Главная страница
Форум
Промиздат
Опережения рынка
Архитектура отрасли
Формирование
Тенденции
Промстроительство
Нефть и песок
О стали
Компрессор - подбор и ошибки
Из истории стандартизации резьб
Соперник ксерокса - гектограф
Новые технологии производства стали
Экспорт проволоки из России
Прогрессивная технологическая оснастка
Цитадель сварки с полувековой историей
Упрочнение пружин
Способы обогрева
Назначение, структура, характеристики анализаторов
Промышленные пылесосы
Штампованные гайки из пружинной стали
Консервация САУ
Стандарты и качество
Технология производства
Водород
Выбор материала для крепежных деталей
Токарный резец в миниатюре
Производство проволоки
Адгезия резины к металлокорду
Электролитическое фосфатирование проволоки
Восстановление корпусных деталей двигателей
Новая бескислотная технология производства проката
Синие кристаллы
Автоклав
Нормирование шумов связи
Газосварочный аппарат для тугоплавких припоев
|
Главная страница / Архитектура отрасли Защитим самое дорогое Один уважаемый человек взял да и перевел с одного своего счета в известном банке небольшую сумму денег на другой свой счет в том же банке. В результате на его счете оказалось ни много ни мало, а 20 млн рублей. Вот некоторые вопросы, которые возникли на фоне инцидента: как это могло произойти; причина – человек или техника; можно ли считать приемлемым уровень информационной безопасности для вкладчиков банка; возможны ли рецидивы. Попробуем ответить на них. Что же удивительного в том, что в программном обеспечении встречаются ошибки!? Большая система – много ошибок. Вот нашли еще одну, причем в совершенно предсказуемом месте – на стыке двух различных подсистем. Как гласит программистская мудрость, «любая программа содержит как минимум одну ошибку», и уж тем более ошибка есть на стыке программных систем. Протестировали одну подсистему, протестировали другую – а кто же несет ответственность за их взаимодействие? Вот и оказалось у семи нянек дитя без глаза. Можно уверенно диагностировать отсутствие сквозного контроля целостности и достоверности электронных платежных документов, хотя такая система на основе защитных кодов аутентификации давно разработана и с успехом используется в банках, уважающих клиента. С такой же долей уверенности можно сказать, что используются незащищенные от информационных атак банкоматы – здесь не мешало бы ознакомиться с опытом Сбербанка. И это далеко не все. Я как-то попытался освоить «зоопарк» средств защиты, предлагаемый упомянутым выше банком для управления счетом через Интернет, и понял, что моего образования для этого явно недостаточно. Полагаю, как и у многих других. Вывод: пользователи будут отключать средства защиты, создавая тем самым новые угрозы и себе, и другим. Так и будет, если не стремиться обеспечить дружественность для пользователя, а лишь формально выполнить формальные требования. А вот рецидивы не только вероятны, но и неизбежны. Нельзя исключить случайности, но можно сократить количество подобных инцидентов. Какие только базы не воровали! Налоговые, телефонные, ГИБДД, таможенные, Пенсионного фонда, операторов мобильной связи, Центрального банка и т. д. Кто-то проводил расследование и устранял причины. Кто-то списывал на смежников, кто-то вообще отказывался – не мои базы, и все! И вот новая беда – украдены базы, содержащие сведения о заемщиках банков, бравших потребительские кредиты. Украденные базы предлагают купить тем же банкам! Как они были украдены? Откуда? Опасно ли это? В развернувшейся полемике обратил на себя внимание тон заявлений представителей ряда банковских структур: «Не настоящая это база. Мы проверили – есть там фальшивые записи». Так и хочется продолжить – а жаль. Была бы настоящей – купили бы! Да и не банки купили бы. И не только эти базы. Вот и первая проблема – не стыдно купить краденое. Еще пример из жизни. Однажды по моей просьбе мои сотрудники заполнили бланк договора на предоставление услуг цифрового телевидения. Указали мои персональные данные, а вот адрес – моих родственников, резонно предположив, что проживаем мы вместе. И вот с тех пор по этому адресу на мое имя регулярно приходят груды рекламного мусора и предложений «немедленно обогатиться». Так как данный адрес никогда и нигде более в ассоциации со мной не использовался, можно весьма обоснованно предположить, что уважаемая организация занимается не только телевидением, она еще и приторговывает персональными данными своих клиентов. Это другая сторона той же проблемы – продавать тебе не принадлежащее тоже не зазорно. Стремление обогатиться на чужой информации вполне объяснимо – затрат никаких, норма прибыли колоссальная, намного больше 300%, при которых, по Ленину, идут на любое преступление. Но почему же так много людей позволяют себе преступать закон, продавая и покупая краденое? Видимо, не чувствуют неотвратимости наказания. В этом заключается вторая проблема – слабость нормативного правового регулирования проблемы персональных данных. Закон наконец-то принят, но он далеко несовершенен, а уж говорить о правоприменительной практике и вовсе смешно (или грустно?). Трудно ли украсть информацию? Даже при неполной, очень фрагментарной защите похитить информацию, не оставив следов, невозможно. Значит, не защищали вовсе. Почему? Хотели, чтобы украли, а следов не осталось? Вполне возможно. Таким образом, формулируется третья проблема – не слабость, а полное отсутствие технической защиты. Итак, проблемы три – ментальная, правовая и техническая. Любую из них без двух других рассматривать бессмысленно. Все три нужно решать. Образованием, воспитанием и убеждением, что краденым торговать стыдно, – ментальную проблему. Разработкой, принятием и обеспечением исполнения правовых актов, вплоть до лишения лицензий и уголовного преследования – правовую. Запретом использовать компьютерные средства для обработки персональных данных, если компьютеры не обеспечены техническими средствами защиты и система не аттестована, – техническую. Главная страница / Архитектура отрасли |