Ответ на пост «Банки выступили против нового закона о штрафах за утечки данных»

Глобальная проблема в том, что существует два типа законов: целевые законы и процессуальные (своего рода жаргонный термин). Применимыми законами являются те, которые ставят цели (например, Закон Российской Федерации об административных преступлениях), процессуальными - законы, описывающие процедуры (например, Гражданский процессуальный кодекс).

Чтобы понять разницу, в Гражданском процессуальном кодексе есть требования к подаче иска в суд. Вы можете написать любую чушь, какую захотите, но суд обязан принять такие высказывания, если они соответствуют структуре и порядку. Напротив, Закон Российской Федерации об административных правонарушениях содержит положения, предусматривающие штрафы за превышение скорости. Законодателей не волнует, как водители соблюдают ограничение скорости.

Закон, обсуждаемый в этом посте, относится ко второму типу. Государство не интересует, как именно банки обеспечивают информационную безопасность, важен результат. И вот в чем настоящая проблема...

В своей логике люди забывают, что не существует таких вещей, как банки, правительства и чиновники.

Существуют группы людей, оборудования, расходных материалов и процессов, которые объединяются, чтобы сформировать концепцию, в данном случае «банк".

Самая большая проблема в том, что банки нанимают людей...

Я несколько раз замечал, что при отказе в кредите (это случается с несколькими банками) буквально в течение часа мне один за другим звонят из других банков и микрофинансовых организаций. В некоторых случаях между отказом и первым звонком может пройти несколько секунд. Это означает, что персональные данные просачиваются на уровне высшего руководства этих банков и внедряются в банковские приложения. Итак, у вас есть два варианта:

1. Есть менеджер, который продает данные конкуренту, есть разработчик, написавший эту утечку, и есть эксперт по безопасности/системный администратор, который «прикрывает» путь утечки данных.

2. То же самое, но без менеджера.

Я очень сомневаюсь, что подобное делается бесплатно. Это значит, что есть несколько человек, которые наживаются (не думаю, что это 3 копейки) на утечках данных. Понятно, что эти люди не хотят терять свои доходы и тем более менять крутой московский офис на койку в Магадане. Естественно, такие люди будут молча, но массово кидать палки в колеса, потому что мы не будем говорить на встрече, что мы продаем здесь ваши данные и хотим продолжать это делать.

Государство решило защитить персональные данные. Теперь помимо вышеуказанной «команды» возникает следующая проблема:

1. Как я писал выше, это относится к закону. Нам нужны менеджеры, которые обеспечивают достижение технически сложных целей, а не копируют загруженную деятельность. Судя по вышеизложенным фактам, по крайней мере некоторые (если не все) банки в государстве не имеют таких банков (причины см ниже).

2. В типичной структуре крупных организаций руководитель отдела информационной безопасности (который должен обеспечивать соблюдение закона) входит в высший уровень управления (подчиняется генеральному директору/совету директоров). Если нет, то это «классический козел отпущения». Итак, учитывая подвох в пункте 1, вам нужно завести в свой штат и во главе своего штаба «парня с улицы». А у «людей с улицы» есть несколько проблем управления на всех уровнях:

   - Они прекрасно знают ситуацию «внизу», по крайней мере, как клиенты этого банка. Многие проблемы «решаются» на своих уровнях (за счет бонусов среднему менеджменту или высшему менеджменту) и никогда не достигают «верхов" ;

   - Они не ввязываются в офисную политику, у них нет ни друзей, ни врагов. Поскольку такие эксперты относительно независимы, условия необходимо согласовывать;

   - ИБ навязывает очень неудобные профессиональные варианты (их много идеологических), с которыми либо не согласны, либо «согласны», но интегрируются при первой же возможности;

   - Благодаря своему положению офицер ИБ может согнуть практически кого угодно, а наоборот – практически невозможно;

   - Охранники имеют доступ ко многим локациям. Рано или поздно сотрудник, сливший данные, будет идентифицирован и передан генеральному директору или полиции, либо уже может быть включен в план и считаться расходным материалом;

   Короче говоря, есть вероятность, что привычная извилистая структура управления сильно пошатнется...

   Обратите внимание: Как банки проверяют кредитную историю.

   Я никогда не работал в банке, поэтому не могу сказать наверняка, но чувствую, что здесь много грехов быть великим.

3. Как только цели определены, руководители IB могут очень быстро внести изменения. Эти изменения бывают двух типов: организационные и технические. И оба пункта проблематичны.

4. Организационные выводы. Необходимо провести инвентаризацию процессов, внести изменения, обучить их работе по-новому и обеспечить соблюдение новых правил. Каждый подпункт – это проблема:

   - Существует много неформализованных процессов, и многие из формализованных процессов выполняются «на отлично». И этот господин все уплывает;

   - Человек, отвечающий за ИБ, может показать суть проблемы и суть проблемы, но решение и то, как его внедрить, - это работа менеджера, который курирует поле. Внезапно оказывается, что довольно много менеджеров глупы и дело в том, что они не могут обойтись без кадровых решений;

   - Процесс обучения и переподготовки является одним из сложных предметов управления, как и другие целевые задачи, поскольку требует различных навыков управления;

   - По мере того, как меняются процессы, меняются и процессы управления. Создание или изменение процесса сильно отличается от пассивной поддержки процесса, который кто-то создал ранее. Это принципиально разные вещи. Есть большая вероятность, что «новый» банк станет неработоспособным.

   Могу сказать, что администратор раньше ездил на Лексусе, а сейчас пересел на БМП-3...

5. Технический момент. Приложение и безопасное приложение — это совершенно разные приложения. Если вы читали компьютерную литературу, возможно, вы заметили, как мало внимания уделяется безопасности. И вопрос обеспечения абсолютной безопасности поднимается не так часто, как поиск жемчуга на берегу. Кроме того, многие «общепринятые правила» прямо противоречат современным требованиям информационной безопасности.

   Грубо говоря, «обычный программист» учится собирать обычный «Мерседес», а затем ставит задачу воссоздать его так, чтобы можно было пристегнуть ко лбу РПГ-7. Общее между А и Б, а также тем же Мерседесом и Т-90, у него есть ноги.

   Нормальных разработчиков уже очень мало, а разработчиков с высокой степенью "ИС Фэн Шуй" можно сказать вообще нет...потому что действительно безопасный код "настоящие программисты" считают дерьмовым кодом. Потому что их много вещи.

6. После того, как все это закончится, наступит еще один страшный момент для руководства. Безопасность занимает много времени. До 5-8 раз. Так что если у вас "в конце концов" будет один чип в неделю на одного программиста, если вы имеете дело с защищенными данными (а их почти все), то один чип на одного программиста будет каждые 5-8 недель. Так и будет.

Так что для Планктона в филиале задача «обеспечить защиту банковских данных» — это не только задача переобучения, а для всех, кто стоит выше в иерархии в ИТ, это геморрой, анальное наказание потребность в мышлении и т д.

В банках (имеется в виду уровень льгот для сотрудников) этот процесс запущен в работу, потому что защита данных о клиентах никого не интересует (кстати, то же самое произошло и с импортозамещением. Paper On - импортозамещение, фактически ЕС и США были заменены Китаем).

Почему я так в этом уверен?Потому что банкир сам это признал:

Банк предлагает прекратить введение оборотных штрафов за повторную утечку персональных данных на сумму до 500 млн рублей. «Уплата таких высоких штрафов может заставить компании увеличить свои инвестиции в информационную безопасность (ИБ), поскольку стоимость информационной безопасности (ИБ) в последние годы уже увеличивается на десятки процентов каждый год дать возможность компании защитить свои средства, даже если это произошло по причине самой утечки персональных данных не по вине компании.будут потрачены на оплату штрафов с продаж, а не на развитие информационной безопасности.Большие штрафы могут выступать лишь в качестве стимул, если организация может помешать им платить им, действуя добросовестно», — говорится в письме NSFR.

первоисточник

Иными словами, представители банков открыто заявляют, что данные утекают и утекают (и они в ярости от неоднократных утечек), а вопросы информационной безопасности рассматриваются только как финансовые (формулировка — «инвестиции в информационную безопасность», поэтому доступны следующие варианты.) Заменять идиотов квалифицированными специалистами не считается), все действия будут осуществляться только формально (выражение "если не по вине компании"), чтобы никто не гарантировал результат, о работе даже не думаю на нем (выражение «предотвратить...»).совестливым поведением")...

В то же время это завуалированное предложение оставить все как есть. Мы делаем вид, что защищаем данные клиентов, а вы делаете вид, что защищаете данные клиентов. А мошенничество с использованием данных клиента – это проблема самого клиента...

Уровень менеджеров, подписавших это, отвратительно удивляет. Приведенную выше фразу можно переписать так: "Руководство и топ-менеджмент нашего банка некомпетентны в важных вопросах (для банков надежность - один из ключевых показателей). Но нам нравятся наши зарплаты, поэтому завтра - как вчера. Я хочу, чтобы было "и я бы не менял вещь".

PS Если интересно, кратко напишу о том, чем системы, ориентированные на безопасность, отличаются от «обычных".

[my]Утечка данных счета-фактуры Банк ЦБ РФTextMatОтвет на сообщениеДлинный пост 8

Больше интересных статей здесь: Банки.

Источник статьи: Ответ на пост «Банки выступили против нового закона о штрафах за утечки данных».

• Продолжение поста «Банки выступили против нового закона о штрафах за утечки данных»
• Альфа-банк никогда не сливает данные (сливает)