Полешук в мире ИБ

Молодого, недавно назначенного менеджера компании IBM руководство вызвало на ковёр. Ещё бы! Он совершил сделку, на которой фирма потеряла 10 миллионов долларов. Когда сотрудник понял свою ошибку, было уже поздно, деньги уплыли.
Зайдя в кабинет и чувствуя свою вину, он, не ожидая того, что ему скажут, произнёс:
— Я понимаю, что вы вправе меня уволить, и, признавая свою вину, принимаю ваше решение.
— Уволить? — произнёс руководитель. — Мы только что потратили 10 миллионов на ваше обучение и не вправе разбрасываться такими ценными кадрами. Идите работать!

#притча

+1 страх для рядовых пользователей

C 24 октября 2024 г. технические специалисты компании А1 фиксируют участившиеся случаи снижения скорости доступа к ресурсам Интернет в вечернее время.
 
По информации от провайдеров верхнего уровня, эти проблемы вызваны массированными DDoS-атаками, что в свою очередь приводит к деградации качества услуги передачи данных в сетях мобильных операторов и сетях фиксированного доступа.
 
Компания не исключает, что технические проблемы на сетях вышестоящих провайдеров могут повторяться ближайшее время. А1 приносит извинения своим клиентам, которые сталкиваются с данной проблемой. Со своей стороны специалисты компании прилагают все усилия, чтобы влияние на абонентов компании было минимизировано.

#a1

Когда я смотрю в разделе “Что нового» в AppStore для Telegram у меня впечатление, что его ведет девопс, который просто списывает часы…

Вот где постоянство в этом мире

В одном из ИБ-чатов Беларуси завязался разговор о процессе аттестации информационных систем, и один из участников задал вопрос:

“Какой смысл проходить весь путь построения системы защиты информации (СЗИ), аттестации, а затем не использовать все это на практике?”

На мой взгляд, причина — страх за ответственность перед регулятором, который оказывается сильнее, чем угроза внешних и внутренних нарушений. В Беларуси все знают, кто такой ОАЦ и понимают, что несоблюдение требований может повлечь наказания. Эта угроза кажется более реальной, чем опасность утечки данных, шифровальщиков, стиллеров, коммерческого шпионажа и кражи информации.

Второй вопрос — насколько прохождение сертификации или аттестации по требованиям ИБ реально защищает от атак? Примеры говорят сами за себя:

DHL и IKEA (2021) — компании, сертифицированные по ISO 27001 и PCI DSS, стали жертвами кибератак с применением фишинга и социальной инженерии, направленных на взлом внутренних коммуникационных систем. IKEA пострадала от цепочки фишинговых писем, через которые в их систему проникали вирусы и собирали данные. У DHL также произошла утечка данных клиентов, несмотря на усиленные меры безопасности.
Equifax (2017) — соответствие требованиям NIST, ISO 27001 и PCI DSS не уберегло компанию от одной из самых крупных утечек данных, причиной которой стали уязвимости серверов, не устраненные своевременно. Атака затронула данные 147 миллионов клиентов.
Marriott (2014-2018) — даже меры безопасности, соответствующие PCI DSS и ISO 27001, не уберегли Marriott от атаки. Хакеры получили доступ к системе после приобретения Marriott другой сети отелей — Starwood. Уязвимости в Starwood оставались незамеченными, и злоумышленники на протяжении нескольких лет получали доступ к данным 500 миллионов гостей до того, как утечка была обнаружена.

В Беларуси таких случаев достаточно, но все они покрыты занавесом тайны поэтому не будем совать свой нос 🙈🙉🙊

На бумаге выполненные требования выглядят внушительно (и то стараются индивиды наеб*ть систему), но пока не будет выстроен риск-ориентированный подход, учитывающий важность безопасности не только собственных активов, но и их влияние на состояние безопасности других, безопасность остается формальностью.

Соблюдение требований регулятора должно стать началом проактивного подхода. Однако после аттестации информационная безопасность в 90%* организаций “замораживается” на следующие пять лет.

Зато есть документ: и регулятор не тронет, и, как надеются некоторые, хакер обойдет инфраструктуру стороной.

*моя субъективная оценка

Готовлю доклад на A1 TechDay 2024 и понял, что всю мою тему можно проиллюстрировать одним мемом
До встречи 26 ноября. Регистрация уже идет 🥹

Увидел тренд, где ChatGPT просят нарисовать то, как нейросеть представляет и чувствует человека. Решил провести эксперимент и спросить, что она скажет про меня.
Скоро у нейросетей появятся чувства... а вообще У МЕНЯ ПРАКТИЧЕСКИ ТАК И ВЫГЛЯДИТ МОЙ СТОЛ!🙂

И вам "Добрый день"...🤔

Новость для понедельника не самая подходящая, но все же

Денис Владимирович @safebdv опубликовал пост о том, что в США стали подписывать соглашения о неразглашении (NDA) перед сексом. Это становится гарантией того, что никто не узнает о необычных предпочтениях людей. Если один из партнеров нарушит соглашение, ему может грозить иск в суд и значительный штраф.

В свою очередь Фрейд писал:

«Сексуальным отклонением можно считать только полное отсутствие секса, всё остальное — дело вкуса».

Если мы вкусы соотнесем с определением «персональные данные - личные сведения о человеке, с помощью которых его можно идентифицировать» то это вполне логично.

Кто смотрел «50 оттенков серого» помнят эпизод, когда главный герой принудил героиню к подписанию такого документа, чтобы защитить свои интересы и увлечения (если вы понимаете, о чем я…😉). Представляю себе будущее: сначала дай согласие на использование персональных данных, потом подпиши NDA, потом составь брачный договор, потом завещание.

Так… где взять образец такого NDA… ❤️

Как вариант для чего нужны нейросети 😏

Раньше Правда ходила по улицам голая, в чём мать родила. Это, конечно, не понравилось людям, и никто не пускал её к себе в дом. Однажды, когда грустная, обеспокоенная Правда бродила по улицам, она встретила Притчу, одетую в красивые одежды, радовавшую глаз. Притча спросила Правду:

— Почему ты ходишь по улицам голая и такая грустная?

Правда печально опустила голову и сказала:

— Сестра моя, я опускаюсь всё ниже и ниже. Я уже стара и несчастна, поэтому люди удаляются от меня.

Сказала Притча:

- Не может быть, что люди удаляются от тебя потому, что ты стара. Я вот тоже не моложе тебя, но чем старше становлюсь, тем больше во мне находят. Я открою тебе секрет: люди не любят простых, открытых вещей. Они предпочитают, чтобы вещи были немного скрыты и приукрашены. Давай я тебе одолжу несколько своих красивых платьев, и ты сразу увидишь, как полюбят тебя люди.

Правда приняла совет Притчи и оделась в её красивые одежды. И вот чудо — с того дня никто не убегал от неё, и её принимали с радостью и с улыбкой. С тех пор Правда и Притча не расстаются.

На VC прочитал пост о том, что LinkedIn бесплатно верифицировала свыше 55 млн пользователей — больше, чем другие крупные соцсети. Так компания старается противостоять распространению поддельных аккаунтов и дезинформации.

Являясь пользователем этой социальной сети и сторонником открытых бесплатных подходов к идентификации считаю, что это хороший пример уважения платформы к пользователям. Стоило бы брать пример другим платформам, снижая риск схем FakeBoss.

Приятно поговорить с коллегами не только проектах, но и о книгах, об интересах, поделиться опытом и перенять приемы в работе. Есть у меня коллега, которая предложила прекрасную книгу Ицхака Адизеса “Идеальный руководитель. Почему им нельзя стать и что из этого следует”. По шкале восторга от лаконичности и полезности это 11 из 10 😜

В книге предложены 4 ключевые роли менеджера (производитель результатов — P, администратор — A, предприниматель — E и интегратор — I). Преобладающий стиль обозначается заглавной буквой в коде, а менее проявленные — строчными. У меня лично PaEi.

Предлагаю пройти небольшой тест и попросите оценить вас, что бы помочь увидеть к какому стилю вы предрасположены и как вас чувствуют со стороны. Пишите в комментарии, кто вы 🤗

Ну и обязательно почитайте книгу!

P.S. В книге описаны стили неправильного менеджмента: “Герой одиночка”, “Бюрократ”, “Поджигатель”, “Горячий сторонник” и “Мертвый пень”. Прям попадание в некоторых персонажей, с которыми взаимодействую по жизни….

Белтелеком предупредил, что в связи с повреждением на сети партнера на инотерритории,
возможны затруднения с доступом к отдельным ресурсам сети Интернет.

Сегодня будем испытывать боль и видео в FullHD перед сном посмотреть может не получится 😭

А вы знаете, что я начинал путь в ИБ с хакерства? 😎
Так, кто сказал "несите деду таблетки"?😜

Кстати да, за неделю это вторая история про "прошлое и настоящее" - это вам не копипаст новости и не информационная сенсация с майнером на сервере (ВСЕ, МОЛЧУ😁). В общем, пятница, поэтому вам реальная история и моем темном прошлом которое сделало из меня кибербезопасника.

Когда я дописал эту историю подумал "а что бы я сделал, если бы мог что-то изменить"? И сам же быстро дал ответ: "сделал бы точно так-же" 🥰

Моя тру крайм кибер стори про мой "зачетный" взлом https://telegra.ph/Moj-zachetnyj-vzlom-10-24

Люблю такое «кино» 🔞, эдакий киберпанк для взрослых ГИКОВ
Кажется смотрел бы и смотрел…👀

Кто не понял, поясню: хакер проникший в инфраструктуру попал в специальную ловушку и не заметил. А уж что можно сделать с таким юродивым вам стыдно рассказать…

Вы ждали...
Вы говорили...
Вы спрашивали...
Мы сделали 🥰

Ежегодная конференция о технологических трендах и инновациях A1 Tech Day 2024 ждет Вас 26 ноября в Prime Hall

Что нового:
- новая площадка;
- новые спикеры;
- новая атмосфера уютной встречи со специалистами ИТ и ИБ;
- новые темы докладов.

Что осталось:
- наше радушие видеть Вас в гостях;
- уютные беседы и новые идеи;
- возможности познакомиться лично с командой и задать ваши вопросы напрямую.

РЕГИСТРАЦИЯ ОТКРЫТА 😘

Уж лучше бы это была оговорка… 😟

OWASP обновил топ-10 требований в рамках OWASP Top 10 Proactive Controls project для возможности обеспечения проактивной безопасной разработки web-приложения. Для каждого требования приводится описание, связь с угрозами и ошибками, от которых эти положения защищают, даны рекомендации и инструменты для внедрения и проверки.

ТОП-10 выглядит так:
1️⃣Implement Access Control (внедряйте контроль доступа)
2️⃣Use Cryptography to Protect Data (используйте шифрование для защиты данных)
3️⃣Validate all Input & Handle Exceptions (проверяйте все входящее и прорабатывайте исключения)
4️⃣Address Security from the Start (учитывайте безопасность с самого начала)
5️⃣Secure By Default Configurations (используйте подход "безопасность по умолчанию)
6️⃣Keep your Components Secure (обеспечивайте безопасность используемых компонентов)
7️⃣Secure Digital Identities (внедряйте безопасную цифровую идентификацию)
8️⃣Leverage Browser Security Features (используйте механизмы безопасности браузеров)
9️⃣Implement Security Logging and Monitoring (внедряйте журналы событий и обеспечивайте мониторинг безопасности)
1️⃣➖Stop Server Side Request Forgery (защищайтесь от попытки подделки запросов на стороне сервера (защита от SSRF))

Проект находится тут