суббота, 17 декабря 2011 г.

Оформление внедрения DLP (продолжение)

Интересное развитие получила история с шпионажем в Cisco. Директор российского представительства уволил руководителя профсоюза.


http://cnews.ru/

Уволен председатель профсоюза Cisco Россия

Генеральный директор «Сиско Системс» Павел Бетсис подписал приказ (см. ниже) об увольнении менеджера по работе с клиентами Андрея Хабарова с 14 декабря 2011 г. «в связи с неоднократным неисполнением работником без уважительных причин трудовых обязанностей, если он имеет дисциплинарное взыскание (пункт 5 части первой статьи 81 ТК РФ)».

Андрей Хабаров вместе с коллегами Айдаром Гариповым и Вячеславом Ревичевым в мае 2010 г. организовал в российском офисе Cisco первичную профсоюзную организацию. В… полный текст
Источник: CNews


Хабаров планирует обращение в суд. Становится интересно, что же будет делать компания. Неужели у них все в таком запущенном состоянии в отношении использования DLP и расследований. Будем следить.

пятница, 16 декабря 2011 г.

Мини-DLP, но главное бесплатно

Интересное ПО обнаружил Александр Бондаренко.

Мини-DLP, но главное бесплатно

Воспользовался ссылкой и скачал. Ищет довольно шустро. Надо только написать своих регулярных выражений. Спасибо Александру.

DLP на коленке

Добры день, коллеги.
Давненько я не писал. За это время многое случилось. В частности, я пытался на коленке сделать псевдо DLP. А именно воспользоваться возможностями MS Exchange по поиску. 

У MS Exchange 2007 и выше есть возможность с помощью PowerShell поиска по всем ящикам определенной информации и выгрузка сообщений. Выгружать можно либо в заранее определенный почтовый ящик, либо в pst файл.

Экспорт производится с помощью командлета ExportMailbox. Подробно о его использовании можно посмотреть здесь. Поиск осуществляется по всем папкам почтового ящика. При этом есть возможность ввести ограничения с помощью опций ExcludeFolders или IncludeFolders. Список опций есть здесь. Можно ограничить временной период с помощью StartDate и EndDate. Можно искать отдельно по теме письма, телу письма, названиям вложений (SubjectKeywords, ContentKeywords, AttachmentFilenames). Либо по всем полям сразу (AllContentKeywords). 

Предварительно, необходимо получить администраторский доступ к почтовым ящикам. 

Для поиска и экспорта сообщений из всех ящиков на сервере я воспользовался такой командой:

Get-Mailbox -Server ИмяСервера | Export-Mailbox -IncludeFolders "\Отправленные" -TargetFolder База -TargetMailbox ИмяЯщикаКудаВыгружаем -AllContentKeywords ("*база*","*клиент*") -StartDate "05/12/2011" -AllowDuplicates -AllowMerge

Данная команда запрашивает имеющиеся ящики на сервере (Get-Mailbox -Server ИмяСервера) и для каждого выполняет экспорт (Export-Mailbox) в выделенную папку (TargetFolder База) выделенного ящика (-TargetMailbox ИмяЯщикаКудаВыгружаем) сообщений содержащих слова либо "база" либо "клиент"(-AllContentKeywords ("*база*","*клиент*")). Поиск идет по всем элементам письма (-AllContentKeywords ) в папке "Отправленные"(-IncludeFolders "\Отправленные") за период начиная с 5 декабря 2011 г. (-StartDate "05/12/2011").  При этом разрешено дублирование сообщений (-AllowDuplicates) и объединение писем в одну папку при выполнении нескольких запросов подряд (-AllowMerge). Если данную опцию убрать, то после каждого запроса будет формироваться новая папка вида "Recovered Data - <MailboxAlias> - <Timestamp>". При использовании опции -AllowMerge будет создана одна папка Recovered Data - <MailboxAlias>. Внутри данной папки будут созданы подпапки с именами почтовых ящиков, в которые будут выгружены сообщения прошедшие фильтр.

Выгруженные сообщения можно просматривать в MS Outlook. После выгрузки все папки выглядят одинаково и не понятно в каких есть сообщения, а в каких нет. Чтобы не заниматься открытием каждой папки для выгрузки желательно сделать отдельный ящик. Включать режим "Поиск по всем элементам почты" т.к. к сожалению MS Outlook не позволяет искать внутри папки и ее подпапок. И далее с помощью поиска выбирать сообщения для просмотра.

В общем, в отсутствии возможности внедрения нормальной системы DLP  есть возможность хоть как то контролировать процесс. Не очень удобно, не очень красиво. Но это лучше чем ничего.

вторник, 15 ноября 2011 г.

Оформление внедрения и использования DLP (часть 2)

Появилась новая запись в блоге посвященном борьбе профсоюза работников Cisco с самой Cisco по вопросу нарушения прав работника. Первая часть описывалась у меня здесь

Так вот, поступил ответ Департамента персонала Cisco, в котором они сообщают о том, что в обращении профсоюза не содержалось доказательной базы (документов, записей и т.д.) и соответственно получается разговор не о чем. Поэтому они не будут консультироваться с профсоюзом по данному вопросу, но если необходимо будет, то они всегда рады помочь. 

Интересная позиция. С одной стороны вроде бы правильная. Чем коллеги могут доказать свои обвинения? Как говорится "Разговор к делу не пришьешь.". Мало ли кто и что сказал. Профсоюз планирует обращаться с требованием о проверке фактов. Правда не понятно куда. И еще написать в ФСБ и Министру связи. Думаю правильно обратиться в правоохранительные органы. Но в ответ на запрос органов Cisco вполне может сообщить (и предоставить документы), что имеется соответствующая политика, инструкция, и согласие работника. А может быть и нет таких документов у Cisco (правда я в этом сомневаюсь). Или написаны они не совсем правильно. 

В общем буду следить. Очень интересная ситуация.

Ассоциация руководителей служб информационной безопасности (АРСИБ)


На днях прошел процедуру принятия в челны Ассоциации руководителей служб информационной безопасности (АРСИБ). Заявление на вступление подал на выставке Infosecurity в руки Терентьеву Д.А. Он сообщил, что в октябре будет заседание правления, на котором будет принято решение о моем членстве в ассоциации. И вот от него пришло письмо с поздравлениями. Оплатил членский взнос и получил доступ к порталу. Также выбрал комитеты, в работе которых хотел бы принимать участие. Надеюсь, что наше сотрудничество с ассоциацией будет взаимовыгодным и интересным.

понедельник, 14 ноября 2011 г.

Теплоизоляция

В выходные занимался утеплением загородного дома. А именно, утеплял потолок первого этажа. Над ним будет мансарда (позже), а пока просто чердак. Выяснилось, что дед когда строил дом, сэкономил на утеплении. И в результате потолок состоит из двух слоев досок и все. После изучения Интернета выбор пал на утеплитель ЭкоВата. Делается материал из отходов бумажного производства. Представляет собой целлюлозные волокна. В качестве плюсов экологичность, низкая теплопроводность, не сильно горюч. Точнее не поддерживает горение. Множество положительных отзывов. 


Цены на монтаж примерно одинаковые. В результате выбрал компанию ЭкоФлок. Договорился на выходные. Проблем никаких. По цене приемлемо. Единственно, за малые объемы (у меня получилось 20 куб.м.) накинули 1000 руб. 

В субботу ребята приехали рано. Быстро развернули оборудование. 
И процесс пошел. В емкость сверху высыпается мешок утрамбованной ваты. В аппарате он разбивается с помощью мешалки и по шлангу отправляется к месту насыпки. Шума практически нет. Аппарат гудит как пылесос. А наверху вообще тихо. За 2 часа, без перекуров и остановок, ребята засыпали 64 кв.м. слоем 30 см. Потом выяснилось, что получился перерасход ваты. Я готов был оплатить, но они сказали надо понять чей косяк. То ли я обсчитался в кв.м., то ли они сыпанули лишнего. В результате выяснилось, что и я просчитался и они сыпанули. Предложили оплатить перерасход пополам. В общем самой работой я доволен. Теперь посмотрим как будет зимой. 


вторник, 8 ноября 2011 г.

Оформление внедрения и использования DLP

Наткнулся на интересную запись в блоге на CNews. Вкратце речь идет о представлении на увольнение директора Cisco Systems  в России П.Бетсиса от профсоюза работников. Основанием послужило то, что в отношении работников организации проводилось служебное расследование (насколько я понял). Основанием для служебного расследования явились данные полученные из перехвата частной переписки по Gmail полученные якобы негласно. Интересная ситуация. С точки зрения сотрудников я согласен. Нельзя негласно собирать информацию. И тем более передавать ее кому то. 

Однако с точки зрения работодателя все немного по другому. Получается, что процесс использования DLP системы не был должным образом оформлен. 

Как я уже писал ранее, в таких случаях нужно получать письменное согласие работника на проведение контроля. Уведомлять работника о наличии системы DLP. Доводить под роспись запрет на обработку личных данных, а также запрет на личную переписку. В этом случае, сразу отпадает уголовно наказуемый негласный сбор информации. А имея согласие работника на контроль за его работой (в том числе и перепиской) и его обязательство не использовать средства для личной переписки будет сложно ссылаться на конституционное право.

В общем я надеюсь, что компания Cisco все таки грамотно внедряет свои системы. 

А работникам желаю, чтобы наоборот.

суббота, 29 октября 2011 г.

А зачем шифровать?

Очень часто слышу вопрос: "А зачем шифровать ноутбуки? Ведь это не удобно и сложно и дорого (возможно).". Или вот еще у больших боссов: "У меня охранник всегда со мной. Так что его не украдут.". 

Так вот мое мнение шифровать необходимо. Потому что в жизни всякое бывает. И у топов ноуты пропадают. На одном из мест работы зашифровали все ноутбуки. Все ругались, плевались и т.д. Однако вскоре произошло ЧП. У директора департамента украли сумку с ноутбуком, документами и т.д. Совершенно случайно. Приехал домой после ресторана и забыл сумку на полу заднего сиденья. Окна тонированы почти в ноль. И тем не менее, разбили окно и унесли. И вот он рассказывает нам как же хорошо, что все зашифровано. А в другом месте украли у топа. И вроде бы охрана была, и все остальное. Тем не менее и на старуху бывает проруха.

Тогда мы использовали SecretDisk, сертифицированную версию. И шифровали весь диск. Т.е. и системный диск. Соответственно перед загрузкой требовалось предоставить токен и пароль. 

Но в целом можно использовать и бесплатный TrueCrypt. Тем более, что он тоже умеет шифровать системный диск. И имеет еще множество вкусностей, с которыми можно ознакомиться на сайте.

пятница, 28 октября 2011 г.

VMWare vCenter Converter и сохранение информации

В любой нормальной организации проводится резервное копирование информации. Обязательно с серверов. Реже с рабочих станций. Достаточно часто возникает вопрос с увольняемыми. Человек написал заявление на увольнение. А вдруг у него на рабочей машине что то ценное, что он не положил на сервер? А если он все сотрет в последний день?

Одним из решений, на мой взгляд, может быть использование продукта VMWare vCenter Converter. Продукт бесплатен и позволяет сделать VMWare образ с работающего компьютера. При этом сохранится возможность использования всего того ПО с которым работал сотрудник.  Правда при этом возникает вопрос с доступом к личным данным. Но здесь, я думаю, поможет получение согласия и всего остального в рамках использования DLP.


Интерфейс программы достаточно прост и понятен. Можно настроить какой именно образ нужен. Изменить результирующие параметры виртуальной машины.

















vCenter Converter работает достаточно хорошо. Хотя бывают моменты. У меня была ситуация, когда в начале снятия образа все работало быстро, но в какой то момент вдруг резко падала скорость передачи (с 12 Мб/с до 600 кб/с). При этом причина падения была не понятна. В остальном все было хорошо. Снятые образы запускались в VMWare Player и позволяли, при необходимости, получить необходимые документы.

Решение конечно не самое правильное, но тем не менее работающее и позволяющее хоть как то решать вопрос сохранения информации.

четверг, 27 октября 2011 г.

Смарт-карты от Аладдина и Windows7



Ранее я писал, что выбираю и тестирую систему двухфакторной аутентификации на базе смарт-карт. Так вот недавно, с директором по ИТ, мы тестировали продукт от Алладина. Ставили Network Logon на Windows7. При этом использованный компьютер был не в домене. Выяснились несколько особенностей. В частности, сделать вход только по смарт-карте так, как написано в инструкции нельзя. По крайней мере у нас не получилось. Звонок в поддержку Аладдина не прояснил ситуации. Девушка упорно сообщала, что вся процедура написана в инструкции. На наше замечание, что описанная процедура не работает, она сообщала:"Но ведь в инструкции написано, значит работает.". Забавно. Но в конце концов с помощью лома и какой то матери, а также с помощью правки реестра мы своего добились. Но выяснилось, что если у вас есть учетные данные в нескольких доменах и вы хотите эти учетные данные записать на смарт-карту, то ничего не выйдет. При запуске wizard'а он автоматически подставляет текущий домен (т.е. тот в котором находится компьютер, на котором запущен wizard). В инструкции написано, что можно исправить реестр и тогда такой подстановки не будет. Однако на Windows7 это не срабатывает (что в общем то и написано в инструкции). Поэтому пришлось директору идти на мой компьютер (который входит в основной домен) и на нем запускать wizard и прописывать свою учетную запись для другого домена в свою смарт-карту. 

В общем и целом мы победили. Однако в ходе установки и проверки возникла мысль. Ведь Windows7 умеет работать со смарт-картами самостоятельно. И теоретически, если подключить совместимый считыватель и смарт-карту, то можно работать и без использования всяких Network Logon и т.д. Но смарт-карты от Алладина не распознаются Windows7 как совместимые. 

Мы обратились к коллегам с этим вопросом и те предложили попробовать другую смарт-карту и считыватель. А именно эти смарт-карту и считыватель. И даже любезно предоставили один комплект на тестирование. Единственно, этот комплект не сертифицирован. Но нам никто не мешает в нужных местах использовать сертифицированное решение от Аладина, а для остальных использовать другие карты. Тем более, что цены примерно одинаковые. Так что по результатам напишу.

четверг, 13 октября 2011 г.

Интересный и опасный DDOS

Наткнулся на интересное описание варианта атаки DDOS. Метод называется slow HTTP POST. Является развитием атаки Slowloris. Впервые обнаружена в сентябре 2009 года Wong Onn 
Chee и его командой.

Смысл атаки в том, что мы посылаем POST запрос обычного вида. При этом в поле Content-length пишем, например, значение 1000 байт. Т.е. сервер понимает, что мы хотим отправить ему 1000 байт. Соответственно он их начинает ждать. А мы в ответ посылаем эти 1000 байт со скоростью 1 байт в 110 секунд. Если таких запросов 20 000 = DDOS. Исходя из реализации принципа атаки, атакующему не нужен скоростной канал. При этом, атаки такого типа будет на мой взгляд довольно сложно обнаружить. Т.к. формально ничего особенного не происходит. Просто у клиента медленный канал. Или это мобильный пользователь. 

Таким образом, web сервера, на которых есть формы для ввода данных (логин/пароль, webmail и т.д.) подвержены такой атаке. При этом вероятность такой атаки увеличивается, т.к. злоумышленники переходят на использование сетей 3G, а там скорости не супер.

Вариантом защиты может быть ограничение размера принимаемых данных. Если это логин и пароль то не нужно принимать в такое поле 1 Кб данных. Установить Request Timeout. Определить порог минимальной скорости. Но при этом есть вероятность отсечь пользователей с медленными каналами и мобильных пользователей.

В сети есть ПО для проверки уязвимости. И есть описание в виде презентации (на англ. языке).


вторник, 11 октября 2011 г.

ИБ и проекты

Я вот задался вопросом "Должен ли специалист по ИБ сам влезать в проекты и обеспечивать их безопасность или все таки его должны включать в проектную группу?". По правильному вроде бы второй вариант. Но по моему опыту редко когда спеца по ИБ включают в проектную группу. Но почти всегда возникает момент, когда руководитель проекта приходит к спецу по ИБ с вопросом будем ли мы защищаться и как? Один из моих руководителей называл это "Разделить ответственность". Обычно после разговора руководитель проекта огорчается и уходит. Хорошо, если после этого начинают что то делать в области ИБ. Мне удавалось изменить ситуацию и добиться, чтобы вопросы ИБ согласовывали с самого начала. 
Коллеги, мне интересно это только мне так "везло" или это стандартная ситуация?

понедельник, 10 октября 2011 г.

Кибервойна

Интересная новость появилась на сайте www.lenta.ru.


Компьютерный вирус поразил систему управления американскими БПЛА

В системе управления американскими беспилотными летательными аппаратами (БПЛА) обнаружен компьютерный вирус, сообщает Associated Press в субботу, 8 октября, со ссылкой на журнал Wired.
По данным издания, вирус, отслеживающий нажатие клавиш на клавиатурах, поразил компьютеры на базе ВВС США Крич в штате Невада. С этой базы дистанционно управляют беспилотниками Predator и Reaper, участвующими в операциях в Ираке, Афганистане и других странах мира. Удалить вирус, как стало известно Wired, пока не удается.

Такими темпами скоро войны будут похожи на компьютерные игры, типа Command&Conquer. И где гарантия, что следующий вирус не начнет бомбить кого нибудь. А еще вопрос, где же была система безопасности. Антивирусы разные, система контроля доступа и т.д.

пятница, 7 октября 2011 г.

Rutoken и eToken

Чуть ранее, на выставке INFOBEZ, я общался с представителями Рутокен. И выдвинул предположение о том, что стоимость их ключей больше стоимости ключей Аладдина. Вчера решил посмотреть и оказалось, что ключи Рутокен дешевле. В частности, по официальным данным с сайта:

eToken PRO (Java)/72K USB-ключ eToken PRO (Java), защищённая память 72КБ 
(1 - 1000 шт) -  991р. 
(1000+ шт)   -  921р. 

eToken PRO (Java)/72K/CERT-1883 USB-ключ eToken PRO (Java), защищённая память 72КБ, сертификат ФСТЭК №1883    
(1 - 1000 шт)  - 1 060р.  
(1000+ шт)     - 1 007р.  


Рутокен 32 Кб  (1-199 шт) 770 руб
                            (200-499)   704 руб
                            (500-999)   681 руб

Рутокен 64 Кб  (1-199 шт) 784 руб
                            (200-499) 717 руб
                            (500-999) 693 руб

Рутокен 128 Кб (1-199 шт) 986 руб
                             (200-499) 925 руб
                             (500-999)  звоните

Рутокен 32Кб (серт ФСТЭК)  (1-199 шт) 827 руб
                                                      (200-499) 760 руб
                                                      (500-999) 736 руб

Рутокен 64Кб (серт ФСТЭК)  (1-199 шт) 841 руб
                                                      (200-499) 773 руб
                                                      (500-999) 748 руб



Получается по стоимости чистого железа Рутокен дешевле. Интересно было бы посмотреть решение в целом. Т.е. железо + ПО в пересчете на одно рабочее место. Если будет время и возможность надо будет посмотреть. Должно быть интересно.

четверг, 6 октября 2011 г.

Умер Стив Джобс

Сегодня сообщили, что умер основатель компании Apple Стив Джобс. Это большая потеря для мира ИТ. Человек стоявший у истоков персональных компьютеров. Создатель персонального компьютера Макинтош, графического интерфейса, компьютеров Next, студии Pixar, iPhone, iPad и много другого. Мое знакомство с миром компьютеров начиналось с Apple II (который до сих пор жив).  

Этот человек обладал даром предвиденья будущего информационных технологий.
Выражаю свое соболезнование семье Джобса. 

среда, 5 октября 2011 г.

INFOBEZ-EXPO 2011

Вчера был на INFOBEZ-EXPO 2011. Посмотрел, послушал, пообщался. В целом выставка похожа на Infosecurity. Что в общем то и понятно, т.к. вышли они друг из друга. Заметил одну особенность (хотя может просто показалось). На Infosecurity было больше зарубежных компаний, а на INFOBEZ больше российских. Сама выставка не очень большая. Мне показалось даже меньше Infosecurity. Запланировано много мероприятий. Толком на мероприятиях посидеть не удалось, как и попасть на раздачу пива в конце дня. Но тем не менее. 

Один раз очень напугали барабанщицы. Они незаметно вышли из за спины и как грянули марш. Оказалось, это был своего рода анонс выступления на центральной сцене.

Пообщался на стенде Сертифицированные информационные системы с Ульяной Малиной. В ходе беседы Ульяна активно рекламировала сертифицированные продукты Microsoft. На вопрос,
 "Если установлена сертифицированная Windows XP/7 можно ли считать встроенный межсетевой экран также сертифицированным?", Ульяна ответить затруднилась. Но сказала, что уточнит. В качестве межсетевого экрана у них сертифицирована MS ISA 2006. А вот TMG только сертифицируется. 

Интересно идет получение сертифицированного продукта. Если у Вас ничего нет, то просто покупаете сертифицированную версию и все. А вот если у Вас уже куплена лицензионная версия скажем Windows 7. ТО тогда Вы передаете диск и лицензионный номер к ним в компанию. Они вместе с Microsoft проводят сертификацию и возвращают Вам. После этого нужно переустановить систему с выданного диска. Потом установить сертифицированные обновления. Потом, по словам Ульяны, можно установить несертифицированные обновления. И все. Хотя у меня возникает вопрос, после установки несертифицированных обновлений не аннулируется ли сертификация продукта? На то они и сертифицировали продукт и обновления к нему, чтобы сказать, что в нем все чисто. А после установки несертифицированных обновлений, так сказать уже нельзя. В общем вот такой разговор был на стенде Сертифицированных информационных систем. 

Еще пообщался с Рутокен. Спрашивал о наличии смарткарт. Сказали пока нет, но будут. По ценам на USB-токены они по моему проигрывают Аладину. Надо сравнить. Плюс у них нет своего ПО типа Network Login и TMS. Это может и не слишком важно, но все таки.

Также интересно рассказывали на стенде ТаксКом. Предлагали перейти на электронный документооборот с поставщиками и заказчиками. В качестве платформы предлагали свой продукт Такском-Файлер. Пока бесплатно. Но когда правительство примет соответствующее законодательство, то будет за деньги. Весь обмен идет через них, как оператора. Причем если Ваш контрагент нуждается только в получении документов, то он может и не ставить клиента, а работать через WEB сайт. В этом режиме возможно только получение. На вопрос о том хранят ли они на сайте копии сообщений, сказали, что не хранят сами сообщения. У них остается на хранение только квитанции об отправке и получении. Если надо могут организовать и полноценный архив. Надо будет подумать над этим вместе с финансистами.

В общем неплохо провел день.


вторник, 4 октября 2011 г.

Взлом из сети выставки по безопасности.

   Забавный случай произошел на выставке Infosecurity 2011. Мы с коллегой слушали одну из презентаций. В какой то момент выступление был не очень интересно и коллега решил посмотреть, что происходит в окружающем эфире. Включив на своем Ipad обнаружение WiFi сетей, он обнаружил большое количество устройств. Среди найденных устройств высветился некая точка доступа D-Link. Проведя сканирование портов обнаружили открытый порт 80. Это оказалась консоль управления. Пробуем классическое admin/admin, и вот он интерфейс управления.  Покопавшись в настройках и не найдя ничего интересного, поиграли со светодиодами, отключили несколько устройств. Потом перезагрузили точку доступа  и отключились. Искать где же расположено это устройство не очень хотелось и было некогда.
  
Очень забавно выглядело использование незащищенной точки доступа и логина/пароля по умолчанию на выставке по безопасности. При этом, существует опасность того, что такой точкой доступа воспользуются злоумышленники. И будет очень смешно, когда выяснится, что взлом произошел из сети выставки по инфобезопасности. С другой стороны в парке Сокольники кругом бесплатный WiFi, но тем не менее. 

Когда люди научатся менять пароли по умолчанию сразу после включения устройства?

А нужно ли внедрять дорогую DLP систему?

В выходные сидел в Интернете и наткнулся на статью одного человека, о том как он сделал себе на дачу GSM сигнализацию о взломе. Статья конечно интересная, но не менее интересны комментарии к статье. И вот, в частности, в комментариях один из читателей написал, что в целом достаточно эффективно защищает простая установка мигающего светодиода. Залетных отпугнет, а если кто захочет, так и сигнализация не спасет. Тем более без соответствующего договора с ЧОПом или ВОХР.
  Так вот, к чему это я. Мне кажется, что во многих компаниях вместо дорогостоящего внедрения DLP вполне хватит "мигающего светодиода". Т.е. объявления сотрудникам о наличии системы контроля. Здесь конечно есть и минусы. Такое решение не обеспечит защиту от случайного нарушения, типа отправки не тому адресату. И все равно нужны хоть элементарные средства контроля, чтобы периодически показательно карать нарушителей (типа NetResident от TamosSoft).  Кроме этого, нужно проводить мероприятия по повышению осведомленности. Чтобы люди знали и понимали вопросы безопасности. Но тем не менее, в не очень крупных компаниях где воровать особенно нечего, но порядок все равно нужен, такое решение может и сработать. У меня такой вариант сработал ранее в одной из компаний. Кстати, интересное обсуждение по теме внедрять или нет DLP есть в блоге Александра Бондаренко.
  

пятница, 30 сентября 2011 г.

Infosecurity 2011 (день второй)

Вчера весь день посвятил Zecurion DLP Forum'11. Мероприятие проходило в зале №4 расположенном отдельно от основного зала выставки. На входе стояли бдительные девушки и без наличия фамилии в списке не пропускали. Сначала. Потом все таки пускали. У меня проблем не возникло, т.к. я отправил запрос на регистрацию днем раньше и получил подтверждение. Однако мой коллега этого сделать не смог и его сначала не пускали. Мотивируя это тем, что якобы у них на 150 мест 300 желающих. Но когда к началу форума зал был заполнен наполовину, все таки решили пустить. 

Всем раздали тряпочные сумки с материалами. Среди материалов был блокнот, ручка, программа форума и рекламный буклет с продукцией Zecurion DLP. Да и еще в каждой сумке лежала книга. У всех разная. Мне досталась книга Паоло Коэльо "Алхимик". Коллеге достался Жан Жак Руссо. Забавно. Программа форума состояла из трех сессий. Плюс в конце обещали чемпионат по картингу. Но я на него не пошел. Были дела дома. 

Форум начался не очень организованно. Т.к. большинство докладчиков опоздали. Но тем не менее начали вовремя. В первой сессии под названием "DLP-сегодня: задачи и возможности" выступал А.Раевский с докладом по теме "Стратегический подход к защите от утечек: какие бизнес-задачи решают современные DLP-системы". 
Потом выступил И.Шабанов из Anti-malware.ru. Но его доклад как то не впечатлил. Раевский был интереснее. 
Затем очень не плохо выступил М.Кардер из Cisco. И еще выступил Е.Климов из RISSPA. 

Во второй части под названием "Выбор DLP" выступали П.Савич из Websense с интересным докладом о потребностях клиентов и возможностях систем DLP. В частности, он пытался объяснить, что зачастую клиенты требуют от системы DLP возможностей, ктороые в жизни не очень нужны. Например, морфологический анализ. По его словам это не самое главное свойство DLP. И если его нет, то вполне можно обойтись звездочкой - договор*. 
Р.Подкопаев (Zecurion) с докладом "А что вам нужно от DLP?". Затем выступил О.Головенко из Symantec с обзором технологий DLP. 
Затем был довольно скучный (для меня) доклад А.Рогожина из Trustwave о DLP в контексте PCI DSS.

В третьей части под названием "Практика защиты от утечек: от внедрения до расследований", довольно интересно выступил А.Новиков из McAfee. Он рассказывал о сложностях при внедрении DLP. 
Затем было выступление представителя Group-IB. Он много рассказал о проведении расследований. Но не совсем понятно было при чем здесь DLP. И когда мы спросили использовались ли системы DLP и их логи при расследовании. Был получен ответ  "Нет". 

Очень интересно выступал К.Суворов из адвокатской конторы "Корельский, Ищук, Астафьев и партнеры" о том, насколько правомерно использование DLP в компании. И что необходимо для обеспечения правомерности. Т.к. по конституции все имеют право на тайну частной переписки. И за нарушение этого права грозит уголовная ответственность. Но и работодатель имеет право контролировать исполнение обязательств. Но чтобы не нарушать права работника нужно получить его согласие. Тогда работодатель прав не нарушает. Было много вопросов. Например, даже если нет DLP, то есть скажем антиспам фильтр, который просматривает почту. Формально нарушаются права на тайну переписки. Т.е. нужно согласие работника. Для себя определил, что надо наравне с согласием на обработку персональных данных, брать еще согласие на доступ к переписке. Плюс вводить режим коммерческой тайны и запрещение использования служебных средств в частных целях.

Напоследок было выступление К.Керценбаума. В своем докладе Керценбаум пытался довести до нас, что внедрение DLP это одно из последних средств.  А на начальном этапе многие вопросы можно закрыть простыми средствами. Внедрением антивируса, межсетевого экрана, систем IDS/IPS и т.д.

Вкратце все. В целом форум понравился. Почерпнул некоторую новую для себя информацию.

среда, 28 сентября 2011 г.

Infosecurity 2011

Сегодня с утра сходил на выставку Infosecurity. Сама выставка проходит в Сокольниках. По размеру не очень большая. Крупных производителей не много. Но тем не менее посмотреть кое что можно. Для меня основное все таки общение с коллегами и представителями компаний. А также участие в семинарах и других мероприятиях. Сегодня послушал выступление по теме "Безопасность WEB-приложений - а Ваш WEB-сервер защищен?". Выступал Маркус Хенинг из Astaro GmbH. Выступление не очень понравилось. Маркус дал общую информацию о взломе RSA, Barracuda. И еще общие размышления. После этого посетил демонстрацию решения Центр мониторинга и управления безопасностью предприятия от компании АйТи. Коллеги рассказывали о своем продукте Security Vision. Продукт  как я понял является некоей надстройкой над SIEM. В демонстрации был использован Q1 Radar. Но по словам АйТи можно использовать любую другую SIEM. Кроме этого, они добавили немного функционала. Например, работу с ПО и устройствами российских производителей. Возможность проведения инвентаризации и контроля целостности, а также некий incident management. В конце представители АйТи провели конкурс а-ля  "Кто нас слушал, молодец". Задавал вопросы по информации из презентации. Мы с коллегой выиграли по две флешки. 
На стендах активно пообщался с представителем Qualys и их партнером компанией Анализ защищенности. Они предлагали попробовать QualysGuard бесплатно. Все интересно и замечательно. Единственно смущает стоимость решения - 15 000$/год на 256 машин. Стоимость Nessus на год 1200$. Но как говорит Анализ защищенности Qualys круче. Думаю попробовать и сравнить. Далее Ассоциация руководителей служб информационной безопасности (АРСИБ) рекламировало свою инициативу совместно с кадровым агентством Кордек под названием "Кадровый резерв". Планируется помогать спецам в ИБ находить правильные вакансии, а работодателям находить правильных специалистов. В ходе общения принял решение вступить в АРСИБ. Заполнил анкету. Обещали на ближайшем заседании в октябре рассмотреть мою кандидатуру. Посмотрим, что из этого выйдет. В общем пока все. Завтра планирую сходить на DLP форум. Постараюсь написать по результатам

пятница, 23 сентября 2011 г.

Документы в рамках ФЗ №152 (продолжение)

Вчера был пост про документы по ФЗ №152 и их внутреннему наполнению. Сегодня я наткнулся на ссылку на сайте Защита персональных данных, содержащую подборку документов необходимых в рамках ФЗ №152. Документы из тех же методических рекомендаций Министерства здравоохранения и социального развития. Подборка большая (26 документов) и на мой взгляд полезная. Желающие могут ознакомиться. Мне кажется если оператор сделает себе примерно такую же подборку, то вопросов от регуляторов будет гораздо меньше. 

четверг, 22 сентября 2011 г.

Документы в рамках ФЗ №152

Просматривая перечень документов необходимых для выполнения требований ФЗ №152 "О персональных данных" обратил внимание на документы Инструкция пользователя ИСПДн, Инструкция администратора ИСПДн, Инструкция администратора безопасности ИСПДн. Возник вопрос, а насколько подробными должны быть эти инструкции? Будет ли достаточно инструкции размером в 2-3 страницы, описывающей основные действия пользователей и администраторов? Решил поискать в сети, какие варианты предлагаются обществом. Наткнулся на следующие варианты от Министерства здравоохранения и социального развития РФ (инструкция администратора безопасности, Инструкция администратора, Инструкция пользователя). Варианты весьма лаконичные. Но тем не менее описывают основные действия. Формально инструкция есть. Вопрос удовлетворит ли такая инструкция регуляторов? Может быть у кого то был опыт общения с регуляторами? Какие требования к таким документам?

вторник, 13 сентября 2011 г.

С Днем программиста!!!

Чуть не забыл.

Поздравляю всех программистов с профессиональным праздником. Поменьше багов в вашей жизни.

Безопасность и бюджет

Очень часто возникает вопрос бюджета на внедрение средств ИБ. Это бюджет какого подразделения? Многие скажут конечно же подразделения ИБ. Возможно. Но ведь средства обеспечения ИБ защищают всю компанию. Хотя часть средств защиты может относится к конкретному подразделению, или к ПО используемому в конкретном подразделении. Так что получается, что бюджет на средства обеспечения ИБ должен быть во всех подразделениях (в том или ином размере). И мне кажется естественным закладывать деньги на средства ИБ при закупке/внедрении нового ПО, а не после закупки/внедрения.

А то получается история.
Я сначала купил "Жигули", а потом говорю: 
- А безопасно ли на них ездить? 
- Нет, не безопасно. Нужна подушка безопасности, АБС, преднатяжители.
- Ну так сделайте безопасно.
- Но тогда нужно для начала все это купить и установить, при этом из за подушки придется залезать через заднюю дверь. Плюс время на установку 1 месяц.
- Нет, это меня не устраивает. Мне нужно здесь и сейчас. Плюс входить через заднюю дверь я не хочу/могу.
Значит садись и езжай так. Только в случае аварии не пеняй на безопасника. Он предупреждал. А еще лучше, надо было при покупке проконсультироваться.

А ведь очень часто в компаниях при покупке некоего ПО так и происходит. Сначала что то купят, а потом требуют с безопасника сделать работу безопасной. А на его замечания, что это будет стоить денег и неудобств (в связи с тем, что изначально вопросы безопасности не рассматривались), следует ответ: "Сделай здесь и сейчас и бесплатно и удобно".

Может быть, все таки стоит работать вместе и продумывать вопросы безопасности заранее? 

суббота, 10 сентября 2011 г.

Борьба с мошенниками

Во время моей работы в банке нам приходилось бороться с так называемыми дропами. Т.е. людьми, которые занимаются обналичиванием краденных денег через банковские карты. И большой проблемой были люди, которые открывали счет сначала в одном банке. Потом когда там закрывали их счет за такие операции обналичивания, они шли в следующий банк и так далее. Возникает вопрос, как узнать, что человек уже участвовал в схемах обналичивания или других негативных схемах и не открывать ему счет или применять некие средства контроля? 
И тогда возникла идея организовать обмен такой информацией между банками и заинтересованными организациями. Но как это сделать не нарушая закон о банковской деятельности и закон о персональных данных? Одним из вариантов видится объединение участников в некую сеть и организация обмена информацией на базе некоего сервера для обмена. Но при этом на сервере не должно храниться никакой информации. Т.е. это просто некий сервер для связи. 
Схема работы могла быть такой. Есть некое клиентское ПО. В него заносятся ФИО человека, его дата рождения и некая "Соль" для усложнения взлома хеша. Считается хеш полученной строки и результат передается на сервер. Сервер отправляет запрос наличия такого хеша членам сети. Соответственно, банк или другая организация получив запрос от сервера производит поиск по заранее просчитанным хешам известных ему дропов или мошенников. Если совпадение есть, то он отправляет серверу флаг. Таким образом, сервер получает от участников обмена флаги, говорящие о том, что на запрашиваемое лицо есть негатив. Но при этом сервер не фиксирует от кого получена информация и какой именно негатив. После получения всех ответов сервер передает результат инициатору запроса. Инициатор на основании количества флагов может принимать некие решения и учитывать риски. Например, ставя клиента на контроль. Таким образом мы не раскрываем информацию о клиентах, не передаем ПДн в открытом виде. 
Вроде бы на первый взгляд все должно быть хорошо. Возможно коллеги найдут уязвимые места такого алгоритма. Готов выслушать.

пятница, 9 сентября 2011 г.

Вспомнить детство

На просторах Интернета наткнулся на забавный видеоролик. Это правда к безопасности не совсем относится, но тем не менее. Некто решил проверить, можно ли с помощью обновлений перейти из MS Windows 1.0 в MS Windows 7. Сразу вспомнилось детство, первые компьютеры, Win95 на 32 дискетах 3.5 дюйма. Было время. В ролике поразило то, что в результате обновлений в Win7 подтянулись программы установленные в Win 1.0 (типа Doom). В целом Майкрософт конечно молодцы. Единственно, как безопасника меня заинтересовало как изменялось количество уязвимостей от системы к системе. Было бы интересно проанализировать такую зависимость.


четверг, 8 сентября 2011 г.

Расследование инцидентов и не только

На днях я писал про инструменты исследователя под названием CAINE и Kon-Boot. Сегодня хотел бы рассказать еще об одном дистрибутиве. Точнее наборе дистрибутивов с названием KATANA.
В набор входят следующие продукты:
CAINE 

Весь набор записывается на флешку. При этом рекомендуется использовать флешку размером 8Гб. При старте с флешки появляется меню выбора системы


После выбора происходит загрузка соответствующей системы или ПО. При этом есть возможность работать с частью ПО из ОС Windows в рамках Katana ToolKit


Мне продукт понравился. Своего рода швейцарский нож для хакера/безопасника.

среда, 7 сентября 2011 г.

Зачем нам пароли?

Как то наткнулся на интересный продукт Kon-boot. Данный продукт позволяeт загрузить ОС Windows и даже Linux не зная пароля администратора или пользователя. Вот таблица версий ОС Windows (с сайта разработчика), с которыми протестирована программа.

Tested Windows versions
Windows Server 2008 Standard SP2 (v.275)
Windows Vista Business SP0
Windows Vista Ultimate SP1
Windows Vista Ultimate SP0
Windows Server 2003 Enterprise
Windows XP
Windows XP SP1
Windows XP SP2
Windows XP SP3
Windows 7


А вот ОС Linux

Kernel
Grub
Gentoo 2.6.24-gentoo-r5
GRUB 0.97
Ubuntu 2.6.24.3-debug
GRUB 0.97
Debian 2.6.18-6-6861
GRUB 0.97
Fedora 2.6.25.9-76.fc9.i6862
GRUB 0.97


Маленькая программка (влезает на дискету, если кто то их еще использует) стартует перед ОС, производит магические действия и далее загружает основную ОС. После появления запроса имени учетной записи и пароля, вводим необходимые данные (например Администратор) и пустой пароля. Жмем вход и все! 



Единственное, мы войдем под учетной записью локального пользователя. С доменным чуть сложнее. Но тоже возможно, если на локальном компьютере сохранился кеш для автономной работы, то тогда может сработать и с доменным пользователем. В общем интересный продукт и опасный. Вот здесь можно взять ISO образ.

вторник, 6 сентября 2011 г.

Круговая защита данных

Сегодня сходил на семинар от компании SoftLine под названием "Круговая защита данных". Как оказалось название не совсем соответствовало наполнению. Были следующие доклады:

- Построение эффективного DLP-решения на базе DeviceLock 7 в корпоративной среде
- Главные возможности нового семейства продуктов ABR 11
- Обзор продукта SANsymphony-V и его возможностей. Оценка экономической целесообразности приобретения ПО

Т.к. я нахожусь в поиске DLP решения, мне было интересно послушать про DeviceLock DLP. В ходе доклада рассказывалось как все замечательно построено и работает. Правда в связи с тем, что основная масса слушателей были сисдамины, доклад был больше ориентирован на них. Система является Endpoint решением. Т.е. на клиентские машины ставится агент, который и производит все действия. Система фильтров пока не очень развита. Есть поиск по ключевым словам, по шаблонам (с использованием RegExp), сложные шаблоны. Перехватываются многие каналы (http/s, pop/smtp, IM, print). Но почему то не берется Skype. Хотя у других перехват есть. Докладчик мотивировал отсутствие тем, что протокол Skype закрыт. Ну да ладно.
Очень интересно выглядела сессия вопросов после доклада. Докладчик (Сергей Вахонин) достаточно агрессивно защищал свой продукт и на вопросы иногда отвечал довольно резко. Скользкие вопросы по нагрузке на компьютер и сеть плавно обходились или давались размытые ответы. Из этого можно сделать вывод, что нагрузка на клиентские машины есть. Также с централизованным сбором логов и теневых копий. Для снижения нагрузки ставьте больше серверов в разных сегментах и соответственно платите больше денег за лицензии. В целом у меня впечатление сырого продукта. Старый DeviceLock для работы со съемными носителями мне нравится. Система отлажена и работает. А вот новые навороты, мне кажется еще сыроваты. 
Далее рассказывали про новую версию Acronis backup and restore. Выглядело достаточно интересно. 
И напоследок рассказывали про решение компании DataCore. Решение позволяет виртуализировать хранилище данных. При этом можно использовать самое разное оборудование и каналы связи. В целом понравилось, надо будет почитать дополнительно.
В общем было нормально. Не могу сказать, что в полном восторге, но кое что полезное почерпнул.

Расследование инцидентов

В свое время приходилось активно участвовать в расследовании различных инцидентов ИБ. При этом необходимо было производить анализ компьютера подозреваемого.  Вот решил поделиться инструментарием. На сегодня существует несколько специальных дистрибутивов для проведения расследований. Есть и платные и сертифицированные (правда за рубежом) и бесплатные. Среди таковых мне очень нравится система CAINE (Computer Aided Investigative Environment). Дистрибутив обладает приятным интерфейсом и достаточным набором инструмента (список инструментов). При загрузке монтирует все разделы в режиме чтения, чтобы не нарушить улики. При необходимости монтирования в режиме записи необходимо набирать команду в консоли. Есть возможность делать образы дисков для анализа. Ведь с точки зрения расследования и суда, нельзя проводить анализ на компьютере подозреваемого. Т.к. в процессе анализа вы нарушаете целостность системы, вносите изменения и т.д. Поэтому весь анализ проводится только на образе системы. В ходе анализа есть возможность восстановления удаленных файлов. Поиск информации, просмотр кеша и многое другое.
Все инструменты собраны в единое меню. В рамках данного меню сразу заводится название расследования и имя исследователя. 

Позволяет выгрузить отчет в формате RTF или HTML.


В целом если Вам требуется провести локальное расследование и не потребуется предоставление результатов в суд, то я рекомендую данный продукт. С обращением в суд не готов сказать однозначно, но думаю, что российский суд доказательства собранные данной программой не примет во внимание.





понедельник, 5 сентября 2011 г.

Двухфакторная аутентификация в Google

На днях включил в Gmail функцию двухфакторной аутентификации с помощью одноразовых паролей (one time password - OTP). Процесс активации выглядит достаточно просто. Можно получать коды на телефон в виде СМС, или воспользоваться программкой для смартфона Iphone/Android. Про Symbian не помню... Но думаю, что тоже есть. Я выбрал смартфон. Ставится небольшая программка, которая генерирует разовые коды. Срок жизни кода 1 минута. На начальном этапе необходимо активировать генератор кодов и синхронизировать с сервером. После этого, необходимо создать пароли для сервисов не умеющих работать с OTP (например приложение для GMail на смартфон). GMail создает пароль длиной символов 20, который необходимо ввести в программу один раз. И все. Для случая когда нет телефона или он неисправен, предлагается предоставить альтернативный номер мобильного для СМС и распечатать спецкоды на бумажку. 
В целом мне сервис понравился. Да появилось лишнее действие на входе, но как мне кажется стало более безопасно. Код спрашивают на входе в GMail, Blogger. В других местах не знаю, не пробовал. В общем рекомендую всем. 
Вот бы такую штуку сделали для банк клиентов.... Часть банков уже использует OTP токены. Но многие считают их дорогими. Мне кажется для таких подошел бы программное решение как у Google.

пятница, 2 сентября 2011 г.

Мы персональные данные не обрабатываем!

Во время аудита на предмет выяснения ИСПДн очень часто в начале разговора возникает ситуация, когда опрашиваемый заявляет: "А мы никакие персональные данные не обрабатываем!". И все точка. Причин такого ответа может быть несколько. Основная это конечно же непонимание людьми, что такое персональные данные. Второе, очень часто считают, что персональные данные это только в отделе кадров. А у них в КИС или еще где то, это так, мелочи. Еще один вариант, когда люди путают обработку и работу. Аудиторы спрашивают про обработку понимая под этим все процессы. А люди понимают обработку это как в кадрах или бухгалтерии. А я не обрабатываю, я только получаю и отправляю. Но когда уточняешь, ведется ли работа с персональными данными, вот тогда люди начинают рассказывать больше. В общем аудитор должен быть большим психологом и уметь общаться с людьми. А иначе получится, что на словах никто ничего не обрабатывает, а на деле все наоборот.

четверг, 1 сентября 2011 г.

Дешевле платить штраф

В связи с новой версией закона "О персональных данных" возникла ситуация, что закон уже есть. а подзаконных актов пока нет. Кроме того. не определены требования к техническим средствам защиты. И в связи с этим, многие компании даже не пытаются внедрять защиту ПДн. Т.к. по их подсчетам пока дешевле платить штраф. Особенно если нет внешних субъектов, а только сотрудники. Как уже замечал Емельянников в своем блоге, он также в последнее время сталкивается с разновидностью такой ситуации. Когда компании готовы внедрять нормативную часть, но не готовы техническую. Получается как всегда, закон есть. но выполняют его не все и не всегда. А причиной является само государство, не обеспечившее полноценную поддержку закону. И в результате хотели как лучше. а получилось как всегда.

среда, 31 августа 2011 г.

Исключения из правил

Очень часто возникает ситуация. В компании принимается какой либо документ регламентирующий вопросы ИБ. При этом, как правило, вводятся некие ограничения. И практически всегда возникает некий руководитель подразделения, который не согласен с ограничениями. Его аргументы сводятся обычно к тому, что безопаснник мешает им работать. Что они зарабатывают деньги для компании. Что им удобно работать по старому. И т.д. При этом руководитель требует сделать для его подразделения исключение. 
В данной ситуации большую роль играет поддержка руководства компании. Если такая поддержка есть, то скорее всего победит безопасник, либо будет разработано некое компромиссное решение. В случае когда с поддержкой есть проблемы, мне кажется, выходом из ситуации будет следующий вариант. Руководителю исключительного подразделения предлагается подписать бумагу, в которой он указывает, что осознает все риски и принимает их. Кроме этого, берет ответственность на себя за возможное возникновение инцидентов ИБ связанных с данным исключением из правил. Желательно, чтобы эту же бумагу подписал руководитель компании, после разъяснения всех рисков и последствий. Тогда претензий к безопаснику, в случае ЧП, уже быть не может. Он предупреждал. Хотя в действительности, все равно будут претензии, но их можно будет сгладить такой бумагой. 
Возможен и вариант, когда после таких заявлений уволят безопасника. Но в этом случае мне кажется делать в такой компании абсолютно нечего.

вторник, 30 августа 2011 г.

Стоимость DLP

Просмотрев предложение по внедрению Symantec DLP обнаружил, что если выкинуть стоимость серверов и работу, то сами лицензии на 250 клиентов стоят около 70 000$. А если выкинуть лицензии Oracle, то стоимость снизится еще 5 500$. Единственно, если в компании нет Oracle, то придется все таки их купить. Т.к. Symantec DLP насколько я знаю не работает с другими СУБД. Хотя надо изучить данный вопрос. Но в целом ситуация почти укладывается в мой предыдущий пост о стоимости DLP в районе 3-3.5 млн. руб. Хотя Symantec на фоне других выглядит привлекательнее. Плюс именитая компания. И в сравнении решений DLP на сайте Anti-malware.ru (часть 1, часть 2) Symantec DLP выглядит очень неплохо. В общем надо думать.

понедельник, 29 августа 2011 г.

Английский и персональные данные

Занесло тут меня намедни в EF-EnglishFirst на день открытых дверей. В ходе мероприятия просили заполнить анкеты. Просмотрев анкету, обнаружил необходимость писать свои ФИО, ФИО супруги, телефоны и т.д. и отсутствие каких либо строк о сборе моего согласия на обработку ПДн. Отловил сотрудника школы, и сообщил ей, что у них возможно проблемы с Федеральным законом №152 "О персональных данных". Т.к. они не получают согласие на сбор и обработку ПДн. К сожалению не смог пообщаться с директором. Но надеюсь сотрудница передаст мое послание. 

воскресенье, 28 августа 2011 г.

Вход по отпечатку пальца и персональные данные

В ходе рассмотрения вопросов внедрения двухфакторной аутентификации у руководства возникло предложение: "А зачем нам смарт-карты? Пользователь их может забыть или потерять. Давайте сразу отпечаток пальца! Всегда с собой, безопасность обеспечивает, факторов два. Красота.". В ходе дальнейшего обсуждения выдвигались тезисы, что биометрия выйдет дороже. Но, руководитель (все таки 21 век) тут же зашел в Интернет и нашел китайский сканер за 500 руб. На доводы о том, что это непонятное устройство от непонятного производителя. Не известен состав поставки, надежность, уровень ошибок 1 и 2 рода и т.д. Было сказано:"Зато 500 руб. А карты еще и менять нужно, т.к. они ломаются.". Тогда в ход пошел ФЗ №152. Ведь получается, что мы обрабатываем персональные биометрические данные. И соответственно должны их защищать сертифицированными средствами. А средства эти стоят денег. Ну и т.д.

Уже после встречи у меня возник вопрос, будут ли теперь в РФ развиваться биометрические системы аутентификации в свете ФЗ №152? 

Или может не все так плохо? Нужно еще раз изучить закон.