 Когда-то в спорте не было понятия допинга. Смотрели только на результат. |
Последнее время моя позиция поколебалась. В основном – под влиянием чтения нашей базы утечек. Что-то слишком дофига случаев, когда дырку в информационной системе обнаруживают спустя месяцы и годы. И даже не совсем понятно, когда она образовалась, сколько данных через неё утекло, кто мог знать об уязвимости. Вот что с такими делать?
Можно приравнять само наличие дыры (т.е. возможности слить охраняемые данные) к их сливу, что в некоторых случаях и делают, заставляя оператора уведомлять граждан, перевыпускать банковские карты и т.п. Но это ещё менее разумно, потому что ложные тревоги крайне вредны для защищённости.
Если прощать такую нереализованную уязвимость, пришлось бы каждый раз доказывать, что данные попали к злоумышленникам и были использованы. Найти такие доказательства удаётся редко.
К тому же, контроль результата вместо процесса будет стимулировать сокрытие инцидентов по принципу "быстро поднятый кусочек не считается упавшим". Вышеописанных случаев довольно много в нашей базе, куда попадают лишь обнародованные инциденты. Можно себе представить, сколько подобных дыр, не имевших явных последствий, операторам удалось скрыть.
