24 июн. 2019 г.

Опасность при публикации вакансий


О том, как объявление о вакансии может раскрыть информацию о компании и применяемых решениях или, как минимум, поставить в не ловкое положение на примере:

Рассмотрим новость на портале SecurityLab.ru от 17 Июня 2019 года:



Обратим внимание на последний абзац: "Как сообщили в пресс-службе Минэнерго РФ, у российских электросетей высокий уровень защиты, а для снижения рисков используются отечественные технологии и оборудование."

Все  достаточно патриотично, логично.

НО. Давайте обратимся к порталу HeadHunter, посвященному поиску работы. 13 июня 2019  года была опубликована вакансия от АО Московская областная энергосетевая компания (Мособлэнерго), по поиску Главного специалиста службы информационных технологий (IT)


К чему бы компании, в которой используется "отечественные технологии и оборудование", требуется специалист с навыками "настройки активного оборудования Cisco и Huawei" ?


11 июн. 2019 г.

Давно посещали семинар по информационной безопасности?

Друзья, а вы давно посещали семинар по информационной безопасности в своей компании?

Ведь вы работаете с различной информацией, представляющей интерес для злоумышленников. Это коммерческие данные, финансовые, интеллектуальная собственность, личные данные сотрудников и клиентов.

Не стоит заблуждаться, что вы всецело защищены антивирусом, и вот почему.

В октябре 2000 года Брюс Шнайер, американский писатель, известный специалист в области криптографии и безопасности опубликовал статью «Semantic Attacks: The Third Wave of Network Attack», цитата из этой статьи стала афоризмом:

"Только атаки дилетантов нацелены на машины; атаки профессионалов нацелены на людей."

Человек – самое слабое звено любой информационной системы, ибо людям присущи слабости, человеку свойственно ошибаться. Человека легко обмануть, используя методы социальной инженерии; в своё время так действовал знаменитый Кевин Митник. Человека можно подкупить, соблазнить, запугать, обмануть. Противостоять в одиночку атакам, эксплуатирующим человеческие ошибки, слабости и невежество, системный администратор не сможет при всём желании.

Об эффективности антивирусного обеспечения можно судить по интервью старшего вице-президента компании Symantec по информационной безопасности Брайана Дая. 4 Мая 2014 года в интервью газете Wall Street Journal он заявил, что антивирусное программное обеспечение «умерло», и эффективность его использования не превышает 45%. Такое заявление из уст руководителя компании, специализирующейся на разработке и продаже антивирусных программ, означает, что в реальности всё обстоит гораздо хуже.

Путь от появления вредоносной программы до момента ее обнаружения антивирусом следующий:
1- Сложно определенное время с момента появления вредоносной программы до ее получения разработчиком антивирусных программ. Тут многое зависит от направленности распространения и действий вируса.
2- Несколько суток с момента получения разработчиком антивирусных программ образца вредоносного кода до внесение его сигнатур в антивирусную базу данных.
3- От нескольких часов до нескольких месяцев на обновление антивирусной базы данных на пользовательском компьютере.

Однако, несмотря на всю сложность борьбы с вредоносными программами, проведение атаки, нацеленной на проникновение в сеть предприятия, полагаясь на вирусы, - задача громоздкая, подверженная множеству случайностей, требующая от атакующего изрядного терпения и значительных ресурсов, и потому достаточно мощные организации, при возможности, выбирают путь атаки на человека.

В виду вышесказанного повторю свой вопрос.

А Вы давно посещали семинар по информационной безопасности в своей компании, где Вам рассказали о актуальном положении дел с информационной безопасностью в мире и необходимом реагировании на угрозы? Напомнили основы информационной безопасности? Ответили на возникающие вопросы? Вы знаете на что обращать внимание и куда обращаться в случае сомнений? Как поступить, если Вас пытаются подкупить или запугать?


7 июн. 2019 г.

Пользователь должен?


Сегодня в новостной рассылке попалась новостная заметка с сайта SecurityLab.ru «Почти у половины россиян была возможность ознакомиться с личными данными коллег.»



Конечно верная статья, злободневная. Но один момент меня зацепил больше остальных.
Вот он: «Как показало исследование, только 28% пользователей регулярно проверяют, кто имеет доступ к документам и сервисам, с которыми они работают, и вносят необходимые изменения.»

Автор статьи действительно считает, что именно ПОЛЬЗОВАТЕЛЬ должен регулярно проверять, кто имеет доступ к документам и сервисам?
Извините, а как Вы можете себе это представить? Каким инструментарием располагает пользователь для решения этой задачи? Сделать общую рассылку и спросить? Или обзвонить всех сотрудников компании?