В пятницу после работы: В поисках формулы

Выражение

Risk = Threat x Vulnerability x Impact

часто называют классической формулой для расчета риска ИБ.

А как Вы относитесь к написанному?
Как Вы считаете, эта формула правильная или нет? Почему?

Восполняя пробелы: Неопределенность

Казалось бы, если мы говорим о «неопределенности», то, что еще обсуждать, какая уж тут конкретика? Как можно отличать то, что и так не определено?

На самом-то деле неопределенность неопределенности рознь.

В пятницу после работы: Неопределенность

При оценке рисков, часто для придания некой строгости процессу, считается, что неопределенность может быть определена количественно c определенной точностью, используя теорию вероятности, например, метод Монте-Карло (см. тот же FAIR).

А в каких случаях такой подход не работает даже теоретически? Сталкивались ли вы с ситуацией, когда неопределенность бывает разной?

В пятницу после работы: Кибероружие

Сегодня много говорится о кибервойнах, а следовательно и о возникновении соответствующих родов войск, но войска нужно вооружать. 

Стоит ли преследовать разработку malware или необходимо данный вид деятельности легализовать, но предусмотреть его лицензирование и правила распространения?

В поисках взаимопонимания: ПД, паспорт, псевдоним…

«Либимого узнаю  по походке»

Нельзя построить эффективную защиту не понимая обьект защиты. Нельзя давать полезные советы, если люди толкуют одно и то же понятие по-разному.

---

Идет дискуссия, потихоньку стороны начинают понимать друг друга, а тут бац «вторая смена», вновь подключившийся к дискуссии вносит сумятицу в еще не окрепшие умы: «если собранные персональные данные (ПД) не подтверждены документально, например, посредством предьявления оригинала паспорта, то нельзя такие данные считать «персональными данными», а следовательно под действие Закона Украины «Про защиту персональных данных» собранная информация не попадает» (попытался культурно, получилось длинно). На просьбу аргументации утверждения, ответ как правило один: «нельзя утверждать, что данные настоящие, потому как они могли были искажены самим субьектом ПД»…

И так, где же истина? Что же есть «персональные данные»? Считаю, что вопрос даже требует уточнения: «какую информацию следует считать «персональными данными»? Почему мы смотрим на одно и то же, но видим разное?

Закон гласит:  «персональні дані  -  відомості  чи  сукупність відомостей про фізичну  особу,  яка  ідентифікована  або  може   бути   конкретно ідентифікована» («персональные данные - сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано»)

И вот перед главная причина,  почему мы не понимаем друг друга: закон не определяет процесс идентификации.  Причем именно процесс в самом широком его толковании: нам не навязывают Что анализировать, Как, Чем и совсем незаметный нюанс: Кто должен проводить анализ. Последнее мне кажется предельно интересным моментом: вы можете считать (искренне), что у Вас «в руках» галиматья какая-то, а сторона, предъявляющая Вам претензию легко демонстрирует, что это не галиматья и Вам придется отвечать «по всей строгости…»

Как следствие,  имеем ситуацию, когда каждый человек под идентификацией начинает предлагать свое видение данного процесса, которое чаще всего иллюстрирует или ограниченные познания в данной области и/или когнитивные искажения.

Так, например, если взять слайд посвященной теме когнитивных искажений из моей призентации на UISGv7, то первые пять примеров могут абсолютно точно характеризовать поведение нашего собеседника (а список достаточно не полный)




Где выход? Он очевиден: учить, обьяснять, расширять кругозор. Побольше примеров, особенно тех о которых  мозг собеседника просто «забыл» в круговерти нашей жизни.

В качестве иллюстрации, давай те рассмотрим такое явление как Псевдоним.  Бытует мнение, что человек изменив (исказив) свои данные, например, представившись «вымышленным лицом», создает условия, когда эти данные не могут быть отнесены к ПД. Так то оно так, но часто до поры до времени:  кого Вы скорее идентифицируете (например, укажете на фотографии) Максима Горького или Алексея Пешкова, Ани Лорак или Каролину Куек, Тину Кароль или Татьяну Либерман, Xaocuc-а или Sapran-а???? Для кого-то все написанное есть ПД, а для кого-то только половина, и то не та.

---

«Либимого узнаю  по походке»…  и кому после этого еще нужен паспорт?

Какая База ПД самая главная?

На прошлой неделе, провел краткую встречу-консультацию для любимых клиентов о необходимых действиях во исполнение ЗУ «Про захист персональних даних», где мы установили, что изречения «У нас Баз персональных данных НЕТ» и «В СССР Секса НЕТ» принадлежат перу одного автора и что закон действует даже там где «СУБД не стоит на балансе» (из уст финансиста это звучало сногсшибательно) и вернулся к размышлениям о «РЕКОМЕНДАЦІЯХ щодо забезпечення   захисту   персональних   даних…»

Находясь под впечатлением встречи и анализируя свои ответы на поставленные вопросы, в голову пришла мысль, которая раньше меня не посещала: какая «База ПД» самая ценная для владельца/распорядителя? 

Оказывается та о которой мы меньше всего говорим: База где хранятся полученные разрешения на обработку ПД и/или ссылки на источники подтверждающие легальность получения обрабатываемых данных (особенно в случае открытых источников).

Если такая база База ПД будет утеряна, то вся обработка персональных данных становится «вне закона».

А вы считаете иначе?

В пятницу после работы: Какая База ПД самая главная?

Утрата (не утеря) какой базы Персональных Данных может вызвать самые большие неприятности для владельца/распорядителя ПД?

В пятницу после работы: Аутентичность

Можно ли нарушить подлинность не нарушая достоверности и/или целостности?

Вопрос по пятницам: СОУ Н НБУ 65.1 СУІБ 2.0:2010 гласит

"Інформаційна безпека - це захист інформації від широкого діапазону загроз з метою забезпечення безперервності бізнесу, мінімізації бізнес-ризику і отримання максимальних рентабельності інвестицій і бізнес-можливостей. "

Google Translate:
"Информационная безопасность - это защита информации от широкого диапазона угроз с целью обеспечения непрерывности бизнеса, минимизации бизнес-риска и получения максимальных рентабельности инвестиций и бизнес-возможностей"

---

Вопрос: Какую информацию необходимо защищать во время:
a) фишинг атаки?
б) спам атаки?
в) (D)DoS атаки?

---

Ответ по понедельникам:

а) и б)  Ввиду того, что мы не можем гарантировать изоляцию пользователя от фишинговых и спам писем, то обьктом защиты, в первую очередь, становится информация, хранимая в мозгу пользователя, и речь идет не только о "конфиденциальности", но и о других свойствах потому, как присутствует не только риск «разглашения», но и других неадекватных действий (открытие файла, смену работы, пересмотр отношений с сослуживцами…)

в) предоставляемую 

В поисках взаимопонимания: ИБ vs ИТ-безопасности

На этой неделе столкнулся в разных источниках на подчеркнутое разделение и противопоставление  ИТ-безопасности и Информационной Безопасности (ИБ), мне казалось, что это деление уже кануло в Лету, а тут снова и из уст авторитетных людей… 

Я воспринимаю такое деление, как  источник снижения уровня защищенности, так как оно вносит дезориентацию в систему управления Предприятием, плохо отражается на корпоративной культуре, приводит к неэффективному   финансированию и внедрению средств управления ИБ.

Пример из практики:  поддержкой геораспрделенной кластерной системы, на которой «крутится» корпоративная ERP-система,  занимаются подчиненные CIO, а вот «выдачей» Check Point GO (в прошлом Abra) для удаленного доступа, к этой системе, занимаются  подчиненные CISO.  Так что, данный пример нужно воспринимать как иллюстрацию раздельного существования ИТ-безопасности и ИБ? Тогда получается, что «конфиденциальность» это ИБ, а «доступность» это ИТ-безопасность?

А пользователь, скажем «операционист Банка», который обеспечивает правильное использование средств управления ИБ, участвует в обработке инцидентов и принимает участие в оценке рисков ИБ он представитель какой безопасности? 

С другой стороны, мне обьясняют, что все очень просто: ИТ-безопасности занимается «безопасностью инструмента» и «поэтому ею может заниматься и "продвинутый" ИТ-шник. ИБ - это безопасность актива: здесь уже риски другие, и область шире, и методы иные.»(с)

Оно конечно все правильно, если бы не «маленькая» метаморфоза: мы не о человеке с его профессиональной подготовкой и обязанностями говорим, а о сфере человеческой деятельности – "направленной на обеспечение защищенного состояния объекта" (с)  

Не существует никакой ИТ-безопасности, есть единый бизнес-процесс обеспечивающий информационную безопасность предприятия, для подержания бизнес процесса в работоспособном состоянии необходимы ресурсы среди которых Инфраструктура и Люди. 

Люди, которые ввели термин «ИТ-безопасность», «безопасность информационных технологий» подсунули огромную свинью, породив anchoring, который стал причиной различных когнитивных искажений не только в головах потребителей услуг безопасности, но и в профессиональной среде… 

---

Информационная Безопасность - это "отрасль", в которой работают много разных и нужных друг другу людей. И "токарь шестого разряда", и "главный авиаконструктор" делают одно и то же дело:  выпускают самолеты в рамках какого-то авиапрома и являются авиастроителями. Они не могут сближаться или не сближаться - они жить друг без друга не могут...

Best Practice(?)!

Как то в последние дни, просматривая различные статьи о трендах ИБ в головах государственных мужей, поймал себя на мысли, что я как-то неадекватно воспринимаю написанное. Интересно это  люди в растерянности и не знают че б еще такое сотворить или я уж сильно отстал и надо бы восполнять пробелы…

Например вчера на ночь глядя, позабавила Supersleuthing BOFHs could help crack cybercrimes

Буквально несколько цитат:
«System administrators should be the detectives in cyber investigations, a top Microsoft security bod said.»
«The evidence you need to investigate cybercrime is often in the hands of the private sector... and in these cases, the sysadmin becomes lead investigator in the cybercrime case,”
«… then you need to establish 24/7 contacts so that you can access knowledgeable people in any country at any time so that you can at least freeze the info you need before it’s gone...»
Обьективности ради говоривший бывший госслужащий, но ведь «знание и опыт» он приобрел в Департаменте Юстиции США.

Другими словами, ваш Админ должен быть не только компетентным, но и состоять на службе: на правильной "компетентной" службе.

А сегодня утром коллеги обратили внимание, также на вчерашнюю новость, но уже на Securitylab.ru  Американцы разработают программу для создания фальшивых секретных материалов

Какая-то двоякость по прочтению:

"По словам представителей спецслужб, данная программа позволит выявить злоумышленников"
Если эти данные будут размещены на внешних паблик ресурсах, то обращение к ним ну ни как нельзя квалифицировать как "злой умысел"

Если речь идет о инсайдерах и взломе, то зачем об этом писать? Методология распространения дезы  - "стара как мир"...

Как они затем будут разделять дезу от правды? По контенту? Потребуется очень ограниченный  круг лиц - глупость: нереально. Будут специальным образом маркировать документы – не серьезно: взломают.

RA: Считаем Риски правильно

Соответствие требованиям законодательства, один из самых важных моментов в работе любого Бизнеса.

Законодатель выдвигает требования и определяет ответственность за их нарушение, а Бизнес обрабатывая риски, связанные с этим, принимает для себя взвешенное решение: выполнять требования закона или нести ответственность за его нарушение.

Абсолютно стандартная процедура, применяемая во всем мире и во всех сферах деятельности, а значит применяемая и в Украине в отношениях законодательства затрагивающего вопросы Информационной Безопасности.

Сегодня эксперты в области ИБ при анализе рисков в первую очередь обращают внимание на нарушения законов защищающих права на обьекты интеллектуальной собственности (например, программное обеспечение) и  персональные данные граждан.

Поддерживаю такие акценты, но сожалею, что коллеги (до не давнего времени и я)  часто делают одну и ту же ошибку: неправильно указывая размер возможного штрафа. Причиной такой ошибки, есть не правильное использование величины Неоподатковуваного мінімуму доходів громадян для расчета ущерба в контексте административного и уголовного законодательства Украины в части квалификации преступлений и правонарушений.

Для правильного расчета ущерба, а следовательно и наказания необходимо принимать во внимание пункт 5 Підрозділу 1 Розділу XX Податкового кодексу України, который гласит:

 «Якщо   норми   інших   законів   містять   посилання    на
неоподатковуваний  мінімум  доходів  громадян,  то  для  цілей  їх
застосування використовується сума в розмірі 17 гривень, крім норм
адміністративного   та   кримінального   законодавства  в  частині
кваліфікації   злочинів   або   правопорушень,   для   яких   сума
неоподатковуваного  мінімуму  встановлюється  на  рівні податкової
соціальної пільги,  визначеної  підпунктом  169.1.1  пункту  169.1
статті 169 розділу IV цього Кодексу для відповідного року.»

Таким образом для расчета размера ущерба в 2011 году необходимо использовать 470.50 грн, а для расчетов штрафов 17.00 грн.

---

Хочу выразить особую благодарность Dmytro Melnychenko за указание на принципиальные ошибки допущенные при подготовке первой версии данного поста. 

Самая страшная тайна

Какая информация на предприятии должна охраняться сильнее всего?
Ради интереса напишите список ну или хотя бы прикиньте.
Можно идти дальше?

---

А есть в списке информация о пройденных тренингах по ИБ? Фамилии консультантов?

Каждый раз меня прошибает холодным потом когда я задумываюсь о угрозах которые таит не понимание выше приведенного. Каким бы талантливым не был консультант, но количество предлагаемых им подходов и приемов в реализации системы защиты ограничено. Более того, сокращая время консультации (все таки денег стоит), клиент еще больше усугубляет ситуацию.

Я для себя эффективного противоядия для данной уязвимости пока не придумал.

А Вы? 

Анонс: UISG v7

2 декабря в Киеве состоится седьмая конференции UISG.

Также начал работу сайт конференции http://7.uisgcon.org, целиком и полностью посвященный этому событию. На сайте можно удобно и быстро:

• зарегистрироваться в качестве участника конференции - http://7.uisgcon.org/attendees
• подать заявку докладчика - http://7.uisgcon.org/speakers
• найти контакты организаторов конференции - http://7.uisgcon.org/contacts
• принять участие в формировании программы конференции, поделившись с организаторами интересными именно вам темами докладов - http://7.uisgcon.org/program

На сайте также представлена общая информация о конференции, ссылки на смежные материалы и сайты, а также постоянно обновляемый список часто задаваемых вопросов.

В поисках взаимопонимания: Фальш-позитив или таки негатив?

На прошлой неделе произошел любопытный случай: при посещении одного из сайтов мой «браузер по умолчанию» выдал предупреждение, что страница сайта содержит опасное содержание и пользователь должен самостоятельно принять решение посещать данную страницу или нет.

Когда я попытался попасть на сайт при помощи других браузеров, то никаких предупреждений не получил.

В силу различных обстоятельств, я решил немного больше времени уделить данному событию.

Первое, что я сделал, это информировал владельцев сайта об обнаруженной проблеме, затем решил обратиться к людям непосредственно связанных с отраслью ИБ в поисках ответов на вопросы «Кто виноват?» и «Что делать?».

Эксперты сразу разделились на две группы:
- первая приступила к исследованию кода и выяснения, что же могло не понравится конкретному браузеру,
- вторая призвала принять одну из сторон (имеется ввиду, доверится какому-то конкретному браузеру),  ругая противоположную в одном случае «за параноидальность», во втором за «недоделанность».

Во всей этой истории огорчает два момента:
1. Вторая группа продемонстрировала наличие когнитивных искажений, которые оказывают плохое влияние на профессиональную деятельность.
2. Никто ни первая группа, ни вторая даже не попытались  взглянуть на проблему глазами рядового пользователя. Какой выбор должен он сделать: посещать сайт или нет? Лучше, конечно «не посещать», но если этот ресурс интересен не только ему, но и его друзьям, и часть друзей (имеющих «другой браузер»)  будут готовы к дискуссии, а вторая нет, что произойдет?

Чья репутация пострадает:
- производителя браузера сообщившего о ошибке?
- производителя браузера не сообщившего о ошибке?
- компании-владельца ресурса?
- мероприятий по повышению осведомленности (awareness)?

А вас предусмотрен план реагирования в таких ситуациях?

Укращение строптивых

Недавно, приводя к эталонному размеру стопку «очень нужных» документов, в руки попала папочка цвета «хаки» со строгой и простой надписью Xylogics, Inc. , хранившая переписку, которую сегодня уже не прочесть, почему тогда о столь замечательном свойстве факсовой термобумаги я не задумывался…

С первого дня своего существования удаленный доступ начал потихоньку «размывать» границу корпоративной сети, но слава Богу уровень «распространённости и проникновения ИТ», давал возможность ИБ-шникам в реальные сроки возвращать ее «четкость». Но с каждым годом делать это становилось все сложнее и сложнее, а приход беспроводных технологий и миниатюризация вообще превратили задачу в трудную, часто не тривиальную.

Сегодня, после очередного эволюционного витка, наши сетевые сканеры фиксируют воистину  «вавилонское столпотворение»  сетевых устройств способных подключаться к нашим информационным ресурсам.  И это не обязательно  «какие-то шпионы», чаще всего это телефоны,  планшеты, нетбуки, ноутбуки (и т. п.) наших сотрудников, которые они принесли с собой на работу, так как не представляют без них своего существование в этом мире.

Как укротить этих «железных коней», превратив их из потенциальных «врагов»  в «друзей и помощников»? Некоторые ответы можно подсмотреть в исследовании Gartner-a «Critical Capabilities for Mobile Device Management»

Помимо краткого обзора конкретных продуктов, ориентированных на управление мобильными устройствами, достаточно полезными могут оказаться перечень функций, которые должны быть подвергнуты анализу и контролю и на какие функции должно фокусироваться внимание, в зависимости от выдвигаемых требований Политикой ИБ и областью применения мобильных устройств.

Так, например, назвав критическими, Gartner рекомендует анализировать 10 свойств продуктов управления:

1. Device Diversity: возможности работы с различными ОС и различными устройствами
2. Policy Enforcement: возможности настроек и управлением политиками безопасности (доступа, роуминга, фильтрации, приложений и т.д. и т.п)
3. Security and Compliance: наличие средств защиты корпоративных данных хранимых на устройстве (аутентификация, блокровка, шифрование и т.д. и т.п)
4. Containerization: возможности разделения сорпоративных данных от личных
5. Inventory Management: набор механизмов для предоставления, контроля и отслеживания устройства, подключенные к корпоративным приложениям и данным (и снова замечательный перечень для чеклиста)
6. Software Distribution: возможности по распространения приложений и обновлений программного обеспечения для мобильных пользователей (поддержка OTA …) 
7. Administration and Reporting: администрирование и отчетность (интерфейсы, группы, интеграция и т.д.)
8. IT Service Management: доступные уровни обслуживания (интеграция с Help desk, self-service, аlerting и т.п.)
9. Network Service Management: возможности для контроля и оптимизации расходов
10. Delivery Model: модель использования (например: on-premises, hosted, cloud) 

Документ, так же может быть полезен, в процессе разработки политик, процедур, контролей… Приятного прочтения ;-)

Эволюция безопасности: от трагедии к фарсу

Гегель когда-то написал, что история повторяются дважды: первый раз как трагедия, а второй — как фарс.

Столкнувшись с проблемой, что  человеческий дух слаб и не редко, люди поставленные охранять, сами же, превращаются в воров, древние римляне обозначили серьезную проблему, возникающую перед каждым, кто пытается построить систему безопасности, подарив изречение ставшее крылатым «Quis custodiet ipsos custodes?».

На фоне недавних проблем у COMODO, HBGary, RSA, сегодня, прочтя сообщение от Vasco, подумалось: учение римлян устарело, пришло время менять парадигму. Ура, Гегелю!!!

Незнание не освобождает

"Незнание угроз не освобождает нас от риска"

Сегодня, просматривая новости, наткнулся, что жителя Чебоксар оштрафовали за взлом учетной записи супруги. А это, как не говори, уже не далекая Америка…

Особо и комментировать вроде нечего, но лишний раз для себя отметил:

1. Хочешь иметь тайну - позаботься о ее защите
2. Первейший нарушитель - инсайдер
3. Изменение контекста изменяет ландшафт угроз
4. Мы часто переоцениваем себя и недооцениваем оппонента
5. Киберпространство - виртуально по форме, но реально по сути

Атака прошла успешно! Кто виноват?

Сегодня, все пользователи ИТ, в той или иной степени подвергаются опасности сами или подвергают опасности других. Умиляют настойчивые попытки в формировании мнения, что они (пользователи) чаще всего сами и виновны, если происходят неприятности.

---

А кто может еще быть виновным, как не пользователи, ведь это они:

• используют «слабые» пароли и хранят их, где не попадя;  
• «антивирусы» не устанавливают, а если устанавливают, то не обновляют;
• широко используют установки «по умолчанию», вместо того чтобы все перенастроить и «заточить»; 
• ничего не шифруют ни при хранении, ни при пересылке;
• не разрабатывают  правил безопасного использования;
• не обновляют ПО для закрытия «дыр», совершенно случайно (торопились немного) допущенных производителем; 
• беспечны в социальных сетях;

и так далее и тому подобное.

Не знаю как кому, но мне так грустно становится, когда я сталкиваюсь с таким обвинениями. В эти минуты думается, а почему никто из «глубоко уважаемых экспертов» не пишет:

Призвать к ответу «разработчика А» ! Потому как он:

• разрешает использовать слабые пароли;
• разрешает запускать свое приложение без активного антивируса с актуальными базами данных; 
• в конфигурации «по-умолчанию» вместо широко используемого подхода «all deny» использует «all permit»;
• разрешает при первом запуске приложения просто прочесть перечень опасностей подстерегающих пользователя, и даже не пытается проверить, насколько хорошо пользователь усвоил прочитанное.

А ведь Разработчик мог достаточно просто реализовать и даже обновлять как  инструкцию, так и опросник по безопасности.

Почему производители бездействуют? – Даже на копеешной лазерной указке пишут об опасности.

Многие из нас находятся в рабстве иллюзий, разделяя мир на «материальный» и «виртуальный».

Грань стерта, граница размыта!

---

Потери денег, изуродованная психика – это уже сегодня.
А что завтра?  Атаки на SCADA атомных электростанций, самолетов, систем очистки воды?
Что здесь виртуального?

Атака прошла успешно! Кто виноват? Пользователь?

Утечки и Конституция

Весь мир борется с утечками информации, по вине инсайдеров, внедряя очень и очень не дешевые, но очень умные DLP-системы, а у нас, понимаешь ли, «руки связаны»: Конституция запрещает! (см. Статью 31 Конституции Украины  или Статью 23 Конституции Российской Федерации).

Это ошибка законодателя или свидетельство высшего проявления демократии? И как же быть? Что делать? Как изменить  Конституцию?

На самом-то деле менять нужно не Конституцию, а свое отношение к проблеме.

А что есть "тайна переписки"? А если из процесса мониторинга и принятия решения по результатам мониторинга исключить человека?

Давайте сделаем так, что бы наши DLP-системы анализировали информационные потоки без регистрации автора. Системы могут/должны обладать функциями блокировки и даже возможностью предупреждения нарушителя о неправомерных действиях, типа «Отправка вашего сообщения заблокировано. Сообщение уничтожено по причине нарушения пункта №6.1.1 Политики допустимого использования (Acceptable use policy )  в соответствии пункта №3 Политики безопасности».

Системы должны фиксировать событие, но не фиксировать автора нарушения. Офицер безопасности, при этом, получает информацию о характере нарушений (ключевые слова, наименование файлов, адреса возможного получателя и т.п.), то есть информацию какие триггеры системы сработали и когда это произошло, но не получает «оригинального сообщения» и информацию о авторе данного сообщения.

А что дальше? Если действия повлекшие инцидент случайны, сотрудник сам инициирует для себя «ликбез» в этом вопросе и его личность будет установлена, если же действия умышленны, то…

Что мы делаем, если обнаруживаем, что кто-то пытался залезть к нам в гараж и украсть машину? Правильно – обращаемся в компетентные органы! А они, руководствуясь законом и характером нарушения, определяют  средства и методы для поимки нарушителя…

Почему так? Потому как времена и нравы Дикого Запада канули в лету и самосуд стал преступлением.

RA: В поисках "цифры"

Будучи скептиком в вопросе возможности количественной оценки рисков информационной безопасности, не смог пройти мимо факта, лишний раз иллюстрирующего природу моего "неверия".

Вспомним один из последних громких инцидентов: успешную атаку на RSA. Воспользуемся  кратким описанием "анатомии" атаки и небольшим исследованием ее последствий.

Возможно ли было заранее "просчитать" этот риск и получить цифру "694 млн. долларов"?

Сторонники количественных оценок, для расчета Риска рекомендуют различные формулы и подходы, которые опираются на "классику":

Риск = Вероятность * Воздействие

В этот раз, сознательно, не буду даже пытаться определить Вероятность инцидента, более того, готов принять ее за «единицу» (мы то знаем, что это случится :-)), здесь мне интересно проанализировать возможность определения  величины Воздействия.

То, что инциденты ИБ будут влиять на стоимость акций - очевидно. Даже очевиден характер такого влияния - акции будут падать в цене, да, но это рассуждения в сторону качественной оценки, а нас Бизнес ведь интересует оценка количественная.

На самом-то деле, проблем для такой оценки никаких нет, для этого нужно знать ответ на три простых вопроса:

1.       Когда (дата) произойдет инцидент?

2.       Какая будет стоимость акций компании на указанную дату?

3.       Как отреагирует "биржа"  на сообщение о инциденте?  (т. е. на сколько "упадут" акции в цене: на 1%, или на 10%, а может на 5%).

---

Неужели кто-то не смог определить, что данное безобразие инцидент будет оценен падением на 1.25% в тот момент когда капитализация компании достигнет 55.55 млрд?

PC Security Checklist

Решили набросать небольшой checklist по функциям требующим реализации для защиты ПК/ноутбуков.

С большой благодарностью приму замечания и критику по данному списку. 

Парк развлечений и отдыха

Вы когда-нибудь замечали, как меняется поведение людей, когда они узнают, что их действия записывают?

Представьте огромный Парк с различными аттракционами, кафе, кинотеатрами и разными прочими приятными заведениями. Парк огромен. Места много. Зеленая трава. Специальная крыша: никакого тебе дождя или снега. Всегда только солнце, тепло, а где надо приятная прохлада.

Вы хотите отдохнуть? Провести деловые переговоры? Нет проблем, здесь всегда найдется удобное местечко в удобное для Вас время.

А дети-то как любят здесь отдыхать и резвиться. Если бы не Ваша воля, то они бы от сюда никогда бы и не уходили.

Все хорошо, но есть один нюанс. Что бы Вы не делали (гуляли, говорили, работали, с кем встречались и т.п.)  все Ваши действия будут записаны. Даже будет сделана попытка (часто в ненавязчивой форме) записать Ваши Имя, Фамилию и все остальное, что Вы сообщите, чем похвастаете…

Да не просто записаны, а надежно сохранены. Сохранены и защищены от случайной потери. Большинство записей будет доступно каждому для ознакомления и копирования, причем в любой точке замечательного Парка. А если, вдруг Вам захочется, что то припрятать – не проблема, Вы только  скажите ЧТО и Вам тут же выдадут листок нужного размера, растения специального: инжир называется (также известен под именем смоква или фига)…

Как туда попасть? Найти дорогу в Парк не сложно. Вход бесплатен, разве, что дорогу оплатить придется.

Хотя как я погляжу – Вы уже здесь!

Добро пожаловать в Интернет!

Ответственность за "пиратство"

Свели воедино информацию об ответственность за нарушения в области права на интеллектуальную собственность (см. требования раздела 15.1.2  ISO/IEC 27 002, а, следовательно, и СОУ Н НБУ 65.1 СУІБ 2.0:2010).

При нашей действительности при оценке рисков без этого не обойтись.

Заранее благодарен, за найденные неточности и пожелания.

Фальшивый банкомат. Советы по безопасности.

Две недели назад в Киеве в солидном торговом центре был обнаружен фальшивый банкомат, установленный мошенниками с целью кражи данных платежных карт, с последующим хищением денег.

Эта новость, широко и подробно представлена в Интернете. Наряду с описаниями данного события, можно было встретить и рекомендации о том, как не попасться на удочку мошенников. В силу профессионального интереса эти рекомендации и привлекли мое внимание.

Могу сразу сказать - мне не повезло, все что попадалось мне на глаза, все больше было размышлениями банковских сотрудников о недостатках в управлении  сетями банкоматов и как не странно инструкциями для мошенников.

Мошенникам очень подробно сообщалось, что их аппарат выглядел плохо, что на нем отсутствовали многие наклейки, которые должны быть, в выдаваемом чеке, отсутствовала информация, которая делала эти чеки не правдоподобными, и т.д. и т.п.

Безусловно, авторы рекомендаций обращались  к потенциальным жертвам: владельцам пластиковых платежных карт, но с моей точки зрения, большую полезность, того не понимая, они несли другим лицам.

Очень неплохим выглядит совет по использованию особенностей SMS-банкинга (когда о движении по карточному счету банк  информирует Вас при помощи SMS-сообщений).

Я тоже, настоятельно рекомендую использовать данный сервис там, где это возможно, но в случае с "фальшивым банкоматом" он может оказаться малоэффективным.

И так, рекомендуется в случае "непроверенного банкомата" при первой попытке использования ввести неправильный PIN код, если в течении нескольких минут Вы получите сообщение от банка, что  вам отказано в операции, то все нормально, банкомат настоящий и работает нормально.

Согласен. Все верно, но у меня вопрос, а если сообщение в течении нескольких минут не поступит?

О чем это говорит? Да, ни о чем , так как оно может поступить в течении нескольких часов (время банком, как правило, не регламентируется) или не поступит вовсе (мобильные операторы не гарантируют доставку всех сообщений) .

Что делать владельцу карты? Звонить в банк и блокировать ее? Или бежать в милицию?

Если Вы находитесь в незнакомом месте и у Вас не хватает наличности, помимо возможностей проверки при помощи SMS-банкинга, я бы рекомендовал Вам взять на вооружение еще очень простые три совета:

1. Отыщите отделение  любого банка и воспользуйтесь их банкоматом. Не беспокойтесь о комиссии, помните, что, чисто случайно, мошенники могут фальшивый банкомат сделать похожим на банкомат вашего банка.

2. Если отделение банка искать не охота, подождите пару минут, пусть кто-то перед Вами успешно воспользуется стоящим банкоматом. Это место может быть незнакомо для Вас, но знакомо для других.

3. Если 1 и 2 недоступно (вы находитесь на заброшенной улице заброшенного поселка)  представьте, что Вы просто забыли деньги.

Будьте бдительны! 

Беспечности храбрых поем мы песню

Ну не бывает месяца, что бы от того или иного эксперта не услышать (прочесть), в сердцах сказанное "Ну как же так?!". Речь идет не только о ИБ, а о любой сфере деятельности направленной на "заботу о человеке".

---

Так почему же так происходит? Первое, что приходит на ум:

1. В одном из исследовании, социологами был установлен факт, что уровень доверия «себе равным», гораздо выше чем эксперту.
А разве не так?  Мы всегда способны провести грань и отделить где нас учат, а где поучают? А чем мы руководствуемся при этом? 

2. Наблюдению, что «пока гром не грянет мужик не перекрестится» уже много веков. В свою очередь, хочу обратить на стилистику выражения:  оно скорее всего написано экспертом/исследователем, а не самим мужиком услышавшим раскаты грома.
Несколько лет назад (до изменений правил дорожного движения) в Украине пристегиваться начинали только те, кто испытал на себе или стал очевидцем ДТП.
Чем мы руководствуемся при принятии решения установки железной двери в квартиру? Рекламой? Нет. Мы руководствуем конкретными фактами ограбления конкретного человека (а не телевизионного образа). Реклама нам нужна для поиска самой двери. При этом рекомендации "экранов центральных каналов" и  экспертов - ничто, по сравнению с советом друга.
 
3.  Кто Вам больше поможет "молодой и энергичный" из платной мед. клиники или "старый терапевт"  из районной поликлиники? 
Знания получаемые за деньги лучше усваиваются и больше ценятся, даже если они реально хуже тех, которые  можно приобрести бесплатно. 
Здесь "деньги" могут носить условный характер, кому вы больше поверите оратору на людной площади, куда вы пришли "по зову сердца" под мокрым дождем и снегом, да еще и прождав его несколько часов? Или страничке в Интернете, пару десятков которых вы просмотрели за последний час скучая на работе? 

---

Мы все время пытаемся до кого-то достучаться. Рассказать, посоветовать. Мы тратим уйму своего времени, что бы найти и донести эту информацию, а когда видим равнодушие мы теряемся "Ну как же так?!" 

---

Прочел собою написанное, и сделал для себя три вывода:
1. Не выпендривайся. Будь проще и люди потянуться.
2. Будь реалистом: Ищи что болит, а не то что может начать болеть. Пророки становилась таковыми только если их прогнозы сбывались, но не всегда это случалось при их жизни. Ну а если перспектива манит - пиши и не ратуй!
3. Люди любят когда с них берут деньги.

---

А вообще-то: 
Процесс "оценки и обработки риска" также многогранен и противоречив, как и сущность тех, кто их обрабатывает.