Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

Защитим самое дорогое



Один уважаемый человек взял да и перевел с одного своего счета в известном банке небольшую сумму денег на другой свой счет в том же банке. В результате на его счете оказалось ни много ни мало, а 20 млн рублей.

Вот некоторые вопросы, которые возникли на фоне инцидента:

как это могло произойти;

причина – человек или техника;

можно ли считать приемлемым уровень информационной безопасности для вкладчиков банка;

возможны ли рецидивы.

Попробуем ответить на них.

Что же удивительного в том, что в программном обеспечении встречаются ошибки!? Большая система – много ошибок. Вот нашли еще одну, причем в совершенно предсказуемом месте – на стыке двух различных подсистем. Как гласит программистская мудрость, «любая программа содержит как минимум одну ошибку», и уж тем более ошибка есть на стыке программных систем. Протестировали одну подсистему, протестировали другую – а кто же несет ответственность за их взаимодействие? Вот и оказалось у семи нянек дитя без глаза. Можно уверенно диагностировать отсутствие сквозного контроля целостности и достоверности электронных платежных документов, хотя такая система на основе защитных кодов аутентификации давно разработана и с успехом используется в банках, уважающих клиента. С такой же долей уверенности можно сказать, что используются незащищенные от информационных атак банкоматы – здесь не мешало бы ознакомиться с опытом Сбербанка. И это далеко не все. Я как-то попытался освоить «зоопарк» средств защиты, предлагаемый упомянутым выше банком для управления счетом через Интернет, и понял, что моего образования для этого явно недостаточно. Полагаю, как и у многих других. Вывод: пользователи будут отключать средства защиты, создавая тем самым новые угрозы и себе, и другим. Так и будет, если не стремиться обеспечить дружественность для пользователя, а лишь формально выполнить формальные требования.

А вот рецидивы не только вероятны, но и неизбежны. Нельзя исключить случайности, но можно сократить количество подобных инцидентов.

Какие только базы не воровали! Налоговые, телефонные, ГИБДД, таможенные, Пенсионного фонда, операторов мобильной связи, Центрального банка и т. д. Кто-то проводил расследование и устранял причины. Кто-то списывал на смежников, кто-то вообще отказывался – не мои базы, и все!

И вот новая беда – украдены базы, содержащие сведения о заемщиках банков, бравших потребительские кредиты. Украденные базы предлагают купить тем же банкам! Как они были украдены? Откуда? Опасно ли это?

В развернувшейся полемике обратил на себя внимание тон заявлений представителей ряда банковских структур: «Не настоящая это база. Мы проверили – есть там фальшивые записи». Так и хочется продолжить – а жаль. Была бы настоящей – купили бы! Да и не банки купили бы. И не только эти базы.

Вот и первая проблема – не стыдно купить краденое.

Еще пример из жизни. Однажды по моей просьбе мои сотрудники заполнили бланк договора на предоставление услуг цифрового телевидения. Указали мои персональные данные, а вот адрес – моих родственников, резонно предположив, что проживаем мы вместе. И вот с тех пор по этому адресу на мое имя регулярно приходят груды рекламного мусора и предложений «немедленно обогатиться». Так как данный адрес никогда и нигде более в ассоциации со мной не использовался, можно весьма обоснованно предположить, что уважаемая организация занимается не только телевидением, она еще и приторговывает персональными данными своих клиентов.

Это другая сторона той же проблемы – продавать тебе не принадлежащее тоже не зазорно.

Стремление обогатиться на чужой информации вполне объяснимо – затрат никаких, норма прибыли колоссальная, намного больше 300%, при которых, по Ленину, идут на любое преступление. Но почему же так много людей позволяют себе преступать закон, продавая и покупая краденое? Видимо, не чувствуют неотвратимости наказания.

В этом заключается вторая проблема – слабость нормативного правового регулирования проблемы персональных данных. Закон наконец-то принят, но он далеко несовершенен, а уж говорить о правоприменительной практике и вовсе смешно (или грустно?).

Трудно ли украсть информацию? Даже при неполной, очень фрагментарной защите похитить информацию, не оставив следов, невозможно. Значит, не защищали вовсе. Почему? Хотели, чтобы украли, а следов не осталось? Вполне возможно.

Таким образом, формулируется третья проблема – не слабость, а полное отсутствие технической защиты.

Итак, проблемы три – ментальная, правовая и техническая. Любую из них без двух других рассматривать бессмысленно. Все три нужно решать. Образованием, воспитанием и убеждением, что краденым торговать стыдно, – ментальную проблему. Разработкой, принятием и обеспечением исполнения правовых актов, вплоть до лишения лицензий и уголовного преследования – правовую. Запретом использовать компьютерные средства для обработки персональных данных, если компьютеры не обеспечены техническими средствами защиты и система не аттестована, – техническую.

Главная страница / Архитектура отрасли