Комментарии 38
И когда я спрашивал у ИБшников (и во всех других где я работал) что они думают по этому поводу и вообще wtf??!!! был железобетонный ответ «ну так все сотрудники подписали NDA и если чёто утечет они за это ответят»
так вот переадресую мой возглас который я говорю все ИБшникам на каждой новой работе где я работал сюда
ЧТО бл*… помог вам подписанный NDA и договор с сотрудником который увёл все данные? вы подали на него в суд и исчерпали инцидент?
ИБшники тваюмать, вбейте себе в свою бошку, что если человека имеющего критический доступ и есть желание чёто свиснуть, не остановит подпись на бумажке — то ПОСЛЕ утечки уже будет всёравно и всем плевать то что он понесет какуюто ответственность.
прям немогу как подгорает… всех везде в это носом тыкал… везде непонимание и «афчомпроблема? у нас договор же!!»… помню меня разок просили выгрузить зарплатную базу крупного холдинга для аудита… на флешку мальчику курьеру… я почти до гендиректора дошел тогда (я рядовой админ)… кое как донес до него что нельзя просто так выдавать такие данные за контур компании даже если это аудитор… при том что у нас безопасность во все щели, а я ему чутьли не в голом виде на флешку где фотки любимой бабули эту инфу скидываю… аудитор потом на меня волком смотрел что ему пришлось у нас в офисе месяц сидеть и через терминалку (откуда ничего нельзя выгрузить, интернета нет и флешку не воткнешь) цифры смотреть… какой блин я нехороший.
А я видел, как чертежи для оборонки по почте Яндекса пересылают :) Собственно, у меня все.
Тут вопрос немного не к ИБшникам а к руководству, которому расходы/поползновения/инициатива ИБшника не нужна - это всё мешаеь делать деньги. Штрав за утечку ПДн (если вообще наложат) 60-100 тыс. руб., да и фиг с ним, можно пренебречь :)
Грамотный ИБшник не устраивается на работу, где нужно доказывать свою необходимость. А остальные в основном бумажками прикроются, кто-то даже с юристами местными проконсультируется, а что-то реально необходимое развивать не будут - они просто не знают что такое существует (как вариант ИБшник вообще знакомый МВДшный пенсионер директора).
а к руководству, которому расходы/поползновения/инициатива ИБшника не нужна — это всё мешаеь делать деньги
совершенно понятно что руководство в этом не разбиратся и не хочет этого делать. соответственно нужны люди или регламенты которые донесут да него это. в моем случае это был навязанный МПС стандар PCI DSS, в другом случае тотже PCI и в дополнение к нему SOX и еще какойто местный стандарт который требовали акционеры чтобы снизить биржевые риски если будут какието подобные инциденты (и их можно свалить на аудиторов например… типа ну вот делали что могли, всему соответствуем… а тут такое..)
меня печалит что почти весь ИТперсонал точно также как руководство не понимает зачем это всё нужно… воспринимая это как 'тупые админы всем запретили'
Люди и регламенты нужны, но такое возможно только в более-менее крупной организации. К сожалению у большинства ассоцияаиця, что ИБ это где-то в ИТ.
Но ведь ИБ не только компьютеры защищает, но и информацию. А информация не только на компьютерах обрабатывается.
Тоже не панацея, регламент можно соблюдать, а можно имитировать.
помню меня разок просили выгрузить зарплатную базу крупного холдинга для аудита… на флешку мальчику курьеру…
И в чём проблема? Пакуем базу в rar с паролем, пароль передаём аудитору по другому каналу.
Да и слив это слив, пойди докажи малограмотному суду что база утекла через кого то, плюс потеря репутации, а там не важно кто и как допустил утечку.
Проще не допускать возможность скачивания/передачи базы. Только просмотр по одной записи, с допусками и логом обращений. Как выше и сделали.
А как это поможет тем, чьи данные утекли?
Извините нас, пожалуйста
Главный специалист по утечкам в Яндексе жадина Маресов забыл даже скидочные купоны предложить пострадавшим от эпического факапа. С чего извинять то?
Извините нас, пожалуйста.
Мы больше так не будем делать.
Честно-честно.
Мы связываемся с регистраторами и облачными хранилищами — чтобы разделегировать домены и удалить файлы с информацией о заказах. К 23 марта большинство провайдеров уже заблокировали ресурсы, которые распространяли утёкшую информацию, — они недоступны на территории РФ.
Толку от блокировок, если обойти их и ребёнок сумеет. И блокировка методов обхода тут никак не поможет. Пока есть интернет, найдут как распространить/продать информацию.
Это битва меча и щита и щит всегда будет срабатывать с запаздыванием.
Сколько может стоить подобная база в даркнете? А штраф всего-то до 100 т.р. Можно обновлять "утечки" в даркнете, получая кэш\крипту и откатывая государству маленький скромненький штрафчик.
Пока не ужесточат ответственность - сливы информации не прекратятся. Было бы 60-100 т.р. за каждый уникальный экземпляр данных в слитой базе + людям компенсации, думаю реакция была бы совсем иная.
МПС ушли, топовые аудиторы тоже… все забъют на PCIDSS или нет? (на срок действия карт забили прям сразу)
а ведь в свое время насильное насаждение этого стандарта со стороны МПС сильно улучшило вопрос ИБ с картами
это в дополнение вопросу по штрафам и ответственности… очень похожее кмк
Expiration является частью реквизитов карты, то, что карта используется после его истечения, не делает его бесполезным. Данные карты нужно вводить так же, как указано на ней.
срок действия карты это один из элементов пассивной безопаности, чтобы зааффекченные в утечке карты не могли вылежать годик-два в дампе, чтобы скрыть утечку, а потом использоваться, они просто протухнут по сроку действия
но теперь чо… можна… жгите, надо еще cvv отменить (нафиг он нужен пережиток прошлого) и 3ds (смски на него тратить, всёравно у нас нифига нормально механизм опротестований не работает так как задумывался)
3DS защищает магазин, а не клиента. Амазон явно не глупее вайлдберисов всяких. И таки да, лучше развивать механизм оспаривания, вместо костылей. Смски вообще так себе метод и в авторизации им не место. Правда убедить бабушек и школьниц использовать otp-еще сложнее. Вывод, вернуться как раз к чистому стандарту, без свистелок и переделок. Развивать оспаривание, благо теперь это можно делать быстрее
3DS защищает магазин, а не клиента.
это в условиях всяких опротестований и борьбы с фродом
а у РФ чтобы написать заявление на фрод, вам сначала лекцию прочтут что 'у вашей карты нет такой функции, вы не купили засчиту от мошенников' потом отправят в полицию, а уже потООМ дадут бланк на заявление на оспаривание.
Развивать оспаривание, благо теперь это можно делать быстрее
не верю, там явно никто не заинтересован в этом
Я давно уже непосредственно на карточных счетах не держу какие-то ощутимые суммы, только на повседневные расходы. Остальное на отдельных счетах, без привязанных карт.
Емнип, самый первый уровень PCI DSS можно получить просто за красивые глаза. И автоматизированные проверки там вида «О! А у вас кука языка без требуемого параметра». Проверка проходит автоматически, на выходе - отчёт в pdf. Про то, что под капотом, мало кто парится. Плюс можно же просто логотип на гейт воткнуть. Так что, я думаю, всё будет как было)
Ну такое...
Я не защищаю яндекс, но...если ответственность будет слишком сурова - кто из компаний вообще захочет заниматься такими вещами?
Ошибку допустить может каждый и если после каждой ошибки на виселицу сразу - так никого и не останется рано или поздно...
До 100 тыс. за утечку? Думаю, пока не будет оборотных штрафов, дело с мёртвой точки не сдвинется
компании грозит штраф в размере от 60 тысяч рублей до 100 тысяч рублей
Сам удивляюсь, но мне даже нечего сказать
Здоровенная международная компания, одна из самых богатых на айтишном русском рынке, наравне бодающаяся с гуглом - выплачивает штраф за чудовищный факап, в размере среднего месячного чека за пиццу команды из 3-4 ее разработчиков
А извинения, как уже заметили - детское "мы больше не будем", даже не предложив какихнить промокодов на небольшой скидос пострадавшим
Это даже не наглость, а..
//машет своей собственной рукой
Да и ... с ним
даже не предложив какихнить промокодов на небольшой скидос пострадавшим
Может быть и предложили, не будь утечка в таких масштабах. Пострадавших 7 миллионов. Если каждому дать по 1 рублю, то это уже 7млн. рублей. Но вряд-ли кто-то оценит такую щедрость. Если раздать по 100р., получается больше полумиллиарда.
7млн это если деньгами раздавать. А купоны это записи в бд и растянутая (все сразу не ломанутся) "недополученная прибыль" (которая ещё и может сработать на руку в перспективе, так-то реклама и скидки тоже, в общем-то, "в убыток") + не все их вообще потратят (а купоны часто дают на определённый срок, после которого они аннулируются). В общем, так себе финансовая потеря, на самом деле.
Когда утечка произошла и данные обнародованы, всё, что тебе остаётся, — пытаться не дать им распространиться дальше.
А я всегда думал нужно предотвратить повторение подобного, а оно вон как оказывается. Хорошо что я не пользуюсь сервисами Яндекса.
"Все, что попало в интернет – остается там навсегда!"
Мы добиваемся блокировки сайтов и каналов, которые публикуют данные. Мы связываемся с регистраторами и облачными хранилищами — чтобы разделегировать домены и удалить файлы с информацией о заказах.
Решение из серии "Если закрыть глаза на проблему – проблема исчезнет!"
У нас как-то взломали рядовой сайт. Ничего серьёзного, просто "спамилку" поставили на сервер. Так мы потом усердно выясняли как это произошло и как избежать повторения подобного. А не пытались всех и вся заблокировать.
Все бы существенно упростилось, если бы для заказов не надо было указывать никаких данных. Если бы сервисы яндекса не брали данные друг от друга. В маркете, например, одно, а в еде- другое. А в плюсе -третье.
Если бы взяли за вариант делать такие же подставные телефоны, как делает авито.
Сливщика посадить. Или штраф дать громадный. Такой чтобы всю жизнь выплачивать.
Когда-нибудь человеки, у которых крутятся огромные бабосы типа яндекса начнут пользоваться блокчейном и смарт-контрактами, что бы не ходить под себя из-за каких-то шутников/обиженных сотрудников
приняли меры по распространению утечки, но было поздно;
Тут слово пропущено)
Руководитель «Яндекс.Еды» впервые прокомментировал утечку данных клиентов