Tym razem mniej o bezpieczeństwie a więcej o zarządzaniu.
Trafiłem na świetny artykuł o pszczółkach autorstwa panów Bartosza Drabikowskiego, Mariusza Gacy oraz Sławomira Turka pt. "Korporacja na sposób pszczeli". Rzeczpospolita nie pozwala na kopiowanie tekstów więc załączam jedynie krótką zajawkę:
Gdyby najbardziej błyskotliwy menedżer otrzymał zadanie organizacji pracy roju pszczół, to aby je wykonać, musiałby zaangażować sztab konsultantów i analityków i wyposażyć go w najszybsze komputery z najnowocześniejszym oprogramowaniem do wspomagania zarządzania.
Paweł Krawczyk w jednym z ostatnich felietonów w CW wspomniał o metodzie START opracowanej na potrzeby ustalania priorytetów podczas potężnych wypadków.
Tak się właśnie zastanawiam, że przy minimalnych przeróbkach, biorąc pod uwagę czasy RTO można by to zastosować również w przypadku katastrof dotyczących infrastruktury IT.

Może kiedyś siądę dłużej nad tym zagadnieniem i coś stworzę...chyba, że już któryś z czytelników ma własne przemyślenia na ten temat, którymi będzie się chciał podzielić?
We wtorek 8 grudnia Rada Wydziału Zarządzania Politechniki Warszawskiej pozytywnie zaaprobowała mój wniosek o otwarcie przewodu doktorskiego pod tytułem "Zarządzanie bezpieczeństwem informacji w bankach wielonarodowych w Polsce". Promotorem rozprawy doktorskiej jest prof. zw. dr hab. inż. Stanisław Tkaczyk.

Teza robocza rozprawy brzmi "Wielowarstwowy system stale doskonalonych wzajemnie powiązanych technicznych i organizacyjnych zabezpieczeń ma istotny wpływ na zwiększenie stanu bezpieczeństwa informacji w wielonarodowych bankach."
Jak zapowiadałem kilka tygodni temu dzisiaj rano będę mieć prezentację na konferencji IT Security Management GigaCon.

Z tej okazji zapraszam do zapoznania się prezentacją pod tytułem "Jak skutecznie zarządzać bezpieczeństwem informacji czyli praktyczne zastosowanie modelu wielowarstwowej ochrony".
Wydział Zarządzania Politechniki Warszawskiej zaprasza na kolejną - 9 edycję Studiów Podyplomowych "Zarządzanie jakością i bezpieczeństwem Informacji w środowisku IT".

Zakres tematyczny obejmuje:
Zarządzanie jakością w IT w zgodnie normami ISO 9001:2008, ISO 90003:2004, ISO15288, ISO 15504, ISO 12207, ISO 9126, ISO 20000, ISO 25000, ISO 38500 i standardami ISEB, TQM, CMM, COBIT oraz metody i techniki stosowane w zarządzaniu projektowaniem, wdrażaniem i eksploatacją systemów informatycznych, a także zarządzanie projektami informatycznymi

Zarządzanie bezpieczeństwem informacji zgodnie z normami ISO/IEC 27001:2005, ISO/IEC 27002:2005,ISO/IEC:27004:2010, ISO/IEC:27005:2008, ISO/IEC 27006:2007, ISO/IEC 15408:2008 oraz ciągłością działania firmy (BS 25599), prawne aspekty bezpieczeństwa informacji, TISM, Kryptografia dla managerów, audyty bezpieczeństwa i systemów informatycznych, ochrona fizyczna.

Kierownikiem Studium jest dr inż. Bolesław Szomański.
Informacje o studium są dostępne pod numerem telefonu 22 234-86-94
Załączam oficjalną ulotkę studium




Wczoraj miały miejsce pierwsze ogólnoeuropejskie ćwiczenia na wypadek ataku cyberterrorystycznego "CYBER EUROPE 2010". Uczestniczyło w nich 120 osób z 70 europejskich organizacji.
Jak zapowiadała ENISA:


W ramach dzisiejszego ćwiczenia „Cyber Europe 2010” eksperci z całej Europy przetestują reakcje na pozorowany atak hakerów na ważne usługi internetowe. Scenariusz ćwiczenia zakłada, że łączność internetowa między krajami europejskimi jest stopniowo tracona lub znacznie ograniczona i, w najgorszym przypadku, wszystkie główne połączenia między krajami w Europie zostaną utracone.

Podczas symulacji obywatele, przedsiębiorstwa i instytucje publiczne będą mieli trudność z dostępem do ważnych usług internetowych (jak np. administracja elektroniczna), o ile przesył danych z zaatakowanych połączeń nie zostanie przekierowany.

Ćwiczenie będzie oparte na scenariuszu, zgodnie z którym w ciągu dnia kolejne kraje będą miały coraz większe problemy z dostępem do internetu. Wszystkie uczestniczące państwa członkowskie będą musiały współpracować, aby zapewnić wspólną reakcję na fikcyjny kryzys.

Celem ćwiczenia z dziedziny bezpieczeństwa cybernetycznego jest poprawa zrozumienia przez państwa członkowskie sposobu, w jaki odpiera się ataki cybernetyczne, oraz sprawdzenie połączeń i procedur komunikacyjnych w razie prawdziwego ataku cybernetycznego na dużą skalę. Podczas symulacji zostaną przetestowane: adekwatność punktów kontaktowych w krajach uczestniczących, kanały komunikacyjne, rodzaj wymiany danych tymi kanałami oraz pojmowanie przez państwa członkowskie roli i mandatu równoważnych organów w innych państwach członkowskich.

Jest to niesamowicie pożyteczna inicjatywa. Ataki cyberterrorystyczne, mimo, ze wciąż rzadkie, jednak miały już miejsce, udowadniając swoją niszczycielską moc. O tym jak realne są zagrożenia świadczy fakt, że dzień wcześniej poinformowano, że miał miejsce udany atak na OECD.

Europa musi się nauczyć ze sobą współpracować, szczególnie, że wciąż nie wszystkie Państwa posiadają własne jednostki CERT potrafiące przeciwdziałać takim zagrożeniom.
(źródło: www.cyberterror.pl)
W ramach odświeżania starych, ale wciąż "zielonych" news'ów.

Często spotykanym podejściem w dużych i dobrze zabezpieczonych firmach jest mniejsze lub większe ignorowanie zagrożeń związanych z modyfikacją strony głównej. Sieć wewnętrzna jest zazwyczaj bardzo dobrze chroniona od witryny internetowej, często absolutnie odseparowana. Niemniej w każdym tego typu przypadku decyzja o większym (bądź mniejszym) akceptowaniu ryzyka musi wynikać z przeprowadzonej analizy ryzyka.
Jak groźna może być podmiana strony przekonał się ostatnio Kasperski Lab gdy główna strona zarażała gości. W przypadku firmy zajmującej się bezpieczeństwem na takim poziomie szkody wizerunkowe są potężne. Innym znanym przypadkiem było zarażenie głównej strony Bank of India 22 exploitami. Na pewno samopoczucie Zarządu znacznie się pogorszyło w tamtych dniach.
Nie można tego ominąć - Bruce wygłosił wystąpienie pt "Reconceptualizing Security" podczas TEDxPSU kilka dni temu. Polecam szczególnie ze względu na przemyślenia dotyczące "kupowania" bezpieczeństwa oraz różnicy między odczuwalnym a rzeczywistym poziomem bezpieczeństwa.


Po latach oczekiwania znowelizowano ustawę o Ochronie Danych Osobowych.
Jedną z ważniejszych zmian jest wprowadzenie nowego rodzaju kar za nieprzestrzeganie ustawy - kar finansowych. Cytując za stroną GIODO:
Wysokość takiej grzywny w stosunku do osoby fizycznej będzie mogła wynosić maksymalnie 10000 zł, zaś w stosunku do osoby prawnej oraz jednostki organizacyjnej nieposiadającej osobowości prawnej 50000 zł, zaś w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie będzie mogła przekraczać: 50000 zł w odniesieniu do osób fizycznych oraz 200000 zł w odniesieniu do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej.

Dotychczasowe sankcje karne mimo rozpoczynania postępowań karnych nie kończyły się wyrokami skazującymi. Kary finansowe prawdopodobnie będą znacznie bardziej praktyczne - chętniej orzekane w wyniku częściej przeprowadzanych kontroli.
A na dodatek będą mogły służyć do niwelowania dziury budżetowej :)
Firmy, które nie dbają o dane osobowe - drżyjcie!
Treść zmian jest dostępna tutaj
W ubiegły czwartek opublikowano nową wersję standardu: PCI DSS 2.0 zapewniającego minimalne wymagania bezpieczeństwa konieczne do zachowania podczas przetwarzania danych kartowych (a dokładnie PAN).

Na pierwszy rzut oka większość zmian to wyjaśnienia do niekoniecznie precyzyjnych sformułowań z poprzednich wersji. Wydaje się to krokiem w dobrą stronę - ilość interpretacji była niekiedy zbyt duża.
Na uwagę zasługuje też wymaganie dotyczące klasyfikacji podatności 6.2 (i powiązanym 6.5.6).

Firmy planujące wdrożenie powinny się raczej cieszyć - będzie mniej dyskusji i więcej bezpieczeństwa (nie muszę dodawać, że wyjaśnienia dodają wymagania a nie ich odejmują). Firmy posiadające już PCI DSS powinny za to zrobić dokładny przegląd systemu - może się okazać, że czeka je dodatkowa praca
Będę niedługo ruszać z kolejnym projektem (pomysłem) - bezpiecznedziecko.info

Z założenia ma to być miejsce gromadzące informacje pomagające zdrowo i bezpiecznie (acz z podkreśleniem zasad ZDROWEGO ROZSĄDKU) wychować dzieci. Chcesz pomóc? Masz pomysł jak to rozwinąć? Napisz do mnie
Plastikowe pieniądze są powszechne, pojawiają się udoskonalenia kart płatniczych takie jak mikropłatności czy integracje z innymi usługami realizowanymi przy pomocy kart. Wciąż jednak masa osób nie zdaje sobie sprawy z tego, że bardzo łatwo stracić swoje oszczędności (przynajmniej na jakiś czas) a stosując parę prostych metod można znacznie zredukować prawdopodobieństwo takiego zdarzenia. Poniżej załączam garść najlepszych praktyk
- Zaklej 3 cyfrowy kod znajdujący się na rewersie karty za jej numerem. Jest to tak zwany kod CVV2/CVC2 który, wraz z numerem karty i jej datą ważności pozwala na zakupy przez Internet. Bardzo często przestępca pracujący na przykład w hotelu pod pretekstem sprawdzenia wiarygodności podpisu zapamiętuje te 3 cyfry. Ponieważ ma już numer i datę ważności karty łatwo może w naszym imieniu dokonać zakupów często luksusowych dóbr
- Jak tylko masz taką możliwość uwierzytelniaj transakcję PIN’em a nie podpisem.
- Zawsze zasłaniaj dwoma rękoma wpisywany PIN, niezależnie czy w bankomatach czy urządzeniach POS (w restauracjach, kinach, stacjach benzynowych czy sklepach)
- Zachowaj kopie wszystkich anulowanych transakcji. Pomoże Ci to w przypadku reklamacji
- Nigdy nikomu pod żadnym pozorem nie podawaj PINu. Nie daj się nabrać na informacje, że jest on konieczny do autoryzacji transakcji. Przestępcy często próbują go wyłudzić od nieświadomych tego faktu ofiar. PIN masz znać tylko Ty, i samodzielnie wpisywać go w urządzenie
- Zapisywanie PINu nie jest dobrym pomysłem, a już szczególnie na karcie płatniczej, której dotyczy
- Zapisywanie nieprawdziwego PINu na karcie płatniczej może jednak być dobrym pomysłem. Przestępca może zablokować ukradzioną kartę próbując wpisać nieprawdziwy kod
- Nie noś ze sobą wszystkich kart płatniczych. Duża kolekcja kusi złodziei a jej utrata może odciąć Cię od pieniędzy.
- Gdy sprzedawca niszczy Ci kartę nożyczkami oznacza, że dostał takie polecenie z systemu. Może to oznaczać, że ktoś skopiował Twoja kartę a organizacja płatnicza postanowiła chronić Twoje pieniądze. Bezzwłocznie skontaktuj się z wystawcą karty ale nie wiń sprzedawcy, ostatecznie zrobił to by Cie chronić przed poważniejszymi kłopotami
- Kart płatniczych, identyfikatorów i bielizny osobistej nie pożycza się nawet znajomym
- Przeglądaj regularnie wyciągi z kart. Jak wypatrzysz nieznane transakcje to bezzwłocznie skontaktuj się z wystawcą karty.
- Pamiętaj, że gotówka nie jest passe!
Duzi chłopcy lubią duże zabawki, tyle, że jak pokazują ostatnie newsy nie zawsze potrafią się nimi bawić.

W ostatnich dniach pojawiły się dwie dość zaskakujące informacje o arsenale nuklearnym USA. najpierw wyszło na jaw, że za czasów prezydentury B.Clintona na kilka miesięcy zgubiono kody nuklearne, teraz okazało się, że w wyniku awarii sieci utracono na 45 nadzór nad 50 głowicami atomowymi. Jako pocieszenie autor artykułu zaznacza, że (tym razem) był to raczej błąd człowieka niż atak. Co za ulga.
Wyborcza opublikowała dobry artykuł dotyczący dostępu do ksiąg wieczystych - temat ten zresztą poruszał Wojciech Wiewiórowski podczas niedawnej konferencji.

O co chodzi? W internecie są udostępnione księgi wieczyste. Na pierwszy rzut oka nie jest to nic strasznego, jednak dzięki informacjom zawartym w tych dokumentach można wnioskować o stanie posiadania, a nawet preferencjach seksualnych praktycznie dowolnych obywateli. Wszystko oczywiście online i za darmo - rzadki przejaw pełnej informatyzacji, niestety w tym wypadku zbyt pełnej.

Ministerstwo Sprawiedliwości broni się twierdząc, że księgi wieczyste w tej postaci i tak są od lat dostępne. Jednak jak słusznie zauważył nasz GIODO problem polegał na tym, ze kiedyś trzeba się było wybrać do sądu, wiedzieć czego się szuka. Teraz, w wolnych chwilach przez sieć można mieć komplet informacji od ręki i mozolnie polować na interesujący nas cel.

Ministerstwo się broni, GIODO protestuje, a ja się zastanawiam, kiedy informacje będą udostępniane na zasadzie "need-to-know" - szczególnie w kwestii zakresu udostępnianych danych
Ciekawostka ma już co prawda kilku dni, ale warto ją odnotować.
Po raz kolejny okazało się, że polscy specjaliści od bezpieczeństwa dorównują (jeżeli nie przewyższają) umiejętnościami swoim zagranicznym kolegom.

Gdy przez świat przebiega dyskusja na temat zbyt dobrych zabezpieczeń oferowanych przez BlackBerry, zabezpieczeń, których nie potrafią złamać siły specjalne różnych Państw w ramach prowadzonych śledztw, prawie bez echa przeszła informacja, że Ministerstwo Finansów jest kilka kroków przed nimi. W ubiegłym tygodniu opublikowano informacje, że zabronione jest korzystanie z tych urządzeń przez pracowników ministerstwa. Podstawą do tej decyzji był fakt, że "urządzenia te nie gwarantują odpowiedniego poziomu zabezpieczeń - wyjaśnia Maria Hiż z biura prasowego Ministerstwa Finansów".

Polak potrafi... A jak :-)
W trakcie wczorajszej konferencji CheckPoint Security Day zwróciłem szczególną uwagą na prezentację „Polityka bezpieczeństwa 2.0” wygłoszoną przez Jarosława Prokopa. Zwrócił on szczególną uwagę na to, ze obecnie stosowane na urządzeniach aktywnych polityki bezpieczeństwa (czyli tytułowe reguły i regułki) w niedługim czasie utracą dalszy sens – ich bieżąca konfiguracja stanie się zbyt częsta i skomplikowana by móc za nią nadążyć. Tradycyjne „geograficzne” zarządzanie siecią oparte na adresach IP nie jest w stanie sprostać swojej roli w sytuacji gdy:
- Mamy mobilnych pracowników zmieniających nie tylko biurka ale i kontynenty
- W firmie pracują kontraktorzy, którzy naprawdę potrzebują dostępu do Internetu
- Odwiedzają nas goście, którzy naprawdę chętnie skorzystaliby z sieci
- Budujemy rozwiązania wirtualne, gdzie termin IP zaczyna się rozmywać

W takiej sytuacji tworzy się kolejne vlan’y, ustawia statyczne IP dla pojedynczych użytkowników… potrafi to być żmudne, nie jest to lubiane przez IT (bo trzeba to robić na wczoraj), nie jest to lubiane przez bezpieczeństwo (gdyż ktoś grzebie przy regułach bezpieczeństwa. Rozwiązaniem przyszłości są oczywiście funkcjonalności programów produkowanych przez CheckPoint :)

A tak na serio to po raz kolejny pewnie ta firma pokazuje nam trendy. Chociaż zresztą nie jest to nic nowego – proponują rozwiązania bazujące na rolach. Nowe systemy mają odejść od reguła ustawianych na konkretne IP na rzecz reguł przydzielanych konkretnym UŻYTKOWNIKOM, pracującym w konkretnych GRUPACH (rolach) na zdefiniowanych grupach KOMPUTERÓW.

Dobre skonfigurowanie systemu pozwoli na bardziej elastyczne tworzenie polityki bezpieczeństwa biorąc pod uwagę ROLĘ pracownika (zdefiniowaną w Active Directory) jak również miejsce z którego prowadzi pracę (laptop prywatny, służbowo utwardzony PC…). Na tej bazie będzie można określać z czym może się łączyć użytkownik (IP, serwer, aplikacja), czy opierając się o DLP określać jakie dane przesyłać (szczególnie podoba mi się funkcja ASK – pozwala na ruch, ale wymaga podania uzasadnienia, które jest analizowane i może służyć za podstawę do zdefiniowania polityki bezpieczeństwa dla konkretnego użytkownika).

CheckPoint już to potrafi, inni pewnie niedługo też będą, pozostanie tylko jedno małe ale… Jak tym teraz zarządzać?
Już teraz, bazując tylko na IP polityka bezpieczeństwa na firewallu potrafi być niesamowicie trudna do analizy. Gdy pojawią się polityki pisane per user (IT będzie musiało się tu wykazywać wielką asertywnością, ale na pewno będzie bardzo dużo wyjątków), to KTO i JAK będzie w stanie dokonać analizy tego czy dane naprawdę są zabezpieczone przed zniszczeniem, modyfikacją czy upublicznieniem?
Kilka dni temu przypomniałem opisany (i wykonany) przez gazeta.pl włam na super zabezpieczoną transmisję z serwisu prezydent.pl

Dziś znów w temacie włamań podczas transmisji na żywo. Nastolatek w NL postanowił włamać się do systemu wyświetlającego tekst osobom czytającym wiadomości w Editie NL. Wywołał tym spore zdziwienie prowadzących.


Independent Oracle Users Group (IOUG) opublikowała ostatnio raport dotyczący bezpieczeństwa danych "2010 IOUG Data Security Survey". Jedna rzecz mnie tam praktycznie powaliła na podłogę: szczetrość respondentów. Dokładniej chodzi mi o znajdujące się na stronie 14 pytanie czy osoby (zazwyczaj szefowie bezpieczeństwa lub IT) wypełniające ankietę wiedzą o wszystkich bazach danych zawierających poufne dane. Chcesz znać odpowiedź? Zajrzyj do raportu - znajdziesz tam również sporo innych szczerych odpowiedzi dotyczących szyfrowania danych, danych testowych...




30 listopada podczas konferencji IT Security Management GigaCon będę miał zaszczyt przedstawić, podczas wykładu inauguracyjnego, prezentację pod tytułem: "Jak skutecznie zarządzać bezpieczeństwem informacji czyli praktyczne zastosowanie modelu wielowarstwowej ochrony".

Przedstawię tam znane z teorii wojskowości podejście "defence in-depth" składające się z szeregu technicznych i organizacyjnych mechanizmów kontrolnych, które odpowiednio zorganizowane są w stanie znacznie zwiększyć poziom bezpieczeństwa informacji w organizacjach.

Serdecznie zapraszam czytelników tego bloga na tę darmową konferencję oraz na zapoznawczą kawę w trakcie którejś z przerw!
W trakcie konferencji HOPE w 2004 roku Kevin Mitnick zebrał się na szczerość i zaczął opowiadać różne historie z młodości. Niektóre z nich były raczej zabawne...











K-mart ot wielka sieć sklepów w USA. W trakcie konferencji HOPE regularnie urządzane są pokazy zastosowania technik inżynierii społecznej. W sierpniu 2007 roku Kevin Mitnick i Emmanuel Goldstein postanowili przekazać wszystkim klientom sklepu wiadomość przez interkom. Posłuchajcie jak im się to udało...

Kilka dni temu gazeta.pl opublikowała historię "włamania" to transmisji realizowanej przez serwis prezydent.pl. Aż przykro pisać o tym, że tak głupie błędy wciąż potrafią się pojawiać w wykonaniu profesjonalnych (chciałoby się napisać) dostawców.

Ochrona serwisu produkcyjnego hasłem identycznym do loginu, a szczególnie tak banalnego to maksymalna porażka. Na miejscu szefa firmy jeszcze tego samego dnia wyrzuciłbym z pracy światłego informatyka, który dopuścił do tej sytuacji. Nie dość, że nie wiadomo gdzie jeszcze ta osoba popisała się wybitną znajomością zagadnień dotyczących bezpieczeństwa to tak jaskrawy przypadek głupoty(niedbalstwa) powinien stać się przestrogą dla jego kolegów.
Na youtube znalazłem opublikowane przez AT&T filmy szkoleniowe dotyczące ochrony przed inżynierią społeczną. Polecam, każda duża firma powinna coś takiego posiadać.

Na JoeMonster można obejrzeć perfekcyjnie przygotowaną kradzież torebki z kartą kredytową oraz późniejszą kradzież PINu ofiary.
Polecam - tam naprawdę mogą pracować fachowcy (Marcin, wielkie dzięki za link)
W trakcie ubiegłotygodniowej konferencji "Informatyzacja administracji w państwie demokratycznym" Katarzyna Szymielewicz dyrektor fundacji Panaoptykon mówiąc w kontekście nakładania przez urzędy na obywateli konieczności korzystania z konkretnego oprogramowania powiedziała bardzo interesującą, choć w sumie prostą myśl dotyczącą wolności wyboru (tu oprogramowania". Brzmiało to mniej więcej tak:
"Wolność jest wartością podstawową. Jakiekolwiek jej ograniczenie wymaga uzasadnienia. To Państwo musi uzasadnić jaki wyższy interes społeczny wymaga ograniczenia wolności obywateli. Obywatel nie powinien musieć uzasadniać dlaczego chce skorzystać ze swojego przywileju wolności"

Na portalu niebezpiecznik.pl okazał się ciekawy artykuł dotyczący geolokalizacji. Znajduje się tam też link do strony pokazującej jak można zdalnie rozpoznać lokalizację użytkownika wyłącznie poprzez poznanie jego MAC adresu (też oczywiście wydobywanego skryptem). polecam się pobawić, to działa.
BIG Brother is watching you!!!


Przy okazji (też za niebezpiecznik.pl)- oglądałeś ostatnio strony pornograficzne?
Onet.pl przed chwilą podał, że:
Jerome Kerviel, makler z banku Societe Generale, został skazany we wtorek w Paryżu na 5 lat więzienia, w tym 2 w zawieszeniu, oraz zapłacenie odszkodowania w wysokości 4,9 mld euro za oszustwo i spowodowanie w 2008 roku rekordowej straty w tym banku.

Sąd uznał Kerviela za winnego wszystkich stawianych mu głównych zarzutów: świadomego narażenia banku na straty, fałszerstwa i niedozwolonego wprowadzania danych informatycznych.

Najciekawszą z kar jest niewątpliwie konieczność zapłacenia odszkodowania w wysokości prawie 5 mld euro. Wiadomo już, że p. Kerviel potrafi zarabiać (i tracić) pieniądze, zastanawia mnie jednak kto mu da niezbędny kapitał początkowy...
polecam lekturę reszty artykułu, jest tam więcej faktów...
Po ubiegłorocznej kradzieży danych z serwis RockYou w sieci opublikowano 32 miniony haseł. Pozwoliło to na analizę tego jak ludzie tworzą hasła. Próbka jest raczej reprezentatywna a Wojtek Smol pokusił się o ich analizę, dlatego szczerze zachęcam do lektury. Są tam pewne bardzo interesujące spostrzeżenia.

Stosunkowo często zaobserwować można natomiast następujące charakterystyczne połączenia:
* litera+cyfra: 9.834.095 wystąpień (30%), przykładowo: emillio1, holiday2, itp.
* cyfra+litera: 895.916 wystąpień (2,75%), przykładowo: 3orange, 1loveyou, itp.
* litera+znak interpunkcyjny: 240.993 wystąpień (0,74%), przykładowo: skating., balboa!, itp.
* litera+znak interpunkcyjny+cyfra: 185.610 wystąpień (0,57%), przykładowo: dude!2, kaitlyn.1, itp.

Poza tym, uwagę zwracają pewne typowe przekształcenia polegające na podmianie znaków:
* o -> 0: 30.485 wystąpień, przykładowo: il0veyou, ge0rge, itp.
* i/l -> 1: 57.456 wystąpień, przykładowo: 1loveyou, P1ayer, itp.
* s -> 5: 9.867 wystąpień, przykładowo: du5tin, eclip5e, itp.
* b/g -> 6: 7.059 wystąpień, przykładowo: straw6erry, hun6ry, itp.
* g -> 9: 6.599 wystąpień, przykładowo: an9els, en9ine, itp.

"Źródło: Analiza wzorców haseł przyszłością ataków słownikowych? (HARD CORE SECURITY LAB)"
Parokrotnie na łamach bloga przytaczałem różne wspaniałe idee prezentowane na spotkaniach TEX. TEDx to niezależnie organizowane spotkania TED, a następne odbędzie się w Krakowie. Zachęcam do próby rejestracji - miejsce już teoretycznie nie ma, ale wciąż są szanse, że się uda.



Mała aktualizacja - dostałem przed chwilą zaproszenie na TEDx więc...do zobaczenia
Rzadko reklamuję oferowane usługi, ale ponieważ jest to coś, co nie ma miejsca regularnie chciałbym zaprosić na organizowany przez IMMUSEC w dniach 25 - 29 października 2010 r. kurs przygotowawczy do egzaminów CISA.
Kradzież danych jest praktycznie zawsze przyczyną sporych kłopotów. Jest jeszcze gorzej gdy ukradzione dane świadczą o nie do końca legalnych zachowaniach ofiar. HSBC właśnie potwierdziło, że były pracownik ukradł dane kanadyjskich klientów, którzy ukrywali oszczędności w Szwajcarii.
Bardzo brzydko oszukiwać fiskus, ale jeszcze gorzej jest pozwalać na to by takie dane wyciekły. Ciekawe, że znów ze Szwajcarii...
Zagadnienie informatyki śledczej jest już znane od dawna, niemniej ponieważ pojawił się właśnie kolejny artykuł pełen przykładów z polskiego podwórka nie omieszkam go zamieścić.

Jeśli ktoś jeszcze myśli, że takie rzeczy to tylko na filmach to zachęcam do lektury
To ile korporacje powinny wydawać na bezpieczeństwo jest tematem tak starym jak samo bezpieczeństwo. Technologiczne nowinki, reorganizacje, programy i akcje specjalne - każdy budżet można bez problemu wykorzystać na zapewnianie bezpieczeństwa.

Computerworld ostatnio przytoczył wyniki najnowszych badań Gartnera mówiących o tym ile wydają inni (innymi słowy jaka jest średnia wydatków. Z raportu wynika, że bezpieczeństwo IT to około 5% rocznego budżetu IT. Na jednego pracownika wynosi to około 525 dolarów.
Na całkowity budżet bezpieczeństwa składa się: 37% wydatków na personel, 25% na oprogramowanie, 20% na sprzęt, 10% na outsourcing i 9% na konsultacje.

Computerworld ostatnio przygotował spis najbardziej kosztownych błędów komputerowych.

Polecam - można się naprawdę sporo pośmiać. Drobne błędy/pomyłki potrafią doprowadzić do naprawdę dużych strat.
Stuxnet był nazywany najbardziej profesjonalnym niebezpiecznym oprogramowaniem jakie zostało jak na razie napisane (osobiście się z tym nie zgadzam - uważam, że to naprawdę najbardziej niebezpieczne do tej pory nie zostało wykryte).

Profesjonalizm robaka budził nie tylko zachwyt, ale i skłaniał doszukania "drugiego dna". No i mamy potencjalne wytłumaczenie - brzmi nie tylko wiarygodnie ale i groźnie!
O tym, że mało która firma jest w stanie funkcjonować bez Excela (lub któregoś z jego odpowiedników) nikogo chyba nie trzeba przekonywać. W tabelkach prowadzimy księgowość, planujemy strategie, rozliczamy zadania przypisane do rożnych osób czy analizujemy raporty...

Niemniej właśnie przeczytałem o zastosowaniu Excela które mnie naprawdę zaskoczyło. Na wss.pl pojawił się niedawno artykuł opisujący jak przy pomocy arkusza kalkulacyjnego zarządzać zaporami ogniowymi (Windows Firewall).
Bezpieczeństwo informacji zależy od zapewnienia zasobów przetwarzających te informacje. Znak CE ma na celu podkreślenie, że sprzęt został wyprodukowany i złożony zgodnie z obowiązującymi w Unii Europejskiej standardami - jest "stosunkowo niezawodny" :-) oraz nie stanowi zagrożenia dla wykorzystujących go pracowników.

Komputer Świat ostatnio napisał dłuższy artykuł na jego temat tego znaku. Polecam
Zawsze twierdziłem, ze zamiast łamać zabezpieczeń znacznie wygodniej jest je ominąć. CAPTACHA ma na celu przekonanie strony internetowej, że w rzeczywistości ma do czynienia z człowiekiem a nie z kolejnym botem umieszczającym spam czy złośliwy kod. Zabezpieczenia wszywane w CAPTCHA są coraz bardziej skuteczne więc przestępcy postanowili poradzić sobie z nimi w inny sposób.

Skoro nie można skutecznie łamać tych zabezpieczeń w sposób automatyczny przestępcy postanowili by naprawdę zajmowali się tym ludzie - tani pracownicy w krajach trzeciego świata.

Tak się zastanawiam... Co teraz? Ręczne zatwierdzanie wszystkich postów czy komentarzy (przez te same osoby pracujące na drugiej zmianie)?
Tak się złożyło, że dziś natrafiłem na 3 artykuły pokazujące zagrożenia związane z korzystaniem z portali społecznościowych. Zagrożenia zarówno dla osób prywatnych jak i korporacji, których pracownicy godzinami karmią krowy czy inne rybki.

Przede wszystkim - portale społecznościowe mogą zabić!
I to naprawdę. W poniższym artykule można przeczytać kilka prawdziwych historii bez happy endu. Nigdy nie wiadomo kto tak naprawdę kryje się pod miłym dla ucha nickiem.

Po drugie korzystając z portali społecznościowych łatwo można zarazić komputer złośliwym kodem. istnieją tysiące różnego rodzaju aplikacji mających uprzyjemnić nam życie (krówki, rybki itp...) jednak często są to źle napisane fragmenty kody, lub wręcz celowo przygotowane niebezpieczne aplikacje kradnące nasze dane.

Nowym zagrożeniem, zbliżonym nieco do poprzedniego jest Clickjacking. Polega to na oznaczaniu zewnętrznych stron jako "Lubie to". Ponieważ można tak oznaczyć każdą ze stron (swoją drogą - polecam polubić stronę firmy IMMUSEC - zdecydowanie wiarygodną!!!) link może prowadzić do spreparowanej witryny, która zrobi dużo złego z naszym ukochanym komputerkiem (lub mniej kochaną ale bardziej pożyteczną siecią firmową).
Kilka dni temu podawałem link do mojego dawnego artykułu dotyczącego zapewnienia ciągłości funkcjonowania e-biznesu. W części Expert Room portalu IMMUSEC umieściłem ostatnio również inny artykuł - tym razem anglojęzyczny "Measurement of information security processes"

Temat mierzenia bezpieczeństwa informacji (czy dokładniej mówiąc poziomu bezpieczeństwa informacji) jest zagadnieniem trudnym do naprawdę wartościowej implementacji. Miary bezpieczeństwa są często ulotne, bardzo łatwo jest mierzyć drobiazgi, które często dają złudne poczucie bezpieczeństwa, trudno uchwycić to co jest dla organizacji naprawdę ważne.

Pomóc może tutaj wprowadzona przez mnie metoda CORRECT:
Complete;
Objective;
Reliable;
Rapid;
Easy to understand;
CompaCT.
Chcesz wiedzieć więcej? Zachęcam do lektury całego artykułu.
Hacking poinformował o tym, że WikiLeaks przeniosło serwerownie w inne miejsce. Niby nic nadzwyczajnego, a jednak nie jest to zwyczajna wiadomość - jak powtarza dziennikarz - CEO serwerowni ma jedną z najfajniejszych prac na świecie. Nawet nie sądziłem, że można tak wspaniale się bawić organizując tego typu miejsce:
- schron atomowy
- silniki z łodzi podwodnych
- fontanny i rosnące pod ziemią kwiatki
- przeszklony, wiszący pokój konferencyjny
- podziemny mostek (w planach)

Efekt jest...piorunujący - Ci ludzie naprawdę lubią gadżety i zabawę. Zresztą zobaczcie sami


W części Expert Room portalu IMMUSEC zamieściłem ostatnio jeden z moich najdawniejszych artykułów dotyczących ciągłości działania w e-biznesie.

Mimo, że tekst ma już 5 lat (co w tym fachu jest naprawdę znacznym okresem), większość z jego tez wciąż jest aktualnych. Zachęcam do lektury całego artykułu.
Już od dawna nie pojawiały się u mnie wystąpienia z TED - trzeba to zmienić.
David McCandless ostatnio opowiadał o pięknie wizualizacji danych.
Podkreślał jak właściwe zaprojektowanie wizualizacji danych potrafi zmieniać nasze postrzeganie świata, zwracał uwagę na "język oczu", który powinniśmy brać pod uwagę zawsze gdy projektujemy informacje. Jest to szczególnie ważne teraz, gdy na co dzień mamy do czynienia z nadmiarem otrzymywanych informacji, powodujących de facto zagubienie właściwych proporcji.

Zachęcam do obejrzenia wystąpienia i "Let the data set change your mind set"

Enterprise Risk Management jest zagadnieniem zdobywającym coraz więcej uwagi. W świecie IT widać to po zainteresowaniu norm i metodyk zarządzania ryzykami IT (odpowiednio ISO 27005 oraz RiskIT). Jednak dlaczego warto inwestować (przede wszystkim czas) w rozwój tego typu systemów?
odpowiedzi udziela bankier.pl w niedawnym artykule.
Na stronie naszej firmy: IMMUSEC otworzyliśmy kilka dni temu nowy dział: Expert Room. Będzie to miejsce w którym zamieszczać będziemy niektóre z rezultatów naszych prac jak case study, artykuły i... (ale o tym innym razem)

Miłą ciekawostką jest fakt, że lada dzień rozpoczniemy umieszczanie polskich tłumaczeń najciekawszych z postów Bruce Schneier'a. Bruce - światowy guru bezpieczeństwa i kryptografii przekazał nam swoją oficjalną zgodę na tego typu tłumaczenia swojego blogu i newslettera.


Tak więc...zapraszam do lektury
Rafał Rudnicki opublikował właśnie ciekawy artykuł porównujący zarządzanie ryzykiem w bankach z zarządzaniem ryzykiem w innych gałęziach gospodarki.

Załączam krótki fragment, polecam zapoznanie się z całością artykułu

Strażacy i specjaliści od zwalczania "dzikich pożarów" lasu (wildfires) twierdzą, że w niektórych okolicznościach - kiedy nie ma wysokiego zagrożenia życia ludzkiego - lepiej jest pozwolić się wypalić pożarowi i dać mu pochłonąć pewien obszar, aby w ten sposób odizolować i ochronić cały regionalny ekosystem. Jak to się przekłada na system finansowy ? Należy pozwolić słabym instytucjom na zbankrutowanie (vide finansowe wsparcie z budżetów państw) oraz utworzyć "przegrody ogniowe" - które spowodują, że pożar systemu finansowego obejmie jedynie jego słabą część, a większość tego systemu pozostanie odizolowana.
Standard PCI DSS (Payment Card Industry, Data Security Standard) jest jednolitym standardem bezpieczeństwa opracowanym przez Payment Card Industry Security Standards Council skupiający najważniejsze z firm zajmujące się procesowaniem kart kredytowych.

12 grup wymagań jest podzielonych na 6 głównych obszarów:
Budowa i utrzymanie bezpiecznej sieci
Wymaganie 1: Zainstaluj i skonfiguruj zapory ogniowe tak aby chronić dane posiadaczy kart
Wymaganie 2: Nie używaj domyślnych, dostarczanych przez dostawców danych w postaci haseł i innych parametrów bezpieczeństwa
Ochrona danych posiadaczy kart
Wymaganie 3: Chroń przechowywane dane użytkowników kart
Wymaganie 4: Szyfruj dane posiadaczy kart przesyłane otwartymi, publicznymi łączami
Utrzymuj program zarządzania podatnościami
Wymaganie 5: Używaj i regularnie aktualizuj oprogramowanie antywirusowe
Wymaganie 6: Twórz i utrzymuj bezpieczne systemy i aplikacje
Zaimplementuj silne mechanizmy kontroli dostępu
Wymaganie 7: Ogranicz dostęp do danych posiadaczy kart zgodnie z zasadą wiedzy koniecznej
Wymaganie 8: Przypisz unikalne identyfikatory wszystkim osobom mającym dostęp do komputerów
Wymaganie 9: Ogranicz fizyczny dostęp do danych posiadaczy kart
Regularnie monitoruj i testuj sieci
Wymaganie 10: Wyszukuj i monitoruj wszystkie próby dostępu do zasobów sieciowych oraz informacji o posiadaczach kart
Wymaganie 11: Regularnie testuj systemy i procesy bezpieczeństwa
Utrzymuj Politykę Bezpieczeństwa Informacji
Wymaganie 12: Spełniać polisę, która jest skupiona na bezpieczeństwie przechowywanych informacji

Natknąłem się ostatnio na interesujący materiał marketingowy - piosenkę tłumaczącą zasadność przestrzegania powyższych 12 zasad.

Posłuchajcie sami

Warto zauważyć, że 30 sierpnia ruszył program "Nasze dzieci w sieci" fundacji Kidprotect.
Inicjatywa jest ważna (pamiętajmy, przy okazji, że za paręnaście lat obecne dzieci będą przetwarzać nasze dane więc to kolejny powód dla których warto je kształcić w tym zakresie).
na portalu RP pojawiła się interesująca informacja dotycząca odpowiedzialności banku za ujawnianie przez pracowników informacji stanowiących tajemnicę bankową.
Sąd Najwyższy stwierdził, że bank może odpowiadać wobec klienta także w wówczas, gdy informacje o stanie jego kont przekazał przestępcom jego były pracownik.
Polecam zapoznanie się z resztą informacji. Ciekawe jak ostatecznie zakończy się sprawa. Banki raczej nie będą musiały obawiać się gigantycznych odszkodowań (jak w tym przypadku konieczności oddania pieniędzy wpłaconych porywaczom), niemniej podkreśla jak ważna jest poufność danych klientów w bankach.
Na blogu 112 PR pojawił się ciekawy post dotyczący różnicy między komunikację w zarządzaniu kryzysem z zarządzaniu ryzykiem.

Komunikacja kryzysowa najczęściej dotyczy rzeczy, które się nie powiodły, na przykład, potrąciłeś staruszka na przejściu dla pieszych, mechanik zapomniał wyregulować hamulce w samochodzie i dziennikarze dzwonią z pytaniami dlaczego jechałeś tak szybko.
Komunikacja ryzyka dotyczy z kolei przykrych rzeczy, które mogą się wydarzyć. Czy jest prawdopodobne, że jadąc za szybko potrącisz człowieka na przejściu, mechanik zapomni sprawdzić hamulce i dziennikarze będą żądać wyjaśnień?

Polecam lekturę całości.
Wiele razy w karierze słyszałem pytania czemu się czepiam użytkowników, czemu nie jestem zwolennikiem odblokowania portów USB, a raczej ograniczam dostęp do portów (bądź konkretnych modeli, zatwierdzonych korporacyjnie urządzeń pendrive.
Opowiadam wtedy o:
- łatwości infekcji
- łatwości utraty danych (razem z pendrive)
- trudnościach związanych z bezpiecznym kasowaniem (ze względu na slack space) oraz typowo zarządczych
- trudnościach w monitorowaniu co tak naprawdę jest kopiowane

Są różne sposoby zabezpieczeń, w tym momencie chciałbym przytoczyć informację z "Kopalni Wiedzy" w której opisano, potężny i skuteczny atak na Pentagon, właśnie przy pomocy "klipsu USB". Czy teraz już mi wszyscy wierzą, że bywa to niebezpieczne?
Bankier.pl opisał przygotowaną przez Sky News prowokację - dziennikarka postanowiła sprawdzić jak w rzeczywistości wyglądają czynności wykonywane przez serwisy komputerowe. Traf chciał, że trafiła na Polaka.

Można już się spodziewać, że nie zajmował się on jedynie naprawą sprzętu. Mogę też dodać, że już siedzi za kratkami.
Zainteresowani? - zapraszam na stronę z relacją. A tutaj znajduje się oryginalny tekst wraz z telewizyjną relacją.

To tylko pokazuje jak ważną kwestią jest bezpieczeństwo naszych informacji. Zasada ograniczonego zaufania obowiązuje również w cyberświecie!!!




hmmm, a tak przy okazji - oddawaliście ostatnio w swojej korporacji komputer do naprawy? Wiecie co się z nim działo?
Pewnie nic szczególnego....
Dlaczego tak sądzę?
Bo tak ufam wszystkim administratorom i informatykom pracującym w helpdesku?
Nie bardzo...

Chodzi o to, że oni wcale nie potrzebują fizycznego dostępu do komputera. Przecież wszystko i tak mogą przejrzeć zdalnie. Wiec za późno już kasować plik z hasłami - oni już go mają!
W ubiegłym tygodniu zamieściłem informację o wywiadzie jakiego udzielił Wojciech Wiewiórowski dotyczącym m.in. monitorowania pracowników.
Na stronie Dziennika Gazeta Prawna znalazłem jeszcze inny, trochę wcześniejszy artykuł na ten temat - Praca na podsłuchu

Autorzy zwracają tu uwagę na aspekt dóbr osobistych pracownika, piszą kiedy można tylko informować pracownika o stosowanych zabezpieczeniach, a kiedy należy uzyskać jego zgodę na ich zastosowanie
O tym jak ważne dla przedsiębiorstw jest bezpieczeństwo informacji piszę raczej na bieżąco. Jakiś czas temu na Interii p. Waldemar Podel opublikował artykuł "Ściśle tajne przez poufne" gromadzący prawne wymagania dotyczące ochrony informacji pracodawców.
Bardzo zachęcam do lektury - naprawdę pożyteczny opis. Brakuje mi w nim co prawda odniesień do innych, szczegółowych zagadnień (dane osobowe, informacje niejawne, różnego rodzaju tajemnice zawodowe (lekarska, adwokacka, dziennikarska...)) ale może pojawi się ciąg dalszy.
Inżynieria społeczna jest jednym z największych niebezpieczeństwa dla bezpieczeństwa informacji. Po co się włamywać - przecież wystarczy zapytać i może ktoś nam poda potrzebne dane - to główna myśl jaka przyświeca osobom korzystającym z tego narzędzia do popełniania oszustw.

Pracownicy firm zazwyczaj nie wiedzą jak się zachować gdy z drugiej strony słuchawki słyszą bezczelną, wygadaną i bystrą osobę mającą na dodatek sporo wiedzy o firmie. Pamiętajmy, że pracownicy:
- często są źle wyszkoleni z zakresu bezpieczeństwa
- są źle opłacani
- bywają przemęczeni, zdenerwowani
- gubią się w ilości wewnętrznych procedur firm
- nie wiedzą co tak naprawdę się dzieje w firmie
- pragną spokoju
- muszą być mili i pomocni ponieważ ich zadaniem jest troska o wizerunek.

Ostatnio znów na DevCon był tego typu konkurs. Zresztą polecam pobawić się youtube i po chwili będzie można znaleźć nagrania z poprzednich lat
Dziennik Gazeta Prawna umieścił w sieci rozmowę z Wojciechem Wiewiórowskim.
Szef GIODO opowiada w niej między innymi o dopuszczalnych i niedopuszczalnych sposobach kontrolowania pracowników.

Załączam krotki cytat, po resztę zapraszam na stronę gazety.
Główną zasadą powinno być poinformowanie pracownika, jak jest kontrolowany. Jeśli firma wprowadzi np. wiele zakazów dotyczących użytkowania poczty, pracownicy muszą się z nimi zapoznać. Nie mogą one być przedstawiane dopiero w momencie korzystania z poczty. Obecnie większość firm domaga się, aby pracownicy korzystali ze służbowych skrzynek tylko do celów zawodowych. I słusznie, bo ochrania to interesy pracodawcy, a jednocześnie nie ogranicza znacząco praw pracownika.

Dostałem ostatnio od kolegi (dziękuje Marcin) interesującego linka - na wyspach działa już serwis "ubezpieczający" osoby prywatne przed zagrożeniami utraty tożsamości. Firma ProtectMyId oferuje monitorowanie tego co się dzieje z danymi obywateli wysp. Informuje gdy pojawią się dziwne kredyty czy zakupy, będzie reprezentować pracownika w sytuacji gdy trzeba będzie udowodnić, że padło się ofiarą oszustwa. Polecam szczególnie lekturę kilku przypadków.

Pomysł wydaje mi się bardzo ciekawy. Nie wiem czy w PL jest już odpowiednio dużo tego typu spraw by uruchamiać taki serwis, niemniej pewnie to się kiedyś zmieni. Zwiększenie kar jakich przy okazji można zażądać od firm, które niewłaściwie chronią nasze dane na pewno przyczyniłoby się do popularyzacji serwisu.
Wiem, że badania dotyczące USA niekoniecznie maja odzwierciedlenie w innych miejscach na świecie, niemniej trafiłem ostatnio na ciekawą stronę sporządzoną przez Internet Crime Compliant Center z zestawieniem strat powstałych w wyniku cyberprzestepczości.

Wyraźnie widać drastyczne zwiększenie wielkości strat w ostatnim czasie:
2009 - $559.7 milionów
2008 - $265 milionów
2007 - $239.09 milionów
2006 - $198.44 milionów
2005 - $183.12 milionów

Ciekawe jak to będzie w 2010. Spodziewam się kolejnego znacznego wzrostu.
W swoim najnowszym raporcie Cisco przedstawiło na str 27 artykuł wymieniający 5 sposobów na uszczelnienie bezpieczeństwa. Zamiast podkreślać konieczność inwestycji w technologię czytamy (swobodne tłumaczenie):
1. Pozamykaj niedociągnięcia w zakresie świadomości pracowników
2. Skoncentruj się na zamykaniu starych problemów i zrób to dobrze
3. Kształć pracowników w zakresie bezpieczeństwa, włączaj ich w proces ochrony
4. Zrozum, że jedna bariera bezpieczeństwa nie jest wystarczająca
5. Spójrz na bezpieczeństwo jak na wyróżnik Twojego biznesu

Czyli zero technologii, wyłącznie miękkie zarządzanie o którym piszę na tym blogu. Programy zwiększania świadomości, angażowanie pracowników, wiele warstw zabezpieczeń. Jak miło to czytać. Miód dla moich oczu :)
Kopalnia Wiedzy opublikował kilka dni temu bardzo ciekawy artykuł dotyczący przełamywania zabezpieczeń nowoczesnych - biometrycznych zamków.

Przytaczam fragment, po resztę równie ciekawych informacji zapraszam do źrodła.
"Ofiarą eksperta padł m.in. Biolock 333, który skanuje odciski palców i wpuszcza tylko autoryzowane osoby. Tobias otworzył go... kawałkiem papieru wepchniętym w szczelinę na klucz. Z kolei otwierany cyfrowym kodem Amsec EX1014 poddał się po wsunięciu z szczelinę drzwi cienkiego paska metalu i naciśnięciu nim znajdującego się wewnątrz zamka guzika resetującego kody."
Ostatnio znów powrócił temat korzystania z profili społecznościowych w pracy. Faktycznie jest szereg zagrożeń związanych z tym zagadnieniem, nie jest to jednak (moim zdaniem0 tak drastyczne naruszenie polityk bezpieczeństwa. Podstawową kwestią jaką musi rozważyć firma przy decyzjach czy zabraniać czy nie jest moim zdaniem najzwyklejsze uzasadnienie biznesowe "Czy naprawdę pracownicy muszą korzystać z tego typu rozrywek w czasie pracy"?
Badania pokazują, że na tego typu rozrywkę pracownicy tracą 30-60 minut dziennie. Przy założeniu, że korzysta z tego tylko 30% pracowników firmy liczącej 200 osób przy średniej pensji na poziomie 3500 pln wychodzi, że sama ta nieproduktywność kosztuje firmę prawie 550 pln dziennie czyli niemal 11 tysięcy miesięcznie (nie licząc utraconych korzyści). Firma wpierw musi sobie odpowiedzieć na pytanie czy warto...

A jakie zagrożenia poza utrata produktywności niosą za sobą sieci społecznościowe? Oto parę przykładów:
- możliwość zawirusowania sieci firmowej po kliknięciu na niewłaściwy link polecony przez "przyjaciela"
- psucie reputacji pracodawcy podczas dyskusji typu "mój szef idiota znów zlecił mi głupią pracę..." czy głosowań "kto się dziś nudzi w pracy..."
- zrobienie sobie "kuku" podczas dyskusji na temat ilości wypitego poprzedniej nocy alkoholu i przyznawania się publicznie, że wciąż jest się pijanym
- psucie reputacji firmy przez umieszczanie prywatnych zdjęć (na przykład z imprez alkoholowych o czym przekonał się pracownik banku z Suszu)
- niechętnie widzianą przez niektórych pracodawców większą możliwość znalezienia lepszej pracy

Jak można zaradzić kłopotom związanym z takimi zagadnieniami? Oczywiście sposobów jest parę:
- uświadomienie pracowników w zakresie właściwej pracy z tego typu portalami (instrukcje "internetowego BPH" o których jest mowa w linkowanym artykule wcale nie są złym pomysłem jeśli się je zrobi dobrze)
- oficjalne zablokowanie portali gdy tego typu zachowania zostaną uznane za niepożądane (lepsze to niż monitoring w stylu "wielkiego brata" i późniejsze wyciąganie konsekwencji)
- zarządzanie ilością czasu jaki można spędzać na tego typu stronach (od lat istnieją dobre systemy do kontrolujące surfowanie po sieci)

No i oczywiście:
- stworzenie takiej atmosfery pracy w której nie byłoby osób niezadowolonych
- takie zorganizowanie pracy by nie było czasu na tego typu zabawy
- prowadzenie działalności w taki sposób by nie można już sobie było bardziej zszargać opinii (jak ja dawno nie byłem złośliwy :-)
Zabezpieczając informacje często koncentrujemy się na najważniejszych z nich - bazach danych, krytycznych raportach i zestawieniach.
Równocześnie ignoruje się często drobne fragmenty informacji, które poskładane (niekiedy mozolnie) pozwalają uzyskać pełne informacje bez szczególnego wysiłku.
Walające się wydruki dotyczące sytuacji klienta, wyrzucane do kosza na śmieci notatki z rozmów telefonicznych, robocze wersje punktów audytowych, niewłaściwe uprawnienia do mniej ważnych systemów, nadmiar osób mających dostęp do teoretycznie nieważnych danych, niezamknięta szafka zawierająca wyłącznie wydruki bieżącej korespondencji z klientem, zbyt głośna rozmowa przy obiedzie, bez żadnych szczególnych tajemnic. Takie rzeczy to codzienność.
Pojedynczo te sytuacje nie stanowią większego zagrożenia, niemniej odpowiednio zebrane i przeanalizowane potrafią pokazać naszą sytuację (lub sytuację naszych partnerów czy klientów) w zupełnie inny świetle.

Przytoczę tu słowa Johna Stewarta - CSO w Cisco
Dlaczego hakerom się udaje? Mają szczęście, są cierpliwi, są błyskotliwi. Są również lepiej opłacani niż ty.
Czyli po pierwsze im się chce, po drugie mają czas a po trzecie mają dobry pomysły. Dzięki temu, oraz dzięki temu, że popełniasz te drobne błędy o których napisałem wcześniej to oni mają przewagę...
Pamiętaj - bezpieczeństwo informacji zależy od Ciebie!
Wczoraj na wikileaks.org (wszyscy już chyba wiedzą czym się zajmuje ta strona) pojawiło się coś baaaardzo interesującego. Powiedziałbym, ze to swoiste novum
W dziale dotyczącym wojny w Afganistanie pojawił się plik o nazwie "insurance.file". No i zaczęło się zastanawianie co takiego posiadają twórcy strony. Biorąc pod uwagę ostatnie oskarżenia, przesłuchania itp można zakładać, że jest to coś czym będą próbowali zaszantażować rząd USA. Teraz pewnie hakerzy (i dziennikarze) z całego świata będą próbować to sobie zaciągnąć i spróbować złamać zabezpieczenia.

Rozumiem intencje, niemniej uważam,że wolność słowa powinna mieć swoje granice. Informacja naprawdę może wyrządzić bardzo rzeczywiste szkody. A szantażu szczególnie nie lubię.
Wyborcza.biz opisała dziś zagadnienie porad medycznych na telefon. Autorzy opisywali jak wygodniejsze życie mogą mieć pacjenci gdy zostaną wprowadzone tego typu usługi.

Niestety w życiu często tak to bywa, że jeśli coś jest wygodniejsze to często jest mniej bezpieczne (pamiętacie system operacyjny DOS i brak wielowątkowości - żaden dzisiejszy trojan by tego nie obszedł)

Czytając artykuł od razu wyobrażałem sobie różnego rodzaju zagrożenia związane z telemedycyną:
- gdyby już nie tylko monitorować serce ale i być w stanie zdalnie na nie wpłynąć (kwestia czasu jak zakładam) to można by przechwycić sygnał i zdalnie kogoś uśmiercić;
- przechwyconą transmisję z serca dotyczącą poważnych kłopotów można zagłuszyć i zmodyfikować na "wszystko OK" czym doprowadzi się do śmierci;
- przy zdalnych konsultacjach jeszcze wygodniejsze byłoby wyłudzanie lekarstw na recepty;
- wyobraźmy sobie sytuację podszywania się pod centrum medyczne i udzielania porad medycznych "dla jaj";
- teoretycznie rozszerzony dostęp do wiedzy medycznej można łatwo spożytkować do np. wyciągania informacji o alergiach i uczuleniach (celem uśmiercenia);
- szerszy dostęp to więcej szans na nieautoryzowaną modyfikację danych (na przykład grupy krwi), co może się skończyć w wiadomy sposób;
- no i pomyślmy o firmach oferujących ubezpieczenia na życie - wszystkie informacje mieliby dostępne online (tu na przykład mogłaby im przyjść z pomocą socjotechnika).
Może w przyszłości faktycznie będziemy się leczyć online. Ja jednak byłbym tu ostrożny. Bardzo ostrożny!
Cisco właśnie opublikował najnowszy raport bezpieczeństwa.
Ponieważ jakoś przeoczyłem poprzedni tym chętniej zabrałem się do lektury.
W tym momencie tylko sygnalizuję,że istnieje ta pożyteczna lektura, w najbliższych dniach napiszę o niej coś więcej.
Rafał Rudnicki opublikował na blogu kolejny artykuł na temat ryzyka.
Miedzy innymi zajmuje się tematyką różnicy między ryzykiem a szansą.
Te zagadnienia są sobie szczególnie bliskie.
Trzeba ryzykować by osiągnąć korzyść, wybić się przed konkurencję, wprowadzić nowe usługi itp. Jeżeli nam się uda to wspaniale - wygrywamy. Jeżeli nie to ponosimy stratę. Przytaczając Paula Hopkina zwraca uwagę na 2 rodzaje sytuacji, które zawsze są negatywne, które nie mogą zamienić się w korzyści:
Ryzyka hazardowe (ogień, powódź, kradzież, utrata klienta) mogą być wyłącznie negatywne (akademicy nazwaliby je ryzykami czystymi). Pojęcie tego ryzyka pojawiło się już dawno - jeszcze przed latami 80-tymi. Menedżer ryzyka będzie się starał zmniejszyć możliwą do wystąpienia stratę.
Jest jeszcze "ryzyko kontroli" lub po prostu ryzyko niepewności czy też ryzyko spekulacyjne - to pojęcie pojawiło się w latach 90-tych. Podobnie jak w ryzykach hazardowych możemy mieć do czynienia jedynie z bilansem ujemnym, ale ma on nieco inne podłoże. Ryzyko kontroli dotyczy zjawisk które z natury obarczone są niepewnością, a do wyników których chcemy mieć jak najwyższą pewność (np wynik prowadzonych projektów). Bilans ujemny to niekoniecznie wynik działania samego ryzyka, ale nakłady jakie jesteśmy skłonni ponieść na kontrolowanie tego typu ryzyk - sprowadzenie wszystkich możliwych scenariuszy i wyników do jak najwęższego zakresu; to jest zwykle zadanie risk managera.
Zachęcam do lektury całego artykułu.
Onet opublikował na swoim blogu bardzo ciekawe studium przypadku. Tegoroczna powódź bardzo zagroziła ich głównej serwerowni - by zapewnić ciągłość działania onet.pl trzeba było uruchomić plany kryzysowe. Polecam zarówno lekturę całej historii, jak i przejrzenie galerii zdjęć - szczególnie tych ostatnich.

Marcin Kluczewski - Kierownik Zespołu Administratorów Drugiej Linii Wsparcia w onet.pl zwrócił też uwagę na jedną prawidłowość o której często się zapomina (moje pogrubienie):
"Następnym krokiem, jaki został podjęty w związku z zagrożeniem było przepięcie wszystkich usług i systemów działających produkcyjnie na infrastrukturę zapasową w innych centrach danych. Decyzja była trudna, ponieważ architektura części z przepinanych systemów powodowała, że przepięcie możliwe było „w jedną stronę” a w każdym razie powrót z danym systemem z powrotem do lokalizacji początkowej wiązałby się z dużym nakładem pracy."
No i oczywiście koniecznie trzeba podkreślić tę myśl:
"I na koniec jeszcze jedna ważna uwaga: choćbyśmy mieli najlepsze i najbardziej szczegółowe plany są one niewiele warte, jeżeli nie są przetestowane. Tylko regularne testy zapewnią nas, że plan jest realny i wykonalny, oraz że żadne zmiany, które wykonaliśmy w infrastrukturze nie spowodowały, że stał się on nieaktualny."
W publikacji "CYBERTERRORYZM - nowe wyzwania XXI wieku" powstałej po ubiegłorocznej konferencji pod tym samym tytułem przedstawiłem referat "Sektor bankowy jako potencjalny cel ataku cyberterrorystycznego".

Wymieniłem w nim między innymi kilka potencjalnych zagrożeń dla całego sektora bankowego, na których nadejście należy być przygotowanym. Cyberterrorystyczne ataki skierowane na sektor bankowy mogą między innymi skutkować:
- Zakłóceniem swobodnego przepływu środków pieniężnych;
- Zafałszowaniem danych dotyczących bieżącej sytuacji gospodarczej i finansowej;
- Manipulowaniem notowaniami kursowymi bądź giełdowymi;
- Odebraniem firmom i osobom prywatnym bieżącego dostępu do zgromadzonych środków;
- Zafałszowaniem informacji dotyczących poziomu zadłużenia;
- Kradzieżą i legalizacją znacznych sum.

Źródło: Syta J., Sektor bankowy jako potencjalny cel ataku cyberterrorystycznego. Cyberterroryzm - nowe wyzwania XXI wieku. Praca zbiorowa Jemioła T., Kisielnicki J. i Rajchel K. [red.], Wydział Wydawnictw i Poligrafii Wyższej Szkoły Policji w Szczytnie, Warszawa 2009, str. 696-703

Najlepszą metodą zabezpieczenia się przed tego typu atakami jest przeciwdziałanie - wykrycie ataku zanim nastąpi i skuteczne przeciwdziałanie. Co jednak jeśli nie uda się go wykryć wcześniej? Czy banki są przygotowane na reakcję post factum?
Trafiłem ostatnio na kolejne ze świetnych (moim zdaniem) wystąpień na TED. Simon Sinek wyjaśnia w bardzo prosty sposób jak zdobywać innych, jak przekonywać ich do kupna produktów, zachęcać do swoich idei. Nie chodzi tu o komunikowanie "co" i "jak" należy robić ale o docieranie do wnętrza człowieka, do tłumaczenia "dlaczego".


To co mnie cieszy to fakt, że w swoich prezentacjach i artykułach dotyczących roli komunikacji w zarządzaniu bezpieczeństwem również zwracam uwagę na ten aspekt, jako kluczowy dla właściwego zabezpieczania informacji.
Gazeta.pl podała, że Google właśnie zakupiło kolejną firmę: Metaweb, która opracowała technologię symantycznego wyszukiwania.

Wygląda na to, że będzie to kolejna rewolucyjna składowa systemu. Cała idea opiera się na trosce by tym samym :obiektom" w sieci nadawać to samo znaczenie, niezależnie od formy w której jest to przedstawiane. Brzmi skomplikowanie? polecam obejrzenie krótkiej reklamówki firmy metaweb.


Uruchomienie polskiego portalu zajmującego się antyterroryzmem zbiegło się w czasie z debatą o skali amerykańskiego programu walki z terroryzmem. Gazeta.pl opisała wyniki analiz zrobionych przez Washington Post z których wynikają między innymi następujące fakty:
- walką z terroryzmem zajmuje się 45 organizacji (nie licząc prywatnych firm)
- 854 tys. osób ma dostęp do tajnych informacji
- nikt nie potrafi zapanować nad tymi działaniami

Potężne wrażenie zrobił na mnie następujący wykres zbierający zakres zainteresowań poszczególnych 45 agencji:


Wniosek jest jeden i stale ten sam. Na bezpieczeństwo tak jak na technologie można wydać każde pieniądze, wykorzystać praktycznie nieograniczone zasoby. Jednak nie sztuka wydawać bez opamiętania - zarządzać bezpieczeństwem trzeba z głową, metodycznie, zgodnie z najlepszymi praktykami. Inaczej efekty będą zgoła przeciwne do zamierzonych - nie tylko agencje udławią się ilością przetwarzanych informacji i prowadzonych śledztw, ale równocześnie znacznie zwiększy się ryzyko infiltracji agentów przez nieprzyjaciół.
Wolność panująca obecnie w internecie mnie przeraża. Nie, ze względu za zapędy rodem z Wielkiego Brata mające na celu kontrolowanie wszystkich aspektów życie czy brak poszanowania dla prywatności. Ze względu na panującą niekiedy w sieci pełną anarchię.
Można w sieci anonimowo pluć na przeciwników, korzystać łatwo z technik ukrycia swojej tożsamości podczas dokonywania przestępstw internetowych, umieszczać fałszywe informacje.

W dyskusjach często zwracałem uwagę na prawdopodobieństwo wytworzenia pewnych mechanizmów zaufanego uwierzytelniania się w sieci. Stworzenia jakiegoś rodzaju elektronicznych dowodów tożsamości, które zapanują nad istniejącą anarchią. No i okazało się, że rozwiązanie jest bliżej niż się spodziewałem. Howard Schmidt już zaproponował założenia dla takiego systemu.

Jestem zwolennikiem wolności, ale widzę równocześnie znaczną różnicę między wolnością a anarchią. Różnica polega na poszanowaniu wspólnych zasad etycznych. Gdy są ustalone i przestrzegane możemy mówić o wolności. Gdy mamy do czynienia z samowolką w stylu "hulaj dusza, piekła nie ma" mamy do czynienia z destrukcyjną anarchią. Mam wątpliwości czy "cyfrowe dowody osobiste" są najlepszym możliwych rozwiązaniem, niemniej w tym momencie nie znam alternatyw. Poszanowania dla innego człowieka i zasad etycznych nie można wymusić.
Zarządzanie ryzykiem IT wciąż jest często traktowane jako coś innego, dziwnego, niezwykłego i często zbyt skomplikowanego lub zbyt odległego od profilu działalności organizacji. Wciąż znaczna część organizacji nie zarządza tymi ryzykami w sposób właściwy.

ISACA od jakiegoś czasu stara się zmienić ten stan, pokazuje, że de facto ryzyka IT mają wpływ na działalność każdego z przedsiębiorstw, że są nie tylko integralną częścią ryzyka operacyjnego, którym coraz częściej organizacje zaczynają zarządzać, a jest częścią wszystkich składowych systemu zarządzania ryzykiem w przedsiębiorstwach (Enterprise Risk Management). Wydała w tym celu zbiór dokumentów wchodzących w skład Risk IT Framework. Bardzo zachęcam do zapoznania się z tymi dokumentami, w szczególności z dokumentami:
- The Risk IT Framework
- The Risk IT Practitioner Guide

Ponieważ technologie IT dotykają wszystkich obszarów działalności organizacji nie można ich zastawiać samym sobie. Przedsiębiorstwa zarządzają ryzykiem kredytowym czy finansowym, z punktu widzenia operacji troszczą się o zapewnienie ciągłości, o bezpieczeństwa pracy, przeciwpożarowe... A bardzo często zupełnie pomijają to, co spina wszystkie obszary w jedną całość - technologie IT. Oraz wszystkie związane z tym podatności, które co rusz przypominają o swoim istnieniu, oczywiście w najmniej spodziewanych momentach.
Computerworld opublikował bardzo interesujący sondaż Cyber-Ark Software dotyczący tego czym w wolnych chwilach zajmują się administratorzy. Wynika z niego, że:
- 67% pracowników IT przyznaje, że zdarzyło im się przeglądać dane współpracowników, które nie były w żaden sposób związane z ich pracą
- 41% specjalistów IT przynajmniej raz wykorzystało uprawnienia administratora w firmowych komputerach do uzyskania lub przeglądania poufnych informacji innych osób

Niestety, jeśli ktoś może wszystko to naprawdę trudnym może okazać się powstrzymanie się od tego by co nieco sobie poprzeglądać. Przecież i tak nikt się o tym nie dowie. JEŚLI logi dokumentujące czynności administratorów są w ogóle gromadzone, to w większości przypadków oni i tak mają do nich DOSTĘP więc mogą usunąć niewygodne wpisy. Kto przecież korzysta z narzędzi (jak Tripwire lub Open Source Tripwire) do zapewniania integralności danych?

Rozwiązanie problemu nie jest wcale trywialne - wymaga kompleksowego podejścia:
- odejścia od korzystania z kont generycznych (admin, root itp) na rzecz kont imiennych
- kontroli uprawnień na zasadach ról (trochę więcej o tym pisałem wczoraj)
- bezzwłoczne usuwanie niepotrzebnych kont (np. zwolnionych pracowników), regularne przeglądy uprawnień
- właściwe zdefiniowanie informacji objętych ochroną
- kontroli wykorzystania uprzywilejowanych kont (np. ochrona haseł w sejfach elektronicznych, jak ten produkowany właśnie przez Cyber-Ark)
- monitorowania użycia kont uprzywilejowanych (przynajmniej logów, choć jeszcze ciekawsze jest nagrywanie sesji np. przy pomocy Cyber-Ark, pod warunkiem, że jest gdzie to przechowywać i ma to kto na bieżąco analizować)
- zabezpieczania logów (zabranie uprawnień administratorów do serwerów z logami lub zapewnianie integralności programami typu Tripwire
- odchodzenie od umieszczanych w kodzie haseł, lub przynajmniej przechowywanie ich w zaszyfrowanej wersji
- przeprowadzenia niezależnej kontroli funkcjonowania całego rozwiązania
Jednym z najczęściej spotykanych zwyczajów we wszystkich chyba rodzajach organizacji jest tworzenie profili nowych użytkowników (lub dodawanie uprawnień) "tak samo" jak np u Kowalskiego. Jest to wygodne, gdyż zamiast mozolnie dodawać uprawnienia do poszczególnych katalogów czy systemów można skopiować profil i po paru sekundach praca jest zrobiona.

Kontrola jakości w takich sytuacjach wygląda zwykle następująco:
1. jak użytkownik ma za mało uprawnień (o czymś zapomniano) to zaraz zrobi raban więc dostanie to co potrzebuje
2. jak użytkownik na za dużo to...hmm to trudno. Będzie kiedyś weryfikacja praw to mu się zabierze (jeśli uda się to wypatrzyć).

W tę pułapkę wpadają firmy na całym świecie. Setki tysięcy pracowników na wszystkich kontynentach mają za duże uprawnienia, czyli mogą za dużo przeczytać, pozmieniać lub pokasować ze względu na lenistwo osób odpowiedzialnych za nadawanie uprawnień (tu uwaga, niekoniecznie chodzi o administratorów aplikacji - często to działy biznesowe są zbyt leniwe (czytaj zapracowane) by troszczyć się o drobiazgi typu uprawnienia. Jak to się może skończyć popamięta przez lata na pewno bank Societe Generale zatrudniający kiedyś bystrego maklera Jerome Kerviela.

Rozwiązaniem na takie sytuacje jest przejrzenie organizacji pod kątem ról wykonywanych przez pracowników i przypisywanie pracowników do odpowiednich z nich w zależności od potrzeb. Służą do tego dedykowane systemy, można to również zrobić taniej - "ręcznie" przy większej ilości włożonej pracy, ale o tym napisze innym razem.
W trakcie ubiegłorocznej konferencji "Activity 2009" w Kazimierzu nad Wisłą organizowanej przez prof. Elżbietę Skrzypek z UMCS przedstawiałem referat dotyczący wielowarstwowej ochrony informacji.

Teorie wojskowości od dawien dawna wykorzystują koncepcję wielowarstwowej obrony (ang. defence in depth). Jest ona wykorzystywana do określenia strategii obrony, która tworzy elastyczny i powiązany system mający na celu znaczne opóźnienie ataku i zadanie atakującemu jak największych strat.

Teorie wzięte wprost ze strategii dowodzenia można również stosować podczas budowania systemów zarządzania bezpieczeństwem informacji. W Takich sytuacjach zaproponowałem utworzenie 4 warstw obrony. Pierwsza warstwa ochrony powinna zajmować się kontrolą dostępu do informacji wyłącznie dla upoważnionych pracowników. Administratorzy wykonywaliby takie czynności jak przyznawanie praw dostępu, monitorowanie dostępu do informacji oraz wdrażanie i aktualizowanie technicznych zabezpieczeń. Ich praca byłaby nadzorowana przez drugą linię zabezpieczeń, czyli właścicieli biznesowych kontrolujących poprawność przyznanych praw dostępu oraz specjalistów bezpieczeństwa przeprowadzających bieżącą weryfikację bezpieczeństwa, dokonujących analiz mających na celu zapewnienie, że informacje są chronione w sposób właściwy. Najwyższą linię obrony stanowiłby audyt potwierdzający skuteczność niższych warstw ochrony informacji.
Cały referat został wydany przez UMCS: Syta J., Tkaczyk S., Zastosowanie podejścia wielowarstwowej ochrony podczas zarządzania bezpieczeństwem informacji. Praca zbiorowa Skrzypek E. [red.], Zakład Ekonomiki Jakości i Zarządzania Wiedzą, Wydział Ekonomiczny, Uniwersytet Marii Skłodowskiej-Curie, Lublin 2009, str 453-461
Dziś mija 5 rocznica ataku bombowego w Londynie. Przy tej okazji postanowiłem napisać o najbardziej popularnym zabezpieczaniu na wyspach

W Wielkiej Brytanii - kraju posiadającym rekordowe ilości kamer CCTV od dawien dawna trwa debata na temat ich rzeczywistej przydatności. Porównania do G.Orwella są jak najbardziej słuszne. Od jakiegoś czasu działa organizacja Big Brother Watch zajmująca się ochroną prywatności zabieranej w sposób znany z Wielkiego Brata.

Ostatnio debata znów się nasila, gdyż stróże prawa przyznają, że ich skuteczność w rzeczywistej walce z przestępcami jest coraz mniejsza.
Nagrania z kamer przestają być dobrą bronią z kilku powodów:
1. ktoś to musi oglądać i reagować na przestępstwa, a jak to robić mając setki tysięcy kamer do ogarnięcia?
2. kamery mogą działać odstraszająco wyłącznie na osoby chcące popełniać przestępstwa cyklicznie. W przypadku jednorazowych aktów terroru jak samobójcze zamachy kamery tylko odpowiedzą na pytanie kto, w żaden sposób nie zapobiegną tragedii.
3. kamery muszą zapisywać obraz w sensownej rozdzielczości a nagrania muszą być przechowywane przez rozsądny okres czasu.

Wielka Brytania potrzebuje więcej policjantów, nie kamer. Osiągnęła już masę krytyczną, po której ich skuteczność gwałtownie zaczęła spadać.
W trakcie prezentacji na dzisiejszej konferencji zajmowałem się miękkimi czynnikami a konkretnie rolą komunikacji w procesie zarządzania ryzykiem. Przypomniałem między innymi sylwetkę prof. Jamesa Reasona z Uniwersytetu w Manchesterze, który przez lata badał incydenty lotnicze i analizował możliwości ich redukcji.

Jednym z wyników prac było zwrócenie uwagi na fakt, że ludzkie błędy są w znacznej mierze konsekwencją a nie przyczyną. Czynniki organizacyjne kształtują zachowania pracowników i często to one są prawdziwą przyczyną incydentów. Dlatego głównym celem analizy incydentów powinno być zrozumienie kompletnego kontekstu błędu, nie tylko skoncentrowanie się na szukaniu winnych. Kultura sprawiedliwości ("just culture") postulowana przez prof. J. Reasona polega na dogłębnej analizie incydentów bez koncentrowania się na konkretnym pracowniku oraz wyciąganiu konsekwencji wyłącznie w stosunku do osób, które celowo zachowały się niewłaściwie oraz tych, których zachowanie cechowało się wyjątkową bezmyślnością.

Zapraszam do zapoznania się z całą prezentacją
6 lipca w Warszawie odbędzie się konferencja "Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie".

Zostałem zaproszony do wygłoszenia tam wykładu. Przedstawię prezentację pod tytułem "Komunikacja kluczem do skutecznego zarządzania ryzykiem".
Jeśli tam będziecie to zapraszam na wspólną kawkę w przerwie.
Dziś wybory! Zakładając, że wszyscy już udali się do urn załączam najdłuższy jak dotąd materiał.

Od paru lat w różnych kontekstach pojawia się zagadnienie głosowania w sposób elektroniczny. Mimo bardzo poważnych obiekcji przedstawianych przez specjalistów zajmujących się bezpieczeństwem stało się to już faktem (choć na szczęście nie w Polsce). 4 lata temu przygotowano materiał na temat bezpieczeństwa procesu głosowania w USA w trakcie wyborów prezydenckich w latach 2000 i 2004.

Autorzy pokazali dowody szeregu błędów w implementacji, które skutkowały (lub przynajmniej mogły skutkować) w zafałszowaniu wyników wyborów. Zakładam, że być może nie wszyscy pamiętają tę historię, a warto mieć to na uwadze. Zachęcam do obejrzenia filmu.

Trailer (2 min):


Cały film (81 minut):


W Polsce jak na razie sytuacja wcale nie kształtuje się lepiej. Zachęcam do lektury wątku Bezpieczeństwo informatyczne niedzielnych wyborów w serwisie vagla.pl

Pozwolę sobie teraz spytać - kto jeszcze chciałby (biorąc pod uwagę to co pokazano na filmie oraz lekturę materiału przygotowanego przez Vaglę) głosować przez internet?
W trakcie konferencji "Doskonalenie Organizacji" zorganizowanej kilka dni temu przez Uniwersytet Ekonomiczny w Krakowie przedstawiłem referat pt. "ROLA ZARZĄDU W ZAPEWNIANIU CIĄGŁOŚCI FUNKCJONOWANIA ORGANIZACJI"

Oprócz dyskutowania roli zarządu zwróciłem uwagę na podstawowe obowiązki działów biznesowych, do których między innymi zaliczyłem:
- określenie krytycznych procesów;
- podanie maksymalnych dopuszczalnych czasów przestoju poszczególnych procesów;
- wskazanie krytycznych zasobów;
- akceptacja alternatywnych możliwości;
- zapewnienie właściwego finansowania projektu;
- zapewnienie właściwego wsparcia organizacyjnego.

Podkreślałem, że to właśnie działy biznesowe powinny być głównymi zainteresowanymi gdyż to one:
- zapłacą za dostarczone rozwiązanie;
- będą korzystać z rozwiązań w sytuacji katastrofy;
- będą docelowo (przez klientów) rozliczane ze skuteczności zastosowanych rozwiązań.

Więcej znajduje się w publikacji pokonferencyjnej, w naszym artykule: Syta J., Tkaczyk S., Rola zarządu w zapewnianiu ciągłości funkcjonowania organizacji. Praca zbiorowa Sikora T. [red.], Uniwersytet Ekonomiczny w Krakowie 2010
Zainspirowany przez Computerworld do oglądania nagrań z TED trafiłem na prezentację Rory Sutherlanda: Sweet the small stuff.



Dowodzi on, że firmy robią coraz lepiej wielkie rzeczy, przenosząc właśnie na nie główny ciężar swojej działalności pomijając drobiazgi jak na przykład interfejs użytkownika, które tak naprawdę są decydujące o tym jak klient odbiera dany produkt. Niektóre "drobiazgi" w rzeczywistości są kluczowymi dla całego produktu czy organizacji - są tanie ale mają wielki wpływ na organizację.
Poszukajmy ich w naszej pracy, zróbmy z tego ciągły proces - to przesłanie autora. A może nawet powołajmy osobę na stanowisko Chief Detail Officer
Kilkakrotnie przewijał się już tu temat prywatności. Półtora miesiąca temu pisałem o fikcyjnym poczuciu prywatności w obecnym świecie. Na blogu Hard Core Security Labs pojawiła się informacja o projekcie Panaopticlick pozwalającym na bardzo dokładną identyfikację komputerów poprzez informacje dotyczące ich przeglądarek, zainstalowanych wtyczek, parametrów technicznych takich jak strefa czasowa, zastosowana rozdzielczość czy zainstalowane czcionki(bez wykorzystania cookies).
Okazuje się, że na chwilę obecną żadna z dobrze ponad miliona osób, które sprawdziły swój system nie posiada takiej konfiguracji jak ja. Innymi słowy - po raz kolejny okazuje się, że wcale nie jestem anonimowy w sieci (działa to również przy włączonym trybie anonimowości oferowanym przez najpopularniejsze z przeglądarek).
A Ty? Sprawdź się tutaj...

Zachęcam do lektury całego artykułu.
"Źródło: Opublikowano wyniki eksperymentu Panopticlick (HARD CORE SECURITY LAB)"
Computerworld rozpoczął publikacje nagrań ze spotkań TED: Ideas Worth Spreading
Pierwszym był artykuł dotyczący wystąpienia profesora psychologii Berrego Schwartza. Nie jest to związane z zarządzaniem bezpieczeństwem informacji, niemniej wydaje mi się, że naprawdę warto poznać te przemyślenia.

Berry Schwartz zajął się ideą wolności wyboru oraz związanymi z tym konsekwencjami.
Mając zbyt dużo wyboru w rzeczywistości trudno jest wybrać cokolwiek. Ludzie coraz częściej postanawiają odkładać trudne decyzje, co potrafi doprowadzić do paraliżu decyzyjnego.




Pamiętajmy, że być może inny wybór byłby w ostatecznym rozrachunku lepszy...
Paradoks polega na tym, że wybierając coś automatycznie wybieramy by nie robić czegoś innego, co bywa trudną decyzją. I co ważne - to nasza decyzja, za którą jesteśmy odpowiedzialni.

Jeszcze innym zagadnieniem jest kwestia zadowolenia z powziętego wyboru. Mając mały wybór mamy mały oczekiwania. Wraz ze wzrostem możliwości rosną oczekiwania. A gdy te rosną, coraz trudniej jest nam osiągnąć zadowolenie...Co wpędza nas w depresję.
Podsumowaniem niech będą słowa "We do better but we feel worse"
W ubiegłym tygodniu na konferencji "IT w Bankowości" poruszyłem temat bezpieczeństwa przetwarzania w chmurach (cloud computing). Zwracałem między innymi uwagę na często się pojawiające mylenie terminu SOA (Service Oriented Architecture) z przetwarzaniem w chmurach (szczególnie modelem SaaS - Software as a Service). Jak dobrze tłumaczy David Linthicum SOA to tylko (aż) koncepcja związana z architekturą oprogramowania. To koncepcja zakładająca tworzenie systemów jako szeregu usług, które mogą być w dowolny sposób powiązane. Nie jest to koncepcja związana z oferowaniem usług jak to niekiedy jest prezentowane, co nie znaczy bynajmniej, że SaaS nie korzysta z takich rozwiązań architektonicznych.

Przy okazji polecam 2 dokumenty, które dotyczą tego tematu:
- Security Guidance for Critical Areas of Focus in Cloud Computing przygotowany przez Cloud Security Alliance oraz
- Cloud Computing: Business Benefits With Security, Governance and Assurance Rerspectives przygotowany przez ISACA
W ubiegłym tygodniu miałem okazję przeprowadzić dość ciekawą i oryginalną rozmowę. Mój oponent - osoba wykształcona, z wieloletnim doświadczeniem zawodowym (również na wysokich stanowiskach) zaczęła zadawać mi serię pytań dotyczących zarządzania ciągłością funkcjonowania, a dokładniej sensowności stosowania tego typu rozwiązań. Bardzo rzadko spotykam się już z tego typu utwardzonym stanowiskiem, zazwyczaj dyskusje, które prowadzę dotyczą zagadnień "jak" a nie "po co", dlatego pozwolę sobie w skrócie podać parę argumentów za normą BS 25999 i całym BCMS (Business Continuity Management System).

Otóż norma powstała w dużej mierze na żądanie środowisk związanych z bezpieczeństwem i ciągłością. Korzystanie z niej nie jest (jeszcze - w Wielkiej Brytanii może się to niedługo zmienić) obowiązkowe. Jej celem jest dbanie o interes klientów poprzez "wymuszanie" właściwych zachowań w organizacji. Myśląc o prowadzeniu interesu należy się zabezpieczyć. Ponieważ łatwiej to powiedzieć niż zrobić stworzono BS 25999 by stał się swoistym przewodnikiem, narzędziem z którego należy korzystać.
Zapewnienie ciągłości funkcjonowania jest strategicznym celem wszystkich organizacji. Brak działalności nie tylko może destrukcyjnie wpłynąć na organizację (tu trzeba zaznaczyć, że nie ma obowiązku prowadzenia działalności, więc teoretycznie każdy może sobie bankrutować kiedy chce) ale również na inne strony, zależne od firmy (przede wszystkim klientów). Poważniejsza awarie, katastrofa czy atak nie powinny niszczyć całej struktury (jak bywa obecnie). Niewielka liczba najlepszych praktyk pozwoli bardzo ograniczyć rozmiary tego typu incydentów, znacznie skrócić czas potrzebny na przywrócenie działalności.

Argumenty typu "Jak przyjdzie powódź to takimi planami nawet nie da się uszczelnić rowów" są niezasadne. Jeżeli firma wcześniej przeanalizuje ryzyko biorąc pod uwagę zagrożenia dla ciągłości funkcjonowania to:
- będzie się mogła dobrze ubezpieczyć;
- będzie mogła wybudować własne wały;
- będzie mogła przenieść zakłady w inne miejsce;
- będzie mogła zastanowić się nad zapewnieniem redundancji - prowadzeniem działalności z innej lokalizacji.

Możliwości jest jeszcze trochę. Trzeba jednak się nad nimi zastanowić, w czym bardzo pomaga korzystanie ze standardów.