4 июня 2014 г.

От медицины до криптографии или об адекватности лечения

Ребенок два месяца кашлял. Началось с того, что полезли сразу 8 зубов и начался сильный физиологический насморк. Глубоких хрипов не было. Сменили трех врачей, лечение всё усложнялось, а кашель не проходил. Последний врач назначил ингаляцию мирамистином, которым лечат взрослых. Не стали делать. Врачу сообщили об этом, она разозлилась, тут же "обнаружила" хрипы и назначила антибиотик. Мы разозлились на неё и перестали лечить ребенка. Он выздоровел. Оказывается, нужно знать физику функционирования дыхательных путей и механизмов защиты. Достаточно было просто МНОГО ГУЛЯТЬ и следующую ночь ребенок спал спокойно! Спросите меня, а зачем тут нужен был врач? Почему они поголовно назначают антибиотики, пугая тем, что "запустим ребенка"? Чтобы наверняка? Проблема затянувшегося кашля редкая?

Но проблема даже не в этом. Большинство мам просто боятся сообщить врачу, что не лечили по рецепту. А у врача складывается картина, что рецепт подействовал!!! Чувствуете, где собака зарыта? У врача - конкретного специалиста - складывается неадекватная картина мира!

Также прививки. Если прививать 100% населения от чего-то, то можете ли Вы быть уверены, что оно эффективно при том, что у государства уже давно нет нормальной исследовательской инфраструктуры, а прививка - ЕДИНСТВЕННАЯ из медицинских процедур, которая делается БЕЗ ДИАГНОСТИКИ? Нет, т.к. сравнить не с чем, измеряется лишь процент привитых и процент заболевших! Но система лобби и запугивания есть, включая ВОЗ! А представьте, что прививки многие - НЕ НАШИ, а в западных классификациях мы - "страна третьего мира"!

И, заметьте, я ведь не говорю, что прививки - это плохо. Я о том, что система неадекватная! Значит, не безопасная сама по себе.

Теперь про информационную безопасность :) Не поверите, тут то же самое!

Миллионы ЭЦП выдаются десять лет и более 99% применяются без соблюдения требований ФСБ к криптографии! И где вы видели инциденты? Зачем нужны завышенные требования к СКЗИ, если актуальные риски низкие?

Более того, подключение УЦ к Интернет требует уровня криптозащиты KB2. Тысячи операторов в России выдают ЭП, но какая доля из них соблюдает это требование не только в части купленной железки, но и организационно-регламентных требований правил пользования? Есть ли такая информация? Или регуляторы обладают только тем, что подготовлено к их надзорным мероприятиям. У Алексея Лукацкого интересный цикл появился в эти дни: О безопасности между аттестациями (авт.: и надзорами тоже) и О ментальности русской души в контексте ИБ.

Сайты Госуслуг, РЖД и других структур ОТКРЫТО перекладывают риски на пользователя, предлагая ему согласиться с "Передачей данных по открытым каналам". Большинство моделей угроз сознательно занижают риски. Ну потому что нет адекватных средств защиты для их сервиса, доступного массовому пользователю, а бизнес должен работать.

Вот возьмите СМЭВ, в которой уровень криптозащиты принят KC3. Что это за уровень защиты - от квалифицированного хакера-одиночки! И это государственная система, давно превзошедшая размером все остальные самые крупные.

Это особенно интересно в контексте того, что ФСБ недавно опубликовала финальную версию проекта приказа по защите персональных данных, основная суть содержания которого не не изменилась.

По требованиям ФСТЭК то же самое. Вытекают требования из логики мандатной системы разграничения доступа, но не системы, устроенной на культуре ИБ, на фокусе на наличии повсеместно персонала, компетентно обозревающего угрозы.

Особо интересен пункт 5 в статье 19 ФЗ-152. Все о ней знают уже ТРИ года. И где хоть один нормативный документ об актуальных угрозах? А Вы видели хоть кого-то, кто во всеуслышание бы заявил, от кого он собирается защищаться и как? Это ладно, а если конкретных ситуаций, для которых - тысячи на регион. Потому и нет таких нормативных документов, потому что неадекватное оно.

Опыт подсказывает что ГЛАВНАЯ АКТУАЛЬНАЯ УГРОЗА безопасности у нас не в применяемых средствах, а В ИХ КОНФИГУРАЦИИ - В РУКАХ.

Усилю этот момент фактами: сегодня общались с ИТ-руководителями ведомства, не обделенного ИТ-бюджетом. Около двадцати % рабочего времени они заняты ИТ!!! Когда им быть компетентными и для чего? В условиях, когда планируются сокращения, 44-ФЗ, бюрократия, переписка, и другие общественно-полезные нагрузки...

Так что нормативный документ об актуальных угрозах ИБ ПДн мог бы быть совсем коротким, но зато предельно конкретным в части путей реализации!!!

Вот тут я уже про это писал. Про многочисленные исследования о возрастающих рисках целенаправленных атак, в которых многие видят пугалки, а не главное - указание на то, что дело в НЕКОМПЕТЕНТНОСТИ, ЗАКРЫТОСТИ.

А по сути речь о чем. В каждом рассмотренном случае что мы видим? Мы видим, что существуют реальные препятствия для обратной связи, для открытости, для формирования адекватной государственной или даже конкретно локальной позиции конкретного специалиста в области его компетенции: от защиты персональных данных до здоровья детишек наших.

Подумать есть над чем.

Комментариев нет:

Отправить комментарий