понедельник, 30 января 2012 г.

Женщина-хакер

В понедельник мне, как и многим, трудно сразу настроиться на рабочий лад, нужна какая-то вдохновляющая идея. Сегодня вспомнилось, как будучи студенткой я читала Компьютерру и наткнулась на статью про Джоанну Рутковску - женщину-хакера. Тогда я еще не работала, а только изучала журналы, книжки про защиту информации, чувствовала, что мне еще очень и очень далеко до того, чтобы называть себя специалистом. А тут эта статья, она меня по-настоящему вдохновила! В своем интервью Джоанна так легко и увлеченно рассказывала о сложных вещах, чувствовалось, что ее карьера - это результат огромного труда, а не удачи или связей. Можно сказать, что эта статья изменила мою жизнь, если бы я ее не прочитала, возможно, ушла бы в другую область :-) Вырезку я храню до сих пор, как напоминание, что женщины тоже занимаются информационной безопасностью и даже не хуже мужчин. 

Джоанна Рутковска

Нашла эту статью в Интернете - http://www.kinnet.ru/cterra/698/330237.html. Может она еще кого-нибудь вдохновит :-) 
Википедия про Джоанну -

четверг, 26 января 2012 г.

Социальная инженерия

Книга, которую мне посоветовал прочитать CISO одной крупной организации - "Искусство обмана" Кевина Митника, произвела на меня огромное впечатление. Она посвящена социальной инженерии и несмотря на то, что прогресс не стоит на месте, многие из описанных там схем взлома работают и по сей день. Главная мысль заключается в том, что те сведения, которые на Ваш взгляд не нуждаются в защите, могут при попадании в руки злоумышленника привести к значительному ущербу. Опытный социальный инженер, раздобыв всего лишь корпоративный справочник, в состоянии украсть миллионы. 
Почти все примеры обмана - общение злоумышленника с сотрудником от имени другого сотрудника. Представляясь менеджером Таней из филиала, у которой сломался компьютер, можно узнать множество ценной информации. 
Часто схема включала в себя множество этапов, например ознакомиться с документами по новому проекту можно примерно так (имеем телефонный справочник организации):
1. Злоумышленник Василий звонит Иванову И.И. в филиал и представляется Мишей - системным администратором, предлагает поставить программу, которая очень нужна для работы (внедряет таким образом шпионское ПО), а также спрашивает имя компьютера, IP-адрес. Может спросить пароль, но бдительный Иванов ему не отвечает, запрещено разглашать пароли!
2. Далее Василий звонит в приемную и представляется сотрудником филиала Ивановым (похищенный телефонный справочник дает ему возможность назвать также свою должность и обратиться по имени к секретарю), у которого технические проблемы. Секретарь объясняет, что это нужно к Мише - системному администратору и переводит на него.
2. Миша видит, что ему звонят по внутреннему телефону и не подозревает подвоха. Оказывается это у кого-то Иванова И.И., инженера из филиала, компьютер не работает. Он был в отпуске и забыл пароль. Имя компьютера верное, пароль Мишей называется.
3. Василий используя удаленный доступ к компьютеру Иванова и пароль, полученный от администратора, может ознакомиться с документами, провести платежи и т.д.
Как в этой ситуации защищаться - проводить беседы с сотрудниками, рассказывать о возможной опасности, бережно относиться к внутренним документам и не допускать ознакомления с ними посторонних. Ну и верить в удачу конечно же :-)



Кевин Митник


суббота, 21 января 2012 г.

Статья в журнале "Директор по безопасности"

В февральском номере "Директора по безопасности" выйдет моя статья на тему  безопасной работы в системе "Клиент-Банк". Надеюсь она будет Вам полезной!

вторник, 17 января 2012 г.

Сколько стоит информация?

Недавно пришел в голову да так и не уходит следующий вопрос: "Сколько стоит информация?" Понятно, что в университете нас учили, что стоимость складывается из ущерба, в который могут входить часы простоя организации, недополученная выгода, моральный вред и т.д. Это все хорошо и понятно, но никак не помогает оценить РЕАЛЬНУЮ стоимость информации для предприятия. Хочется учесть все, в результате сумма получается сильно завышенной. 
Допустим, клиентская база. Ее можно случайно удалить, а может сотрудник скопировать и продать конкурентам. Это совершенно разные риски. В первом случае мы можем подстраховаться и хранить резервную копию (да и должны так сделать), так что нам будут страшны только стихийные бедствия и всяческие форс-мажоры. Если все-таки все компьютеры сгорят при пожаре стоимость клиентской базы будет равна стоимости работ по ее восстановлению. Тут вроде все просто берем количество специалистов, умножаем на время их работы и на стоимость часа работы одного специалиста. Этим можно ограничиться, если Ваша база никакому конкуренту не нужна, например если ваши клиенты все равно ваши и ни к кому не убегут (допустим, вы компания, поставляющая в дома электроэнергию). С другой стороны, если персональные данные, содержащиеся в этой базе опубликуют, то у пострадавших субъектов может возникнуть сильное желание взыскать с Вас моральный ущерб. Здесь уже все совсем сложно...
А если база еще и уникальная? И там допустим 100 коллекционеров резиновых уточек, а резиновыми уточками торгуете не только Вы, но и фирма через дорогу... Какой тогда будет ущерб от копирования базы? Можно предложить посчитать затраты на создание новой базы из 100 коллекционеров и ущерб от упущенной выгоды. А если переметнется только часть клиентов или даже ни одного (допустим ваши уточки объективно лучше)? Можно посчитать максимальный ущерб - у вас ни осталось ни одного клиента и вы начинаете дело с нуля, минимальный ущерб - у вас остались все клиенты, но ваша база потеряла уникальность и взять средний ущерб. Вот правда как оценить уникальность в рублях непонятно... Будем искать :)
P.S. Интересная статья на тему оценки стоимости информации - http://www.management.com.ua/finance/fin170.html.

четверг, 12 января 2012 г.

Лицензирование программ и удаление информации, нарушающей авторские права

Нашла у себя составленную когда-то видимо для презентации памятку по ответственности за нарушения в сфере лицензирования программ и авторского права. Надеюсь, информация будет полезной.


Кодекс об административных правонарушениях. Статья 7.12. Нарушение авторских и смежных прав, изобретательских и патентных прав
Для должностных лиц - от 10.000 до 20.000 рублей с конфискацией контрафактных экземпляров произведений и фонограмм, а также материалов и оборудования, используемых для их воспроизведения, и иных орудий совершения административного правонарушения; на юридических лиц - от 30.000 до 40.000 рублей с конфискацией контрафактных экземпляров произведений и фонограмм, а также материалов и оборудования, используемых для их воспроизведения, и иных орудий совершения административного правонарушения.

Уголовный кодекс. Статья 146. Нарушение авторских и смежных прав
Данные деяния наказываются штрафом в размере до 200.000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо исправительными работами на срок до двух лет, либо лишением свободы на срок до двух лет.
Деяния, предусмотренные настоящей статьей, признаются совершенными в крупном размере, если стоимость экземпляров произведений или фонограмм либо стоимость прав на использование объектов авторского права и смежных прав превышают 50.000 рублей, а в особо крупном размере – 250.000 рублей.
Нарушения в особо крупном размере, совершенные группами лиц, либо с использованием служебного положения наказываются лишением свободы на срок до шести лет со штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет либо без такового.

Гражданский кодекс. Статья 1301. Ответственность за нарушение исключительного права на произведение
Правообладатель вправе требовать по своему выбору от нарушителя вместо возмещения убытков выплаты компенсации: в размере от 10.000 рублей до 5.000.000 рублей, определяемом по усмотрению суда; в двукратном размере стоимости экземпляров произведения или в двукратном размере стоимости права использования произведения, определяемой исходя из цены, которая при сравнимых обстоятельствах обычно взимается за правомерное использование произведения.

Возможно, я что-то пропустила, если Вы знаете еще статьи по этому вопросу, пишите в комментариях. Будем учиться друг у друга!:)