Ziarnko do ziarnka

Zabezpieczając informacje często koncentrujemy się na najważniejszych z nich - bazach danych, krytycznych raportach i zestawieniach.
Równocześnie ignoruje się często drobne fragmenty informacji, które poskładane (niekiedy mozolnie) pozwalają uzyskać pełne informacje bez szczególnego wysiłku.
Walające się wydruki dotyczące sytuacji klienta, wyrzucane do kosza na śmieci notatki z rozmów telefonicznych, robocze wersje punktów audytowych, niewłaściwe uprawnienia do mniej ważnych systemów, nadmiar osób mających dostęp do teoretycznie nieważnych danych, niezamknięta szafka zawierająca wyłącznie wydruki bieżącej korespondencji z klientem, zbyt głośna rozmowa przy obiedzie, bez żadnych szczególnych tajemnic. Takie rzeczy to codzienność.
Pojedynczo te sytuacje nie stanowią większego zagrożenia, niemniej odpowiednio zebrane i przeanalizowane potrafią pokazać naszą sytuację (lub sytuację naszych partnerów czy klientów) w zupełnie inny świetle.

Przytoczę tu słowa Johna Stewarta - CSO w Cisco

Dlaczego hakerom się udaje? Mają szczęście, są cierpliwi, są błyskotliwi. Są również lepiej opłacani niż ty.

Czyli po pierwsze im się chce, po drugie mają czas a po trzecie mają dobry pomysły. Dzięki temu, oraz dzięki temu, że popełniasz te drobne błędy o których napisałem wcześniej to oni mają przewagę...
Pamiętaj - bezpieczeństwo informacji zależy od Ciebie!

Ubezpieczenie Wikileaks

Wczoraj na wikileaks.org (wszyscy już chyba wiedzą czym się zajmuje ta strona) pojawiło się coś baaaardzo interesującego. Powiedziałbym, ze to swoiste novum
W dziale dotyczącym wojny w Afganistanie pojawił się plik o nazwie "insurance.file". No i zaczęło się zastanawianie co takiego posiadają twórcy strony. Biorąc pod uwagę ostatnie oskarżenia, przesłuchania itp można zakładać, że jest to coś czym będą próbowali zaszantażować rząd USA. Teraz pewnie hakerzy (i dziennikarze) z całego świata będą próbować to sobie zaciągnąć i spróbować złamać zabezpieczenia.

Rozumiem intencje, niemniej uważam,że wolność słowa powinna mieć swoje granice. Informacja naprawdę może wyrządzić bardzo rzeczywiste szkody. A szantażu szczególnie nie lubię.

Telemedycyna

Wyborcza.biz opisała dziś zagadnienie porad medycznych na telefon. Autorzy opisywali jak wygodniejsze życie mogą mieć pacjenci gdy zostaną wprowadzone tego typu usługi.

Niestety w życiu często tak to bywa, że jeśli coś jest wygodniejsze to często jest mniej bezpieczne (pamiętacie system operacyjny DOS i brak wielowątkowości - żaden dzisiejszy trojan by tego nie obszedł)

Czytając artykuł od razu wyobrażałem sobie różnego rodzaju zagrożenia związane z telemedycyną:

- gdyby już nie tylko monitorować serce ale i być w stanie zdalnie na nie wpłynąć (kwestia czasu jak zakładam) to można by przechwycić sygnał i zdalnie kogoś uśmiercić;
- przechwyconą transmisję z serca dotyczącą poważnych kłopotów można zagłuszyć i zmodyfikować na "wszystko OK" czym doprowadzi się do śmierci;
- przy zdalnych konsultacjach jeszcze wygodniejsze byłoby wyłudzanie lekarstw na recepty;
- wyobraźmy sobie sytuację podszywania się pod centrum medyczne i udzielania porad medycznych "dla jaj";
- teoretycznie rozszerzony dostęp do wiedzy medycznej można łatwo spożytkować do np. wyciągania informacji o alergiach i uczuleniach (celem uśmiercenia);
- szerszy dostęp to więcej szans na nieautoryzowaną modyfikację danych (na przykład grupy krwi), co może się skończyć w wiadomy sposób;
- no i pomyślmy o firmach oferujących ubezpieczenia na życie - wszystkie informacje mieliby dostępne online (tu na przykład mogłaby im przyjść z pomocą socjotechnika).

Może w przyszłości faktycznie będziemy się leczyć online. Ja jednak byłbym tu ostrożny. Bardzo ostrożny!

Cisco 2010 Midyear Security Report

Cisco właśnie opublikował najnowszy raport bezpieczeństwa.
Ponieważ jakoś przeoczyłem poprzedni tym chętniej zabrałem się do lektury.
W tym momencie tylko sygnalizuję,że istnieje ta pożyteczna lektura, w najbliższych dniach napiszę o niej coś więcej.

Ryzyko czy szansa?

Rafał Rudnicki opublikował na blogu kolejny artykuł na temat ryzyka.
Miedzy innymi zajmuje się tematyką różnicy między ryzykiem a szansą.
Te zagadnienia są sobie szczególnie bliskie.
Trzeba ryzykować by osiągnąć korzyść, wybić się przed konkurencję, wprowadzić nowe usługi itp. Jeżeli nam się uda to wspaniale - wygrywamy. Jeżeli nie to ponosimy stratę. Przytaczając Paula Hopkina zwraca uwagę na 2 rodzaje sytuacji, które zawsze są negatywne, które nie mogą zamienić się w korzyści:

Ryzyka hazardowe (ogień, powódź, kradzież, utrata klienta) mogą być wyłącznie negatywne (akademicy nazwaliby je ryzykami czystymi). Pojęcie tego ryzyka pojawiło się już dawno - jeszcze przed latami 80-tymi. Menedżer ryzyka będzie się starał zmniejszyć możliwą do wystąpienia stratę.
Jest jeszcze "ryzyko kontroli" lub po prostu ryzyko niepewności czy też ryzyko spekulacyjne - to pojęcie pojawiło się w latach 90-tych. Podobnie jak w ryzykach hazardowych możemy mieć do czynienia jedynie z bilansem ujemnym, ale ma on nieco inne podłoże. Ryzyko kontroli dotyczy zjawisk które z natury obarczone są niepewnością, a do wyników których chcemy mieć jak najwyższą pewność (np wynik prowadzonych projektów). Bilans ujemny to niekoniecznie wynik działania samego ryzyka, ale nakłady jakie jesteśmy skłonni ponieść na kontrolowanie tego typu ryzyk - sprowadzenie wszystkich możliwych scenariuszy i wyników do jak najwęższego zakresu; to jest zwykle zadanie risk managera.

Zachęcam do lektury całego artykułu.

Walka z powodzią - ciągłość działania w praktyce

Onet opublikował na swoim blogu bardzo ciekawe studium przypadku. Tegoroczna powódź bardzo zagroziła ich głównej serwerowni - by zapewnić ciągłość działania onet.pl trzeba było uruchomić plany kryzysowe. Polecam zarówno lekturę całej historii, jak i przejrzenie galerii zdjęć - szczególnie tych ostatnich.

Marcin Kluczewski - Kierownik Zespołu Administratorów Drugiej Linii Wsparcia w onet.pl zwrócił też uwagę na jedną prawidłowość o której często się zapomina (moje pogrubienie):

"Następnym krokiem, jaki został podjęty w związku z zagrożeniem było przepięcie wszystkich usług i systemów działających produkcyjnie na infrastrukturę zapasową w innych centrach danych. Decyzja była trudna, ponieważ architektura części z przepinanych systemów powodowała, że przepięcie możliwe było „w jedną stronę” a w każdym razie powrót z danym systemem z powrotem do lokalizacji początkowej wiązałby się z dużym nakładem pracy."

No i oczywiście koniecznie trzeba podkreślić tę myśl:

"I na koniec jeszcze jedna ważna uwaga: choćbyśmy mieli najlepsze i najbardziej szczegółowe plany są one niewiele warte, jeżeli nie są przetestowane. Tylko regularne testy zapewnią nas, że plan jest realny i wykonalny, oraz że żadne zmiany, które wykonaliśmy w infrastrukturze nie spowodowały, że stał się on nieaktualny."