Десятка лучших постов этого журнала:

1. Суждения об информационной безопасности. Глава 1. Глава 2. Глава 3.
   
2. Парольная экология (20.03)
   
3. Дисконтные и бонусные системы нарушают закон «О персональных данных» (01.02)
   
4. Невиновных у нас нет (11.02)
   
5. Про незнание закона (04.09)
   
6. Мастера половины бита (10.08)
   
7. Второй парадокс безопасности
   
8. Метод провокации (03.08)
   
9. Фен-шуй безопасности (08.04)
   
10. Если сумеешь защититься от «своих», то чужие не страшны (09.02)
    
    

Новые посты публикуются ежедневно, без выходных и праздников. Один раз в сутки.

Tags: служебное

Как обещал, разглашаю результаты опроса, опубликованного в понедельник (кстати, большое спасибо всем за участие). Речь шла о целях ИТ-саботажа.


Относительная вероятность возникновения различных типов саботажа в ИТ. Опрос проведён компанией Infowatch в 2009.

#	условное обозначение	описание	относительная вероятность, %
A	«месть»	месть обиженного работника коллегам, руководству, предприятию в целом, его клиентам или всему окружающему обществу	13,64
B	«внимание»	обращение внимания руководства на существующую угрозу или иную проблему	13,76
C	«тщеславие»	демонстрация значимости, незаменимости, квалифицированности себя или своего подразделения, правильности своих взглядов или верований, неправильности чужих	19,54
D	«влияние»	влияние на принятие руководством того или иного решения	14,12
E	«подсиделки»	карьерная или межклановая борьба	12,25
F	«конкуренты»	выполнение прямого поручения конкурентов или иных противников	5,99
G	«укрывательство»	сокрытие инцидентов, провалов в работе, хищений и других поводов для наказания	17,97
	другое	иные цели, которые назвали респонденты	2,73

Честно говоря, ваш покорный слуга не согласен с vox populi в части "мести". На мой взгляд, жёлтый сектор должен занимать едва ли не половину диска. Ну и доля "укрывательства", по-моему, должна быть значительно меньше.

Обширная статья с обсуждением каждой из разновидностей саботажа и вредительства в ИТ будет опубликована в одном из СМИ, а также этом блоге в течение месяца. Кстати, если у кого есть яркие примеры из жизни, присылайте пожалуйста, они проиллюстрируют статью в качестве "комментария эксперта".

Tags: саботаж, статистика

Эта долька для ИТ, эта долька для СБ, эта долька для ИБ...

С появлением новых возможностей всегда появляются новые угрозы. Человечество открыло антибиотики – появились устойчивые штаммы микроорганизмов, вызывающие суперинфекцию. Пришла автоматизация и электронный документооборот – появились проблемы с повреждением, уничтожением и утечками информации, новым путём: без пожаров, протечек и взлома сейфа с микрофотоаппаратом.

Как известно, безопасность информации – это стык интересов двух разных служб компании. В больших компаниях есть служба ИБ, выделенная в отдельное подразделение: отдел, департамент, а где-то, о ужас, даже в целое управление. Но в компании, где нет своего сильного и влиятельного подразделения ИБ, и начинается наша история.

«ИБ – она в первую очередь ИНФОРМАЦИОННАЯ, – говорит молодой и амбициозный, во всех смыслах, отдел ИТ. – Это сложные технологии, в них нужно разбираться, это вторгается в наш круг задач и ответственности, это влияет на бизнес-процессы.»

«Нет уж, позвольте, ИБ – это в первую очередь БЕЗОПАСНОСТЬ, – возражает, умудренная опытом СБ. – Я веду свою родословную от 2-го отдела, нутром чую, где что плохо лежит и как положить это всё хорошо. Под допуск, подпись, ключ. И поэтому...»

Кто из них прав?

Действительно если рассматривается проблема безопасности электронных документов, системы защиты достаточно сложны и могут повлиять на сам электронный документооборот. Но молодому ИТ не хватает опыта и того самого чутья, опасности от утечки той или иной информации. Конечно опасность которую могут нанести вирусы, спам-боты, dos-атаки и самый большой враг всего и вся пользователь, они представляют. Но опасность того, что документ был отправлен за пределы компании и успешно дошел до места назначения – нет. И действительно ведь ИТ отработало на 5, документ доставлен быстро, без потерь и нужному адресату, причинить вреда структуре это не может, как в том анекдоте про системного администратора.

«Призванный в армию сисадмин на стрельбище. В его мишени ни одной дырки.
– От меня всё ушло, проблема на Вашей стороне.»

С другой стороны, дай власть СБ, и она запретит всё всем. Правильно: самый защищенный компьютер – выключенный. А после введения расстрельных списков и сама мысль о том, чтоб только приблизиться к конфиденциальной информации, будет не доходить до головы.

Так кто же все же прав? Если ИТ предлагает только программно-аппаратные решения, а СБ только оргмеры. Как ни странно, оба!

Только комбинированное отношение к ИБ может эффективно защитить информацию и от уничтожения, и от кражи, и от нецелевого использования.

ИБ – это молодое направление, которое обязательно займет свое место в структуре любой компании, а пока происходит мучительное зарождение, делится апельсин.

Tags: безопасность, защита информации

Как сообщают,

«В Польше в январе 2010 года будут установлены первые биометрические банкоматы. ...К примеру, в Японии установлено 65 тыс. биометрических банкоматов.»

Удобно, конечно. Карточку носить не надо и потерять её не страшно. Но как будем перевыпуск (смену ключа) делать в случае компрометации?

Как, как... У человека целых 10 пальцев и 2 глаза. Хватит надолго.

Tags: биометрия, персональные данные

Господа коллеги! Требуется ваше экспертное мнение. Мы тут разбираем виды айтишного саботажа. Выделили 7 видов – в зависимости от целей. Теперь надо оценить их распространённость.

Прошу вас выразить в комментариях своё мнение, расставив относительные вероятности для каждого из нижеперечисленных видов. Например, так: «A:30, B:30, C:10, D:10, E:5, F:5, G:10» Число характеризует, насколько часто встречается каждый из видов. (Не обязательно, чтоб в сумме было ровно 100, я потом нормирую.)

Целями саботажа и вредительства в области ИТ могут быть:

1. месть обиженного работника коллегам, руководству, предприятию в целом, его клиентам или всему обществу;
   
2. привлечение внимания руководства к существующей угрозе или иной проблеме;
   
3. демонстрация значимости, незаменимости, квалифицированности себя или своего подразделения;
   
4. влияние на принятие того или иного решения руководством;
   
5. карьерная или межклановая борьба;
   
6. выполнение прямого поручения конкурентов или иных противников;
   
7. сокрытие инцидентов, провалов в работе, хищений и других поводов для наказания.
   

Комментарии с оценками скрываются.
Буду благодарен за ссылку на этот опрос.
Результат будет опубликован в этом блоге.

Tags: саботаж, статистика

Пришла мысль, что в благородном, казалось бы, деле защиты информации часто расчёт вероятностей и рисков подменяется субъективным доверием или недоверием. В результате тормозится внедрение удалённой работы, аутсорсинга, внедряются ненужные средства защиты и отвергаются нужные.

К сожалению, сделать всё по уму, по науке, по расчёту и избавиться от подобного человеческого фактора тем сложнее, чем выше у этого фактора должность.

Tags: аутсорсинг, защита информации, кадры

Человеку свойственно ошибаться. А сваливать свои ошибки на других – ещё типичнее. Когда в информационной системе произошёл инцидент с серьёзными последствиями, у администратора, его коллег и начальника ИТ появляется искушение свалить вину на пользователей, некачественный софт, внешнего злобного хакера или вражеские спецслужбы – кому что ближе. Даже сам директор иной раз, чтоб оправдаться перед акционерами или ради спасения деловой репутации занимается перекладыванием с больной головы на здоровую.

А как можно выяснить истину? Наряду с заинтересованными скрыть, всегда есть лица, заинтересованные открыть, что же произошло на самом деле. Первое, что приходит в голову – независимый аудит.

Проблема в том, что расследования в области ИТ достаточно дороги. И далеко не всегда могут дать определённый ответ. Следы-то можно уничтожить. А те, которые не уничтожены, ещё достать надо. Провайдеры не всегда склонны сотрудничать с аудиторами; тайна связи, опять же. Вот и выходит, что независимое расследование инцидентов не надёжно, не даёт гарантированного результата.

Это, кстати, одна из причин, отчего никак не может начаться страхование айтишно-программно-информационных рисков. Отрасль страхования сделала бы нехилый рывок, появись на рынке услуга недорогого расследования ИТ-инцидентов.

Tags: аутсорсинг, криминалистика

Проскочило тут в комментариях:

«Кстати, идея для стартапа: написать такую прогу, которая позволит спереть информацию без отлова ДЛП :) Бизнес модель - тырить спираемые данные в процессе передачи :)»

С третьего прочтения ваш покорный слуга наконец понял, что имел в виду автор комментария. Он предлагает выпустить в обращение программу (или комплект программа+услуга) для преодоления DLP-системы. Злоумышленные инсайдеры будут её использовать для вывода конфиденциальной информации. При этом средство должно быть снабжено "чёрным ходом", чтобы автор получал копию сливаемых данных. Примерно как в том анекдоте: «Половой акт – 100 франков; наблюдение за половым актом – 200 фр.; наблюдение за наблюдающим – 500 фр.»

Не в первый раз убеждаюсь, что инсайдеры-теоретики не вполне представляют себе ценность конфиденциальной информации.

Возможно, вы не поверите, но наш опыт свидетельствует, что из 100 случаев, когда обладатель информации объявляет её конфиденциальной и принимает настоящие, а не "бумажные" меры к её защите:

• в 50 случаях эта информация не интересна более НИКОМУ;
• в 25 случаях существует единственный субъект, который мог бы ею заинтересоваться (но не факт, что он не побоится её купить);
• в 20 случаях есть несколько заинтересованных субъектов (но не факт, что их удастся найти);
• в 5 случаях эта конфиденциальная информация может быть продана на чёрном рынке (но не факт, что задорого).

Вспомните хотя бы недавний российский случай с похищением БД страховой компании. Конкурирующая компания, которой инсайдер предложил товар, немедленно заложила продавца в милицию.

Кроме того, масса случаев, когда конфиденциальную информацию продать невозможно, но с её помощью можно нанести убытки обладателю информации. В таких случаях единственный применимый метод – вымогательство. Умные люди читают ст.163 УК и тут же отказываются от затеи. Дураки иногда идут на шантаж и немедленно попадаются. Уж что-что, а ловить вымогателей и доказывать их вину МВД в лихие 1990-е научилось неплохо.

Tags: DLP-система, вредоносные программы, инсайдер, угрозы

Стоит в обществе айтишников заикнуться о DLP-системах, как тут же сыпятся похвальбы и бравады.
«Да я вашу DLP обойду как два байта переслать!»
«Да я через DNS-запросы всё солью!»
«Да я экран фотографировать буду!»
«Да я эзоповым языком всё опишу!»
«Да я архив в архиве с паролем стеганографирую в МРЗ и так 256 раз!»
«И вообще хрен вы меня поймаете, ламеры!»

Эта тема – просто красная тряпка какая-то. Вызов. Сомнение в профпригодности. Оскорбление интеллектуального величия.

Понятно, что на любое техническое средство защиты найдётся техническое контрсредство, а на него – контр-контрсредство и так далее. Понятно, что в наращивании возможностей DLP надо остановиться на каком-то разумном уровне, где оптимизировано соотношение между ценой DLP-системы и стоимостью рисков. А на это влияет такой показатель, как уровень квалификации среднего инсайдера. Чем меньше он знает, тем дешевле защита.

Вот поэтому мудрые руководители стремятся развести айтишников и менеджеров. В идеале первые не должны разбираться в сути бизнеса, вторые не должны разбираться в ИТ. Тогда знающие не смогут, а могущие не узнают. Тогда будет любовь и гармония.

Не напрасно с древнейших времён ценились слепые массажисты, глухонемые палачи, тупые телохранители и оскоплённые евнухи. Чтоб даже соблазна не возникало в процессе исполнения должностных обязанностей соответственно смотреть, слушать, вспоминать о правах человека или посягать на чужое. Намёк поняли? Тогда, дорогие коллеги, вставайте в очередь за сертификатами, подтверждающими ваши незнания в той или иной области.

Tags: DLP-система, кадры, обучение, оценка рисков, угрозы

На поле информационной войны обстановка для государства российского складывается не лучшим образом. Взятые под контроль традиционные СМИ постепенно теряют влияние из-за перетекания аудитории в Интернет. Сетевые же СМИ (главным образом, блоги) в значительной степени отражают оппозиционные мнения. Эффективные средства цензуры для Интернета пока не найдены. В такой обстановке принято решение бросить в бой "ополчение" – не обученных, зато предположительно лояльных госслужащих.

«Сотрудников министерств и ведомств научат вести блоги и пользоваться соцсетями. Компьютерным образованием чиновников займется государственное информационное агентство ИТАР-ТАСС, выигравшее специальный конкурс Министерства коммуникации и связи. С помощью программы, разрабатываемой агентством, чиновников министерств и ведомств научат отслеживать, где в Интернете обсуждают проблемы их органов. ...Также в ИТАР-ТАСС подготовят рекомендации, как зарегистрироваться на тех или иных порталах и как реагировать на ненормативную лексику или критические замечания. ...Агентству также предстоит разработать рекомендацию с объяснениями, какой логотип использовать официальным блогерам, как укорачивать ссылки и продвигать ведомственный микроблог.»

Решение, в общем-то, логичное. Хотя есть сомнения, а не поспешит ли новое "ополчение" сдаться противнику или сдать своё начальство? Как говорится, на боевой дух надейся, но про заградительный отряд не забывай. Я бы на месте командования всё-таки сделал бы ставку на технические средства. Вон, в Китае они позволяют удерживать идеологические позиции.

Tags: livejournal, информационная война, цензура

Саботаж айтишников бывает не только фатальным, но также частичным, лёгким, дозированным. С целью не разрушить бизнес, а слегка подкорректировать проект, слегка изменить бюджет, слегка подсидеть неугодного руководителя и так далее. Ваш покорный слуга сам наблюдал ряд ситуаций, когда технические работники, считая указания начальства неправильными, пытались сделать «как лучше». Но поскольку словесные и письменные аргументы на руководство не действовали, то работники переходили к более действенному средству убеждения: частичному саботажу.

Например, на одном предприятии директор решил заменить традиционную телефонную связь IP-телефонией. Возможно, это показалось ему дешевле, возможно, он гнался за модой, а может быть, ему навешали лапши представители провайдера услуги. Логические аргументы своих технарей он отверг. Результаты сравнительных испытаний директора тоже не убедили. Айтишникам ничего не оставалось делать, как подкрутить приоритезацию трафика. Так, чтобы доступ в Интернет не пострадал, чтобы у всех IP-телефоны работали нормально, а у директора, его замов и секретарши — чтоб «квакали» и слова глотали. Двух недель не прошло, как поступил приказ демонтировать новую телефонную систему и вернуться к прежней.

Tags: саботаж

Кхм-кхм! Дзынь-дзынь. Коллеги! Сегодня, в Международный день защиты информации, наш странный профессиональный праздник (который почему-то отмечается не в годовщину какой-либо нашей победы, а наоборот, в годовщину начала "боевых действий"), собравшись нашей узкой, очень узкой компанией, давайте выпьем за то, чтобы наше начальство и заказчики всегда, везде, почаще и поподробнее рассказывали бы нам, какую именно информацию защищать, от кого и от каких угроз её защищать, но чтобы ни одна сс... некомпетентная личность не указывала, как нам её защищать!

Tags: даты, защита информации

В нынешней России довольно выгодным бизнесом может стать защита прав программистов на их творения, которые используются работодателями как служебные произведения, на самом деле таковыми не являясь.

Сцена из фильма «Bee Movie» (рекомендую, кстати!) Корова: А вы адвокат? Комар: Конечно. Я кровосос от природы. До адвоката мне не хватало только портфеля.

Далеко не всегда трудовые отношения оформлены надлежащим образом, не всегда заключены соглашения об отчуждении прав на созданные работником программы для ЭВМ. Часто подобные соглашения составлены неправильно, что влечёт их недействительность.

За плечами каждого айтишника немало написанных с нуля или модифицированных программ, которые используются в повседневной деятельности предприятий. Используются, но прав на это предприятия не имеют. А за нарушение авторских прав ныне ответственность серьёзная. Так что специализирующийся на этом вопросе адвокат легко разведёт любую лавку на выплату бывшему работнику. Плюс заработает на том, что поможет грамотно оформить отношения с работниками нынешними.

Читайте FAQ о служебных программах и бойтесь. Очень бойтесь! Везде, где хоть недолго поработал айтишник, остались "правовые мины". Ничтожный шелл-скрипт или html-страничка может через несколько лет "рвануть" гражданским иском, а то и уголовным делом.

Tags: авторское право, оценка рисков, статья 146, угрозы

Продолжим о терминах. Неоднократно приходилось читать выражения типа "хищение корпоративной информации" или "воровство программ, музыки, фильмов". Вам тоже приходилось? Вам тоже резали глаз подобные выражения? Да, они некорректны.

Это два разных общественных отношения. Совсем-совсем разных:

отношение	Собственность	Интеллектуальная собственность
когда возникло	ранее 4000 г. до н.э.	примерно в XVII веке н.э.
где провозглашается	ст.35 Конституции РФ	ч.1 ст.44 Конституции РФ
чем является	естественным правом человека	искусственной монополией (привилегией)
общественная опасность нарушения	прямой ущерб	недополученная прибыль
термины	собственник, владелец; хищение, мошенничество, кража, грабёж, разбой	правообладатель; нарушение авторских прав, плагиат, (пиратство)
отношение к морали	присутствует во всех этических системах и религиях	только начинает вводиться в мораль (с конца XX века)

Таким образом, в отношении собственности на протяжение всей истории движение шло в направлении "мораль —> закон". А для интеллектуальной собственности – ровно наоборот: "закон —> мораль". Потребуется смена как минимум одного поколения (да и то лишь при интенсивной пропаганде), прежде чем нарушение прав на информацию и интеллектуальную собственности начнёт вызывать у человека нечто вроде уколов совести.

Tags: авторское право, термины

В тексте ФЗ "О персональных данных" требований очень немного, и они до смешного просты. Самые же непростые, напряжные и, главное, самые денежные требования запрятаны глубоко в подзаконных и под-подзаконных актах (2 постановления правительства, 11 приказов трёх ведомств, около 70 других ведомственных НПА), которые издаются заинтересованными ведомствами. А некоторые требования и вовсе не формализованы, а отданы на откуп чиновникам (например, что считать "обезличиванием ПД").

Закон "О персональных данных" страдает бланкетностью в самой тяжёлой форме. А бланкетность, как известно, почти синоним коррупции. Образно выражаясь, закон говорит предприятию: "Выпоняй требования, иначе понесёшь наказание. Что именно выполнять, скажет во-о-он тот чиновник". Он же и решит, как проверять. Таким образом, фактический законодатель, контролёр и выгодоприобретатель соединяются в одном лице.

Установление наказаний за неисполнение произвольных требований, которые ещё даже не существуют на момент принятия закона, напоминает рабство. Кстати, рабство было в своё время вполне легитимным и даже одобренным религией.

Tags: законодательство, персональные данные

Ваш покорный слуга давно собирался внести ясность в терминологию. И пояснить существенную разницу между терминами "информационная война" и "кибервойна". Поясню я её на примере двух сценариев войны будущего, которые вычитал у фантастов. Возможно, уважаемые читатели старшего поколения тоже их читали. Согласитесь, весьма забавно узнавать, как в прошлом представляли будущее. Удивляют не только глупейшие бытовые детали, но и гениальные прозрения об общем ходе развития.

Первый сценарий футуристической войны описал в 1920-х годах В.В.Маяковский. Вторгшийся в СССР агрессор применил исключительно беспилотные боевые летательные аппараты и дистанционно управляемые бронемашины. Боевая техника противника оказалась неуязвима для обычного оружия в силу превосходства его технологий. ОМП в виде отравляющих веществ, которые попытались применить Советы, также эффекта не дало. Безнадёжное положение спасла диверсионная группа, проникшая во вражеский центр управления и добравшаяся до главного рубильника. Поскольку всё управление боевыми роботами было централизовано, отключение питания центрального компьютера превратило армию вторжения в груду металла.

Альтернативный сценарий я вычитал в произведении И.Г.Эренбурга. Агрессор, вступивший на территорию СССР, не встречает совершенно никакого военного сопротивления. Однако подвергается интенсивной агитации и пропаганде. Пока армия вторжения добралась до Москвы, весь рядовой личный состав перешёл на сторону Советов и повернул оружие против собственной страны.

Так вот, первый сценарий – это кибервойна, второй – война информационная.

А сценарии вполне вероятные, не правда ли? Я бы сказал, частично уже осуществившиеся.

( картинка )

Tags: информационная война, термины, футурология

Слышали уже, что Гугл учудил? Гугл объявил, что в его стратегических планах выйти на рынок смартфонов и услуг мобильной связи 3G и стать на нём мировым монополистом. Оно конечно, хорошо было бы поиметь такого конкурента и на российском рынке связи. (Думаете, его туда пустят?) Но не это ваш покорный слуга хотел сегодня обсудить.

Самое интересное, что услуги связи глазастый наш монополист намеревается сделать бесплатными. Давно уже к этому шло. Бесплатные поисковые системы, потом электронная почта, хостинг, прикладные программы, ОС. Теперь вот ещё и связь будет бесплатно (но не даром, хе-хе).

«...Это значит, что мы тем самым вытесняем из торговли тысячи и тысячи мелких и средних торговцев. Можно ли думать, что эти вытесненные из сферы оборота торговцы будут сидеть молча, не пытаясь сорганизовать сопротивление? Ясно, что нельзя. ...из всего этого вытекает, что, по мере нашего продвижения вперед, сопротивление... будет возрастать, классовая борьба будет обостряться.» И.В.Сталин, речь «Об индустриализации и хлебной программе» 09.07.28 на пленуме ЦК ВКП(б)

Скажете, по мере технического прогресса техника и услуги дешевеют? Скорее, наоборот – информация дорожает. Пользователь расплачивается за бесплатные услуги своей информацией: своими персональными данными и потреблением рекламы. И внимание пользователя стоит всё дороже. Когда-то этого монетизируемого внимания хватало на создание и хостинг сайтов с, мягко выражаясь, копипастным контентом. Позже информация от пользователя стала окупать существование достаточно крупных порталов. Теперь – разработку софта. Очередь за операторами связи.

Вы, конечно, спросите, при чём тут утечки информации. Если информация с течением времени дорожает, то её утечки начинают обходиться всё дороже и дороже. Соответственно, за защиту платят всё охотнее. (Не исключено, что со временем можно будет расплатиться натурой – самой защищаемой информацией.) По ходу дела напряжённость борьбы за информацию будет только обостряться.

Tags: защита информации, проекты

В прессе пишут, что

«в России будут установлены терминалы, через которые должник сможет не только оплатить задолженность, но и в режиме онлайн узнать о наличии или отсутствии у него долгов»

Вы таки будете смеяться, но ваш покорный слуга, защитник персональных данных, одобряет сию инициативу.

Человеку необходим простой доступ к своим собственным ПД

Защита персональных данных (а особенно – их "защита") бьёт не только по операторам, но и по субъектам этих данных. Возможности ознакомиться со своими собственными ПД ничуть не растут и не облегчаются, в то время как объём и разнообразие таких данных всё больше. Дело вовсе не в любопытстве "что там обо мне знают". Не из праздного интереса, а по суровой необходимости российский гражданин настоятельно желает узнать:

• сколько он официально должен денег и кому;
  
• находится ли он в розыске;
  
• имеет ли он непогашенную судимость;
  
• на кого зарегистрирован его автомобиль;
  
• какие он производил (от его имени производили) банковские операции;
  
• какие он заплатил (за него заплатили) налоги, взносы в фонды;
  
• в каких юрлицах он состоит учредителем;
  
• чем он болел, где лечился, на каких учётах состоит;
  
• какой интеллектуальной собственностью он владеет как правообладатель;
  
• и ещё много чего.

Для получения всего этого требуется являться лично (в рабочие часы, разумеется) с паспортом в зубах, стоять в очередях и унижаться перед многообразными держимордами. Ну и, разумеется, приносить классическую "справку о том, что необходима справка". А для получения некоторых видов информации о себе вообще нет установленной процедуры.

Представляется, что из двух крайностей – абсолютная закрытость персональных данных и абсолютная их публичность – первая приносит больше вреда.

Tags: персональные данные

Это когда препятствуют техническому прогрессу (реже социальному) на основании недоказанных, надуманных, иррациональных или мистических соображений. Есть сабж и в такой, казалось бы, передовой отрасли, как ИТ.

Примеры.
Иногда родители препятствуют своему ребёнку проводить время в Сети и вообще за компьютером. Хотя в будущей жизни компьютер – его основной инструмент, а Сеть – основное поле деятельности. Чем раньше он там освоится, тем легче будет. Вред для здоровья – не доказан; и уж во всяком случае, он много меньше, чем от пяти часов сидения в школе на отнюдь не анатомическом кресле.

Часто внедряют электронный документооборот, избегая придавать юридическую силу электронному документу. Вся навороченная информационная система упирается в бутылочное горлышко бумажного документа с подписью и печатью. Цена подделки последнего на порядок ниже цены подделки обычного сообщения электронной почты, не говоря уже про ЭЦП.

Сплошь и рядом запрещают доступ к социальным сетям и личную переписку, потому что пню-начальнику показалось, что это принесёт вреда больше, чем пользы. Зато не запрещают совещания, перекуры, пропускную систему, пьянки, субботники, справки, отчёты и партсобрания, вред от коих давно доказан и сто раз подтверждён. Однако, традиция.

Не менее трети нынешних офисных работников не только можно перевести на удалённую работу, но и нужно: это принесёт существенную и легко исчисляемую выгоду предприятию за счёт экономии офисных площадей. Однако мракобесы, маскирующиеся под "хозяйственных руководителей" в гробу видали хозяйственный расчёт. При этом их аргументы в пользу офисного присутствия сводятся к "прадеды наши так жили" и "нечего тут".

Уважаемые читатели, наверное и сами могут привести примеры таких препон на пути прогресса. Ваш покорный слуга будет рад их почитать.

Путь борьбы с мракобесием, по большому счёту, один: как можно более ослабить механизм социального наследования, по которому передаются вредные предрассудки от старшего поколения ко младшему. После этого останется лишь дождаться вымирания старшего поколения – и общество поднимается на новую технологическую ступень. Кстати, именно поэтому прогресс быстрее идёт в том обществе, где ослаблены семейные связи, дети меньше живут с родителями, отсутствует почитание старших в силу одного только возраста.

Tags: родительский контроль, соцсети, футурология

Навеяло мини-дискусскией в каментах, где уважаемый собеседник утверждал, что он «еще не видел ни одного предприятия-компании, где "установлен порядок"».

Как уже неоднократно говорилось, технические средства ИБ попросту не работают без орг. обеспечения и без должной нормализации управленческих процессов на предприятии. Попросту говоря, нужен порядок. Без него не то что DLP-система, а и обычный МЭ будет обойден или отключен. Понять это в конце концов может даже законченный технократ. Пусть не сразу, с годами, когда в служебной кружке становится можно заваривать чай без заварки. Осознав такую простую истину, технарь оглядывается вокруг себя, на свою прошлую карьеру и выносит простое заключение: "порядок не возможен в принципе" (особо критичные индивидуумы делают ещё оговорку "в этой стране").

Поработав на 2-3 предприятиях, человек делает поспешный вывод, что бардак – он везде. На тот же вывод намекает его учёба в школе, вузе, служба в армии, пребывание в шкуре клиента. И человеку невдомёк, что рядом с ним (хотя и за пределом его круга общения) существует целый мир, где служащие педантично исполняют все инструкции, шлют почту с курьером в соседнюю комнату, ходят в туалет по расписанию и меняют пароль 1-го числа каждого месяца. И при этом вовсе не собираются бунтовать или менять работу, а напротив, непрочь прослужить в данной лавке до самой пенсии.

Вольнолюбивую русскую натуру трудно обуздать. В масштабе страны это удавалось сделать только суровыми репрессиями. Но для относительно небольшого коллектива специально отобранных людей создать "кусочек Германии" вполне возможно. Рецепт прост: при отборе персонала такие качества, как управляемость и конформизм ставятся выше профессиональной квалификации.

Уважаемые читатели, наверное, поспешат возразить мне, что послушность и квалификация работника – отрицательно коррелированные качества. Да, и что с того? У нас даже исследование на такую тему проводилось. ( картиночка под катиком )
Тем не менее, набрать сто послушных и при этом не слишком тупых работников – не проблема. А в таком коллективе один-два квалифицированных "бунтаря" довольно быстро успокаиваются и приходят к общему знаменателю.

Так что строгий порядок в ИБ бывает. Сам видел.

Tags: защита информации, кадры, политика безопасности