Dnipropetrovsk laboratory of antivirus solutions - Днепропетровская лаборатория антивирусных решений.  
Простые решения для обеспечения вашей ИТ-безопасности.  
(067) 561-30-54 , (050) 770-69-80, Днепропетровск, ул.Ломаная, 17.  


 Меню

 Статистика

Сейчас на сайте:

Гости: 1


 Последние новости

Мобильные телефоны атаковал SMS-вирус
Параноидальные вопросы к безопасности корпоративных ИТ
Cоздано Управление информационной безопасности
VII-й ежегодный Security Innovation Forum 2014
Основы детской безопасности в Интернет



 Параноидальные вопросы к безопасности корпоративных ИТ | Новости

Параноидальные вопросы к безопасности корпоративных ИТ Версия для печати

Параноидальные вопросы к безопасности корпоративных ИТ, возникающие из антироссийских санкций Microsoft, Oracle и HP



Появились сообщения о том, что Microsoft, Oracle, Symantec и HP «с большими сожалениями и надеждой на сотрудничество в дальнейшем» будут вынуждены отключить часть ПО у российских банков и компаний, которые попали под санкции.

С облаками все понятно – выключили и все, но облака повышенной устойчивостью к подобным ситуациям по определению не обладают. Но банки, как известно, относятся к наиболее консервативным видам бизнеса, которые облачных решений не приемлют.  

Стоит ли подобное заявление понимать, как открытое признание того, что вендоры в своих продуктах сохраняют закладки, позволяющие выключить любое in-house решение по щелчку Госдепа? Конспирологи были правы, и модель ИТ-рынка в котором преобладают глобальные решения попросту не безопасна?

И как это может быть реализовано?

Понятно, что механизм проверки подлинности, установленный в решениях для домашних пользователей, позволяет объявить не подлинными любые продукты проданные в России и соответственно отключить их при первой же проверке по сети.

А с корпоративными продуктами, которые находятся за файерволом и теоретически такую проверку не проходят?

Microsoft Forefront TMG построен так, чтобы сливать корпорации информацию с защищенной стороны межсетевого экрана и пропускать внутрь определенные запросы извне? Oracle Database Firewall обеспечивает доступ к корпоративным базам данных для всех наделенных полномочиями со стороны «вашингтонского обкома»?
Надо ли полагать, что подобные дверки для АНБ/ФБР/ЦРУ у HP, Cisco и прочих вендоров заложены на аппаратном уровне?
Что можно сделать через подобные закладки: скопировать, уничтожить, скомпрометировать данные, нарушить работоспособность системы?
Подобные заявления – это уже не удар по России. Это конец той модели ИТ-рынка, которая сложилась к настоящему моменту. Факт прослушивания спецслужбами США телефонных разговоров европейских политиков вызвал довольно негативную реакцию. Но идея о том, что у США есть возможность полностью заблокировать работу ИТ-систем по довольно незначительному поводу – очень опасный сигнал всему миру. Ваша ИТ-инфраструктура работает только до тех пор, пока интересны вашей страны не сталкиваются с интересами США.

Какой выход в параноидальном мире, где покупать ПО у вендоров не безопасно?

Никаких облачных решений. Никаких гибридных решений. Компания должна полностью владеть всей ИТ-инфраструктурой для критически важных бизнес-процессов. Да, почта тоже только на своих серверах и только в российских доменных зонах. Microsoft активно продает Office 365 в российские государственные и образовательные учреждения? Естественно, практика подобных закупок должна быть немедленно остановлена.

Гетерогенность  - зоопарк решений сегодня становится преимуществом. Можно предположить, что недокументированные лазейки и черные ходы хорошо работают в рамках продуктов одного вендора и гораздо хуже с решениями других вендоров. Я не слышал о стандарте на API для черных ходов. Поэтому уязвимость ИТ-среды построенных на продуктах разных вендоров должна быть меньше.

Отечественные продукты -  можно предположить, что российские разработчики ПО, если и договаривались о размещении специального входа для спецслужб в своих продуктах, то явно не с американскими спецслужбами. Это сложный вопрос кто более страшен для вашего бизнеса ФСБ или ФБР?

ИТ-решения независимых стран. К сожалению, тут выбор не очень большой. Стоит заведомо исключить продукцию компаний нацеленных на американский рынок (- Индия). Страны NATO тоже должны вызывать обоснованные подозрения, тем более они активно участвуют в антировссийских санкциях. В итоге что остается из стран с развитыми ИТ? Китай и Израиль? В любом случае выбирая ПО стоит обращать внимание на продукцию тех  стран, в которых ваша компания заведомо не представлена.

Самописные системы – крупные организации должны делать ставку только на решения собственной разработки, как бы это не было бы дорого и неудобно. Естественно даже в этом случае весь код должен анализироваться службой безопасности на наличие закладок и завербованных агентов среди разработчиков.

Решения с открытым кодом – любой применяемый в компании продукт должен собираться из исходного кода непосредственно при внедрении. Исходный код продукта, естественно должен быть проанализирован и протестирован на возможные закладки, нарушающие безопасность. Никаких заранее скомпилированных бинарных модулей в критически важных для бизнеса решениях быть не может.

Национальные системы – проект с НПП развивался и организовывался довольно нелепо и, как и ожидалось, закончился ничем. Однако, я должен признать, что сама идея сегодня весьма своевременна, особенно с учетом того, что огромная доля заказов на ИТ-решения в России исходят от государственных компаний. Как минимум критическим элементом инфраструктуры становится собственный межсетевой экран, гарантирующий отсутствие лазеек для чужих спецслужб.

Должен признать, риск того, что в ПО имеются закладки, позволяющие его отключить удаленнно, конечно, не нулевой, но все же не слишком большой. Маловероятно, такой сценарий может быть задействован только один раз и его реализация будет означать начало глобальной войны. А в конце я хочу привести два более вероятных сценария с менее масштабными оследствиями: отказ от поддержки и обновлений и отзыв лицензий.

Отказ в поддержке и обновлении решений выглядит, как наиболее вероятный вариант поддержки санкций со стороны ИТ-вендоров. Продажи подобные шаги, конечно, снизят, но если их применять только в отношении отдельных компаний, то и потери будут не критичны. Вот только, что в этом случае предполагается делать с такими программами, как Software Assurance или Подписки, которые Microsoft очень активно продавал крупным компаниям.

Может быть, я ошибаюсь, и речь идет всего лишь об отзыве лицензий на программное обеспечение. Интересно, а предусмотрен ли в этом случае возврат средств уплаченных за лицензии и особенно за консалтинг? Что там госзакупки предусматривают за неисполнение обязательств? Штрафы и недопущение к дальнешим торгам? Жалко, что вендоры напрямую далеко не всегда работают с такими заказчиками. Совсем недавно у нас государственные учреждения и крупные компании работали на пиратском ПО. Я думаю, что многие охотно вернутся к этой практике. В этом случае все последствия сведутся к тому, что более 10 лет успешного лоббирования лицензионного ПО, конечно, пропадут и скорее всего вернутся не скоро. 

Источник http://smartsourcing.ru/blogs/informatsionnaya_bezopasnost/2593

 
Просмотров: 1390316.07.14 16:33 by siteman



JamarTiz23.06.18 21:21

 
WilliamOppow22.06.18 19:41

 
WilliamOppow22.06.18 07:09

 
WilliamOppow21.06.18 22:58

 
Brucelielo21.06.18 15:08

 
Brucelielo21.06.18 03:56

 
таня20.06.18 14:48

 
Радим20.06.18 05:12

 
кристина19.06.18 06:01

 
Магдалина18.06.18 15:02

 
Каро18.06.18 06:14

 
илюша17.06.18 21:26

 
Райля17.06.18 09:00

 
ледя16.06.18 20:37

 
белла16.06.18 09:57

 
эладка16.06.18 01:56

 
Дашка15.06.18 15:45

 
Нила15.06.18 06:38

 
Милана14.06.18 15:43

 
RaymondRic14.06.18 09:38

Porn. <a href=www.nastyxxxlinks.com/>http://www.nastyxxxlinks.com/</a>
 
Аврора14.06.18 06:28

 
RaymondRic13.06.18 15:51

Porn. <a href=www.nastyxxxlinks.com/>http://www.nastyxxxlinks.com/</a>
 
Кузя08.06.18 09:13

 
Сюзана05.06.18 04:32

 
Айза04.06.18 16:59

 
Jeremyhax04.06.18 12:52

 
Флорид03.06.18 18:20

 
лукинична03.06.18 07:44

 
Казимир02.06.18 18:35

 
сергей02.06.18 00:42

 
Буянто01.06.18 15:52

 
Родион01.06.18 01:07

 
Альбек31.05.18 15:03

 
Тата31.05.18 05:54

 
Маріна30.05.18 20:55

 
Гани30.05.18 11:06

 
Севак30.05.18 03:32

 
Владка29.05.18 17:40

 
сима29.05.18 08:25

 
Альбина29.05.18 03:04

 
вовуся28.05.18 05:47

 
галька28.05.18 00:30

 
Микола27.05.18 06:39

 
Аскат26.05.18 09:05

 
Адлет25.05.18 07:36

 
Уллубий24.05.18 23:20

 
дика24.05.18 17:19

 
Дашик24.05.18 07:29

 
Ралина23.05.18 22:45

 
Зулия23.05.18 15:13

 
Машулька23.05.18 06:42

 
мара23.05.18 02:30

 
вовуша22.05.18 14:42

 
Чермен22.05.18 06:16

 
Валек21.05.18 07:07

 
Лерик20.05.18 23:31

 
Шерали18.05.18 17:45

 
Махач16.05.18 05:06

 
Алиска14.05.18 04:16

 
Ардак11.05.18 07:05

 



Ваш комментарий к новости "Параноидальные вопросы к безопасности корпоративных ИТ"
Имя* (max. 40 символов):
Email:
Оформление текста:
Сообщение*
(max. 350 символов, осталось ):
 
Текст на картинке*:
 


 Информер

Новости Днепропетровска

-----

Для отображения
"Облака" требуется
Скачать Adobe Flash Player