понедельник, 15 сентября 2014 г.

О безопасности Гугл, моем интервью на радио и приказе 378

Добрый вечер, дорогие читатели и читательницы! Хотела бы поговорить с Вами сегодня о безопасности облачных сервивов, таких, как Google Docs. По этой теме я давала комментарий на радио (ссылка на запись). В 2009 году писали о сбое настройки прав, в результате которого доступ к документам гугла был предоставлен посторонним. Сейчас эта уязвимость устранена, но осадок остался :) 
Распространение мобильных устройств и доступность сети Интернет практически из любой точки мира привели к возникновению сервисов удаленной работы с документами. Очень удобно, находясь в отпуске, просматривать протокол совещания, к тому же облачные сервисы позволяют организовать совместный доступ к этим документам. Кроме Google, сервисы хранения документов есть, например, у Яндекс (Мой Диск) и Мейлру (Облако). Преимущества облачных сервисов неоспоримы, но нельзя отрицать существование угроз безопасности. 
В случае получения доступа к сервису посторонним лицом, содержимое документов может быть уничтожено (доступность), скопировано (конфиденциальность) или изменено (целостность), что может привести как к финансовым рискам (в случае сбора данных конкурентами), так и к временным затратам на восстановление утраченных документов. В случае утечки персональных данных сотрудников или клиентов активизируются контролирующие органы. 
Есть одна важная деталь: все сервисы Google доступны по одному паролю. При его хищении злоумышленник получает доступ к почте, документам, yotube каналам, блогу и т.д. Чтобы этого не допустить, нужно следовать простым правилам:

  1. Использовать защищенное соединение https (указывается в настройках браузера).
  2. Менять пароль хотя бы раз в три месяца (такая периодичность не должна доставлять слишком много хлопот пользователю).
  3. Использовать телефон и дополнительный e-mail для двухфакторной аутентификации.
  4. Использовать сложные пароли. Существуют списки плохих паролей, к которым относятся последовательности цифр (123456, 654321), даты рождения, имена родственников, клички животных.
  5. Использовать антивирус постоянно.
  6. Обновлять операционную систему.
  7. Не использовать одинаковые пароли к разным сайтам.
  8. Не сообщать свой пароль.
  9. При возникновении угрозы подсматривания пароля - сменить его.
  10. Правильно выставлять права доступа к документам.
Правила можно посмотреть здесь, здесь или здесь. А у Сергея Сторчака можно посмотреть любопытный пост в тему: ссылка.

Ну и про Приказ ФСБ № 378 напоследок. Честно говоря, и говорить ничего не хочется. Приведу Вам вопрос читателя с моим ответом (со страницы ВК):
Вопрос: Ксения, доброго времени суток! Что Вы думаете про приказ ФСБ от10.07.2014 №378? К примеру, банки сейчас для подключения к интернет-банкингу используют СКЗИ КС1, КС2. Они являются операторами ПДн и этот приказ обязывает их сменить СКЗИ на КВ1 и КВ2. Получается, что им придется переделывать всю систему и вкладываться в недешевые "поделки". Причем использовать их они вряд ли будут, т.е. приобретут только для соответствия нормативам. Не кажется Вам, что это очередной честный отъем денег? Мне интересен Ваш рецепт выхода из этой ситуации

Ответ: Спасибо за интересный вопрос! На класс СКЗИ влияет уровень защищенности персональных данных. Поменять категорию информации мы не можем, остается уровень актуальных угроз. Чем ниже уровень, ти ниже класс СКЗИ. Для второго и третьего уровня защищенности при актуальных угрозах третьего типа можно использовать СКЗИ класса КС1 и выше.

Обзоры и мнения о 378 приказе Вы можете почитать у Алексея Волкова (ссылка), Алексея Лукацкого (ссылка) и Сергея Борисова (ссылка). Если есть еще статьи в тему - пишите, добавлю.


Страница моего блога: http://shudrova.blogspot.ru/
Страница Вконтакте: http://vk.com/kshudrova

Гавриченков Павел Михайлович. Натюрмотр с самоваром. Источник