Защищать данные — это как лечить хронь вроде диабета. С одной стороны, пациент менеджмент понимает, что пренебрегать правилами нельзя, а с другой — думает, что глазки отвалятся потом и вообще не факт, а тортик вкусный — прямо сейчас. Искушение сэкономить на ИБ неодолимо.

Сама идея безопасности, отличной от настройки файервола, всё ещё нова для некоторых компаний. Средний возраст уязвимости, через которую влезают злодеи, составляет семь лет. СЕМЬ. То есть это не новое и модное, за которым не успели, это старое и известное, на которое забили.

Заставить высший менеджмент шевелиться тут могут только хорошо организованные шантаж и угрозы. И вот как я это делаю.

Читать далее

https://habr.com/ru/post/711252/?utm_source=habrahabr&utm_medium=rss&utm_campaign=711252

Одна из тысячи похожих историй.

После известных событий компании моего знакомого пришлось оперативно перейти с удобного зарубежного хостинга на площадку попроще. Площадка была настолько проще, что речь уже не шла о штатном мониторинге, логировании или даже привычных группах безопасности для фильтрации трафика. Это был один из тех переездов, которые не успели спланировать. И вот эти самые группы безопасности и подвели. На новом хостинге не было никакого межсетевого экрана на уровне VPS, и Redis оказался доступен для злоумышленников. Они этим естественно воспользовались. Веб-сервис взломали. Сервис был необходим для разработки и поддержки продукта, который через различные сторонние API агрегировал определенную информацию, а затем выдавал её клиентам по запросу. В какой-то момент данных стало много, и было решено с помощью Redis кэшировать часть запросов. Redis стоял на том же сервере, где запускался веб-сервер и никому в голову не приходило как-то особенно заниматься его безопасностью. Но, как водится, порвалось, там, где тонко.

---

Может показаться что, Redis, используемый для хранения кэша и временных ключей, – это не слишком интересная добыча. Но на самом деле, хакеры провернули следующий трюк:

Читать далее

https://habr.com/ru/post/705136/?utm_source=habrahabr&utm_medium=rss&utm_campaign=705136

Автор не является профессионалом в области защиты баз данных. Поэтому заранее просит не судить его строго. Если в рассуждениях допущена ошибка и предложенная схема не работает, автор с благодарностью примет замечание. А также автор просит извинить, если предложенная схема окажется чем-то банальным и уже давно используемым.

Читать далее

https://habr.com/ru/post/703264/?utm_source=habrahabr&utm_medium=rss&utm_campaign=703264

Музыка используется бизнесом для рекламных роликов в соцсетях – это может стать проблемой. Для владельцев ресторанов, магазинов, салонов, тренажерных залов, отелей и заведений, где предполагается фоновое прослушивание музыки, также актуален вопрос законного использования композиций. О том, как не стать нарушителем авторских и смежных прав, какую музыку можно включать и использовать, расскажем в этой статье.

Читать далее

https://habr.com/ru/post/701094/?utm_source=habrahabr&utm_medium=rss&utm_campaign=701094

Автоматизированные системы управления технологическими процессами (АСУ ТП) контролируют работу критических информационных инфраструктур на таких значимых для страны объектах как крупные транспортные корпорации, компании из сферы здравоохранения и связи, предприятия топливно-энергетического комплекса, атомной энергетики, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

Читать далее

https://habr.com/ru/post/697338/?utm_source=habrahabr&utm_medium=rss&utm_campaign=697338

Ведь всем нам известно, что лучший способ сохранить данные в безопасности – это их уничтожить, не так ли?



Что ж, для большинства из нас более актуальным ответом стало бы шифрование. Но задумайтесь о случаях, в которых устройство может попасть в руки тех, кого шифрование не остановит…



Мой замысел – создать USB-накопитель, который косметически и функционально будет полностью идентичен типичной флешке, за одним отличием – при подключении стандартным образом он не будет показывать никаких данных.



А что разумный человек точно не станет делать, прежде чем подключать обычную флешку? Лизать пальцы!



Всё верно. Носитель будет оснащён скрытыми электродами, измеряющими сопротивление вставляющего его в устройство пальца. В обычном состоянии сопротивление пальца равно 1.5МОм, а вот во влажном около 500кОм. При загрузке такая флешка будет отображаться пустой, если сопротивление между парой электродов окажется выше заданного порога. Это не самое изящное решение, но, на мой взгляд, оно удачно балансирует между смехотворностью и функциональностью. Что же касается людей с гермофобией, то они могут смачивать палец под краном. Читать дальше →

https://habr.com/ru/post/690772/?utm_source=habrahabr&utm_medium=rss&utm_campaign=690772

Все события и персонажи вымышлены. Любое совпадение с реально живущими или когда-либо жившими людьми случайно.

-Сашуля, мы не все тебе еще рассказали о нашей классной компании и бизнес-процессах. Давай, возвращайся.

- Мы скучали!

Зачастую новый сотрудник, будь это обычный специалист, руководитель среднего звена или ТОП-менеджер, приходя в новую компанию просто продолжает работу предшественника. Это касается бизнес-процессов и всех порядков, которые сформировались в компании. При этом, редко проводится диагностика, ставится задача проанализировать текущую ситуацию и сформировать предложения по оптимизации рабочих процессов.

Помня, что в российском менеджменте любая инициатива наказуема, люди чаще всего не предпринимают попыток к изменениям и усовершенствованиям на работе. Наверное, это было бы более понятно, если бы некоторые вопросы не были связаны с трудовым законодательством и охраной персональных данных.

И если вопрос адаптации или самих проектов представляет собой бизнесовый процесс, управление рентабельностью, оптимизацию расходов, позволяющие быстрее выйти на плановую производительность и влиять на весь бизнес целиком, то «кадровая чистоплотность» представляет собой скорее этические нормы и обязательные гарантии, которые должен исполнять работодатель руками должностных лиц.

- Сашуля, садись. Я расскажу тебе одну сказочку.

- Ой, сказочки я люблю.

- Это не простая. Это it-сказочка.

Жила-была одна it-компания. У нее был свой сюзерен с настоящей бородой и вот такущими амбициями. У сюзерена были помощники: правые и левые руки. Этот сюзерен был талантливым и добрым человеком, но плохо разбирался в менеджменте. Ему это было не интересно, потому что больше всего на свете он любил играть в игрушки и считать денюжки.

Читать далее

https://habr.com/ru/post/691104/?utm_source=habrahabr&utm_medium=rss&utm_campaign=691104

При работе в браузере пользователь накапливает массу важных персональных данных, включая не только ссылки на различные веб-сайты, позволяющие определить круг его личных интересов, но и пароли ко всем ресурсам, требующим авторизации, включая банковские учётные записи и личную почтовую переписку. Локальное хранение этих данных не несёт большой угрозы, но как только заходит разговор о синхронизации между различными устройствами, в процессе которой задействуются сторонние серверы, сразу встаёт вопрос о том, как защитить эти данные в облачном хранилище.

Читать далее

https://habr.com/ru/post/688860/?utm_source=habrahabr&utm_medium=rss&utm_campaign=688860

Сегодня в российском ИТ-сообществе хорошо знакомы с Федеральным Законом ФЗ-152. Этот документ регулирует обработку персональных данных и предъявляет к системам, которые работают с ними, ряд жестких требований. Будем честны — закон не только защищает данные, но и серьезно осложняет использование зарубежных сервисов, ряд из которых пока сложно заменить отечественными аналогами в настоящий момент. SAP HCM одна из таких систем.

Ещё в 2014-м году мы поставили амбициозную задачу перенести все системы SAP в облако при построении гибридной инфраструктуры хранения данных. В 2020-м мы смогли её реализовать. С одной стороны, это позволяло обновить наше собственное технологическое ядро, планировать ресурсы и управлять бизнесом realtime. С другой — исключить риск роста расходов на инфраструктуру и поддержку SAP, как для нашей компании, так и для клиентов. В этом посте несколько слов об опыте миграции SAP HCM в Yandex Cloud, причинах выбранных решений и некоторых юридических нюансах.

Читать далее

https://habr.com/ru/post/681682/?utm_source=habrahabr&utm_medium=rss&utm_campaign=681682

С момента появления криптоанализа и по мере разработки всё новых хакерских техник стоимость получения несанкционированного доступа к вашим данным становится всё ниже, что, в свою очередь, делает их для злоумышленников более привлекательной добычей. В этом руководстве я не буду вдаваться в разбор возможных мотивов и целей кражи данных, а вместо этого просто сосредоточусь на решении данной проблемы. Читать дальше →

https://habr.com/ru/post/675632/?utm_source=habrahabr&utm_medium=rss&utm_campaign=675632