infowatch (infowatch) wrote,
infowatch
infowatch

Category:

Аршином общим не измерить

Вспомним традиционную "броню и снаряд". Предположим, мы хотим убедиться (а также убедить остальных), что выпускаем хороший бронежилет. Метод известен – испытание. Стреляем в него с различного расстояния под различными углами из разного оружия. И убеждаемся, что броня не пробита, динамическое воздействие в пределах нормы. Совсем не обязательно проводить испытания для любой дистанции с шагом 1 нанометр, любого угла с шагом 1 нанорадиан, при всех возможных погодных условиях и т.д. В силу интуитивно понятных зависимостей и научно установленных законов материального мира, можно ограничиться десятком-другим проб.

Совсем другое дело – компьютерная защита. В виртуальном мире всё иначе. Дед бил-бил, не разбил. Баба била-била, не разбила. Выписали сертификат. Мышка бежала, хвостиком махнула... Вау! О такой уязвимости никто и помыслить не мог, включая хакера Мышку. Какие выводы сделаны? Юристы смогли доказать, что нельзя валить вину за инцидент на сертификаторов. Также удалось ограничить ответственность производителя изделия, ООО "Ряба". Однако для всех последующих продуктов чиновники по-прежнему требуют сертификат от Деда, аттестацию от Бабы, а после такого драматичного инцидента на всякий случай ещё и лицензию от Жучки.

Такие традиционные методы как испытание, стандартизация, сертификация и аттестация неплохо работают в отношении материальных товаров. Столкнувшись с цифровой виртуальностью, они дают сбой. Но государственные чиновники так привыкли, в их арсенале просто нет иных мер. И пытаются натянуть презерватив на глобус старые офлайновые привычки на новую информационную эру.

Тут же вылезают парадоксы и сингулярности типа невозможности патчить сертифицированную программу. Потому что методы защиты взяты из другого мира с другими принципами.

А ведь 20 лет массового развития кибернетики уже принесли кое-какие знания о виртуальном мире. И позволили нащупать годные методы для снижения рисков. Которые могли бы заменить и лицензирование, и сертификацию.

Tags: оценка рисков, пентест, сертификация
Subscribe

  • Поверьте машинам – это выгодно

    Беспилотные автомобили, созданные Google, за шесть лет прошли более 2,7 миллиона километров. По статистике компании, за все время…

  • Технологии на службе у кадровика

    Новостные ленты взорвало сообщение о сотруднице Sberbank CIB, которой удалось отсудить у своей бывшей компании 4,6 млн долл. в качестве компенсации…

  • Конец истории

    Все государства в бешеном темпе внедряют биометрическую идентификацию. Возможно, со стороны это внедрение кажется неспешным. Но масштабная…

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 22 comments

  • Поверьте машинам – это выгодно

    Беспилотные автомобили, созданные Google, за шесть лет прошли более 2,7 миллиона километров. По статистике компании, за все время…

  • Технологии на службе у кадровика

    Новостные ленты взорвало сообщение о сотруднице Sberbank CIB, которой удалось отсудить у своей бывшей компании 4,6 млн долл. в качестве компенсации…

  • Конец истории

    Все государства в бешеном темпе внедряют биометрическую идентификацию. Возможно, со стороны это внедрение кажется неспешным. Но масштабная…