Незнание не освобождает

"Незнание угроз не освобождает нас от риска"

Сегодня, просматривая новости, наткнулся, что жителя Чебоксар оштрафовали за взлом учетной записи супруги. А это, как не говори, уже не далекая Америка…

Особо и комментировать вроде нечего, но лишний раз для себя отметил:

1. Хочешь иметь тайну - позаботься о ее защите
2. Первейший нарушитель - инсайдер
3. Изменение контекста изменяет ландшафт угроз
4. Мы часто переоцениваем себя и недооцениваем оппонента
5. Киберпространство - виртуально по форме, но реально по сути

Атака прошла успешно! Кто виноват?

Сегодня, все пользователи ИТ, в той или иной степени подвергаются опасности сами или подвергают опасности других. Умиляют настойчивые попытки в формировании мнения, что они (пользователи) чаще всего сами и виновны, если происходят неприятности.

---

А кто может еще быть виновным, как не пользователи, ведь это они:

• используют «слабые» пароли и хранят их, где не попадя;  
• «антивирусы» не устанавливают, а если устанавливают, то не обновляют;
• широко используют установки «по умолчанию», вместо того чтобы все перенастроить и «заточить»; 
• ничего не шифруют ни при хранении, ни при пересылке;
• не разрабатывают  правил безопасного использования;
• не обновляют ПО для закрытия «дыр», совершенно случайно (торопились немного) допущенных производителем; 
• беспечны в социальных сетях;

и так далее и тому подобное.

Не знаю как кому, но мне так грустно становится, когда я сталкиваюсь с таким обвинениями. В эти минуты думается, а почему никто из «глубоко уважаемых экспертов» не пишет:

Призвать к ответу «разработчика А» ! Потому как он:

• разрешает использовать слабые пароли;
• разрешает запускать свое приложение без активного антивируса с актуальными базами данных; 
• в конфигурации «по-умолчанию» вместо широко используемого подхода «all deny» использует «all permit»;
• разрешает при первом запуске приложения просто прочесть перечень опасностей подстерегающих пользователя, и даже не пытается проверить, насколько хорошо пользователь усвоил прочитанное.

А ведь Разработчик мог достаточно просто реализовать и даже обновлять как  инструкцию, так и опросник по безопасности.

Почему производители бездействуют? – Даже на копеешной лазерной указке пишут об опасности.

Многие из нас находятся в рабстве иллюзий, разделяя мир на «материальный» и «виртуальный».

Грань стерта, граница размыта!

---

Потери денег, изуродованная психика – это уже сегодня.
А что завтра?  Атаки на SCADA атомных электростанций, самолетов, систем очистки воды?
Что здесь виртуального?

Атака прошла успешно! Кто виноват? Пользователь?

Утечки и Конституция

Весь мир борется с утечками информации, по вине инсайдеров, внедряя очень и очень не дешевые, но очень умные DLP-системы, а у нас, понимаешь ли, «руки связаны»: Конституция запрещает! (см. Статью 31 Конституции Украины  или Статью 23 Конституции Российской Федерации).

Это ошибка законодателя или свидетельство высшего проявления демократии? И как же быть? Что делать? Как изменить  Конституцию?

На самом-то деле менять нужно не Конституцию, а свое отношение к проблеме.

А что есть "тайна переписки"? А если из процесса мониторинга и принятия решения по результатам мониторинга исключить человека?

Давайте сделаем так, что бы наши DLP-системы анализировали информационные потоки без регистрации автора. Системы могут/должны обладать функциями блокировки и даже возможностью предупреждения нарушителя о неправомерных действиях, типа «Отправка вашего сообщения заблокировано. Сообщение уничтожено по причине нарушения пункта №6.1.1 Политики допустимого использования (Acceptable use policy )  в соответствии пункта №3 Политики безопасности».

Системы должны фиксировать событие, но не фиксировать автора нарушения. Офицер безопасности, при этом, получает информацию о характере нарушений (ключевые слова, наименование файлов, адреса возможного получателя и т.п.), то есть информацию какие триггеры системы сработали и когда это произошло, но не получает «оригинального сообщения» и информацию о авторе данного сообщения.

А что дальше? Если действия повлекшие инцидент случайны, сотрудник сам инициирует для себя «ликбез» в этом вопросе и его личность будет установлена, если же действия умышленны, то…

Что мы делаем, если обнаруживаем, что кто-то пытался залезть к нам в гараж и украсть машину? Правильно – обращаемся в компетентные органы! А они, руководствуясь законом и характером нарушения, определяют  средства и методы для поимки нарушителя…

Почему так? Потому как времена и нравы Дикого Запада канули в лету и самосуд стал преступлением.

RA: В поисках "цифры"

Будучи скептиком в вопросе возможности количественной оценки рисков информационной безопасности, не смог пройти мимо факта, лишний раз иллюстрирующего природу моего "неверия".

Вспомним один из последних громких инцидентов: успешную атаку на RSA. Воспользуемся  кратким описанием "анатомии" атаки и небольшим исследованием ее последствий.

Возможно ли было заранее "просчитать" этот риск и получить цифру "694 млн. долларов"?

Сторонники количественных оценок, для расчета Риска рекомендуют различные формулы и подходы, которые опираются на "классику":

Риск = Вероятность * Воздействие

В этот раз, сознательно, не буду даже пытаться определить Вероятность инцидента, более того, готов принять ее за «единицу» (мы то знаем, что это случится :-)), здесь мне интересно проанализировать возможность определения  величины Воздействия.

То, что инциденты ИБ будут влиять на стоимость акций - очевидно. Даже очевиден характер такого влияния - акции будут падать в цене, да, но это рассуждения в сторону качественной оценки, а нас Бизнес ведь интересует оценка количественная.

На самом-то деле, проблем для такой оценки никаких нет, для этого нужно знать ответ на три простых вопроса:

1.       Когда (дата) произойдет инцидент?

2.       Какая будет стоимость акций компании на указанную дату?

3.       Как отреагирует "биржа"  на сообщение о инциденте?  (т. е. на сколько "упадут" акции в цене: на 1%, или на 10%, а может на 5%).

---

Неужели кто-то не смог определить, что данное безобразие инцидент будет оценен падением на 1.25% в тот момент когда капитализация компании достигнет 55.55 млрд?

PC Security Checklist

Решили набросать небольшой checklist по функциям требующим реализации для защиты ПК/ноутбуков.

С большой благодарностью приму замечания и критику по данному списку. 

Парк развлечений и отдыха

Вы когда-нибудь замечали, как меняется поведение людей, когда они узнают, что их действия записывают?

Представьте огромный Парк с различными аттракционами, кафе, кинотеатрами и разными прочими приятными заведениями. Парк огромен. Места много. Зеленая трава. Специальная крыша: никакого тебе дождя или снега. Всегда только солнце, тепло, а где надо приятная прохлада.

Вы хотите отдохнуть? Провести деловые переговоры? Нет проблем, здесь всегда найдется удобное местечко в удобное для Вас время.

А дети-то как любят здесь отдыхать и резвиться. Если бы не Ваша воля, то они бы от сюда никогда бы и не уходили.

Все хорошо, но есть один нюанс. Что бы Вы не делали (гуляли, говорили, работали, с кем встречались и т.п.)  все Ваши действия будут записаны. Даже будет сделана попытка (часто в ненавязчивой форме) записать Ваши Имя, Фамилию и все остальное, что Вы сообщите, чем похвастаете…

Да не просто записаны, а надежно сохранены. Сохранены и защищены от случайной потери. Большинство записей будет доступно каждому для ознакомления и копирования, причем в любой точке замечательного Парка. А если, вдруг Вам захочется, что то припрятать – не проблема, Вы только  скажите ЧТО и Вам тут же выдадут листок нужного размера, растения специального: инжир называется (также известен под именем смоква или фига)…

Как туда попасть? Найти дорогу в Парк не сложно. Вход бесплатен, разве, что дорогу оплатить придется.

Хотя как я погляжу – Вы уже здесь!

Добро пожаловать в Интернет!

Ответственность за "пиратство"

Свели воедино информацию об ответственность за нарушения в области права на интеллектуальную собственность (см. требования раздела 15.1.2  ISO/IEC 27 002, а, следовательно, и СОУ Н НБУ 65.1 СУІБ 2.0:2010).

При нашей действительности при оценке рисков без этого не обойтись.

Заранее благодарен, за найденные неточности и пожелания.