Безопасность межмашинного взаимодействия или чем опасны электронные весы с подключением к Интернет
Наш современный мир продолжает свой путь развития и то, что считалось немыслимым 20 лет назад, сегодня уже ни у кого не вызывает удивления. Техника развивается и становится всё более умной. Весы с wi-fi, складывающие все данные в облаке и расшаривающие их через Facebook; тахографы со спутниковым / GSM подключением; счётчики, подключённые к IP-сетям (и передающие в некоторым смысле персональные данные), не говоря уже о банкоматах и POS-терминалах, которые сами продают товары, выполняют транзакции, обновляются – всё это реалии современного времени. Мир новых мини-гаджетов покоряет нашу жизнь с невероятной быстротой. Эти устройства со временем «учатся» выполнять всё новые и новые функции. И если раньше этот мир M2M-девайсов не находился под пристальным вниманием хакеров в силу простоты и примитивности заложенных в них алгоритмов, то в текущий момент с развитием M2M-мира, с появлением их массового взаимодействия и нового функционала, внимание злоумышленников концентрируется на них всё больше. Поговорим об информационной безопасности M2M-устройств, возможных угрозах и смысле их защиты.
Казалось бы, что ценного могут «сдать» хакерам фитнес-браслеты, которые хранят всю информацию в облаке или расшаривают её через facebook; управляемые через wi-fi наушники или телевизоры со SmartTV, которые ничего не хранят, зато активно используют Интернет. На самом деле, не так уж и мало. Как известно из деятельности всех разведывательных служб мира, всё ценное содержится в мелочах – в обрывках газет, в выбрасываемом мусоре, в развлечениях. Что может дать информация с Вашего телевизора? С первого взгляда: Ваши увлечения и предпочтения, гарантированное время пребывания/отсутствия дома. И если увлечения могут серьёзно ударить по имиджу (вдруг Вы увлекаетесь чем нетрадиционным), то времена присутствия/отсутствия может дать хорошее преимущество ворам, да и – чего скрывать – самим хакерам для взлома оставшейся части домашней сети. Кроме того, Ваш телевизор, если он снабжён веб-камерой, может дать как злоумышленникам, так и правоохранительным органам прекрасную возможность следить за Вашим домом. Я уж молчу про нарушение закона при просмотре пиратских фильмов, за что Вас наши доблестные правоохранители с лёгкостью привлекут (про законность таких доказательств деликатно умолчим). И это один лишь только подключённый к Интернету телевизор.
Бумажная безопасность vs Практическая безопасность
Специфика развития современного мира информационной безопасности такова, что для рассмотрения целостной картины ИБ (в особенности говоря о безопасности бизнеса, как об основной цели ИБ) невозможно без выделения двух важных и неотъемлемых составляющих: бумажной безопасности и практической - две противоположные стороны всего мира информационной безопасности, два подхода со своими плюсами и минусами, со своим мировоззрением: бумажники и практики - теоретики и техники. В чём же разница между ними, какую точку зрения принять и какая сторона правильнее? Попробуем разобраться.
Бумажная безопасность – это в первую очередь безопасность, которая пытается защитить информацию на основе стандартов, то есть берёт ФСТЭК-овский / ФСБ-шный / ГОСТ-ый / ISO-шный документ и начинает его исполнять. Сюда же относится организационная безопасность предприятия и стратегический (не технический) подход в решении проблем, учитывающий психологию людей и структуру (в т.ч. финансовую) организации. Практическая безопасность – это, к примеру, та, которая патчит всё подряд: что увидел, то запатчил; что опасно, на то цепляем логирование, антивирусы, "огненные стены" и прочие радости жизни админа, т.е. все проблемы ИБ она решает исключительно техническими мерами. Кто важнее и какой подход правильнее, как влияет на бизнес современная мировая кибербезопасность, что об этом говорят мировые best practice? Разговор нам предстоит долгий...
Подробнее: Бумажная безопасность vs Практическая безопасность
Что скрывает Google, Microsoft и Apple или чем опасны телефоны?
Современный мир информационных технологий разросся настолько, что представить свою жизнь без любимого компьютера, телефона, а для некоторых - iPad-а, стало просто невозможно. Действительно, IT-техника есть и применяется сейчас везде и во всём. С её появлением человечество обрело множество новых возможностей и удобств. Но оно обрело также и множество новых опасностей и проблем. Об одной из таких проблем - в частности, о том, чем опасны наши телефоны - смартфоны - и поговорим сегодня.
Как известно, сотовые телефоны нынче перестали принципиально отличаться от компьютеров. Некоторые смартфоны уже используют ту же операционную систему, что и их большие собратья. В частности, речь о Windows 8. Не трудно понять, раз под обыкновенные ОС существует столько вирусов и способов кражи информации, то не меньшее число программ-шпионов, кейлоггеров, вирусов для телефонов скоро будет существовать (да и уже существует) под смартфоны. Но сейчас поговорим не о зловредных программах под Windows / Android или iOS, а о том, какими возможностями обладают сами мобильные ОС. Как показывает практика, сами компании-производители ОС заложили в них штатные возможности передачи практически всего, что хранится и происходит с телефоном в датацентры Google, Microsoft и Apple.
Что же скрывает Google, Microsoft и Apple? Какую информацию собирают через наши телефоны мировые IT-гиганты, зачем и какие угрозы это в себе таит? Поговорим об этом подробнее...
Подробнее: Что скрывает Google, Microsoft и Apple или чем опасны телефоны?
Платим за взлом или как найти лучшего специалиста по информационной безопасности
Одна из тенденций современного мира IT направлена на всеобщее повышение интеллекта трудящихся в этой сфере людей: уже давно нет людей, которые ещё в начале, середине и даже конце 90-ых назывались словами типа "крутой программист" или "супер IT-шник": "универсальные программисты" начали вымирать с наступлением 21-го века и с тех пор практически исчезли с лица Земли: сейчас есть только java-девелоперы, C#-разработчики, админы UNIX, DBA и прочие буквенные сочетания из постоянно расширяющегося списка IT-профессий. Те же тенденции наблюдаются и в сфере информационной безопасности. Найти специалиста, который бы мог без труда находить ошибки buffer overflow в 10-модульной Си-шной программе и одновременно - улаживать любые проблемы с проверяющими из ФСТЭК в части 152-ФЗ, - это что-то из разряда произведений Джона Толкина. Даже универсальных технических специалистов, которые бы знали особенности и проблемы любой современной технологии найти почти нереально. Тогда как развитие IT-технологий и их повсеместное внедрение в критически важные сферы жизни ставит всё новые и более жёсткие требования к уровню их безопасности. Сталкиваясь со всеми этими бедами, современный европейский бизнес начинает искать новые способы защиты своих ИС. И находит их в так называемых Vulnerability reward program или, как их ещё называют, Bugs Bounty program - программах поощрения поиска уязвимостей (VRP-программах), представляющих собой революционный шаг в защите от уязвимостей в ПО.
Что же это за изобретение такое, как оно помогает защитить бизнес и стоит ли его внедрять? Рассмотрим вопрос подробнее...
Подробнее: Платим за взлом или как найти лучшего специалиста по информационной безопасности
Государственное регулирование в области информационной безопасности. Основные проблемы и угрозы.
Работая юристом в сфере ИБ (а современный безопасник, как известно, юрист как минимум на 33%), каждый специалист ИБ невольно наталкивается на множество актуальных проблем и конфликтов в правовой сфере, которые не разрешаются методом "почитать побольше законов и комментариев к ним". А в свете повсеместного введения процедур защиты персональных данных практически во всех компаниях (включая защиту ПДн в интернет-магазинах), вопросы правового регулирования сферы ИБ встают перед нами очень явственно. Как быть с постоянно меняющейся номративной базой? Как защищать ПДн в условиях постоянной динамики законодательства? Как решать проблемы с регуляторами ИБ в сфере их деятельности (ФСБ, Роскомнадзор, ФСТЭК)? Почему вообще у нас такое странное законодательство? Поговорим об этом подробнее. А за основу возьмём старое законодательство по защите ПДн (на нём хорошо видна суть; что же касается актуальных проблем ПДн, то сравнительный анализ старой и новой нормативной базы, а также новый порядок действия оператора приведены в соответствующих статьях). Продолжение следует...
Защита персональных данных в интернет-магазинах
В современном бурно развивающемся IT-мире широкое распространение приобретает мир электронной коммерции: интернет-магазины / банки / сервисы, которые предоставляют пользователю множество полезных и удобных возможностей. А ещё, в этом же бурно развивающемся мире живёт, развивается и здравствует 152-ой федеральный закон и всё его множественное окружение в лице 1119 Постановления Правительства, 21-го приказа ФСТЭК, 66-ого - ФСБ и многие другие насущные представители целого мира под названием "защита персональных данных". Отсюда сразу возникает злободневный вопрос: как защищать персональные данные интернет-магазинов (в частности) в контексте всего этого поезда и маленькой тележки документов? О порядке действия оператора ПДн в общем случае, я писал в этой статье.
Эти два направления нашей реальности - интернет-коммерция и защита ПДн - вступают в глубокий конфликт. В особенности, в части таких, например, вещей, как получение от интернет-клиента согласия на обработку его персональных данных в письменной, как того требует закон, форме или обеспечение сертифицированного крипто-канала. Как же быть в таких ситуациях рядовым интернет-магазинам и прочим коммерческим web-сервисам? Рассмотрим эти вопросы подробнее.
Персональные данные: новый порядок действий оператора
Рассмотрим в текущей статье порядок действия оператора персональных данных по организации обработки и защиты персональных данных в соответствии с текущим новым законодательством. В частности, в соответствии со введением в нынешнем году ПП-1119 и Приказа ФСТЭК №21. Напомню также, что в соответствии с ПП-1119 переделывать старые согласованные (ФСТЭК) ИСПДн в новые не обязательно: обязательным это становится лишь для новых и реорганизованных ИСПДн.
Итак, перейдём к рассмотрению насущного и почти для всех уже злободневного вопроса: "как же всё-таки быть с этим 152-ым законом"?!
Подробнее: Персональные данные: новый порядок действий оператора
Персональные данные: сравнительный анализ старой и новой нормативной базы
В предыдущей статье мы рассмотрели особенности и порядок действий оператора персональных данных согласно старой и новой правовой базе. Как было указано, важность сопоставления двух законодательств заключается в известном требовании регуляторов: ИСПДн, построенные по старому законодательству и прошедшие успешное согласование с ФСТЭК, могут не вливать доп. средства и не переделывать (а могут и переделать) свою информационную систему (ИСПДн), дабы соответствовать новым требованиям. В случае же реорганизации какой-либо ИСПДн или появления у организации новых ИСПДн, защищать персональные данные по новому законодательству придётся.
Таким образом, возникает вопрос, переделывать ли старую ИСПДн на новую сейчас или оставить это дело до реорганизации ИС? Тут важен момент: как часто меняется у организации структура хранения и обработки персональных данных в ИСПДн и на сколько эти изменения серьёзны / будут ли они входить в описанную старую документацию или же нет? В случае, если изменения предвидятся в скоро будущем, переходить на новую систему явно надо и лучше сделать это как можно скорее во избежание лишнего геморроя в будущем. Если же изменения происходят не предвидятся, можно пока подождать и сэкономить средства на введение доп. мер защиты. Хотя в некоторых особых случаях перевод ИСПДн на новые требования может сократить расходы (на использование защитных мер).
Итак, перейдём к анализу...
Подробнее: Персональные данные: сравнительный анализ старой и новой нормативной базы