Ну, вот что вы говорите – слишком много подозрений, расслабься, успокойся. Ну, а как такая новость:
В продаже оказались базы данных 20 млн клиентов и должников крупнейших банков России, с указанием ФИО, адресов, телефонов и места работы (службы).
Впрочем, история не новая. Давайте по порядку. Кому лень читать длинный текст, сначала коротко поясню.
В открытом доступе находятся базы данных на 20 миллионов россиян. Точнее, доступ не открытый – личные данные запрещено распространять. Но базы данных можно купить. Что интересно, оттуда можно почерпнуть сведения даже о сотрудниках ФСО, ФСБ и Администрации Президента РФ. Не имеет значения.
Откуда базы попадают на «чёрный рынок»? Это могут быть сотрудники банков, особенно закрывшихся. Это могут быть и бывшие полицейские или сотрудники спецслужб – пригождаются старые связи, чтобы проверить «мутного клиента». Проще говоря, каналов утечки – море.
В результате под угрозой оказываются не только личные интересы гражданина. Возникает, например, угроза бизнесу или государственной безопасности. Наверняка иностранные спецслужбы уже имеют эти базы.
Вот коротко суть. Теперь мой комментарий.
Базы данных в открытом доступе – не новость. С этим явлением давно и упорно борются. Но всё равно информационная безопасность даже в очень серьёзных сферах – как решето. Так что делать?
Конечно, можно и дальше развивать средства защиты информации и каналов её передачи. Пусть все пользуются только спецсвязью и шифрованием. Можно придумать хитроумные механизмы уничтожения информации или внесения в неё искажений.
Да, всё это важно.
Но нельзя забывать о другом. Самый главный фактор – это люди. И вынесут, и скопируют, и продадут. Пусть даже каждый будет думать, что «это только для меня, никому не отдам». Какая разница? Можешь потерять, могут украсть, не выдержишь соблазна дать попользоваться «в особом случае» - и понеслась…
При недостатке моральных качеств, при недостаточном понимании степени ответственности никакая техническая система контроля не поможет.
А вы говорите, чрезмерно «закручивают гайки». Пожалуй, в некоторых вопросах их даже крутить не начинали.
Комментарии
*Полноценное* решение задачи — не просто *дорого*, но *очень* дорого.
С отягчающим обстоятельством в виде приверженности ряда разработчиков к платформе жаба.
Технические решения, конечно, должны быть все российские.
Но что делать с людьми?
*Полностью* независимую линию с текущей стартовой точки вряд ли вытянем.
С людьми?
Прививать Культуру информационной безопасности.
И учить принципам разработки СПО (смещению приоритета с *работало* на *правильно*).
Надо вытягивать.
Работодатель кинул на деньги, культура закончилась, база вынесена и продана. Капитализм!(с) произносится с акцентом
Думаю, маловероятно. Всё же работа с базами ответственная штука, вряд ли там будут такие отношения с работником.
Не поверите, в течении 6 лет отвечаю за обновление 6 баз, работу 27 компов (из них 3 сервера и 2 испытательных стенда), плюс на мне видеонаблюдение и телефония, за всё 15000 без официального устройства.:)
Хм... Ну, что ж. Реальность ещё хуже, чем я себе представлял.
С другой стороны, вдруг этот случай - редкость?
Некоторая хотя бы претендующая на репрезентативность выборка — конечно штука полезная. Но.
Необходимо включать в модель как физические *возможности*, так и запросы (которые в зооциуме западнизма демонстрируют тенденцию к неограниченному росту).
Дополнительный фактор — стресс *форсированной* программы по борьбе с безграмотностью (все помнят научное наследие товарища Рядового?), вследствие чего жертвы (уже не первого поколения) *требуют* привилегий?
Ну и сюда же в качестве независимого подтверждения модели товарища Рядового я бы отметил наблюдение али гипотезу Александра Тюрина о старой доброй теме (коррюпции в Державе).
В таких вопросах репрезентативность сложно получить. Министерства и ведомства, банки и страховые компании вряд ли станут добровольно признаваться в своих проблемах с безопасностью.
Я не про проблемы с безопасностью (на заре моей регистрации на АШ была прекраснейшая история, когда агрессивный вендосектант рассказывал как в вендавсе *всё* замечательно работает; получив вопрос настройки доступа по sftp в ситуации, когда парольный механизм авторизации для сетевых подключений запрещён действующей политикой информационной безопасности несколько дней бегал за мной с *требованиями* (!) дать ему IP-адрес сервера и… [барабанная дробь] *пароль*(!!!)), а про оплату специалистов.
Забавная история. И чем же всё закончилось?
Закончилось это тем, что он начал обильно фантазировать на тему неспособности оппонента настроить стенд.
Тем временем в обсуждении случился пользователь фрюриксов, приложил свой публичный ключ, получил адрес и имя пользователя, авторизовался, стянул выложенную картинку и поделился впечатлениями.
На этом месте агрессивный венузятнег понял насколько жидко и обильно он обгадился, выложил ключ с признаком генерации публичным сервисов (нюанс и позицию родного ФСБ объяснять нужно?) и сменил пластинку на песню о том, что он якобы это всегда знал и всегда использовал.
Но метать бисер перед такой свиньёй уже было совсем неинтересно. Ибо он уже продемонстрировал невозможность публичного признания сомнительности компромиссов (незадолго до того как раз был конфликт с местными пользователями самой распространённой ОС на тему отсутствия FTP и запрета на парольную авторизацию, пришлось узнать много нового и интересного).
Ща попробую раскопать тему, с утянутой оттуда картинкой.
Вот она — https://aftershock.news/?q=node/343538
Хе-хе. Что ж, занятная история. Спасибо, позабавило :)
Когда Судоверфь (Большой Камень) разворачиавлась (2012) я туда сунулся. 60 компов, 2 сервера (всё это по вагончикам), требуется высшее образование - всё это за 25000. А уж московские конторы не бедные, они тут у нас какое-то время помещение арендовали (набирали народ на Яму) - за беспроводный интернет не моргнув выложили 30 тысяч и по 14 тысяч каждый месяц.
Всё зависит от общего количества денег в данной местности.;)
Конечно, уровень зарплат в регионах сильно отличается.
perehvat Думаю, маловероятно. Всё же работа с базами ответственная штука, вряд ли там будут такие отношения с работником.
Сноуден
Вы знаете,Электрик, я собственно. написал комментарий в этой ветке потому что месяца полтора назад мне попался в инете занятный вопрос (как раз на эту тему, практически один в один), сисадмин (не такой эникейщик как я
) спрашивал - почему, имея допуск к коммерческой тайне (и базы в том числе) на уровне директора он получает чуть больше уборщицы. Что смешно у нас уборщицам платят 10000, так они больше месяца двух не задерживаются.
Вот это, конечно, поразительная фигня.
Что касается Сноудена, то это как раз пример нетипичный.
Что-то же с людьми делали во времена кураторства Берии, и это приносило неплхие результаты. За время, прошедшее с тех пор, люди не изменились, так почему те же меры не использовать снова? Если человек по результатам каких-то действий гарантированно теряет больше, чем приобретает, он даже и мыслить не будет, чтобы эти действия реализовывать.
Тут самое важное -- понять, как все это вместе работает -- люди и их инструменты. Технические проблемы не решаются административными методами, как и административные -- техническими. Применяя без огллядки любой из методов можно добиться видимости решения на каком-то ограниченном промежутке времени, после которого все начнет сыпаться еще быстрее. Например, можно на помещениях установитьконтроль на вход по радужке и отпечаткам пальцев (техническое решение), но если у каждого жука и жабы в кармане по флешке, огрызку или ведроиду, то от утечки данных это не спасет.
Все проблемы, и особенно проблемы безопасности, аффектируются как техническими, так и административными факторами (мероприятиями), которые действуют совместно. Правильное выделение из этого пула назависимых комплексов является не просто первым шагом, а необходимым условием решения. Это потом нужно думать, что, где, как, чего и насколько.
При этом есть ряд технических и административных мероприятий, о которых доподлинно известно, как они влияют на тот или иной аспект состояния и поведения системы, как по отдельности, так и в совокупности применения. Обычно их и активируют не задумываясь в первую очередь настолько глубоко, насколько позволяет положение, организуя первичный скелет безопасности, а уже потом по результатам этот скелет корректируют, подрезают, подмазывают, наращивают на него "дополнения".
Похоже, что так и есть.
это слив. Причем слив точечный. Там не просто граждане. Инфобезопасность у нас на низком уровне...любой сисадмин может что-то стырить((((((( А может быть дело в программном обеспечении? Пора разрабатывать и переходить на наше?
Не похоже на точечный. Там сборная солянка из разных баз данных.
Как я понял, основной "заказчик" - банки, которые хотят проверить, с кем имеют дело. А у них много "бывших". Вот и тащат кто что может в общую копилку.
Если в базе данные по множеству банков и мфо, тогда источник на 95% это одно из агентств кредитных историй, типа НБКИ.
Увы, Вы не вполне правы.
Завтра заявлю эксперимент, во второй части которого будет прекрасная иллюстрация прогиба тырпрайс-вендоров под бременем требования работоспособности.
Если хотите — приглашаю поучаствовать. Можно сразу ко второй части ☺
ЗЫ: А вообще к информационной безопасности на заре моей регистрации на АШ была прекрасная эпопея: фанатик самой распространённой ОС рассказывавший о том, как всё замечательно работает, получил вопрос о настройке sftp (в правильной ситуации, когда парольный механизм авторизации запрещён действующей политикой информационной безопасности). Так вот, он потом несколько дней за мной бегал с требованием дать ему … и *пароль* (!) тогда он ух покажет.
Да и фиг с ними, с персональными данными. Все должны быть в открытом доступе. IMHO конечно.
Почему так? Многим людям хочется сохранить эти данные от публичности.
А смысл? Нет, я понимаю, ежели ваши имя и фамилия Шлема Штангенциркуль.. А Васе Петрову пофигу.
ТАм с адресами вроде как база слита. Какая разница в таком случае что вы не Шлема Штангенциркуль, а Иванов Иван Иванович, с паспортом серии XXXX, с датой рожденич ДД ММ ГГГГ, адресом проживания г. ул. д. кв. и фотографией вашей.
И что? Да хоть с дактилоскопией и тестом ДНК. Чего боимся то?
Не касаясь высоких сфере замечу, что для криминалитета — архиважная и полезная вещь. Кстати, мне тоже эти «сливы» пох. У кого всё ясно и прозрачно бздеть глупо. Напрямую риски связаны только с буржуазной швалью, как бы она себя не называла при этом.
Будет удобно, когда весь криминалитет тоже будет в открытой базе данных. Причем с пометкой типа вор, насильник, скотоложец... Открытые Системы это СИЛА.
С этим всё в порядке — их ведут. Справно зафиксируют обнесённых буржуа и будут продолжать собирать доказательную базу дальше.
Радиомеханик Открытые Системы это СИЛА
GNU/GPL License.
За исключением, может быть, спальни и туалетной комнаты.
А что ты и такие, как ты будут о себе думать, когда вслед за буржуазией, нас всех, кинут на подвал, отожмут последнее, повесят на ближайшем столбе? Когда тонюсенькая подушка от беспредела в виде "буржуазии" быстро кончится?
Ты же, как и подавляющее большинство, знаешь, что творилось к примеру на Донбассе, в Сирии, Ливии, Афганистане и т.д. Вслед за обеспеченными людьми страдают и "обычные", а иногда и раньше, поскольку не могут себя защитить.
Не рой яму и не плюй в колодец.
Да вы шо? Не, не знаю. Но при этом с полным спокойствием это констатирую, ибо предрекал этой падали сию участь еще много лет назад. Да, беспринципная криминальная сволочь доберётся и до нищих, если грабить больше некого будет, но до этой поры уже сменится власть и активный, борзый криминал просто загасят государственными рычагами насилия в условиях ЧП. Вот и всё. А частные случаи будут, конечно. Может и я в их число попаду, но вставать на сторону глистов из-за этого всё равно не буду. Даже морально.
Запредельная обывательская недальновидность.
Вдобавок ты уже похоже прикинул, сколько людей богаче тебя. И судя по всему, всех их без исключения считаешь швалью.
Ну и сколькими же сотнями тысяч или миллионами своих сограждан ты готов пожертвовать ради своего никчемного существования?
Ты даже не понимаешь, что ты в этом плане ни чем не отличаешься от скачущих майдаунов.
Я оперирую процентным соотношением говна к здоровым в обществе. Назовите мне процент о котором я обязан страдать в своей версии или пыынха отсюдова. Я вот вам гнидам, например, миллион раз пишу о 22 млн. нищих от вашего присутствия образовавшихся. На это вы на голубом глазу отвечаете — так во всём мире дела обстоят и это правильно — «новая нормальность»™. Таштаа, даже в случае показа своего процентного говна, готовьтесь морально примерно к такому ответу. На участь 20-30% глистов мне насрать — это сто пудов.
Ага.
Ну так бы сразу и сказал.
Понятно все с тобой.
Зря я надеялся, что за твоими словами скрывается здравый смысл.
Но 20-30%, это совсем круто. Даже майдауны для своего личного счастья готовы были пожертвовать всего 10%.
Число будет?
Евреи сильно переживают, что их предающиеся по наследству проблемы, типа приросшего языка, фимоза, перхоти, ложных суставов, шизофрении, лошадиных зубов и прочей разноглазости, внезапно станут известными и они будут испытывать определенные трудности с внутрикагальным евгеническим процессом.
Начни с себя, мил человек Радиомеханик.
Нажми кнопочку "Ответить" и напиши свои ФИО, паспортные данные, домашний адрес, телефоны, марки и номера автомобилей, перечень родственников с указанием родства и контактов. Приложи краткую автобиографию и фотографию. Про дополнительную недвижимость, если есть, не забудь упомянуть.
Также, тебе не стоит бояться опубликовать сведения о своем текущем месте работы, с указанием должности и оклада.
Зачем еще на АШ это вываливать? Мои данные итак везде есть, включая базы Госдепа. А ты наверное гуманитарий, человек из льда?
Чего боимся то?
Я открытым текстом указал: мои данные есть ВЕЗДЕ.
Программисты поняли, кто хотел, наверное уже нашел. Объяснить это гуманитарию нет сил.
Так и зафиксируем - позорно слился.
придерживаюсь такого же мнения. И сразу столько вопросов отпадет....
Суть в том, что одни вопросы отпали - новые появились.
Да все подобные персонажи сразу затыкаются когда их просят прямо сейчас и здесь выложить где работают, уровень зарплаты ,ФИО, ну и сфоткать банковские карточки с двух сторон на закуску.
Чо, должно все в паблике лежать!?
Страницы