Страницы

понедельник, 1 марта 2010 г.

Переводы / Почему Вы не получите работу CISO

Прочитал недавно интересную статейку, касающуюся отличий в мировоззрении специалистов по ИБ и бизнеса. Статья называется «Почему Вы не получите работу CISO», она является ответом на статью специалиста по ИБ «Нездоровое отсутствие вакансий по ИБ», в которой он описывает проблемы с недостаточным вниманием бизнеса к ИБ и те последствия, к которым это может привести. Переводить всю статью я не стал, т.к. ряд вопросов для нашей российской действительности не актуален. Перевод достаточно вольный и «адаптированный» :)

Итак, ниже приведены цитаты из статьи специалиста по ИБ и ответы на них от имени бизнеса.
«… часто руководство компаний не понимает, что CISO может принести компании огромную пользу …»
Не наша работа, понимать это. Это Вы должны наглядно продемонстрировать эту пользу, сделать ее реальной! Специалисты по ИБ постоянно твердят о своей значимости и большой пользе, которую они приносят. Но взгляните на это с точки зрения бизнеса. Что приносит ему реальную пользу? Увеличение продаж и сокращение затрат. Уровень продаж зависит от маркетинга и вывода на рынок новых продуктов. А что можно сделать для сокращения затрат? Может быть, уволить CISO?

Да, конечно, мы понимаем, что отсутствие у нас CISO может привлечь к нам повышенное внимание хакеров, но ведь угроза хакеров относится ко всем. Все компании, у которых есть подразделения ИБ, сталкиваются с вирусами, спамом и хакерами. И ноутбуки они тоже теряют. Так, где же эта «огромная польза»?! Можете ли Вы выразить ее в каких-то конкретных цифрах, например, словами: «Я сократил на 30% уровень мошенничества с системой Интернет-банкинга, реализовав проект по обеспечению ее безопасности в срок и в рамках бюджета»?

Если Вы хотите получать реально высокую зарплату, приносите реально высокую пользу!
«… отсутствие в компании CISO напрямую связано со множеством нарушений безопасности …»
Правда? «Напрямую связано»? Позвольте мне рассказать вам, как мы используем это словосочетание в бизнесе. Мы подразумеваем наличие явной причинно-следственной связи, либо непосредственно видим, как это происходит.

Можете ли Вы сказать, что хакерская атака на компанию может быть вызвана тем, что хакеры увидели объявление о поиске компанией кандидата на должность CISO? Нарушения безопасности происходят потому что наши пользователи делают ошибки, потому что наши разработчики копируют на свои ноутбуки базы с клиентской информацией «для отладки программ» или потому, что наши аудиторы не говорят нам о том, что у нас действительно неправильно. Если у нас будет CISO, это прекратится?

«Спецы» по безопасности твердят нам, что мы должны выполнять кучу требований PCI DSS, защищать персональные данные, соответствовать лучшим практикам и т.д. Но даже выполнение всех этих требований вовсе не означает, что мы теперь в безопасности! Если взглянуть на информацию о происходящих в компаниях инцидентах безопасности, вовсе не складывается впечатления, что эти проблемы происходят только в компаниях, где нет CISO!
Цитата: «… разве руководство компаний не понимает, что серьезная проблема с безопасностью может поставить под угрозу существование их бизнеса ...?»
Нет, мы не понимаем. Под угрозу бизнес ставит сам факт его существования. Нам угрожает масса вещей и безопасность только одна из таких угроз, причем далеко не самая страшная. В гораздо большей степени нам, как и другим коммерческим компаниям, угрожают проблемы в экономике, недобросовестная конкуренция, кредиторы, действия и решения государственных органов и различных регуляторов.

Мы знаем, что GM, Lehman Brothers, «КрасЭйр», «Агрохимбанк», «Тюменьэнергобанк», «Арбат-Престиж», «Беталинк», «Куда.Ру», «Букбери» и еще множество компаний обанкротились за последние два года вовсе не из-за проблем с информационной безопасностью. Они, как и тысячи других компаний, ушли из бизнеса из-за спада в экономике. Многие стали жертвами враждебных поглощений и действий государственных органов (вспомним хотя бы «ЮКОС», «Сибнефть», «Гута-Банк», закрытие игорного бизнеса в России). А какие компании прекратили свое существование из-за проблем с информационной безопасностью?

Вы говорите, что у нас в действительности было множество инцидентов, просто мы не знаем о них? Это жалкий пример. Неужели вы думаете, что если бы у нас были действительно серьезные проблемы с безопасностью, генеральный директор тянул бы с приемом на работу CISO? Вы думаете, руководство намеренно существенно искажает и скрывает факты, которые действительно оказывают негативное влияние на бизнес, рискуя при этом сесть в тюрьму?!

Подавляющее большинство иностранных и российских компаний, столкнувшихся с серьезными инцидентами информационной безопасности, продолжают работать. Например, Heartland все еще работает, у TJX был лучший квартал после того, как их взломали. В России было немало крупных и получивших огласку утечек информации: Никойл, МТС, Билайн, ВТБ-24. Поставило ли это под угрозу их бизнес? Да это, по большому счету, даже не отразилось на их репутации!

Когда мы видим реальную угрозу, мы реагируем на нее и учитываем ее в дальнейшем. Мы максимально сосредоточены на увеличении продаж при одновременном сокращении расходов. А Вы, кажется, сосредоточены на других вещах? На безопасности? Ну, прекрасно, тогда мы можем пожать друг другу руки и разойтись в разные стороны. Но не нужно рассказывать дурацкие страшилки!
«... некоторые из новых законов предусматривают серьезные наказания за несоблюдение требований безопасности ...»
Правда? Серьезные наказания? Вы это серьезно? Серьезным наказанием был бы крупный денежный штраф, уголовная ответственность или дисквалификация руководителей компании. Есть хоть один пример таких последствий за несоблюдение компанией требований информационной безопасности? Даже по результатам проверок в рамках пресловутого закона о защите персональных данных серьезно не пострадала еще ни одна компания или должностное лицо! А те штрафы, которые они заплатили, просто ни в какое сравнение не идут с теми затратами, которые они понесли бы в случае выполнения требований этого закона.
«… эксперты по информационной безопасности годами говорили, что наша нынешняя информационная инфраструктура находится в серьезной опасности …»
Некоторые люди говорят, что являются экспертами. Они годами воют как волки. Однако пока никто не использовал XSS-атаки, чтобы вывести из строя мировую финансовую систему. Зато именно выбрасывание денег на безопасность привело к обрушению моста на I-35. Подумайте, миллионы россиян лишены даже нормальной медицинской помощи! Наша информационная инфраструктура – это всего лишь одна из многих вещей, в которые мы можем инвестировать средства.

Подведем итог. Есть множество причин, по которым любая компания может нанять новых руководителей. Но руководители, которых мы нанимаем, способны видеть лес за деревьями. Они могут разрабатывать и исполнять стратегии, реально влияющие на снижение затрат или увеличение продаж. При этом они используют реальные метрики, однозначно показывающие результат их работы. Мы безусловно считаем, что безопасность важна для нашего бизнеса и наших клиентов, но мы ищем человека, который будет так же как и мы в первую очередь думать о бизнесе и об увеличении доходов компании. А пока мы будем продолжать пользоваться услугами инженеров, которые выполняют технические задачи по безопасности нашей компании.

Вы, ребята, непрерывно говорите о конце света. Но он все никак не наступает. Как руководители, мы требуем доказательств, что потраченные на безопасность деньги дадут адекватный положительный эффект для бизнеса. У Вас есть такие доказательства?

22 комментария:

  1. вот в подобных случаях, CISO заказывает "правильное" тестирование на проникновение, после которого вот это колесико ("Когда мы видим реальную угрозу, мы реагируем на нее и учитываем ее в дальнейшем") начинает действительно крутиться и в нужном направлении CISO :)

    ОтветитьУдалить
  2. А причем здесь пентест? Сначала такому CISO придется обосновать нужность пентеста бизнесу, чтобы получить средства на него :) Ну предположим это удастся, а пентестер получит контроль над всеми информационными активами компании... И что? У меня есть сомнения, что бизнес действительно сильно испугается и начнет тратить большие деньги на ИБ. Ведь проблемы безопасности появились у компании не с приходом CISO, они существовали с самого основания компании, тем не менее компания жива и (относительно) здорова. Да, хакеры могут проникнуть в их сеть, но почему-то раньше они этого не делали. А если они зададутся такой целью, например, по заказу конкурентов, они все равно добьются своей цели, как бы хорошо (в разумных пределах) компания не обеспечила бы свою безопасность.
    Дмитрий, ты извини меня, пожалуйста, но при всем уважении - в данном случае, имхо, пентест - это только "пугалка". Он не принесет пользы не CISO, не бизнесу. Нормальный аудит ИБ даст на порядок больше - ведь он будет проверять реально происходящие в компании процессы, а не только анализировать их результаты. Пентест хорош на мой взгляд тогда, когда CISO уже завершил реализацию программы безопасности, и считает, что компания хорошо защищена. В этом случае пентест будет служить сразу трем важным целям: во-первых, он укажет на оставшиеся недостатки, во-вторых, он покажет сколько усилий потребуется, чтобы получить доступ к активам компании, а, в-третьих, он будет служить некой метрикой по результатам работы CISO. Ну и естественно регулярное проведение пентеста потом, чтобы не расслабляться :)

    ОтветитьУдалить
  3. Ха, я помню эту статью. Ошибка там нелепейшая – автор путает должность и роль.

    Там есть какая-то пехота (в Вашем переводе - инженеры, выполняющие технические задачи), которые, видимо, часть ИБ устанавливают снизу. Так бывает: почтовый администратор определяет разрешенные размеры и форматы писем, вахтер устанавливает дресс-код и т.п. Там продвинутое руководство, которое (думает, что правильно) оценивает свои риски, выставляет приоритеты, знает и избегает ряда легендарных иб-заблуждений. Вероятно, есть еще ответственные за активы, которые тоже все сами определяют и контролируют без помощи специалистов. И т.п.
    Ну так в этом случае, надо просто говорить о размытой функции цизо. Какие-то части могут отсутствовать, действовать разобщено, спросить толком не с кого, но функции менеджера по ИБ в фирме худо-бедно выполняются, поэтому и не нужна выделенная позиция. Хотя с ней было бы лучше, но и без нее можно.

    И ИБ тут совершенно ни при чем. Такую же текстовку можно про любого менеджера написать:
    - у нас все сотрудники умеют составлять договора, плюс есть пара человек на претензионно-исковой работе – нам не нужен начальник юротдела;
    - у нас директор сам ведет кадровую политику, и есть девочки, оформляющие отпуска, больничные и Т-2 – нам не нужен менеджер по hr.

    З.ы. Не знаю, зачем я это переводчику рассказываю. Больше не буду.

    ОтветитьУдалить
  4. А Вы считаете, что такая компания оценивает свои риски неправильно? :)

    ОтветитьУдалить
  5. Может быть да, а может быть нет - надо садиться и проверять. Но это не важно.

    Автор правильно догадывается, что от появления цизы добавится немного ("нас просто начнут дополнительно пугать?"), но не понимает, почему.

    ОтветитьУдалить
  6. >> Может быть да, а может быть нет - надо садиться и проверять. Но это не важно.

    А по-моему, это как раз важно. Компания видит, что вероятность реализации угроз ИБ, которые могут нанести ей критический ущерб, крайне мала. От этого зависит и все остальное - зачем тратить большие ресурсы на это?

    >> Автор правильно догадывается, что от появления цизы добавится немного ("нас просто начнут дополнительно пугать?"), но не понимает, почему.

    В самую точку! Именно это автор от лица бизнеса и спрашивает у CISO - как реализация ИБ позволит компании заработать больше денег или снизить свои издержки.

    ОтветитьУдалить
  7. Так, еще раз. Третий. Иб и цизо в фирме и так Е-С-Т-Ь (потому что это набор фунцкций, а не позиция). И не исключено даже, что этот виртуальный коллективный стихийно сформировавшийся цизо лучше, чем тот Джон Смит, который к ним на собеседование ломится.

    Представьте, что сейчас работники сами на своем рабочем месте убираются. Что выиграет фирма от найма лишнего человека (уборщицы), которая заберет эту работу на себя?
    Может и ничего не выиграть, это индивидуально, или програть даже.

    ОтветитьУдалить
  8. Вот оно что :) Видимо снова вмешиваются проблемы с терминологией. Вы говорите о CISO как о начальнике службы ИБ, эдаком специалисте по ИБ с задатками менеджмента. Да, в таком случае коллективный "CISO" у них есть. В основном, это как раз те инженеры, про которых говорит автор, ну и плюс руководители типа CIO, которые управляют этим процессом. В России действительно часто ставят знак равенства между руководителем ИБ и CISO - но это не так. CISO - это топ-менеджер (приставка "С"), сосредоточенный в первую очередь на бизнесе, и управляющий направлением ИБ с целью повышения эффективности бизнеса. Вот в таком варианте у них CISO нет. И они очень хотят его найти.

    >> Мы безусловно считаем, что безопасность важна для нашего бизнеса и наших клиентов, но мы ищем человека, который будет так же как и мы в первую очередь думать о бизнесе и об увеличении доходов компании. А пока мы будем продолжать пользоваться услугами инженеров, которые выполняют технические задачи по безопасности нашей компании.

    В российских компаниях роль CISO исполняют начальники служб ИБ, либо это те самые коллективные "CISO". Они - специалисты по ИБ и сосредоточены на ИБ. Именно поэтому у них возникают проблемы при взаимодействии с бизнесом. Их цели не совпадают. Я как раз и хотел обратить внимание на тот момент, что мы (как специалисты по ИБ) часто не видим за деревьями леса - думаем про безопасность, забывая про бизнес. И часто сильно переоцениваем риски.

    >> Мы максимально сосредоточены на увеличении продаж при одновременном сокращении расходов. А Вы, кажется, сосредоточены на других вещах? На безопасности?

    ОтветитьУдалить
  9. > в российских компаниях
    > я как раз и хотел

    Вы? В российских?? Я перестал понимать, что здесь обсуждается. Один человек вымыслил персонажа, задающего дебильные вопросы, и еще одного, который тому отвечал. Четвертый, оказывается, тоже внес мессадж, возражая пятому, который обращался к первому в лице третьего, но при этом ему представлялся, видимо, какой-то шестой, предлагающий забывать про бизнес и преувеличивать риски.
    Пипец.

    ОтветитьУдалить
  10. :)

    В шапке этого поста я написал:

    >> Прочитал недавно интересную статейку, касающуюся отличий в мировоззрении специалистов по ИБ и бизнеса.

    Вот именно ее мы (во всяком случае я) и обсуждаем. Думаю, что проблема достаточно актуальна - она не раз в том или ином виде поднималась за последние месяцы на различных форумах и блогах. Так как речь идет об "отличиях в мировоззрении", имхо, очень наглядно привести взгляд на вещи одновременно с той и другой стороны. Если это не наглядно и мешает восприятию - прошу меня извинить.

    ОтветитьУдалить
  11. В одном могу уверить точно: Ваш сферический дьявол ("они сосредоточены на ИБ, у них возникают проблемы при взаимодействии с бизнесом, их цели не совпадают") среди русских иб-блоггеров не встречается.
    Я бы сказал, что его вообще нет, но против чайника Рассела бессилен.

    ОтветитьУдалить
  12. Из того, что вспомнилось сразу, хотя бы вот эти темы и комментарии к постам свидетельствуют о непонимании некоторыми комментирующими связи между ИБ и бизнесом ;)
    _http://dom.bankir.ru/showpost.php?p=2607437&postcount=183
    _http://dom.bankir.ru/showthread.php?t=97332
    _http://dom.bankir.ru/showthread.php?t=97531
    _http://dom.bankir.ru/showthread.php?t=96488
    _http://lukatsky.blogspot.com/2010/01/blog-post.html
    _http://lukatsky.blogspot.com/2010/01/blog-post_18.html
    _http://lukatsky.blogspot.com/2010/01/blog-post_19.html

    Безопасность, увы, слишком часто становится вещью в себе. И бизнес такую безопасность не понимает, она не приносит ему пользы, адекватной расходам на нее. Если Вам никогда не приходилось сталкиваться с этим - я искренне рад за Вас.

    Кстати, еще пример - полистайте презентацию Митрохина А.А. с последней конференции по ИБ: _http://ib-bank.ru/arhiv/03/05/mitrohin.rar

    ОтветитьУдалить
  13. Не хочу Вас обидеть, но д'артаньяноцентризм (знаете, о чем я?) - это просто молодость. По прочтении можете удалить, конечно же.

    ОтветитьУдалить
  14. Конечно, никаких обид :) Но я был бы Вам очень признателен, за более конкретные и предметные комментарии.

    ОтветитьУдалить
  15. К тому, как все неправильно своими бизнесами трахаются?
    Ок, комментирую: судить о чужих грехах все мастера.

    ОтветитьУдалить
  16. Не совсем так. Я испытал все эти проблемы на себе ;) А сейчас вижу, что люди в разных компаниях сталкиваются с теми же проблемами. Идеей этого поста было вовсе не суждение о чужих грехах, а рекомендация (обмен опытом, если хотите) больше думать о бизнесе, не зацикливаясь на одной только безопасности. Лично мне такая рекомендация лет пять назад помогла бы.

    ОтветитьУдалить
  17. >> бизнес действительно сильно испугается и начнет тратить большие деньги на ИБ

    а как ты думаешь, если, предположим, цель пентеста – захватить процесс вывода денег, бизнес испугается, если цель в ходе пентеста будет достигнута? :) Правильные цели нужно ставить, тогда и польза от всего будет.

    >> Да, хакеры могут проникнуть в их сеть, но почему-то раньше они этого не делали

    А Вы в этом уверены? Может в течение N-го времени хакеры занимались промышленным шпионажем... и вот вот осуществят свои коварные замыслы.

    >> например, по заказу конкурентов, они все равно добьются своей цели, как бы хорошо (в разумных пределах) компания не обеспечила бы свою безопасность.

    То есть, к безопасности отношение "нас взломают по-любому" ;) ЗЫ: потому и взломают.

    >> в данном случае, имхо, пентест - это только "пугалка"

    Именно. Иногда лучше испугаться "понарошку", чем испугаться "по-настоящему".

    >> Он не принесет пользы не CISO, не бизнесу.

    Неправда. Не смотря на "низкие" цели, качественно выполненная работа принесет пользу и тем (пентест – это один из методов проведения аудита) и другим (адекватное восприятие угроз).

    >> Нормальный аудит ИБ даст на порядок больше

    В зрелой компании – бесспорно! Но в зрелой компании подобных разговоров: "Неужели вы думаете, что если бы у нас были действительно серьезные проблемы с безопасностью, генеральный директор тянул бы с приемом на работу CISO? А Вы, кажется, сосредоточены на других вещах? На безопасности?" нет!

    >> не зацикливаясь на одной только безопасности

    Абсолютно правильно, но и не недооценивайте "врага" после того, как начнете больше думать о бизнесе, а то может наступить ситуация, что и защищать-то потом будет нечего.

    ОтветитьУдалить
  18. Дмитрий, большое спасибо за интересный комментарий, но позволь с тобой не согласиться :)

    >>>> бизнес действительно сильно испугается и начнет тратить большие деньги на ИБ

    >> а как ты думаешь, если, предположим, цель пентеста – захватить процесс вывода денег, бизнес испугается, если цель в ходе пентеста будет достигнута? :) Правильные цели нужно ставить, тогда и польза от всего будет.

    Ну, как внутренний аудитор, могу по опыту сказать, что даже это действует не очень сильно :) Хотя, не могу не согласиться, что наглядная демонстрация действует гораздо лучше аудиторского отчета. Но все равно, первоначальная бурная реакция обычно заканчивается пшиком, когда руководство видит, во сколько обойдется защита и сколько бизнес-процессов придется изменить. Ведь нельзя же защитить только один процесс, когда с остальными полный бардак. Поэтому обычно все заканчивается введением какого-нибудь доп.контроля, который тихо умирает через пару месяцев. Постепенно, конечно, эта проблема решается, по мере повышения общего уровня безопасности, но не так быстро, как хотелось бы.
    Кстати, при наличии в банке среднестатистического интернет-банкинга с клиентскими ключами на дискетах или на компьютерах клиентов, не нужно даже лезть внутрь сети банка ;)
    Руководство часто смотрит на эту проблему с несколько иной точки зрения: воровство денег (в реальном или виртуальном мире) - уголовно наказуемое преступление. И есть специальные государственные органы, которые занимаются этим. И тех, кто ворует реальные деньги (не по 100 рублей, конечно), реально находят и сажают на реальные сроки. И потенциальные злоумышленники знают это, поэтому таких случаев немного. По сути, ведь это мало чем отличается от нападения на инкассаторские машины.


    >>>> Да, хакеры могут проникнуть в их сеть, но почему-то раньше они этого не делали

    >> А Вы в этом уверены? Может в течение N-го времени хакеры занимались промышленным шпионажем... и вот вот осуществят свои коварные замыслы.

    Если случается действительно серьезная проблема, то руководство просто не может не узнать о ней. А что касается промышленного шпионажа, то в среднестатистической организации такой угрозы просто не существует :) Нет там ничего такого, зачем можно было бы шпионить. Скорее то, о чем ты говоришь, относится к "недружественным поглощениям" или устранению конкурентов. А там другие методы.


    >>>> например, по заказу конкурентов, они все равно добьются своей цели, как бы хорошо (в разумных пределах) компания не обеспечила бы свою безопасность.

    >> То есть, к безопасности отношение "нас взломают по-любому" ;) ЗЫ: потому и взломают.

    Нет, я хотел сказать о другом. Я хотел сказать, что если недобросовестному конкуренту (например) понадобиться получить доступ к ресурсам компании, подорвать ее репутацию или остановить ее работу - он может обратиться к высококвалифицированным специалистам, которые будут действовать целенаправленно и использовать различные "неэтичные" методики, что с высокой долей вероятности обеспечит их успех независимо от уровня защиты компании. Ну просто невозможно обеспечить 100% защиту. В твоей практике были случаи, когда пентест заканчивался неудачей? ;)
    Но это безусловно не говорит о том, что безопасность не нужна. Просто она должна обеспечиваться в разумных пределах.

    ОтветитьУдалить
  19. >>>> Он не принесет пользы не CISO, не бизнесу.

    >> Неправда. Не смотря на "низкие" цели, качественно выполненная работа принесет пользу и тем (пентест – это один из методов проведения аудита) и другим (адекватное восприятие угроз).

    Адекватное ли? ;) Ведь такие профессиональные и адресные атаки на компании пока случаются крайне редко. Разве нет? Предположим, пентест был успешен. Но много ли людей обладают достаточным уровнем знаний для его повтора и, одновременно, имеют соответствующие мотивы?


    >>>> Нормальный аудит ИБ даст на порядок больше

    >> В зрелой компании – бесспорно! Но в зрелой компании подобных разговоров: "Неужели вы думаете, что если бы у нас были действительно серьезные проблемы с безопасностью, генеральный директор тянул бы с приемом на работу CISO? А Вы, кажется, сосредоточены на других вещах? На безопасности?" нет!

    В зрелой компании как раз пентест даст хороший результат - он позволит оценить результаты проделанной работы. А на нулевом уровне зрелости скорее нужно смотреть на процессы и заниматься их совершенствованием.


    >>>> не зацикливаясь на одной только безопасности

    >> Абсолютно правильно, но и не недооценивайте "врага" после того, как начнете больше думать о бизнесе, а то может наступить ситуация, что и защищать-то потом будет нечего.

    Ты знаешь, я тоже всегда так считал... Но последнее время у меня складывается впечатление, что "врага" мы переоцениваем и смотрим на проблему очень узко. На самом деле большинство реальных врагов компании находятся в реальном, физическом мире и использует старые физические и экономические методы атак. Но даже это происходит крайне редко. А почему? Да потому, что, во-первых, большинство компаний не представляют ни для кого большого интереса, а, во-вторых, слишком высоки риски таких атак для самих атакующих.
    Даже возвращаясь к первому вопросу (по поводу доступа к платежным процессам) - нужно понимать, что получить доступ к этому процессу - мало. Надо еще подготовить место куда перевести деньги, а потом их физически снять. И еще. Суммы в обороте (например, на корр.счете банка) конечно важны для любой компании, но их потеря далеко не всегда будет критической (т.е. уход из бизнеса) - много других активов. Да и вывести действительно крупные суммы очень сложно - высока вероятность, что заметят.
    Имхо, надо более трезво оценивать риски (в части вероятности их реализации и ущерба от их реализации).

    ОтветитьУдалить
  20. >> Ведь такие профессиональные и адресные атаки на компании пока случаются крайне редко

    Откуда у тебя такие данные? :) Если информация не попадает в паблик - это не означает, что подобных инцидентов нет. Вспомни атаку аврора на гугл. Только после того, как гугл опубликовал эту информацию, другие, небольшие компании, также последовали за гигантом. А если бы гугл промолчал?

    >> Но много ли людей обладают достаточным уровнем знаний для его повтора

    Много.

    >> В зрелой компании как раз пентест даст хороший результат - он позволит оценить результаты проделанной работы.

    Пентест универсальный метод аудита, который подходит для компаний с различным уровнем зрелости.

    >> что "врага" мы переоцениваем

    Ну, порой случается. Согласен.

    >> нужно понимать, что получить доступ к этому процессу - мало. Надо еще подготовить место куда перевести деньги, а потом их физически снять.

    Из привата по работам этого года. Это оказалось не таким уж и сложным для злоумышленника, и компания потеряла существенные деньги.

    ОтветитьУдалить
  21. >>>> Ведь такие профессиональные и адресные атаки на компании пока случаются крайне редко

    >> Откуда у тебя такие данные? :) Если информация не попадает в паблик - это не означает, что подобных инцидентов нет. Вспомни атаку аврора на гугл. Только после того, как гугл опубликовал эту информацию, другие, небольшие компании, также последовали за гигантом. А если бы гугл промолчал?

    Гугл - совсем другая история, там вообще были политические мотивы. К тому же как это отразилось на гугле? Сильно ли он от этого пострадал?
    Если на компанию была совершена атака, которая действительно нанесла ей катастрофический ущерб и поставила на грань выживания - то (имхо) даже у нас это скорее всего станет известно.

    >>>> Но много ли людей обладают достаточным уровнем знаний для его повтора

    >> Много.

    Там было важное дополнение "и имеют соответствующие мотивы" :)

    >>>> нужно понимать, что получить доступ к этому процессу - мало. Надо еще подготовить место куда перевести деньги, а потом их физически снять.

    >> Из привата по работам этого года. Это оказалось не таким уж и сложным для злоумышленника, и компания потеряла существенные деньги.

    Да, это возможно и вполне осуществимо. Я уже в двух банках сталкивался с фродом через интернет-банк. Да, действительно значительный процент мошеннических операций (особенно вначале) оказывался успешным - деньги выводили. И даже снимали. Но! На этом история вовсе не заканчивается, а только начинается :) Такими делами занимается ФСБ и я знаю, что они добились вполне реальных успехов. В наше время очень сложно снять наличные деньги и остаться при этом незамеченным. Не невозможно, конечно, но очень сложно (камеры повсюду, везде требуют паспорт, подпись).

    ОтветитьУдалить
  22. Для того что бы избежать всевозможные неприятности, нужно приглашать специалистов заниматься подобными вопросами. К примеру мы передали ведение претензионно исковой работы компании, которая профессионально занимается этим на данном рынке услуг, рекомендую.

    ОтветитьУдалить