Уже в марте (!) сего года (помним контекст) по работе устраивали видеоконференцию со специально приглашённым подрядчиком для проработки вопроса защиты «объектов критической информационной инфраструктуры» (!).
Проводилась конференция… пра-а-авильно, в Zoom. Что ни у кого из типо специально обученных профессионалов от якобы «информационной безопасности» вопросов не вызывало.
Ну и конечно же, главным, неисключаемым элементом разрабатываемого комплекса мероприятий — делегирование ответственности в нафиг, на сторону, в направлении вредоносного ПО лаборатории касперского (которая вот уже как бы не четвёртую пятилетку всё никак ниасилит *правильного* описания процедуры установки своего поделия на одну из «поддерживаемых» платформ, зато ревностно удовлетворяет платёжеспособный спрос на методологическое обеспечение фигового листочка от ростовщиков).
Про разного рода морских свинок, завлекающих народ в us02web.zoom.us (и, что характерно, «всё работает», наверное потому что профессионалы от ИБ не знакомы с трассологической реконструкцией назначения «тёти Аси») скромно промолчим.
Комментарии
О! Это один из любимых моих вопросов. Корни проблемы в том, что их задача состоит не в обеспечении пресловутой безопасности, а в зарабатывании денег.
Аналогичная ситуация с медициной, которая в пределе, при сохранении текущей системы денежных отношений, деградирует до американской, в которой важен не результат, а процесс зарабатывания денег. Ковидловые безумства очень яркий пример этому.
Если не изменить систему,, которая сейчас построена по западным лекалам на деньгах, то все сведётся к абонентской плате. На всё, и без возможности получить нужный результат.
Примите пилюлю от антропоморфизьма!
Не только в «зарабатывании денег», но как минимум в делегировании ответственности в нафиг. Что особенно важно локальным рукой.водителям.
И «отсутствие возможности» — пока ещё далёкая перспектива.
Пока — без гарантии работоспособности/полезности *оплаченного* решения.
Кстати, обратите внимание на то, что продаваны вредоносного ПО уже успешно сменили бизнес-модель на абонентскую плату.
Все логично. Ответственность предполагает на порядок большие издержки, что идёт вразрез с правилами выстроенной системы.
А вирусописатели на переднем крае внедрения всех "передовых" технологий капитализма.
Однако это — болезнь и отрыжка Разделения. В данном случае труда.
Перспектива оказаться в числе персонала, эксплуатирующего разрабатываемую систему… радикальным образом влияет на вектор требований к разработке.
И обсуждение материалов через "вацап" небось было в ходе подготовки
Все, по-взрослому, безопасно - граница на замке (гы!)
За отсутствием воцапа не в курсе.
Вкратце, сервера Вацапа в офисе ЦРУ.
Все эти "программные средства" детский лепет если аппаратные не твои
RTFM на предмет сначала разделения труда и далее к физической базе принципа монизма бытия (сугубой ограниченности [мыслимого] пространства целесообразных решений).
А вот соглашусь. И одна из причин - их самоощущение собственной элитарности. Своим всё, остальным закон.
Например, истории с СЗЗ. За отсутствие - расстрел на месте. Всех, кроме членов генеральских комиссий или там комплексных ревизий из центра.
Или там перенос информации между физически изолированными сегментами сети только флешками. Пусть и учтенными, но где они побывали по дороге никому не интересно.
wtf СЗЗ
Специальные защитные знаки (голографические наклейки на порты ввода-вывода).
В оптимизированной системе надлежащая фиксация материалов, необходимых для привлечения к ответственности профессионалов от ИБ практически запрещена (той самой оптимизацией ресурсной избыточности).
ЗЫ: Ворота во чистом поле.
И да: исключения себе любимым (когда белковых пользователей сношают сменами паролей, попутно вырабатывая рефлекс ввода *ЕДИНСТВЕННОГО* пароля по всех дырах, но для разного рода порнографии, в виде служб пароли делаются вечными) они рисуют только в путь.
А вот опять соглашусь с обоими предыдущими сообщениями.
Ещё и добавлю. Всегда умиляло, что ЛПР в области как физической, так и информационной безопасности уровня организаций, численностью от нескольких сот сотрудников, часто имеют базовым образованием филологическое. Плюс уже какое-то специальное. И вишенкой - экономическое, но это не точно; иногда - юридическое. Эти же персонажи потом, в ряде случаев, вырастают до руководителей этих организаций, с последующей миграцией во властные структуры. Остаётся расчитывать на врождённый "талант руководителя широкого профиля". В последние лет 10 им на пятки наступают молодые, но крайне эффективные менеджеры, знающие уже, что такое MBA, управление рисками и т.п. На что можно расчитывать в этом случае уже и не знаю, постарел, наверное.
Относительно новомодных дефективно-минетжиров, которых научили считать, но не научили задаваться вопросом о физическом смысле используемых цифирек, просто констатирую, что с руководством госодина Брукса (Ф. Брукс, «Мифический человекомесяц») не знакомы не только они сами, но, зачастую, и их
учителятренеры и прочие спикеры.И третий раз соглашусь с вами (да что ж это такое - уж не заболел ли я
), само понятие физического смысла не в чести лет тридцать как.
Три, согласно некоторым реконструкциям антропогенеза, — первое число в современном смысле понятия. ☺
Проблема в том, что этот минетжимент уже воспитал когорту технических «специалистов» себе под стать. Которые пишутЪ «Регламенты» информационной «безопасности» так, чтобы не создать угрозу откатам с закупки системного ПО фирмы майкросовт.
И аккуратнейшим образом везде обходят риски… тех самых особенностей реализации этой системы.
ЗЫ: Вы ведь помните фееричный пример?
Мдя, поднять тот же сервер Jitsi — дело даже не получаса.
Не забывайте о прописке практически всех уполномоченных членов гильдии (в аду).