Другое дело!
Смотри, когда ты, молодой ИТшник, для совего будущего единорога делаешь бесплатный азур, то это один прайс. Когда ты говоришь азуру что ты из госсектора и тебя будут ломать, то прайс становиться несколько другим и за заявленные 99.95% никто не подписываеться. Даже у тебя в пользовательском соглашении написано, что твои 99.95% аптайма это без учёта ВСЕХ внешних рисков, условно "мы гарантируем, что в 99.95% мы не напортачим", это также означает, что 99.95% это для тебя, а не для твоего клиента, если через уязвимость КМС у тебя лёг фронт, то азуру пофигу твоя криворукость. Потом ты понимаешь, что на том же кластере что и твоя БД работает ещё и Хуйвейбен и майор Пронин, и это вектор атаки который ты не контролируешь. Тогда ты берёшь выделенный кластер, и у тебя уже затраты выросли до сотен тысяч баксов в месяц. И не забывай, что тебе ещё нужен сервис бэкапов, снапшотов, и репозитория, а ты же в курсе что это разные вещи и твои снапшоты операций в случае удаления прода удалёться тоже? Еще, репозиторий должен быть физически отделён от основной БД и не иметь автоматического бэкапа. Какой прайс будет на такой продактлист?
А потом приходит понимание, что это всё тупо БД, и никакого отношения к кибербезу не имеет отношения. Ты конечно можешь заукупать СаС, но тогда прайс в месяц уже будет меряться в миллионах долларов. А ешё спецы которые с этим работают.
И в конце, как я и говорил, это всё равно сломают. И никто тебе деньги не вернёт. И это же момент появится армия таких дАртаньянов которые будут кричать что просрали кучу денег, а всё равно зрада. Так может лучше их не тратить?
В итоге ты приходишь к выводу, что серверную сделать ты можешь и сам, что обеспечить защиту от 95% атак можно соблюдая банальную кибер гигиену и имея репозитарий и умения его восстанавливать. Опять же, ты не стартап, у тебя в сервисе ничего не меняеться годами.
В общем я рекомендую выйти из сумрака продакт менеджера большой галеры и проскейлить хоть одно решение до доп. разработки. После чего кидать оскорбления. А пиздунов про божественный азур у нас хватает.
Это положение дел во всём мире. Ровно также в гугле, майкрософте, ФБ и т.д. От них же спецы и прилетали. Важен горизонт планирования. Если он 2 года, как у нас, то стоимость убытков от низкого уровня безопасности одна, если как у майкрософта 20-50 лет, то другая, в сотни раз большая.
>И НЕ замечательно, если включён режим "ну если поломается кто-то кому-то позвонит, будем смотреть по факту"
Государство не программа. Это люди. Мир не симуляция, все возможные проблемы нельзя перечислить. Систему сломает то, о чём мы даже не подумали и о чём не знаем и это случается постоянно. Поэтому всегда должен быть вариант ручника. Уровень развития общества - это то, как часто его нужно включать. С уровня "не подмажешь - не поедешь" мы перешли на уровень "если кто-то специально сломает".
А вот от такого поведения всех предостерегаю (если, конечно, не цель просто высказать своё презрение ко всем). Самые удобные недовольные. Пришёл, обложил говоном, нихрена не объяснил и с гордой головой ушёл. Ну и скатертью дорога. Нафига приходил то? Второй раз просто посылаются нафиг - писать официальные запросы.
Для небольшого меньшенства, которое активно что-то просит, что-то предлагает. Для бизнеса который связан с работой этого министерства. Достаточно часто на громадських обговоренях бывают дельные идеи. С бизнесом в сотни разы легче говорить и согласовывать какие-то моменты, когда он понимает что и почему делаеться и если хочет, то может принять участие.
Не доверяй. На сайтах областных органов я видел майнеры и линки на казино. И висели они там месяцами. Телеграм каналы могут быть на личных номерах сотрудников. Нормально следят за сайтами куда ходит много народу и где публикуються оригинальные новости. Остальное на ответственности таких админов как ОП.
Отправлять по почте что-то, если не договорился с человеком - не стоит. Позвони в службу от которой тебе что-то нужно, пусть подтвердят. Даже не потому, что это может быть фишинг, а потому, что служба может тупо забить на почту.
Несмотря на такую безопасность сервисами пользуються с каждым днём всё больше и больше. Банально, но они работают и удовлетворяют потребности в 95% случаев. Последний 5%, ну сорри, это не парашут, тут можно и ошибиться.
Нехватает инфы "с полей". Например, не подтягиваеться сертификат в Дию. Кто виноват? Доктор прививочник? Семейный? Хелси? Мне, условно, нужно самому ехать на место и проверять кто напортачил. Тут очень помогали ребята которые сами ездили, находили кто не сделал свою работу и сообщали об этом. Мы поняли за что нужно ебать исполнителей и что проверять.
Сорри, но любой, цифровой или традиционный, сервис делаеться чтобы удовлетворить потребности большинства. Если случаев когда он не работает 1 на 10 рабочих, то это хороший сервис. Плюс, сервис должен ложиться в привычки гос. апарата. Вот тут, думаю все согласяться, есть перемога:)
1. Если ты один с такой проблемой, то это твои проблемы. Конечно такие варианты обсуждаються, но условно, это не наша проблема, если ты потерял пасспорт по дороге в аэропорт или отложил на последний день подачу декларации. Не очень приятно, но, повторюсь, один негативный случай на пару тысяч это приемлемо, если изменить его на позитивный стоит усилий и денег. Если, например Дия ляжет и весь Борисполь не сможет показать сертификат на входе, то дадут команду его не проверять, в телефонном режиме. Даже налоговая даёт отсрочку, если медок или кабинет не работает.
2. Безопасность - это не результат, безопасность - это процесс. Именно. У процеса есть стоимость, у отсутсвия процеса тоже есть стоимость. Сейчас стоимость отсутствия процеса для власти меньше, чем стоимость процеса. Когда хакеры будут подменять номера телефонов - я буду очень рад, это будет означать, что украинцы стали богатыми.
Напиши в ФБ заму Федорова, личка в ФБ читаеться и на неё реагируют. Последние 2 года твоя активность в ФБ это оценка твоей политической ценности. Если ты готов поработать за бесплатно или дать ресурс своей компании - с благодарностью приймут твою помощь. Пара замов Федорова так ими и стала. Если найдёшь донора который даст на твою работу денег - вообще супер. Работает это так, рассказываешь свою идею и что хочешь делать, получаешь официальное письмо от министра о том, что ему это нужно, идёшь с письмом в посольство, ООН, делегацию ЕС, просишь дать на это денег, они выделяют деньги или из имеющейся программы или делают новою на следующий фин. год. Но есть нюанс, твоя компания должна соответствовать критериям донора. Если ты просто ФОП, то денег не дадут, но можно сделать консорциум с большой четвёркой, например, или другим известным грантоедом. Они, конечно, сожрут большую долю денег, но свой рейт ты заработаешь.
Просто умных людей с правильными идеями - валом. Желающих поработать за их реализацию - единицы. Тех кому удалось их реализовать ещё меньше. Многие крутые спецы просто обламыються на бюрократии.
Чтобы угнать деньги нужна банковская инф (номер, дата, cvv) и личная (пин - обычно дата рождения члена семьи, пароль, ответ на секретный вопрос - тоже что-то семейное обычно). Из гос. БД можно взять эту инфу и перебирать. Сколько-то совпадений да будет.
Всё что есть в БД всех гос. служб давно продаёться более-менее открыто и это один из способов заработка директоров по ИТ. Перекрывать этот канал не будут, ИТшники дорогие, а так они сами себе на хлеб зарабатывают. Да, принцип дали пистолет - вертись как хочешь, всё ещё работает повсеместно.
Приветствую вас, уважаемые!
Ради такого случая и ввиду моей причастности к теме, задонатил на сервера и решил что-то объяснить.
Итак. Я занимался политикой и кибербезом уже пару лет, кибербезом в последнюю очередь, так что мои технические знания точно поверхностные, но я понимаю главные принципы и технологии. Сейчас не занимаюсь, поэтому пофиг что Вождь знает моё мыло и карту:) Если вы смотрите украинские новости может быть меня даже видели там.
Почему меня задела сегодняшняя ситуация? Да потому, что всё так и задумано. Дия, сайты служб и министерств изначально делались с учётом на то, что их положат. Не потому, что мы идиоты и не понимаем что бесплатные технологии, отсутствие обновлений и хост на аптайм 95% и вообще чей-то не государственный, это не безопасно, а потому, что это практически бесплатно. Мы сознательно решили не заморачиваться с миллиардной безопасностью, её всё равно пробьют русские. Мы решили что там просто не будет ничего важного. Дия выключилась на день? Сходи в ЦНАП и реши вопрос. Если день не можешь подождать. В сегодняшних условиях нету такого сервиса, отключение которого приведёт к сколь либо значительным потерям. Все важные базы резервируються, пусть не каждый день, но достаточно регулярно и на отключённый от сети ССД. Все остальные - не важны, на их резервирование и защиту уйдёт больше денег, чем на восстановление от последствий их уничтожения. На сайтах, что сегодня положили - вообще нету ничего важного для работы.
Вы боитесь за вашу персональную информацию? Политика простая - ваши данные не нужны хакерам. Всё что можно украсть не окупится потенциально украденым. Кроме США, Канады, Японии, Англии, Германии, все страны придерживаються аналогичной точки зрения. На кой чёрт красть данные людей, у которых нечего красть? Из 42 000 000 граждан, украв персональные данные, даже номера карт, вы всё равно забрутфорсите не более 0.1%, а это 42 000. Если это США, то хорошо если у каждого вы украдёте по 100 баксов, это 4.2 млн. долл. А у нас это хорошо если 4.2 млн. грн. :) Так накой чёрт ваши данные кому либо? Более того, в гос. ораганх, кроме НБУ не храняться платёжные данные. Их можно красть только для инсайта брутфорса.
НБУ взломан небыл. Вот там реально потратили миллиарды на безопасность. Любой нац. банк стран третьего мира позавидует нашей безопасности.
Итого. Мы знали что так будет. Мы к этому готовились. Отследить атаку значительно проще чем её предотвратить. Админы - восстаньвите контроль над админкой, поднимите бэкапы, делайте их почаще, не переживайте, никто вас не уволит, вы дешевле чем новые.
Смотри, когда ты, молодой ИТшник, для совего будущего единорога делаешь бесплатный азур, то это один прайс. Когда ты говоришь азуру что ты из госсектора и тебя будут ломать, то прайс становиться несколько другим и за заявленные 99.95% никто не подписываеться. Даже у тебя в пользовательском соглашении написано, что твои 99.95% аптайма это без учёта ВСЕХ внешних рисков, условно "мы гарантируем, что в 99.95% мы не напортачим", это также означает, что 99.95% это для тебя, а не для твоего клиента, если через уязвимость КМС у тебя лёг фронт, то азуру пофигу твоя криворукость. Потом ты понимаешь, что на том же кластере что и твоя БД работает ещё и Хуйвейбен и майор Пронин, и это вектор атаки который ты не контролируешь. Тогда ты берёшь выделенный кластер, и у тебя уже затраты выросли до сотен тысяч баксов в месяц. И не забывай, что тебе ещё нужен сервис бэкапов, снапшотов, и репозитория, а ты же в курсе что это разные вещи и твои снапшоты операций в случае удаления прода удалёться тоже? Еще, репозиторий должен быть физически отделён от основной БД и не иметь автоматического бэкапа. Какой прайс будет на такой продактлист?
А потом приходит понимание, что это всё тупо БД, и никакого отношения к кибербезу не имеет отношения. Ты конечно можешь заукупать СаС, но тогда прайс в месяц уже будет меряться в миллионах долларов. А ешё спецы которые с этим работают.
И в конце, как я и говорил, это всё равно сломают. И никто тебе деньги не вернёт. И это же момент появится армия таких дАртаньянов которые будут кричать что просрали кучу денег, а всё равно зрада. Так может лучше их не тратить?
В итоге ты приходишь к выводу, что серверную сделать ты можешь и сам, что обеспечить защиту от 95% атак можно соблюдая банальную кибер гигиену и имея репозитарий и умения его восстанавливать. Опять же, ты не стартап, у тебя в сервисе ничего не меняеться годами.
В общем я рекомендую выйти из сумрака продакт менеджера большой галеры и проскейлить хоть одно решение до доп. разработки. После чего кидать оскорбления. А пиздунов про божественный азур у нас хватает.
>И НЕ замечательно, если включён режим "ну если поломается кто-то кому-то позвонит, будем смотреть по факту"
Государство не программа. Это люди. Мир не симуляция, все возможные проблемы нельзя перечислить. Систему сломает то, о чём мы даже не подумали и о чём не знаем и это случается постоянно. Поэтому всегда должен быть вариант ручника. Уровень развития общества - это то, как часто его нужно включать. С уровня "не подмажешь - не поедешь" мы перешли на уровень "если кто-то специально сломает".
Отправлять по почте что-то, если не договорился с человеком - не стоит. Позвони в службу от которой тебе что-то нужно, пусть подтвердят. Даже не потому, что это может быть фишинг, а потому, что служба может тупо забить на почту.
Несмотря на такую безопасность сервисами пользуються с каждым днём всё больше и больше. Банально, но они работают и удовлетворяют потребности в 95% случаев. Последний 5%, ну сорри, это не парашут, тут можно и ошибиться.
Нехватает инфы "с полей". Например, не подтягиваеться сертификат в Дию. Кто виноват? Доктор прививочник? Семейный? Хелси? Мне, условно, нужно самому ехать на место и проверять кто напортачил. Тут очень помогали ребята которые сами ездили, находили кто не сделал свою работу и сообщали об этом. Мы поняли за что нужно ебать исполнителей и что проверять.
Сорри, но любой, цифровой или традиционный, сервис делаеться чтобы удовлетворить потребности большинства. Если случаев когда он не работает 1 на 10 рабочих, то это хороший сервис. Плюс, сервис должен ложиться в привычки гос. апарата. Вот тут, думаю все согласяться, есть перемога:)
2. Безопасность - это не результат, безопасность - это процесс. Именно. У процеса есть стоимость, у отсутсвия процеса тоже есть стоимость. Сейчас стоимость отсутствия процеса для власти меньше, чем стоимость процеса. Когда хакеры будут подменять номера телефонов - я буду очень рад, это будет означать, что украинцы стали богатыми.
Просто умных людей с правильными идеями - валом. Желающих поработать за их реализацию - единицы. Тех кому удалось их реализовать ещё меньше. Многие крутые спецы просто обламыються на бюрократии.
Чтобы угнать деньги нужна банковская инф (номер, дата, cvv) и личная (пин - обычно дата рождения члена семьи, пароль, ответ на секретный вопрос - тоже что-то семейное обычно). Из гос. БД можно взять эту инфу и перебирать. Сколько-то совпадений да будет.
Всё что есть в БД всех гос. служб давно продаёться более-менее открыто и это один из способов заработка директоров по ИТ. Перекрывать этот канал не будут, ИТшники дорогие, а так они сами себе на хлеб зарабатывают. Да, принцип дали пистолет - вертись как хочешь, всё ещё работает повсеместно.
Ради такого случая и ввиду моей причастности к теме, задонатил на сервера и решил что-то объяснить.
Итак. Я занимался политикой и кибербезом уже пару лет, кибербезом в последнюю очередь, так что мои технические знания точно поверхностные, но я понимаю главные принципы и технологии. Сейчас не занимаюсь, поэтому пофиг что Вождь знает моё мыло и карту:) Если вы смотрите украинские новости может быть меня даже видели там.
Почему меня задела сегодняшняя ситуация? Да потому, что всё так и задумано. Дия, сайты служб и министерств изначально делались с учётом на то, что их положат. Не потому, что мы идиоты и не понимаем что бесплатные технологии, отсутствие обновлений и хост на аптайм 95% и вообще чей-то не государственный, это не безопасно, а потому, что это практически бесплатно. Мы сознательно решили не заморачиваться с миллиардной безопасностью, её всё равно пробьют русские. Мы решили что там просто не будет ничего важного. Дия выключилась на день? Сходи в ЦНАП и реши вопрос. Если день не можешь подождать. В сегодняшних условиях нету такого сервиса, отключение которого приведёт к сколь либо значительным потерям. Все важные базы резервируються, пусть не каждый день, но достаточно регулярно и на отключённый от сети ССД. Все остальные - не важны, на их резервирование и защиту уйдёт больше денег, чем на восстановление от последствий их уничтожения. На сайтах, что сегодня положили - вообще нету ничего важного для работы.
Вы боитесь за вашу персональную информацию? Политика простая - ваши данные не нужны хакерам. Всё что можно украсть не окупится потенциально украденым. Кроме США, Канады, Японии, Англии, Германии, все страны придерживаються аналогичной точки зрения. На кой чёрт красть данные людей, у которых нечего красть? Из 42 000 000 граждан, украв персональные данные, даже номера карт, вы всё равно забрутфорсите не более 0.1%, а это 42 000. Если это США, то хорошо если у каждого вы украдёте по 100 баксов, это 4.2 млн. долл. А у нас это хорошо если 4.2 млн. грн. :) Так накой чёрт ваши данные кому либо? Более того, в гос. ораганх, кроме НБУ не храняться платёжные данные. Их можно красть только для инсайта брутфорса.
НБУ взломан небыл. Вот там реально потратили миллиарды на безопасность. Любой нац. банк стран третьего мира позавидует нашей безопасности.
Итого. Мы знали что так будет. Мы к этому готовились. Отследить атаку значительно проще чем её предотвратить. Админы - восстаньвите контроль над админкой, поднимите бэкапы, делайте их почаще, не переживайте, никто вас не уволит, вы дешевле чем новые.