Ашот Оганесян про утечку персональных данных
30.12.19 13:22 | |
Подписывайся на канал в
Дзен
Dedal
»
#1 | 30.12.19 15:49
Кому: Dedal, #1
Есть что сказать про коммерческие компании и защиту информации:
Я имел отношение к производству печатных плат. Посещал такие заводы как Samsung(SEMCO), IBIDEN, AT&S, Avary(бывший Foxcon). Так вот там секьюрити рулсы диктует, зачастую, заказчик плат. Например у завода заказ от Эппл - значит не пронесешь ты во внутрь телефон с камерой (без можно). Или если заказчик Интел - то к запрету на камеры добавляется запрет на все устройства я беспроводной коммуникацией (WiFi, Bluetoth, IR и тд), а проводные порты заклеят спец стикером, даже мультиметр с ИК портом не пронесешь.
Причем, если сам "забыл" показать охране девайс - штраф небольшой - до 1000$ (емнип на фоксконе 7000 юаней, на остальных около того), а если тебя поймали за пользованием камеры в телефоне на территории - отберут телефон и штраф от 10 000$ (или больше).
split
»
#2 | 30.12.19 19:29
Кому: split, #2
Спасибо, интересная беседа. Имея отношение к профильной области, периодически общаюсь с представителями разнообразных организаций на тему персональных данных (и коммерсы, и госструктуры). Наблюдаю такую чудовищную неграмотность, что просто караул. Даже на уровне оформления простейших бумажек - формы согласий, уведомлений, соглашений. Так что полностью поддерживаю - драть нещаднейшим образом.
silent
»
#3 | 30.12.19 20:42
Кому: silent, #3
Канал в телеграм толковый,нравится. Цифровая гигиена вопрос важный, но пока еще не все понимают это.
Yak-1
»
#4 | 30.12.19 23:13
Кому: Yak-1, #4
есть что сказать про DeviceLock
Разворачивали такое у себя на режимном объекте, все позакрывали, до чего в настройках дотянулись
Жаль, командированным об этом сказать не успели - они повтыкали свои айфоны крайней модели в USB порты и обоссали тем самым все надежды на замечательное ПО от Ашота...
Thunderbringer
»
#5 | 31.12.19 08:43
Кому: Thunderbringer, #5
Еще есть такое - в качестве меры "безопасности" занимаются варварской ерундой в виде заливания USB эпоксидкой... на портах, воткнутых в планку сзади. Которые легко и тихо или выдираются из корпуса а провода, а кабеля вполне хватает для подключения. Ну а если оно на плате - легко ручками просверливается, три тонких сверла с данными и +5v, крокодил на массу. 20 секунд и готово. Вторая ошибка долбоящеров - закупка всяких минидесктопов и ноутбуков в качестве стационарных рабочих мест для работы с конфиденциальными данными. Любая машина, к которой если локальный доступ - это одна большая дыра, можно сделать всё, что угодно. Элементарно вырезать слесарным ножом дырку и стырить хард или SSD, а если без этого - получить доступ к сбросу биоса и прочему. Третья - торчащие провода локалки. иголки с проводами и малюсенький одноплатник с парой флэшек по 256Гб.
Как делают люди с мозгами? Элементарно, Ватсон. Заказывают сборку машин с кастомными корпусами из толстого металла, у которых USB наружу просто не торчит, нет блютуза и вайфая вообще, а к разъему локалки подходит стальной короб толщиной миллиметра два - пилите, Шура, пилите... Плюс когда всё железное и заземленное - нет возможности считать данные с наводок. Но при этом для админов все просто - снял крышку и делай, что нужно. А крышка со сложными болтами-секретками и опломбирована.
Fritz
»
#6 | 31.12.19 09:31
Кому: Fritz, #6
Кто бы ещё сказал, что такое персональные данные? Исходя из определения, приведённого в 152-ФЗ: "персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)". Не сильно понятное определение, под него что угодно можно подтянуть.
Относительно защиты - все административные и технические меры бесполезны, если люди их не соблюдают, есть пользователи, которые хотят для себя исключений (практически всегда - руководители), есть хитрецы, которые начинают обходить системы защиты, и так далее.
Ну и никто эту защиту ломать не будет, и диски воровать, и ПЭМИНы снимать удалённо - долго, дорого и не всегда результативно. Экономически выгодней дать денег сотруднику (в идеале - админу или безопаснику) и всё сами принесут.
Котовод
»
#7 | 31.12.19 13:07
Кому: Котовод, #7
Кому: Thunderbringer,
#5
> Заказывают сборку машин с кастомными корпусами из толстого металла, у которых USB наружу просто не торчит, нет блютуза и вайфая вообще, а к разъему локалки подходит стальной короб толщиной миллиметра два
А потом админ берет и продает базу данных, как у Сбера в этом году.
split
»
#8 | 31.12.19 15:05
Кому: split, #8
Кому: Thunderbringer,
#5
> Заказывают сборку машин с кастомными корпусами из толстого металла
Да ерунда это все. У тебя в любом случае все упирается в два момента: 1. доверие к должностному лицу с максимальными правами доступа (администратор безопасности) и 2. физическая охрана помещения для предотвращения прямого несанкционированного доступа. Потому как спереть можно весь кастомный корпус с хитрыми болтами. Поэтому в реальных условиях делается так: во-первых, ПО, которое контролирует подключение нештатных устройств и изменения в конфигурации ОС. И соответственно, разграничение прав доступа. Secret net, dallas lock как самые частые примеры. Во-вторых, банальное опечатывание корпуса. В третьих, охрана помещения - сигналка, сторож. И, наконец, взаимный контроль - есть администратор системы, который работает с прикладным ПО, но ему запрещено лезть в настройки средств защиты, и есть администратор безопасности, который наоборот - работает со средствами защиты, но ему запрещено лезть в прикладное ПО (базы данных и проч). И сам собой подразумевающийся инструктаж под роспись - юзер осуществляет контроль на своем уровне, что печати на помещении и на системном блоке не повреждены, что посторонние в кабинете не присутствуют. Администратор системы - на своем уровне, контроль поведения прикладного ПО, наличия постороннего ПО, логи и проч. Администратор безопасности - общее руководство, контроль средств защиты и периодический контроль выполнения плановых мероприятий.
Неандерталец
»
#9 | 02.01.20 09:14
Кому: Неандерталец, #9
Кому: Yak-1,
#4
> Жаль, командированным об этом сказать не успели - они повтыкали свои айфоны крайней модели в USB порты и обоссали тем самым все надежды на замечательное ПО от Ашота...
В нормальных организациях USB порты отключены.
Неандерталец
»
#10 | 02.01.20 09:14
Кому: Неандерталец, #10
Кому: Thunderbringer,
#5
> Заказывают сборку машин с кастомными корпусами из толстого металла, у которых USB наружу просто не торчит, нет блютуза и вайфая вообще, а к разъему локалки подходит стальной короб толщиной миллиметра два
Эта задача решается на програмном уровне.
J_G
»
#11 | 06.01.20 10:36
Кому: J_G, #11
Встречался в своей практике с таким: системники рабочих компов сзади были закрыты металлическими крышками и опломбированы. ребята делали так: разбирали УСБ мышь и через нехитрый переходник подключали к контактам шлешку, и сливали инфу.
Естественно все продолжалось пока программно не заблокировали УСБ порты
полезные ссылки
Канал в Telegram
Канал в MAX
Группа в Контакте
Канал на Rutube
Канал в Дзен
Видео в iTunes Store
Подкаст в iTunes Store
Подкаст в Яндекс.Музыка