Кому нужна защита персональных данных

Кому нужна защита персональных данных

Коллеги,
разрешите представить Вашему вниманию наше исследование заинтересованности крупных компаний в защите персональных данных их клиентов:
http://by.ly/a98qcz2

2 months ago

You, Alexey Yanko like this

23 comments

Vladimir Bezmaly Данная статья будет в ближайшее время опубликована на www.securitylab.ru согласно пожелания Глеба. Я вчера говорил с редактором данного издания. К публикации одобрено.

Dmytro Petrashchuk Для меня смысл статьи остался загадкой.
Авторы эмулируют кражу идентификационных данных и пытаются обнаружить механизмы реагирования на такую кражу в компаниях-распорядителях. В большинстве случаев у них ничего с этим не получается, так как распорядителям откровенно плевать на подобные инциденты.
Далее авторы говорят, что мол компания А плохо заботится о защите персональных данных и дают ей дельные советы по поводу того, что она должна делать.
При этом все это выглядит так, как будто самим авторам наплевать, услышит ли их кто-то и насколько реально персональные данные в этих компаниях защищены.

Ну и совсем непонятно какое отношение к данной работе имеет украинский закон о персональных данных.

В общем, мне не понравилось...

Kostiantyn Korsun Для того, чтобы оценить проведенное исследование нужно иметь некоторое представление о том, насколько важна эта тема в "информационно-развитых" странах. Под общим тезисом "персональные данные" может быть информация, разглашение или противоправное использование которой может привести в финансовым потерям клиента, а следовательно и компании-эмитента, например, банка. Именно поэтому в качестве одной из опаснейших угроз рассматриваются ботнеты, оборот истинных владельцев которых может исчисляться миллионами. И не гривен. Поэтому значение исследования трудно переоценить, тем более выложенное для общего доступа. Подобные исследования вобще редкость, а уж тем более на русском языке. Если кто-то видел что-либо подобное - буду признателен за ссылку.

Volodymyr Styran Коллеги, простите, не сдержался. Материал крупный, люди трудились, но позвольте немного покритиковать.

Материал не структурирован и напоминает изложение несомненно полезных знаний, отношение которых к теме работы мне обнаружить не удалось. Например, из шести перечисленных типов информации на "персональную" тянет только последняя категория. При этом некоторые немаловажные типы данных, такие как записи истории болезни, кредитная история и т.д, оставлены без внимания. Но это ничего, потому что перечисленные в начале статьи типы данных все равно далее по ходу изложения не используются =)

Также, я бы не спешил называть это исследование аналитическим. Скорее, это эмпирический эксперимент, изучающий реакцию бизнеса на определенного рода обращения. Для аналитики данных маловато, выборка, так сказать, не полна.

В общем, как я уже написал выше, у меня сложилось мнение, что это попытка изложить набор довольно полезных данных в постороннем контексте. Наверное, просто поспешили.

Sergii Liulchenko Раз уж вынесли в обсуждения, я тоже прокомментирую.
Глеб, хорошая "поба пера"! Но я добавлю конструктивной критики: главный вопрос: на кого расчитана статья? Простому обывателю будет тяжело читать, т.к. что есть ботсети, например, все же лучше рассказать кратко и доходчиво первой строчкой блока, а не в середине и с "пугалками" типа "как страшно жить" (имхо, конечно). А вот заявленной группе "профессионалам в области защиты информации и обеспечения безопасности персональных данных" всякие пояснялки типа "сайты порно - группа повышенного риска" вроде как и так известны. В общем работа интересна, но с точки зрения написания статьи, имхо стоит пересмотреть подачу материала - или больше воды для любопытствующих или посуше для профи.
ЗЫ до конца не дочитал - может потом.

Kostiantyn Korsun Совершенно согласен с Сергеем, если статья адресована профессионалам - нет нужды пояснять общеизвестные вещи, но давайте будем снисходительны, Глеб ведь не профессиональный журналист. Хотя не факт, что любой журналист хорошо пишет:-)

Vladimir Gninyuk Прочел, статью вчера утром, и вот второй день хожу в размышлениях, как бы так, что бы и инициативу похвалить, но и душей не покривить…

Наиболее разделяю сказанное в комментарии Volodymyr Styran.

Авторов призываю обьявить материал не законченным и доработать. В первую очередь обратить внимание на Выводы.

ИМХО, приведенных в статье данных недостаточно для того что бы занять определенную позицию в выводах, о том у кого хорошая политика безопасности, у кого плохая. Не хватает деталей раскрывающих суть методики эксперимента, а главное целей.

Ваше исследование, показало, что в одних случаях, предоставленная информация, была зарегистрирована как инцидент ИБ требующее реакции, в других случая, это было просто регистрация инцидента/события, а в третьих она даже не была квалифицирована как событие. Так ведь это нормально!!! Так как так область действия (scope), а также модель и обработка рисков у всех разная.

Явная плюха авторов с критикой Visa. Во многом ее политика обработки указанного инцидента широко известна многие десятилетия.

Ребята, вы молодцы, но с выводами торопиться не нужно. Уделите больше внимания конкретизации поставленной задаче и как собирались ее достичь...

Vladimir Gninyuk Сергею и Константину, я далек от журналистики, но считаю, что здесь нельзя просто «долить воды и выплеснуть на обывателя», так как грозит ребятам так «желтизной» испачкаться, что потом долго отмываться придется.

Vladimir Bezmaly Прочел и статью и комментарии к ней. На самом деле, статья далека от идеала. НО! Где вы видели идеальные статьи?
И второе. Господа-читатели, вам не кажется, что критиковать намного проще чем писать? Прежде чем накидываться с критикой, хотел бы спросить, а у вас много опубликованных статей? Насколько я понимаю, у Глеба это первый опыт подобного рода или один из первых. И потому хочу просто сказать ему спасибо за то что решился писать и пожелать удачи в этом нелегком труде. О том что труд нелегкий - я знаю хорошо! Удачи вам в написании статей!

Volodymyr Styran Давайте не будем отвлекаться от темы. Мы не писателей критикуем, а содержимое.

Качественная критика полезна вне зависимости от того, кто и по каким соображениям ее высказывает. Естественно, ее качество нужно очень тщательно оценивать на входе. "Критикуя -- предлагай" -- слоган для тех, кто не умеет воспринимать критику.

Sergii Liulchenko 2 Vladimir Gninyuk: я имел в виду, что статья как-то некрасиво балансирует над целевой аудиторией. Специалистам, приведенная информация не сильно поможет в жизни, имхо. Разве перенять "передовой опыт гугля", например. А читать ее будет много людей, в том числе и не спецов. Вот для них и неплохо было бы разъяснить используемые понятия. Мое "Долить воды для любопытствующих" и Ваше "долить воды и выплеснуть на обывателя" - не одно и то же :)

Vladimir Gninyuk :-) Принимается.
Я к тому, что в безопасности, стоимость формулировок, очень высока. Те кто пришел в эту область из ИТ (по себе сужу), иногда допускают себе вольности (я сейчас не о авторах статьи говорю). А теперь представьте себе вольности «из рук» или «из уст» (главное, что «из головы») других безопасников: армии, пожарников, юристов, врачей и т.п.
Поэтому, я против «долива» я за «новую редакцию», с учетом Ваших замечаний. В статье действительно присутствует парадокс требующий разрешения: или «для умных», или «для красивых».

Kostiantyn Korsun Коллеги, ИМХО мало кто высказался по сути исследования, все больше по форме изложения, хотя с большинством замечаний скорее соглашусь.
Кстати, а откуда еще приходят в ИТ-безопасность? Я думал, или из ИТ или из безопасности:-))

Dmytro Petrashchuk еще из института :) Есть такая специальность. В частности в КПИ (это я не про себя)

Volodymyr Ilibman To Vladimir Gninyuk: если статья предназначена для публикации на securitylaba.ru, то статья должна быть рассчитана на умных. Хотя на в последнее время качество подачи материалов на секлабе значительно ухудшилось .

Авторам: На сайте US Homeland security есть рекомендации к вендорам и владельцам сайтов об организации механизма уведомления про уязвимости и инциденты . Может это поможет вам дописать и отредактировать статью
http://www.dhs.gov/xlibrary/assets/vdwgreport.pdf
http://www.securitylab.ru/contest/302888.php?page=user&id=11139

А еще провокационный вопрос. А вы получили разрешение уважаемых вендоров на публикацию конфиденциальной переписки с группой поддержки и реагирования на инциденты? Очень многие компании снабжают исходящие письма примечанием типа -

The information contained in this communication is intended solely for the use of the individual or entity to whom it is addressed and others authorized to receive it.

Kostiantyn Korsun По поводу "провокационного вопроса". Провокации как таковой нет - если в письме нет специального запрета (легитимного в Украине, кстати), то разрешено все, что не запрещено. Принципы Римского права. А в нашей стране электронные письма вобще не признаются как аргумент. Так что даже если бы такие примечания и были бы (о чем уважаемый автор статьи не преминул бы сообщить нам, читателям:-)), то какую-либо силу они имели бы "на той стороне".

Volodymyr Styran А почему вдруг речь сразу зашла о "запретах" и праве? Существуют некоторые общепринятые этические нормы. На мой взгляд, приватность переписки имеет право быть вне зависимости от особенностей той или иной юрисдикции.

Kostiantyn Korsun "Volodymyr Styran • А почему вдруг речь сразу зашла о "запретах" и праве? "
Потому что тему поднял уважаемый коллега Volodymyr Ilibman с вопросом о разрешении вендоров на публикацию переписки.
Насчет приватности переписки и этических норм согласен абсолютно, но не в этом случае. Этот случай я бы сравнил с фотографированием бестолковой работы пожарной команды, которую Вы же и вызвали, увидев пожар. Может быть сравнение не на 100% корректное, но отражает суть этической дилеммы - публиковать или нет. А этические нормы у каждого свои и четкую границу провести трудно. ИМХО. :-/

Volodymyr Ilibman к слову , я не совсем понял откуда уважаемые авторы взяли персональные данные . Купили что ли ? :)))

Kostiantyn Korsun вооооот, наконец-то вопрос, которого я ждал с самого начала обсуждения :-)))

Gleb Paharenko Коллеги,

благодарю всех за комментарии, особенно Володю и Костю. Проделав работу, мы осознали, что в Украине исследования безопасности не зрелы: исследователи разобщены, у нас много неясных правовых моментов. Для меня было важно побывать в "шкуре" исследователя, выяснить то, как проходит процесс исследования. Вялая позиция компаний по поводу безопасности персональных данных, отражает тот факт, что конечные пользователи очень слабо беспокоятся о защите своих данных. Конечно же, мы работали на результат и надеемся, что больше Украинских компаний введут отдельный канал для уведомлений о проблемах безопасности :)

Dmitry Ozirniy статья интересная и для меня познавательная, спасибо. Нераскрытие всех деталей исследования не ухудшает её качество, на мой взгляд.

2 months ago
Comments