http://www.securitylab.ru/news/384321.php

Компания Acer опубликовала условия программы возврата стоимости неиспользованной операционной системы семейства MS Windows, предустановленной на ее компьютерах и ноутбуках.  В случае отказа от использования предустановленной Windows пользователь имеет право получить денежную компенсацию, размер которой зависит от версии операционной системы.

Компенсация в случае отказа от Windows XP Home составляет 100 руб., Vista Home Basic – 810 руб., Vista Home Premium – 1080 руб., Windows XP Professional и Vista Business – 2430 руб., Vista Ultimate – 3330 руб.

Чтобы получить денежную компенсацию, пользователь должен обратиться к авторизованному розничному партнеру компании Acer, у которого был приобретен продукт, или в авторизованный сервисный центр, где будет удалена наклейка подлинности и отформатирован жесткий диск. После этого компьютер возвращается пользователю с пустым диском.

Если покупатель активировал Windows — фактически, использовал компьютер, так как активация происходит при первом включении — компенсация предоставлена не будет. Возврат денег также невозможен в том случае, если покупатель обратился за ней по истечении 30 календарных дней с даты покупки, повредил наклейку подлинности или не предоставил компакт-диски и документацию, которые шли в комплекте. В Acer уточняют, что данная программа распространяется только на продукты, предназначенные для реализации на территории России и приобретенные через авторизованные каналы продаж.

Несмотря на то, что максимальный срок выплаты денежной компенсации составляет 30 дней, процедура форматирования жесткого диска с возвратом денег обычно выполняется в присутствии пользователя. Таким образом, единственный повод для покупателя оставить компьютер и забрать его позже — если он не хочет стоять в очереди. После проведения процедуры возврата стоимости неиспользованной операционной системы покупатель лишается какой-либо бесплатной технической поддержки Acer, связанной с Windows.

PS

А теперь вопрос. Стоит ли ваша безопасность этих денег? По-моему – нет! Ведь после возврата вероятность того что вы все же установите Windows, правда уже в качестве ворованной системы, явно больше 60%. Да и не думаю, что процент возвратов будет высоким. Хотя… Кто знает!

Безмалый В.Ф.

MVP Consumer Security

Каждый раз при появлении новой операционной системы от Microsoft поднимается вопрос совместимости старых приложений. И каждый раз приходится идти на очередные ухищрения, чтобы ваше программное обеспечение работало. Не стало исключением и появление Windows 7.

И хотя в данной системе остались и старые способы «обмана» приложений, т.е. когда мы с вами в свойствах приложения указываем параметр совместимости появилось и кое-что новое.

Безмалый В.Ф.

MVP Consumer Security

Сегодня проблемы нашей детворы все больше и больше занимают нас с вами. Что может быть дороже судьбы собственного ребенка? НИЧЕГО!

Сегодня многие из нас используют функцию «Родительский контроль» на домашних ПК. Правильно ли это? На мой взгляд – да. Однако давайте посмотрим немного в другую сторону.

Смартфоны и коммуникаторы сегодня уже давно никого не удивляют. Более того, в последнее время все больше детей используют данные устройства.

Какие проблемы могут возникнуть у вас и вашего ребенка при использовании мобильной связи?

Безмалый В.Ф.

MVP Consumer Security

Сегодня модно говорить о необходимости внедрения DLP[1] (Data Leak Prevention) систем.

Все верно. Внедрение таких систем давно стало уже не просто модой, а необходимостью, ведь утечка конфиденциальных данных может привести к огромному ущербу для компании, а главное оказать не одномоментное, а длительное влияние на бизнес компании. При этом ущерб может носить не только прямой, но и косвенный характер. Потому что помимо основного ущерба, особенно в случае разглашения сведений об инциденте, ваша компания «теряет лицо». Ущерб от потери репутации оценить в деньгах весьма и весьма сложно!

А ведь конечной целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.

Если прямой ущерб мы с вами в состоянии выразить в деньгах, ведь он включает в себя прямые финансовые потери, затраты на расследование инцидента и устранение его последствий, санкции со стороны регулирующих органов и т.д., то оценить стоимость косвенного, включающего стоимость возможных потерь для бизнеса, снижение репутации компании, весьма и весьма сложно.

Еще сложнее тем организациям, которые используют в своем бизнесе интеллектуальную собственность. Для таких организаций утечка будет катастрофой в течение длительного времени.

На самом деле, вполне очевиден вопрос, а так ли уж велики риски от утечки?

Согласно ежегодному исследованию института CSI "Computer Crime and Security Survey 2008", приведенному по адресу http://infowatch.ru/threats_and_risks/risks_analysis/ почти половина (44%) компаний в течение года сталкиваются с негативными действиями инсайдеров и утечкой конфиденциальных данных. Помимо этого 42% компаний заявили о краже у них мобильных носитель, а 2% компаний в год фиксируют у себя случаи саботажа.

Иными словами, любая компания может столкнуться с действиями инсайдеров или потерей мобильных носителей с вероятностью 44% и 42% в год соответственно.

Согласно исследованию института Ponemon “The 2008 Annual Study: Cost of a Data Breach”, средний объем ущерба, связанный с хищением конфиденциальной информации в 2008 году, составил $6,6 миллиона (в 2007 году –$ 6,3 миллиона) для США, 1.4 миллиона фунтов стерлингов для UK и €2.41 миллиона для Германии.

Рисунок 1 Средний объем ущерба из-за утечки информации (млн. USD)

Вместе с тем стоит отметить, что, несмотря на все это, внедрение DLP систем оказалось для бизнеса весьма и весьма сложной задачей. Почему?

Потому что в идеале классическая DLP-система с точки зрения бизнеса это просто черный ящик, на входе которого анализируемая информация, а на выходе – разрешенная к пересылке. Чтобы все это работало, вроде как нужно совсем не много – поставить данную систему на сетевой шлюз, сконфигурировать правила и радоваться. Однако все не так просто. Почему?

На самом деле, потому что совсем не просто создать правила фильтрации. Ведь на практике весьма сложно отличить информацию, легально покидающую вашу организацию от нелегальной. Более того, весьма часто, увы, организации не имеют даже формальных признаков того, какая информация может являться конфиденциальной.

Просто потому что весьма и весьма часто внедрение DLP-систем начинается с того, чем по идее должно заканчиваться.

Т.е. покупается DLP-система, ее разворачивают, внедряют и тут выясняется, что политики безопасности на предприятии нет, классификация информации отсутствует, сотрудники не подозревают, что можно пересылать, а что нет.

Увы, это не редкость. А как же все-таки нужно делать?

Первое с чего нужно начать – принять «Положение о конфиденциальной информации», в котором четко указать какая информация на предприятии является конфиденциальной (вариант – конфиденциально все, ввиду явного маразма не рассматривать).

Вместе с тем нельзя забывать о том, что обеспечение информационной безопасности это непрерывный процесс, основное содержание которого составляет управление, - управление людьми, рисками, ресурсами, средствами защиты и т.п. Люди - обслуживающий персонал и конечные пользователи, являются неотъемлемой частью автоматизированной системы. От того, каким образом они реализуют свои функции в системе, существенно зависит не только ее функциональность (эффективность решения задач), но и ее безопасность.

Принципиально важно понимать, что DLP-система не панацея. Ее внедрение всего лишь составная часть комплексной системы защиты информации. Увы, необходимо понимать, что быстрого, эффективного и дешевого решения проблемы защиты информации не существует в природе!

Кроме того, необходимо понимать, что для эффективного внедрения DLP-систем необходимо помнить о том, что персонал нужно обучать!

Сложность внедрения подобных систем будет заключаться именно в том, что подобные системы будут влиять на сами бизнес-процессы.

Каковы перспективы внедрения DLP-систем на Украине?

Перспектив развития DLP-технологий на Украине НЕТ!

Почему?

Да потому что на Украине до сих пор нет ни одного самостоятельного продукта с применением данных технологий (в крайнем случае, я о таких не подозреваю). Другое дело – ПРИМЕНЕНИЕ данной технологии.

Вот об этом я снова хотел бы поговорить.

Перспективы применения DLP на Украине весьма туманны. На то есть масса причин. Давайте рассмотрим их по порядку.

Что такое DLP? Защита от внутренних утечек. Но для того чтобы защищать вначале желательно понять ЧТО защищать, верно? Каким образом мы с вами определим, что перед нами утечка, а не санкционированное действие?

А вот тут мы с вами должны подумать и хорошенько подумать!

Для того чтобы внедрять DLP нужно вначале классифицировать обрабатываемую на предприятии информацию по степени ее конфиденциальности. А теперь вопрос. Во многих ли организациях проведена эта работа?

Учтите, данная работа должна проводиться постоянно. Ведь появляются все новые и новые документы. Если вы к этому не готовы, эта работа не сделана, внедрение DLP не возможно!

Но это одна часть проблемы, большая, но все же часть!

Есть и вторая. Вторая часть – это законность подобных мероприятий. Никто не станет отрицать, что в нашей стране Конституция гарантирует тайну переписки. Причем тип переписки (частная, служебная, личная) не оговорен. Что отсюда следует?

А следует то, что фирма, просматривающая, пусть даже с помощью DLP, письма своих сотрудников, нарушает Конституцию Украины. Для грамотного юриста выиграть подобное дело - плевый вопрос. Это вторая сторона. Однако данный вопрос (применение DLP) весьма многогранен.

Необходимо подчеркнуть, что настройка DLP-систем далеко не тривиальный вопрос. А значит это потребует наличие грамотных специалистов как в области ИТ, так и в области документооборота.

А обучение пользователей определению грифа вновь создаваемого документа?

Я не хочу сказать что DLP – плохо! Я хочу сказать, что это огромный объем работы, доступный далеко не каждому!

Кроме того, хотелось бы подчеркнуть, что это не более чем одна их технологий безопасности, а отнюдь не панацея!

Однако что делать, если вы все же решили внедрять DLP-систему?

На самом деле вам придется сделать следующее:

1. Провести аудит бизнес-процессов и документооборота
2. Определить какая информация обрабатывается на фирме
3. Определить степень конфиденциальности обрабатываемой информации
4. Внедрить систему электронного документооборота
5. В системе однозначно описать права сотрудников (что само по себе не тривиальная задача)
6. Затем обучение сотрудников по проблемам конфиденциальности обрабатываемой информации и проставляемым грифам
7. Внедрение требований информационной безопасности в должностные инструкции
8. Создание признаков конфиденциальной информации (правил для DLP)
9. Внедрение DLP-системы

Естественно это достаточно грубая схема и в каждом случае вам придется делать по своему, однако, как мне кажется, без этого разговор о DLP просто неуместен.

Если говорить о перспективах подобных систем, то они, безусловно, есть! Однако уж очень туманны!

Вероятно, поэтому внедрение подобных систем пока не стало массовым. Надеюсь, только пока.

[1]Технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для предотвращения подобных утечек.