Názory k článku Úniku dat 148 milionů lidí bylo možné zabránit, kdyby fungovalo IT oddělení
-
petr (neregistrovaný)
No z me zkusenosti, je to tak bohuzel vsude. Papir snese vsechno. TUV to podepise a vsichni jsou spokojeni. Je nejaka oblast kde se skutecne testuje, dokumentace odpovida realite, resi se bezpecnost? Mam zatim zkusenosti s enteprise podnikovymi systemy, automotive, drazni technologie, medicinske pristroje, automatizace ve fabrice. A vsude hruza a naprosty slendrian. Je kde si spravit chut? Jak je to v bankach, leteckem prumyslu nebo obrane a kosmonautice?
-
LDASCZ (neregistrovaný)
Jestli nejseš IT, tak je ti to k ničemu. Protože bankovnictví se bere jako celek a to, že do bankomatu jiný vstup skrz kartu či teď novou bezkontaktní metodu není (krom fyzické). Jinak jestli si myslíte, že bankomat je připojenej na normální internet tak jste hovado. A jestli chcete vykráct bankomat jako hackerská legenda, která si dokázala vybírat peníze bez karty na účet banky tak to chce rozhodně jiný lvl myšlení a talentu než jak je to vaše.
-
Přezdívka: * (neregistrovaný)
Samozrejme ze nebudou mit verenou statickou IP volne hozenou do prostoru ale verte mi ze uz jsem videl par bankomatu do ktere ho sel obycenej UTP kabel(pravdou je ze uz je to asi 6 let). To jestli to ma vnitrni protokoly a uzavrenou sit nic neznamena, stejne to nakonec u neceho pripojeneho k internetu konci. Podivejte se na posledni pripad online vykradeni banky ... Socialni Inzenyrstvi, slaba hesla a nekolika mesicni sledovani pohybu zamestnancu a to vcetne kamer. Nakonec se utocnici dostali i do uzavrenych podsystemu. Je samozrejme pravda ze vsechno je banka od banky a kazda si muze dovolit neco jineho. Nicmene interni systemy vetsich ceskych bank by ste fakt realne nechtel videt. Rozdhodne jsem tu nechtel rozjet debatu o tom jak jsou nebo nejsou bankomaty pripojeny a ani si to netroufam tipovat do tohohle jsem nikdy pristup nemel.
-
Petr K. (neregistrovaný)
Bankomaty jsou zcela normálně připojeny do internetu (nebo přes přilehlou pobočku), akorát samozřejmě nemají otevřené porty do světa a přes IPSEC komunikují se serverem banky. Administrátorský přístup je potom samzořejmě také jen z bankovní DMZ no ale i v tomhle světě se najdou vyjímky, kdy třeba vnitřní síť v bance je přístupná z wifi se zcela trivielním heslem a podobně. Bohužel jsem už viděl ledacos a z vlastní zkušenosti bych řekl že čím víc certifikací a interních postupů tím větší reálný bordel. Většinou na papíře je to krásně popsané, ale v reálu se soulad s dokumentací řeší jen před auditem a jinak je to každému fuk. Striktní hlídání bezpečnosti jsem viděl akorát v jedné menší firmě, tam byl jeden kritický projekt a na něm SLA, co by v případě úniku dat firmu položilo. Takže to majitel držel v lati.
-
petr (neregistrovaný)
No ja prave s tratovym zabezpecenim mel neco spolecneho konkretne Italske SCMT, ale take svycarske komponenty co papirove splnovaly SIL4. Papirove. Stejne to nefungovalo podle jasne specifikace, byla ta defaulti a trivialni hesla. Bastlili to vyvojari prede mnou doslova na koleni (laptop na kline). Nejak se mi nechce verit, ze letecky prumysl je lepsi.
-
Trident (neregistrovaný)
V nemecku byvala jeste rada bankomatu dokonce na frame-relay. U nas tech ISDN bankomatu moc neni (asi nejspis jen velka mesta nebo prazaci), nebot jednak historicky natahnout linku k bankomatu byl problem na dlouhe lokte (jakkoukoliv) a jednak historicky i levna komunikace pres D kanal byla v CR tak nechutne draha ze se na to banky vykaslaly. To byl koneckoncu duvod proc se velmi brzo zaclo u nas resit pripojeni bankomatu pres GPRS.
-
none (neregistrovaný)
Tipuju to druhe. Je mnoho mist, kde je bankomat v interieru pripojen dost ledabyle - napr. privezou bankomat, prirazi ke zdi u zasuvek, ale tam to nepripoji, protoze bankomaty tam uz jsou dva dalsi, takze tam nacpou klasickou prodluzku, kterou rovnou nechaji valet tak, aby to kazdy mohl rozpojit. Ethernet ze zdi to same, ale tam jsou 2 dvojzasuvky dost od sebe, takze k tomu tretimu pak vede metr vzduchem volne 3metrovej UTP kabel, klubko volne lezici ladem. Jelikoz je to treba i exponovane misto, tak nahodile vypadky asi nejsou nic neobvykleho. Tohle muzete videt snad v kazdem vetsim obchodaku. Pokud je to na GPRS/LTE, tak zas dost casto rovnou na horni hrane klasicka magneticka antenka a kablik pak vede nejakou "vhodne navrtanou" dirou.
-
Cabrón (neregistrovaný)
Velmi pravděpodobně popisujete moje dílo :-) mám bankomatů na svědomí několik set, převážně v Praze a v obchodních centrech po ČR. Je to jak popisujete, nesere se s tím ani jedna z dodavatelských firem. Využije se, co se dá.
Je-li tam bezdrát (většinou je, omezuje to náklady na logistiku a přípravu místa), používá se GPRS, 3G nebo dnes LTE router (Digi nebo Huawei), ven se dává magnetická anténa, v případě České Spořitelny (která má těla z nemagnetického nerezu) je anténa magnetem přilepena k plechu :-D
Vzduchem to jde přes privátní APN do datacentra poskytovatele, odkud to zpravidla jde veřejným internetem přes IPSec do několika datacenter operátora ATM. Samotný provoz je ještě navíc end-to-end šifrován, takže ani "my" nevidíme dovnitř.
V případě lokální konektivity (LAN nebo Wifi pronajímatele prostor) to jde IPSecem přes internet k nám a pak zase dalším tunelem do banky.
-
KateStříbrný podporovatel>Mam zatim zkusenosti s enteprise podnikovymi systemy, automotive
Tam mám zkušenosti taky a většinou byla kvalita IT automotive klientů dost závislá na tom, jestli už přišli o miliony, nebo ještě ne. V té první kategorii to často nebylo tak zlé, ta druhá kategorie byl často člověk typu synovec majitele co umí splácat z komponent PC a nainstalovat Windows… Na stranu druhou, je sympatické když je firma tak otevřená, že všechny své výkresy volně vystavuje ke stažení na internetu :)
-
KateStříbrný podporovatel
V jednom případě byly po firmě dokonce i wifi AP s heslem stejným jako SSID a všechny výkresy se volně válely na přes sambu sdíleném disku. Upozorňovat nemělo cenu, „vždyť to nikdo neví“ stačilo. Vědět to zákazníci té firmy, zhrozí se.
Ještě vlastně měli skvělý bonus pro případné zloděje, všechny bezpečnostní kamery byly z té sítě přístupné stejně jako výkresy :) Fajn pro sledování hlídače na mobilu.
-
Přezdívka: * (neregistrovaný)
To s temi kamerami je super :D
V jedne firme to tak taky meli. Sice meli super DVR system pro nahravani apod. Ale kamery byly standardni IPcka bez hesla na livestream skrze rtsp. Nikdo k nim nemel mit pristup(dle vedeni) jenom zamestnanci prisli na spravne IP adresy a pouzivali to pres VLC jako Interphone ke vchodovym dverim aby videli kdo prisel ... -
JT (neregistrovaný)
sefova smirovala kolik lidi stoji u skladu, kolik jich kouri a kolik myje auta na jeji prikaz....tak jsme tyhle situace nahravali, dokonce i za ruznyho pocasi a pak je pousteli jako stream. Nic slozityho, navic to bylo 1FPS nebo nejaka takova mizerna rejta, takze to bylo fakt easy podstrcit.
-
Noname (neregistrovaný)
Pokud vim, tak banky na to sice ser*u, ale o neco mene, nez jine firmy. Preci jen jde o prachy a to prachy hodne klientu. Vetsinou se tam testuje a delaji se i penetracni testy a to i nezavislou externi firmou. Ale jinak i v bankach plati, ze kdyz jim reknete "tadyhle mate chybu/diru" tak se dozvite akorat "vy tomu nerozumite" - vcelku chapu lidi, kteri se pak nastvou a fakt na banku pres onu slabinu zautoci.
-
Trident (neregistrovaný)
Banky ale byly vzdycky tahouny IT. Tedy banky. Nikoliv "banky". Pri tom mnozstvi dat to dava smysl.
To pokrivene chapani bank kde je trezor s hromadou penez a na prepazkach hromada uredniku dela nejdulezitejsi zpracovani dat je relikt nasi cesko-slovenske minulosti kdy IT a telekomunikace byly neskutecne zastarale a vetsina cinnosti jela jen pres davkova automaticka zpracovani (dodnes tak jede clearing) a uredniky. Tehdy to skutecne fungovalo jako vylepsena technologie 18teho stoleti. Jeste na zacatku 90tek pouzivala ceska sporitelna microfiche:-)))
-
AR (neregistrovaný)
Záleží na společnosti. Technologická firma s vlastním vývojem unikátních řešení a bolestivou zkušeností s cílenou průmyslovou špionáží (málem to firmu položilo, min. 200 - 250 000 000Kč za vývoj vyletělo oknem, nehledě na ušlý zisk a patenty), bude pravděpodobně mnohem zabezpečenější, než většina bankovních institucí. IT spolyká ohromné finanční prostředky, minimálně 2x ročně se podrobuje bezpečnostním auditům a všude se nasazují DLP řešení. S bezpečnostními provinilci se nikdo nepáře, důsledně se dbá na každý detail. Od telefonů, tiskáren, kopírek, ... až po datová pole.
Prostě neexistuje, že by firma přešla třeba na cloudové řešení. Majitel a zakladatel prohlásil "vlka také sliboval" a tím to hasne. Už je to 17 let, ale stále více se přitvrzuje v požadavcích na bezpečnost. Situace se nesmí opakovat a potom se nemůžete divit, že investované prostředky atakují astronomické sumy a dodavatelů (drsné podmínky a odpovědnosti) je jako šafránu. Tři, čtyři roky zpátky, byl problém se zabezpečením FortiGate (nasazený pro PLM systém Dassault) a bezpečnostní oprava nebyla dodána do stanoveného termínu (což bylo asi 10 dnů s dodatečnou záložní kontrolou). Skončil jak FortiGate, tak i dodavatel a platil smluvní pokutu. Smůla, ale paranoidní přístup (zaplacený) má něco do sebe.
Sice se nezabýváme bankovním sektorem, vlastně ani zbrojními systémy, ale vyrábíme špičkové technologické materiály pro letecký průmysl.
-
AR (neregistrovaný)
Zálohovat se člověk naučí až v okamžiku ztráty dat.
Z nepříjemné zkušenosti se stal neúnavný strašák, který neustále běhá pro prostorách a děsí všechny okolo. Zjistilo se, že zákazníci na kvalitu a bezpečnostní politiku společnosti slyší. Chráněné technologie neuniknou a kvalita se nesnížíla. Voda na mlýn nejprestižnějších zákazníků a projektů.
-
Yak (neregistrovaný)
Tak jiste. Security by design. Premyslim jak je to paradxni, predstav si ze takova firma o tobe nasbira data bez tveho vedomi, hezky si na tom vydela, treba kvuli jejejich indexu ani nedostanes hypo i kdyz stejne budes cely zivot makat a platit tak jako tak a jeste po takove kradezi budes nekde kdovi jak prokazovat zes sis neco nekoupil - s kdovi jakym vysledkem ... aneb Jako slepý k houslím
-
Ttt6 (neregistrovaný)
Zvlastni, jak mnoha lidem unika princip.
Spatne je samozrejme to, ze vubec existuje spolecnost/organizace, ktera shromazduje tak obrovske mnozstvi dat.Pointa stejna jak s dotacemi. Lide furt resi nejake Daliky a stbaky koblihare a nechapou, ze zlo jsou samotne dotace a socialisticke prerozdelovani. Bez nej by nebyli tihle paznechti.
Odstrante potrebu shromazdovat tolik cennych dat na jednom miste a hackeri nebudou mit co zrat!
-
JVr (neregistrovaný)
U nás ale existují obdobné společnosti např. Solus z.s.p.o., Czech Credit Bureau, a.s. (Bankovní registr klientských informací). Czech Non-Banking Credit Bureau, z.s.p.o. (Nebankovní registr klientských informací). Jsou dokonce často zřízené podle zákona. Především do bankovního registru (myslím) mají banky zákonnou povinnost zadávat údaje.
-
kantor (neregistrovaný)
jj, jsou - kamarad pronajimal byt, nechtel se s tim moc trapit, tak oslovil nejakou agenturu.
obcas nasel sam nekoho - kdyz to rekl agenture, ta neprotestovala, jenom si vyzadala jmeno a datum narozeni.
pak mu rekli na daneho zajemcu, ze mel nejake problemy se splacenim pujcek, co rok - dva meni zamestnani, obcas na pracaku ... samozrejme ze takovemu radsi nic nepronajmejsme koukali jak puci, ze obycejna realitka se dokaze dostat k takovymto informacim.
-
Ondra Satai NekolaZlatý podporovatelA jak chces otazku registru dluzniku/odhadu jejich schopnosti splacet resit jinak?
-
Petr M (neregistrovaný)
Tak v principu se tomu nevyhneš, třeba u správy daní nemá smysl, aby daň z nemovitostí v každé vesnici spravovala jiná firma. To by bylo ještě horší - vesnice se 100 barákama by neměla na lepší řešení, než místního studenta průmyslovky, takže žádná hitparáda...
Jenom se o data musí starat někdo, kdo to umí a postupy nemá jenom na papíře. Rozdělit to na logický celky (několik DB) - uživatelé, platební info, vlastnictví, kontaktní údaje. Každá DB jiný přístup , každý systém musí mít přístup jenom k části dat, kterou opravdu potřebuje,...
-
Karel (neregistrovaný)
Jenže to je dost naivní přístup v duchu "když to zakážeme, tak to nikdo dělat nebude". Zhruba jako "když zakážeme zloděje, tak nebude potřeba mít na dveřích zámky".
Ten princip lidem neuniká, jen mu holt nevěří. Výrok "odstraňte potřebu" je nereálný - dříve nebo později vždy někdo tu potřebu zase dostane. Pokud se vám ji tedy vůbec alespoň na chvilku podaří odstranit (zdravíme BIS, NSA apod.), pak ji máte poměrně rychle (ale tentokrát tajně a skrytě) zase zpátky. A rázem je to horší než dřív, protože občan žije v dobré víře, že ta data už nikdo nikde neukládá.
Osobně cestu ven nevidím: dokud jsou nějaká data benefitem pro mne, tak budou benefitem i pro někoho jiného. V USA si roky mysleli, jak je to úžasně jednoduché se všude identifikovat číslem sociálního pojištění. Nemusíte mít žádné doklady, stačí znát to číslo. Vlastně stejně jako s číslem kreditky. Jenže to je právě to, že ten benefit pro mne (stačí, abych nadiktoval číslo) je vždy benefitem i pro někoho jiného, kdo to se mnou nebude myslet dobře. Číslo kreditní karty / sociálního pojištění apod. začne být nezajímavé pro zloděje až ve chvíli, kdy bude k ničemu i mně.
Což v době, kdy se objevují názory, že naším základním lidským právem je možnost vyřídit si všechny úřední povinnosti po internetu, znamená jen že bude hůř. Představa, že stačí jeden ukradený certifikát a rázem máte absolutní moc nad člověkem a jeho životem, je docela děsivá. Ostatně to americké číslo sociálního pojištění bylo právě o tom.
-
Unknown (neregistrovaný)
"nechapou, ze zlo jsou samotne dotace a socialisticke prerozdelovani"
Pokud chcete udrzet nejaky geograficky celek stabilne a v ramci jednoho politickeho utvaru, musite provozovat redistribuci z jeho bohatsich casti toho do chudsich. Je to tak vsude na svete: Australie masivne dotuje osidlene poustni oblasti, v USA tecou proudy penez ze statu typu Kalifornie do statu typu Montana a pod. Ostatne pokud se podivate na vysledky voleb v sudetech, dojde vam ze je treba tam nasmerovat masivni a smysluplne dotace. Treba za absenci vyznamnejsiho turistickeho ruchu mistni lide skutecne nemuzou.
Jsem take spise odpurcem dotaci, ale uvedomuji si ze nejaka mira redistribuce bohatstvi byla vzdy (treba ve forme danovych ulev), a jako takova je nezbytna.
Jina vec je nastaveni jejich pravidel a vymahani jejich dodrzovani. -
Ano. A stejný problém máme u nás. Jsem za to, že jméno a rodné číslo by měly být jednoznačný identifikátor osoby a veřejně známý. Často se tím ale řeší nejen jednoznačná identifikace, ale i autentizace a oprávnění, což je problém. Mám za to, že vysvětlit to nepůjde. Stejně jako někomu nelze vysvětlit rozdíl mezi přihlašovacím jménem a heslem. Takže místo osvěty se rodné číslo prohlásilo za osobní údaj nebo "heslo" a nefunguje tu ani identifikace ani autentizace.
ps.: omlouvám se za termity, určitě existují české názvy, které mi jsou ale ukradené
-
Petr M (neregistrovaný)
Jméno je taky na jednu stranu osobní údaj a na druhou veřejně dostupný údaj o herci, zpěvákovi, politikovi, sportovci, jednateli firmy,... Takže to se navzájem nevylučuje.
Osobní údaje sou vhodný jenom k identifikaci uživatele. Tyhle údaje má každý, od banky až po zubaře a jejich znalost sama o sobě nesmí být dostačující k právnímu jednání jménem jiné osoby.
-
Zásadní rozdíl je pokud někdo skutečně akceptuje rodné číslo jako autentizaci, tak se to bere jako že si identitu neověřil. Pokud naletěl podvodníkovi, tak je to jeho odpovědnost a žádný z orgánů a žádný soudce se s ním nebude bavit (tedy vůči majiteli RČ - jinak je to samozřejmě pořád podvod).
Problém je že v USA soudy ustanovily precedent, že znalost SSN je dostatečné ověření identity např. v bance. Takže oběti "krádeže identity" musí prokázat že to skutečně nebyli oni.
-
Petr M (neregistrovaný)
Já mám spíš pocti, že je to Kocourkov od sklepa po půdu.
- Juchů, máme monitoring. Tak ho zapneme... Za dva roky: Ono to nic nedělá, kterej jouda tam nedal certifikát?
- Kurňa, zase potřebujem ke správě serveru heslo. Jak to udělat, aby se k tomu dostali <b>všichni</b> admini? Hodíme to tady do veřejnýho adresáře. (jako kdyby si každej admin nemohl vygenerovat RSAčko pro SH se svým heslem a nedalo se to přidat na konkrétní server, záležitost minuty).
- IT to zaktualizuje. IT vezme seznam všech instalací. Hele, ten seznam je pět let starej, novější není? Ne, za to zodpovídá jiný oddělení. Tak fajn, zalepíme aspoň todle... -
No já bych řekl, že dívat se, co udělalo nebo neudělalo IT oddělení je dost nepodstatné.
Podstatné je toto:
Because Smith retired instead of getting fired, he is expected to receive $90 million, including performance-based unvested stocks and $18.5 in retirement benefits, according to Fortune. (Zdroj Wiki)
Každý systém se přizpůsobí zpětné vazbě, která je na něj aplikována. On za tento čin dostal obměnu. Tak proč by to kdokoliv v jeho situaci neměl příště udělat stejně?
-
mngnt (neregistrovaný)
Prvy bod trochu poopravim:
Juchu mame monitoring, je tam aj certifikat, vsetko funguje ako ma, testnute, porobili sa testovacie incidnety, aha. Zamestnanec dostane odmenu, po pol roku sa z firmy poberie a o dva roky (a to je este konzervativne, kedysi boli certifikaty v pohode na 5 rokov) certifikat vyhnije, monitoring, ktory predtym nehlasil nic, lebo vsetky Struts boli aktualne nadalej nehlasi nic, ticho po pesine. Robim v korporate, je az zarazajuce na kolko cetrifikatov tesne pred vyprsanim sa pride len vdaka mailu od certifikacnej autority. A ak tam clovek dal len svoju osobnu mailovu adresu, alebo timova prestala existovat kvoli restrukturalizacii, nepride ten mail nikomu... -
Karel (neregistrovaný)
Takhle to v korporátu skutečně chodí. Všechno se udělá naprosto perfektně, špičková kvalita, tři úrovně testů, vystaví se protokoly a oficiálně se to předá. Pokud ten systém často havaruje nebo působí problémy, tak je to dobře a systém žije.
Problém jsou systémy, které nepůsobí problémy ani výpadky. Po pár měsících nebo letech se na ně zapomene. A to ani nemusí dojít k výměně lidí na pozicích.
Existuje několik protiopatření:
1. Mít checklist pravidelně prováděných akcí. A tam ten systém zapsat včetně instrukcí jak a co ověřit. Což obvykle funguje, jen pak bývají infarktové situace, když se o půlnoci v rámci pravidelné čtvrtletní odstávky zjistí, že jeden ze systémů už nejméně dva měsíce neběží jak má. Plus špatně napsané instrukce představují past - to vám IT celé roky bod "ověřit, že RPTDB běží" provádí tak, že se koukne na stav služby. Jenže pak vám jednoho dne dojde k poškození datového souboru a databáze se vám přepne do READ ONLY módu, dovolí přihlášení jen na uživatele SYSDBA a protestuje prakticky proti všemu s tím, že máte s pomocí RMAN opravit soubory. Což nikdo nezjistil, protože se jen dívali, zda služba OracleServiceRPTDB má stav "Running". Jenže ta ho má i poté, co databázi vypnete pomocí SHUTDOWN, takže ze stavu služby vážně nic nezjistíte. Chybama se člověk učí.
2. Koncipovat systém jako vždy reportující. Takže kromě obvyklého "když dojde k chybě tak pošli email" to nastavit ještě jako "když nedojde k chybě tak pošli email, že je to OK". Funguje to výborně až do chvíle, kdy admin dostává takových emailů několik denně a ztrácí tak přehled o tom, co už přišlo a co ne. Pokud ten email je jediný a posílá se před začátkem pracovní doby, tak si toho člověk obvykle všimne. Pokud tedy není zrovna na dovolené, což se jako na potvoru stává. A jak píšete - pokud si tam hodí admin jen svůj email, tak je to taky velký risk. Zažil jsem kluka z IT, co si málem utrhl nohu v koleni a byl s tím měsíc v nemocnici. Jó to bylo legrace. Nakonec nebyla jiná možnost, než aby prostě řekl svoje hesla, protože si pod práškama proti bolesti nedokázal (a asi ani nechtěl) vzpomenout na všechno, co dělá. I tady jedna zkušenost z praxe: ověřit si, že programátor zadání "dotaz nevrátí žádný záznam => je to ok" nepochopí stylem "dotaz nevrátí žádný záznam nebo spadne s ORA chybou => je to ok".
3. Postavit na to ještě "nadsystém", který bude vizualizovat stav všech systémů. V kombinaci s bodem 2 to funguje výborně. Automat zjistí, že nedostal v pravidelném intervalu report a začne blikat červeně. Prakticky neprůstřelné řešení, které funguje, pokud se správně nastaví a používá. Nastavení bývá menší problém (viz bod 2). Větší problém je to používání - pokud je to udělané tak, že na tabuli pořád něco svítí žlutě nebo červeně, tak jí lidé přestanou číst. V duchu "vždycky tam něco bliká, jak jsem měl vědět, že zrovna tohle je důležité?"
Bohužel v klasickém korporátu to většinou skončí jen u bodu 1. Někdy v bodě 2, ale s tím, že je těch notifikací tolik, že je vlastně nikdo aktivně nemonitoruje (v duchu "si říkám, že už jsem pár dní neviděl email od EDI serveru, tak kouknu a fakt jo, naposledy v úterý!"), případně to chodí na tolik lidí, že si všichni myslí, že to kontroluje někdo jiný. Do bodu 3 se dostane jen pár firem a to obvykle jen díky platné legislativě nebo jako nápravné opatření po nějakém průšvihu. Přitom taková informační tabule na stěně kumbálu, kde sedí IT administrátoři, působí tak úžasně geekovsky! A ten pocit, když vám volá mistr z výroby a vy mu hned řeknete "já vím, vám na hale 4 chcíply Zebra tiskárny, už na tom děláme" ? K nezaplacení :-) Jen na to člověk nesmí moc spoléhat a na dotaz ze zákaznického oddělení "nám za včerejšek nedošla žádná nová objednávka, není nějaký problém s EDI?" nereagovat prostým "nám to svítí zeleně".
-
občasný čtenář (neregistrovaný)
Pěkný článek v rodném jazyce, hodil by se i odkaz na inspirační zdroj a další podobné případy https://krebsonsecurity.com/2018/12/scanning-for-flaws-scoring-for-security/ ;o)
-
Kolemjdouci (neregistrovaný)
"Například: správci provedli sken systémů pomocí nástroje Snort. V něm sice byla správná signatura, ale sken proběhl na špatném adresáři, ne na tom, kde byl ve skutečnosti nainstalován chybný Struts."
WTF?? Snort je snad sitove IDS a zadne systemy natoz adresare neskenuje, ne? -
Hlavní mentální problém firem je, že výsledkem práce bezpečáka je to, že není "žádný výsledek" vidět. Tedy to, že nedojde k incidentu. Zanedbaná (podfinancovaná) bezpečnost se dlouho jeví úplně stejně spolehlivá, jako když se do bezpečnosti investuje. Naopak, i přes investice do bezpečnosti, může dojít k incidentu. Vedení firem pak neumí posoudit (docenit), že jsou třeba dopady daleko menší právě díky investicím do bezpečnosti.
Velkou katastrofou je překotnost vývoje software. Programátoři musí deployovat v nesmyslném tempu, opravovat chyby "obratem" atd. Firmy si neumí stanovit service-level, takže se šturmuje. Výsledkem pak jsou neoddělené databáze, přístup do databáze jedním userem, který má práva do všech tabulek, všech sloupců a řádků, uložené konfigurace a poznámky s přístupovými právy, vyvojářské nástroje na produkčních serverech atd. atd. atd. Nejprve by se měla nastavit tato pasivní bezpečnost. Jenže, vývoj pak jde třikrát pomaleji, než když se na to prdí. A to, opět, nikdo nechce platit.
Bezpečák by měl být placený za to, že hledá a šťourá co nejvíc chyb a přidělává práci ostatním. Pokud je bezpečák zároveň tím, kdo musí ty chyby i opravovat, pak zcela logicky dojde k efektu sociální lenosti. Tedy: udělám jen nutné minimum, o ostatních problémech dělám, že nevím, a spoléhám, že někdo jiný to zachrání, a/nebo že se odpovědnost při průšvihu rozptýlí.
-
JardaH (neregistrovaný)
Osobně jsem potkal jen několik bezpečáků z velkých firem.
a) Nikdo z nich neměl potřičné technické vědomosti.
b) Jejich práce spočívala z prohlížení výstupů z nějakého automatického toolu (např. Nessus).
c) Pokud by se nějaký monitoring tool tvářil jakože je vše OK, žili by v klidu až do smrti.
d) Na základě výstupů z těch monitorovacích toolů pak otravují ostatní s požadavky typu: až web server neukazuje svoji identifikaci, ať TCP neobsahuje timestamps, atd... Nobody has time for that shit. -
Trident (neregistrovaný)
Tez je to jeste jinak. Pokud bezpecak upozornuje a to tak ze vyrazne, tak je z banky odejit. Skutecny pripad jedne velmi velke banky u nas. Nastesti v dane bance odesel brzy i manazer ktery rozhodoval takze trochu instant karma (nejsem naivni, ta chyba tam urcite je stale). Nicmene je fakt ze od te doby se bojim mit jakkekoliv vazby na tuto banku. Dava mi opravdu zabrat nerici jmeno na plno.
-
Trident (neregistrovaný)
Nikoliv. Pripadne to bylo v dobe posozeovske a ta uz se mne netyka neb jsem utekl z tohoto sektoru zcela. Ale jsi blizko:)
Banky si musi rozmyslet jestli bezpecaci maji byt pajdulaci na papiry a nebo lidi delajici svoji praci. A hlavne nemuzu dat senior bezpecakovi s praxi v bankovnim prumyslu 70k a myslet si ze je to zaba na prameni. Jen jejich skoleni se pohybuji mezi 100-300k.
-
peter (neregistrovaný)
Jj, za vse muzou IT :) Ale kdyz maji pripominky, tak je nikdo neposloucha.
Casto IT resi 90% problemu za jine zamestnance nebo musi obsluhovat 100 ruzneho sw, podpora uzivatelu (excel, word, mail, powerpoint, apache, web, uloziste souboru, ruzna presmerovani, sms branu, elektronicke zamky a zavory... ). Zcela neudrzitelna situace, kdyz to delaji treba 2 lide. Nelze se pak poradne venovat konkretnimu systemu.
Ale resit takove problemy neprinasi zisk!
-
Hele takhle to funguje snad všude, kde jsem kdy byl. Neviděl jsem to snad jen v případě, že firma měla dceřinku řešící IT mimo ní.
Jinak neřízený chaos, protože většina zaměstnanců vlastně neumí s mobilem ani počítačem, takže potřebujou support. Takže ajták nakonec uměl účetnictví, výrobu, obchod...atd. prostě to musel nějak dořešit. Protože ten co to měl na starosti to zapíchl s tím, že to ten "počítač".
Takový ten svět prostě v reálu je, dokud není průser, backup se neřeší o security ani nemluvím. -
L. (neregistrovaný)
Tak to jsi toho moc neviděl. Ano, v malých firmách, kde jsou ty ajťáci jen dva to opravdu tak může být. Ale ve větších jsou lidi, co se starají o počítače zaměstnanců jiné oddělení než to, které se stará o produkční servery. A často se ještě zase jiné oddělení stará o devops. A Equifax je z těch větších firem.
-
kantor (neregistrovaný)
male firmy: par ajtaku, co museji znat a umet vsechno:
- ucetnictvi, praci v excelu, wordu, powerpointu, skladove hospodarstvi, ...
- opravy spinkovacu, zaseklych supliku, rozvrzanych zidli, ...
- udrzba zaseklych kopirek, tiskaren, kalkulacek, ...
- programovani ustrednicek, nastaveni telefonu, dochazkoveho systemu, em-zamku kancelari, turniketu ...
- sitarina, tedy: vrtani do zdi pro novou kabelaz, natahovani kabelu do list, pod podhledy, pod podlahou, krimpovani konektoru, nakup racku a rozvodovych skrini, jejich instalace, vrtani a upevnovani AP, ...
- instalace a udrzba ruznych PC, podle pozadavku uzivatelu (a hlavne polde pozadavek jejich sefu), nastavovani hesel, pozadi, temat, hudby, ...
a KONECNE, kdyz je cas, tak:
- nastvavovani email serveru, synchronizace dat s mobily s OS vseho druhu, nastaveni a instalace routru a switchu...
- a nakonec tresnicka: nastaveni firewallu, jakozto nejvyssi stupen security leveluvelke firmy: na kazdou vec je treba zalozit ticket v nejakem systemu, spravne ho pojmenovat, priradit kategorii, podkategorii, typ, prioritu, svuj kontakt, ... a pak cekat.
ozve se nejaky telefonista, ktery (asi podle nejakeho manualu) polozi dalsich 1000 otazek, pritom na zadnou otazku neodpovi. pak dalsi faze - prepoji na nekoho jineho (nebo zavolaji jindy) a pokracuje se dal dalsimi otazkami ... a jednou, kdyz je spravna konstelace hvezd, je konecne problem odstranen (mozna ne vyresen, ale jenom zameten pod koberec, protoze to vic otravuje ten 'support', nez samotny problem)
jo a to nejdulezitejsi: IT support je obycejne nekde jinde, nez uzivatel, nejspis v indii :) -
anonym (neregistrovaný)
Dělám v korporátu s uživatelským IT supportem v Indii :)
Naposledy jsem pro malou firmu pracoval před 15 lety, Ale dokáži si docela dobře představit u firmy, pro kterou IT není předmět podnikání (pekárna, truhlářská výroba, menší "fabrika"), ale pouze sekudnární pracovní nástroj, použít prostě cloud. Místo mít vlastní mailserver, sambu a podobně, proč nepoužít prostě MS Office365 nebo GoogleSuite, centrální správa práv a uživatelů. Účetnictví a faktury, opět v cloudu. Bezpečnost, antivirus, synchronizace dat, mobilní aplikace, vysoká dostupnost, vše nechat na cloud operátorovi. U malých firem, třeba pekárna, stejně se počítač využívá jen jako drahý psací stroj. K čemu mít pro každou sekretářku počítač s pětiletou amortizací, plný MS Office na posílání emailů a dvou dopisů denně a hlavně pro Facebook. Zálohování dat v lepším případě na USB disk, většinou však žádné, o nějaké vysoké dostupnosti taky nelze mluvit.
Vypadá to jako ztráta kontroly nad daty, ale když slyším tu hrůzu, co podle vyprávění ostatních vládne v malých firmách, tak tohle řešení se mi jeví pořád menší zlo. Ano, cloud operátor vidí data, ale to v mnoha případech stejně. Viz řešení typu Dropbox, Mega a podobné.
-
Petr Neni (neregistrovaný)
a o ten cloud se bude starat kdo? Nejaky poskytovatel. Ten poskytovatel aby vydelal bude mit takovych zakazniku x a bude jim davat minimum casu. Tudiz ve finale se treba objevi pruser s tim ze budou spatne nadefinovane treba prava na S3 a data firmy budou k dispozici vsem. Bezpecnost stoji penize, hodne penez, pokud je nemate, nebo nechcete investovat do bezpecnosti, je jenom otazkou casu kdy o sva data prijdete. Bezne se potkavam s tim, ze firemni data - faktury, objednavky, mzdy,... - to vse najdete v klidu na nejakem sdilenem smb share na internetu. Kdyz ne writable, tak alespon readable. Nebo situace s IPv6 - mate zarizeni s IPv6 a jste v klidu diky spatne konfiguraci dostupny z internetu. A vubec netusite, ze ty dokumenty ktere sdilite jako \\computer\C jsou dostupne R/W vsem z internetu. Takze porad jsme u toho, ze na security proste musite vynakladat prachy, jinak o data prijdete, at je to v cloudu nebo u vas v office.
-
Přezdívka: * (neregistrovaný)
Jeste mi tam chybi servis vozidel a oprava elektroniky jako vymena displeju u telefonu apod.
A ano opravdu pokud je to v mych silach resim i auta. Od odvezeni do pneuservisu na prezuti nebo do servisu kvuli zavaznejsi chybe az po vymenu provoznich kapalin, dobijeni baterii a dalsi relativne jednoduche ukony jako treba vymena svicek, filtru, brzdovych desticek nebo kotoucu. BTW dokonce se ve vedeni resilo jestli mi nesezenou nejakou bazarovou prezouvacku na pneu :DJooo jak se jednou vedeni dozvi ze neco umis ... :D
-
petr (neregistrovaný)
Presne. Ale business partneri a manageri do Tebe busi, kdy uz to bude hotove. Takhle jsem jednou resil konfiguraci nejaky super business IPTV nekde v Belgii zavreny v super bezpecny siti. Nase sit byla taky super bezpecna a IT oddeleni mela zaridit ssh spojeni mezi mnou a tim serverem. Po 3 tydnech jednani koupil tamni manager mobilni internet, pripojil to tunelem na muj server na netu a ja to z home office nakonfiguroval. Korporatni IT je dobre tak k objednani toneru..
-
Trident (neregistrovaný)
1. Ucetnictvi nezvlada kolikrat ani cestvy absolvent VSE. Natoz clovek od IT. Skladove hospodarstvi IT veci dejme tomu, ale ne business firmy? Tady nekdo padl na hlavu. Vzdyt ucetni je za par supu a na malem meste bude rada ze ma praci.
2. Oprava nabytku? Tady nekomu padla na hlavu kovadlina. To vetsinou ve smlouvach neni aby clovek delal tesare a nabytkare. Nebo snad ty firmy davaji misto racku ty konferencni stolecky z IKEA?
3. Mala firma, dejme tomu. Ale velke tiskarny se vetsinou resi outsourcovanym servisem. Nechtel bych mit na svedomi potvoru za 70k.
4. Budiz. Taky beru.
5. Sitarina. Proc delat praci za kabelare ze? V pidifirme na vsechno kde jsem zacinal na to byla extra firma vcetne zaruky i promereni. Takze clovek prisel k hotovemu patch panelu,zasuvkam,protokolum a jen domontoval technologie. Optiku delalo tenkrat oddeleni CTc (tehdy jedinni kdo meli know how a metrologicke oddeleni melo meraky). Proc ITak resi stavebniho delnika? Nekde vrtnes dalsi kabel a pojistovna ti nic neda - nemas ve smlouve. Neco se ti stane a nikdo ti nic neda. Tady zas nekdo padl na hlavu
6. Njn to k tomu patri. Ale i tady je treba to pristrihnout velmi prisne hodinovou sazbou.
7. Core cinnost - kdo tohle v male firme dela, brzy odejde za lepsim.
8 . Dtto. Nektera nastaveni lze outsourcovat na ISP.Velke firmy: v zasade ano:) A nektere firmy radeji plati penale nez aby posunuli problem dal. IT support uz se do indie nedava. Myslim ze nyni nastava firma cloudu a insourcingu (zvlastni, ty dva pojmy jdou proti sobe:)).
-
Tenhle pribeh bude zakratko vyzivnym serialem, je to jen otazka casu. Jeden z budoucich dilu ponese nazev: "kterak ceskemu statu utekly data obcanu". Experti, kteri vychvalovali pristup a integraci dat pres zahranicni cloudove sluzby si pak mozna vzpomenou. Mozna se zamysli i cuckari, ze meli venovat pozornost spise prioritnejsim vecem jak metodickym listum ceskeho jazyka.
-
Ked sa s ludmi bavim o bezpecnosti dat na internete ludia v mojom okoli konstatuju: "a sak to je jedno ze sa to dozvedia aj tak s tym nevedia nic realne podniknu (na uver v banke predsa treba obciansky a mna osobne)" . Ja im nato odpovedam: "To je len nedostatok tvojej fantazie ze si neprisiel nato co sa so ziskanymi idajmi da podniknut. Iny nato prisli."
Na slovensku sme mali/mame zaruceny elektronicky podpis s ktorym by sa mali dat robit pravne ukony na dialku. Trebalo k tomu ten podpis, elektronicky obciansky a este cosik aktivovat na nejakom uradnom webe - uz si nepametam presne. Mame firmu, ktoru vlastni manzelka a istu dobu to vyzeralo ze tuto vychytavku budeme potrebovat kvoli nejakym ukonom suvisiacim s uctovjictvom. Potom sa v tom systeme nasla chyba a stat musel zneplatnit vsetky vydane podpisy. Manzelka tu aktivaciu nemala uplne dokoncenu. Keby ju mala tak teoreticky mohol nasu firmu niekto pocas tej doby za nu predat dakam doprdele alebo potopit v nejakej zumpe.
To si potom clovek rozmysli co si necha aktivovat a kam nasype osobne udaje.
Minule dosiel kurier DHL na adresu firmi so zasielkou na firmu. Chcel moj OP. Kukam nanho ze jako naco ale ze dobre tak som mu ukazal iba meno na OP. On ze si ho musi odfotit a vytiahol taky osumely smartfon. Som ho vyrazil domov a volal do DHL ze ci sa s konom zrazili ze to je nepripustne. Odvtedy uz staci len meno a podpis. V zbernom dvore na odpad v Bratilslavskom OLO. Chcu do formulara vsetky udaje z op vcetne cisla a rodneho cisla. Vymyslam si ich. Minule nejaky noname kurier doniesol zasielku - zas OP - to uz som si tiez vymyslal. Dnes chcu po ludoch osobne udaje kadejaky posukovia. -
Trident (neregistrovaný)
Vazeni nelibi se mi ambivalentni nadpis ktery sice muze vyznit na adresu managementu, nicmene da se pochopit take jako ocernovaci pro nizsi management a jejich technicke zamestnance.
Z me dlouhodobe zkusenosti technicti zamestnanci obvykle o problemech vedi, ale nemaji podporu vedeni (resp. jinak nastavene priority) pripadne investic do zdroju s tim neco delat. Prijde mi to vuci nim znacne nefer. Ryba smrdi od hlavy.Bylo by asi lepsi rici ze nefungoval IT management,n astaveni procesu, priorit pripadne ze neco bylo podinvestovane z hlediska zdroju.
