Процесс или результат?

Процесс или результат?
Ваш покорный слуга всегда утверждал, что надо наказывать за свершившиесяутечки, что нерационально устанавливать наказание лишь за несоблюдение предписанных процедурзащиты. Классик заповедывал нам судить о дереве по плодам его. А то нынешние деревьяпредъявляют сертификат и лицензию от Компетентного Государственного Органа и на этом основании дают вместо плодов всякую гниль.

Когда-то в спорте не было понятия допинга. Смотрели только на результат.

Последнее время моя позиция поколебалась. В основном – под влиянием чтения нашей базы утечек. Что-то слишком дофига случаев, когда дырку в информационной системе обнаруживают спустя месяцы и годы. И даже не совсем понятно, когда она образовалась, сколько данных через неё утекло, кто мог знать об уязвимости. Вот что с такими делать?

Можно приравнять само наличие дыры (т.е. возможности слить охраняемые данные) к их сливу, что в некоторых случаях и делают, заставляя оператора уведомлять граждан, перевыпускать банковские карты и т.п. Но это ещё менее разумно, потому что ложные тревоги крайне вредны для защищённости.

Если прощать такую нереализованную уязвимость, пришлось бы каждый раз доказывать, что данные попали к злоумышленникам и были использованы. Найти такие доказательства удаётся редко.

К тому же, контроль результата вместо процесса будет стимулировать сокрытие инцидентов по принципу "быстро поднятый кусочек не считается упавшим". Вышеописанных случаев довольно много в нашей базе, куда попадают лишь обнародованные инциденты. Можно себе представить, сколько подобных дыр, не имевших явных последствий, операторам удалось скрыть.

сертификация статистика персональные данные
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

InfoWatch

Блог компании infowatch infowatch.livejournal.com