Рубрика #мюсли

Есть два шага, которые сведут к нулю абсолютно все утечки любых персональных данных из любых компаний и государственных органов. Эти два шага настолько просты, что бездействие властей во всем мире становится все более устрашающим.

1. Ввести личную уголовную ответственность отвечающих за безопасность данных людей в компании, которая слила информацию. Если такого человека нет — то этим человеков автоматически должен становиться генеральный директор.
2. Заставить любую компанию, которая хранит у себя персональные данные людей, добавлять к каждому полю персональных данных цифровую подпись компании. Таким образом, при утечке данных будет очевидно, откуда они были слиты. Это как если бы вы на сканы своих документов добавляли водяные знаки с названиями компаний при загрузке их куда-либо.

Как ни посмотри на эти два момента — со всех сторон одни плюсы, да никаких минусов. Ну, точнее, они есть — достаточно очевидные, но все либо надуманные, либо очень просто решаемые. Например:

> Кто будет выдавать цифровые ключи компаниям?
Никто — любой сможет сгенерировать любое количество таких ключей, просто нужно сделать обязательным самостоятельную регистрацию публичных ключей в одном большом реестре

> Это не увеличит количество хранимых данных в несколько раз?
Нет, не увеличит. Можно будет хранить просто хеши данных, подписанные приватным ключом. Эти хеши мизерные, по сравнению с самими данными.

Зато в итоге у нас при любом сливе информации будет очевидно, кто именно эту информацию у себя небезопасно хранил. А потом и за решетку можно будет отправить виноватых.

Но главное понимать, что цель — это не посадить или оштрафовать как можно больше людей и компаний, а минимизировать утечки данных. Ведь под страхом реальных уголовных сроков и гигантских штрафов компании так или иначе начнут заботиться о безопасности персональных данных.

А какие минусы вы видите у этих двух правил? Может, еще что нужно добавить?

И вообще странно, утекли данные из-за какой нибудь тупой секретарши, а сажать будут отдел иб?

Интересно насколько популярна будет эта должность и сколько у нее будет ЗП)
Особенно в больших компаниях, где все настолько сложно, запутано и т.д., что такой человек постоянно будет как на пороховой бочке

И никто бы не захотел быть человеком ответственным за это

Если хочешь заработать денег — с данными придется работать. А на куски рынка и деньги от этих кусков спрос будет. Но всем, кто хочет получить денег, придется гораздо серьезнее относиться к данным. Из этого следует многое — включая соответствующий подбор сотрудников, обучение, дополнительные соглашения, санкции внутри компании и т.д.

Смысл всего этого в увеличении ответственности. Настолько, чтобы те, кто зарабатывает в том числе посредством персональных данных, обустраивали инфраструктуру до должного уровня.  Знаю ли я как это сделать? Нет. Но из этого не следует, что невозможно создать достаточно защищенное хранилище.

Вопрос «на подумать»: как много случаев знаете случайного использования ядерного оружия?
Может быть стоит вокруг хранилищ персональных данных выстроить систему защиты не хуже, чем вокруг «ядерного чемоданчика»?

Рубрика #мюсли

Есть два шага, которые сведут к нулю абсолютно все утечки любых персональных данных из любых компаний и государственных органов. Эти два шага настолько просты, что бездействие властей во всем мире становится все более устрашающим.

1. Ввести личную уголовную ответственность отвечающих за безопасность данных людей в компании, которая слила информацию. Если такого человека нет — то этим человеков автоматически должен становиться генеральный директор.
2. Заставить любую компанию, которая хранит у себя персональные данные людей, добавлять к каждому полю персональных данных цифровую подпись компании. Таким образом, при утечке данных будет очевидно, откуда они были слиты. Это как если бы вы на сканы своих документов добавляли водяные знаки с названиями компаний при загрузке их куда-либо.

Как ни посмотри на эти два момента — со всех сторон одни плюсы, да никаких минусов. Ну, точнее, они есть — достаточно очевидные, но все либо надуманные, либо очень просто решаемые. Например:

> Кто будет выдавать цифровые ключи компаниям?
Никто — любой сможет сгенерировать любое количество таких ключей, просто нужно сделать обязательным самостоятельную регистрацию публичных ключей в одном большом реестре

> Это не увеличит количество хранимых данных в несколько раз?
Нет, не увеличит. Можно будет хранить просто хеши данных, подписанные приватным ключом. Эти хеши мизерные, по сравнению с самими данными.

Зато в итоге у нас при любом сливе информации будет очевидно, кто именно эту информацию у себя небезопасно хранил. А потом и за решетку можно будет отправить виноватых.

Но главное понимать, что цель — это не посадить или оштрафовать как можно больше людей и компаний, а минимизировать утечки данных. Ведь под страхом реальных уголовных сроков и гигантских штрафов компании так или иначе начнут заботиться о безопасности персональных данных.

А какие минусы вы видите у этих двух правил? Может, еще что нужно добавить?

Рубрика #мюсли

Есть два шага, которые сведут к нулю абсолютно все утечки любых персональных данных из любых компаний и государственных органов. Эти два шага настолько просты, что бездействие властей во всем мире становится все более устрашающим.

1. Ввести личную уголовную ответственность отвечающих за безопасность данных людей в компании, которая слила информацию. Если такого человека нет — то этим человеков автоматически должен становиться генеральный директор.
2. Заставить любую компанию, которая хранит у себя персональные данные людей, добавлять к каждому полю персональных данных цифровую подпись компании. Таким образом, при утечке данных будет очевидно, откуда они были слиты. Это как если бы вы на сканы своих документов добавляли водяные знаки с названиями компаний при загрузке их куда-либо.

Как ни посмотри на эти два момента — со всех сторон одни плюсы, да никаких минусов. Ну, точнее, они есть — достаточно очевидные, но все либо надуманные, либо очень просто решаемые. Например:

> Кто будет выдавать цифровые ключи компаниям?
Никто — любой сможет сгенерировать любое количество таких ключей, просто нужно сделать обязательным самостоятельную регистрацию публичных ключей в одном большом реестре

> Это не увеличит количество хранимых данных в несколько раз?
Нет, не увеличит. Можно будет хранить просто хеши данных, подписанные приватным ключом. Эти хеши мизерные, по сравнению с самими данными.

Зато в итоге у нас при любом сливе информации будет очевидно, кто именно эту информацию у себя небезопасно хранил. А потом и за решетку можно будет отправить виноватых.

Но главное понимать, что цель — это не посадить или оштрафовать как можно больше людей и компаний, а минимизировать утечки данных. Ведь под страхом реальных уголовных сроков и гигантских штрафов компании так или иначе начнут заботиться о безопасности персональных данных.

А какие минусы вы видите у этих двух правил? Может, еще что нужно добавить?

Рубрика #мюсли

Есть два шага, которые сведут к нулю абсолютно все утечки любых персональных данных из любых компаний и государственных органов. Эти два шага настолько просты, что бездействие властей во всем мире становится все более устрашающим.

1. Ввести личную уголовную ответственность отвечающих за безопасность данных людей в компании, которая слила информацию. Если такого человека нет — то этим человеков автоматически должен становиться генеральный директор.
2. Заставить любую компанию, которая хранит у себя персональные данные людей, добавлять к каждому полю персональных данных цифровую подпись компании. Таким образом, при утечке данных будет очевидно, откуда они были слиты. Это как если бы вы на сканы своих документов добавляли водяные знаки с названиями компаний при загрузке их куда-либо.

Как ни посмотри на эти два момента — со всех сторон одни плюсы, да никаких минусов. Ну, точнее, они есть — достаточно очевидные, но все либо надуманные, либо очень просто решаемые. Например:

> Кто будет выдавать цифровые ключи компаниям?
Никто — любой сможет сгенерировать любое количество таких ключей, просто нужно сделать обязательным самостоятельную регистрацию публичных ключей в одном большом реестре

> Это не увеличит количество хранимых данных в несколько раз?
Нет, не увеличит. Можно будет хранить просто хеши данных, подписанные приватным ключом. Эти хеши мизерные, по сравнению с самими данными.

Зато в итоге у нас при любом сливе информации будет очевидно, кто именно эту информацию у себя небезопасно хранил. А потом и за решетку можно будет отправить виноватых.

Но главное понимать, что цель — это не посадить или оштрафовать как можно больше людей и компаний, а минимизировать утечки данных. Ведь под страхом реальных уголовных сроков и гигантских штрафов компании так или иначе начнут заботиться о безопасности персональных данных.

А какие минусы вы видите у этих двух правил? Может, еще что нужно добавить?

Идея интересная. Думая, что может пойти не так, я сразу думаю вот о чем:
Допустим, я генерирую в общем регистре ключи и подписываюсь именем конкурента (Или, если регистр публичный, то просто беру его ключи) Эти ключи использую на своём сайте. И если утечка у меня - ключи на данных висят не мои, а конкурента.

Понятно, что при детальном аудите это раскроется. Но в целом, вопрос вот в чем: кто и как обеспечивает соответствие ключей компаниям.

Сдаётся мне, по аналогии с лицензионным ПО в своё время, что на постсоветском пространстве крайним будет оставаться админ, независимо от того в какие колокола он бил о проблеме, но без действий со стороны вышестоящтх сделать сам ничего не мог. Да, можно долго рассуждать про увольнение из такой конторы, но, думаю, независимо от количесва сменившихся админов, рулетка рано или поздно остановится на конкретном.

ты подписался под должность, но тебе не выделяют ресурсы

Нельзя вводить уголовную ответственность за утечку, не существует системы которую нельзя взломать, например причиной может быть какой-нибудь зеродей о котором никто не знает, сажать ответственного человека за это очень несправедливо

И никто бы не захотел быть человеком ответственным за это

И вообще странно, утекли данные из-за какой нибудь тупой секретарши, а сажать будут отдел иб?

Этот ответственный человек должен сделать все возможное для минимизации рисков утечки.

Согласен, что нельзя просто так за сам факт утечки сажать — нужно подходить иначе. В случае, если не были приняты адекватные меры по обеспечениб безопасности данных нужно наказывать реальными сроками.

Большинство утечек недавних — это безалаберное отношение к данным. Незапароленные бд, дампы баз в гуглодрайвы с открытым доступом и подобное. Вот за это надо наказывать.

Пример из жизни, мой. Работал ИБшником и админом в одном лице (что уже в корне неверно) в одной довольно крупной горнодобывающей конторе. И однажды вышестоящая контора заказала аудит у пентестеров. Те разослали письмо интересным тематическим содержанием и с сылкой на трояна. Естественно, кто-то, причём, в вышестоящей конторе открыл, запустил и дал доступ бойцам. В итоге секс-рулетку устроили всем отделам ИТ всех подразделений и отделений...

Именно, потому что это отдел информационной безопасности. Одна из их обязанностей — это проводить инструктаж сотрудников и следить за тем, чтобы они не нарушали правила безопасности.