О скользких терминах

Oct 29, 2012 21:29

Случилась тут у коллег неприятность: «В результате взлома сервера налогового департамента штата злоумышленникам удалось похитить около 387 000 номеров банковских карт, а также 3,6 миллиона номеров соцстрахования местных налогоплательщиков. По словам чиновников, все данные, за исключением 16 000 номеров платёжных карт, хранились в зашифрованном виде.»
Но коллеги повели себя немного странно по итогам инцидента.


Для айти-специалиста данные не могут считаться "похищенными", то есть попавшими в руки злоумышленника, если они зашифрованы. Пока шифр не вскрыт, доступа к данным нету. Рассчитать шансы на дешифровку нетрудно, криптология даёт для такой оценки неплохой инструментарий.

Тем не менее, официальные лица признали утечку именно 3 987 000 записей, а не 16 000. Не просто признали, а расплатились с пострадавшими бесплатными услугами по финансовому мониторингу, как это практикуется в Штатах.

То ли чиновники не понимают, что такое шифрование. То ли, под эвфемизмом "encrypted" у них имелась в виду запись данных в нестандартном, трудночитабельном формате (т.е. отличном от MS-Office). Ваш покорный слуга склоняется к первому варианту.

Но кто-то из айтишников поведал чиновнику такую клюкву. Вот если бы ваш сервер поимели внешние злоумышленники и слили бы оттуда зашифрованные записи. Что вы доложили бы начальству? Есть такие варианты: (а) "злоумышленники получили доступ к записям"; (б) "злоумышленники получили доступ к зашифрованным записям"; (в) "злоумышленники преодолели защиту, но не получили доступа к записям". Во втором варианте оговорка "зашифрованные" легко пропадает не только из публикаций СМИ, но также из судебных документов, из которых последует ответственность вашей компании. Предвидя это, ответственный специалист не должен допускать подобных неустойчивых формулировок.

Шифрование - это серьёзно. Оно закрывает доступ. Закрывает или нет? Если всё-таки закрывает, то недопустимо признавать утечку. "Зашифрованные данные" - это отсутствие данных, если шифрование настоящее.

На месте аудитора или внешнего эксперта какой вариант заключения выбрали бы вы?

утечки, термины, шифрование, персональные данные

Previous post Next post
Up