Перейти к содержанию
Вадим Волков

Информационная безопасность в МТС — враг не пройдет

Recommended Posts

Вадим Волков

http://mrmurtazin.com/2013/01/22/informaci...-o-moshennikax/

"Так получилось, что с устройством того, как работает служба безопасности МТС мне пришлось познакомиться несколько раз на практике. Более того, среди российских операторов, работа МТС в этом аспекте мне известна лучше, чем кого-либо. Вдаваться в особые подробности я не буду, расскажу только то, что известно широкому кругу людей.

Во-первых, рабочие компьютеры и ноутбуки имеют заблокированные носители информации, что-либо скопировать вовне физически невозможно. Это правило относится почти ко всем сотрудникам недостигшим определенного уровня. В теории это позволяет избегать утечек информации, но только на низовом уровне. Идем на ступеньку выше и натыкаемся на то, что многие используют не только флешки, но и большие диски для копирования информации и беспрепятственного выноса ее из офиса. Но это полбеды, так как люди, как правило, адекватны и не сливают информацию конкурентам.

Беда наступает в момент, когда обычные сотрудники осознают, что корпоративная система не позволяет быстро обмениваться сообщениями, письма уходят, но появляются не моментально в ящиках. Это следствие самой системы и ее особенность. Она не устраивает многих и поэтому для обмена служебными сообщениями часто используется Gmail или mail.ru (основные утечки информации, включая бюджет компании и тому подобные ценные документы, происходили именно с мейл.ру). Что интересно, я зачастую не мог понять, это головотяпство человека, который через мейл отправляет такие конфиденциальные документы или он просто так сливает их на сторону, давая пароль от ящика третьим лицам.

Факт остается фактом, большинство сотрудников МТС часто использует стороннюю почту для того, чтобы заниматься служебными делами. В утекшей частной переписке примерно треть писем бывшего топ-менеджера это рабочие вопросы МТС, которыми он делится людьми вне компании. Это прямое нарушение договора с МТС и разглашение сведений третьим лицам. Но ставлю на то, что никакого ата-та ему от МТС не будет. Так как подобным занимаются все поголовно. И если сделать ата-та этому конкретному сотруднику, то наружу выползет столько всего, что мало не покажется никому.

Но по факту можно сказать следующее — информационная безопасность в компании как была величиной мнимой, так ей и осталась. На словах все прекрасно, на деле пустота, которую с легкостью обходят не самые умные люди."

В блоге также приводится переписка службы безопасности МТС с партнёром по медиа-контенту, в которой представитель агрегатора пытается оправдать размещение программы отсылающей SMS-ки на платные номера, что "Касперский признал, что не обладает достаточным опытом в работе с мобильным трафиком, в отличие от web" и это программа якобы не является трояном.

Что за DLP у них такая, если из-за неё сотрудники пользуются внешней почтой и почему это разрешается? Действительно всё так плохо с безопасностью в МТС или история несколько раздута?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
То, что Лаборатория Касперского считает данное программное обеспечение вирусом, это вопрос их классификации. Отнесение данного ПО к вирусам и троянам спорно.

Данная точка зрения Лаборатории Касперского нам известна. Аналогичный вопрос возникал в ОАО «Вымпелком». Мы не однократно проводили трехсторонние встречи со специалистами Службы безопасности Вымпелком и представителями Лаборатории, в результате совместных встреч мы пришли к пониманию того, что:

1. Лаборатория Касперского признала, что мобильный и web трафик имеют большую разницу в алгоритмах определения вирусов.

2. Касперский признал, что не обладает достаточным опытом в работе с мобильным трафиком, в отличие от web.

3. На основе конкретных примеров ПО (в частности обсуждаемого в данной переписке) мы пришли к выводу, что вирусом оно не является.

Принимая во внимание сказанное выше, я убедительно прошу Вас не устанавливать АоС на номера представленные сегодня. Я предлагаю провести встречу, возможно с привлечением специалистов Лаборатории Касперского и по ее результатам принять комплексное решение по данному вопросу.

А. Никитин

Генеральный директор ООО «ИнкорМедиа»

LOL, кто из ЛК с ними встречался? Viktor?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Из области "%vendorname% изнутри"

1. http://mrmurtazin.com/2013/01/22/informaci...-o-moshennikax/

2. http://sporaw.livejournal.com/147332.html

3. http://korolev.livejournal.com/1429121.html

Мысли, соображения? Помнится, ЛК когда-то проводила конференцию с участием представителей операторов мобильной связи по части противодействия смс-мошенничеству и прочим винлокам...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Мысли, соображения?

Старо как мир, классика капитализма :rolleyes:

"Обеспечте капиталу 10% прибыли, и капитал согласен на всякое применение, при 20% он становится оживленным, при 50% положительно готов сломать себе голову, при 100% он попирает все человеческие законы, при 300% нет такого преступления, на которое он не рискнул бы пойти, хотябы под страхом виселицы"

Карл Маркс "Капитал"

В данных случаях МТС не то что виселица, но и штраф не угрожает :lol:

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond

Не думаю, что только МТС такой-сякой, а остальные такие пушистые и хорошенькие.

Вот почему некоторые пользователи "требуют" большего от AV вендоров - проявить немного смекалки, защищая своих пользователей от своих же провайдеров и их мошеннических творений...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Нужны уголовные дела и посадки. Пока никого не трогают, то операторы будут лояльны к любым партнерам, лишь бы они генерали смс-траф.

Меня, конечно убила фраза:

2. С заблокированных префиксах на этих номерах блокировку не убираем, поскольку ещё остаются заражённые устройства прошлыми вирусами, и после разблокировки префиксов они будут досылать смс-сообщения на них

:facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dav

Я вот не пойму что столько шума из какой-то переписки. Теперь ИБ в МТС есть хотя бы шанс аргументировать затраты на ИБ и может быть в МТС задумаются об эффективности и достаточности принятых мер по защите внутренней информации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вадим Волков
Я вот не пойму что столько шума из какой-то переписки. Теперь ИБ в МТС есть хотя бы шанс аргументировать затраты на ИБ и может быть в МТС задумаются об эффективности и достаточности принятых мер по защите внутренней информации.

А раньше не могли аргументировать?

По информации отсюда http://www.itsec.ru/articles2/dlp/mts-vybi...da-predpriyatie

у них используется DLP "Гарда Предприятие"("МФИ Софт").

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вадим Волков, там раньше еще и другие DLP использовались. Но видимо проблемы с внедрениями и политиками.

Вообще DLP тут не при чем. Кто может помешать сотруднику использовать gmail для своих нужд? С айфона если надо открыл и написал письмо. Так что ограничить нереально. Это раз

Потом в переписке ничего конфиденциального нет. Там "рабочая переписка", которая не будет палиться DLP. В ней не фигурируют куски секретных документов, нет ПДн грифов "Секретно", "Коммерческая тайна" и т.п. Что формально нарушил сотрудник МТС с точки зрения DLP? Ничего. Это два.

Тут скорее недоработка офицера ИБ, который должен был хотя бы иногда смотреть архив трафика и ручками делать выборки из него на злободневные темы (пост-анализ) типа медиа-контента, откатов и другого личного интереса. Ну или если не хочется ручками, то настроить соответствующие правила автоматического поиска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dav
А раньше не могли аргументировать?

По информации отсюда http://www.itsec.ru/articles2/dlp/mts-vybi...da-predpriyatie

у них используется DLP "Гарда Предприятие"("МФИ Софт").

Если Вы читали там говорится про МР ЮГ -- это ни о чем Вам не говорит. В МТС несколько МР. Большая компания -- большие трудности в реализации проектов.

Вы верите в системы и процессы ИБ, которые могут решить все вопросы по утечке информации? DLP не панацея, а костыль, как все технические средства ИБ. Единственный вариант подождать 20 лет когда изменится менталитет людей в отношение электрической информации.

disclaimer: я не имею никакого отношения к компании МТС. В холивары вступать не собираюсь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×