КазПочта спешит на помощь :)

судя по нику, какой-то агашка привыкший к командо-авральному режиму работы.
(эй вы, быстро) скинули мне в личку свои контакты...

Bake 😁

😏

В некоторых странах лет 10-20. Может и раньше. В наших странах лет 100 или вообще не наступит такое время. Сейчас продажа и закуп нефтепродуктов очень много денег приносит нашей экономике и определённым людям. Поэтому массовое внедрение чистого транспорта им не выгодно. Ну ещё плюс есть недоверие многих граждан к электрическим и водородным машинам. Многие, даже в этом чате, парафинят Элона Маска по разным причинам например. А это ещё больше тормозит развитие такого транспорта.

😄👍

да не раньше, нефть раньше закончится )

вернемся к вопросу рисков утечки биометрических данных.

весь вопрос и всю ответственность надо направлять к разработчикам систем которые используют эти данные.
если эти данные используются для идентификации - никаких проблем нет. это как логин.
вот, например, можете посмотреть на мой логин в телеграмм.
злоумышленнику это ничего не дает.
проблема возникает если вдруг, не побоюсь этого слова, больной архитектор-разработчик решит использовать биометрические данные для аутентификации, то есть как пароль.
если обычный пароль можно изменить/сбросить, то с биометрическими данными это не прокатит.

еще раз, если кратко:
биометрические данные как логин (для идентификации) - все ок, нет проблем. даже их утечка не сильно критична.
биометрические данные как пароль (для аутентификации) - дебила разраба на кол, всем пострадавшим от утечки - денежное вознаграждение, самому подавать прошение на банкротство или срочно менять имя и вывеску компании.

ответ от разраба: а нечего еблом светить где не просят :D

+

Всем добрый день

Есть кто нибудь с информационной системы электронных счёт фактур (ЭСФ)

Теперь пришли к консенсусу).  Но системы разные бывают и эти данные можно применять не только в наших отечественных так скажем системах что печальнее всего. Кроме того, был опыт когда известная в РК компания, вернее ТОО продвигая проект сильно упирала именно на биометрию как основной фактор. Слава яйцам ребята с ГТС понимали что био фактор этот только как дополнительный. Поэтому включили ещё проверку в том числе по номеру телефона а базе мою граждан итп. Но всеравно как то это напрягает когда твоя биометрия может оказаться где то там.

Удалю последние сообщения самого смущают)

Каспи так работает, лицо для идентификации, чтоб иин не вводить

Продам машину с Алматинскими номерами)))) городских прошу не беспокоить)))

Я с области. Продам короллу 2018 макс. Комплектация. Тюнинг

Регуляция пентестов.

На рынке пентестов нет нормальной экспертизы качества, и нет прозрачного ценообразования (как и во многих других нишах b2b enterprise).
Но есть некоторые регуляторные требования со стороны государств, которые ограничивают или лицензируют деятельность пентестеров.
Из здравого смысла ясно, что сделать это по-настоящему невозможно, потому что никто не может запретить консалтинг. Математически поиск ошибок от поиска уязвимостей не отличается, поэтому не очень понятно, как строго отличить пентест или аудит безопасности от функционального тестирования или технического аудита. На практике же это обычно возможно, конечно.

Требования по идее должны защищать заказчиков и государство от недобросовестных подрядчиков, а как на деле?
Я не специалист по регуляторным требованиям, так что поправьте меня, если моя картина мира слишком узкая. Глядя на то, какие есть государственные сертификации и лицензии для пентестерских компаний за рубежом, и какие они у нас, не могу не обратить внимание, например, на Великобританию.

В UK есть схема CHECK, принадлежность к которой могут требовать многие компании, а также это обязательно для тестирования КИИ (CNI).
Для присоединения к CHECK компаниям нужно:
1) Работать по английскому праву,
2) Иметь 12 месяцев официального опыта пентестов,
3) Все члены команды должны пройти проверку SC (Security Check) clearance, это аналог наших форм допуска,
4) Как минимум один член команды должен:
- Пройти экзамен по одной из 3 программ сертификации (там везде тесты, практические лабы, собеседования, стоимость экзамена порядка $2000-3000),
- Иметь опыт пентестов не менее 12 месяцев,
- Предоставить 2 примера обезличенных отчётов по пентесту,
- Предоставить техническое резюме,
5) Платить ежегодную пошлину (около $7000-15000 в зависимости от уровня).

Разумно звучит? Вполне разумно, даёт понимание, что в компании в принципе есть пентестерская компетенция. Там же в UK есть ещё и коммерческая сертификация CREST с похожими, но более жёсткими требованиями, которая ещё дороже и требует страховку, экзамен 3 сотрудников, а также прохождение комплаенса по ISO27001 или ISO9001.

Какие аналоги у нас?
А у нас пентесты регулируются организацией под названием ФСТЭК, и, например, Центробанк для проведения банковских пентестов требует наличие лицензии на деятельность по ТЗКИ, выдаваемой ФСТЭК.

Что же нужно для получения этой лицензии?
1) 3 человека в штате, у которых в бумажной трудовой книжке написано "специалист по защите информации", и там не менее 3 лет опыта у двоих из них и не менее 5 лет у одного (существует даже рынок найма таких людей ради их трудовых книжек),
2) Ежегодная аттестация помещения, где будет не более 1 окна, толстые стены, металлическая дверь, различные генераторы белого шума на стенах и батареях и двери (для проведения очень важных переговоров),
3) Покупка у ФСТЭК и ФГУП Стандартинформ бумажных заверенных копий различных ГОСТов,
4) Оплата госпошлины ($100),
5) Куча разного бумагомарательного говна вроде подписывания 150 листов бумаги.

ТЗКИ покрывает не только пентесты, это более широкое понятие, но всё равно очевидно, что это полный маразм и коррупция, требования отстали от жизни по меньшей мере на 30 лет.
Никакой проверки качества здесь нет, никакой страховки рисков для государства нет. Лицензию часто получают безымянные лавки, открытые вчера, после чего (незаконно) перепродают услуги, отдавая на субподряд.

Что делать? Не знаю. Бодаться с замшелой бюрократической организацией — себе дороже, так что все молча проходят через эти испытания и получают лицензию. Изменить ситуацию, наверное, могут банки и другие большие заказчики.
Ёжики плакали и кололись, но продолжали жрать кактус.

Зато пошлина 100$, а не 7000$ 😂

А как биоданные могут слить? Можно использовать лицо как 2FA или 3FA