Самое слабое звено

13/12/2017

Сколько мы говорим о том, что самое слабое звено в безопасности — это человек. И что? Что-то изменилось? Ничего. Люди упорно не учатся. Не читают! А текст длиной свыше 140 символов считается романом «Война и мир». Ладно бы это было только проблемой корпоративной безопасности. Но это стало проблемой самих пользователей. Особенно с появлением смартфонов и планшетов. Ведь с появлением последних пользователей компьютерных технологий становится все больше. Правда грамотных и заботящихся о своей безопасности – все меньше. Сегодня смартфоны прочно вошли в нашу жизнь. Нам все чаще предлагают с помощью смартфонов оплачивать покупки, проезд в транспорте и прочие удобства. А кто при этом думает о безопасности пользователя? Все верно! НИКТО!

Сегодня не редкость малыш в три-четыре года ищущий любимый мультик в интернете. И умиляющаяся рядом мама: «Ой, смотрите как он умеет!». А кто из вас, господа родители задумывался о том, что все чаще домашние задания по математике и физике выполняются с помощью «решебников», загружаемых на смартфон. Да. В тетрадке стоит высокая оценка, а в голове?

А в голове пусто, аж звон стоит.

Именно поэтому я считаю большинство пользователей на сегодня пустоголовыми, не умеющими задуматься о своих проблемах. Убедите меня что я не прав. Порадуйте!

 

Реклама

Стали известны даты проведения Кода ИБ ПРОФИ в Москве

13/12/2017

Крупнейший образовательный интенсив для ИБ-руководителей пройдет в Москве 1- 4 марта.  

В Москве на Коде ИБ ПРОФИ с авторскими мастер-классами выступят порядка 20 признанных экспертов в отрасли ИБ.

В их числе Антон Карпов (Яндекс),  Алексей Лукацкий (Cisco), Рустэм Хайретдинов, (Атак Киллер и InfoWatch), Дмитрий Мананников, бизнес-консультант по безопасности,  Дмитрий Кузнецов (Positive Technologies), Кирилл Мартыненко (Сбербанк России), Алексей Волков (Сбербанк России), Олег Кузьмин (Концерн ВКО “Алмаз-Антей”), Алексей Комаров (УЦСБ), Илья Борисов (ThyssenKrupp), Кирилл Ермаков (Qiwi), Наталья Гуляева (Hogan Lovells), Денис Зенкин (Лаборатория Касперского) и многие другие.

32 мастер-класса программы охватят все актуальные аспекты управления ИБ, в том числе разработку ИБ-стратегии, построение системы управления киберрисками, непрерывность и операционную устойчивость, управление жизненным циклом инцидента ИБ, управление корпоративным SOC, киберучения ИБ для руководства компании, психологию ИБ и социальную инженерию, культуру ИБ и еще более 20 тем.

Напомним, Код ИБ ПРОФИ — образовательный интенсив для ИБ-руководителей, премьера которого состоялась этим летом в Сочи и собрала ИБ-руководителей со всей страны. Куратором московского ПРОФИ также выступает Алексей Лукацкий (Cisco), мероприятие наследует от сочинского большинство экспертов, а  также оригинальный формат — “два дня учебы+два дня приключений”.

“Код ИБ ПРОФИ в Сочи имел большой успех, мы получили 10 баллов из 10 по результатам анкетирования участников и огромное количество запросов на следующую конференцию. На столичном ПРОФИ мы ожидаем 200+ участников из Москвы и со всей России” — говорит Ольга Поздняк, продюсер конференции.

Программа конференции


Утечка данных пациентов из медицинского учреждения Генри Форда

13/12/2017

https://www.devicelock.com/ru/blog/3122.html

18,470 пациентов медицинского учреждения Henry Ford Health System (Детройт, США) пострадали в результате хищения их персональных данных.

По утверждению должностных лиц, нарушение доступа к данным произошло 3-го октября 2017 года после того, как неизвестными лицами были похищены учетные данные (имена и пароли) электронной почты группы сотрудников, что дало злоумышленникам доступ к записям пациентов, хранившимся в электронной переписке.

Похищенная информация включает в себя имена пациентов, даты рождения, номера медицинских карт, даты посещений учреждения, состояние здоровья и сведения о медицинских страховках.

В заявлении Henry Ford Health System говорится что они очень сожалеют о случившемся и продолжают внутреннее расследование для определения причин утечки, чтобы гарантировать что другие пациенты не пострадают.

Таким образом можно сделать вывод, что электронная почта по-прежнему один из основных каналов утечки данных, недавно мы писали про еще два подобных случая утечки данных в США.

Автор: Владимир Безмалый


Сеть супермаркетов в Великобритании обязали выплатить компенсацию пострадавшим от утечки данных сотрудникам

13/12/2017

https://www.devicelock.com/ru/blog/3118.html

Сеть британских супермаркетов Morrisons обязали выплатить компенсацию 5518 текущим и бывшим сотрудникам, личные данные которых были опубликованы в интернете.

Еще в 2014 году, выражая таким образом свое недовольство работодателем, Андрю Скелтон (Andrew Skelton), внутренний аудитор в Morrisons, намеренно допустил утечку персональных данных почти 100 000 текущих и бывших сотрудников компании, выложив их данные в Интернет.

Скомпрометированные данные включали имена, адреса, национальные номера страхования, даты рождения и данные банковских счетов.

Для того чтобы смягчить последствия этого инцидента, Morrisons были вынуждены потратить более 2 миллионов фунтов стерлингов.

В 2015 году Скелтон был приговорен к 8 годам тюрьмы после того, как его признали виновным в утечке личных данных сотрудников Morrisons, а сеть супермаркетов получила компенсацию в размере 170 000 фунтов стерлингов.

Тем не менее, пострадавшие сотрудники, чья личная и финансовая информация была обнародована Скелтоном, не получили никакой компенсации.

В результате 5518 нынешних и бывших сотрудников предъявили иск Morrisons за то, что они не смогли компенсировать понесенные ими после утечки убытки. Они сообщили суду, что Morrisons несет прямую ответственность за нарушение законов о конфиденциальности и защите данных, а также за то, что они допустили кражу их персональных данных.

Высокий суд в Лидсе постановил, что Morrisons несут ответственность за действия Скелтона и обязал сеть супермаркетов выплатить компенсацию пострадавшим сотрудникам. Второй судебный процесс должен будет установить размер компенсации.

Необходимо отметить, что это первое судебное решение, которое обязывает организацию заплатить жертвам утечки несмотря на то, что непосредственно сама организация не была виновна, в деле был найден конкретный виновный – физическое лицо. Теперь этот прецедент будет применяться в Великобритании как закон.

Это очень показательный случай, когда нелояльный сотрудник наносит серьезный ущерб компании.

Автор: Владимир Безмалый


Сказки о безопасности: Как госслужащие подставились

13/12/2017

https://www.itweek.ru/security/article/detail.php?ID=199021

Наконец-то на улице выглянуло солнышко. Небо очистилось от вчерашних туч и ничего не напоминало о том, что две недели подряд лил дождь. Выйдя на улицу хотелось улыбаться всем встречным, ведь на улице наконец-то солнце!

Иоганн отправился на службу пораньше, чтобы немного прогуляться по утреннему парку. Сегодня пятница, а значит впереди выходные. Можно будет выспаться, погулять с собакой, поиграть с ребенком и просто отдохнуть!

Однако его мечты были самым грубым образом прерваны. Звонили с работы.

— Шеф, когда вас ждать? За вами выслать машину?

— Не стоит, я буду через 10 минут. У нас снова ЧП?

— Конечно. Из-за того чтобы пожелать вам доброго утра, я бы не звонил.

Прошло 10 минут.

— Доброе утро, шеф!

— Доброе утро! Что у нас в этот раз произошло?

— Утечка персональных данных почти 200 тыс. пользователей подпольного сайта «для взрослых».

— Причина?

— Некорректная конфигурация базы данных. На сайте публиковались так называемые «подсмотренные» фото женщин, которые не подозревали, что их фотографируют. Примечательно, что среди утекших данных были обнаружены адреса электронной почты и IP, относящиеся к военным ведомствам и государственным органам как нашей империи, так и некоторых наших союзников.

— Что еще утекло?

— Логины, пароли, даты рождения и некоторые логи сайта, такие как «дата регистрации», «дата последней публикации», «репутация». Финансовой информации среди этих данных обнаружено не было.

— Ого! Но, вероятно, это не все?

— Увы, нет. Наиболее печально то, что среди похищенных данных находились адреса электронной почты, зарегистрированные в зонах .gov и .mil, что может привести к шантажу чиновников и военных.

— Согласен, это чрезвычайно важно. Вы уже сообщили руководителям этих пользователей о необходимости срочно сменить почтовые адреса? А скомпрометированные поставить на контроль?

— Безусловно.

— Придется еще раз напомнить пользователям о запрете использования корпоративных почтовых ящиков в личных целях!

Увы, эта история состоялась на самом деле. Персональные данные почти 180 тыс. пользователей подпольного сайта «для взрослых» The Candid Board попали в сеть из-за некорректно сконфигурированной базы данных. Примечательно, что среди утекших данных были обнаружены адреса электронной почты и IP, относящиеся к военным ведомствам и госорганам США, Великобритании и Австралии.

 


И еще раз о «мантрах». Родительский контроль

13/12/2017

Я уже писал о «мантрах» в информационной безопасности. Тогда речь шла о том, что все мы надеемся на чудо. Особенно во время ожидания Рождества и Нового Года. В разные периоды времени это чудо может быть разным. Начиная от веры в детстве в маму с папой, заканчивая верой «в доброго царя» в зрелой жизни.

Сегодня это вера в то, что родителям при воспитании детей помогут различные программы «Родительского контроля». Помогут?

Безусловно, это поможет вам получать объективную информацию о том, чем занят ваш ребенок на смартфоне, планшете, при работе за компьютером. Какие сайты посещает, во что играет и даже где бывает. Да-да, именно так. Вам ребенок говорит одно, а на самом деле? Большая часть получаемой информации – это констатация факта. Да, вместо школы сбежал к товарищу, или говорил, что пошел к товарищу, а был… Бывает всяко. Однако, как правило, это информация об уже свершившемся нарушении.

Кто-то мне может возразить, мол, мы можем запретить ему бывать на тех или иных сайтах, можем ограничить его время пребывания за компьютером. Конечно можете. Но где гарантия что он не пойдет к товарищу или не станет использовать для посещения запретных сайтов школьный ПК? Смартфон товарища? А никакой!

Потому мантра «Родительский контроль» это всего лишь мантра. Никто и никогда не заменит откровенный разговор с родителями, а любое программное обеспечение родительского контроля это всего лишь вспомогательный костыль. Но обойтись без него нельзя.

Другая «мантра» родительского контроля.

Мы установим это ПО и все будет хорошо. Увы, это еще опаснее! Если вы установили ПО, но не настроили его, считайте, что у вас вообще ничего не установлено. Ведь разработчик не знает о конкретно ваших проблемах. Его задача сделать продукт для наиболее широкого круга пользователей. А значит – вы ДОЛЖНЫ сами понимать, что вам нужно настроить и как. Более того, вам не поможет даже компьютерный специалист. Ведь ему-то вы тоже должны пояснить, а что же вы хотите. А кто это знает если не вы?