Category: политика

Category was added automatically. Read all entries about "политика".

white

Какой вывод можно сделать по утечке ЦРУ?



7 марта 2017 года организация WikiLeaks начала публикацию секретного архива документов Центрального разведывательного управления (ЦРУ) США. Проект «Vault 7» должен стать крупнейшей утечкой конфиденциальных бумаг ведомства.


Аналитики InfoWatch разобрали публикацию утечки WikiLeaks с разных сторон: о каком ущербе может идти речь; какими реальными возможностями располагают в ЦРУ; что думают об этом участники нового шпионского скандала и главное – какие выводы нужно сделать из этой истории. Подсказка: как часто бывает, думать слишком хорошо о людях бывает опасно. Читайте по ссылке https://goo.gl/ZMVS8g
white

Как визуализировать утечки: пример с архивом Хилари

Недавно мы провели анализ 8000 писем Клинтон их архива госдепа США.

Если кратко:

  • более 7,500 писем содержали информацию о персональных данных

  • более 900 сообщений финансовую информацию

  • более 500 отправлений с юридическими данными

  • чуть менее ста писем с информацией о закупках и управлении персоналом HR


...Ну и заодно решили весь этот объем данных визуализировать с помощью нового продукта InfoWatch Vision.
Вот что у нас получилось.


Collapse )
white

10 самых-самых

В апреле будет ровно десять лет с того момента, как в мире стали официально отмечать Международный день защиты персональных данных. Как и в случае с любой круглой датой, лучший способ проникнуться величием момента - оглянуться назад, вспомнить былое и, конечно же, сделать правильные выводы на будущее.

Предлагаем посмотреть 10 самых-самых утечек за 2015 год.





Collapse )

white

«Безопаснику» на заметку: как сделать босса своим союзником?



Тяжела и неказиста (с) доля высокого начальства. Не каждый топ-менеджер или владелец бизнеса (в данном случае без разницы, потому синонимы), является «мастером на все руки». Для управленцев даже особый вид финансовой отчетности придумали, чтобы не вникать принимать решения по готовым шаблонам на основе агрегированных, специальным образом преобразованных данных.

То же с защитой информации. Владелец бизнеса воспринимает «безопасника» как помесь страхового агента и пожарного. Агент продает страх и постоянно требует денег, пожарный прибегает по первому зову и «решает вопросы» с мошенниками и прочими нарушителями внутреннего распорядка. Человек-функция, который неведомо каким способом «делает хорошо», занимается непонятно чем и недешево обходится.

Причина такого отношения проста – топ-менеджер «страшно далек» от проблем безопасности. Рутинная работа штатного параноика компании офицера информационной безопасности –– не для боссов. Сложно представить президента банка, который с головой окунается в «прекрасный» мир конфиденциальных документов, пользователей, имеющих к ним доступ, социальных графов и связей этих пользователей с внешним миром.

Некоторые владельцы бизнеса всерьез считают свою компанию уникальной. Дескать, с нами уж точно плохого не случится, у нас сотрудники не воруют, хакерам мы не интересны, потому внедрять эти ваши IPS, SIEM, DLP и прочие буквы мы не будем. Впрочем, периодически владельцам и управленцам хочется своими глазами увидеть, все ли спокойно в их владениях. И это — шанс для грамотного «безопасника». Тут-то служба ИБ и должна показать себя во всей красе, мол, умеем, практикуем.

Разработчики систем защиты (что неудивительно) готовы всесторонне способствовать этому благому делу. Не секрет, что развитие систем защиты информации идет по пути, давно известному разработчикам ERP и прочего бизнес-софта.

Высокому начальству всегда нужны понятные, простые, удобные интерфейсы для управления всем. Будь то финансы, производство или информационная безопасность. На iPad, как водится, или на мобильном телефоне, или виджетом на рабочем столе – это не важно.

Заранее «преднастроить» набор данных, которые заинтересуют руководство, практически невозможно (спросите у BI-разработчиков). Потому современные системы защиты обязаны содержать инструмент для преобразования некоего избыточного набора данных в «кавайный стол руководителя», а вот использовать этот инструмент предстоит «безопаснику». Только он знает, какие данные, разрезы, какая аналитика важна для компании (с одной стороны) и интересна руководителю (с другой. Это не всегда совпадает).

Скажем, можно скомпоновать срез по наиболее критичным объектам защиты (финансовая отчетность, «черная» бухгалтерия). Тут уместно использовать несколько «потоков» данных – кто (из числа сотрудников) и когда имел доступ, копировал, отправлял вовне секретную информацию, с кем чаще всего общаются эти сотрудники (по почте, через скайп, в соцсетях). Для мониторинга общей картины подойдет срез общей статистики инцидентов (например, динамика критических инцидентов). Можно сформировать «рабочий стол» руководителя-контролера, где акцент сместится в сторону учета рабочего времени сотрудников. Из этой же серии – данные о времени в соцсетях, контроль приложений, возможно, информация из систем контроля доступа (валидаторов на проходной).

Итожим: в идеале современная система защиты, помимо прочего, должна иметь гибкий «конструктор» отчетов для высшего руководства и максимально широкий набор первичных данных (в виде готовых для анализа потоков). Возможно, но необязательно – несколько преднастроенных рабочих столов (в зависимости от роли пользователя). Важно, что бизнес-логику компоновки итоговой отчетности может и должен прописывать «безопасник» (или консультант в тесном союзе с «безопасником»).

Фактически (о, чудо) у офицера безопасности появляется инструмент для общения с руководством компании на языке руководства компании. Достаточно лишь грамотно интерпретировать данные защитных систем, и высокий начальник превращается из постоянного оппонента (особенно на защите бюджета на информационную безопасность) в преданного союзника.
white

Наталья Касперская: «...не помню случаев, чтобы ситуация с угрозами вдруг выправлялась"



4 сентября на сайте Roem.ru гендиректор InfoWatch Наталья Касперская ответила на вопросы читателей. Наталья рассказала о наиболее актуальных информационных угрозах, взаимоотношениях с органами власти, своем опыте создания и управления ИБ-компаниями.

О современных угрозах
Насколько отстают системы информационной безопасности от новых видов киберугроз? Отстают. Насколько — это вопрос дискуссионный. Не думаю, что существуют какие-то метрики, которыми можно было бы это оценить. Кроме того, этот параметр разнится от угрозы к угрозе. Например, некоторые типовые вирусы блокируются мгновенно, а некоторые (как Stuxnet) остаются в системе нераспознанными годы. На текущий момент самым опасным видом угроз я бы назвала целевые атаки. Пока с ними бороться не научились.

В последние несколько лет постоянно происходят утечки исходных кодов коммерческого ПО, в том числе вредоносного. Как человек, работающий в безопасности много лет, я только могу сказать, что не помню случаев, чтобы ситуация с угрозами вдруг выправлялась. Если появилась какая-то угроза, то, скорее всего, она будет развиваться. Так и с исходными кодами. Мы относим этот тип утечки к типу «утечка интеллектуальной собственности» — всего около 2% от всех утечек. К слову, 94% составляют персональные данные. Но число утечек только растет.

О будущем России и перспективах ИТ специалистов
Я верю в хорошее будущее нашей страны при условии, что она сумеет сохранить свой суверенитет. Что касается работы в России, то мне кажется, что у отечественного специалиста шанс получить хорошую работу здесь выше, чем на Западе. Там своих хватает. Конечно, это зависит от специальности. Есть такие, где наших специалистов берут охотно. Но тут встает вопрос — а хочется ли жить в чужой культуре и по чуждым нам правилам. Известно ведь, что немцу хорошо, то русскому смерть. Это я лично имела возможность наблюдать на примере русских сотрудников своих немецких компаний.

О взаимоотношениях с органами власти
Что касается выстраивания диалога бизнеса с органами власти, я считаю, что если компания продает только на коммерческом рынке, то ей это совсем не надо. А если она продает в госсектор, то как без людей, которые бы выстраивали с этим сектором отношения?
Может ли крупная компания позволить себе быть «выше политики» и GR не заниматься? Может. Только никто почему-то этого не делает. Google сидит в наших комиссиях, не вылезая, у Microsoft в этой роли десяток человек работает прямо и еще не знаю сколько косвенно. То же с Intel, SAP и прочими. Отечественные компании в этом смысле гораздо скромнее. Видимо, денег меньше…

О своей роли в созданных и развиваемых компаниях
Я никогда не программировала, уж извините, мозгов не хватает. Но руками делала многие вещи. Например, в «Лаборатории Касперского» я начала с того, что клеила коробочки, придумывала рекламу, писала тексты, заключала дистрибуторские договора, отвечала на телефонные звонки и проч. Отвечала и за пиар, и за маркетинг, и за общий менеджемент, и за интерфейс продукта, и за разработку. А в InfoWatch у меня уже была некая платформы. В компании работало 50 человек, и мне уже не требовалось что-то делать руками. А вообще смысл менеджерской работы как раз в том и состоит, чтобы найти правильных людей, отдать им всю работу, а самому лежать на пляже и пить коктейль. Я вот только до коктейля и пляжа никак не доберусь. J

Полный текст ответов на roem
white

Миллион за разглашение тайны

С начала июля государство ужесточило наказание за незаконный сбор и разглашение сведений, составляющих коммерческую, налоговую, банковскую тайну. Необходимость этого шага обосновывается так: кредитные организации передают сведения о клиентах третьим лицам, и существующие суммы штрафов за эти действия для них несущественны.



Помним, что ст. 19 УК РФ под субъектом преступления подразумевает только физическое лицо. Или кодекс морально устарел, или Госдума живет уже в ином мире, где УК распространяется и на юрлица. Возможно, законодатель таким образом дает сигнал, мол, шпионаж и прочую инсайдерскую деятельность компаний будем преследовать. Поглядим.

Факт в том, что изменения внесены в статью 183 УК РФ и предусматривают увеличение штрафов за сбор коммерческой и иной тайны (с 80 до 500 тыс. руб.), и за ее разглашение (с 120 тыс. руб. до 1 млн руб).

Часть 2 ст. 183 Уголовного кодекса устанавливает, что разглашение – это передача информации третьим лицам без согласия ее владельцев лицом, которому она стала известна по работе (службе). Иными словами, штраф в размере 1 млн руб. грозит сотруднику компании, который сознательно сделал общедоступными сведения, «имеющие действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам» (Закон о коммерческой тайне, ст.3 п.2). При этом не важно, в какой форме сотрудник эту информацию передал – устно, письменно или посредством телепатического контакта (там же, ст. 3 п. 9).

Зато важно, что в отношении этой информации владелец (организация) должен установить режим коммерческой тайны – составить перечень информации, подпадающей под комтайну, ограничить доступ к этой информации, вести учет лиц, имеющих к ней доступ, внести соответствующие пункты в трудовой договор, пометить все носители с информацией грифом «коммерческая тайна».

По данным Судебного департамента при Верховном Суде Российской Федерации, в 2013 году зарегистрировано 317 преступлений, квалифицируемых по статье 183 УК РФ. Система ГАС «Правосудие» дает 146 судебных процессов по 183-й статье. Типичный «клиент» - сотрудник компании, организовавший «левый» бизнес с использованием технологий своего работодателя, инсайдер, торгующие информацией и пр.

Эксперты в один голос приветствуют повышение штрафов. А вот практикующие безопасники в ужесточение санкций не верят: «По статистике, большинство предприятий применяют собственные административные меры наказания, такие как штрафы, лишение премий или увольнение. Как правило, этих мер достаточно для возмещения причинённого компании ущерба либо предотвращения подобных инцидентов в будущем. И только при крупных убытках предприятия прибегают к помощи правоохранительных органов и возмещению ущерба через суд», - Михаил Кожанов, начальник отдела аудита и расследования ИБ-инцидентов МГТС.
white

Утечка государственной важности

Еще в далеком 2012 году мы говорили о серьезной опасности, связанной с утечкой данных из государственных учреждений. Тогда в России 38% утечек данных пришлись на госорганы (в мире – 29%). Был соблазн списать этот рост на BYOD – дескать, чиновники повсеместно пользуют неконтролируемые девайсы, и вот результат. Но ни одного «живого» случая, когда госслужащий, к примеру, воровал данные с помощью сматрфона, мы так и не обнаружили. Пришлось признать - «дело было не в мобиле».

С тех пор доля утечек из госкомпаний планомерно снижалась. В прошлом году мы зафиксировали менее 16%, и больше не возвращались к теме, наивно считая, что государство (США в первую голову) серьезно работает в этом направлении, обеспечивая защиту персональных данных своих граждан. Что было бы логично на фоне 767 млн скомпрометированных данных по всему миру в 2014 году, атак на ретейловые сети (Home Depot, Target).



В общем, обойдется, решили мы. Не обошлось. 18 миллионов госслужащих США пострадали от утечки данных из Кадрового управления (U.S. Office of Personnel Management – OPM). Управление отвечает за подбор сотрудников центральных министерств и ведомств и предоставление им доступа к секретной информации. Ведомство также обрабатывает досье сотрудников государственного аппарата США, информацию о пенсионных выплатах и вознаграждениях.

Данные ведомства хранились в дата-центре министерства внутренних дел наряду с данными многих других федеральных структур. Злоумышленникам удалось получить доступ к дата-центру и, соответственно, именам, адресам, номерам соцстрахования и прочим ПДн настоящих и бывших госслужащих, а также (благодаря доступу к форме SF86) к данным супругов, детей, прочей родни.

Лидер профсоюза американских госслужащих Дэвид Кокс (David Cox) заявил, что администрация президента Обамы замалчивает о подлинных масштабах инцидента. По его сведениям, от утечки данных пострадали все госслужащие Америки. «Скомпрометированы персональные данные каждого, кто когда-либо работал на правительство, каждого, кто когда-либо уволился». Все украденные номера социального страхования (SSN) хранились в незашифрованном виде.



Источник Reuters в правоохранительных органах США заявил, что, по основной версии, за атакой может стоять правительство иностранного государства или иная иностранная структура. Близкий к следствию источник уточнил, что подразумевается Китай.
Остается только догадываться о масштабах последствий. Даже американские госорганы (однозначно не самые несведущие в теме информационной безопасности) оказались беззащитны перед внешним злоумышленником. Очевидно, что эра точечных кибератак, нацеленных на конкретную организацию, уже наступила, а специалисты, отвечающие за информационную безопасность, похоже, отказываются это замечать.
white

О последствиях забыли

Пользователь всегда выберет удобство. Как его ни ограничивай, как ему ни рассказывай, что нарушение установленных правил грозит серьезными последствиями и для организации, и для него лично.

email_forblog

За примерами далеко ходить не нужно. Хакерская группировка «Анонимный интернационал» получила доступ к электронным письмам сотрудников управления внутренней политики администрации президента России. Отдельные документы злоумышленники выложили в своем блоге «Шалтай-Болтай». Другую часть писем, автором или адресатом которых якобы является пресс-секретарь Дмитрия Медведева Наталья Тимакова, хакеры намерены продать за 150 биткойнов (около 35 тыс. долл. США).

Злоумышленники сообщают, что массив писем Тимаковой «снят» с электронного ящика, который используется для сбора почты с других адресов Натальи – на массовых почтовых сервисах и почтового аккаунта в охраняемом ФСО домене .gov. К продаже предлагаются 496 сообщений, датированных 2004-2015 годом.

Эксперты сомневаются в том, что был взломан почтовый аккаунт. Генеральный директор компании Group-IB Илья Сачков предполагает, что хакеры «получили доступ к сессии и просто завладели почтой». Илья считает, что взлома компьютера не было, поскольку в этом случае хакеры могли бы «сделать гораздо больше зла». Сергей Никитин, коллега Сачкова по Group-IB, считает, что хакеры все же пробрались на компьютер пресс-секретаря бывшего президента России: «Если посмотреть на адреса выложенных в открытый доступ писем, то видно, что они взяты с нескольких почтовых аккаунтов, принадлежащих Тимаковой. Как правило, это говорит о том, что почта похищена не с почтового сервера, а с устройства самого пользователя».

Представитель Анонимного интернационала пояснил Газете.Ru, что госслужащим давно запретили пользоваться бесплатными почтовыми серверами, однако многие сотрудники властных структур не соблюдают этот запрет.

Есть лишь одно объяснение, почему письма государственной важности оказываются на «гражданских» серверах. Прямой удаленный доступ к правительственной почте со сторонних устройств, скорее всего, блокирован. В итоге чиновники вынуждены идти на хитрость, перенаправлять почту на бесплатные почтовые серверы и уже к этим серверам подключать свои планшеты и смартфоны. О последствиях своих действий люди государевы при этом, видимо, не задумываются.
white

Легендарные айтишники

Для айтишника перейти из категории "неуловимый Джо" в категорию "приоритетная цель" довольно просто. Надо устроиться на должность, связанную с управлением большой инфосистемой – такую как, скажем, «инженер отдела магистральной сети» или «администратор БД отдела билинга». Точнее, даже не устроиться, а заявить об этом, отметиться в соцсетях, приписать строчку в резюме, включиться в соответствующий список рассылки и т.д. Тут же попадаешь на кнопку в АНБ и других технических разведках.
       

В романтическом XX веке таких людей – с невысокой должностью и серьёзным доступом – вербовали. В веке нынешнем – их просто затроянивают. Как вы понимаете, даже у самой мощной разведки вероятного противника вербовалка большая не отрастёт. Из десяти тысяч перспективных счастливый билетик вытянут 10-20, не больше. А подсаживание на ваш рабочий компьютер трояна спецпошива – операция, которую (в отличие от традиционной вербовки) можно масштабировать. И этим охватить не 0,1%, а 80-90% кандидатов. Только вместо гонораров и званий агенту достанется шиш с маслом. Поэтому с такой практикой надо беспощадно бороться.

Есть довольно простой и очень дешёвый метод защиты, который снижает эффективность вышеописанного подхода в разы. Надо убедить (уговорить, заставить, стимулировать) нового сотрудника назваться иной должностью. Скажем, принимаем его инженером в департамент магистральной сети. А во всех публичных документах и соцсетях он называет себя «зам.нач.отдела департамента равития». И в "Линкедине" пусть так пишет, и в резюме, и в справке, которую ему для получения визы выдают. С большой вероятностью АНБ его пропустит как неперспективного.

В традиционной контрразведывательной работе такой приём называется "легендирование" и успешно применяется. Правда, против серьёзного расследования легенда не устоит. То, что помощник советника посла по культуре на самом деле – резидент разведки, выясняется за несколько дней. Но это – при "ручной" обработке информации. Это – в отношении считанных людей. А при компьютерной обработке данных на масштабах в сотни тысяч эффективность будет значительно выше.

white

Об эстетике

Поговорим сегодня о том, что выбор товара или услуги лишь частично обусловлен его потребительскими свойствами; некоторую роль играют чисто гуманитарные соображения. Доля последних может колебаться для разных видов товаров (например, для одежды она велика), но для средств ИБ её следовало бы свести к нулю. Но свести не получается.
       

Для рядового пользователя эстетика ИТ – это лишь дизайн интерфейса. Но для айтишника существует и эстетика синтаксиса командной строки, и эстетика разметки конфиг-файла, и эстетика совместимости форматов данных.

Не говоря уже о других гуманитарных соображениях, таких как репутация бренда.

Таким образом возможна ситуация субъективного несогласия админов и пользователей. Те программные и технические средства, которые выбраны службой ИТ (ИБ) как наилучшие – пользователями не признаются. Хотя в оценке потребительских свойств обе стороны согласны. Они не согласны в субъективной части оценки. Так сказать, расходятся по эстетическому вопросу.

Отсюда – бунты, саботаж, теневые сервисы, прочие нарушения политики безопасности. Легко навязать непривычную или немодную одежду человеку без сформированного вкуса. Солдат наденет, что прикажут – хоть галифе, хоть букли, хоть бандольер. А какой-нибудь Ив Сен-Лоран что попало на себя надевать не станет. Аналогично с айтишниками: навязать им что-то технически безвкусное и программно моветонное очень трудно, значительно сложней, чем простому юзеру.

В карьере вашего покорного слуги был один примечательный эпизод. Меньше 3 месяцев проработал я в одной айтишной лавке и сбежал оттуда исключительно по эстетическим сображениям; все прочие условия труда были вполне удовлетворительны. Дело в том, что лавка помещалась в здании старого советского НИИ. Этот НИИ уже сдох и теперь разлагался арендой помещений. Как черви в туше кита в комнатах огромного здания позднесталинской архитектуры копошились коммерческие лавки. Часть помещений пустовала. Охрана ещё надувала щёки. Мебель была наполовину из 1950-х, наполовину – из 1990-х. Столь удручающее зрелище былой имперской мощи и нынешнего упадка не позволило мне пребывать там, несмотря на приличную зарплату.