Alexander Speshilov (speshuric) wrote,
Alexander Speshilov
speshuric

Информационная безопасность в Сбере

Я тут приболел слегка и поэтому у меня есть время на всякие глупые посты. Например про информационную безопасность. Я, может быть кажется, немного параноик, но у меня есть чёткое ощущение, что информационной безопасности уже не существует. И уже, похоже не будет существовать - опоздали лет на 15-20. А понимание ценности информации придёт (опять таки - у нас в стране) лет через 5, наверное. На все тыканья пальцем в откровенные дыры многие разработчики ПО просто отмахиваются до сих пор ("Да кто ж нас ломать-то будет"), только крупнейшие начали оперативно и системно реагировать. К счастью MS и 1С - с которыми я сталкиваюсь чаще остальных относятся с каждым годом всё серьёзнее.
Это я всё к чему? Да вот пошёл госпошлину в Сбербанк заплатить. А Сбербанк надо сказать из совкового быдлобанка семимильными шагами движется в светлое будущее. У них и ставки по кредитам минимальные и доступность филиалов/банкоматов в разы ваше ближайших конкурентов, интернет-обслуживание развивают, сотрудники стали опрятными и приятными в общении. В общем - прогрессивный банк. В том отделении, куда я зашёл - куча терминалов самообслуживания, банкоматов, электронная очередь, кофейный автомат, чисто, светло, реклама по телевизору - в общем, всё очень пристойно (несмотря на плотный поток посетителей). Стоит в энтом отделении "информационный киоск" или ХЗ как он там называется, в общем комп с сенсорным экраном, без клавиатуры с открытым в полноэкранном режиме браузера сайтом банка. Ну. Я посмотрел на экран секунды две, потом подумал "Ой, а что будет если нажать на ссылку, которая ведёт к PDF файлам?". Нажал. Привет, меню "Пуск" ОС Windows XP! Дальше лезть было лень, но меню "Стандартные" там вполне было. Наверное и экранная клавиатура была.
Вот тут большинство скажет - подумаешь, меню пуск нашёл, что ж тут страшного? Страшное здесь следующее:
1. Это была тупо первая, примитивная, простейшая идея "А что если...". И уже на ней прокол.
2. Это комп, подключенный к Интернету, физически находящийся в банке, оснащённый видеокамерой.
3. Я точно знаю, что еще несколько лет назад CTRL-F3 в Citrix в Сбере отключен не был. CTRL-F3 в Citrix - аналог CTRL-SHIFT-ESC.
4. Это Сбербанк. С огромными бюджетами, ненаплевательским (относительно) отношением к безопасности, огромным количеством сотрудников и клиентов. В мелких банках всё хуже.

Да, конечно, я не идиот и понимаю, что будучи в Сбере я засветился на всех видеокамерах, но это только потому что я от них и не скрывал лицо. Да, я надеюсь что хотя бы пользователь этого компьютера не Администратор. Но всё же это серьёзная дыра. Тем более исправить её легко чуть-чуть изменив настройки браузера.

Существующая инфорамцонная безопасность держится, похоже, ровно на том, что "не особо то и ломают". И если США говоря про викиликс упоминают 11 сентября, то у них еще есть шанс организовать хоть какую-то информационную безопасность, а у нас еще нет даже намёков на понимание серьёзности проблемы.
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 9 comments