Не однократно в разных контекстах в моей жизни возникали дискуссии по поводу защиты данных, в которых я активно пытался доказать что приоритетом в вопросах защиты должна быть не техническая, а административная сторона. Защититься от утечек и взломов в условиях современной нашпигованности среды электроникой пракически невозможно. По сути сотни тысяч "тугриков", бросаемых на программные и аппаратные средства защиты и шифрования, бросаются в помойную яму, если не реализована продуманная и не бесплатная программа подготовки персонала, не приняты меры к устрашению или иной мотивации людей имеющих доступ к точкам возможных утечек, отсутствует система непосредственного, визуально-аудиального контроля за персоналом, все усилия и затраты на специальное, очень не дешевое, ПО и железо, будут напрасными, хотя до какой то степени снизят риски, но защиты не обеспечат все равно. Человек, сотрудник, всегда будет слабым, слабейшим звеном в этой схеме.
Мой тесть-плотник, по наследственному хобби, говорил когда то: "Тепло в доме зимой определяется самым тонким бревном". Дом можно поставить из бревен в "три обхвата", но стоит среди них втесаться одному тонкому и гнилому, и все деньги и усилия не ветер.
Темы работы с персоналом, противостояния социальной инженерии настолько не активна и не освещена, что просто диву даюсь. На этом можно и нужно зарабатывать деньги, не многим меньшие чем на внедрении программно-аппаратных комплексов защиты. Но в реальности широкой информации об этом нет. Будто бы этим никто и не занимается. Иногда кажется что ситуация сродни прецеденту с лазейками в ПО "Майкрософт", оставленными для спецслужб. Ведь хорошо подготовленный агент спец служб всегда может получить любую информацию просто по телефону методами социальной инженерии.
Очередной случай с "взломом" аккаунта PayPal разработчика iOS-приложений Джастина Уильямса (Justin Williams) из Колорадо.
Кибермошенник обманул AT&T с помощью старого трюка
Прежде чем добиться желаемого, злоумышленник несколько раз звонил в AT&T и под видом Уильямса просил привязать его учетную запись к другой «симке». Сотрудники техподдержки AT&T не могут осуществлять подобные действия, если обратившийся к ним клиент не предоставит соответствующий код безопасности. Тем не менее, один из сотрудников «сжалился» над псевдо-Уилямсом и в нарушение протокола привязал телефон к новой SIM-карте. В результате все SMS-сообщения разработчика стали приходить на телефон мошенника.
С помощью двухфакторной аутентификации злоумышленник изменил пароль Уильямса в PayPal (в качестве аутентификации сервис просит ввести отправленный на телефон код безопасности) и получил полный контроль над учетной записью. Ни перезагрузка телефона, ни изменение настроек сети не помогли. Поначалу разработчик думал, будто проблема в установленной на его iPad операционной системе iOS 11. Однако, когда мошенник начал переводить его деньги на свои счета, Уильямс понял, что произошло.
.png)
Дело говорите :-)