`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Оправдан ли отказ от Windows в пользу Linux из-за большей защищенности последней системы?

Тема «Windows или Linux?» — это одна из самых популярных «священных войн» последних двух десятилетий. Традиционно считается, что система GNU/Linux в различных своих ипостасях (Debian, Fedora, Mandriva и т.д.) защищена лучше, чем детища корпорации Microsoft. Мнение это достаточно спорное, поскольку на базе как одной, так и другой системы можно создать очень хорошо защищенную корпоративную инфраструктуру. А можно, напротив, просто установить «голую», открытую всем ветрам систему, и тогда и Windows, и Linux покажут себя не с лучшей стороны.

Это — одна из типичных ошибок информационной безопасности, такая же, как и бездумный отказ от Internet Explorer’а в пользу «более защищенного» браузера.

Нужно отметить, что ошибкой является не выбор системы как таковой, а именно решение о переходе с одной на другую в условиях недостаточной подготовленности персонала к подобному переходу. Речь идет не только о сотрудниках отдела информационной безопасности, но и о работниках ИТ-отдела, администраторах и даже бухгалтерии. Поскольку переход организации с одной системы на другую — это весьма серьезное изменение в ИТ-инфраструктуре организации, необходимо тщательно взвесить все «за» и «против» такого перехода, рассчитать связанные с ним издержки, и предусмотреть все возможные негативные последствия. В большинстве случаев после подобных расчетов оказывается, что выигрыш в безопасности несопоставим с издержками, а потому гораздо разумнее потратить куда меньшие суммы на покупку средств безопасности для уже установленных в организации копий операционной системы.

Вообще, продолжая тему, хочу отметить, что большая часть ошибок информационной безопасности сравнительно легко предупреждается, но при этом последствиями подобных ошибок могут стать значительные денежные убытки допустившей их организации. Так что это как раз тот самый случай, когда проблему легче предупредить, чем потом решать.

А что об этом думаете вы?

Оправдан ли отказ от Windows в пользу Linux из-за большей защищенности последней системы?

Технологии, изменившие Интернет

С тех далёких времен, когда Тим Бернерс-Ли «изобрел» Всемирную Паутину, интернет изменился очень сильно. Однако Всемирная Сеть менялась не в одночасье, изменения происходили постепенно. Причем вехой каждого из этапов данных изменений становилась определенная передовая технология, которая создавалась на благо потребителей. Всё, конечно, очень субъективно... Но буду рад комментариям:)

1. Поисковые системы

Современную Сеть без поисковых систем представить было бы очень сложно. Наверное, вообразить такую Сеть будет не под силу даже «ветеранам» интернета, которые застали те времена, когда поиск вместо «Гугла» производился «Аппортом», и очень ценились ссылки на хорошие FTP-архивы. Поисковые системы становились очень удобным способом найти что-то конкретное во множестве страниц, они были удобнее неьюсгрупп или каталогов сайтов.

Что же до сегодняшних времен – сейчас поисковые системы разительно поменялись внутренне, однако для пользователя они функционируют практически так же, как и раньше: по запросам выдается огромное количество ненужной информации, из которой человек уже сам пытается выцепить то, что ему хоть сколько-нибудь интересно.

2. Java и JavaScript

Очень долгое время сети интернет не хватало интерактивных возможностей. Какими бы ни были красивыми изображения на страницах, как бы сильно ни был интересен текст, это всё в итоге слишком уж напоминало газету, и очень мало было похоже на то, что сегодня мы понимаем под хорошей Web-страницей. Сначала Java, а следом и JavaScript сделали шаги к интерактивности сети интернет. Многие пользователи сейчас даже не догадываются о том, что Java и JavaScript, несмотря на их схожие названия, являются очень разными по своей сути технологиями. Но благодаря обеим этим технологиям браузер «научился» реагировать на манипуляции пользователя, создавая у него приятное чувство власти над Web-страницей.

3. Flash

Сначала данная технология носила название Macromedia Flash, потом была переименована в Adobe Flash, теперь вот появилась и аналогичная технология под названием Silverlight. Однако главный вопрос – не как называть, а как именно использовать. Flash придает Web-страничкам то, чего не могут дать им Java и JavaScript – красивый внешний вид и очень стильный дизайн. Благодаря флэшу начали появляться игры, которые можно запускать прямо на Web-странице – и у пользователей Всемирной паутины также есть новый способ убить время при помощи данной технологии. Но самым успешным в коммерческом плане использованием Flash, само собой, стали баннеры.

4. ICQ

У «аськи», само собой, есть достаточно много своих недостатков, однако еще больше у нее пользователей. Дома, равно как и на работе, с ноутбука и с мобильного телефона, зачастую без перерывов на сон и на еду сидят в «аське» её поклонники. Причиной популярности «аськи» очень простая – вы можете очень быстро получать сообщения от своих собеседников и также быстро отправлять им свои ответы. «Аська» намного более оперативна, нежели электронная почта или же форумы, также она гораздо более комфортна в использовании, чем Web-чаты. Потому мгновенным сообщениям в их различных вариациях (MSN Messenger, или же Yahoo Messenger, или Jabeer, …) в итоге было суждено покорить абсолютно весь мир.

5. VoIP

Если говорить технически, то IP-телефония появилась на свет гораздо раньше «аськи», и даже раньше JavaScript. Тем не менее, широкую известность данная технология получила лишь при появлении широкополосного доступа в сеть интернет, без коего абсолютно невозможно комфортное применение технологии. Разговор при помощи сети интернет, в устной, а не в письменной форме, можно назвать дальнейшим развитием идеи быстрого обмена сообщениями, поэтому ничего удивительного, что популярность VoIP растет невероятно быстрыми темпами.

6. Пиринговые сети

Развитие децентрализованных сетей явилось ожидаемым ответом тех пользователей, кто желает сэкономить свои финансы на приобретении лицензионных кинофильмов и музыкальных компакт-дисков. Ведь как раз фильмы и музыкальные композиции были, есть и будут далее основным видом контента, который передается по пиринговым файлообменным сетям, даже несмотря на все попытки правообладателей вести борьбу с данными сетями. Сила пиринговой сети заключена в том, что в данной сети нет ни одного сервера, закрытие которого приведет к «смерти» всей сети разом – каждый участник данной сети как передаёт, так и принимает файлы, потому и борцам с пиратами нужно мириться с наличием пиринга.

7. Интернет-магазины и платёжные системы

«Магазины на диване» можно назвать мечтой любого лентяя. Интернет-магазины явились воплощением данной мечты. Вам больше не нужно тратить время на хождение по магазинам, разыскивая редкую, но необходимую вам вещь, можно просто воспользоваться поиском. Запросто можно узнать также среднюю цену на товары, просто заглянув в три-четыре «виртуальных магазина». Мужчины уже забыли слово «воскресный шопинг»   ведь сегодня уже абсолютно всё можно найти в сети интернет, при этом даже получается чуть-чуть сэкономить.

Платёжные системы – это также большое благо, которое, помимо других своих достоинств, очень полезно и для прекрасной половины человечества. Платить по кредиту, и при этом не стоять в очередях; оплачивать мобильную связь, не выходя при этом из дома, платить за интернет – разве это не здорово?

8. DDOS-атаки

Несомненно, есть в развитии сети интернет и отрицательные моменты   как говорится, в каждой бочке меда может быть своя ложка дегтя. DDOS-атака – так называется атака на сервер, во время которой к нему сразу обращается огромное число пользователей, и в результате у него просто не получается обработать все эти запросы. Главная цель у злоумышленников в данном случае – сделать какой-либо сетевой ресурс недоступным. DDOS-атаки достаточно долго были настоящей головной болью для администраторов большого количества серверов, однако сейчас таких атак, к счастью, стало значительно меньше, чем раньше.

9. Трояны, спам и фишинг

Для администраторов большим злом, как мы уже сказали, являются DDOS-атаки. А вот рядовым пользователям сети интернет очень большие неприятности доставляют сегодня вирусы, трояны и спам. Защита от таких угроз сейчас является выгодным бизнесом. Сегодня огромное количество компаний и программистов-одиночек предлагают пользователям решения, обеспечивающие защиту от троянов и спама. Решения эти в различной степени сложные и в различной же степени эффективные. Существует такая точка зрения, что вирусы и  трояны создают сами разработчики программного обеспечения для защиты от данных угроз. Так или иначе, правду нам все равно никто не расскажет. Спам же сегодня считается еще более серьёзной проблемой, но до тех пор, пока эффективность от использования спама не нулевая, он никуда не «пропадет», а будет увеличиваться в масштабах.

10. Модель Web 2.0 и AJAX

Во многом успешность Web 2.0, равно как и развитие VoIP-технологий определили широкополосный доступ к сети интернет, без которого сегодня невозможно было бы появление таких сервисов, как знаменитые YouTube или Flickr. AJAX – это технология, которая позволяет строить сайты, по своему быстродействию и поведению почти неотличимые от обыкновенных программ. Эта технология также внесла свой большой вклад в развитие Web 2.0. Посмотрим, реализуются ли в будущем прогнозы скептиков,   однако уже сейчас ясно, что Web 2.0 и AJAX явились очередной очень важной ступенью в развитии сети интернет.

Топ технологий, изменивших интернет: часть 1, часть 2

Об ошибках Facebook в обеспечении информационной безопасности

Разработчики Facebook допустили много ошибок в работе над конфиденциальностью данных пользователя. Мы перевели небольшой фрагмент обсуждений на американском сервисе вопросов и ответов Quora, чтобы рассказать о самых серьезных прегрешениях крупнейшей социальной сети.

Пользователям не сообщили должным образом об изменениях в политике конфиденциальности

Когда разработчики Facebook предложили обновленную политику конфиденциальности, они предполагали, что пользователи будут голосовать и комментировать все нововведения, на самом же деле они с трудом смогли понять, о каких изменениях шла речь. Чтобы понять, что именно поменялось, пользователи должны были зайти в сообщения, а затем посмотреть обновления. Не было никаких предупреждений ни в виде всплывающих окон при загрузке сайта, ни  виде записей в новостной ленте. Это очень не похоже на Facebook, любое обновление которого сопровождается основательными описаниями при входе в аккаунт.

Об ошибках Facebook в обеспечении информационной безопасности

Сложные настройки конфиденциальности профиля

В 2006 году, Цукерберг заявил: «Мы разработали расширенные настройки конфиденциальности, чтобы вы могли тщательней контролировать, с кем вы делитесь информацией». На самом же деле эти настройки наоборот затрудняют осуществление пользовательского контроля. Обратите внимание на настройки конфиденциальности профиля в январе 2010 года:

Об ошибках Facebook в обеспечении информационной безопасности

Разобраться с ними не так легко и просто как загрузить фотографию, не так ли? Тогда, если пользователь хотел скрыть фото от друзей, он должен был внести изменения в разделах «Фото и видео со мной», «Альбомы» и «Мои публикации». Если он выбирал подходящие настройки конфиденциальности, то мог делиться информацией только с определенными друзьями или группами друзей. То есть надо было еще и создавать и сохранять списки или группы друзей, которые могли бы видеть определенную информацию этого пользователя. Дополнительные кнопки, переключатели и раскрывающиеся меню только усложнили работу, и люди почувствовали, что вся эта система для них слишком сложна. Таким образом, они стали оставлять настройки приватности по умолчанию, которые были выгодны Facebook, а не его пользователям.

Проблемы конфиденциальности при работе с приложениями

В определенный момент сеть Facebook открыла для приложения Zynga доступ к некоторой личной информации друзей пользователей, которые играли в эту игру, что явилось однозначным нарушением конфиденциальности, так как  «пострадавшие» пользователи не давали доступ Zynga к персональным данным на своем аккаунте. В результате они страдали от многочисленных спам-рассылок от Zynga, которыми так «славилась» эта игра первое время.

Рассылка Beacon

В 2007 году разработчики Facebook запустили Beacon – систему рекламной рассылки, которая отправляет данные с внешних интернет-страниц на аккаунт в  Facebook. К примеру, когда пользователь совершает покупку в интернет-магазине, он вдруг видит всплывающее окно (как показано ниже) с сообщением, что этот магазин отправляет информацию о вашей покупке в Facebook:

Об ошибках Facebook в обеспечении информационной безопасности

У покупателя будет 10 секунд, прежде чем окно исчезнет. И затем информация о покупке появится на его стене в соц. сети. Facebook внедрил эту программу как рассылку без запроса получателя. В 2008 году на разработчиков сети и компании, участвовавшие в программе, подали коллективный иск за обнародование личной информации пользователей без их разрешения.

Об ошибках Facebook в обеспечении информационной безопасности

О рынке информационной безопасности в Белоруссии

Коллеги из белорусского офиса попросили поделиться фрагментами аналитики, которую один местный журнал делал по поводу местного рынка ИБ. Думаю, что тем, кто интересуется рынками близлежащих стран, эта информация будет небезынтересной.

Вряд ли в настоящее время можно говорить о сложившемся рынке информационной безопасности в белорусских условиях. Можно ли сказать, что рынок существует, если на нем представлен всего один серьезный продукт? Здесь причина даже не в том, что решений по информационной безопасности мало. Просто белорусские компании в массе своей не осознают потребность в подобных продуктах и, как следствие, не готовы их покупать. Тем более, если учесть, что решения в области защиты информации не относятся к категории дешевых.

У нас по-прежнему программное обеспечение покупается по остаточному принципу. При рассмотрении бюджетов на предприятиях, приобретение ПО информационной безопасности рассматривается далеко не как первоочередная задача. А зря, ведь предприятие может обезопасить себя от колоссальных убытков, которые могут возникнуть в случае потери конфиденциальной информации. Но есть и перспективы развития данного направления в республике. За последний год работы у нас уже несколько клиентов в банковской сфере и коммерческих организациях. Идут переговоры с госпредприятиями, министерствами и ведомствами, представителями крупного и среднего бизнеса.

Необходимо делать привязку к развитию направления информационной безопасности после прохождения пика финансового кризиса. Сейчас предприятия стараются «закрыть» те направления своей деятельности, которые позволяют держаться на плаву, и обеспечивать работой свой штат сотрудников, сводя расходную часть к минимуму. И это вполне разумная стратегия, потому что время действительно сложное. Если организация экономит даже на расходных материалах, то тут уже не до дорогих DLP-решений.

Ко всему прочему, для того, чтобы организации реально задумались о том, что утечка информации – это не просто что-то из серии голливудских страшилок, нужно, чтобы в стране случилась хоть одна громкая утечка. Конечно, утечки существуют, но они скорее локального характера и, как правило, происходят из-за халатности сотрудника, и не попадают на всеобщее обозрение благодаря оперативным действиям сотрудников безопасности и политике предприятия. И пока любая организация не столкнётся с собственными утечками, она даже не будет задумываться о ее предотвращении.

Многие организации вынуждены урезать свои бюджеты, связанные с ИТ и информационной безопасностью. Соответственно, конечно, и многие покупки систем информационной безопасности, которые были запланированы до кризиса, отложены до лучших времён.

Но в противовес такой стороне вопроса и появились компании, которые находятся в отрасли с высокой конкуренцией и где часто ведется борьба с конкурентом не всегда честными методами. Вот такие компании напротив, ускорили процесс внедрения систем защиты информации.

Мы видим огромный интерес к проблеме защиты от утечек информации со стороны белорусских компаний и государственных структур, и мы уверены, что обеспечение информационной безопасности является одним из важных этапов развития информационного общества в Беларуси.

Первое, с чем сталкиваешься на белорусском рынке, это практически повсеместное требование наличия сертификата на предлагаемый продукт. Понятно, что с коммерческими компаниями можно работать и без наличия оного, но госсектор – необходимость. Это и разумно, т.к. государственные компании должны быть уверены, что после проверки продукта ОАЦ (оперативно-аналитическим центром) будет предоставлен качественный и проверенный продукт, который полностью выполняет заявленные требования и не имеет уязвимостей или скрытых возможностей. Еще одним из сложностей внедрения ИТ-решения являются сроки. Понятно, что серьезный проект проблематично реализовать за 1-2 месяца. Также как и трудно это сделать, если приобретения программного обеспечения не было заложено в бюджет.

Наиболее популярные каналы, которые в первую очередь представляют серьезную угрозу: это электронная почта, печать и запись на внешние устройства. Очень популярным является программный продукт Skype. Многим руководителям важно, чтобы их переписка и документы не просматривались сотрудниками безопасности их предприятия. ПО для обеспечения информационной безопасности несет и вторичную функцию, например контроль качества общения сотрудников с клиентами, их переписку. Позволяет выявить нарушителей, которые используют оборудование и ресурсы предприятия для собственных нужд, тратя расходные материалы или забивая почтовый канал. Можно также выявить сотрудников, которые основное рабочее время тратят на общение в социальных сетях и по «аське». Для одного из клиентов оказался очень востребованным контроль печати, который позволил выявить отгрузку товара по якобы «испорченным» накладным. Но в идеале, конечно, лучше говорить о комплексной защите, т.к. не защитив даже один из каналов возможной утечки, можно потерять информацию именно по нему. Также часто можно встретить ситуацию, когда на предприятии есть «группа риска», это те сотрудники, которые не вызывают доверия. Иногда продукт приобретается именно для контроля такой группы.

О рынке информационной безопасности в Белоруссии

Где в СНГ выгоднее работать администратору информационной безопасности?

Краткий сравнительный анализ вакансий для администратора информационной безопасности в России, Белоруссии, Казахстане и Украине.

Информационная безопасность – сравнительно новая, но чрезвычайно востребованная  сфера деятельности. И в ней спрос на квалифицированные кадры значительно выше предложения. Это, в первую очередь, обусловлено темпами  развития индустрии. Спектр работ, в которых нуждаются компании, широк, а специалистов, которые могут соответствовать всем требованиям работодателя, отрасли не хватает. Аналитический центр SearchInform составил подборку наиболее интересных для соискателя вакансий в сфере информационной безопасности в России и соседних с ней странах.

Абсолютным лидером оплаты труда специалистов сферы информационной безопасности  стала Москва. Здесь консультанту по направлению «Информационная безопасность» обещают заработную плату в размере 180 000 рублей. Обязанности сотрудника на этой должности такие:

  • анализ структуры компаний Заказчика и информационных систем с точки зрения информационной безопасности;
  • подготовка предложений по созданию/развитию систем обеспечения ИБ(информационной безопасности);
  • проектирование комплексных систем обеспечения ИБ;
  • проведение аудитов информационной безопасности;
  • разработка ТЗ(технического задания) по созданию системы обеспечения информационной безопасности;
  • участие в проектах по внедрению/развитию систем обеспечения ИБ в роли архитектора решения и руководителя группы инженеров.

Чуть дешевле ценят в столице администраторов по информационной безопасности. Специалисту с опытом работы от 3 до 6 лет и наличием высшего технического образования обещают платить от 70 000 до 100 000 рублей.

Третье место по заработной плате специалистам сферы информационной безопасности занимает, как то ни странно, Минск. Впрочем, учитывая, сколько усилий предпринимают власти Белоруссии для развития в республике ИТ-бизнеса, это довольно закономерно, ведь ИТ-компании нуждаются в услугах специалистов по информационной безопасности едва ли не больше, чем кто-либо другой. Здесь требования довольно серьезные: 6 лет стажа, высокий уровень владения английским языком, а цена вопроса – $2500, т.е. около 125 тысяч рублей.

В белорусском же Могилеве специалисту по информационной безопасности гарантируют заработную плату 70 тысяч в месяц. При этом требования далеко не заоблачные: стаж, например, совсем не интересует работодателя. При этом предлагается полный рабочий день и даже социальный пакет. Определенно, тому из индустрии ИБ, кто подумывает о смене места жительства, стоит присмотреться к Белоруссии.

Идем дальше. Для сравнения, в Казахстане максимальная  зарплата для специалистов в сфере информационной безопасности составляет 126 000 тенге, или примерно 35 тысяч рублей по текущему курсу. От кандидата требуют опыт работы до 3-х лет и достаточно увесистый список умений, который в России (и, наверное, в Белоруссии) «потянет» как минимум на вдвое большую зарплату.

Как и следовало ожидать, минимальная оценка труда администраторов информационной безопасности в Украине. В частности, в славным городе Киеве специалистам с опытом работы до трех лет предлагают 6 000 гривен в месяц, или 14 тысяч рублей. Впрочем, учитывая обстановку в стране, можно предположить, что у работодателей есть более насущные проблемы, чем защита от информационных угроз.

Что ж, подведем итоги этого небольшого, но весьма показательного исследования. Вполне закономерно, что самым перспективным местом работы для администратора информационной безопасности остается Москва. Неожиданной оказалась готовность работодателей из Белоруссии платить сравнимые с московскими зарплаты – очевидно, сказывается развитость ИТ в регионе. Ситуация с зарплатами в Казахстане объясняется, по-видимому, отсутствием серьезных информационных угроз в стране, где рынок интернет-платежей и других технологий не так развит, как в России, и потому компании не видят коммерческого смысла во вложениях в ИБ. Ну, а низкие зарплаты на Украине уже не удивляют, наверное, никого, включая самих украинцев.

Где выгоднее работать администратору информационной безопасности в СНГ?

Плюсы сертификации вашей компании по ISO 27001

Сертификация в сфере информационной безопасности – мероприятие дорогое и сложное. Поэтому компании с осторожностью относятся к ней. Попробую дать ответ на вопрос, когда такая сертификация необходима, и какие преимущества она может дать организации. Как всегда, буду рад адекватным и грамотным комментариям по теме.

Что такое ISO 27001 и кому он нужен?

Дальнейший разговор не имеет смысла вести, если не обсудить сначала, что именно скрывается за этими цифрами и буквами.

Этот стандарт описывает требования в области информационной безопасности для создания, развития и поддержания системы менеджмента информационной безопасности (СМИБ). Эта достаточно новая для бизнеса на постсоветском пространстве аббревиатура означает ту часть общей системы менеджмента, которая отвечает за обеспечение информационной безопасности и оценку рисков.

Стандарт этот, как можно самому, кстати говоря, узнать из его текста, подходит для всех организаций – и государственных, и коммерческих. То есть, пройти сертификацию на соответствие ему сможет любая организация. Но в силу естественных причин, в первую очередь в этом заинтересованы экспортеры, работающие на западных рынках, где подобные стандарты стали нормой уже много лет назад. Интересен будет этот стандарт и финансовым организациям (банкам, лизинговым и страховым компаниям), для которых информационная безопасность – всегда «больная» тема.

За счет того, что этот стандарт относится к категории международных, он хорошо совместим с другими стандартами в области менеджмента, например, с гораздо более широко применяемым ISO 9001. Поэтому те организации, где уже работает стандарт ISO 9001, смогут и ISO 27001 внедрить с гораздо меньшим количеством проблем и нестыковок. Поэтому если у вас уже пройдена сертификация по ISO 9001, то и родственного ему стандарта в области информационной безопасности бояться нечего.

Преимущества

Трудоемкая и дорогостоящая процедура перетряски корпоративных устоев в угоду принесенным извне стандартам должна в итоге обернуться чем-то очень полезным для компании. Потому что в противном случае и затевать ее нет совершенно никакого смысла. На сайтах и в рекламных брошюрах консалтинговых компаний, которые оказывают услуги по сертификации, можно найти красочное перечисление всего того, что должна дать сертификация отважившейся на нее компании. Конечно, все эти обещания нужно пропускать через фильтр здравого смысла и опыта других компаний. Но даже с учетом этих ограничителей получается вовсе не так уж и мало.

Во-первых, как бы то ни было, сертификация позволяет улучшить имидж компании в глазах партнеров и клиентов – как потенциальных, так и уже существующих. Если компания стремиться к имиджу инноватора и эксперта в работе с информацией, то подобная сертификация для нее просто жизненно необходима.

Во-вторых, стандарты все-таки разработаны на основе многолетней практики ведущих специалистов, и их внедрение обычно существенно оптимизирует бизнес-процессы внутри компании. То есть, в случае с ISO 27001, в первую очередь улучшается защищенность информации как принадлежащей самой компании, так и ее клиентам. В перспективе это означает существенную экономию благодаря отсутствию ущерба от инцидентов в сфере информационной безопасности.

В-третьих, повышается прозрачность работы отдельных подразделений, да и всей компании, в целом. Особенно это полезно в свете того, что на постсоветском пространстве до сих пор с осторожностью относятся к обеспечению информационной безопасности в организациях. Благодаря тому, что работа отдела информационной безопасности станет более прозрачной, повысится и доверие руководства организации к этому подразделению, а как следствие, и эффективность деятельности последнего.

А что думаете вы по этому поводу?

Плюсы сертификации вашей компании по ISO 27001

Самые яркие утечки данных последнего времени

Пока все отдыхают, мы продолжаем защищать своих клиентов от утечек. Но контент все-таки в связи с праздниками будет сравнительно развлекательного характера: посмотрим на список самых запоминающихся утечек последнего времени. Каких-то четких критериев при его составлении мы с коллегами не придерживались, и может быть, утечки в нем чем-то повторяют вот этот "топ", который публиковался перед Новым годом. В любом случае, надеюсь, подборка окажется интересной и полезной.

1.    Дальше всего информация бежит от ресторанов фаст-фуда.  Не так давно любопытный случай произошел с компанией  McDonalds, где кто-то  на  корпоративном ресурсе выложил для сотрудников советы относительно здорового питания. А именно, что   не стоит чрезмерно увлекаться  гамбургерами, картошкой фри и колой , так как они не полезны для организма. «Чистосердечное признание» флагмана фастфуда вызвало целую волну упреков и исков, адресованных компании.

2.    Была скомпрометирована база миллионов пользователей почтовых сервисов «Яндекс.Почта», Mail.ru, и Gmail. Тогда в течении трех дней в открытом доступе находились базы миллионов пользователей ресурсов. Компании же отрицали факт инсайдерской утечки.  Хотя этот прецедент был достаточно спокойно воспринят пострадавшими пользователями. Ведь не раз уж сервисы предупреждали, что не всесильны, и безопасность пользователей во многом зависит от их собственной бдительности.

3.     Путем использования в личных целях конфиденциальной информации клиентов сотрудники Кубанского филиала банка «Первомайский» стали богаче на  2 млн рублей. Правда, чуть позже разжились еще и тюремными сроками.

4.     В это же период произошла утечка паролей к аккаунтам премьер-министра. Новость, что Twitter премьер-министра Российской Федерации Дмитрия Медведева взломали, обозначила информация об его отставке. Но хакер вскоре получил доступ и к другим страницам господина Медведева, в том числе и к личной и рабочей переписке. Ну а финальным аккордом стало фото жертвы с собственного смартфона в сети.

5.    Летом 2014 года хакеры также  взломали gmail-почту вице-премьера Аркадия Дворковича. Благодаря этому стало известно, что даже высокие  чиновники используют публичные сервисы для решения рабочих вопросов.

6.    В октябре 2014 Интернет облетела новость о том, что аферисты взяли кредит на $1,5 млн, использовав паспортные данные киевлянина. Конфиденциальная информация попала к злоумышленникам через банк, в кассе которого мужчина менял валюту. Ни название банка, ни имя «жертвы» не обнародовали, однако сама история заставила посетителей форумов поволноваться.

7.    Летом прошлого года украинские спецслужбы впервые обезвредили международную группу хакеров, в которой состояли, 16 граждан государства. В течение трех лет преступники взламывали счета в иностранных банках с помощью компьютерного вируса. Группа нанесла вкладчикам ущерб на сумму более $72 млн.

8.    Принимавшая трафик British Telecom украинская компания «Вега» допустила крупную утечку персональных данных клиентов своего иностранного партнера. В список пострадавших попали такие крупные компании, как  британский производитель ядерного оружия корпорация Atomic Weapons Establishment, американская корпорация Lockheed Martin, ее заказчиком является Министерство обороны США. Также утраченными могли оказаться данные национальной Королевской почты Великобритании Royal Mail. Ситуацию изданию The Verge прокомментировал директора компании по исследованию интернета Dyn Research: «На данный момент я должен поверить, что это невинная ошибка „Вега“, тем не менее это беспокоит».

Отдельное спасибо за помощь в составлении коллегам из нашего украинского офиса:)

Если будут комментарии или предложения по расширению списка, буду очень рад.

Самые яркие утечки данных последнего времени

Как найти украденный Apple-гаджет

Очень часто некоторых беспечных владельцев довольно дорогих гаджетов, таких как iPhone и iPad обворовывают, иногда и жестко грабят, похищая эти устройства. Так или иначе, ограбили или обокрали — вы теряете свой гаджет, тогда как злоумышленник его получает, да еще и вместе с данными, которые хранятся на нем. Бывает, что содержимое устройства является намного ценнее, чем собственно девайс. Полезные советы, которые изложены здесь, позволят вам найти ваше устройство, а кроме того, удалить с гаджета всю хранимую на нем информацию и заблокировать его на расстоянии, даже не прикасаясь к его корпусу.

Если с вами все же произошла неприятность — телефон вне пределов досягаемости уже сейчас, причем вы уверены, что не забыли его где-то, а его у вас именно украли, тогда первым делом нужно обратиться в полицию. А уже после этого начинать собственное маленькое «расследование»...

Главным условием успешности вашего расследования можно назвать предварительно активированный на вашем гаджете режим «Найти iPhone» (или же — «Найти iPad, Mac», в зависимости от того, какое у вас устройство). Если у вас этот режим не активирован — стоит активировать его сейчас. Активация производится в настройках iOS, раздел iCloud. Достаточно просто передвинуть нужный бегунок.

Теперь допустим, что вы активировали свой гаджет, и впоследствии он попадает в руки злоумышленника. Далее следует попробовать установить местонахождение девайса. Для этого вам понадобится другое устройство от Apple, на которое нужно скачать из AppStore или с официального сайта Apple программу «Найти iPhone». Запустив программу, вы сможете определить местонахождение вашего гаджета, если кто-то заходил с него в сеть интернет. В приложении, используя меню «Мои устройства», можно выбрать нужное из списка слева.

Открывшееся меню предлагает на выбор несколько вариантов действий. Можно, к примеру, «проложить маршрут» к вашему девайсу. Или же начать искать iPhone (или iPad) по звуку. Кроме того, «Режим пропажи» позволит вам удаленно заблокировать ваш гаджет 4-хзначным паролем, с отображением на девайсе сообщения, в котором будет содержаться номер телефона для связи с хозяином гаджета (то есть с вами). При этом, заблокировав девайс, вы не потеряете возможности следить за его перемещением.

Если же вы уже знаете, что вернуть девайс не получается, тогда можно подать на ваше устройство команду стирания всех данных на нем. Однако стоит учитывать, что после активации стирания данных гаджет отследить вы уже не сможете. Последнее средство, кстати, сработает и в том случае, если вы вообще не обнаружили ваш гаджет. Команда передается на сервер Apple, активируется она сразу, как только с устройства выходят в интернет.

Как найти украденный Apple-гаджет

Немного рекомендаций по работе с "облаками"

Опыт наших многих клиентов показывает, что почему-то компаниям сегодня особенно трудно бороться с угрозами, связанными с применением различных облачных хранилищ. Именно в них часто оказываются незащищенными конфиденциальные документы, «скинутые» туда сотрудниками, именно оттуда часто пропадают разные важные базы данных и т.п. О решении первого рода проблем я уже писал, сейчас хочу остановиться на некоторых общих вопросах безопасного использования «облаков».

Здесь для защиты требуется в первую очередь обратить внимание на выбор сервис-провайдера, а во-вторых, необходимо задуматься о создании частного «облака», которое будет расположено на платформе самой компании. К сожалению, к последнему могут прибегнуть только крупные компании, так как создание частного виртуального хранилища является дорогостоящим и требует больших производственных мощностей. Такое «облако» может контролироваться с помощью любых программ и защитных систем таким же образом, как это происходит и во внутренней локальной сети организации.

Если компания является небольшой, а прибегать к использованию сторонних виртуальных хранилищ приходится, то выбирая сервис, нужно обращать внимание на его надежность, а не популярность среди пользователей. При этом следует поинтересоваться у провайдера о способах защиты данных. Если провайдер не сможет сообщить вам об используемых DLP-системах, средствах шифрования, брандмауэрах, антивирусах и прочих системах защиты, то лучше всего поискать другую компанию. Также следует узнать по поводу резервного копирования у провайдера. Если у провайдера его нет, то лучше с ним не связываться.

Помимо этого, следует помнить о том, что вся передача данных между компанией и провайдером должна проходить исключительно по защищенному протоколу. Наиболее ценные документы, которые по какой-либо причине вам требуется хранить в «облаке», можно также зашифровать, используя средства стойкой криптографии или же просто заархивировать, защитив архив длинным паролем, который будет достаточно устойчивым к брутфорс-атакам.

С другой стороны, следует отметить тот факт, что большая часть популярных компаний, предоставляющих услуги облачного хранилища, отлично понимают важность защиты данных и свою ответственность, поэтому используют все соответствующие меры предосторожности без дополнительного напоминания. Кроме того, уровень безопасности, реализуемый в дата-центре провайдера, чаще всего является недоступным для большинства клиентов, работающих в сфере среднего и малого бизнеса.

Немного рекомендаций по работе с "облаками"

Так ли безопасен Linux, как вам хотелось бы?..

По моим наблюдениям, многие из тех, кто выбирает Linux лишь потому, что думает, будто данная ОС защищена гораздо лучше, чем Windows. На самом деле, все не так однозначно. Безопасность и в самом деле является "фишкой" данной системы, которая охватывает область от ядра Linux и до рабочего стола. Тем не менее, система всегда оставляет неплохие шансы всем тем, кто пожелает «наследить» в вашей папке /home. Linux, вполне возможно, совсем неподвластна червям и вирусам, которые написаны для Windows, однако черви и вирусы являются сравнительно небольшой частью проблемы. Злоумышленники имеют множество своих «тузов в рукаве», благодаря которым они могут добраться до важной вам информации, начиная с фото на документы и заканчивая кредитными карточками.

Наиболее подверженными риску для атак являются компьютеры, которые подключены к Сети, однако и устройства без выхода во «внешний мир» уязвимы ничуть не менее. К примеру, что может произойти со старым ноутбуком или же с жестким диском, которые выбрасывает пользователь? Ведь есть довольно мощные инструменты для восстановления информации, и многие вполне доступны для бесплатного скачивания. Благодаря им каждый  сисадмин средней руки сможет восстановить данные с вашего диска, и не важно, с какой ОС вы работали. Если на жестком диске есть данные, причем неважно, повреждены они или нет, то эти данные можно восстановить. К примеру, можно воссоздать банковские счета, реконструировать записанные разговоры в чатах, также можно реставрировать изображения.

Это нормально, но не стоит из-за этого совсем прекращать пользоваться ПК. Сделать машину, которая при этом подключена к Internet, неуязвимой для атак почти невозможно. Зато возможно сильно осложнить задачу атакующему, гарантируя, что он не сможет «достать» ничего полезного из уже скомпрометированной системы. Особенно согревает душу, что при помощи собственно Linux, а также некоторых программ, созданных на основе Open Source, обеспечить защитой вашу ОС Linux будет достаточно просто.

Мы обсудим некоторые аспекты безопасности Linux в следующих постах, а начнем мы с самого, на мой взгляд, важного - с обновлений. Если они отключены, то это серьезная проблема, и если, например, контрафактные Windows кое-кто резонно предпочитает прятать от инструмента автообновления, то в случае с Linux такое поведение просто не имеет смысла.

Все основные дистрибутивы Linux (среди них Debian, Fedora и Ubuntu) могут похвастаться собственными командами специалистов по безопасности, которые работают рука об руку с командами по поддержке пакетов, обеспечивая максимальную защиту пользователей от различных уязвимостей в системе безопасности. Эти команды должны  гарантировать обнаружение уязвимостей вовремя, а также должны быстро выпускать «заплатки», которые будут быстро затыкать все обнаруженные «дыры».

Дистрибутив ваш обязательно обладает репозиторием, который полностью отведен под обновления системы безопасности. Потребуется лишь активировать данный репозиторий (кстати, вполне возможно, это уже и сделано заранее) и определить, вручную или в автоматическом режиме устанавливать обновления.

К примеру, в Ubuntu для этого потребуется выбрать в меню System Administration, а затем Software Sources. Потом на вкладке Updates нужно будет указать, как часто дистрибутив должен «тестировать» репозиторий безопасности, выискивая на нем новые обновления и определить, должна ли система ставить обновления автоматически, или же ей стоит запрашивать у пользователя подтверждения перед установкой обновлений. Последний вариант можно назвать более интересным, ведь он позволит просматривать обновления до их установки. С другой стороны, в просмотре часто нужды нет, обычно с обновлениями все в порядке, и выбрав автоматическую установку вы сэкономите немного своего времени.

Помимо обновлений, дистрибутивы часто обладают и специальным списком рассылки, связанным с вопросами безопасности. Для рассылки анонсов тех уязвимостей, которые были обнаружены, а также для рассылки пакетов, исправляющих данные уязвимости. Вполне разумно будет следить за списком рассылки дистрибутива, который касается безопасности, и регулярно находить обновления безопасности в наиболее важных для вас пакетах. Между объявлением о нахождении уязвимости и скачиванием пакета обновления в репозиторий обычно проходит какое-то время; списки рассылки покажут, как можно скачать и вручную установить обновления.

Многие дистрибутивы сегодня не разрешают регистрироваться при загрузке от имени администратора (root), что является правильным. Если нужно исполнить задачу, которая требует привилегий «суперпользователя», то ОС предложит вам ввести пароль. Такая мера может гарантировать изоляцию от пользователя административных задач.

Привилегии пользователя можно ограничивать с помощью меню System > Administration > Users and Groups. Тут расположена «классификация категорий учетной записи» - с обыкновенного пользователя и до сисадмина, тут же возможно индивидуально настроить «привилегии пользователя» вручную. По умолчанию, записи новых пользователей создаются при помощи набора привилегий 'Desktop user'. Эти пользователи не имеют права установить ПО или поменять настройки, которые влияют на рабочие среды иных пользователей. В работе «из командной строки» для переключения обыкновенных пользователей на уровень учетной записи администратора применяются команда su (Fedora, а также и некоторые иные подобные дистрибутивы), и команда sudo (она используется в Debian и Ubuntu).

Если вас на самом деле волнуют проблемы безопасности, тогда не помешает настроить по своему вкусу параметры в окне Users And Groups. Одной из основных областей, которые достойны вашего внимания, можно назвать автоматическое монтирование устройств. Большая часть дистрибутивов самостоятельно «собирают» USB-девайсы и CD-приводы, сразу же, как подключается USB-накопитель или вставляется CD-диск в оптический привод устройства. Это очень удобно, но минус в том, что это позволяет любому злоумышленнику легко подойти к вашему ПК, подключить USB-девайс и просто скопировать данные.

Чтобы этого не произошло, потребуется в настройках «Пользователи и Группы» перейти во вкладку «Привилегии пользователя», а затем убрать флажки в таких опциях, как «Автоматический доступ внешних устройств хранения данных», «Монтировать файловые системы в пользовательском пространстве» и «Использование CD-ROM дисков». Без этих флажков в данных опциях пользователям будут предлагать ввести пароль, и уже после они смогут получить получат доступ к собственно устройствам.

Кроме того, пользователь может закрыть общий доступ к данным через сеть, потребовать вводить пароль, прежде чем соединяться с Ethernet или с беспроводными устройствами. Блокирование «присоединения» к настройке принтеров сможет предотвратить распечатку важной информации.

В составе настольного дистрибутива ОС Linux пакеты обновляются достаточно часто. Кроме официальных репозиториев также есть и индивидуальные репозитории, они предназначены для ПО от сторонних производителей. Несмотря на то, что разработчики, до того как закачивать пакеты в репозитории, все-таки выполняют проверку на существование уязвимостей, все же почти неизбежно проникание туда пакетов обновлений, обладающих дефектами.

Слежение за новинками все-таки совсем неплохо, однако если судить с точки зрения безопасности, то далеко не все обновления будут одинаково хороши для вашей системы. Некоторые из них вполне способны конфликтовать с установленными ранее пакетами или же «тянуть к себе» новые зависимости, которые могут в итоге сделать систему более уязвимой для атак.

Потому обновлять пакеты стоит лишь при крайней необходимости. В этом случае стоит просканировать поступившие обновления и отобрать из них те, что являются критичными для вас. Большая часть менеджеров пакетов обеспечивают возможности просматривать обновления, а также просматривать журнал обновлений с описаниями правок. Изменения интерфейса пользователя следует или игнорировать, или же хотя бы отложить, пока данный пакет не пройдет тщательную проверку. Стоит внимательно искать и устанавливать обновления, которые устраняют ошибки в применяемых пакетах. А для приложений, которые доступны в большом количестве разных версий, следует отыскать обновление безопасности.

У большей части настольных дистрибутивов ОС Linux обновленные релизы выпускаются каждые полгода, однако это не означает вовсе, что придется устанавливать каждый последний релиз лишь только потому, что он поступил в продажу. Ubuntu помечает некоторые из релизов как LTS (Long Term Support) – так обозначаются релизы, обладающие долговременной поддержкой. Такая поддержка включает для настольной системы три года, для серверной же поддержка и вовсе насчитывает пять лет. Это гораздо дольше в итоге, чем 18 месяцев обычного релиза Ubuntu.

LTS-релизы нельзя назвать каким-то «особенным авангардом», однако по части безопасности они защищаются намного лучше, чем стандартные. Их пакеты более стабильные, они намного лучше протестированы, по крайней мере, в сравнении с пакетами более новых версий, которые не комплектуются долгосрочной поддержкой. Если же вашей целью выступает именно создание максимально надежной в плане зашиты системы, тогда стоит остановить итоговый выбор на каком-либо стабильном релизе с долгосрочной поддержкой. И не следует, поддаваясь искушению, сразу обновляться при появлении более новой версии. В конце концов, не самая новая, зато хорошо поддерживаемая система гораздо более стабильная и более надежно защищена, чем новый релиз.

Так ли безопасен Linux, как вам хотелось бы?.. часть 1, часть 2, часть 3

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT