GoldenLine
Zaloguj się
Krzysztof Kroczyński

Krzysztof Kroczyński prezes Zarządu,
Orion Instruments
Polska

Jarosław Postawa:
Krzysztof Kroczyński:
Ale paradoksalnie - nie można twierdzić, ze zabezpieczenia są niewystarczające.
Czasami są wystarczające tylko dlatego, że nikomu się nie chciało tam włamać. :) Miałem jednak już parokrotnie sytuację, gdy po włamaniu na szybko klient chciał kupić zabezpieczenia. Inny przykład - firma ma IPSy za ok 80k$, które nie są wykorzystywane "bo blokowały biznes" - nikt ich poprawnie nie skonfigurował lub nie zapłacił za to firmie zewnętrznej i tylko mielą powietrze. Na papierze wygląda pięknie - system jest.
One na ogół sa całkiem wystarczające, tylko celem nie jest perfekcyjna ochrona danych, a realizacja zapisów regulacji.
Z tymi zapisami regulacji też jest czasami wesoło. W dużej spółdzielni mieszkaniowej (a więc dane osobowe) jest jedynie firewall. Brak zabezpieczeń przed pobraniem szkodliwej treści z Internetu, brak monitorowania działań użytkowników, brak systemu backupu, a istotne dane pracownicy archiwizują na prywatnych pendrivach.

Nakłady na bezpieczeństwo oczywiście należy dostosować do wielkości firmy i wagi danych przechowywanych w systemach IT, ale proszę mi uwierzyć - nie jest tak dobrze, jak się powszechnie uważa.
Ale nie istnieje przepis w myśl którego firewall jest niedostatecznym zabezpieczeniem organizacji przetwarzającej dane osobowe. Proszę sie zastanowić, czy takiej spółdzielni zależy, żeby dane nie wyciekały?
Zablokowanie treści szkodliwych jest uważane za kłopotliwe i niewarte zachodu. Bo szansa, ze cos naprawdę strasznego sie stanie nie jest wielka.
I tak dalej.
Trzeba po prostu pogodzic sie, że dla organizacji nakłady na bezpieczeństwo to koszt, a nie inwestycja i jesli tylko da sie to biznesowo obronic - nie będą bezpieczeństwa rozwijać.
Link do wypowiedziLink
Patrycja Gadomska

Patrycja Gadomska Office Manager,
ComCERT SA

Audytów tak, ale jak przychodzi do ataku lub innego incydentu to 'zamiatają pod dywan' i siedzą cicho w myśl, że nikt się nie zorientuje ;)
Jarosław Postawa:
Patrycja Gadomska:
Banki i duże firmy zwykle ukrywają fakt naruszenia ich bezpieczeństwa teleinformatycznego. Nie chcą również dopóścić nikogo z zewnątrz do sprawdzenia słabości systemowych.
Tyle że przepisy i wymagania nakazują im robienie okresowych audytów przez firmy zewnętrzne. Sam parę takowych robiłem. Tak więc chcą dopuścić, chociaż pewnie nie każdego :)
Link do wypowiedziLink

konto usunięte

Jarosław Postawa:
Bogdan Pieńkowski:
Więc jakie to dokumenty UG przetwarza, że musi mieć kancelarię tajną?
A taki pierwszy przykład z brzegu z jednego UG:

2. Informacjami niejawnymi o klauzuli „zastrzeżone" w Urzędzie Gminy są informacje dotyczące m.in.:
1) Załącznik do „Planu operacyjnego funkcjonowania Gminy Leżajsk w warunkach zewnętrznego zagrożenia bezpieczeństwa państwa i w czasie wojny" - Karty realizacji zadań operacyjnych,
2) Dokumentacja Akcji Kurierskiej,
3) Wnioski o nadanie medalu za długoletnie pożycie małżeńskie.
4) Inne wg decyzji osób uprawnionych do podpisania dokumentów zastrzeżonych.

I to jest ten problem. Piszecie o sprawach, o których nie macie pojęcia.
Przetwarzanie informacji "zastrzeżonych" i "poufnych" nie stanowi obowiązku posiadania kancelarii tajnej!
Link do wypowiedziLink
Jarosław Postawa

Jarosław Postawa Właściciel,
Dorvin.Net

Patrycja Gadomska:
Audytów tak, ale jak przychodzi do ataku lub innego incydentu to 'zamiatają pod dywan' i siedzą cicho w myśl, że nikt się nie zorientuje ;)
Pisałem wcześniej, że parę razy po włamaniach na szybko były wdrażane mechanizmy bezpieczeństwa.

To tak jak z ubezpieczeniem na wypadek powodzi. Mało kto wykupił, a potem wyciągnięta do państwa rączka "bo ja wszystko straciłem". A biura podróży i ściąganie ludzi do kraju przez instytucje samorządowe? Tak więc każdy ma wybór - czy zabezpieczy się przed, czy po ataku. Bo atak prędzej czy później nastąpi. Pozostawiam temat do przemyślenia.
Link do wypowiedziLink

konto usunięte

Jarosław Postawa:
Tak więc każdy ma wybór - czy zabezpieczy się przed, czy po ataku. Bo atak prędzej czy później nastąpi. Pozostawiam temat do przemyślenia.

Tak, tak bo:
1. sfrustrowany członek spółdzielni mieszkaniowej "Nowy Świt" w Otwocku będzie chciał i umiał w niej namieszać,
2. wartość danych 1000 członków stanowi atrakcyjny towar i sprzedam go w ciągu miesiąca za 100k$,
3. nie lubię prezesa,
4. nie lubię sąsiada i jak ukradnę dane to ogłoszę, że ma 600zł zadłużenia
5. Anonymous się uwzięli bo "Nowy Świt" im się źle kojarzy,
6. pracownica sprzeda dane członków konkurencji za tabliczkę czekolady,
7. w ostatnim roku na 100 spółdzielni mieszkaniowych było 30 ataków.

nie chce mi się dalej wymyślać :):) Może Pan Jarosław poda uzasadnienie tej tezy!
Link do wypowiedziLink

konto usunięte

. Edit poszło 2xBogdan Pieńkowski edytował(a) ten post dnia 18.10.12 o godzinie 15:09
Link do wypowiedziLink
Patrycja Gadomska

Patrycja Gadomska Office Manager,
ComCERT SA

I właśnie Pan Bodgan jest przykładem osoby bagatelizującej problem bezpieczeństwa danych teleinformatycznych.

Jedna drobna Spółdzielnia a mieszkańcow 1000, kolejna drobna Spółdzielnia i kolejny 1000, itd.... i robi się olbrzymia baza danych.

Obiekt bardzo łatwy do ataku, bez specjalnych zabezpieczeń.......

W przykładowej Spółdzielni znajdują sie bardzo szczegółowe dane mieszkańców (adresy, numery ksiąg wieczystych, numery kont bankowych, ilość osób zameldowanych w lokalu, nr PESEL, inf poprzednich najemcach lub właścicielach, itd). Niby nic, a jednak dla zainteresowanych bardzo cenne informacje - po wstępnej weryfikacji- oczywiście.
Link do wypowiedziLink
Krzysztof Kania

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Bogdan Pieńkowski:
I to jest ten problem. Piszecie o sprawach, o których nie macie pojęcia.

Nie wiem czemu używasz liczby mnogiej. Pisałem ogólnie o informacji niejawnej bez wskazywania na to czy mają klauzulę zastrzeżone, poufne, tajne czy ściśle tajne. I przyznaje że tak, ustawa wymaga kancelarii tajnej do przetwarzania informacji o klauzuli tajne lub ściśle tajne. Ale jeśli tak dobrze znasz ustawę wiesz również że informacje niejawne opatrzone klauzulą poufne obostrzone są dodatkowymi zastrzeżeniami w tym w szczególności tymi wynikającymi z art. 45, 46. Natomiast co do tego jakie to informacje tajne czy ściśle tajne ma gmina mogę się tylko domyślać ale pewności nie mam więc pisał po próżnicy nie będę. Weź tylko pod uwagę że w wielu gminach są ulokowane czy to obiekty wojskowe czy to obiekty o znaczeniu strategicznym np. dla bezpieczeństwa energetycznego państwa i "dośpiewaj" sobie resztę.

A tak na marginesie ponieważ dyskusja toczy się w kontekście rozwiązań IT to polecam wszystkim lekturę całego rozdziału 8 ustawy.
Link do wypowiedziLink
Krzysztof Kania

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Bogdan Pieńkowski:
1. sfrustrowany członek spółdzielni mieszkaniowej "Nowy Świt" w Otwocku będzie chciał i umiał w niej namieszać,

Tak się składa że by popsuć wiele umieć nie trzeba - wystarczy solidnie machnąć toporkiem po dyskach.
2. wartość danych 1000 członków stanowi atrakcyjny towar

Są tacy dla których potencjalnie może to być atrakcyjny towar. Ot wystarczy tych danych by założyć konta w banku.

...
Link do wypowiedziLink

konto usunięte

Patrycja Gadomska:
I właśnie Pan Bodgan jest przykładem osoby bagatelizującej problem bezpieczeństwa danych teleinformatycznych.
Czy Pani wie na czym polega zarządzanie ryzykiem? Jestem ostatnią osobą, która bagatelizuje bezpieczeństwo. Ja tylko w przeciwieństwie do innych oceniam je obiektywnie na podstawie informacji, danych, przesłanek, analizy ryzyka i wielu, wielu innych czynników. I zanim coś doradzę wykonam trochę pracy, a nie zakładam, że skoro chodzę po ulicy to kiedyś ktoś mnie rozwali bmk-ą.
Jedna drobna Spółdzielnia a mieszkańcow 1000, kolejna drobna Spółdzielnia i kolejny 1000, itd.... i robi się olbrzymia baza danych.
Tak tak i wszystkie systemy w tych spółdzielniach działają jednakowo, mają takie same środowiska, te same hasła itd. itp.
Obiekt bardzo łatwy do ataku,
I co z tego?

W przykładowej Spółdzielni znajdują sie bardzo szczegółowe dane mieszkańców (adresy, numery ksiąg wieczystych, numery kont bankowych, ilość osób zameldowanych w lokalu, nr PESEL, inf poprzednich najemcach lub właścicielach, itd). Niby nic, a jednak dla zainteresowanych bardzo cenne informacje - po wstępnej weryfikacji- oczywiście.
Cenne dla kogo? Tyko proszę nie pisać, że dla pospolitego złodzieja, bo zapewniam Panią on takich danych nie potrzebuje, albo je ma zdobyte innymi prostszymi sposobami.
Link do wypowiedziLink

konto usunięte

Krzysztof Kania:

Znam ustawę bo mam z nią do czynienia praktycznie, a nie teoretycznie od wielu lat :)
Tak się składa że by popsuć wiele umieć nie trzeba - wystarczy solidnie machnąć toporkiem po dyskach.
Jak zrobiłbyś badania to idę o zakład, że pierwszym celem byłby monitor, a nie dysk w obudowie pod biurkiem :)
Są tacy dla których potencjalnie może to być atrakcyjny towar. Ot wystarczy tych danych by założyć konta w banku.
Pod warunkiem, że w banku mamy "swojego" człowieka. A jak mamy to nie potrzebujemy "niczego". A swoją drogą są łatwiejsze sposoby posłużenia się kontem bankowym innej osoby :):) i to założonym zupełnie legalnie.
Link do wypowiedziLink
Patrycja Gadomska

Patrycja Gadomska Office Manager,
ComCERT SA

Bogdan Pieńkowski:
Patrycja Gadomska:
I właśnie Pan Bodgan jest przykładem osoby bagatelizującej problem bezpieczeństwa danych teleinformatycznych.
Czy Pani wie na czym polega zarządzanie ryzykiem? Jestem ostatnią osobą, która bagatelizuje bezpieczeństwo. Ja tylko w przeciwieństwie do innych oceniam je obiektywnie na podstawie informacji, danych, przesłanek, analizy ryzyka i wielu, wielu innych czynników. I zanim coś doradzę wykonam trochę pracy, a nie zakładam, że skoro chodzę po ulicy to kiedyś ktoś mnie rozwali bmk-ą.
Jedna drobna Spółdzielnia a mieszkańcow 1000, kolejna drobna Spółdzielnia i kolejny 1000, itd.... i robi się olbrzymia baza danych.
Tak tak i wszystkie systemy w tych spółdzielniach działają jednakowo, mają takie same środowiska, te same hasła itd. itp.
Obiekt bardzo łatwy do ataku,
I co z tego?

W przykładowej Spółdzielni znajdują sie bardzo szczegółowe dane mieszkańców (adresy, numery ksiąg wieczystych, numery kont bankowych, ilość osób zameldowanych w lokalu, nr PESEL, inf poprzednich najemcach lub właścicielach, itd). Niby nic, a jednak dla zainteresowanych bardzo cenne informacje - po wstępnej weryfikacji- oczywiście.
Cenne dla kogo? Tyko proszę nie pisać, że dla pospolitego złodzieja, bo zapewniam Panią on takich danych nie potrzebuje, albo je ma zdobyte innymi prostszymi sposobami.

Nie, nie dla pospolitego złodzieja. Ale już dla grupy zorganizowanej, która wyłapuje dane osób majętnych i dokonuje np. porwań dla okupu lub szantażu, itp - to jest na wagę złota. O tym się bardzo mało mówi niestety (inwigilacja - jest na porządku dziennym). Inny przykład: przeciętnym Kowalskim może się nikt nie zainteresować - do momentu, aż przeciętny Kowalski stanie się (przez przypadek) 'sławnym' Kowalskim.
A wtedy cała kartoteka Kowalskiego zostanie bardzo drogo sprzedana i wykorzystana w odpowiedni sposób.
Mnóstwo skradzinych danych czeka na odpowiednią chwilę, aby stać się użytecznymi.

Zresztą odpowiednie zabezpieczenia teleinformatyczne nie są tylko kwestią kradzieży danych, ale również używania komputerów takiej niezabezpieczonej jednostki do wykonywania (nieświadomie) ataków na inne komputery np. Rządowe.

Pozdrawiam
Link do wypowiedziLink

konto usunięte

Patrycja Gadomska:
Nie, nie dla pospolitego złodzieja. Ale już dla grupy zorganizowanej, która wyłapuje dane osób majętnych i dokonuje np. porwań dla okupu lub szantażu, itp - to jest na wagę złota.

Pani Patrycjo do tego żeby widzieć, że Jan Kowalski prowadzący firmę XYZ ma kasę nie potrzebuję włamywać się do systemu US. Zresztą tam bym się dowiedział, że przychód ma na poziomie 200k miesięcznie, ale dochód to tylko 2k :) Żeby widzieć do jakiej szkoły chodzi dziecko pana Kowalskiego nie muszę włamywać się do sieci kuratorium. Żeby wiedzieć, o której kończy lekcje nie będę włamywał się do e-dziennika. W sieci UM też nie dowiem się, że codziennie ze szkoły zabiera go czerwony ML240.
Inny przykład: przeciętnym Kowalskim może się nikt nie zainteresować - do momentu, aż przeciętny Kowalski stanie się (przez przypadek) 'sławnym' Kowalskim.
A wtedy cała kartoteka Kowalskiego zostanie bardzo drogo sprzedana i wykorzystana w odpowiedni sposób.

Zwłaszcza jak wygra "Mam talent" lub "Jaka to melodia" :)
Mnóstwo skradzinych danych czeka na odpowiednią chwilę, aby stać się użytecznymi.

Ja nawet wiem w czyjej szafie takie dane leżą i zapewniam Panią, że nie ma tam nic o Pani.
Zresztą odpowiednie zabezpieczenia teleinformatyczne nie są tylko kwestią kradzieży danych, ale również używania komputerów takiej niezabezpieczonej jednostki do wykonywania (nieświadomie) ataków na inne komputery np. Rządowe.

Niech mnie Pani nie osłabia. Stare złomy pracujące do 16 z łączem 512kb mają być zombie?

CSI Kryminalne zagadki, czy książki Tolkiena?
Czuję się jakbym prowadził symultanę na kilku szachownicach, ale mnie to już zaczęło bawić dawno temu.Bogdan Pieńkowski edytował(a) ten post dnia 18.10.12 o godzinie 22:48
Link do wypowiedziLink
Krzysztof Kroczyński

Krzysztof Kroczyński prezes Zarządu,
Orion Instruments
Polska

Bogdan Pieńkowski:
Jarosław Postawa:
Tak więc każdy ma wybór - czy zabezpieczy się przed, czy po ataku. Bo atak prędzej czy później nastąpi. Pozostawiam temat do przemyślenia.

Tak, tak bo:
1. sfrustrowany członek spółdzielni mieszkaniowej "Nowy Świt" w Otwocku będzie chciał i umiał w niej namieszać,
2. wartość danych 1000 członków stanowi atrakcyjny towar i sprzedam go w ciągu miesiąca za 100k$,
3. nie lubię prezesa,
4. nie lubię sąsiada i jak ukradnę dane to ogłoszę, że ma 600zł zadłużenia
5. Anonymous się uwzięli bo "Nowy Świt" im się źle kojarzy,
6. pracownica sprzeda dane członków konkurencji za tabliczkę czekolady,
7. w ostatnim roku na 100 spółdzielni mieszkaniowych było 30 ataków.

nie chce mi się dalej wymyślać :):) Może Pan Jarosław poda uzasadnienie tej tezy!
A co właściwie obchodzi spółdzielnię mieszkaniową czy ktoś pobrał bazę danych jej członków?
Link do wypowiedziLink
Sławomir Broda

Sławomir Broda VBA, Excel, Access,
SAP i wszystko
związane z
automatyzac...

Bogdan Pieńkowski:

Niech mnie Pani nie osłabia. Stare złomy pracujące do 16 z
WOL ?
łączem 512kb mają być zombie?
Wystarczy.
1000 takich złomów i już można się bawić.
Link do wypowiedziLink

konto usunięte

Sławomir Broda:
Bogdan Pieńkowski:

Niech mnie Pani nie osłabia. Stare złomy pracujące do 16 z
WOL ?

Na listwę zasilającą też zadziała?
łączem 512kb mają być zombie?
Wystarczy.
1000 takich złomów i już można się bawić.

1000 kompów to jakieś 200 spółdzielni :) Powodzenia.
Link do wypowiedziLink
Sławomir Broda

Sławomir Broda VBA, Excel, Access,
SAP i wszystko
związane z
automatyzac...

Bogdan Pieńkowski:
Sławomir Broda:
Bogdan Pieńkowski:

Niech mnie Pani nie osłabia. Stare złomy pracujące do 16 z
WOL ?

Na listwę zasilającą też zadziała?
Kto w pracy listwy zasilające wyłącza ?
łączem 512kb mają być zombie?
Wystarczy.
1000 takich złomów i już można się bawić.

1000 kompów to jakieś 200 spółdzielni :) Powodzenia.
Bo tylko w spółdzielniach są stare złomy, które można wykorzystać, prawda ?
Link do wypowiedziLink

konto usunięte

Dyskusja robi się czysto akademicka. Mam w domu 4 komputery i jakiś tani router. Czy to znaczy, że mam sobie zainstalować IDS/IPS-a, a może wstawić Data Diodę? Panie Sławku niech mnie Pan przekona :D Finansowo mnie stać, skonfiguruje sam więc backdora nie będzie. Czekam na uzasadnienie.Bogdan Pieńkowski edytował(a) ten post dnia 19.10.12 o godzinie 09:50
Link do wypowiedziLink

konto usunięte

A tak puentując na koniec, bo nie chce mi się ciągnąć tej dyskusji, lokujecie swoje "fobie" w błędnych obszarach :) Pytając globalnie: co łatwiej wykryć, wyciek danych z systemu IT, czy kreta w firmie?
A personalnie bardziej obawiałbym się o straty spowodowane instalacją na smartfonie z androidem klienta do pewnego popularnego serwisu (i nie chodzi o fb ani nk) niż włamaniem do domowej sieci.
Edit. literówkaBogdan Pieńkowski edytował(a) ten post dnia 19.10.12 o godzinie 09:50
Link do wypowiedziLink
Sławomir Broda

Sławomir Broda VBA, Excel, Access,
SAP i wszystko
związane z
automatyzac...

Bogdan Pieńkowski:
Dyskusja robi się czysto akademicka. Mam w domu 4 komputery i jakiś tani router. Czy to znaczy, że mam sobie zainstalować IDS/IPS-a, a może wstawić Data Diodę? Panie Sławku niech mnie Pan przekona :D Finansowo mnie stać, skonfiguruje sam więc backdora nie będzie. Czekam na uzasadnienie.
Ja tylko podważam argument starych komputerów pracujących do 16. Z resztą się zgadzam.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy



Wyślij zaproszenie do
Anuluj