Vlákno názorů k článku Úniku dat 148 milionů lidí bylo možné zabránit, kdyby fungovalo IT oddělení od Miroslav Šilhavý - Hlavní mentální problém firem je, že výsledkem práce...
-
Hlavní mentální problém firem je, že výsledkem práce bezpečáka je to, že není "žádný výsledek" vidět. Tedy to, že nedojde k incidentu. Zanedbaná (podfinancovaná) bezpečnost se dlouho jeví úplně stejně spolehlivá, jako když se do bezpečnosti investuje. Naopak, i přes investice do bezpečnosti, může dojít k incidentu. Vedení firem pak neumí posoudit (docenit), že jsou třeba dopady daleko menší právě díky investicím do bezpečnosti.
Velkou katastrofou je překotnost vývoje software. Programátoři musí deployovat v nesmyslném tempu, opravovat chyby "obratem" atd. Firmy si neumí stanovit service-level, takže se šturmuje. Výsledkem pak jsou neoddělené databáze, přístup do databáze jedním userem, který má práva do všech tabulek, všech sloupců a řádků, uložené konfigurace a poznámky s přístupovými právy, vyvojářské nástroje na produkčních serverech atd. atd. atd. Nejprve by se měla nastavit tato pasivní bezpečnost. Jenže, vývoj pak jde třikrát pomaleji, než když se na to prdí. A to, opět, nikdo nechce platit.
Bezpečák by měl být placený za to, že hledá a šťourá co nejvíc chyb a přidělává práci ostatním. Pokud je bezpečák zároveň tím, kdo musí ty chyby i opravovat, pak zcela logicky dojde k efektu sociální lenosti. Tedy: udělám jen nutné minimum, o ostatních problémech dělám, že nevím, a spoléhám, že někdo jiný to zachrání, a/nebo že se odpovědnost při průšvihu rozptýlí.
-
JardaH (neregistrovaný)
Osobně jsem potkal jen několik bezpečáků z velkých firem.
a) Nikdo z nich neměl potřičné technické vědomosti.
b) Jejich práce spočívala z prohlížení výstupů z nějakého automatického toolu (např. Nessus).
c) Pokud by se nějaký monitoring tool tvářil jakože je vše OK, žili by v klidu až do smrti.
d) Na základě výstupů z těch monitorovacích toolů pak otravují ostatní s požadavky typu: až web server neukazuje svoji identifikaci, ať TCP neobsahuje timestamps, atd... Nobody has time for that shit. -
Trident (neregistrovaný)
Tez je to jeste jinak. Pokud bezpecak upozornuje a to tak ze vyrazne, tak je z banky odejit. Skutecny pripad jedne velmi velke banky u nas. Nastesti v dane bance odesel brzy i manazer ktery rozhodoval takze trochu instant karma (nejsem naivni, ta chyba tam urcite je stale). Nicmene je fakt ze od te doby se bojim mit jakkekoliv vazby na tuto banku. Dava mi opravdu zabrat nerici jmeno na plno.
-
Trident (neregistrovaný)
Nikoliv. Pripadne to bylo v dobe posozeovske a ta uz se mne netyka neb jsem utekl z tohoto sektoru zcela. Ale jsi blizko:)
Banky si musi rozmyslet jestli bezpecaci maji byt pajdulaci na papiry a nebo lidi delajici svoji praci. A hlavne nemuzu dat senior bezpecakovi s praxi v bankovnim prumyslu 70k a myslet si ze je to zaba na prameni. Jen jejich skoleni se pohybuji mezi 100-300k.
