Дружеский совет

Sep. 15th, 2017 10:32 am
leo_sosnine: (Default)
[personal profile] leo_sosnine
Кстати, если кто не знает, бричи это чушь. Я по этому вопросу делал презентацию в 2015 году с цифрами. Эквифакс ничего своего не потерял, только данные клиентов (а на них почти насрать). От исков они отбрехаются, уложатся в 200-300 миллионов убытка совокупно на протяжении 5 лет.

Цена акций вернётся к 140 за ~9 месяцев.

Если бы у меня были лишние деньги, то я бы сейчас купил их акций и побольше.

Серьёзные с т.з. денег вещи в инфосеке это комбинация рансомвари и вормов. Merck встрял капитально на этом, т.к. они потеряли не никому не нужные confidentiality & integrity, а availability. У них некоторые производственные мощности стояли 2 месяца, рухнула логистика, до сих пор полностью не восстановились, хотя прошло уже месяца три. Вот это серьёзно, а что произошло с Эквифаксом это лёгкий ветер.

Если кто не в курсе, то бизнесы, которые не вкладываются чрезмерно в инфобез делают это не с бухты барахты. Эквифакс нанял дуру-заглушку на эту должность потому, что это менее невыгодно, нежели тратиться на security controls и осложнять себе этим бизнес, т.к. это зачастую дороже, нежели цена брича. Всё просто, посчитали и решили. Они ничем не лучше и ничем не хуже чем все остальные.

Ваш кэп, тащемта
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2017-09-15 05:03 pm (UTC)
From: [personal profile] gb0
И вот в целях уменьшения расзвиздяйства и изложенных Вами оценок рисков – надо бы этих деятелей примерно засудить. Чтобы другим неповадно было.

Date: 2017-09-15 05:13 pm (UTC)
scif_yar: (Default)
From: [personal profile] scif_yar
неповадно ЧТО?
только вот без абстракционизма - что должно быть почем?

Date: 2017-09-15 06:55 pm (UTC)
From: [personal profile] gb0
Без всякого абстракционизма – нельзя утекать непойми его кому 200М персональных данных и get away with it. Продажа акций после лика должна сразу быть турмой (для ДиВов эквифаксовых в данном конкретном случае), как жесткий вариант инсайдерской торговли, ну и эта, мораль должна общэствэнная склониться в ту сторону, что за инфосеком вверенного предприятия –  тщательнее смотреть нужно. Если предположить, что говорят правду об дыре в cтратсах, и о временных рамках хака (2 месяца с мая по июль, при том, что дыру открыли в марте) – то тут просто кто-то недоработал очень конкретно, и по поводу layers in general, и по поводу observability системы, а еще кто-то недоработал по поводу кадров и оценки (вот в этом заключается пожелание – без всякого абстракционизма – чтобы пессимистическая оценка последствий оказалась правдой, а не оптимистические 100-200-300М от ТС) по поводу ущерба от забивания болта на инфосек.

Параноидальная секурити и правда может довольно сильно мешать жить, но что-то мне сдается, что тут никакая паранойя не нужна была особенная. Хранить вообще все персональные данные, а не только PAN/имя держателя/ номер карты/expiry и что там pcidss велит хранить encrypted (и вести/анализировать журнал запросов на decryption) –  не такая и затратная штука, кмк.
Edited Date: 2017-09-15 06:56 pm (UTC)

Date: 2017-09-16 05:24 am (UTC)
scif_yar: (Default)
From: [personal profile] scif_yar
Еще раз повторяю вопрос: что (кроме озвученной продажи акций) должно быть неповадно?

Date: 2017-09-16 06:55 pm (UTC)
From: [personal profile] bond_jimme
Судя по тому, что ответа на этот простой вопрос так и нет, напрашивается еще один вывод про "композитора в инфосеке"

Date: 2017-09-16 08:22 pm (UTC)
scif_yar: (Default)
From: [personal profile] scif_yar
(хохотнув) ну тут люди про "написать VSS" рассказывали в стиле "ненуачотакова".

Date: 2017-09-17 09:05 am (UTC)
From: [identity profile] http://users.livejournal.com/sorcerer-/
простой вопрос: что такого в "написать VSS"?
наводящий вопрос: написать гипервизор - это сложнее или проще?

Date: 2017-09-17 02:36 pm (UTC)
scif_yar: (Default)
From: [personal profile] scif_yar
>>простой вопрос: что такого в "написать VSS"?
-
вы уже слили соседнюю ветку
http://leo-sosnine.dreamwidth.org/656098.html?thread=7386082#cmt7386082
, не интересно, спасибо

Date: 2017-09-17 10:09 am (UTC)
straktor: benders (Default)
From: [personal profile] straktor
д.б. неповадно не предъявлять к ц-уровню квалификационные требования минимум как у их подчинённых

Date: 2017-09-17 02:36 pm (UTC)
scif_yar: (Default)
From: [personal profile] scif_yar
а какие надо?

Date: 2017-09-17 02:15 pm (UTC)
From: [personal profile] gb0
В более общем свете, неповадно должно быть via gross negligence причинять неудобства / damage охренилиарду народа там, где в этом не было ну никакой необходимости.

Date: 2017-09-17 02:38 pm (UTC)
scif_yar: (Default)
From: [personal profile] scif_yar
это последствия. Вопрос в prevention.
Или это абстракция уровня "плохо делать плохо, а хорошо строить хорошо" ?

Date: 2017-09-17 06:28 pm (UTC)
From: [personal profile] gb0
ТС довольно неплохо описал список прегрешений эквифакса в следующем посте, можете сами прикинуть, что из этого было preventable. Вопрос тут как по мне – катит ли перечень на gross negligence. My take – да. Вылетят в трубу – и поделом. И чтобы шортеры-инсайдеры из числа мэнэджмента конторки еще бы под судом оказались – как вишенка на торте.

Date: 2017-09-15 10:43 pm (UTC)
brmail: (Default)
From: [personal profile] brmail
они проебали айдентети 140 с хвостиком миллионов американцев. Я легко могу оценить ущерб для себя любимого. 1. Замена драйвер-лайсенса, порядка 20 баксов на человека, причем мне не удалось понять будет ли у него новый номер.
2. Оплата за айдентити протекшен, как минимум на полтора года, а лучше на три. Стоит это от 10 до 30 баксов в месяц на человека.
Итого по минимуму еквифакс должен мне любимому - 380 баксов. А если расчитывать на защиту дольше чем на полтора года и больше. На семью из 4-х человек помножить можешь сам. Это не вымышленные траты, не упущенная прибыль, это то что я буду вынужден потратить. И хорошо если данные не всплывут для использования через 3-4-5 лет

Date: 2017-09-16 05:24 am (UTC)
scif_yar: (Default)
From: [personal profile] scif_yar
Вопрос был про другое

Date: 2017-09-16 12:26 pm (UTC)
brmail: (Default)
From: [personal profile] brmail
вопрос был что должно быть неповадно. Неповадно должно быть оставлять неоплаченными убытки, созданные композитором на должности главы инфосек департмента. Вот и пускай оплатят их для начала.

Date: 2017-09-16 12:41 pm (UTC)
scif_yar: (Default)
From: [personal profile] scif_yar
>> Неповадно должно быть оставлять неоплаченными убытки, созданные композитором
-
это последствия. Вопрос в prevention.
Или это абстракция уровня "плохо делать плохо, а хорошо строить хорошо" ?

Date: 2017-09-17 09:07 am (UTC)
From: [identity profile] http://users.livejournal.com/sorcerer-/
http://leo-sosnine.dreamwidth.org/659483.html

Date: 2017-09-15 05:12 pm (UTC)
scif_yar: (Default)
From: [personal profile] scif_yar
>> Эквифакс ничего своего не потерял, только данные клиентов (а на них почти насрать).
-
насколько я понял, даже не потерял, а просто сделали копию, не?

Date: 2017-09-15 06:40 pm (UTC)
leo_sosnine: (Default)
From: [personal profile] leo_sosnine
Согласен, терминология дурацкая, они заебали.

ДЛП щас гораздо чаще раскладывают как дата лосс превеншн, хотя какой тут, блядь, лосс? Копия жы!

Считается что неавторизованная копия это лосс просто

Date: 2017-09-16 02:22 am (UTC)
yostrov: (Default)
From: [personal profile] yostrov
>200-300 миллионов убытка
Они еще в прибыли окажутся и выкупят свои акции подешевке.

Date: 2017-09-16 04:29 pm (UTC)
leo_sosnine: (Default)
From: [personal profile] leo_sosnine
не исключаю
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only
Page generated Aug. 13th, 2025 10:51 am
Powered by Dreamwidth Studios