Руку навстречу Судьбе протяни:
Будут и злые и добрые дни,
Будут и встречи и расставанья,
Главное, чтоб не кончались они!
Руку навстречу Судьбе протяни:
Будут и злые и добрые дни,
Будут и встречи и расставанья,
Главное, чтоб не кончались они!
Грустно признаваться в ошибках, да еще и публично, однако необходимо, чтобы не выставлять себе еще глупее, чем есть. Во вчерашнем посте «Проблемы службы информационной безопасности» я, увы, допустил ошибку, которую сейчас попробую исправить. Для этого необходимо было бы дополнить вчерашний пост, но я просто напишу продолжение. Я вчера написал, что одной из проблем безопасности является то, что большинство начальников служб ИБ пришли из силовых структур. Верно ли это? С одной стороны, да! Но только с одной. С другой – нет! Почему?
Проблема в том, что люди, пришедшие со службы, как правило, не знают ни ИТ, ни ИБ. Это факт. Есть редкие исключения, но уж очень редкие!
И тут никуда не деться. Однако хочу сказать, что наряду с этим недостатком, который можно и нужно исправлять, существует и достоинство в принятии на должность руководителя ИБ человека «в погонах». Почему?
Потому что человек, достаточно долго отслуживший в погонах, имеет другой склад ума. Да-да, не улыбайтесь! Служба приучила его к следующему:
Возможно, кто-то будет считать его солдафоном? Живой машиной? Может быть. И что? НИЧЕГО! Работа у него такая! Ведь такое отношение не только не мешает работе, но и помогает ей. Есть правила, которым должны подчиняться все. И плевать при этом, что обо мне думают!
Почему? Да потому что, увы, сама по себе служба ИТ, как любая творческая профессия, располагает к анархизму. Впрочем, то же самое можно сказать о молодых администраторах ИБ. И вот им-то и нужна «твердая рука». Впрочем, это мое мнение. Все же офицер в прошлом. А вы как думаете?
Безмалый В.Ф.
MVP Consumer Security
Сегодня часто можно услышать, что служба ИБ не сильно нужна, что ее сотрудников нужно подчинить службе ИТ, а то никто не понимает чем они заняты, что они мешают работать и т.д. На самом деле все эти вопросы возникают из трагического непонимания всего драматизма сложившейся ситуации.
Большинство руководителей организаций действительно не понимают, для чего нужна служба ИБ. Более того, считают, что служба ИБ это роскошь, в крайнем случае, хватит одного человека, да и то непонятно для чего он нужен. Это одна сторона всех проблем ИБ.
Однако есть и другая. Причем вторая, на мой взгляд, тесно связана с первой и также практически не решается сегодня. Это крайне низкий уровень знаний руководителей служб ИБ, а также отсутствие аналитиков ИБ как класса вообще. Худо-бедно, но администраторов ИБ мы готовить начали. Хорошо ли плохо ли готовить, но начали. Кое-как, с большим скрипом мы начали выпускать администраторов ИБ. Т.е. научили их управлять аппаратно-программными комплексами ИБ. Однако стоит понимать, что эти администраторы, также как и большинство ИТ-служб работают в пожарном режиме. Т.е. не успев заткнуть одну дыру, летят затыкать следующую. А на другую работу не хватает ни сил ни времени. Пора признать, что в этой войне мы с вами проигрываем, если не уже проиграли! Если мы не начнем думать, то вопрос проигрыша это лишь вопрос времени. Причем не настолько отдаленного времени, как нам бы хотелось!
Почему? Да просто потому что мы с вами только защищаемся, не двигаясь вперед и не устраняя проблемы, мы устраняем лишь последствия этих проблем!
Какие проблемы?
Во-первых, это крайне низкий, будем откровенны, отвратительно низкий уровень подготовки руководителей ИБ! К счастью, нужно признать, что встречаются светлые головы, но, увы, их очень мало!
Почему так произошло?
Прежде всего потому что подавляющее большинство руководителей служб ИБ это отставные сотрудники силовых структур либо армии, никогда не имевшие опыта работы в ИТ. Почему так? Потому что руководители, нанимавшие их на работу, считают, что раз в словосочетании «информационная безопасность» встречается слово «безопасность», значит все похоже. Значит это где-то рядом. Это приводит чаще всего к тому, что сотрудники ИТ тихо смеются над распоряжениями ИБ и просто всячески их игнорируют. Понятно, что ни к чему хорошему это не приводит. Что делать?
Увы, рецепт будет стандартным и довольно тяжело выполнимым. Руководителей, как и аналитиков ИБ нужно готовить. Как готовить? Это далеко выходит за рамки моего поста. Да и писалось об этом очень много. Однако все так и осталось на том же месте.
Идеально, когда руководителем становится бывший администратор, а вернее бывший аналитик ИБ. Но до массовости этого процесса еще очень далеко!
Сегодня другого пути, кроме учебы – нет! И это нужно признать. На самом деле проблемы ИТ и ИБ очень похожи. В обеих службах отсутствует стратегия развития. И пока это не поймут, мы так и будем латать дыры. Увы!
Безмалый В.Ф.
MVP Consumer Security
Мы все сегодня являемся свидетелями катастрофического падения уровня знаний выпускников ВУЗов. Давайте подумаем, почему так происходит? Попробуем в этом разобраться. Можно ли что-то сделать для противодействия этому процессу?
29-летний житель Новой Зеландии Крис Огл (Chris Ogle) нашел конфиденциальные военные файлы США на MP3-плеере, который он купил всего за 15 долларов в магазине подержанных товаров.
В памяти электронного устройства хранилось 60 конфиденциальных файлов с именами и данными американских солдат, служивших в Ираке и Афганистане. Также там находились инструкции и списки военного оборудования, размещенного на военных базах.
Несмотря на то, что большинство файлов датировано 2005 годом, данные, содержащиеся в них, еще не потеряли своей актуальности. Корреспонденты австралийского телеканала TV One убедились в этом, позвонив по нескольким указанным телефонам, — везде отвечали люди, обозначенные в списке.
http://www.securitylab.ru/news/366929.php
PS
И как обычно, мой комментарий.
Таким образом мы с вами видем стандартную ситуацию для жестких дисков. Невытертая информация. Насколько это актуально для вас — судить не мне. Однако с распространением подобных гаджетов эта проблема бдет распространяться все шире и шире.
Типичный пример сегодня — продажа б/у телефонов. Более того, некоторые из этих телефонов можно вытереть только в условиях авторизованных сервисных центров. Ну что ж. Жизнь идет и работы у нас меньше не становится! Верно?
26 Января 2009 | 21:34 По материалам: CNews.ru |
На прошлой неделе эксперты «Лаборатории Касперского» обнаружили новую вредоносную программу для операционной системы Symbian, нацеленную на клиентов одного из индонезийских мобильных операторов. Найденное вредоносное ПО относится к классу троянских программ и написано на скриптовом языке Python. Троянец без ведома владельцев телефонных номеров отправляет SMS-сообщения на короткий сервисный номер с командой перевести часть средств абонента на другой счет, принадлежащий злоумышленникам.
Индонезийский троянец имеет пять известных вариаций: Trojan-SMS.Python.Flocker.ab-af. Программа настроена так, что средства с зараженного номера переводятся небольшими частями, от 45 до 90 центов США. Таким образом, в случае, если злоумышленникам удастся инфицировать большое количество телефонов, сумма, которую они получат на мобильный счет, может оказаться значительной.
«До недавнего времени случаи распространения вредоносного мобильного ПО, осуществляющего несанкционированную отправку SMS-сообщений, были зафиксированы лишь в России. Появление Trojan-SMS.Python.Flocker.ab-af заставляет взглянуть на эту ситуацию под иным углом. С высокой степенью вероятности можно говорить о том, что в обозримом будущем проблема незаконных операций по счетам абонентов сотовой связи в мобильной вирусной индустрии будет приобретать все большую актуальность, постепенно расширяя географию своего присутствия», — сказал Денис Масленников, вирусный аналитик «Лаборатории Касперского».
Почему это пока не актуально для Украины и более того, будет не актуально в ближайшие пару лет? Кризис замедляет рост доходов населения. В связи с этим многим сегодня не до покупки новых интеллектуальных телефонов. А раз замедляется рост базы для распространения вирусов, следовательно, замедлится и рост вирусных эпидемий. Более того, возможно число заражений не превысит вирусный порог.
В пятницу встречался с товарищем. Речь рано или поздно заходит о работе. В результате, в конце-концов, он пожаловался что когда летом искали специалиста в отдел ИБ, то вынуждены были просмотреть более 60 кандидатур. И?.. Не взяли никого! Почему? Молодые люди либо приходили с завышенными требованиями, мол, вот я закончил ВУЗ, я хочу… далее называется сумма такая, что я, человек увы, давно не молодой и на мой взгляд, вроде как знания не как у студента, но, увы, получаю меньше. Однако главное – это ужасающе низкий уровень знаний.
А вот здесь хотелось бы чуть подробнее. Приходят с сертификатами, за которыми ничего нет! Т.е. сертификаты есть. Но за ними ничего нет! Нет знаний! Вызубрили ответы на вопросы теста сертификации, сдали и что? Тишина! Знаний как не было, так и нет. К чему я говорю об этом? Страшно когда сертификаты есть, а знаний нет! И сегодня это, увы, довольно распространенный пример. А вы сталкивались с таким или нет?
Безмалый В.Ф.
MVP Consumer Security
Не секрет, что до сегодняшнего дня большинство организаций на Украине не имеют планов стратегического, впрочем, будем честны и тактического, развития служб информационных технологий и информационной безопасности. К чему это приводит? В первую очередь к тому что для руководства большинства компаний служба ИТ, а, уж тем более, ИБ, воспринимается как «необходимое зло». Деньги вроде как тратятся, а куда, на что, а главное – ради чего, боюсь для большинства руководителей это тайна за семью печатями.