ბლოკჩეინის უსაფრთხოება – ნაშრომები

ბლოკჩეინის უსაფრთხოებაზე ვეძებდი ნაშრომებს. რასაც მივაგენი, გამოვარჩევდი ორს: Security of Blockchain Technologies, რომელიც დაწერილია ციურიხის ETH-ში (სამაგისტრო ნაშრომი) და ENISA-ს კვლევას Distributed Ledger Technology & Cybersecurity.

Security of Blockchain Technologies-ში მიმოხილულია Proof of Work-ზე (PoW) დაფუძნებული ბლოკჩეინების (bitcoin, ethereum) უსაფრთხოება, შესაძლო შეტევების სცენარები და გაუმჯობესებები. ითვლება, რომ PoW ბლოკჩეინებში თაღლითობისთვის საჭიროა 50% გამოთვლითი რესურსის ქონა. რეალურად კი შეტევის წარმატებაზე გავლენის მოხდება შეუძლია ბლოკების დაგენერირების დროს, ბლოკების ზომას, ე.წ. ცარიელი ბლოკების პროპორციას (stale block rate; stale blocks არის ბლოკები, რომლებიც იქმნება ბლოკჩეინის წევრების მიერ, მაგრამ ვერასოდეს ხვდებიან მთავარ ჯაჭვში).

ნაშრომში განხილულია 2 შეტევა PoW ბლოკჩეინებზე: ორმაგი ხარჯვა (double spending; როდესაც თავდამსხმელი ცდილობს ერთი და იგივე ვირტუალური მონეტა ორჯერ დახარჯოს) და ხარბი მოპოვება (selfish mining; რომლის დროსაც თავდამსხმელი არა ფინანსური მოგებით, არამედ მთავარ ჯაჭვში რაც შეიძლება თავის მიერ გამოთვლილი ბლოკების მოხვედრით არის დაინტერესებული).

როგორც აღმოჩნდა, ბიტკოინი უფრო უსაფრთხო სისტემაა, ვიდრე ეთერეუმი (ეს უკანასკნელი იმითაა საინტერესო, რომ ბიტკოინისგან განსხვავებით აქვს ჭკვიანი კონტრაქტების (smart contracts) მხარდაჭერა). ეთერეუმის კრიტიკული სისუსტეა (CVSS ქულა 9.1) ის, რომ ბლოკჩეინის მონაწილე სინქრონიზაციას ახორციელებს მხოლოდ ერთ სხვა მონაწილესთან. თუ ეს სხვა მონაწილე არის თავდამსხმელი, მას (სხვადასხვა ტექნიკური მანიპულაციებით) შეუძლია გამოთიშოს მსხვერპლი “რეალური” მოვლენებისგან და გამოსათვლელად გაუგზავნოს ყალბი ბლოკები. ერთი მხრივ, შეტევის გავლენა შეიძლება იყოს როგორც Denial of Service, ისე ორმაგი ხარჯვა. იმდენად, რამდენადაც შეტევა მოითხოვს მცირე გამოთვლით რესურსებს და ეთერეუმის ბლოკჩეინში კი სულ რამდენიმე ათასი მონაწილეა, შეტევის (სულ მცირე Denial of Service) განხორციელება რეალურია.

ნაშრომში აგრეთვე განხილულია Stellar ბლოკჩეინი და მისი სისუსტე, რომელიც დაკავშირებულია კვორუმის მიღებასთან. დასკვნის მიხედვით, Stellar-ის ნოუდების ამჟამინდელი რაოდენობა (10) არ იძლევა ფინანსური სისტემისთვის საჭირო უსაფრთხოების დონეს.

რაც შეეხება, ENISA-ს კვლევას, ის უფრო ზოგადად ბლოკჩეინის ტექნოლოგიასთან დაკავშირებულ რისკებზეა. განხილულია ჭკვიან კონტრაქტებთან დაკავშირებული რისკები და შეტევები. ასევე მიმოხილულია ბლოკჩეინზე დაფუძნებულ სხვადასხვა პროექტებს (Ethereum, Ripple, Hyperledger, Sawtooth Lake/Intelledger, Corda).

ბლოკჩეინის უსაფრთხოებით დაინტერესების შემთხვევაში, გირჩევთ სწორედ ENISA-ს კვლევით დაიწყოთ.

უსაფრთხოების აქსიომები

გთავაზობთ ინფორმაციული უსაფრთხოების რამდენიმე ოქროს წესს, რომელიც უნდა იყოს უსაფრთხოების მართვის ქვაკუთხედი ნებისმიერ ორგანიზაციაში:

  1. უსაფრთხოება და სისტემების სირთულე უკუპროპორციულია (რაც უფრო რთულია სისტემა, მით უფრო დაბალია უსაფრთხოება).
  2. უსაფრთხოება და გამოყენებადობა (usability) ხშირად უკუპროპორციულია (უსაფრხოების ფუნქციების გადამეტებულად გამოყენება სისტემაში ამცირებს გამოყენებადობას და ამცირებს უსაფრთხოებასაც).
  3. “კარგი უსაფრთხოება ახლა” არის უკეთესი ვიდრე “იდეალური უსაფრთხოება არასოდეს”.
  4. უსაფრთხოების ყალბი გრძნობა არის უარესი, ვიდრე დაუცველობის გრძნობა.
  5. ორგანიზაციის უსაფრთხოება უდრის სუსტი რგოლის სიძლიერეს.
  6. საუკეთესო მიდგომაა კონცენტრირდე ცნობილ, მოსალოდნელ საფრთხეებზე.
  7. უსაფრთხოება არის ინვესტიცია და არა ხარჯი.
  8. ერთის მიერ აღებული რისკი არის ყველას მიერ გაზიარებული რისკი.
  9. ტექნოლოგია უნდა ემსახურებოდეს ორგანიზაციის მიზნებს. დაუშვებელია ტექნოლოგია ტექნოლოგიისთვის.
  10. ტექნოლოგია არ განსაზღვრავს ორგანიზაციის ბიზნეს მოდელს, ტექნოლოგია ეხმარება ბიზნესს.
  11. წარსული არ არის გარანტია, აწმყო არ არის იდეალური, მომავალი გაურკვევლობითაა სავსე.
  12. თუ არ იცი სად მიდიხარ, ყველა ვარიანტში სხვაგან აღმოჩნდები (უსაფრთხოების დანერგვა არ უნდა იყოს სპონტანური).
  13. თქვენს ორგანიზაციაში უკვე შემოაღწიეს ან მომავალში შემოაღწევენ. აუცილებლად.
  14. დაცემა არ არის მარცხი. მარცხია, როდესაც ვერ დგები ფეხზე.

უსაფრთხოების სტარტაპები – YC S16 Demo Day 1 & 2

სტარტაპ აქსელერატორ Y Combinator-ის პირველ და მეორე Demo დღის განმავლობაში ჯამში 92 სტარტაპი მონაწილეობდა. მათ შორის იყო რამდენიმე კომპანია, რომელიც ინფორმაციული უსაფრთხოების სფეროში მოღვაწეობს.

ZeroDB – დაშიფრული ქლაუდ სტორიჯი კომპანიებისთვის

https://zerodb.com/

ბევრ კომპანიას აშინებს მონაცემების ქლაუდში შენახვა ინფორმაციის გაჟონვის რისკის გამო. ZeroDB-ის შემქმნელების მიხედვით, მათი გადაწყვეტილების საშუალებით კომპანიებს ექნებათ საშუალება უსაფრთხოების ზომების დაცვით გადაიტანონ სენსიტიური მონაცემები ქლაუდში. ZeroDB შიფრავს მონაცემებს და მხოლოდ ამის შემდეგ აგზავნის ქლაუდში, ხოლო განშიფრვა კომპანიის ინფრასტრუქტურაში ხდება (სადაც ინახება კიდევ დახურული გასაღებები).

კომპანიამ გამოაცხადა, რომ კონტრაქტს დებენ ერთ-ერთ ბრიტანულ ბანკთან, რაც მათ 1 წლის განმავლობაში 1 მილიონ დოლარ შემოსავალს მოუტანს.

ZeroDB

Wallarm – ვებ აპლიკაციების უსაფრთხოების ჭკვიანი სისტემა

https://wallarm.com/

Wallarm ვებ აპლიკაციებისა და API-ების ყოველდღიური მოხმარების პროფილებს ადგენს, რომელთაც შემდეგ შაბლონად იყენებს. სწორედ ამ შაბლონის მიხედვით უნდა განასხვავოს მომავალში ვეპ აპლიკაციისა და API-სთვის გამოგზავნილი მავნე რექვესტები. Wallarm-ს შეუძლია სწავლა და პროფილის “გაფართოება”, შესაბამისად კი false positive-ების 0-მდე დაყვანა.

Wallarm-ს უკვე ჰყავს 60 კლიენტი, რომელთაც ჯამში 100 მილიონი ვებ მომხმარებელი ჰყავთ. მხოლოდ Y Combinator-ის მიმდინარეობისას, კომპანიის ყოველთვიური შემოსავალი გაორმაგდა და 100,000 დოლარს მიაღწია.

Wallarm

Metapacket – კორპორატიული ფაიერვოლი მავნე პროგრამების აღმოსაჩენად

http://metapacket.com/

დიდი კომპანიების ქსელში შეღწევისა და ინფორმაციის მოპარვის გახმაურებული შემთხვევების გათვალისწინებით, მავნე პროგრამების აღმოჩენა რთულია და ხშირად მაშინ ხდება, როდესაც ინფორმაციის კრიტიკული ნაწილი უკვე დაკარგულია. Metapacket არის გადაწყვეტილება, რომელიც არკვევს ქსელიდან გამავალი ტრაფიკის უკან დგას თუ არა ადამიანი.

კომპანიის წარმომადგენლები ირწმუნებიან, რომ მათი გადაწყვეტილება პირველია მსოფლიოში, რომელსაც ასეთი რამ შეუძლია. ისინი ასევე ამბობენ, რომ მათი ფაიერვოლი რომ ჰქონოდა, Sony და ამერიკის დემოკრატიული პარტიის ნაციონალური კონვენტი ჰაკინგის შემთხვევების დროულად აღმოჩენასა და ზარალის ტავიდან აცილებას შეძლებდნენ.Metapacket

Y Combinator Demo Day 1 შეჯამებაTechCrunch-ზე

Y Combinator Demo Day 2 შეჯამება TechCrunch-ზე

Agile Security Manifesto

agile seurity manfiesto

2001 წელს 18-მა დეველოპერმა გამოაქვეყნა ე.წ. Agile მანიფესტი, რომელშიც ჩამოყალიბებული იყო პროგრამული უზრუნველყოფის განვითარების პრინციპები.

მანიფესტს თავისი საიტიც აქვს და ქართულადაც არის თარგმნილი (სიტყვა Agile-ის გარდა 😀 ).

2016 წელს კომპანია Cigital-მა, რომელიც მოღვაწეობს პროგრამული უზრუნველყოფის უსაფრთხოების სფეროში, გამოაქვეყნა Agile უსაფრთხოების მანიფესტი.

მანიფესტის სრული ტექსტის PDF იხილეთ Cigital-ის საიტზე, აქ კი გთავაზობთ ძირითად პრინციპებს:

  1. პროგრამული უზრუნველყოფის უსაფრთხოება, პირველ რიგში, უნდა იყოს დეველოპერებისა და ტესტერების, და არა უსაფრთხოების სპეციალისტების, საქმე და პასუხისმგებლობა;
  2. უსაფრთხოება ჩადებული უნდა იყოს დეველოპმენტის პროცესსა და საქმიანობაში და უსაფრთხოებაზე ზრუნვა არ უნდა იწყებოდეს პროგრამის დასრულების შემდეგ;
  3. უმჯობესია პროგრამის ფუნქციონალში იყოს გათვალისწინებული უსაფრთხოება, ვიდრე ცალკე უსაფრთხოების ფუნქციონალი ემატებოდეს პროგრამას; გარდა ამისა, პროგრამაში უნდა ჩაიდოს უსაფრთხოების გამოცდილი და დატესტილი იმპლემენტაცია და არა იმპროვიზაცია;
  4. ორიენტაცია უნდა იყოს რისკების მოგვარებაზე და არა ბაგების აღმოფხვრაზე – დეველოპმენტის პროცესში გათვალისწინებული უნდა იყოს რისკები და უსაფრთხოება არ ამოიწურებოდეს ბაგების ან სისუსტეების სიის აღმოფხვრით;

 

Cyber Security To-Do List უკრაინისა და საქართველოსთვის

CCD_COE2015 წელს ნატოს კიბერ თავდაცვის თანამშრომლობის ცენტრმა (Cooperative Cyber Defence Centre of Excellence) რუსეთის-უკრაინის (კიბერ) კონფლიქტზე გამოაქვეყნა კვლევა Cyber War in Perspective: Russian Aggression Against Ukraine. შეგიძლიათ იხილოთ CCDCOE-ს საიტზე.

გლიბ პახარჩენკოს სტატიაში Cyber Operations at Maidan: A First-Hand Account (გვ. 59-66) მოყვანილი იყო რეკომენდაციები უკრაინის მთავრობისთვის კიბერ ომის მიმდინარეობისა და არსებული შედეგების გათვალისწინებით. ვფიქრობ, იგივე რეკომენდაციები მიესადაგება საქართველოსაც.

  • ქართული კიბერ სივრის ბოტნეტებისა და კონფიგურაციის სისუსტეების (NTP, DNS. . .) მქონე სერვერებისგან გაწმენდა;
  • კრიტიკული ინფორმაციული ინფრასტრუქტურიდან არალეგალური და პირატული პროგრამული უზრუნველყოფის ამოძირკვა;
  • კრიზისული სიტუაციებისათვის ინფორმაციულ ტექნოლოგიებზე დამოკიდებულების შემცირება;
  • ოპერაციული განგრძობადობის სტანდარტების შემოღება მედიისა და ტელეკომუნიკაციის სფეროში;
  • ინფორმაციის კონფლიქტის ზონაში მცხოვრები მოქალაქეებისადმი მიტანის მექანიზმის შემუშავება;
  • ანტი-DDoS გადაწყვეტილებების დანერგვა მნიშვნელოვანი ინტერნეტ რესურსებისათვის;
  • ქვეყნის მასშტაბით ინტერნეტთან წვდომის რამდენიმე დამოუკიდებელი წყაროდან მიღება;
  • ინტერნეტ კავშირის კვანძებში (national traffic exchange) ფილტრაციის მექანიზმის დანერგვა;
  • კიბერ შეტევების მუდმივი მონიტორინგის, გამოძიების, ინფორმაციის გაზიარებისა და კვლევის კულტურის განვითარება;
  • კომუნიკაციისა და სხვა ინფორმაციის არაავტორიზებული მოსმენისა და მოგროვების წინააღმდეგ საზოგადოებრივი ცნობიერების ამაღლება და საზოგადოებრივი კონტროლის განვითარება;
  • კრიზისულ სიტუაციებში ინფორმაციის განადგურებისა და კატასტროფული შემთხვევებიდან აღდგენის შესაძლებლობების განვითრება;
  • სამხედრო და სამართალდამცავ სამსახურებში კიბერ ოპერაციების ჩატარებისა და კომპიუტერული ექსპერტიზის შესაძლებლობების განვითარება;
  • რუსეთიდან მოწოდებული IT სერვისებისა და აღჭურვილობის უსაფრთხოების უზრუნველყოფა;

როგორი უნდა იყოს უკეთესი ინტერნეტი – მოსაზრებები 1988 და 2008 წლებიდან

MIT-ის პროფესორმა დევიდ კლარკმა 1988 წელს გამოაქვეყნა ნაშრომი ინტერნეტი განვითარების პრიორიტეტებზე. ნაშრომი შეგიძლიათ წაიკითხოთ აქ.

კლარკი ამბობს, რომ ინტერნეტის არქიტექტორების უპირველესი მიზანი იყო ერთმანეთთან დაკავშირებული კომპიუტერული ქსელების (ARPANET) მულტიპლექსური (კომუნიკაციის 1 მედიუმის გამოყენებით მრავალი სიგნალის (ერთდროული) გადაცემა)  გამოყენების ეფექტური საშუალების შექმნა.

ქართულად:

უკვე არსებული ქსელის ისე გარდაქმნა, რომ მას შეძლებოდა სხვადასხვა მხარის მიერ ერთმანეთთან ერთდროული კომუნიკაციის უზრუნველყოფა.

პ.ს. TCP/IP პროტოკოლი 1983 წელს დაინერგა.

იქვე კლარკს მოცემული აქვს ინტერნეტის განვითარების 7 პრიორიტეტი:

  1. ინტერნეტ კომუნიკაცია უნდა გაგრძელდეს მიუხედავად ზოგი ქსელის ან გეითვეის დაკარგვისა;
  2. ინტერნეტს უნდა გააჩნდეს კომუნიკაციის სხვადასხვა ტიპის სერვისის მხარდაჭერა;
  3. ინტერნეტის არქიტექტურა შესაძლებლობას უნდა იძლეოდეს მას მიუერთდნენ განსხვავებული და ახალ-ახალი ქსელები;
  4. ინტერნეტის არქიტექტურა რესურსების გადანაწილებით (distributed) მართვის საშუალებას უნდა იძლეოდეს;
  5. ინტერნეტის არქიტექტურა უნდა იყოს ფინანსურად ეფექტური (cost effective);
  6. ინტერნეტში ახალი სისტემის ჩართვა უნდა მოითხოვდეს მინიმალურ ძალისხმევას;
  7. ინტერნეტის არქიტექტურაში გამოყენებული რესურსები უნდა იყოს დაანგარიშებადი;

20 წლის შემდეგ, National Science Foundation-მა დევიდ კლარკის ხელმძღვანელობით დაიწყო ახალი პროექტი (რომელიც ისევ გრძელდება) ინტერნეტის გაუმჯობესებასთან დაკავშირებით (პროექტის საიტი: www.nets-fia.net)

დევიდ კლარკის პრიორიტეტი ახალი და უკეთესი ინტერნეტისთვის (2008):

SECURITY

ალექსანდერ ნტოკოსა და ევგენი კასპერსკის საერთო აზრების შესახებ

ჩემს ქინდლში მივაგენი ძველ დაბუკმარკებულ, Wired-ის ვრცელ სტატიას ევგენი კასპერსკის შესახებ. საკმაოდ საინტერესო საკითხავი იყო, მაგრამ ერთი ეპიზოდი განსაკუთრებით დამამახსოვრდა, რომელსზეც უფრო ვრცლად ქვემოთ დავწერ.

ინტერნეტის მართვაზე (internet governance) ორიოდ სიტყვით ვიტყვი, რომ საერთაშორისო არასამთავრობო ორგანოების მეშვეობით, ამერიკასა და “დასავლეთის” ქვეყნებს გადამწყვეტი გავლენა აქვთ ინტერნეტის განვითარების როგორც ტექნიკურ, ისე სოციო-პოლიტიკურ ასპექტებზე. შეგვიძლია ვთქვათ, რომ ამჟამად ეს გავლენა გამოიხატება თავისუფალ და ყველასთვის ხელმისაწვდომ ინტერნეტში. ჩინეთი და რუსეთი კი გაეროს (უფრო კონკრეტულად კი, მისი ერთ-ერთი ორგანოს ITU-ს – International Telecommunication Union) გავლით ცდილობენ ინტერნეტის მართვაზე ამერიკისა და ევროპის გავლენის შესუსტებასა და თავიანთი მთავრობების გავლენის ზრდას.

ზემოთ ხსენებულ სტატიაში, სხვა მრავალ საყურადღებო პუნქტთან ერთად, ნახსენები იყო თუ როგორ ლობირებს ევგენი კასპერსკი ინტერნეტში ნებისმიერი მომხმარებლისთვის “პასპორტის” იდეას “უსაფრთხოებისა” და “მოქალაქეთა დაცვის” მოტივით. “ინტერნეტ-პასპორტი” უნდა იყოს მომხარებლის ერთგვარი ID ინტერნეტში – რისი მიხედვითაც გადაწყდება მიეცემა მას თუ არა წვდომა რომელიმე რესურსთან. ამას გარდა, გაადვილდება ინტერნეტში მომხმარებელთა ქმედებების ტრეკინგი (რომელიც, ცხადია, თავად მომხმარებლების უსაფრთხოებისთვის უნდა გაკეთდეს 🙂 )

ITU-ს მაღალჩინოსანი ალექსანდერ ნტოკო მხარს უბამს კასპერსკის და მოჰყავს შემდეგი მაგალითი: ბანკში რომ მივდივართ, ხომ არავის ვუმალავთ ჩვენს სახეს და ონლაინშიც ასე უნდა იყოსო. ნტოკომ ეს აზრი Kaspersky-ს მიერ კანკუნში ორგანიზებულ Kaspersky Lab Cyber Conference-ზე გამოთქვა 2012 წელს (უფრო დაწვრილებით წაიკითხედ zdnet-ის სტატიაში).

ნტოკოს მიერ მოყვანილი ანალოგი არაადეკვატურია. როდესაც ბანკში მივდივართ, ჩვენ ჩვენს ვინაობას მხოლოდ ბანკის თანამშრომელს ვუმხელთ სერვისის მიღებისთვის. ხოლო დანარჩენს მოქალაქეებს, რომლებიც ბანკის რიგში დგანან თუ ქუჩაში სეირნობენ, ანგარიშს არ ვაბარებთ.

ზუსტად იგივე ხდება ამჟამად ონლაინშიც – როდესაც ინტერნეტ ბანკინგს ვიყენებთ, ბანკს ჩვენ ვინაობას აუთენთიფიკაციის მეშვეობით (როგორც წესი, იუზერნეიმი და პაროლი) ვუდასტურებთ (რის შემდეგაც წვდომა გვაქვს ჩვენს ანგარიშთან და შეგვიძლია განვახორციელოთ იგივე ქმედებები, რაც ფილიალში მისვლისას შეგვეძლებოდა). და არ არსებობს საჭიროება სხვა ვინმესთან/რამესთან გავიაროთ აუთენთიფიკაცია.

ამ ეპიზოდმა კიდევ ერთხელ გამახსენა სამწუხარო რეალობა, რომ ხშირ შემთხვევაში თანამედროვე ტექნოლოგიებზე გადაწყვეტილების მიმღებები (მათ შორის დასავლეთის ქვეყნებშიც) არიან პირები, რომლებიც:

ა) საერთოდ არ არიან გათვითცნობიერებული როგორც მუშაობს ინტერნეტი, თანამედროვე ტექნოლოგიები და თავში მოსდით არაადეკვატური აზრები (მაგალითად, ერთ-ერთმა ამერიკელმა მაღალჩინოსანმა ინტერნეტი განმარტა როგორც “ერთმანეთთან შეერთებული ტუბები”);

ბ) კარგად იციან რასაც ლაპარაკობენ და სურთ გაუთვითცნობიერებელი მომხმარებლების (მოქალაქეთა დიდი ნაწილი) შეცდომაში შეყვანა;

ამ ორიდან რომელია ნტოკო არ ვიცი. მაგრამ არაადეკვატური ანალოგიების მოყვანა, “უსაფრთხოებასა” და ეთიკის ნორმებზე აპელირება კი საიმედო ხერხია საკითხში არც თუ ღრმად ჩახედული ადამიანების შესაცდენად.

გადაიხადე მარტივად PIN კოდის გარეშე. . .

ორიოდე დღის წინ გამიკვირდა როცა შევნიშნე, რომ როდესაც წვრილმანი თანხის გადასახდელად საბანკო ბარათი გავუწოდე სუპერმარკეტის მოლარეს, მან ბარათი უბრალოდ დაადო ტერმინალს და ტრანზაქცია განხორციელდა – არანაირი PIN კოდის შეყვანა არ დამჭირვებია!

ცოტა ხნის წინ რამდენიმე ქართულმა ბანკმა დაიწყო RFID (Radio Frequency Identification) ჩიპებით აღჭურვილი ბარათებისა და სტიკერების გამოყენება. სტიკერი, რომელსაც მომხმარებლები ძირითადად მობილურ ტელეფონებზე აწებებენ, ანალოგიურად მუშაობს – POS ტერმინალზე დადებისას იხდის თანხას PIN-ის შეყვანის გარეშე. RFID ჩიპიანი ბარათი შეგვიძლია ვიცნოთ თავად საბანკო ბარათზე დატანილი contactless_indicator ინდიკატორით.

როგორი მოსახერხებელია ყოველგვარი PIN-ის გარეშე 2 წამში თანხის გადახდა! თუმცა ბარათი ან სტიკერი რომ მოგვპარონ?

დღეს ვიყავი ბანკში, რომ ცოტა მეტი რამ გამერკვია RFID-იან ბარათებზე.

აღმოჩნდა, რომ ერთჯერადი ლიმიტი არის დაახლოებით 50 ლარი. თუ გადასახდელი თანხა ამ ლიმიტზე მეტია, მაშინ ბარათი უნდა ჩავდოთ POS ტერმინალში და შემდეგ PIN-იც შევიყვანოთ.

თუმცა ერთჯერადი ლიმიტის გარდა, ბარათს სხვა ლიმიტი არ ადევს. შეგიძლიათ შეიძინოთ 40 ლარის საქონელი, შემდეგ შებრუნდეთ მაღაზიაში და ისევ შეიძინოთ 40 ლარის საქონელი და ასე დაუსრულებლად. შეიძლება ანგარიშზე არსებული მთელი თანხის გახარჯვა მცირე პორციებით.

ფილიალში ფიზიკური პირების მომსახურების ოფიცერს დავუსვი კითხვა, რა მოხდებოდა თუ ვინმე ბარათს მომპარავდა და დახარჯავდა მთელს ჩემს ფულს. შემომთავაზეს “ბარათის დაზღვევის” ყიდვა გარკვეულ თანხად. ზუსტი პირობები არ გამომიკითხავს. საინტერესოა ბარათის დაზღვევის პირობებში ულაპარაკოდ უნაზღაურდება თუ არა დანაკარგი კლიენტს.

თუ ბარათის დაზღვევა არ გნებავთ (მაგალითად იმიტომ, რომ ჩემსავით თვლით, კლიენტის დაცვა ბანკის მოვალეობაა დამატებითი დაზღვევებისა თუ საკომისიოების გარეშე!), ბარათი და შესაბამისად ფულიც მოგპარეს, მაშინ პოლიციაში უნდა იჩივლოთ.

აღსანიშნავია, რომ RFID ჩიპით გადახდის სერვისის გამორთვა შესაძლებელი არ არის.

ასევე არ არის შესაძლებელი ისეთი ბარათის აღება, რომელსაც არ ექნება RFID ჩიპი (ჩვენს ყველა ბარათს აქვსო – ბანკში მითხრეს).

დიდი ხნის მანძილზე, ამერიკული ბანკების საბანკო ბარათები ქურდებისა და თაღლითების საყვარელი სამიზნე იყო, რადგანაც მხოლოდ POS ტერმინალზე ბარათის ჩამოსმა საკმარისი იყო ტრანზაქციისთვის (მთელი ინფორმაცია ბარათის მაგნიტურ ველზე იყო მოთავსებული). ამერიკული ბანკები თაღლითობის ზრდისა და თაღლითობისგან კლიენტების დაცვის რეგულაციების გამკაცრების გამო, ნელ-ნელა გადავიდნენ (გადადიან), ე.წ. smart ბარათებზე, რომელთაც უფრო “ჭკვიანი” (საკუთარი მეხსიერებითა და პროცესორით აღჭურვილი მინი-ჩიპები SmartCard-Alliance) ჩიპი აქვთ და შეუძლიათ უსაფრთხოების მექანიზმების უზრუნველყოფა (ამ შემთხვევაში, ყოველი ტრანზაქციის დროს PIN კოდის მოთხოვნა).

იმპლემენტაციიდან გამომდინარე, შეიძლება RFID ჩიპი მაგნიტურ ველიან ბარათზე უარესიც აღმოჩნდეს რისკების თვალსაზრისით. RFID არის უკონტაქტო ტექნოლოგია. ის დაახლოებით 10 სანტიმეტრის რადიუსში მუშაობს. თუმცა არსებობს ძლიერი RFID წამკითხველები, რომლებიც ბარათებს 1 მეტრის რადიუსშიც კითხულობენ. თუ მონაცემები ჩიპზე დაშიფრული არ არის, მაშინ მარტივად შეიძლება მათი გადაკოპირება ახალ ჩიპზე და შემდეგ გამოყენება. თუმცა, როგორც წესი, საბანკო ბარათებზე მონაცემები დაშიფრულად ინახება.

რომ შევაჯამოთ:

  • PIN-ის გარეშე შესაძლებელია პრაქტიკულად ნებისმიერი თანხის დახარჯვა მცირე პორციებით (რისკების შესამცირებლად შეიძლებოდა სხვადასხვაგვარი ლიმიტების დადება – მაგალითად, საათში მაქს. 50 ლარის გადახდა და მხოლოდ 1 ტრანზაქციის გაკეთება PIN-ის შეყვანის გარეშე).
  • სერვისს არ აქვს ე.წ. opt-out. მოგწონს თუ არ მოგწონს, საბანკო ბარათს გადახდის ასეთი საშუალება მაინც ექნება.
  • ბანკი თაღლითობისგან დაცვას მთავაზობს მხოლოდ დამატებითი თანხის გადახდის შემთხვევაში.

მოხმარების სიმარტივე და კომფორტი კარგია, მაგრამ RFID-ჩიპიანი ბარათებით პრაქტიკულად ულიმიტო გადახდის დანერგვით, საქართველოში საბანკო ბარათების უსაფრთხოებამ 15 წლით უკან დაიწია.

ჩემი ნაშრომები კიბერუსაფრთხოების ბიუროს საიტზე

რამდენიმე ხნის წინ თავდაცვის სამინისტროს კიბერუსაფრთხოების ბიუროს საიტზე აღმოვაჩინე, რომ ესტონეთში კიბერ უსაფრთხოების სამაგისტრო პროგრამის სტუდენტების ნაშრომები უდევთ.

იგივე პროგრამაზე სწავლისას, ჩემს მიერ დაწერილი ნაშრომები გავუგზავნე და ისინიც გამოაქვეყნეს.

მადლობა კიბერუსაფრთხოების ბიუროს!

ISO 27001 სემინარი

21 მარტს, საქართველოს დამსაქმებელთა ასოციაციამ (Georgian Employers Association) და შპს “მენეჯმენტის სისტემებმა” მოაწყო სემინარი ინფორმაციული უსაფრთხოების საერთაშორისო სტანდარტის ISO 27001-ის შესახებ. სემინარს უძღვებოდა მოწვეული აუდიტორი უკრაინიდან ალექსანდრ დიმიტრიევი. სემინარი “მიონის” ბიზნესცენტრში ჩატარდა, რომელიც ბელიაშვილის ქუჩაზე, “ორიენტ ლოჯიკის” და “ალტას” ოფისების უკან მდგარი შენობა აღმოჩნდა. ეს ადგილი ერთგვარი ქართული სილიკონის ველია იმდენი ტექნოლოგიების სფეროში მოღვაწე კომპანიის ოფისია თავმოყრილი.

ISO 27001 Seminar

სემინარის შინაარსი შეიძლება 2 ნაწილად დავყოთ. პირველი იყო ზოგადი მიმოხილვა – რას ემსახურება ISO 27001 სტანდარტი, რაში გვეხმარება და რატომ არის საჭირო. მეორე ნაწილი კი სტანდარტის შინაარსის მიმოხილვა იყო. რეალურად სემინარი უფრო მეტად ბიზნეს მენეჯერებისთვის იყო, ვიდრე IT ან უსაფრთხოების სპეციალისტებისთვის. თუმცა რამდენიმე საინტერესო ასპექტის დაჭერა მაინც შეიძლებოდა.

ISO 27001-ის შინაარსზე არ გავჩერდები და ინფორმაციული უსაფრთხოების მენეჯმენტის პოსტ-საბჭოთა vs. ევროპულ მიდგომებზე დავწერ, რომელიც დიმიტრიევმა რამდენჯერზე ახსენა. მისი მოყვანილი მაგალითები საინტერესო, თუმცა ზოგიერთ შემთხვევაში საკამათო იყო.

მაგალითად, პოსტ-საბჭოთა სტილია ინფორმაციულ აქტივად მხოლოდ ინფორმაციის მიჩნევა. ევროპული მიდგომა კი (ინფორმაციულ) აქტივად ყველაფერს თვლის – რასაც ღირებულება გააჩნია (ბოთლი წყალი, ჭიქა, შენობა და ა.შ.).

პოსტ-საბჭოთა მენეჯმენტის სტილია ინფორმაციული უსაფრთხოების ტრიადიდან (კონფიდენციალობა, მთლიანობა, ხელმისაწვდომობა) მხოლოდ კონფიდენციალობაზე ყურადღების გამახვილება. ევროპულის კი ტრიადის სამივე კომპონენტზე.

დიმიტრიევმა ასევე ისაუბრა ინფორმაციული უსაფრთხოების მენეჯმენტში გავრცელებულ შეცდომებზე. მაგალითად მოყვანილი იყო რისკების იდენტიფიკაციის დაწყება აქტივების გამოვლენამდე.

კიდევ ერთი შეცდომაა (და ასევე პოსტ-საბჭოთა მენეჯმენტის მეთოდისთვის დამახასიათებელი) ყველა რისკის გამოვლენის მცდელობა და გამოსწორების სამოქმედო გეგმის მხოლოდ ამის შემდეგ დაწყება. რისკების მოგვარება მათი გამოვლენისთანავე უნდა დაიწყოს (რაც არის კიდევ ევროპული მიდგომა – იმის აღმოფხვრა, რაც არის მოცემული მომენტისთვის იდენტიფიცირებული).

დიმიტრიევმა ასევე განაცხადა, რომ მისი დაკვირვებით საქართველოში, ბოლო წლების რეფორმების მიუხედავად, მენეჯმენტისადმი პოსტ-საბჭოთა მიდგომა დიდად არ შეცვლილა. ამის არგუმენტად კი მან მოიყვანა ის, რომ ხშირ შემთხვევაში პოსტ-საბჭოთა ქვეყნებში (ინფორმაციული) სისტემების მართვას, მონიტორინგს, შეფასებას ერთი და იგივე გუნდი ახორციელებს, არ ხდება სერვისის მომწოდებლების კონტროლი ინფორმაციული უსაფრთხოების თვალსაზრისით (შეიძლება კონტრაქტში იდოს ინფორმაციული უსაფრთხოების საკითხები, მაგრამ მონიტორინგს არავინ ახორციელებს).

დიმიტრიევმა აუდიტზეც ისაუბრა. მან მოიყვანა მაგალითი, რომ შეიძლება რაიმე არ ეთანხმებოდეს საღ აზრს (მაგალითად, დატა ცენტრში სერვერი იდოს ოთახის შუაში, კონდიცირების საშუალება კი იყოს ფანჯარა), შეუსაბამობის (non-conformity) დაფიქსირება არ შეიძლება, თუ ეს არ ეწინააღმდეგება მოცემულ ორგანიზაციაში არსებულ პროცედურებს/გაიდლაინებს. აუდიტორს ამ შემთხვევაში შეუძლია დაწეროს მხოლოდ რეკომენდაცია.

საბოლოო ჯამში, სემინარები საინტერესო გამოდგა (მიუხედავად იმისა, რომ შაბათ დილას 10:00 საათზე იყო). ბოლოს და ბოლოს, თუ შინაარსი არ გამოდგა მიმზიდველი, ცნობიერების ამაღლებასაც მაინც შეუწყობს ხელს.