Выбрать язык


Выбрать язык | Show only


Русский | English


суббота, 18 февраля 2017 г.

Неудачный аудит информационной безопасности

Интересную можно аналогию провести с одним мультипликационным сюжетом. Каждый видел в нем свое. Кто-то просто смотрел интересный мультик. Кто-то восхищался качеством материала и спецэффектами. А я увидел побочный результат аудита безопасности, проведенного без соблюдения условий невмешательства в работу систем. Одна проэксплуатированная уязвимость - и система разрушена.
По сюжету, руководство ставит задачу повысить уровень безопасности филиала в связи с наличием в нем потенциально опасного элемента. 
Исходные данные, зафиксированные в опросном листе аудитором:
  • Грамотно сконфигурированный пограничный firewall
  • Аутентификация "четыре глаза" при попытке доступа к внутренним ресурсам
  • Единая точка стыка с внешним миром
  • Бдительный, квалифицированный и уверенный в своих силах SOC
  • Достаточное количество персонала в обеспечивающих информационную безопасность подразделениях
  • Сегментация по уровням безопасности
  • Аутентификация и авторизация переходов между сегментами
  • Повышенный контроль потенциально опасного сегмента
  • Выполнение lockdown потенциально опасного элемента

понедельник, 6 февраля 2017 г.

Нездоровые инновации - путь к вырождению

В последнее время стало модно использовать любые инновационные методы, либо те, которые таковыми можно назвать. А тем более если на них можно выбить финансирование на этой волне. Инновации, безусловно, вещь хорошая. Они нам дали цивилизацию, но как бы они ее и не погубили.
Навеяны эти размышления прочитанной новостью о том, что бельгийская компания Newfusion начала вживлять своим сотрудникам чипы. Была, конечно, мысль, что это утка, но, кроме новостей (отечественных и зарубежных), на фсбучной странице компании прямо видео выложено. То, что на конференции Black Sea Summit в Одессе в сентябре 2016 человеку вшили чип - я тоже читал.

Но то девелопмент, а это уже продуктив. Понятно, что за подобные биометрические методы многие сейчас активно выступают, всячески расписывая плюсы, в том числе и с точки зрения ИБ, но здесь уже нарушаются грани и информационной и физической безопасности, смывается граница между личной и корпоративной жизнью в пользу последней.
Поскольку преимущества явно расписываются во многих кейсах, попробуем рассмотреть недостатки вживления таких чипов в человека. Для начала абстрагируемся от высоких технологий, АНБ, слежки и т.п. Просто рассмотрим, какие риски несет просто нахождение инородного тела в организме человека, медицинские показатели которого не требуют его установки. То есть, речь не о спасении человека методом установки кардиостимулятора и т.п. медицинского устройства, а о вживлении чипов в здорового человека, которому они реально не нужны.