29 Октября, 2012

О скользких терминах

InfoWatch
Случилась тут у коллег неприятность:
« В результате взлома сервера налогового департамента штата злоумышленникам удалось похитить около 387 000 номеров банковских карт, а также 3,6 миллиона номеров соцстрахования местных налогоплательщиков. По словам чиновников, все данные, за исключением 16 000 номеров платёжных карт, хранились в зашифрованном виде. »
Но коллеги повели себя немного странно по итогам инцидента.

Для айти-специалиста данные не могут считаться "похищенными", то есть попавшими в руки злоумышленника, если они зашифрованы. Пока шифр не вскрыт, доступа к данным нету. Рассчитать шансы на дешифровку нетрудно, криптология даёт для такой оценки неплохой инструментарий.

Тем не менее, официальные лица признали утечку именно 3 987 000 записей, а не 16 000. Не просто признали, а расплатились с пострадавшими бесплатными услугами по финансовому мониторингу, как это практикуется в Штатах.

То ли чиновники не понимают, что такое шифрование. То ли, под эвфемизмом "encrypted" у них имелась в виду запись данных в нестандартном, трудночитабельном формате (т.е. отличном от MS-Office). Ваш покорный слуга склоняется к первому варианту.

Но кто-то из айтишников поведал чиновнику такую клюкву. Вот если бы ваш сервер поимели внешние злоумышленники и слили бы оттуда зашифрованные записи. Что вы доложили бы начальству? Есть такие варианты: (а) "злоумышленники получили доступк записям"; (б) "злоумышленники получили доступк зашифрованным записям"; (в) "злоумышленники преодолели защиту, но не получили доступа к записям". Во втором варианте оговорка "зашифрованные" легко пропадает не только из публикаций СМИ, но также из судебных документов, из которых последует ответственность вашей компании. Предвидя это, ответственный специалист не должен допускать подобных неустойчивых формулировок.

Шифрование – это серьёзно. Оно закрывает доступ. Закрывает или нет? Если всё-таки закрывает, то недопустимо признавать утечку. "Зашифрованные данные" – это отсутствие данных, если шифрование настоящее.

На месте аудитора или внешнего эксперта какой вариант заключения выбрали бы вы?

или введите имя

CAPTCHA
bird
30 Октября, 2012
Я так это понимаю - квартира, в квартире сейф с ружьем. (а) - Взломали квартиру, вскрыли сейф, забрали ружье (б) - Взломали квартиру, сейф вскрыть не получилось, взяли с собой, что бы на досуге поковырять его замок (в) - Взломали квартиру, но вскрыть сейф не смогли, а ума унести его с собой не хватило Так, что если сейф все-таки сперли, нужно принимать срочно меры - покупать бронежилет
0 |
Гость
30 Октября, 2012
Вопрос не в том, зашифровано или нет, как зашифровано. Если система старая, то может быть, что зашифровано 40 битным DES. Тогда вероятность взлома велика. Или извертно, что пароль на расшифровку ломается "на раз". Так что "не все йогурты одинаково полезны"
0 |
бабай
31 Октября, 2012
кажется, по недавним статьям УК это и не коллеги вовсе
0 |