RSS
środa, 03 listopada 2010
Problemy w dostępie do usług bankowych

Wygląda na to, że 2 listopada awarie miały przynajmniej dwa banki:

  • problemy z logowaniem do ING
  • problemy z logowaniem do BZ WBK, płatnością kartą i wypłatą z bankomatu (oraz problemy z usługodawcą Deutsche Bank)

Problemy zostały szybko naprawione.

Wkrótce na blogu pojawią się wpisy związane z odrabianiem zaległości - TMK

10:16, tmkasprzak
Link Dodaj komentarz »
piątek, 14 maja 2010
Proszę nie psuć naszej bazy danych

Sacramento Credit Union tłumaczy użytkownikom, dlaczego muszą uważnie dobierać pytanie bezpieczeństwa:

The answers to your Security Questions are case sensitive and cannot contain special characters like an apostrophe, or the words "insert," "delete," "drop," "update," "null," or "select."

Pewnie nie wiedzieli, co z tym zrobić, ale pewnie wiedzieli, że to jest złe. Dzięki XKCD wiele osób to wie.

W ISO 17799 polecam lekturę rozdziału 12.2.1.

Znalezione na blipie Jubala.

17:26, tmkasprzak
Link Dodaj komentarz »
poniedziałek, 26 kwietnia 2010
Ciągła zmiana haseł obniża naszą produktywność

Nazwa użytkownika i hasło to najpopularniejsza forma uwierzytelnienia użytkownika. Badania przeprowadzone przez Microsoft wskazują jednak, że zmiana haseł wymaga od użytkowników znacznego wysiłku i czasu na przyzwyczajenie się do nowego hasła. Zmarnowany w ten sposób czas wpływa na całą gospodarkę:

He calculated that if the approximately 200 million US adults who go online earned twice the minimum wage, a minute of their time each day equals about $16 billion a year. Therefore, for any security measure to be justified, each minute users are asked to spend on it daily should reduce the harm they are exposed to by $16 billion annually

W artykule cytowany jest Bruce Schneier, który zwraca uwagę, że pracownicy świadomie naruszają polityki bezpieczeństwa, jeśli te obniżają ich produktywność. Najgorszy jest w tym fakt, że dostępne są efektywniejsze narzędzia do uwierzytelnienia niż hasło.

Cały artykuł: Please do not change your password

17:15, tmkasprzak
Link Dodaj komentarz »
środa, 14 kwietnia 2010
Obok żałoby narodowej Państwo musi funkcjonować

Z powodu katastrofy samolotu prezydenckiego cała Polska pogrążyła się w żałobie narodowej, jednak struktury państwowe nie mogą przestać funkcjonować. Zasady sukcesji prezydenckiej są, chociaż może nie najdoskonalsze. Najbardziej martwi brak zasad funkcjonowania Rady Polityki Pieniężnej - konstytucjonaliści nie są zgodni, czy Piotr Wiesiołek może być szefem Rady Polityki Pieniężnej. Każdy bank w Polsce jest zobowiązany posiadać plany ciągłosci działania, jak widać nie dotyczyło to RPP (NBP działa). Inne instytucje - IPN, RPO - nie działają w tak pilnym trybie, jak właśnie RPP. Armia daje sobie radę.

Poza ludźmi, którzy zginęli, istotna okazała się także kwestia zawartości materialnej samolotu. Prezydencki TU-154M był w zasadzie samolotem wojskowym, nie cywilnym. Problemy z tym związane opisał Piotr Waglowski - Minutom ciszy towarzyszy dyskretny "szum" wymiany kluczy bezpieczeństwa. Jednocześnie SKW oświadcza, że żaden z wyższych dowódców wojskowych, którzy zginęli w katastrofie samolotu TU-154 M, nie posiadał przy sobie urządzeń umożliwiających gromadzenie bądź przetwarzanie informacji niejawnych. Na pokładzie samolotu nie znajdowały się żadne wojskowe materiały kryptograficzne. Mam jednak wrażenie, że Rada Atlantycka rozmawiała nie tylko o wyrażeniu kondolencji.

10:02, tmkasprzak
Link Dodaj komentarz »
niedziela, 07 marca 2010
Uwaga na kamery w pracy

Zwykle, kiedy filmowano ekran mojego komputera, ustawiałem dokument, w którym nie ujawniałem tajemnic klienta.

Ten pan pokazał coś innego. Pewnie nie wiedział, że go filmują.


Kamera TV przyłapała bankowca...
przez andaluska

Sprawa skończyła się w miarę bezboleśnie:

Zakończono wewnętrzne dochodzenie w tej sprawie - powiedziała przedstawicielka banku Laura Bramwell. - Wyniki tego dochodzenia zostały przedstawione pracownikowi, podjęto adekwatne w tej sytuacji działania. Pozostanie on pracownikiem banku. Zarówno Macquarie jak i pracownik przepraszają wszystkich, którzy poczuli się urażeni.

A pani, którą oglądał bankowiec, wygląda tak:

Autor: Ahmad Fauzi Abdullah, źródło: Wikimedia, Flickr. This file is licensed under the Creative Commons Attribution 2.0 Generic license.

Kamera TV przyłapała bankowca na oglądaniu nagich zdjęć

Ratujmy bankowca, który oglądał "nagie zdjęcia" w pracy!

Koniec historii bankowca, którego złapano na oglądaniu "nagich zdjęć"

22:19, tmkasprzak
Link Dodaj komentarz »
Pedobear rozsławił Polskę

Warto sprawdzić co się publikuje:

W sobotę "Gazeta Olsztyńska" zamieściła przeprosiny i informację, że redakcja opublikowała niewłaściwy rysunek z maskotkami. Jak doszło do pomyłki? - Po wpisaniu w wyszukiwarkę nazwy maskotek, wyskoczył nam obrazek, który został zamieszczony w gazecie - tłumaczy Artur Dryhynycz, szef działu sportowego "Gazety Olsztyńskiej".

Pełny artykuł: Gazeta.pl Olsztyn

21:41, tmkasprzak
Link Dodaj komentarz »
poniedziałek, 01 lutego 2010
“Nagi” skaner nie wykrywa materiałów wybuchowych

Film pokazuje, czego nie wykryło urządzenie - między innymi materiałów wybuchowych.

12:19, tmkasprzak
Link Dodaj komentarz »
piątek, 29 stycznia 2010
Pomyłka w wysyłaniu poczty

Warto sprawdzać do kogo wysyłamy email.

JS do JN i NW:

Mam do zaproponowania pomysł

JN do JS(!):

Wygląda mi to na zawodowego organizatora czarnego PR a sam e-mail jest elementem szantażu.

JN do JS:

Otrzymałem od Pana dość dziwny e-mail, czy mógłby Pan wyjaśnić bliżej, o co Panu chodzi?

Pełna historia i rozwinięcie inicjałów: Gazeta Finansowa

12:05, tmkasprzak
Link Dodaj komentarz »
czwartek, 28 stycznia 2010
Lekceważone bezpieczeństwo personelu

Kiedy przeglądarka internetowa stała się podstawowym programem na komputerze i powstają projekty systemów operacyjnych służących głównie uruchomieniu przeglądarki, trochę w cieniu "dziur w aplikacjach" pozostają pewne tradycjne aspekty zapewnienia bezpieczeństwa. Przykładem takich zapomnianych obszarów bezpieczeństwa jest bezpieczeństwo osobowe, albo bezpieczeństwo zasobów ludzkich. Pisaliśmy już o przykładzie błędu w zarządzaniu bezpieczeństwem osobowym 

Wystawiając jakąś usługę do Internetu (zwykle) pamiętamy, że próbować może z niej skorzystać każdy - stąd zwykle jest w nich wiele zabezpieczeń. Pracownicy, np. administratorzy mogą zrobić więcej, więc powinniśmy móc im zaufać. Według standardu zarządzania bezpieczeństwem informacji ISO 27001, "cykl życia" pracownika w organizacji składa się z trzech etapów:

  • przed zadrudnieniem,
  • podczas zatrudnienia,
  • przy zakończeniu lub zmianie zatrudnienia.

Przed zatrudnieniem powinniśmy określić wymagania wobec pracownika i zweryfikować, czy te wymagania spełnia. Tu pojawia się "postępowanie sprawdzające, czyli background screening.

Podczas zatrudnienia, powinniśmy wymagać od pracowników przestrzegania określonych zasad, szkolić pracowników, a w razie naruszenia zasad - wyciągać konsekwencje. Przy zakończeniu zatrudnienia zadbać odebranie uprawnień dostępu i "aktywów". To czasem ignorowany kompletnie aspekt, bo nieodebranie uprawnień zwykle przeszkadza mniej, niż nienadanie uprawnień człowiekowi, który jest w pracy.

Niepowodzenie w doborze personelu może powodować duże konsekwencje. Podczas gruniowych ataków na Twittera pojawiły się sygnały, że do podmiany wpisów DNS wykorzystano konta administratorów serwisu - pojawiły się podejrzenia, że pracownik Twittera mógł być członkiem grupy, która dokonała ataku. Do kont ludzi Twittera włamywano się jednak już wcześniej. Także we włamaniu do usług Google w Chinach sygnalizuje się możliwość działania pracowników firmy.

Czasami porażkę powodują znudzeni ochroniarze w banku.

Kiedy pojawiły się pierwsze komunikaty o kradzieży napisu z Auschwitz  byłem przekonany, że okaże się, że przynajmniej niektórzy ochroniarze są neonazistami lub z nimi współpracowali. Byłby to przykład porażki w postępowaniu sprawdzającym. Na szczęście nic na to nie wskazuje.

Coś jednak się zmienia. W USA wzrasta odsetek pracowników poddawanych postępowaniom sprawdzającym. Problem dopuszczalności przeprowadzania postępowania sprawdzającego dostrzegli Generalny Inspektor Ochrony Danych Osobowych i Minister Pracy i Polityki Społecznej  (także tu). Co ciekawe, z artykułu wynika, że sprawdzanie przeszłości pracownika jest niedopuszczalne - a z taką tezą zgodzić się nie mogę. Zakres informacji, które można zbierać jest ograniczony przepisami art. 221, ale nie do takiego stopnia, aby uniemożliwiać sprawdzenie przeszłości kandydata do pracy. Słabo wygląda jednak kwestia sprawdzania niekaralności kandydata, jeśli nakazuje tego pracodawcy przepis ustawowy.

22:24, tmkasprzak
Link Dodaj komentarz »
wtorek, 26 stycznia 2010
Ewidencjonowanie ważnych dla organizacji dokumentów

Jak donosi portal onet.pl podając za Dziennikiem Gazetą Prawną (link do wiadomości tutaj) w Ministerstwie Sprawiedliwości została przeprowadzona w 2008 roku kontrola dotycząca ewidencjonowania i zabezpieczenia materiałów dowodowych z ważnych śledztw i postępowań sądowych.

Niejeden z nas zadaje sobie pytanie patrząc na relacje z Polskich sądów - "jak oni panują nad tymi stertami akt sądowych". W każdym obrazku z sali sądowiej pokazywane są sterty teczek, dokumentów i innych papierów. Otóż odpowiedź w przytaczanym artykule jest dosyć prosta - nie panują :).

  • nie ewidencjonowanie dokumentów sprawy
  • osoby uczestniczące w postępowaniu nie posiadające wiedzy gdzie akta się znajdują
  • tajemnicze wędrówki dokumentów ze śledztw między kancelariami

to tylko przykłady zachowań z takich śledztw jak w przypadku śmierci generała Papały, czy afery Rywina. Zresztą trudno się dziwić. Skoro istnieje podejrzenie iż stosuje się do ochrony tego typu dokumentów wyłącznie wymagania ustawowe ochrony informacji (których możliwość praktycznego wykorzystania jest dosyć ograniczona) to trudno się dziwić.

Na pewno w takim przypadku wymagane byłoby ustalenie skutecznych zasad ewidencjonowania i ochrony informacji pod kątem jej poufności i integralności. Nie oglądając się na wymagania prawne (będąc z nimi co prawda w zgodzie), ale dodając "coś" ekstra w postępowaniu z tak licznymi zbiorami można zrobić z tym porządek. Zwłaszcza iż akta spraw bardzo często są przenoszone, zmienia się skład osobowy zespołów prowadzących śledztwa itp.  Również zarządzanie uprawnieniami dostępu do tak licznych zbiorów akt może być mocno utrudnione.

Trzeba tylko chcieć coś zrobić i nie chcieć ponosić porażek  bezpieczeństwa..

09:25, wkasprz
Link Komentarze (1) »
 
1 , 2 , 3