Кто ещё нам угрожает
В наше время можно обокрасть человека, не приближаясь к нему или его жилищу (кардинг). Можно атаковать страну, не пересекая её границ ( кибервойна). Можно конфисковать имущество (нематериальные активы) предприятия, которое за тридевять земель. Информационные технологии расширяют границы наших прав и возможности их нарушения.
На нашу (я тут имею в виду не ЗАО "Инфовотч", а всех нас, коллег по цеху) информационную безопасность посягают лица, не имеющие доступа к нашей информационной системе. Это изготовители ПО и поставщики информационных услуг. Они предлагают нам (нашим пользователям) продукцию, для использования которой необходимо ослаблять принятый у нас режим защиты. Причём, режим не параноидальный, а вполне себе средний и общепринятый.
Им лень писать нормальный мануал с перечнем конкретных портов и адресов - отключите для них межсетевой экран. Они экономят деньги на программисте, их веб-интерфейс требует ту единственную ОС, которая знакома нанятому за полцены разработчику - перейдите ради них на Виндоуз. Они интегрируют в свой продукт врождённо-дырявую СУБД, причём, пароль жёстко прописывают в коде клиента - а мы это недоразумение защищай. Словом, они экономят свои силы и деньги за счёт наших рисков.
Кто сейчас ответит "не нравится - не пользуйся", того забаню буду считать дикарём с уровнем развития XVI века.
И если уж мы решили жить в новом тысячелетии по-новому, если уж мы сочли, что на нападение по Сети допустимо ответить ударом крылатыми ракетами, если уж мы понимаем, что для соблюдения прав интеллектуальной собственности придётся поступиться суверенитетом страны, если уж мы допускаем, что организованную преступную группу составляют люди из разных стран, никогда друг с другом не встречавшиеся, то логичным шагом будет обвинить в покушении на нашу защищённость тех, кто изготавливает подобные продукты и услуги - не вписывающиеся в общепринятые ограничения безопасности. Пусть ответят не только за свои дыры, но и за дыры, которые они вынуждают нас создавать.
Ладно, ладно, я понимаю, что привлечь их к ответственности пока не реально. Но можно хотя бы учитывать подобные угрозы? Следует вычислять увеличение рисков для каждого планируемого ко внедрению продукта и плюсовать к стоимости владения.
На нашу (я тут имею в виду не ЗАО "Инфовотч", а всех нас, коллег по цеху) информационную безопасность посягают лица, не имеющие доступа к нашей информационной системе. Это изготовители ПО и поставщики информационных услуг. Они предлагают нам (нашим пользователям) продукцию, для использования которой необходимо ослаблять принятый у нас режим защиты. Причём, режим не параноидальный, а вполне себе средний и общепринятый.
Им лень писать нормальный мануал с перечнем конкретных портов и адресов - отключите для них межсетевой экран. Они экономят деньги на программисте, их веб-интерфейс требует ту единственную ОС, которая знакома нанятому за полцены разработчику - перейдите ради них на Виндоуз. Они интегрируют в свой продукт врождённо-дырявую СУБД, причём, пароль жёстко прописывают в коде клиента - а мы это недоразумение защищай. Словом, они экономят свои силы и деньги за счёт наших рисков.
Кто сейчас ответит "не нравится - не пользуйся", того забаню буду считать дикарём с уровнем развития XVI века.
И если уж мы решили жить в новом тысячелетии по-новому, если уж мы сочли, что на нападение по Сети допустимо ответить ударом крылатыми ракетами, если уж мы понимаем, что для соблюдения прав интеллектуальной собственности придётся поступиться суверенитетом страны, если уж мы допускаем, что организованную преступную группу составляют люди из разных стран, никогда друг с другом не встречавшиеся, то логичным шагом будет обвинить в покушении на нашу защищённость тех, кто изготавливает подобные продукты и услуги - не вписывающиеся в общепринятые ограничения безопасности. Пусть ответят не только за свои дыры, но и за дыры, которые они вынуждают нас создавать.
Ладно, ладно, я понимаю, что привлечь их к ответственности пока не реально. Но можно хотя бы учитывать подобные угрозы? Следует вычислять увеличение рисков для каждого планируемого ко внедрению продукта и плюсовать к стоимости владения.