18 Февраля, 2012

Процесс или результат?

InfoWatch
Ваш покорный слуга всегда утверждал, что надо наказывать за свершившиесяутечки, что нерационально устанавливать наказание лишь за несоблюдение предписанных процедурзащиты. Классик заповедывал нам судить о дереве по плодам его. А то нынешние деревьяпредъявляют сертификат и лицензию от Компетентного Государственного Органа и на этом основании дают вместо плодов всякую гниль.

Когда-то в спорте не было понятия допинга. Смотрели только на результат.

Последнее время моя позиция поколебалась. В основном – под влиянием чтения нашей базы утечек. Что-то слишком дофига случаев, когда дырку в информационной системе обнаруживают спустя месяцы и годы. И даже не совсем понятно, когда она образовалась, сколько данных через неё утекло, кто мог знать об уязвимости. Вот что с такими делать?

Можно приравнять само наличие дыры (т.е. возможности слить охраняемые данные) к их сливу, что в некоторых случаях и делают, заставляя оператора уведомлять граждан, перевыпускать банковские карты и т.п. Но это ещё менее разумно, потому что ложные тревоги крайне вредны для защищённости.

Если прощать такую нереализованную уязвимость, пришлось бы каждый раз доказывать, что данные попали к злоумышленникам и были использованы. Найти такие доказательства удаётся редко.

К тому же, контроль результата вместо процесса будет стимулировать сокрытие инцидентов по принципу "быстро поднятый кусочек не считается упавшим". Вышеописанных случаев довольно много в нашей базе, куда попадают лишь обнародованные инциденты. Можно себе представить, сколько подобных дыр, не имевших явных последствий, операторам удалось скрыть.

или введите имя

CAPTCHA