Ашот Оганесян про утечку персональных данных

Есть что сказать про коммерческие компании и защиту информации:
Я имел отношение к производству печатных плат. Посещал такие заводы как Samsung(SEMCO), IBIDEN, AT&S, Avary(бывший Foxcon). Так вот там секьюрити рулсы диктует, зачастую, заказчик плат. Например у завода заказ от Эппл - значит не пронесешь ты во внутрь телефон с камерой (без можно). Или если заказчик Интел - то к запрету на камеры добавляется запрет на все устройства я беспроводной коммуникацией (WiFi, Bluetoth, IR и тд), а проводные порты заклеят спец стикером, даже мультиметр с ИК портом не пронесешь.
Причем, если сам "забыл" показать охране девайс - штраф небольшой - до 1000$ (емнип на фоксконе 7000 юаней, на остальных около того), а если тебя поймали за пользованием камеры в телефоне на территории - отберут телефон и штраф от 10 000$ (или больше).

Спасибо, интересная беседа. Имея отношение к профильной области, периодически общаюсь с представителями разнообразных организаций на тему персональных данных (и коммерсы, и госструктуры). Наблюдаю такую чудовищную неграмотность, что просто караул. Даже на уровне оформления простейших бумажек - формы согласий, уведомлений, соглашений. Так что полностью поддерживаю - драть нещаднейшим образом.

Канал в телеграм толковый,нравится. Цифровая гигиена вопрос важный, но пока еще не все понимают это.

есть что сказать про DeviceLock
Разворачивали такое у себя на режимном объекте, все позакрывали, до чего в настройках дотянулись
Жаль, командированным об этом сказать не успели - они повтыкали свои айфоны крайней модели в USB порты и обоссали тем самым все надежды на замечательное ПО от Ашота...

Еще есть такое - в качестве меры "безопасности" занимаются варварской ерундой в виде заливания USB эпоксидкой... на портах, воткнутых в планку сзади. Которые легко и тихо или выдираются из корпуса а провода, а кабеля вполне хватает для подключения. Ну а если оно на плате - легко ручками просверливается, три тонких сверла с данными и +5v, крокодил на массу. 20 секунд и готово. Вторая ошибка долбоящеров - закупка всяких минидесктопов и ноутбуков в качестве стационарных рабочих мест для работы с конфиденциальными данными. Любая машина, к которой если локальный доступ - это одна большая дыра, можно сделать всё, что угодно. Элементарно вырезать слесарным ножом дырку и стырить хард или SSD, а если без этого - получить доступ к сбросу биоса и прочему. Третья - торчащие провода локалки. иголки с проводами и малюсенький одноплатник с парой флэшек по 256Гб.
Как делают люди с мозгами? Элементарно, Ватсон. Заказывают сборку машин с кастомными корпусами из толстого металла, у которых USB наружу просто не торчит, нет блютуза и вайфая вообще, а к разъему локалки подходит стальной короб толщиной миллиметра два - пилите, Шура, пилите... Плюс когда всё железное и заземленное - нет возможности считать данные с наводок. Но при этом для админов все просто - снял крышку и делай, что нужно. А крышка со сложными болтами-секретками и опломбирована.

Кто бы ещё сказал, что такое персональные данные? Исходя из определения, приведённого в 152-ФЗ: "персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)". Не сильно понятное определение, под него что угодно можно подтянуть.

Относительно защиты - все административные и технические меры бесполезны, если люди их не соблюдают, есть пользователи, которые хотят для себя исключений (практически всегда - руководители), есть хитрецы, которые начинают обходить системы защиты, и так далее.

Ну и никто эту защиту ломать не будет, и диски воровать, и ПЭМИНы снимать удалённо - долго, дорого и не всегда результативно. Экономически выгодней дать денег сотруднику (в идеале - админу или безопаснику) и всё сами принесут.

Кому: Thunderbringer, #5

> Заказывают сборку машин с кастомными корпусами из толстого металла, у которых USB наружу просто не торчит, нет блютуза и вайфая вообще, а к разъему локалки подходит стальной короб толщиной миллиметра два

А потом админ берет и продает базу данных, как у Сбера в этом году.

Кому: Thunderbringer, #5

> Заказывают сборку машин с кастомными корпусами из толстого металла

Да ерунда это все. У тебя в любом случае все упирается в два момента: 1. доверие к должностному лицу с максимальными правами доступа (администратор безопасности) и 2. физическая охрана помещения для предотвращения прямого несанкционированного доступа. Потому как спереть можно весь кастомный корпус с хитрыми болтами. Поэтому в реальных условиях делается так: во-первых, ПО, которое контролирует подключение нештатных устройств и изменения в конфигурации ОС. И соответственно, разграничение прав доступа. Secret net, dallas lock как самые частые примеры. Во-вторых, банальное опечатывание корпуса. В третьих, охрана помещения - сигналка, сторож. И, наконец, взаимный контроль - есть администратор системы, который работает с прикладным ПО, но ему запрещено лезть в настройки средств защиты, и есть администратор безопасности, который наоборот - работает со средствами защиты, но ему запрещено лезть в прикладное ПО (базы данных и проч). И сам собой подразумевающийся инструктаж под роспись - юзер осуществляет контроль на своем уровне, что печати на помещении и на системном блоке не повреждены, что посторонние в кабинете не присутствуют. Администратор системы - на своем уровне, контроль поведения прикладного ПО, наличия постороннего ПО, логи и проч. Администратор безопасности - общее руководство, контроль средств защиты и периодический контроль выполнения плановых мероприятий.

Кому: Yak-1, #4

> Жаль, командированным об этом сказать не успели - они повтыкали свои айфоны крайней модели в USB порты и обоссали тем самым все надежды на замечательное ПО от Ашота...

В нормальных организациях USB порты отключены.

Кому: Thunderbringer, #5

> Заказывают сборку машин с кастомными корпусами из толстого металла, у которых USB наружу просто не торчит, нет блютуза и вайфая вообще, а к разъему локалки подходит стальной короб толщиной миллиметра два

Эта задача решается на програмном уровне.

Встречался в своей практике с таким: системники рабочих компов сзади были закрыты металлическими крышками и опломбированы. ребята делали так: разбирали УСБ мышь и через нехитрый переходник подключали к контактам шлешку, и сливали инфу.
Естественно все продолжалось пока программно не заблокировали УСБ порты