Тру финансы

Росреестр взломали. На днях группа хакеров разместила сообщение, что им удалось похитить 1 ТБ данных из этой системы, которые включают в себя ФИО, паспортные данные, адреса и прочие ID. Были ли слиты данные в самом деле, или же это блеф хакеров, можно воспринять событие как отличный повод вспомнить крупную утечку в Equifax. Потому что она наглядно показывает, как работает модель воплощения критических рисков "Швейцарский сыр": когда авария, катастрофа или крупная утечка данных случаются именно тогда, когда есть несколько уровней барьеров, но все они где-то оказываются несостоятельны.

Equifax - бюро кредитных историй, входит в тройку самых крупных в США. И в 2017 году компания умудрилась проспать, как хакеры украли всю её базу клиентов. 280 миллионов кредитных историй физических лиц и почти 1 миллион - юридических. Как отражает отчёт Счётной палаты США "Actions Taken by Equifax and Federal Agencies in Response to the 2017 Breach", на пути к этой утечки не сработала целая серия барьеров:
🧨сперва стоит сказать о проблеме внутри самой системы, которой и воспользовались злоумышленники. О ней компания знала, программисты подготовили специальный патч ещё за 2 месяца до начала утечки. Но руководство откладывало его разворачивание, видимо, в их систему Agile не вписывался
🧨но до этой проблемы в системе злоумышленники могли ещё и не дойти. Одно из подразделений Национального управления кибербезопасности США за 2 дня до начала атаки направила в Equifax сведения об уязвимости на одном из порталов компании. Увы, но само бюро не обновляло список рассылки, потому письмо улетело совсем не тем, кто должен был заниматься этими вопросами
🧨Equifax, впрочем, заявляет, что уже после объявления сканировали свою систему на предмет уязвимости, но проверка ничего не выявила, возможно, в сканере тоже были дыры, возможно, его и не применяли, тут расследование истину не выявило
🧨впрочем, даже вторжение хакеров в систему могло быть своевременно замечено и остановлено: в Equifax существовала целая система по выявлению несанкционированных и нетипичных операций. Вот только всего один истёкший сертификат не позволил этой системе сработать должным образом и сообщить о вторжении службе безопасности: система даже выявила внешний несанкционированный трафик, но не смогла его проанализировать. На момент взлома сертификат не работал свыше полутора лет
🧨и тут в ход должны были пойти заложенные при формировании системы нормы безопасности. Но компания Equifax провалилась и тут. Она не разграничила доступ к информации с помощью разных доступов к данным даже на уровне логинов-паролей
🧨так ещё и при проектировании всей системы её базы данных не были изолированы друг от друга, потому хакеры смогли получить доступ ко всем данным сразу.

В общей сложности прямые финансовые потери компании Equifax с учётом всех выплат и штрафов превысили 1.4 миллиарда долларов. Почти 30% её годовой выручки и 3 годовых прибыли. Сколько стоило "накатить патч" или проверить сертификаты на актуальность?

www.group-telegram.com/id/truefinance.com/1482

2.0K viewsedited  Jan 9 at 09:10

Росреестр взломали. На днях группа хакеров разместила сообщение, что им удалось похитить 1 ТБ данных из этой системы, которые включают в себя ФИО, паспортные данные, адреса и прочие ID. Были ли слиты данные в самом деле, или же это блеф хакеров, можно воспринять событие как отличный повод вспомнить крупную утечку в Equifax. Потому что она наглядно показывает, как работает модель воплощения критических рисков "Швейцарский сыр": когда авария, катастрофа или крупная утечка данных случаются именно тогда, когда есть несколько уровней барьеров, но все они где-то оказываются несостоятельны.

Equifax - бюро кредитных историй, входит в тройку самых крупных в США. И в 2017 году компания умудрилась проспать, как хакеры украли всю её базу клиентов. 280 миллионов кредитных историй физических лиц и почти 1 миллион - юридических. Как отражает отчёт Счётной палаты США "Actions Taken by Equifax and Federal Agencies in Response to the 2017 Breach", на пути к этой утечки не сработала целая серия барьеров:
🧨сперва стоит сказать о проблеме внутри самой системы, которой и воспользовались злоумышленники. О ней компания знала, программисты подготовили специальный патч ещё за 2 месяца до начала утечки. Но руководство откладывало его разворачивание, видимо, в их систему Agile не вписывался
🧨но до этой проблемы в системе злоумышленники могли ещё и не дойти. Одно из подразделений Национального управления кибербезопасности США за 2 дня до начала атаки направила в Equifax сведения об уязвимости на одном из порталов компании. Увы, но само бюро не обновляло список рассылки, потому письмо улетело совсем не тем, кто должен был заниматься этими вопросами
🧨Equifax, впрочем, заявляет, что уже после объявления сканировали свою систему на предмет уязвимости, но проверка ничего не выявила, возможно, в сканере тоже были дыры, возможно, его и не применяли, тут расследование истину не выявило
🧨впрочем, даже вторжение хакеров в систему могло быть своевременно замечено и остановлено: в Equifax существовала целая система по выявлению несанкционированных и нетипичных операций. Вот только всего один истёкший сертификат не позволил этой системе сработать должным образом и сообщить о вторжении службе безопасности: система даже выявила внешний несанкционированный трафик, но не смогла его проанализировать. На момент взлома сертификат не работал свыше полутора лет
🧨и тут в ход должны были пойти заложенные при формировании системы нормы безопасности. Но компания Equifax провалилась и тут. Она не разграничила доступ к информации с помощью разных доступов к данным даже на уровне логинов-паролей
🧨так ещё и при проектировании всей системы её базы данных не были изолированы друг от друга, потому хакеры смогли получить доступ ко всем данным сразу.

В общей сложности прямые финансовые потери компании Equifax с учётом всех выплат и штрафов превысили 1.4 миллиарда долларов. Почти 30% её годовой выручки и 3 годовых прибыли. Сколько стоило "накатить патч" или проверить сертификаты на актуальность?

BY Тру финансы