В «Яндексе» рассказали об утечке данных 5 тысяч почтовых ящиков по вине сисадмина с высоким уровнем доступа Статьи редакции

Ключи для авторизации. OpenCV без проблем распознает положение текста, а дальше можно натравить любую OCR для перевода его из картинки в текст.

Я говорю о том, что все эти ваши способы приводят к тому, что работать становится нереально. СИБ должен быть незаметен, но при этом находить все уязвимости.

Не держал свечку, не знаю что там в НИИ. В обычных росскийских компаниях куча дырок торчит, но зато СИБ на каждый чих просит бумажку. А потом ловят сотрудников с ssh каналами наружу.

Тех двух человек, родственников которых вы успели забрать в заложники. Не один нормальный человек не пойдет работать в такую контору.

- наверное слепой? где это Вы видели заметное стукачество? или как можно под камерой незаметно сфотографировать (это Вы придумали) 5 тысяч экранов?

- это имитация работы, а не работа

- люди идут работать даже в конторы где полиграф в отделе кадров используют. Все кассиры знают что такое "тайный покупатель", а вот высокопарящие ИБ от IT похоже не умеют проверять сотрудников на "вшивость"

Я говорю не о том, что ИБ должны ходить ногами и топать над ухом, а стремиться стать как гугл, который настолько все мониторит, что даже при вводе пароля от внутренних сервисов в чужом сервисе начинает просить сменить внутренний пароль. Камеры в офисе можно устанавливать только с письменного согласия сотрудников. Утечку от внутренних сотрудников компенсируют большими штрафами, ну или тюрьмой. Обычно в технологических компаниях люди это понимают.

Потому, что люди в IT не залетные, если ты накосячил в одном месте, то оно всплывет в другом месте. Есть такая вещь как институт репутации, который в IT работает, а на мелких должностях такое не работает.

- это первая проверка. Можно даже не камеру, а муляж, но если сотрудник не согласен, это повод с ним расстаться или проверить его более плотно. Поковырять в носу он может и в туалете, а на рабочем месте ему скрывать не чего.

- но тут что то пошло не так

- ха, каких только айтишников на работу не берут (в связи с нехваткой кадров) - видел как бывшие военные кривились и морщились, но брали на работу грязных, патлатых и с длинными ногтями (там и репутация была с точки зрения закона - не фонтан: вещества, хакинг). А вот как раз поместить кассира в черный список - это легко (много их). 

Ну вот в этом мы с вами и различаемся. Если у меня над головой поставят камеру, которая следит за моими действиями, то на следующий день я уволюсь. Если работодатель настолько мне не доверяет, то у меня в почте лежит и так несколько оферов. В течение двух недель я уже выйду на новое место.

Да, бывает. От всех рисков не защитишься.

Я уже понял, что вы не имеете отношения к IT. Грязных, патлатых, с длинными ногтями уже давно нет. Это какой-то мем, который остался уже давно в прошлом. Может быть из общей массы найдется 1-2%, но выбросы есть везде. 98% выборки точно не будет отличаться от общей популяции. Вещества, хакинг? Серьезно? Вы точно IT не фильмам видели?

- этим сейчас никого не удивишь. Но и хорошо, вот Вы исходите что талант и скилы это главное, а вот я думаю что для вменяемого работодателя (которому не нужны скандалы) важнее лояльность сотрудника. Если сотрудник которому сделали бесплатный буфет торгует аккаунтами клиентов, значит стоит задуматься не только службе внутренней безопасности, но и кадровикам.

- опять двадцать пять, за рыбу деньги: это был ожидаемый риск! Если Вы хотите сказать что опираетесь на лояльность сотрудников и командный дух и поэтому Вам не нужны ограничения (они только мешают работать), а также наблюдение и прочая жандармерия (это унижает и сотрудников и компанию). То это аргумент. Но он опровергнут жизнью.

- переход на личности. Как всегда когда кончаются разумные аргументы.

- у меня большой опыт работы в различных организациях имеющих отношение к IT. Бывают и хипстеры, и чудики, и социопаты, и молодые да ранние, и пожилые нудные. Однако среди любой из этих категорий  бывают упертые, которые не готовы слышать других людей считая себя пупом земли (это вероятно как то связано с низкой самооценкой - будешь слушать других, сам разрушишься) и опирающиеся только на личный опыт - это не командные игроки, с ними очень сложно работать. Вреда от них иногда бывает больше чем пользы.

да, однако это лирика

Этого человека могли нанять 5-10-15 лет назад. Какие выводы нужно сделать hr, если сотрудник проработал 10 лет и решил таким заняться? Проверить всех старых сотрудников паяльником? Не нанимать тех, кто 10 лет до этого работал в предыдущей компании?

Вообще чувака поймали безопасники. По слухам из телеграма он маскировал свои действия под служебные задачи. Я вижу у вас очень богатый опыт работы и админом и ИБ.

В какой области? Явно не ИБ. Вы несете какую-то чушь, которая относится к мемам людей, которые к ИТ имеют отношение, как водитель хлебзавода к закваске хлеба. Рынок уже давно не такой. Все направлено на то, чтобы сотрудник ценнее, чем все секреты.

- не будем гадать, но и в таком случае очевидно что мониторить активности сотрудников имеющих доступ к чувствительным данным надо постоянно

- это рынок из пары хипстерских компаний, основная масса людей имеющих доступ к чувствительным данным работают в банках, госучреждениях, конторах с госучастием и НИИ. Многие успешные компании имеющие доступ к чувствительным данным основаны людьми носившими погоны. Во всех этих местах система ценностей иная.

- где бы Вы не работали, вряд ли коллеги получают удовольствие от общения с Вами

Вы читаете что я пишу? Они мониторили, от отмазывался служебной необходимостью.

Я уже понял, что рынок вы не знаете. Удачи с госучереждениями, банками, НИИ и прочем.

Да, поэтому никто в здравом уме не идет работать в госконторы. Туда идут те, кого не взяли в Мейл, Яндекс или хипстерский стартап. Это нозывается отрицательная селекция.

Свечку подержали?

- Вы читаете что я пишу? Не может быть такой служебной необходимости которая позволяла бы уносить или пересылать наружу конфиденциальные данные. Ситуация стала выглядеть только хуже - сотрудники занимающиеся вопросами безопасности знали о подозрительной активности админа, но не смогли оценить его действия

- да, те в тех конторах о которых я пишу (и в которых на три порядка больше людей работает) смузи в баре не наливают

- они стоят безлюдные. Теперь я вынужден сказать слово "бред". Но я говорил не только о госконторах, есть огромное количество организаций которые у смузиедов не на слуху, но они оперируют в разы большим количеством конфиденциальной информации, да и бюджеты у них тоже не слабые (все опсосы, какая нибудь Сирена-Трэвел, оцифровщики архивов и т п)

- собрать неадекватов в одном месте, хм ... возможна синергия!

- сделал вывод на основе стилистики общения с незнакомыми людьми

Ну вот делаю я, например, вакуум на таблицу. И запускаю что-нибудь SELECT * FROM x LIMIT 100; Это подозрительная активность?

Три порядка? Это больше 120 млн человек. Мировое правительство? Мейл и Яндекс это больше 30% всех разработчиков в России если что.

Ой, не надо мне про опсосов. У них ноки более или менее, а разработка там на дне. Сирена Трэвел на том же уровне, перелеты Навального именно оттуда. Лол, безопасно там очень прям.

- подозрительная активность, это скопировать что то в файл, записать его на съемный носитель или передать за пределы локальной сети. Также подозрительна активность когда человек выполняет действия без задачи.

- с таксистами и доставщиками считали? Сбертех (9 тыс) с Ланитом (11 тыс) и СКБ Контур (8 тыс) тогда сколько? Это первое что вспомнил, считать остальных лень. Однако не надо менять тему - речь шла не о разработчиках, а о тех сотрудниках которые работают с чувствительными данными (вспомним утечки данных клиентов из Сбера - там этим занимались отнюдь не сисадмины или программисты).

- опять не про то. Какое отношение имеет разработка к доступу к данным клиентов? Хотите обсудить тему почему разработчик должен работать с обезличенными или искусственно сгенеренными данными?

- откуда дровишки?

- никто пока не жаловался. За Сирену не скажу, не знаю (я ее привел как пример компании про которую смузиеды не вспоминают в контексте доступа к огромным массивам данных клиентов и как пример конторы из 90х которая как то свою тему безопасности порешала), но таких контор еще есть и ИБ там иногда убогая (все в худших традициях которые Вы описали - запретить все, разрешить по бумажке, потом забыть кому что разрешили, запретить еще раз и смотреть как забегают девопсы у которых все отвалилось), но! не течет потому что абы кого к данным не пускают и т п. Т е, возвращаюсь к началу, безопасность начинается с организационных мероприятий, а не с хитромудрых систем отслеживающих несанкционированный доступ к данным.

P.S я вот в Яндексе не работал, не знаю какие там анкеты HR требует заполнять при приеме на работу, но пару-тройку раз лично мне приходилось заполнять "классическую" анкету с пунктами про родственников проживавших за границей (раньше еще интересовались жил ли кто на оккупированных территориях). Это на тему многоплановости подходов к безопасности.

Ага, сисколы перехватывать. А лучше еще приблуду на голову надевать, чтобы она следила чтобы человек не запоминал ничего. Все эти ваши запреты на копирование и прочее это театр безопасности. Типа мы тут все порезали, значит никто ничего не сможет сделать. Ага :)

Где в Ланите 11 тысяч разработчиков? :) Уж про Сбер молчу. В Яндексе не разработчики не имеют доступа к чувствительным данным. Аналитики работают с обезличенными данными. Вы наверное про такое и не слышали в госконторах, но такое существует.

Во, наконец появились обезличенные данные. А на продакшене у вас там кто баги чинит? Видимо до обезличенных данных дорасли, а до SRE нет. Ну ладно, подождем еще лет 5.

От знакомых, занимающихся ИБ. Базы Сирены Трэвел продаются за "копейки" в даркнете.

Ничего они не порешали. Спросите людей из ИБ и сколько им платят за мониторинг даркнета на предмет утекших данных из этих все порешавших контор.

Да, анкета HR это надежный источник. Очень. Ладно, живите там в своих 90х. Может до вас лет через 10 цивилизация доползет и люди научатся мерять безопасность не погонами, а рисками для бизнеса.