Živí sa poradenstvom v oblasti bezpečnosti informačných systémov. Pravidelný prispievateľ do patavedeckých seminárov v Bratislave. Zoznam autorových rubrík: Bezpečnosť, Ochrana súkromia, Pataveda, Vzdelávanie a výskum, Nezaradené
Pod ochranou osobných údajov si mnohí predstavujú v podstate len klasické techniky informačnej bezpečnosti, predovšetkým obmedzenie prístupu k údajom, ktoré je potrebné chrániť. Hádam stojí za to pripomenúť príklad, kedy je situácia trochu zložitejšia (aby som zbytočne nenapínal tých, ktorí poznajú princípy útoku inferenciou v štatistických databázach, tak mám na mysli práve to). Môže sa totiž stať, že
Pred týždňom vláda schválila Národnú stratégiu pre informačnú bezpečnosť v SR. Návrhu Stratégie, ktorý bol predložený na pripomienkovanie, som onoho času venoval 3 články na tomto blogu, patrilo by sa teda zmieniť sa aj o „konečnej“, teda schválenej verzii. Stručne povedané,
V predchádzajúcom článku som v súvislosti s nedávnym prípadom sprístupnenia zoznamu e-mailových adries používateľov Azet-u spomenul, že na Slovensku chýba všeobecne akceptovaná „norma“ etického a zodpovedného správania nasledujúceho po objavení bezpečnostného nedostatku. Krátko nato som sa stretol s autorom článku na blog.synopsi.com, ktorý celý prípad začal. Na stretnutí sme sa o.i. dohodli, že vytvoríme a na diskusiu predložíme návrh textu, ktorý by sa pokúsil charakterizovať zodpovedný prístup k upozorňovaniu na bezpečnostné nedostatky. Inak povedané, ako upozorniť na objavený bezpečnostný nedostatok tak, aby upozornenie bolo účinné a zároveň nedošlo k zbytočnému poškodeniu práv a záujmov tých, ktorí svoje (osobné) údaje zverili organizácii u ktorej bolo objavená bezpečnostná chyba. (Návrh je zverejnený aj na blog.synopsi.com)
O tom, že úroveň informačnej bezpečnosti na Slovensku je dosť ďaleko od optimálnej, asi niet vážnejších pochýb. Tak sa pozrime, ako chce Stratégia túto situáciu zlepšiť.
Ako som napísal v minulom článku, neviem sa stotožniť s návrhom Národnej stratégie pre informačnú bezpečnosť, ktorý bol minulý týždeň zverejnený na webstránke Ministerstva financií. Keďže rozsah jedného článku je príliš málo na vymenovanie čo i len hlavných výhrad ktoré mám k tomuto dokumentu, uvádzam prvé voľné pokračovanie...
Dlhý čas čakania sa skončil – návrh Národnej stratégie pre informačnú bezpečnosť v Slovenskej republike (to je oficiálny názov, tu ho budem skracovať na „Stratégiu“) bol minulý týždeň konečne zverejnený na pripomienkové konanie. Spolu s prílohami predstavuje značné množstvo textu a je naozaj otázne, či niekto bude mať záujem či motiváciu podrobne prečítať všetko, čo obsahuje ... a teda či prípadné pripomienky postihnú podstatné črty materiálu, alebo sa sústredia na drobné nekonzistentnosti a podobné nedostatky (nie je problém ich tam nájsť). Osobne mám problém stotožniť sa s týmto dokumentom...
Nemám nič proti konferenciám o informačnej bezpečnosti, ktoré sa konajú na Slovensku, už veľa rokov sa však k pozvánkam na také akcie staviam dosť rezervovane. Ak už mám sedieť na prednáške, tak nech to stojí za to, nech sa dozviem niečo nové a zaujímavé. A to je obvykle problém – len zriedka objavím prednášku, ktorá by ponúkala viac ako prehľad informácii dostupných na Nete, v ktorej by napríklad prednášajúci prezentoval zaujímavú tému, vlastné skúsenosti či názor ... Pre „osvetu šíriace“ prednášky (presviedčanie poslucháčov o dôležitosti informačnej bezpečnosti) nie som tá pravá cieľová skupina. Špeciálnu kategóriu tvoria firemné prezentácie, štandardne vedené spôsobom, ktorý ťažko označiť inak ako znevažovanie poslucháča ... z prednášok, pri ktorých sa ma prednášajúci pokúša presvedčiť že som hlupák, ktorý o informačnej bezpečnosti nič nevie a ktorého zachráni jedine zakúpenie produktu XYZ, tiež nemám pocit užitočne stráveného času. Takže keď som pred časom dostal pozvanie na
Zdá sa, že informatizácia spoločnosti sa nám konečne slušne rozbehla – prinajmenšom z hľadiska produkcie súvisiacich dokumentov. Pomerne krátko po schválení „Stratégie informatizácie verejnej správy“ bol na pripomienkovanie zverejnený nadväzujúci dokument „Národná koncepcia informatizácie verejnej správy“. Dokument na pripomienkovanie predkladá Ministerstvo financií SR, jeho „Vlastnosti“ však vypovedajú o tom, že koncepciu vypracovala spoločnosť Centire, s.r.o.. Celkom zaujímavé čítanie...
Nepáči sa vám chaos a absencia logiky v živote okolo nás? Zvyknete na celospoločenské problémy nazerať v štýle „ak by ľudia boli rozumní, všetko by sa dalo jednoducho napraviť“? Zdá sa vám zbytočné argumentovať, keď predsa existuje len jedno najlepšie riešenie? Až donedávna sa mi takéto uvažovanie nezdalo nejako mimoriadne zvláštne ... až kým som si neprečítal
Včerajšia správa o zhabaní servery webhostingovej firmy vyvolala riadnu diskusiu, vrátane niekoľkých príspevkov na blog.sme.sk. Ani som sa nečudoval, že prevládali emócie – o forenznom skúmaní a zaisťovaní dôkazového materiálu z IT prostriedkov sa u nás príliš nepíše. Skúsme teda dať bokom emócie a pozrieť sa trochu racionálne na otázky typu „prečo kvôli jednému vinníkovi zhabali toľko serverov“ či „prečo vôbec museli tie servery odniesť, keď to mohli skopírovať priamo na mieste“ a podobne.
Žurnalisti z BBC pripravili malý test IT bezpečnosti britskej Dolnej snemovne ... v jeho rámci požiadali vybranú poslankyňu aby ponechala svoj počítač na 60 sekúnd bez dozoru. Páchateľovi, ktorý na jej počítači ukážkovo nainštaloval tzv. keylogger (program, ktorý zaznamenáva všetko, čo používateľ „ťukne“ na klávesnici), stačilo oveľa menej času ... a žurnalisti to ešte vyšperkovali tým, že
Informácii, že sa na Slovensku pripravuje „Národná stratégia pre informačnú bezpečnosť“, asi väčšina ľudí nevenuje pozornosť – koniec koncov, jej návrh by mal byť predložený na (medzirezortné) pripomienkovanie až v marci 2007. Čo-to o nej si možno prečítať v mesačníku Parlamentný kuriér, ktorý na túto tému uverejnil článok riaditeľa odboru pre informačnú bezpečnosť a štandardy sekcie informatizácie spoločnosti na MDPT. Posledný odstavec tohto článku ma naozaj zaujal – autor v ňom totiž tvrdí, že
"Súrne potrebujem kontakt na hackera, pre ktorého mám jednorazovú dobre platenú prácu." Takto nejako bola formulovaná žiadosť, ktorú dostali špecialisti na bezpečnosť
niektorí ľudia prídu s pozoruhodnými nápadmi. Napríklad policajný šéf Dillinghamu, podľa ktorého by teroristi mohli chcieť preniknúť do USA práve cez toto rybárske mestečko s ani nie dvaapoltisíckou obyvateľov v zapadnutom kúte Aljašky, a preto považoval za potrebné nainštalovať v jeho uliciach 80 kamier (pozri Súvisiace články). Mohli by sme nad tým mávnuť rukou, veď „v Amerike je všetko možné“ ... skúsenosti s našimi politikmi a ich sklonmi podobne prichádzať s jednoduchými riešeniami zložitých problémov však nabádajú na opatrnosť.
Stretávam sa s tým často – keď sa rieši bezpečnosť informačného systému, pozornosť sa zameriava predovšetkým proti úmyselným útokom „zvonku“. O možnosti, že by škody mohol spôsobiť aj niekto „zvnútra“ (organizácie) sa príliš nehovorí. Dá sa teoretizovať, prečo to tak je – či preto, že sa ľudia akosi zdráhajú pripustiť možnosť výskytu čiernej ovce medzi sebou, alebo
Každý, kto čo len trochu sleduje čo sa deje v oblasti informačnej bezpečnosti vo svete, si pred pár rokmi nemohol nevšimnúť skokový nárast počtu bezpečnostných incidentov v USA. Zdá sa, že niečo podobné čaká čoskoro aj nás...
Asi každý sa s tým stretol – pod pláštikom „bezpečnosti“ sú od nás vyžadované zbytočné, hlúpe, nezmyselné opatrenia, postupy, údaje a podobne. Na letiskách, pri vstupe do budov, pri práci s informačnými systémami... Čo tak namiesto rozčuľovania to vziať športovo a svojím trápiteľom to oplatiť?
Nie, nejde o jeho plat ... otázka je o tom, akú hodnotu pre organizáciu predstavuje správca jej systému a obávam sa, ze jeho plat to dosť dobre nevyjadruje...
Čo je vlastne samozrejmé? Hlúpa otázka, ja viem, veď odpoveď na ňu je tak zrejmá... pravda, ak vaše myšlienkové pochody sú približne rovnaké ako moje ... ale ľudia bežne predpokladajú že to, čo je pre nich „samozrejmé“, je samozrejme aj pre druhých. O samozrejmostiach sa teda vlastne ani príliš nehovorí, nevenuje sa im žiadna špeciálna pozornosť, veď načo strácať čas na niečo, čo je aj tak „každému zrejmé“. Aj pri riešení bezpečnosti sa často tomu, čo sa zdá byť „úplne samozrejmé“ vlastne nikto ani poriadne nevenuje...
Prieskum medzi účastníkmi významnej konferencie o bezpečnosti v USA ukázal, že zamestnanci vedia využívať IT systémy svojho zamestnávateľa naozaj inovatívnymi spôsobmi, aj keď spravidla v svoj prospech.
