Xbox Live), мы рекомендуем выбрать один из них». Как видно, в Microsoft и сами понимают опасности доступа к разным облачным сервисам под разными учетными записями. Но по каким-то причинам оставили такую техническую возможность сознательно. Или она образовалась естественным программистским путем: работает – не трогай.

Поразмыслив над возможными аргументами относительно полезности такой возможности, пришел к выводу, что если рассматривать ноутбук, планшет, смартфон как персональные устройства, то возможность открывать доступ к облачным сервисам под другими учетными записями не должна быть широко востребована. Если кто-то захочет поделиться со мной скажем фотографиями, то человек со своего устройства (ноутбука, планшета, телефона) расшарит их в облачном сервисе. А я со своего устройства получу доступ к ним. Я себе слабо представляю ситуацию, когда кому-то будет удобно ввести логин и пароль для OneDrive на моем телефоне, чтобы расшарить мне же свой файл с OneDrive. Смартфон уже стал неотъемлемой частью повседневной экипировки, и поделиться информацией проще с личного устройства.

Если же рассматривать ПК, ноутбук или планшет, как коллективное устройство, на котором работает несколько человек. Тогда теоретически возможна ситуация, при которой доступ к информации одного человека нужно будет получить во время использования на устройстве учетной записи другого сотрудника. Но, исходя из практики доступа к сетевым ресурсам в корпоративной сети, такой возможностью пренебрегали и ранее. Технически, и на уровне LAN можно было substом или другими инструментами подключать жесткие диски разных пользователей друг к другу для обмена информацией. Однако в большинстве случаев для этого используется общая папка на файловом сервере.

Исходя из того, что сегодня компьютерные устройства все чаще личные, смещение ПО в сторону персонализации более логично на мой взгляд. Я сам сторонник открытых возможностей. Но отрицать общемировой тренд в сторону унификации доступа к облачным ресурсам невозможно. Похоже, что в ближайшем будущем диктовать моду в ИТ индустрии будут не те, чей софт установлен на большинстве компьютеров. А те, под чьими учетными записями будут авторизоваться пользователи для доступа к данным. И варианты здесь не сводятся только к паре Google\Microsoft. Не прочь откусить от этого пирога Facebook, Yahoo, Twitter и другие.

Что ж, посмотрим, чем эта борьба закончится. И будем внимательными, чтобы не растерять свои файлы на разных серверах в Редмонде, Амстердаме или Дублине.

Электронная почта для небольшой компании или ЧП

Вслед за Google, Microsoft также прикрывает лавочку бесплатных почтовых доменов. С 10 апреля прекратилась регистрация новых частных доменов, а теперь, после 31 июля больше не будет возможности создавать новые учетные записи в существующих доменах.

Все это делается для того, чтобы мотивировать людей переходить на платный почтовый сервис Office 365. Для многих это название ассоциируется с онлайн-офисом. Но кроме самих офисных приложений через сервис доступны и электронная почта, и виртуальные корпоративные сети, и бизнес-аналитика, и корпоративные базы данных… В общем, теперь Microsoft Office 365 – это корпоративный сервис для ИТ-зации бизнеса без лишних усилий. Заплатил – и пользуйся. Пакеты есть на любой вкус, в том числе можно оплачивать только электронную почту (50 грн за пользователя в месяц), или пользоваться онлайн-офисом и электронной почтой, стартуя от 60 грн за пользователя в месяц.

У Google организовать свою корпоративную почту с собственным доменом стоит 5$ в месяц на пользователя. При этом сумма включает весь пакет Google Apps for Business, куда кроме почты входят Google Docs, Maps, Drive, Hangouts, Quickoffice, Sites, Picasa и т.д. В общем все, что есть у Google на текущий момент.

Кроме Google и Microsoft, почту можно хостить в тысяче мест. Если говорить только об онлайн сервисах, то Yahoo, например, берет 35$ в год за один почтовый ящик, это всего 3$ в месяц.

В общем, когда речь заходит о деньгах, каждый может сделать свой выбор, исходя из личных предпочтений. Сравнений Google Apps с Microsoft Office 365 в Сети море.

Что же делать тем, кто пользуется Microsoft Custom Domains?

Пока Microsoft не угрожает принудительным переводом на платное пользование своим сервисом. Но судя по тому, что предлагают воспользоваться до 15 июля 90-дневной пробной подпиской на Office 365 Small Business Premium на пять пользователей, потенциально стоит готовиться и к такому шагу. А пока можно продолжать пользоваться своей почтой бесплатно. Но стоит пожалуй насоздавать пустые учетные записи впрок.

Если вы используете Custom Domains в личных целях, возможно стоит создать такие почтовые ящики как admin, root, brat, sestra, mama, spam и т.п. Если частный домен используется для малого бизнеса, то есть смысл создать почтовые ящики marketing, office, sales, it, admin, hr, finance и пр. Всего можно создать до 50 учетных записей. Как вариант, можно поиграть в Man in Black. Всем «будущим» сотрудникам назначить псевдонимы по английскому алфавиту, от «агента» А до «агента» Z – 26 почтовых ящиков на все случаи жизни.

Если у вас по этой теме есть свои идеи – поделитесь, может кому сгодится.

Путаница в Облаках

Облака, облака, облака, облака… Примерно так выглядят сегодня выступления большого количества вендоров и технических, и софтверных, на конференциях, которые проходят в последние месяцы в Украине. Говорят ли про построение ЦОД, развертывание CRM, или даже оснащение рабочих мест – слово «облако» обязательно будет упомянуто. Кто включает российский телеканал «Дождь», может обратить внимание, что даже там реклама предлагает воспользоваться электронным облаком.

Облака – это хорошо, выгодно и т.п. Но есть одно НО. Интересно, только меня это вводит в ступор или может еще кого-то? Только мне кажется, что словосочетание «частное облако», которое подразумевает развертывание собственной инфраструктуры на чужом ЦОД, не совсем есть облако? И почему вендоры с таким упорством продолжают запутывать людей, особенно не ИТ-шников, разными типами облаков, выдавая горы несущественной с точки зрения бизнеса информации на проходящих конференциях? Почему нельзя принять по умолчанию, что облаком считается только public cloud – сервис, предоставляемый подрядчиком заказчику за определенную плату? Тогда бы все было просто и понятно. Можем пользоваться Microsoft Office в онлайне с оплатой не лицензий, а количества подключенных учетных записей – облако. Можем пользоваться онлайн CRM-системой salesforce.com – облако. Пользуемся всей фирмой электронной почтой со своим доменом на базе gmail – облако.

Какие бизнес-преимущества у облака?

  • Меньшая головная боль (так как все заботы о работе сервиса ложатся на плечи того, кто его продает).
  • Меньшая стоимость (конечно, если это действительно меньше стоит, чем обычные серверы).
  • Перенос затрат в балансе из капитальных в операционные (так как платим помесячно, а не закладываем косты на следующие пять лет вперед).
  • Лучшая безопасность (кто-то может и возразить, но если учесть, что у провайдера безопасностью занимаются профессионалы, а в обычной фирме в лучшем случае сисадмин, а реально никто, то ответ очевиден).

С другой стороны, какие бизнес-преимущества имеем, когда используем «частное облако»? Кроме защиты от маски-шоу, так как физически сервера находятся не в офисе компании, а непонятно где, то в общем-то больше и ничего. Проблемы с ИТ-шниками как были, так и остаются. При развертывании собственной архитектуры нужно содержать такой же штат ИТ-шников, как и при использовании обычных серверов. А то еще и придется нанять парочку спецов по виртуализации. Капитальные затраты как были капитальными, так и остаются, так как закупать сервера все равно нужно, физический или виртуальные. Лицензии на ПО все также нужно закупать. На все это накладывается еще и необходимость обеспечения стабильности и непрерывности работы телекоммуникационных каналов. Так как при сбоях в работе сети все серверы компании окажутся вне зоны доступа, что остановит работу всей компании. Безопасность, физическая – да, увеличивается, а вот информационная остается как минимум на том же уровне, а то и снижается, так как появляются новые риски – падение каналов, утечка информации через сотрудников ЦОД, через виртуальную среду.

Понятно, что владельцам ЦОД нужно продавать простаивающие мощности в любом виде, как сервисным компаниям, которые разворачивают свои public cloud, так и клиентам, которые используют мощности ЦОД по своему усмотрению, разворачивая там свои сервера. Ну так давайте называть вещи своими именами – не «частное облако», а «аренда ЦОД, с возможностью динамически изменять нагрузку на инфраструктуру». А слово «облако» оставим только для того, что действительно им является – public cloud. Уверен, это пойдет на пользу всем, и вендорам, которым проще будет объяснять потребителям, что же собственно они продают, и самим потенциальным пользователям этих сервисов, так как под «облаком» все будут понимать одно и то же – заплатил и пользуйся.

В НДС-е ли счастье или в его отсутствии?

Рынок ИТ пережил суровое потрясение. Сначала нас всех обрадовали, что ИТ-услуги большей частью освобождаются от НДС, и казалось, что вот сейчас наша индустрия ИТ догонит и перегонит все Венгрии вместе с Ирландиями. Но тут как гром среди ясного неба – с 1 июля «счастье» отменяется. Инжиниринговые, консультационные, услуги по разработке, поставке и тестированию программного обеспечения и ряд других услуг снова будут облагаться НДС на общих основаниях.

О целесообразности отмены, а также об осмысленности обратного введения налога, притом посреди налогооблагаемого периода, сказано уже немало. Для конечных потребителей услуг возвращение НДС сулит повышение стоимости заказываемых работ на 20%. Для поставщиков услуг это не так уж и плохо, так как возвращается возможность относить НДС на налоговый кредит.

Хотелось бы отметить другое. Как бы нам ни хотелось, чтобы ИТ-услуги имели привилегированный статус в отечественной экономике, но в целом, в мире, они не имеют особого статуса относительно других отраслей экономики. Согласно недавнему исследованию, проведенному нашей компанией, ИТ услуги в странах Евросоюза, в Африке и Америке облагаются такими же налогами, как и остальные отрасли экономики. Другое дело, что некоторые страны, ослабив налоговое давление, как, например, недавно это сделала Ирландия, смогли добиться существенного роста предпринимательства в государстве, увеличения прямых иностранных инвестиций, общего увеличения ВВП страны. Но ослабление было дано на ограниченный период времени, всего на 20 лет.

Рецептом экономического чуда той же Ирландии эксперты называют не только снижение налогов, но также реформу образования, позволившую стране пополниться высококвалифицированными кадрами, а также устранение бюрократических барьеров для ведения бизнеса.

Украина имеет все шансы повторить путь Ирландии, Венгрии и других успешных государств, которые за короткое время из экономически слабых государств превратились в богатые страны, экспортирующие высокотехнологичную, высокоприбыльную продукцию,– главное воспользоваться возможностями. Но «изменение правил во время игры» – это не самый оптимальный путь развития индустрии ИТ.

Ресурсов всегда не хватает. Но главное не размер, а умение пользоваться

В недавнем разговоре с руководителем ИТ в одном из украинских банков зашла речь о недостатке ресурсов, постоянном прессинге со стороны руководства банка, о снижении затрат, о нехватке квалифицированных людей по многим направлениям. Проблемы, знакомые большинству руководителей ИТ в нашей стране.

В одном исследовании Ernst & Young как раз анализировались такие соотношения: штат отдела ИТ относительно всего персонала компаний, бюджет ИТ к общему бюджету европейских компаний, в том числе украинских и российских. Взяв цифры из исследования и сравнив их с аналогичными показателями в данном конкретном банке, мы обнаружили, что текущая ситуация в банке примерно соответствует ситуации в банковской отрасли других стран.

В Европе, в среднем, на одного сотрудника ИТ приходится 20 сотрудников банка. Цифра в данном банке оказалась примерно той же. Бюджет ИТ в европейских банках составляет 7,12% от общего бюджета банка. В данном банке цифра оказалась меньше, но ненамного. Существенная разница обнаружилась при сравнении соотношения операционной части бюджета с инвестиционной. По Европе в банковской отрасли первая составляет в среднем 54,56%. В данном случае, в связи с тяжелой финансовой ситуацией, почти весь бюджет ИТ состоял из операционных расходов. Эта цифра руководителю департамента ИТ понравилась.

О чем же такая ситуация говорит? О том, что отрасль ИТ не сильно зависит от географических признаков. Технологии что в Европе, что в Америке, что в Украине – по сути, одни и те же. И в европейском банке, и в украинском используются абсолютно одинаковые Microsoft Windows серверы. Одни и те же базы данных Oracle. Да и на аппаратное обеспечение украинским банкам жаловаться грех. В Украине используются и Superdome от HP, и iSeries от IBM. В Украине даже есть Mainframe. Но почему же иностранные компании, которые приходят в Украину, начинают активно перестраивать работу украинских компаний, и подразделений ИТ в частности?

Потому что в Украине пока еще не все компании могут похвастаться качественным корпоративным управлением. Над этим у нас активно работают. В частности, Александр Кардаков продвигает обучение директоров ИТ по отдельной программе MBA – «MBA in IT-Management». В различных тренинговых центрах предлагаются программы повышения управленческой грамотности, например «Финансы для нефинансовых менеджеров», «Планирование и бюджетирование», «Построение системы внутренних контролей в компании» и т.п.

Все эти знания необходимы любому руководителю, и департамент ИТ не исключение. Ведь по сути он представляет собой модель отдельно взятой компании, у которой есть свой штат, бюджет и расходы. А если посмотреть внимательнее, то и свой рынок – оказание услуг внутренним подразделениям компании. Имеются также и свои доходы, которые при желании можно подсчитать.

Как и руководителю любой отдельно взятой компании, руководителю ИТ ежедневно приходиться решать множество различных вопросов, и не только технических. Необходимо «разруливать» конфликты внутри коллектива. Нужно подстегивать отстающие проекты и планировать новые. Нужно справляться с ежедневной рутиной – изучать документы, отвечать на электронные письма, участвовать во встречах. Все это требует различных навыков – организационных, мотивирования персонала, финансовых знаний.

Хорошо поставленные процессы сами по себе ниоткуда не возьмутся. Они или должны вызреть внутри самой компании, или их могут помочь поставить коллеги из материнской компании, или внешние консультанты. Но на данный момент в Украине не так много управленцев, которые хорошо ориентируются во всех вопросах управления бизнеса. А специалистов ИТ с управленческим образованием можно пересчитать на пальцах.

Люди так устроены, что, сколько бы нам не давали денег, времени, отпуска – их всегда не хватает. Остается научиться распоряжаться имеющимися ресурсами и возможностями с максимальной эффективностью.

Регистрация авто через интернет

ГАИ приготовило очередную удобную услугу для жителей столицы. С 11 мая в Киеве новое авто можно поставить на учет по интернету. Во избежание очередей в МРЭО, теперь можно заблаговременно отправить заявку  в ГАИ по электронной почте. Затем нужно только прийти, оплатить необходимые квитанции – и получить номера на руки. По расчетам ГАИ, это должно сэкономить автовладельцам около двух часов времени при регистрации авто.

Хорошая идея, но в самой процедуре есть недочеты, которые следовало бы исправить.

На сайте ГАИ размещен файл в формате xls, который предлагается заполнить и переслать на электронный адрес, но не почтового сервера ГАИ, а бесплатного почтового ресурса. Не самый безопасный способ обработки конфиденциальной информации, которая содержится в заявке на регистрацию авто. Ведь кроме параметров самого автомобиля, в заявке необходимо указать и персональные данные владельца – ФИО, паспорт, контактные телефоны. И эти данные предлагается без какого-либо шифрования пересылать на почтовый сервер, который, по идее, не имеет официального отношения к ГАИ.

Более того, в Соглашении об использовании данного почтового ресурса прямо сказано, что компания предоставляет услуги электронной почты физическим лицам, но никак не юридическим лицам и не государственным организациям. Кроме того, в 6-м пункте данного соглашения прямо указано, что пользователь ресурса обязуется не использовать электронную почту для «сбора, хранения и обработки персональных данных других пользователей».

Как раз для того, чтобы личные данные граждан были защищены от бесконтрольного распространения, в Украине  принят закон «О защите персональных данных», который обязывает защищать от посторонних персональные данные, если их обработка все-таки необходима. Но, к сожалению, пока еще не все госорганизации привели свои процедуры в соответствие с требованиями закона. Остается надеяться, что как только будут приняты поправки к Уголовно-процессуальному кодексу и кодексу об Административных Правонарушениях, у госчиновников появится новый стимул более внимательно относиться к вопросу обработки персональных данных в их ведомствах.

Бесплатный почтовый сервис – вещь удобная, и, безусловно, нужная, но он больше подходит для обработки личной корреспонденции. Вряд ли таковой можно считать заявление на регистрацию транспортного средства. Кроме удобства, интернет-почта несет в себе и ряд рисков.

Например, доступ к почте можно получить с любого компьютера, просто зайдя на веб-сайт. Соответственно, при большом желании можно подобрать пароль к почтовому ящику путем простого перебора. Если же корреспонденция обрабатывается на почтовом сервере внутри организации, доступ к нему должен быть ограничен, что уменьшает риск взлома.

Другой аспект проблемы – неправомерное копирование данных. Ведь если заявка отправляется в формате xls, логично предположить, что она будет обрабатываться инспектором ГАИ на персональном компьютере в программе Excel. В таком случае повышается риск того, что данные автовладельцев могут быть несанкционированно растиражированы. А если учесть то, что в ГАИ уже используются ноутбуки, угроза утечки персональных данных возрастает.

Неизвестно, кто дал разрешение на запуск данной процедуры в ГАИ, и существует ли такой документ в природе, но чиновникам Госавтоинспекции стоило бы пересмотреть подход к обработке персональной информации у себя в ведомстве. Можно воспользоваться опытом налоговиков и комитета статистики. У них уже разработаны и внедрены процедуры обработки персональной информации. Там используются специально выделенные электронные адреса, а информация передается с цифровой подписью отправителя.

Подача заявления на регистрацию авто – дело добровольное, поэтому, возможно, в данном случае нет нужды в  цифровой подписи. Но защитить персональные данные от постороннего доступа необходимо. Одно из возможных решений - загружать заявку прямо на веб-сайт ГАИ, но только через защищенное соединение, чтобы минимизировать вероятность доступа посторонних к персональной информации.

Пока же я воздержусь от использования новой и, безусловно, удобной услуги от ГАИ. По крайней мере, пока она не станет более безопасной.

Трудности перевода или Как наладить общение ИТ и бизнеса

Если в вашей компании топ-менеджмент и ИТ-служба понимают друг друга с полуслова – это замечательно, однако последнее исследование Ernst & Young о роли ИТ в современном бизнесе выявило, что такое продуктивное взаимодействие – это скорее редкость. Когда речь заходит об ИТ-департаменте, руководители бизнеса часто задаются такими вопросами:

  1. Куда уходят деньги в ИТ?
  2. О чем говорят мужчины из ИТ-департамента?

Многим из нас знакома эта ситуация. Но вот мои коллеги задались вопросом: насколько эта проблема распространена в мире, и какие пути ее решения? В рамках исследования было опрошено около тысячи руководителей высшего звена и руководителей ИТ из различных отраслей и в компаниях разных размеров по всему миру. Самые интересные выводы следующие:

  • 73% респондентов считают, что ИТ может иметь более активную роль в развитии компании;
  • Только 15% опрошенных уверены, что их ИТ хорошо подготовлено к будущему;
  • ИТ рассматривается как ключевое подразделение для изменения бизнеса компании;
  • Исследование показало, что сами руководители ИТ в большинстве случаев оценивают свою работу более положительно, чем их же коллеги из руководства компании. Это говорит о том, что нет эффективной коммуникации между бизнесом и ИТ в вопросе оценки эффективности работы ИТ службы.

Очень интересна также таблица характеристик, которые бизнес ожидает от ИТ службы. Как вы думаете, что стоит на первом месте? Профессиональная компетенция? Сертификат MBA? Нет. Понимание чего хочет бизнес от ИТ (книга Терри Уайта «What Business Really Wants from IT» на Западе похоже не очень популярна).

А что стоит на втором месте? Поддержка бизнеса? Опять не угадали – коммуникация с бизнесом. Абсолютно простые вещи, казалось бы. Но эти проблемы до сих пор являются приоритетными для эффективного взаимодействия бизнеса и ИТ во всем мире.

Что говорят книги по поводу коммуникаций? Чем меньше барьеров между людьми, тем эффективнее их общение. Если директор готов принимать без предварительной записи у секретаря – посетителей у него будет больше, информации от своих сотрудников он получит больше.

Если проектная команда находится в одной комнате, а не разбросана по разным этажам, это существенно увеличивает эффективность коммуникаций. Например, людям не нужно пользоваться телефонами и емейлом для того, чтобы обсудить время и место следующей встречи с клиентом..

Напрашивается очевидный вывод: чтобы взаимодействие ИТ и бизнеса было продуктивным, они должны быть максимально близки друг к другу. Идеальное место – Совет Директоров. Но многие ли украинские компании готовы делегировать Начальнику отдела ИТ место в Совете Директоров? И многие ли украинские компании, назвав руководителей ИТ-служб «директорами ИТ департаментов», действительно делегируют им полномочия по принятию решений, которые могут повлиять на бизнес компании в целом?

В своей работе я видел наиболее эффективные ИТ-службы в тех компаниях, где мы с леном Правления, курирующим ИТ, разговаривали на одном языке. И трудно было понять, то ли это бывший Руководитель ИТ, хорошо знающий свое дело, стал Членом Правления, ответственным за операционную деятельность компании, то ли это COO настолько хорошо разбирается в ИТ.

По сути, для самой компании не важно направление движения персонала – то ли от Head of IT к CIO, COO или CЕO, то ли наоборот. Важен результат – эффективная деятельность компании, для чего тесное взаимодействие ИТ и бизнеса жизненно необходимо.

Сапожник без сапог

Как многие, наверное, уже слышали, подразделение безопасности корпорации EMC, компания RSA, подверглась кибер-атаке. Сама RSA признает, что злоумышленники проникли во внутреннюю сеть компании и получили доступ к информации внутренних систем. Что это за информация, какого рода, RSA не сообщает. Несмотря на то, что похищенная информация относится к двухфакторной аутентификации с использованием RSA SecurID, компания считает, что прямой угрозы атак на клиентов нет. Утверждается также, что никакая персональная информация о клиентах или сотрудниках компании не была похищена.

За сложной аббревиатурой Advanced Persistent Threat (APT), как назвали данную атаку в RSA, нет ничего необычного, страшного или заумного. Это название придумали для обозначения атаки с использованием нескольких источников нападения. В данном конкретном случае RSA пока не раскрывает деталей атаки, но речь может идти не только об атаке на внешний периметр, но также и о социальной инженерии, использовании троянских программ, подкупе сотрудников. Ведь речь идет о продуктах, которые используются не только частными, но также и государственными организациями. А время сейчас ой какое неспокойное.

Согласно исследованиям IDC, RSA контролирует около 70% рынка двухфакторной аутентификации. Таким образом, интерес к возможности компрометации доступа к различным внутренним сетям частных, и особенно государственных, организаций в сегодняшнем неспокойном мире может быть очень высок.

Сама по себе выемка информации у вендора еще не говорит о том, что под угрозой компрометации находятся все десятки миллионов SecurID, используемых в мире. Для успешной атаки на SecurID необходимо иметь информацию о компании, конкретном сотруднике, пин-коде SecurID, его серийный номер и его seed (секретный ключ).

Если допустить, что злоумышленники смогли получить информацию о клиентах, о компаниях. И если исходить из наихудшего, что они уже имеют секретные ключи всех SecurID, их серийные номера и информацию о клиентах RSA, то для успешной имитации сетевого соединения от имени другого пользователя им необходимо также получить информацию о конкретном пользователе каждого SecurID и его секретный пин-код.

В текущей ситуации возможны 3 сценария успешной атаки на конечных пользователей:

  1. Злоумышленник может попытаться проанализировать сессию пользователя для определения имени пользователя и пин-кода.
  2. Злоумышленник может использовать фишинг для получения имени пользователя и пин-кода.
  3. Злоумышленник может использовать троянские программы для получения имени пользователя и пин-кода.

Первый вариант возможен, но в силу технической сложности реализации и необходимости использования мощного оборудования, такая атака осуществима только с целью получения оправданной с точки зрения затрат выгоды. Например, для атаки на правительственные учреждения.

Два других варианта гораздо более вероятны, так как фишинг и троянские программы являются довольно распространенным явлением. С этими явлениями довольно успешно борются антивирусы. Но в который раз стоит отметить, что время антивирусов, как панацеи от хакерских атак, безвозвратно ушло. Сегодня, для эффективного противодействия потенциальным злоумышленникам необходимо предпринимать не только технические (антивирусы, firewall, IDS) но и организационные меры.

Например, регулярно проводить ознакомление и обучение сотрудников компании вопросам безопасности. Эта процедура простая и малозатратная. Если позволяют ресурсы, кадровые и финансовые, можно внедрять риск-менеджмент, выписывать и проводить проверки службой внутреннего аудита, заказывать тестирование внешнего периметра компании у сторонних организаций. Все эти процедуры требуют вложений, как в денежном выражении, так и в ресурсном.

Невозможно закрыться одним каким-то техническим решением, и чувствовать себя в безопасности. Вчера появился Интернет, и принес новые угрозы. Сегодня – Facebook, со своими каналами для утечки информации. Завтра появится еще что-нибудь. И уж точно это будет не «серебряная пуля», с помощью которой можно будет избавиться от всех проблем. Люди говорят: «Любовь – это вам не просто так, ею заниматься надо». Так и с безопасностью.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT