среда, 25 мая 2011 г.

Социальная инженерия


Некоторое время назад мы с вами, дорогие читатели, наблюдали за тем, как обстоят дела с защитой персональных данных маленьких пациентов в одной из череповецких детских поликлиник, как Роскомнадзор пытается навести порядок и что из этого в конце концов вышло. В преддверии всемирного Дня защиты детей, ежегодно и повсеместно отмечаемого 1 июня, ваш покорный слуга (как говорится, по совету друзей) прогулялся сегодня до этой же поликлиники, с целью поглядеть, как организован процесс выдачи медицинских карт детишек на руки родителям. Хотел свой поход заснять на видео но, как назло, забыл зарядить с вечера смартфон, и он ожидаемо помер в такой неподходящий момент. По сему, увы, повествование мое будет исключительно устным, но не менее интересным.

Украв накануне вечером у незнакомого человека медицинский полис его ребенка (вы, конечно, поняли, что на самом деле я просто воспользовался полисом ребенка, любезно предоставленным небезразличным родителем, но для сюжета пусть будет именно так), майским солнечным утром я уверенно шагнул на порог детской поликлиники. Торгаши дешевыми китайскими игрушками и полурастаявшими сладостями, делающие деньги на стремлении родителей компенсировать детям тяжесть похода в поликлинику, только начали открывать свои лавки. В коридоре сидела стайка молодых мамочек с грудничками - очевидно, их чадам настало время сдать очередные анализы.

Пройдя по коридору до регистратуры, где, как всегда, толпилась очередь бабушек и дедушек, вставших с утра пораньше за талонами к специалистам для своих внуков, я занял позицию слева от окна регистратора и принялся делать вид, что изучаю какие-то документы. На самом деле, краем глаза я наблюдал, как организован процесс выдачи медицинских карт. Ждать пришлось недолго: через 5-6 минут молодая женщина сунула голову в окно и попросила выдать карту ее дочки. Я насторожился: что скажет регистратор? Сквозь окно послышалась просьба дать полис ребенка, и мама, немного покопавшись в своем бауле, явила регистратору сей важный документ. Та, в свою очередь, спросила номер участка, адрес проживания, записала это на бумажку, встала и ушла с ним куда-то. "Наверное, искать карточку" - подумал я, и не ошибся: через несколько минут карточка и полис были вручены посетительнице.

"Стоп" - подумал я, "и все? А как же отметка в журнале о выдаче медицинской карты, а как же Ф.И.О. и роспись получившего? И вообще - на каком основании была выдана карта - только по полису? А если этот полис украден? Почему не проверен паспорт родителя или какие-то другие основания для выдачи карты на руки?" Ничего этого не было и в помине. Следующие два посетителя, просившие карты, получили их точно таким же способом - и без какой-либо регистрации. Я отошел от регистратуры и стал ждать. Минут через 20 народ подрассосался, и у регистратуры стало спокойно.

Я достал "украденный" полис, прочитал Ф.И.О. ребенка (адрес проживания и номер участка я знал), и решил импровизировать. Изобразив бешеные глаза и растерянную добрую улыбку, я подбежал к регистратуре и, извиняясь и улыбаясь, залепетал: "здравствуйте, девушка, будьте добры, можно карточку получить, а то мама с ребенком и полисом уже в кабинете у врача, срочно меня отправили... так зовут, такой участок.. да-да, такой адрес...." Пару минут ожиданий, и медицинская карта ребенка у вора на руках. "Расписаться в получении нигде не надо?" - поинтересовался я. "Не надо, карточку у врача оставите" - последовал ответ...

Вот и все. Я, совершенно посторонний человек, БЕЗ ПОЛИСА, без вообще каких-либо документов, стал обладателем увесистой медицинской карты, которую через некоторое время вернул в регистратуру. Доброжелательно улыбаясь, сказал свое мнение о процессе выдачи, на что в глазах из пуленепробиваемого стекла увидел ответ "а не пошел бы ты ... к заведующей".

Спросите, зачем кому-то может понадобиться медицинская карта ребенка? Ответ прост - ведь в ней вся история развития ребенка: прививки, болезни, анализы... Бесценный кладезь информации для медиков, родителей и пациента, и потому самый элементарный вариант - украсть и продать родителям. Другой вариант - тупо навредить, уничтожив ее. Можно еще придумать пару-тройку неприятных последствий кражи этих данных. И к сожалению, до всего этого никому нет совершенно никакого дела - ни регистратуре, ни заведующей, ни Роскомнадзору. А ведь дети - это наше с вами будущее...

С наступающим летом и Днем защиты детей вас, дорогие читатели!

пятница, 20 мая 2011 г.

Провинциальный блогспоттинг


Если бы мне полтора года назад кто-нибудь сказал, что еще немного, и я стану блоггером - я бы не поверил: куча дел, совершенная нехватка времени, да и потом - к чему это баловство? Однако коснувшись темы персональных данных, я понял, что без блогов, форумов и тематических сайтов здесь не разобраться - настолько плотную паутину сплели наши законодатели и регуляторы. Тем не менее, именно эта тема сподвигла к объединению профессионалов-одиночек в различные "клубы", "ассоциации" и прочие "кружки по интересам", и поскольку жажда давать знания у вашего покорного слуги столь же велика, сколь и получать их, все как-то само собой получилось: сначала выступления на конференциях, потом - статьи, а потом...

Потом мы что называется "списались" с Евгением Царевым, и именно его блог сподвиг меня завести свой. Да, дорогие читатели, это знаменательное для меня событие случилось именно 20 мая прошлого года - тогда я опубликовал свой первый в жизни пост на собственном блоге.

Поначалу было страшновато - вдруг народ скажет, что я пощу "фигню", вдруг никоме не понравится... И немного "стремно" - я же не супер-пупер-профессионал, ни мегаконсультант - практически никому не известная личность: вдруг вообще никто читать не станет? Поэтому я старался (и всегда стараюсь) найти свой собственный стиль, почерк и тематику - главное, чтобы читателям было интересно. Судя по статистике, я не ошибся :)

Спасибо всем, кто постоянно читает и комментирует посты, спасибо всем, кто "захаживает в гости" иногда, редко, очень редко и даже тем, кто попадает сюда по ошибке. Отдельное спасибо моим коллегам - А.Лукацкому, Е.Цареву, А.Токаренко, А.Бондаренко и всем-всем-всем, кто перечислен слева в разделе "Стоит почитать": читая вас и работая с вами, понимаешь, что многое еще предстоит понять.

Что ж, в день рождения принято дарить подарки. Для меня, как провинциального автора провинциального блога, самый лучший подарок Вы, уважаемые читатели, уже сделали: беленькие цифры на счетчике посещений :) Поэтому сегодня мой черед дарить Вам подарок - и (тадаааам!) - это наша с Александром Бондаренко статья "Оценка рисков и защита персональных данных" (да простит меня редакция журнала "Персональные данные" в этот знаменательный день...).

Ну а я постараюсь и дальше "блогспоттить" в том же духе - для Вас, дорогие читатели :)

понедельник, 16 мая 2011 г.

Два капитана и лицензионный уполномоченный


Все-таки не перестаю я удивляться находчивости и изобретательности наших с вами сограждан, дорогие читатели, на пути к личностному обогащению. Примеров этому просто масса - и тот, о котором пойдет речь, хоть из их числа, но относится к интересующей нас тематике, а потому -достоен опубликования. Итак, давайте представим себе следующую картинку: областная столица, четырехэтажный бизнес-центр, прекрасное майское солнечное утро, середина недели...

Утро в офисе областного отделения крупной торгово-закупочной организации началось как обычно - директор по привычке пришел раньше всех, потом начали подтягиваться сотрудники. Стандартная оперативка,  разбор полетов, обзвон поставщиков, клиенты, договоры... Ближе к обеду девушка, сидевшая на ресепшене у входной двери, решила сделать паузу и принялась рыться в своей сумочке в поисках Твикса, как вдруг дверь в офис отворилась и из нее повеяло холодом. Подняв глаза, девушка настороженно замерла: ее ясному взору предстали два сотрудника милиции в полицейской форме. "Здравствуйте!" - сказал один из них, - "Я капитан Г..., это - капитан Б... Как пройти к директору?"

Директор - бывший военный, человек немолодой и очень опытный, в это время гостей не ждал: торговля шла полным ходом, надо было решать массу вопросов и уже выезжать на деловую встречу. Поэтому слегка расстроился, увидев перед собой двух капитанов: но делать уже было нечего. "Присаживайтесь, господа. Чай, кофе? Чем обязан?" - поприветствовал он милиционеров, один из которых уже залез в свою папку и принялся рыться там в поисках какого-то документа. Наконец, документ был извлечен на свет Божий, и выглядел он следующим образом:


"Мы к вам, директор, и вот по какому вопросу... Проверку у вас проводим, по факту, так сказать..." - сообщил капитан Г. Первое, что захотелось сделать директору - свернуть этот документ в трубочку, засунуть его капитану Б. в папку обратно и отправить гостей восвояси за постановлением, согласованным с прокуратурой. Но он был очень мудрый человек, а потому делать этого не стал, лишь попросил взглянуть на копию доверенности очень осведомленного, но незримого жалобщика - лицензионного уполномоченного компании "1С" по фамилии Л. Капитан Б еще немного порылся в папке, и извлек и ее:


"Хм..." - сказал директор - "а Вы видели, что срок действия доверенности - до 30.04.2011 года, а жалоба майская?" Капитаны, не ожидая от директора такой прыти, слегка замялись, но продолжили: "покажите, какое ПО установлено!" "Без проблем" - ответил директор - "вообще-то в компании 100% лицензионная чистота, и продуктов 1С мы не используем, но раз уж пришли - проверяйте!" С этими словами он попросил секретаря принести копию приказа об утверждении разрешенного перечня ПО в компании и копии всех договоров и лицензий.

"Нам это не надо!" - заявил капитан Г., держа в руках флешку - "мы сейчас сами все обнаружим, что там у вас стоит". С этими словами он подошел к ближайшему системнику и ткнул носителем в USB-порт. "Что за черт - доступа нет почему?" - возмутился он через секунду. "Политикой безопасности все порты заблокированы" - сообщил подошедший сисадмин - "даже я разблокировать не могу - этим управляют из головного офиса".

Раздосадованные капитаны переглянулись и, недолго покумекав, изрекли: "тогда покажите нам лицензионные стикеры Windows на системниках!" Капитан Г., стоявший к одному из них ближе всего, сунул голову и увидел на его тыльной стороне вот что:



"Это что такое? Почему наклейка для Windows 7 а на ПК стоит XP? Почему не соответствует тому что в компе ххххх-ххххх-ххххх-ххххх-ххххх?" - возмутился он. "То что Вы говорите - не лицензионный номер, а серийный, на наклейке он не указан, а указан лицензионный" - сообщил сисадмин - "а наклейку эту можно использовать для легализации продуктов предыдущих версий - вот письмо Microsoft".

Лица у капитанов стали совсем не веселые - и вскоре стало понятно, почему. Поблагодарив директора за сотрудничество и уходя из офиса, капитан Г. сказал капитану Б.: "время потеряли - пойдем на второй этаж, нам еще много проверять". С этими словами капитан Б. извлек из своей папки целую пачку похожих жалоб. Два капитана еще долго бродили по деловому центру в поисках нелегального ПО фирмы "1С", ведь по информации лицензионного уполномоченного Л. оно было в офисе каждой фирмы, размещенной по этому адресу - надо было всех обойти и проверить. История умалчивает о том, нашли они что-то или нет.

Ну а директор, немолодой но очень мудрый, приехав с деловой встречи, позвонил в 1С и рассказал про просроченную доверенность и пачку жалоб, сформированных по адресной книге. Те выслушали, сообщили что лицензионный уполномоченный действительно существует и действует на легальных основаниях - доверенность ему была продлена, а с пачками жалоб обещали принять меры... Но директор им почему-то не поверил. Ведь он же бизнесмен, и прекрасно понимал, что бизнес у всех - разный...

пятница, 6 мая 2011 г.

С Днем Победы!


Вряд ли Вы, дорогие читатели, будете спорить с тем, что Великая Отечественная война коснулась каждого из нас - кого-то больше, кого-то меньше... Оба моих деда воевали: один - в пехоте, другой - в авиации. Один был контужен и рано помер, другой - дожил до глубокой старости, и в 80 лет запросто мог выпить стакан и рассказать юморные байки о серьезных вещах. Одна бабушка была успешно освобожденным узником концлагеря, другая - тружеником тыла. К огромному сожалению, сейчас уже никого нет в живых...

Но есть мы - дети, внуки, правнуки. И священный долг каждого из нас помнить о том, какой ценой досталась нам эта Победа. К сожалению, военно-патриотическому воспитанию подрастающего поколения в целом по России уделяется мало внимания. Однако есть и приятные исключения: будучи не так давно в Белгороде я был поражен тем, как много местная власть делает для того, чтобы фраза "никто не забыт, ничто не забыто" была не просто пустым и пафосным звуком.

Дорогие ветераны, с Праздником Великой Победы Вас!

Ну и для поднятия патриотического духа и создания пятничного настроения - хорошая песня человека с отличным чувством юмора - Семена Слепакова, которая так и называется...


вторник, 3 мая 2011 г.

Гомогенная броня


Не смотря на все увещевания властей относительно светлого и безоблачного инновационно-модернизированного будущего нашей страны, Россия, как это не прискорбно, продолжает терять позиции даже в "традиционных" для нее сферах - таких, как оборонная промышленность. Не так давно все СМИ обсуждали желание премьер-министра до 2020 года потратить на перевооружение армии почти 19 триллионов (!) рублей, при этом центральные телеканалы с гордостью сообщали зрителям об очередном успешном испытании ракеты "Синева", запущенной с российской атомной подлодки.

А вот командующий сухопутными войсками Александр Постников заявил, что качество продукции российских оборонных заводов не только уступает стандартам НАТО - но даже Китай уже впереди. Танк Т-90, по его словам, всего лишь "семнадцатая модификация Т-72", который Россия изготавливает с 1972 года. При этом генерал, недавно побывавший на переговорах в Берлине, похвалил немецкий танк "Леопард-II". Вместо того чтобы тратить примерно 4 млн евро на собственный Т-90, "проще купить на эти деньги три танка "Леопард", - считает он. Журналист из Der Spiegel, освещавший, очевидно, визит московского генерала, отметил, что три последние госпрограммы в области вооружения в России так и не были выполнены: из 116 заказанных боевых самолетов на вооружение было поставлено лишь 22, из 25 кораблей - лишь три.

Но не будем расстраиваться, а лучше, в преддверии праздника, помечтаем. Вот в недалеком будущем приходит в министерство обороны новенький "Леопард" или тот же "Мистраль". Боевая высокотехнологичная мощь последнего поколения, снизу доверху напичканная сверхсовременной импортной электроникой, предусмотренной проектом и "заточенной" под конкретный продукт. И как тут быть ФСТЭКу с их ПЭМИНом, "жуками" и программными закладками? ФСБ с их криптографией по ГОСТу? Дадут ли им схемы, коды и прошивки? Хватит ли им времени и средств на поиск и нейтрализацию угроз безопасности российского государства в импортном вооружении? И что будет, если чем-то электронные системы этого вооружения их не устроят - МО вернет его "взад" на весьма недешевую доработку, или "верните нам наши деньги"? Или по-старинке выпишут сертификат соответствия потому что "приказали"? А если так, тогда зачем вообще все это нужно?