11.01.2010

Неприятная тенденция - от безопасников избавляются

Два неприятных инцидента, которые показывают, что безопасность - это сложное и опасное занятие. В одном случае за правду уволили сотрудника ИБ КАМАЗа, в другом - руководителя ОТЗИ ГУ БР по Ленинградской области.

41 коммент.:

e1am0 комментирует...

про камаз - за эту запись в блоге уволили?
по поводу вообще увольнений - доверия нет. менталитет такой, нужны цепные псы, опричники, которые будут отрабатывать команду фас, когда хозяин скажет. а до той поры сидеть и не отсвечивать, а уж сор то из избы выносить...
правда иногда не вынести просто невозможно...

Vigboo комментирует...

Чтот я по поводу КАМАЗа не понял. Где пост то нужный? По приведенной только про ботнет организовавшийся :)

Quiet Zone комментирует...

Если уволили за запись в блоге, то я не то чтобы приветствую, но, скажем, понять могу - как никак публикация информации об уязвимостях да и вообще сор из избы. GJ втоу без комментариев, все понятно. А вообще ИБ тут, думаю, не определяющая - в любой специальности шкурников и интриганов хватает. Мало их что ли в политике, шоу-бизнесе? Думаю много больше.

Quiet Zone комментирует...

ЗЫ кстати, поясните плиз, зачем в истории с КАМАЗом ссылка на СТР-К?

ivlad комментирует...

если я правильно понял статью по первой ссылке, там ИБ сидело и несколько месяцев наблюдало разворачивающийся ботнет, ничего не делая, только строча отчеты.

Ну и то, что они про это написали, тоже чести не делает.

Правда, я помню, как представитель ЦБ на какой-то конференции с трибуны возьми, да и скажи, что у них Conficker заразил 70% виндовых машин. Так что это еще не самый вынос сора.

Алексей Лукацкий комментирует...

Все не так ;-( Исходная запись (про КАМАЗ) была удалена ;-( Уже во второй раз. Видимо на автора блога идет давление ;-(

Изначально там был рассказ о нелицеприятной для руководства КАМАЗа ситуации с ИБ и увольнении руководителя ИБ за попытку решить эту проблему, путем выноса ее на руководство.

Анонимный комментирует...

Эх, Алексей а я думал с хорошей новости год начнется в блоге...

Алексей Лукацкий комментирует...

Ну из хорошего по теме пока только перенос сроков, утвержденный Президентом 29-го декабря ;-)

Mast комментирует...

Самое веселье в списке мероприятий на КАМАЗе:
приобрести и обновить антивирусное ПО;

ivlad комментирует...

Видимо на автора блога идет давление ;-(

Если автор блога пишет о проблемах ИБ на КАМАЗе в публичном блоге, я ничуть не сомневаюсь, что на него идет давление. По-моему, логичность этого действия очевидна.

Алексей Лукацкий комментирует...

Он опубликовал это ПОСЛЕ увольнения, а не ДО.

Анонимный комментирует...

Алексей, а можно подробнее о переносе сроков, что и как и в какой мере переносится...

Алексей Лукацкий комментирует...

Приведение в соответствие ИСПДн, созданных до 1.01.10 (а не .07), перенесено на год, до 1.01.11.

eagle комментирует...

Сам прошел через это год назад, так что искренне сочувствую коллегам. Знаю еще как минимум 3 таких же случая в банках из топ-50 (1 свежий, 2 двухлетней давности), так что формулировка заголовка этого поста имеет право на жизнь...
Однако, на мой взгляд, коллеги немного перегибают палку. Даже если компания поступила несправедливо, это еще не повод разглашать ее коммерческую тайну на публичных ресурсах...

Исходная запись (про КАМАЗ) была удалена ;-( Уже во второй раз. Видимо на автора блога идет давление ;-(
Если интересно почитать удаленную запись - в кэше гугла она осталась.

Anik1966 комментирует...

Автор публикации отвечает:
1. В 2007-м году разработанная мной стратегическая программа по созданию комплексной системы информационной безопасности КАМАЗа прошла оценку экспертов и получила награду ЗУБР в номинации "За стратегический подход к построению системы информационной безопасности на крупнейшем отраслевом предприятии промышленности" - итог награда стоит в кабинете заместителя генерального директора по безопасности мне - устное спасибо!
2. В 2008 - м году этот же заместитель генерального директора снова не без моей помощи был награжден медалью ФСТЭК - II-й степени "За личный вклад...." , а также специальная награда (также стоит в кабинете заместителя ГД по безопасности). Мне снова устное спасибо.
Я надеялся на то, что человек получив такие высокие награды как прикомандированный пенсионер ФСБ быстро вникнет в суть вопроса, ан нет - не вышло! Награды получил, а вот теперь надо работать. Но тут как его спасает кризис! Последнее что я от него услышал - это Отозвать все проекты !!! Денег нет!!! (7 проектов по внедрению подсистем, включая "Контроль доступа на объекты", "Идентификация пользователей в сети", "Корпоративный УЦ" и т.д.). При этом параллельно внедрялся проект "Бережливое производство" по которому только на приглашение иностранных делегаций КАМАЗ затратил несколько миллионов. Где логика? А логика я скажу Вам в том, что боятся такие люди что либо делать и лишний раз беседовать с генеральным директором по вопросам за которые им и положено отвечать. Нет безопасника - нет проблем с безопасностью. Вот вам и причина моего ухода с КАМАЗа.

Anik1966 комментирует...

Для желающих более подробно ознакомиться с материалом прошу писать автору Anik1966@rambler.ru

Anik1966 комментирует...

Алексей большое спасибо за поднятый вопрос. Буду рад обсудить его подробно в этом году при встрече на форуме "Съезд директоров ИБ"

eagle комментирует...

Нет безопасника - нет проблем с безопасностью.
Золотые слова... Мне тоже именно по этой же причине пришлось покинуть одну финансовую организацию, в которой я проработал 4 года. И мне казалось, что вполне успешно...
С одной стороны встает вопрос о месте Службы ИБ в орг.структуре компании (СБ и ИТ - часто плохой вариант), а сдругой стороны... может мы сами делали что-то не то, не так или не вовремя? Мне кажется неправильной позиция, когда в компании Служба ИБ с одной стороны баррикад, а весь остальной персонал компании во главе с руководством - с другой... Может имеет смысл не бизнес просвящать по вопросам ИБ, а самим немножко поучиться бизнесу? ;-)

Anik1966 комментирует...

Может имеет смысл не бизнес просвящать по вопросам ИБ, а самим немножко поучиться бизнесу? ;-)
Абсолютно с Вами согласен. С бизнесом необходимо разговаривать только на их языке. А как вы поступите в многоукладной системе?:
1. Клан приближенных к руководству.
2. Национальный клан.
3. Торгово-финансовая группа.
и в этой системе Ваше место к примеру № 32 не выше. Это еще хорошо если Вам нет 30 лет. В противном случае на учебу и рост времени Вам просто не хватит. В марте прошлого года на форуме "съезд директоров ИТ я озвучивал свою мысль о том, что самое дорогое с моей точки зрения - это стоимость интеллектуальных активов и способности человека творчески мыслить на протяжении активного времени своей жизни. Как вам такой тезис?

Анонимный комментирует...

2Anik1966 А воз и ныне там ;) Ни малейшего намека на документ позволяющий принимать меры воздействия к пользователям. Ходят по порнухе, заразу тащат. Раздают свой учетные записи. и т.д. Пишу письма иногда на самых злостных, а реакции никакой.

Anik1966 комментирует...

2Anik1966 А воз и ныне там ;)
Так и будет, пока реально первое лицо предприятия не начнет само требовать исполнения своих же указаний не декларативно (для галочки) а именно реально. А теперь представьте, возможно ли это у Вас?
Ну и еще более иллюзорный вариант что генеральный директор доверит эту функцию (по истребованию) лично Вам с ежедневным или еженедельным личным докладом.

eagle комментирует...

Сорри, дальше много букв... Алексей, большое спасибо за тему. За год накопилось много мыслей на этот счет. "Прорвало"... :)

To Anik1966
Наверное очень много зависит от конкретной компании и универсальных рецептов нет. Хотя, нет. Это слишком общая фраза. Скорее так: это зависит от уровня зрелости компании (как самого бизнеса, так и его бизнесменов - наемный менеджмент, который интересует не компания, а свои бонусы - это отдельная песня, но не нам это менять, надо думать как с этим жить), от оценки рисков (которая даже при отсутствии на бумаге, всегда есть в головах руководителей), а также от степени доверия к руководителю Службы ИБ (даже если он №32). Основной вывод, который я сделал для себя - это то, что нужно сосредоточиться на следующих трех вещах (пока в теории):

1. Понять, что именно сейчас в данный момент нужно руководству компании - и заняться именно этим. Не нужно навязывать компании свое "правильное" мнение и "глобальное видение", ломать и усложнять бизнес-процессы, пачками издавать нормативные документы - пусть они сначала дорастут до этого и проявят инициативу. Для Службы ИБ всегда найдутся несколько конкретных задач - ведь для чего-то руководство ее создало :)

2. Трезво взглянуть на риски ИБ. Не нужно шаблонов! По моему мнению, мы (Служба ИБ), увы, часто их переоцениваем. Да, когда мы видим сеть с парой сотен серверов, ни на одном из которых нет ни патчей, ни антивирусов, а половина пользователей в основных учетных системах компании имеет почти не ограниченный доступ - нас это приводит в ужас. Хочется сразу же все закрыть, запретить. Ведь очевидно же, что любая зараза может в два счета разорить компанию на хрен! Но наши идеи почему-то все воспринимают в штыки... И оказывается, что компания так живет уже много лет и ничего, жива... То ли заразы такие необразованные, то ли они настолько патриотичны, то ли боятся чего-то... Может этот риск и не так страшен на самом деле (здесь и сейчас)? Вы не подумайте, я не к тому, это надо так и оставить, а к тому, что это возможно не первостепенная вещь. Да и перепрыгнуть на 4-й уровень с 0-1 не удастся... Надо постепенно. Помня при этом, что для коммерческой компании обычно приоритет №1 - "Доступность", а вовсе не "Конфиденциальность".

3. Заняться самопиаром (как бы гнустно это не звучало). Решить несколько простых проблем минимальными средствами (на 0-1 уровне развития таких проблем будет достаточно). Причем они должны как минимум не усложнять бизнес, а лучше - упрощать и делать удобнее. И безопаснее. Ну, например, сделать руководству подарок в виде удобной и безопасной системы удаленного доступа ко внутренней сети, взамен старой, ограниченной, неудобной и, конечно же, небезопасной. Сразу можно убить кучу зайцев. Еще пример - разобраться с несколькими бизнес-процессами и попытаться их оптимизировать, заодно добавив туда пару контрольных процедур... А еще нужны красивые отчеты для руководства, чтобы они чувствовали, что понимают состояние ИБ. С метриками и достижениями.

Вариант, конечно, далеко не идеальный, с точки зрения "правильного построения комплексной системы ИБ"... Но для организации на 0-1 уровне развития, руководство которой не готово к глобальным переменам, "лучшие практики" вряд ли применимы...

Что касается возраста и учебы, тут я с Вами, пожалуй не соглашусь. Учиться надо всегда и при желании всегда можно найти час-два в день для учебы. Мне больше 30, но я не вижу связанных с этим проблем. Никто не мешает записать в коммуникатор или ноутбук видеолекции, аудиокниги или обычные книги, и пользоваться ими в транспорте, на обеде, вечером... В режиме дистанционного обучения сейчас можно получить даже МВА! Просто не нужно постоянно сидеть на работе до 10 вечера (еще одни мои грабли), все равно этот трудовой подвиг никто не оценит, скорее наоборот.

С Вашим тезисом об интеллектуальных активах и творческом мышлении полностью согласен. Но не совсем понял, в каком контексте Вы приводите этот тезис. Мне, к сожалению, на прошлом "съезде" побывать не удалось.

eagle комментирует...

To Анонимный
А может стоит понять почему пользователи качают порнуху и раздают свои учетные записи? И заняться причиной этих проблем, а не следствием? Порнуху они качают скорее всего потому, что им делать нечего на работе или не мотивированы они трудиться. Этот вопрос средствами ИБ не решается - отдайте этот вопрос HR. Для борьбы с заразой, которую они тащат при этом, используйте антивирусную защиту и добейтесь ее хорошей работы. Если нужна большая защита - внедрите систему фильтрации трафика или перенесите интернет на терминальный сервер... Пусть это будет прозрачно для пользователей.
С учетными записями тоже стоит разобраться более детально. Возможно у Вас очень сложная процедура получения доступа и пользователям проще передать свой пароль...

Анонимный комментирует...

Ситуация на КАМАЗе в области IT как у Стивена Кинга в одноименном романе. За ночь контроллер домена может осознать себя и обновиться с win2000 до 2008 вместе с AD (реальное объяснение ведущего специалиста хоть и немного утрированное)

Анонимный комментирует...

Алексей, закон подписан не 29.12, а 27.12:
Федеральный закон от 27 декабря 2009 г. N 363-ФЗ "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных".

melifaroh комментирует...

eagle - подскажите пожалуйста по поводу дистанционного получения MBA. куда обращаться.

eagle комментирует...

melifaroh, например, сюда - www.mba.ru

Анонимный комментирует...

Вот читаю это и думаюю - афигеть, глобализация. Что у нас тут, то и у вас там :-)

VEKk комментирует...

2eagle:
кроме кеша гугла есть еще кеш яндекса, и заточенные инструменты, типа восстановление блогов из кеша яндекса
http://shiitman.net/yandexcache

ivlad комментирует...

В режиме дистанционного обучения сейчас можно получить даже МВА!

И это будет совершенно бесполезная трата денег. Соль MBA - в общении с другими людьми, имеющими разнообразный опыт. А книжки по менеджементу можно и так читать, поверьте.

Алексей Лукацкий комментирует...

Общаться с другими людьми можно и без MBA ;-)

Quiet Zone комментирует...

Да-да, по поводу MBA соглашусь - заочно или дистанционно это лишено смысла, только если нужно формальное бумажко (у мну есть аж с 2000 года, и ни разу еще не понадобилась). Обучение в основном выстроено в форме Case Study, работ в команде. А управление вообще, это, как известно, умение ладить с людьми, которые тебе не нравятся, MBA тут может служить лишь дополнением к этому социальному навыку, да и то только если вы решили профессионально заниматься именно управлением. А вот то, что профессиональные сертификации типа CISSP или CISA, недоступны дистанционно, очень жаль (несмотря на то, что подобная доступность резко снизит их статус). Хотя, помнится, их полезность Алексеем в свое время тоже ставилась под сомнение;)

ivlad комментирует...

Общаться с другими людьми можно и без MBA ;-)

Можно, но ты ведь понимаешь, что концентрация нужных людей имеет значение.

Алексей Лукацкий комментирует...

Вопрос только в нужности и правильном месте ;-) Не каждая школа MBA дает возможность общаться с действительно нужными людьми.

eagle комментирует...

Коллеги, а разве речь идет о полном превращении безопасника в бизнесмена с помощью МВА? Для этого и хорошего очного МВА будет мало - нужен еще и большой опыт и внутренние способности. Я предлагаю использовать МВА, чтобы лучше понять (оставшись безопасником) как работает бизнес, понять его приоритеты и цели, получить знания по эффективному управлению персоналом, коммуникациям, управлению проектами, планированию, рискам и т.п. Если кто-то узнал все это на личном опыте - чудесно. Остальные могут рассматривать дистанционный МВА как сборник "лучших практик". В таком варианте, имхо, он подходит как нельзя лучше.

Анонимный комментирует...

Искренне повесилили с МБА. Правда кто-то столь наивен, думая, что безопасник, закончив авторитетый (а лучше западный) МБА останется безопасником :). Ага, щаз.
А все остальное (кроме топовых МБА) не более чем пародия на МБА. Ну или тусовка просто правильных людей, даже просто потусовавшись с которыми и проникнувшись бизнесом безопасник быстро поймет, что он занимается точно не тем делом.
Так что хотите перестать быть безопасником - идите на МБА :).

Анонимный комментирует...

"Anik1966: Так и будет, пока реально первое лицо предприятия не начнет само требовать исполнения своих же указаний не декларативно (для галочки) а именно реально."
Недолго думал, что сделано не так и почему человека уволили. Ответ - нефиг толкать телегу впереди паровоза. Если руководство не заинтересовано в ИБ, решать надо именно эту проблему - заинтересовать их, а не в коем случае не заниматься проектами ИБ :) ИБ у нас для бизнеса, а не против. Заинтересовать можно например предоставив план обработки рисков для расставления галочек :) "Вес" этого плана характеризует ваш класс как руководителя ИБ. То есть, дело не в методике оценки даже, а в том кого вы к ней привлечете - должны стоять подписи его замов по бизнесу, что риски ИБ высокие, а не ваша ;)

Anik1966 комментирует...

Итак, вывод. Все плохо. И что? Мы и раньше это знали. А вот что делать? На самом деле однозначного рецепта нет! Нужно всячески пропагандировать безопасную работу с ПК, используя для это школу и средства массовой информации. А то ведь наши уроки информатики в школах скорее напоминают уроки «компьютерной безграмотности». Нужно делать специальные видео и аудио передачи для пользователей. Короче – нужно ликвидировать вопиющую компьютерную безграмотность! Кто-то скажет, не до того, выжить бы. А может мы потому в очередной раз так живем, что нам так удобно? И ни думать, ни учить, ни делать ничего не надо! Это там, на Западе компьютеры, мы и лопатой можем? Нет уж.

Хватит

eagle комментирует...

Думаю, что проблема несколько шире, чем простая безграмотность. Это просто человеческая природа (ну и пресловутый "русский менталитет" тоже сказывается :)). Требования безопасности не выполняются потому, что они усложняют жизнь, большинству людей просто лень это делать, к тому же они не видят в этом существенных рисков. Да разве эта проблема касается только ИБ? Подумайте, многие ли ставят сигнализацию в квартиру? Многие ли страхуют здоровье и имущество? Многие ли проходят медицинское обследование раз в год? Многие ли делают элементарную зарядку по утрам?! А ведь все это напрямую оказывает влияние на здоровье и имущество каждого конкретного человека... А Вы говорите ИБ. :)
Наверное правильнее не пытаться перевоспитать человека, а пытаться реализовать "прозрачную" для него безопасность, чтобы она минимально зависила от действий (бездействий) пользователя. Нужно учитывать "человеческий фактор" (как одно из начальных условий) при реализации проектов безопасности.
Хотя обучение и повышение осведомленности тоже имеет крайне важное значение, не нужно полагаться только на это.

Анонимный комментирует...

Часто увольняют из-за того, что кто-то кому-то сказал....Может это клевета, выгодная ее автору, может это внутренние интриги, руководство загорелось, и понеслось все...

Anik1966 комментирует...

В прошлом году Республиканское руководство неоднократно упоминало , что ваши руководители очень слабые и зачастую совершенно некомпетентные в тех вопросах которые задает им руководство республики. Да вы об этом и сам знаете. Посмотрите ближайшие документы по прошлому году касающиеся трудоустройства сокращенных работников. Во всем вопиющая неграмотность ! А страдают ни в чем не повинные граждане от которых как от "баласта" по словам генерального директора вашей компании она (компания)избавилась. Вот и думайте куда ведут вас ваши руководители. Гордое имя "камазовцы" превратили в нелицеприятное "камаз-овцы". Тогда будьте готовы к новым "жертвам".