«— Люди забыли эту истину, — сказал Лис. — Но ты не должен ее забывать. Мы всегда будем в ответе за тех, кого приручили. И ты отвечаешь за свою розу...
— Я отвечаю за свою розу... — повторил Маленький принц, чтобы хорошенько это запомнить.»
Антуан де Сент-Экзюпери, "Маленький Принц"
Мы иногда так торопимся помочь людям, что забываем посмотреть в зеркало "заднего вида"…
В течении буквально последних двух недель столкнулся с двумя событиями, которые, с одной стороны, кажутся абсолютно безобидными, с другой, вызывают неприятные мысли.
И так, две маленькие истории…
История первая
Пару недель назад одна уважаемая украинская ассоциация запустила проект, нацеленный на информирование активной части украино- и русскоязычного населения о киберугрозах, имеющих место в мире финансовых операций, о методах защиты от таких угроз, юридической поддержке и т.п.
Скажу так, лично мне понравились заявленные темы и стартовые материалы.
Все было бы ничего, если бы сайт не взломали буквально в первые же дни…
Данный факт сразу же попал "под раздачу" коллег Ибшников, которые разделились на два лагеря:
• Первые кричали: "стыд да позор". Были щедры в эпитетах и заявлениях, что владельцы сделали не так и почему так случилось. При этом как-то слабо озвучивали опасность данного инцидента. Если, что и можно было выудить в их риторике, то это нить, ведущую к "репутационным рискам" для самой ассоциации, иного я, к сожалению, ничего не увидел.
• Вторые, были более сдержаны в эмоциях. Логика их рассуждений сводилась к следующему: зачем этот кипишь? Что такого случилось? Ну, взломали, но ведь на сайте ценной информации нет, даже базой персональных данных они вряд ли успели обрасти…
Почему решил обратить внимание на данное событие, потому как считаю, что из поля зрения и владельцев сайта и экспертов выпал очень значимый Риск. Его анализ, расширяет аргументы в пользу "построения" защиты, для информационных сайтов, которые на первый взгляд кажутся "простыми и не очень ценными":
Одной из самых коварных атак последнего года, с моей точки зрения, есть атака получившая название "watering hole" ("водопой"), во время которой осуществляется инфицирование целевой аудитории со страниц легитимных сайтов.
А давайте подумаем, кто будет посетителями сайта, повествующем о киберугрозах, имеющих место в мире финансовых операций?
Помимо самих жуликов и "ротозеев" там точно будут те, кто видит себя "потенциальной жертвой", потому как им есть, что терять. Вот и желаемая "целевая аудитория".
Значительный вклад в минимизацию вероятности такой атаки могли бы внести сами ИБшники, но "гуру инфосека", которые "ходят по инету с правильным инструментом" и могли бы детектировать угрозу, на таких сайтах бывают редко. Кто из-за снобизма, кто из-за реальной загруженности...
История вторая (очень короткая)
Утром, просматривая "любимые и полезные" блоги натолкнулся на очень интересный для меня текст. Поднятую Автором тему я отношу к самым важным и к самым сложным. В подтверждение могу сказать, что она "красной нитью" пронизывала мой доклад на UISGCON8, правда немного в более общем и концептуальном виде.
А здесь конкретика, и все просто замечательно, если бы не одно но…
Иллюстрирование упомянутой "конкретики" происходило при помощи картинок размещенных на Pinterest-e. У меня нет там эккаунта, а вот попытка просмотреть картинку, используя тот факт, что у меня есть эккаунт в faсebook, приводила к следующему результату:
Мое нежелание дать Pinterest-у доступ к моей информации, приводило к тому, что Pinterest не давал к своей, и как следствие: не показывал мне картинку...
При всем уважении к Автору блога, к его авторитету, включать еще одно приложение в круг "доверительных", потому как ему доверяет он, я почему то сегодня утром не захотел…
Выводы и наставления? Нет уж увольте… Семьдесят лет назад они кратко, но емко уже были сформулированы и я их сегодня выбрал в качестве эпиграфа к данному посту, а я не настолько умен, что бы сказать лучше...
Cознательно не давал ссылок, потому как дело не в этих конкретных примерах, примеров на самом то деле великое множество, они были взяты просто как подтверждение, что ситуации не гипотетические.
Post Scriptum: Пока писался данный текст, Автор внес коррективы и Вторая моя история стала "неактуальной". Надеюсь, что и Первая не станет актуальной никогда.
Немає коментарів:
Дописати коментар