Сказки о безопасности: Запоздавшее обновление

Автор: Владимир Безмалый
04.04.2017

─ Майкл, вам с Куртом придется разобраться с вирусной атакой департамента сельского хозяйства.

─ А что там произошло? Или еще неизвестно?

─ Ну почему же, уже известно. Атака вредоноса-шифровальщика. Злоумышленники использовали найденную еще три месяца назад уязвимость. Вернее, уязвимость может нашли и ранее, но три месяца компания-производитель операционных систем выпустила соответствующее обновление три месяца назад.

─ А почему же его не установили?

─ Вот с этим вам и придется разбираться. С завтрашнего дня и начнете. Надеюсь недели вам будет достаточно.

─ Сделаем!

Прошла неделя.

─ Что можете доложить о проблеме?

─ Сейчас готовим отчет.

─ А предварительно?

─ Предварительно? У меня вызывает искренний вопрос, кто рекомендовал обновлять офисные программы в сетях государственных учреждений только после подтверждения пользователя или «уполномоченных сотрудников». Это хорошо для крупных структур с бдительными системными администраторами, но небольшие организации рискуют месяцами жить с «дырявым» софтом.

─ Странно. Я не помню, чтобы подписывал такое распоряжение.

─ Иоганн, я проверил. Через нас такое распоряжение не проходило.

─ А чье это распоряжение вообще?

─ Департамента связи.

─ Ох, придется мне разбираться с этими умниками на совете у императора. Нет хуже инициативы без глубокого понимания вопроса.

─ Мы же объясняли им необходимость срочных обновлений, особенно для закрытия критичных уязвимостей.

─ Видимо плохо объяснили. Придется еще раз. Итак, причиной заражения стал низкий уровень специалистов ИТ и ИБ соответствующего департамента и отсутствие утвержденного порядка обновлений офисного ПО, верно?

─ Верно!

─ Спасибо за проделанную работу!

А вы вовремя обновляетесь? Или как?

Постановлением правительства РФ утверждены разработанные Минкомсвязи «Дополнительные требования к программам для электронных вычислительных машин и базам данных, сведения о которых включены в реестр российского программного обеспечения». Восьмой пункт требований звучит так: «Обновления офисного программного обеспечения должны выполняться только после подтверждения со стороны пользователя офисного программного обеспечения или уполномоченных сотрудников»

 

#сказки_о_безопасности
Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: