Comments 40
Думаю введение ответственности в виде запрета занимать должность, с наказанием всех по цепочке включая начальство — быстро бы начало исправлять ситуацию.Наказание — да, а вот запрет — скорее обратный эффект произойдёт. Люди, один раз обжёгшиеся и понимающие, что безопасность — это не антураж… потеряют возможность ей заниматься.
Как крайняя мера в случае если проблемы не исправлены — да, конечно.
которым плевать на безопасность
которые могут вообще не иметь сотрудников по ИБ
которые не хотят тратить на тех.оснащение по безопасности
которые не хотят повышать квалификацию сотрудников ИБ
PS:
в этом случае всегда надо смотреть на умысел и сложность взлома/утечки. Если там всё дыряво изначально — не вижу смысла давать «второй шанс».
PS:Невозможно вот прямо так взять шест — и прыгнуть на 6 метров. Планку нужно постепенно поднимать.
в этом случае всегда надо смотреть на умысел и сложность взлома/утечки. Если там всё дыряво изначально — не вижу смысла давать «второй шанс».
Сейчас её вообще нет, так что выставлять её на 4 или 5 метров — глупо.
Хаб Информационная Безопасность на втором месте на Хабре (популярнее Программирования в два раза!). Это следствие заботы о безопасности или вариант оберега?
Это, к сожалению, всего лишь индикатор популярности у аудитории статей вида "как я со своего мака ломанул соседский вайфай".
И наказания тут не помогут, максимум, безумно взвинтят стоимость разработки.
Ну вот рост профессиональных программистов почему-то не стимулирует ничего, хотя надо их хоть лопатой греби. Вместо этого у нас куча средних. Так же будет и с специалистами по ИБ. Они будут применять базовые инструкции, будут мучать всех заменой удобных инструментов на "безопасные" ну и так далее, но реального профита это принесет разве что в стартапы, которые теперь будут вынуждены нанимать специалиста по ИБ и не торчать портами баз без паролей наружу, но проблема то не в них.
После того как 20 миллионов паролей утекли в сеть — Испания разорилась м бала продана за символический рубль тем, кто разбирается в защите? Так если компании не разоряются после подобных инцидентов они должны увольнять свое руководство? Нет никого, кто был бы заинтересован в этой самой безопасности. Вы например уходите с сайтов, где прошел взлом на другой, более стойкий? Ну вот и причина, почему это не особо кому-то нужно.
"мне кажется, что реальное наказание простимулирует рост кол-ва специалистов"
а мне кажется, что как раз наоборот. лично я 10 раз подумаю, а надо ли мне лезть в такое болото, если надо-мной будет висеть угроза сильного наказания. вот если при этом увеличить количество "плюшек", которые получат оставшиеся храбрецы… спецов будет немного, но они будут реально крутые
Хорошо, если будет больше специалистов, разбирающихся в ИБ. Боюсь, что просто начнут "готовить специалистов по ИБ".
Как дурной пример подобного подхода, прежняя работа: в службе безопасности было больше админских учёток с правами на все филиалы, чем собственно админов в этих филиалах. Безопасность, все-ж таки, создаётся админами и программистами. Тупое наращивание "контролеров и охранников" не даст эффекта.
А вообще даже если создать идеальную систему безопасности, то уязвимость найдётся в людях (социальная инженерия, взлом домашних аккаунтов в надежде, что на работе используется такой же пароль и т.д.)
А вообще даже если создать идеальную систему безопасности, то уязвимость найдётся в людях
Отож. Многие взломы осуществлялись без единой строчки кода, только болтовня с сервисом.
а наказания вообще ничего не решают — обучение и проверки (без наказания) намного полезнее…Не надо только в крайности вдаваться. Обучение и проверки без наказания работают очень недолго. И наказывать надо и поощрять — но в меру. Выкидывать «на мороз» специалиста, который один раз накосячил глупо: вероятность что человек без опыта накосячит больше, чем вероятность что кто-то, кого один раз наказали такое повторит…
да. я вот однажды дропнул боевую базу (перепутал с тестовой). восстановили, конечно, из бэкапа. но с потерей данных за несколько часов (около 10). лично мне было ужасно стыдно перед всеми и без дополнительного наказания. а если бы за это меня вышвырнули на мороз, то ещё неизвестно, кому в итоге стало бы хуже ;) А так, были сделаны выводы и предприняты определённые меры по предупреждению-недопущению подобных инцидентов
Может всё же есть разница в ответственности и главное последствиях когда утекают данные реальных людей, большую часть которых поменять проблематично или невозможно т.е. необратимыми последствиями, и дропнул базу и восстановил за 10 часов?
А то, что написано "+наказание начальства" совсем не заметно?
Давайте на вашем примере поясню, что имелось ввиду:
«Дропнуть базу» случайно, в том или ином виде случалось у многих специалистов по причинам от не опытности до авралов.
Но это давно пройденный и известный этап уже десяток лет минимум, и от него можно защититься заранее, т.е. то что вы сделали «после», можно было сделать «до».
И тут, я лично так считаю, вина вашего начальства заметно больше, чем ваша.
PS:
Выгонять на мороз и прочие репрессивные методы — зло.
В первом сообщении написано «запрет занимать должность», это подразумевается, но не всем очевидно раз такая ветка получилась. Уточню:
Запрет занимать должность — начальству допустившему халатное отношение, а уже длительность в зависимости от серьёзности утечки и уровнем пофигизма(отсутствие исправлений безопасности, отсутствие файрвола, отсутствие простой «защиты от дурака» и тд).
При этом не было ни слова про запрет продолжать проф. деятельностью оператору/админу.
Может всё же есть разница в ответственности и главное последствиях когда утекают данные реальных людей, большую часть которых поменять проблематично или невозможно т.е. необратимыми последствиями, и дропнул базу и восстановил за 10 часов?
В ответственности и последствиях — есть разница. Но чтобы она от этого появилась в принятых мерах по отношению к виновнику — надо думать в концепции мести, а не поиска и устранения причины. Месть предполагает, что 1) совершивший проступок не меняется и будет его совершать и дальше, 2) другие, видя это, будут осторожнее.
Да, наше общество и цивилизация пропитаны концепцией мести — уголовный и административный кодекс просто от и до и насквозь. Да, в общем случае нет разумной работающей альтернативы, когда всепрощение приводит к тому, что кто-то тут же садится на голову. Но это не значит, что в конкретных случаях нельзя разобраться, что же именно произошло и, даже если вина кого-то, что его заменять будет безусловно лучше.
Извините, тут многовато философии. Но без этого сложно объяснить, почему же не изгоняют за малейший косяк.
А вот на более высоком уровне — важные данные стоило бы защищать получше. Может, даже нанять трёх спецов вместо одного, но чтобы действия одного в принципе не могли сломать/продырявить всё. (Это тоже давно известный и проверенный метод.)
"безопасность важна пока она не начинает мешать основному бизнесу"
Пожалуй единственная весомая фраза во всём обсуждении, говорящая почему оно так как есть, и почему так и будет.
Удивлен, что до сих пор нет в гибких методиках секьюрити стори, ну и если будет необходимо хакер стори.
Как в статье сказано, нет целостного взгляда на безопасность, и оказывается, пользователь, чтобы что-то осмысленное и вовремя сделать вынужден снижать общую безопасность( стикеры с паролями ), или, часто меняющийся пароль, но с одной цифрой счетчиком внутри, по-сути не меняющийся и легко подбираемый в случае компрометации «старого» пароля.
И так далее, тема только сейчас стала осознаваться индустрией.
А что, таким пользователям никто не может подсказать простой бесстикерный способ доработки своего «любимого простого пароля» до относительно безопасного? Добавьте ему алгоритм лёгкого изменения. Пример для женщин: берём имя мужа + дату свадьбы, в имени переставляем местами вторую букву с третьей и вставляем между ними разрешённый системой паролей спецсимвол ($ например), а от даты оставляем просто сумму числа месяца и года. Готово. После нескольких повторений ввода — пароль запоминается очень легко. И даже если по выходу из отпуска таки его забыла, то легко «на коленке» вспомнить алгоритм и пароль восстановить. И стикер не нужен совсем (случай, когда он на время отпуска оставляется специально «для МарьИванны» — отдельный и здесь сейчас не рассматривается).
Этот алгоритм ещё сложнее запомнить, чем набор случайных символов, а безопасность снижает ещё больше: знаешь алгоритм, в котором практически нет случайных данных — знаешь пароли всех женщин в системе.
А насчёт знаешь пароли всех женщин — тут вы зря лукавите. Вы прекрасно увидели, что алгоритм этот — с адаптируемыми настройками. У одной первая и вторая буква. У другой — первая и последняя. Как угадать у кого какая меняется? То же и с математикой. Вариативность со вполне достаточной избыточностью, чтобы понять, что подбор получится чистым гаданием на кофейной гуще.
С большой вероятностью, если вы дадите пользователям организации эту инструкцию для составления паролей, то даже спецсимвол будет именно $ у большинства, не смотря на то, что явно указано "например".
Я бы тот камень в конкретный предложенный алгоритм кинул, что имена мужей и даты свадеб в женском коллективе обнародованы и всем известны, потому в качестве seed использоваться не могут.
И даже если по выходу из отпуска таки его забыла, то легко «на коленке» вспомнить алгоритм и пароль восстановить.
Это вы, наверное, по выходу из отпуска никогда не забывали детали такого алгоритма. Напрочь.
Специфичный алгоритм для каждого сайта? Это ещё сложнее для запоминания.
«Для каждого сайта» можно использовать набор из двух алгоритмов:
1. безопасного (с регулярной сменой исходного набора данных для пароля или же изменением параметров алгоритма, т.к. тут по другому никак — безопасность требует телодвижений. этот подход для данных, которые опасно терять).
2. расходного (один взломали или утёк в чужие руки — тупо меняем на другой, но не боимся снова «потерять» его — это для большинства сайтов, где пароли просят для обычной приватности)
Пятничное: Безопасность и парадокс выжившего