и условия взятия кредитов там примерно следующие от 1000р до 30000р в Микроденьги и выше кажется до 100 000р в Быстроденьги выдаются за примерно 1% в день пользования их кредитом.
Процент за пользование их блядским кредитом там примерно 1% в день НО это не простой процент, а СЛОЖНЫЙ процент, он начисляется не на сумму взятую у них в кредит, а на ежедневно растущую сумму долга, то есть грубо говоря на следующий день после взятия в кредит у них 10 000р сумма долга составит 10100р а на следующий день уже 1% берётся не от 10 000р а от 10100р и будет уже не 10200р а 1 201р и так далее в результате чего через месяц человек будет должен уже 14 200р то есть за месяц процент пользования кредитом составит 42% а за год, 3778% то есть сумма долга за взятие в кредит у них 10 000р через 365 дней составит примерно 380 000р охуеть правда? о_О О_о если я правильно всё посчитал конечно, поправьте меня если я ошибся в расчётах.
Почему данные людоедские организации существуют всё ещё в наших городах?
С большой долей вероятности те кто возьмёт там деньги может не расплатиться с ними с этими бандитскими микрокредитными организациями, и как ему придётся отдавать этот кредит растущий каждый день чуть ли не в геометрической прогрессии? Мне не совсем понятно.
Кто одобряет существование данных микрокредитных организаций?
Все самые важные и интересные финансовые новости в России и мире за неделю: Райффайзену не позволяют вытащить прибыль из РФ, японцы страдают от инфляции в несколько процентов (за 25 лет), крупнейший бухгалтерский скандал с Evergrande, а также виртуальный тренажерный зал для роботов от Nvidia.
Крокус.
Главная новость недели – это, конечно, ужасный теракт в Москве. Всем, кого он затронул – глубокие соболезнования. (Адрес для целевого сбора донатов находится вот здесь.)
Для всех остальных – надеюсь, что данный дайджест никак не связанных с этой трагедией новостей, поможет вам хоть немного отвлечься от думскроллинга.
Кто планирует выйти на российскую биржу
Ребята из Frank Media подбили статистику по IPO на Мосбирже в 2023–2024 году: за прошлый год 7 компаний вышли на биржу, за первые два месяца текущего – уже 3 штуки. Также вот картинка про тех, кто заявлял о планах по IPO до конца 2024 года:
Моя краткая экспертная аналитика по этому списку: очень много компаний на букву S, это явно что-то значит! Также, похоже, известную фразу про «у России три пути – вебкам, закладки и айти» пора переделывать в «edtech, кредиты и IT»...
Облигационные неприятности
Среди некоторых российских инвесторов на прошлой неделе были слышны звуки страдания: рублевые облигации ОФЗ опять упали (многие закупились ими в ожидании скорого снижения ключевой ставки, а Набиуллина всё никак не приступит к этому делу, – пока оставляя ее на уровне 16%). Итого индекс российских гособлигаций с середины 2020 года принес 0% доходности в рублях (а курс доллара за это время вырос на +27%).
TradingView: RGBITR – индекс полной доходности ОФЗ
На всякий случай: какие-нибудь американские долларовые облигации с тех пор тоже находятся в просадке 20%+. Неблагодарное это дело – покупать длинные бонды на низах процентных ставок!
Налоговые льготы догнали ИИС-3
Госдума наконец приняла закон о том, как будут работать налоговые льготы по новым ИИС-3 (а то счета уже с начала года люди начали открывать, а закрепленных в законодательстве льгот по ним так и не было). Напомню, что по ИИС нового вида можно получать одновременно льготу по НДФЛ на внесенные деньги (не более 400 тыс. руб. в год) и освобождение инвестиционной прибыли от налога (но не по иностранным ценным бумагам), но взамен счет нельзя закрывать без потери льгот в течение минимум 5 лет.
Мыслями о том, как и когда имеет смысл конвертировать открытые до 2024 года старые счета ИИС в новые ИИС-3, делится Сергей Наумов вот здесь.
Дайджест банковских схемомуток
Пишут, что российская дочка международного банка HSBC должна продаться Экспобанку с каким-то диким дисконтом до 90%.
Понемногу появляются подробности про сделку по выкупу банком Тинькофф Росбанка: Тинькофф собирается провести допэмиссию на сумму до 445 млрд руб., при этом сам Росбанк вроде как стоит гораздо дешевле – так что, явно не вся сумма пойдет непосредственно на этот выкуп. У всех смутное ощущение, что каким-то образом в итоге каких-то миноритарных акционеров на этом всём кинут – но никто пока не может понять, как конкретно это произойдет.
Тем временем, российской дочке Райффайзенбанка, кажется, наоборот завернули сделку по хитрому выводу денег из РФ. Дело в том, что банк зарабатывает рекордные прибыли в России, только вот вытащить их никак нельзя – вот они и придумали оригинальный схематоз по выкупу этими деньгами (на полтора миллиарда евро) некой иностранной компании, по утверждению журналистов связанной с Дерипаской. Но Штаты им погрозили пальцем и намекнули, что таким заниматься некрасиво...
Йоханн Штробль (CEO группы Raiffeisen). Твое лицо, когда на бумаге у тебя копятся миллиарды евро в России – но засунуть их в портфель всё никак не выходит
Да и в целом, в новостном фоне опять активизировались сообщения о том, что на основные иностранные банковские дочки в России (Райф и Юникредит) давят из ЕЦБ, чтобы они потихоньку сворачивали удочки из страны.
Новый указ про платежи по заблокированным российским евробондам
Вышел новый указ президента РФ №198 от 19.03.2024, который касается евробондов российских эмитентов, которые подморозились во всяких западных Евроклирах/Клирстримах. Если у вас такая ситуация, а сами вы – российский гражданин, то почитайте посты Елены Рязановой с разбором этой всей истории (возможно, получится получить какие-то выплаты от эмитентов внутри России).
Дурову дали денег
В прошлом дайджесте новостей я иронизировал по поводу того, что недавнее недоинтервью Павла Дурова является эвфемизмом для просьбы выдать ему немножко денег на Телеграм. Подтверждение не заставило себя ждать: на прошлой неделе Дуров заявил, что TG выпустил облигации на сумму в $330 млн.
Окей, вы же понимаете, что вся эта новость – только повод, чтобы в очередной раз насладиться принцеперсидской фоткой Павла? 🤔
Дамодаран не видит пузыря (пока)
Асват Дамодаран (виднейший мировой академический эксперт по оценке компаний) дал интервью Financial Times – на мой взгляд, интересное, тем кто интересуется инвестициями будет любопытно прочесть (избранные цитаты на русском приводят ребята из Movchan's).
Когда я работал аудитором, самое частое, что приходилось слышать при построении финансовых моделей – «ну, это надо посмотреть у Дамодарана...»
Несколько хайлайтов:
Асват оценивает премию за риск в американских акциях на уровне 4,0–4,5% годовых сверх безрисковой доходности US Treasuries – на уровне средней за последние 60 лет. Получается, ожидаемая номинальная доходность S&P500 на горизонте 10 лет выходит около 8,5% – короче, профессор не топит за «а-а-а, пузырь, мы все умрем!»
Ну окей, в секторе AI он допускает некоторое возможное пузырение. =)
Но несмотря на то, что Нвидию он считает переоцененной, полностью он ее акции продавать не спешит. Типа, «если стрельнет еще выше, мне же обидно будет!!»
Вы испугали японского деда (инфляцией)
Уходит эпоха: японский ЦБ впервые за 17 лет поднимает процентную ставку аж на 0,1%. То есть, теперь она из отрицательной стала просто нулевой, лол. =)
Японцы так долго пытались вызвать у себя стабильную инфляцию хотя бы в 2% годовых, но всё как-то не выходило. Только недавно цены у них опять начали расти вверх какими-то смешными по нашим меркам темпами – в ТикТоке можно посмотреть уморительные видосы про то, как непривыкшие к таким раскладам самураи-миллениалы пугаются роста ценников.
По вот этим данным, индекс потребительских цен в Японии за последние 25 лет вырос примерно на несколько процентов. Это не годовых, это всего, в совокупности за все эти годы!!
Enlarge Your Hui (без регистрации и смс)
Интересные детали про банкротящегося китайского супергиганта-строителя Evergrande: пишут, что чуваки за пару лет преждевременно нарисовали себе выручки по непостроенной недвижимости аж на $78 млрд баксов!
Получается, это самый крупный бухгалтерский скандал за всю историю
К аудиторам из PricewaterhouseCoopers, которые это всё проверяли, сразу возникли вопросики. Китайскому олигарху по имени Хуй, который владел Evergrande, вопросики задавать уже бесполезно – ему, похоже, заниматься такими штуками на роду было написано.
Apple приходится надеяться на чужой AI
По слухам, Apple ведет переговоры с Google о том, чтобы встроить их нейросетку Gemini в будущие айфоны. Собственная языковая модель Ajax у них, похоже, никак не вылупляется в достаточном качестве – поэтому пришлось идти на поклон к конкурентам.
Параллельно против Эппл подали в США новый большой антимонопольный иск: их хотят прижучить за то, что они слишком злоупотребляют своей рыночной властью. Ну там: заставляют умные часы эпплвочи нормально работать только с айфонами, не пускают другие телефоны чатиться в свой iMessage с красивыми синими облачками...
Не удивлюсь, если в этом контексте Сундар Пичаи (CEO Google) скажет Тиму Куку: «Ты приходишь у меня просить нейросетку, но ты делаешь это без достаточного уважения...»
Нейрогейминг войдет в моду повсеместно уже вот-вот
В одном из прошлом выпусков дайджестов я пошутил, что первый человеческий пациент с вживленным в мозг интерфейсом Neuralink сразу примется играть в Counter Strike. Так вот, ребята из Нейралинка выложили новый видос про этого парня, и мне приходится публиковать опровержение: не в CS, оказывается, он играет в Civilization VI!
Следующий шаг, по словам Илона Маска, – это разработка импланта Blindsight, который позволит обрести зрение слепым. (Мне сразу вспомнилась топовая н/ф книга Питера Уоттса Blindsight, которую мы обсуждали полтора года назад вот здесь.)
И к другим новостям Илона Маска: в начале марта он дал интервью популярному ведущему Дону Лемону, который должен был начать вести новое эксклюзивное телешоу прямиком в Хвиттере. Правда, вопросы мистер жиган-лемон задавал Маску какие-то неправильные, без достаточного уважения – поэтому сразу после записи интервью сделку с ним Илон разорвал.
Из хайлайтов этого интервью: Илон Маск заявил, что сидит на кетамине исключительно в интересах акционеров Tesla. Типа, без таблетки раз в две недели становится грустным и злым, а кому нужен злой Маск? Вообще, я частями смотрел это видео в Твиттере – там забавно, что обе стороны (либералы-противники Маска и консерваторы-сторонники) приводят одни и те же фрагменты с диаметрально противоположными оценками «Лемон похоронил Маска» / «Маск уничтожил Лемона», лол.
Nvidia: Нужно больше роботов!
Nvidia провели большую ежегодную конференцию GTC 2024, где представили много всякого разного. Было много про роботов: Нвидия делают специальную ИИ-платформу GR00T (да, Грут), заточенную на то, чтобы научить роботов ловко двигаться, понимать речь, и так далее.
Интересно также, что Nvidia сильно топит за использование виртуальных симуляций окружающего мира (с правдоподобной физикой) для обучение робота, так как это быстрее дешевле. Помочь в этом должна специальная «Матрица для роботов» под названием Isaac Sim (напоминает дискуссию про модели мира, которую мы обсуждали в этой статье, только тут подход именно нацелен на более традиционные движки).
Вообще, оригинальный библейский Исаак – это же сын Авраама, которого Бог потребовал принести в жертву. В этом контексте бренд «Симулятор Исаака» как будто звучит немного пугающе. 🤔
Tether зарегулируют в ЕС?
Криптобиржа OKX отменила у себя торговые пар со стейблкоином USDT в Европе. Пишут, что это последствия нового европейского крипторегулирования, которое начнет вступать в силу с середины 2024 года.
Интересно, насколько это будет массовая тенденция для USDT в будущем. Пока не понял, в чем конкретно там камень преткновения с точки зрения возможности соблюдать требования европейцев – будем наблюдать.
SEC загубили птичку Ethereum Foundation
Пишут, что вездесущая Комиссия по ценным бумагам США (SEC) начинает поползновения в сторону того, что признать Эфир (ETH, «родную» криптомонету блокчейна Ethereum) ценной бумагой. Этим решительно везде видятся ценные бумаги; а как только они сами себя в этом убеждают – то следом идут живительные штрафы за нарушение всяких ценно-бумажных регуляторных правил.
Интересно, что для сообщения такой новости Ethereum Foundation пришлось прибегнуть к ритуальному «уничтожению» специальной «повесточной канарейки» (warrant canary). Это птичка, которую компании лепят на свой сайт, чтобы показать, что к ним не приходят вежливые люди из органов с тайными запросами. Как только птичка пропадает из подвала сайта – значит, пришли. Детали таких запросов, конечно, раскрывать органы не позволяют.
Вижу так лицо эфирной канарейки, когда к ней подходит Виталик Бутерин со словами «прости, родная, но к нам только что пришла повестка – твое время пришло...»
В гостях у Мурзилки: обмен крипты в товарищем майором
В середине марта на Кипре полицейские арестовали известного местного крипто-менялу по прозвищу «Мурзик». Разоблачительная статья по ссылке может похвастаться орфографическими ошибками примерно в каждом втором предложении, да и выглядит весьма желтушно – но у нас тут на Кипре не то чтобы широкий выбор высококачественных журналистских источников...
Самый толстый наброс из статьи – это то, что Мурзик якобы плотно сотрудничает с ФСБ. Не берусь утверждать, насколько это правдиво (обоснований там внятных примерно никаких), но если вдруг правда, то выбрать ником «Мурзик» в таком контексте – это просто троллинг 80-го уровня.
Теперь невольно любой эмигрантский крипто-чат представляю именно так
Интервью недели: Сэм Альтман
Новая рубрика – я делюсь одним интервью, которое мне показалось интересным (из тех, которые я прослушал на прошлой неделе). В этот раз у нас очередной визит Сэма Альтмана к Лексу Фридману.
Что мне показалось интересным:
Как Альтман красиво позиционирует в публичном поле всю эту историю с советом директоров OpenAI так, чтобы это не вредило его имиджу.
В этом же ключе – комментарии по поводу его «ссоры с Илоном Маском», очень технично всё отработал.
Обсуждение того, как у создателей контента (типа художников), на котором обучаются нейросети, должен быть выбор: либо opt-out (отказаться предоставлять доступ для обучения), либо какой-то способ монетизации.
Обсуждение рисков ИИ (в какой-то момент Альтман заявил что-то вроде «не удивлюсь, если на мою жизнь будет покушение из-за этого вопроса»).
Compute и вычислительная мощность – это будущий самый важный «мета-ресурс» (типа спайса в Дюне).
Тут набросал совсем тезисно, в видеоверсии чуть подробнее свои мысли наговорил.
Хорошая новость недели
Это было непросто. Но я справился: в сочинениях в рамках ЕГЭ по русскому языку разрешили ссылаться на аниме и видеоигры. И это хорошо!
Давно хотел изучить эту тему, но всё руки не доходили. А сейчас жду дочь из кинотеатра и наконец-то нашел время за чашкой кофе. Тема роста цен была актуальна всегда, а сейчас, наверно, особенно. На Пикабу дня не проходит, чтобы не попался пост под общим названием СОВСЕМ С ЦЕНАМИ ОХУЕЛИ. Взял гугл в помощь и начал искать как же считается инфляция в России. Начну с того, что официальная инфляция у нас согласно Росстату за прошедший год составила 7,42%. Как же считает Росстат это число. А очень просто. Существует приказ 848 от 25.12.2020 об утверждении наборов потребительских товаров и услуг для наблюдения за ценами и тарифами. Найти его оказалось не так просто. Все на него ссылаются, а вот сам документ за семью печатями. Но для вас оставлю ссылку: https://rosstat.gov.ru/storage/mediabank/gAscGt6Z/Приказ от 25 12 2020 № 848.pdf Там 49 страниц, на которых перечисляются эти самые товары и тарифы. В целом неплохо, но есть у меня ряд претензий: нахрена следить за ценами на мужской костюм двойку? Большинство покупают его раз в жизни - на свадьбу. Но если за жизнь сильно поправился, то и на похороны ещё покупают. Стационарный телефон? - тоже вопрос. Поездка в Китай? Холодильник - вроде нужен, к с другой стороны аналогия с костюмом, я уже три машины поменял, а холодильник у меня всё тот же. К автомобилям ещё больше вопросов. Если с подсчётом роста цен на отечественные всё просто, то с иномарками я теряюсь. Т.к. в перечне просто указан АВТОМОБИЛЬ ИНОСТРАННЫЙ. По каким моделями они считают мне очень интересно. И вот тут главная загвостка. У меня складывается четкое ощущение, что подобные товары введены в перечень не случайно. Все знают, что за последние 3 года автомобили, например, подорожали на 100% как минимум. В то же время вермишель на 10%, мясо на 15% (если верить цифрами Росстата). Т.е. если взять только эти товары, то получается средняя инфляция 41%. Разбавим ещё повышением цен на футбольный мяч, устную консультацию юриста и рытьё могилы (да, всё это есть в перечне) и пр. и вот вам 7,42%. Всем хорошо, всех устраивает. Уверен, что подавляющее большинство людей, прочитавших мой пост, не согласны с данными Росстата. А знаете почему? А потому, что по мнению Центробанка мы просто привыкли жить в стране с высокой инфляцией 😀 У меня всё.
Тут читать охуеешь, а автор каждый день хуярит такую простыню про успехи и победы.
Или это коллектив авторов, поскольку разные совсем темы в которые надо погружаться. Глубокий и грамотный анализ долго хуярить. А поверхностно можно писать быстро нахуй.
ОФЗ пирамида, которую строют в надежде что сво скоро закончится, санкции снимут и бабла будет навалом. Хуюшки.
Сво ещё на 2-3 года. Это война на истощение, и не факт что украина истощится раньше. Если не верить телевизору, что вот-вот ВСУ побежит, деньги и оружия перестают давать, людей в ВСУ нет и тп пропаганде.
Но пока в ОФЗ заходят, тока учтите что государство может через пару лет заморозить выплаты по облигам) те кто в ПМВ и ВМВ закупали облиги не обогатились нихуя нахуй)
Анонимно, да начать с перехода на личности, да продолжить без аргументации, зато выср...казался. Ну да ладно.
Я подождал реакции на пост, она в принципе оказалась вполне однозначной, что уже само по себе радует.
Вообще-то здесь должен был быть другой текст (и он будет). Но когда я искал по памяти один случай поисковые системы мне подкинули пару других, ещё более наглядных...
А этот материал по рядовому сотруднику МТС, который продавал данные клиентов в розницу, но в оптовых масштабах. Данный приговор к теме особо не относится, просто показатель, что с ИБ плохо не только в банках.
Для тех кто не любит читать про сбербанк коротко перескажу ситуацию.
Один из менеджеров Сбербанка, а именно начальник сектора продаж розничных продуктов Сбербанка сделал запрос в центральную БД и выгрузил данные всех клиентов Сбербанка включая (из приговора) "фамилия имя отчество, паспортные данные, дату рождения, адрес места жительства, номер мобильного телефона, полный номер карты, место работы, остаток собственных средств, учетных записях", короче говоря всю банковскую тайну всех физлиц. После этого скопировал выгрузку к себе на компьютер, переименовал, перепаковал архив и отправил его по частям себе на почту, после чего с другого ноутбука скопировал данные из почты на флешку, отнес домой, потом попытался продать данные в даркнете, опубликовав в качестве доказательств данные 5000 клиентов, за "демо"-данные он получил 25 000 рублей, но попал на контрольную закупку, арестован. Осужден на 2 года 10 месяцев (колония-поселение).
В приговоре есть ещё немало классных моментов:
Виновник пользовался учёткой своего руководителя, знал его логин и пароль. Объяснение "чтобы выполнять обязанности в отсутствии руководителя";
Данные выгружались из базы и затем копировались много часов и это ни у кого вопросов не вызвало;
Система не отследила перенос 5,7 Гб данных из "защищенной" части в не совсем защищенную;
В Сбере у пользователей есть техника, которая не имеет защиту от подключения USB-накопителей, с формулировкой "для служебной необходимости" (видать, чтобы данные воровать удобнее было);
В Сбере узнали об утечке данных из Банка России, который обнаружил в открытом доступе 200 из 5000 переданных данных. Если бы не инициирование проверки Банком России то не факт, что СБ Сбера вообще узнала бы о сливе всей своей клиентской базы физлиц;
Человек просто взял и вынес на флешке.
Человек, который это сделал, явно либо очень далек от ИТ, либо делал всё нагло и практически открыто.
Сперва немного отвечу комментаторам прошлых постов. Как понимаете, приговоры это то, что было выявлено, расследовано, дошло до суда и было опубликовано.
@UBM5UBM, ну что, менеджмент банков безгрешный и никакие данные никуда не сливает? Денег им на всё хватает?
@WhiteredMaH, "невозможно защитить ПД", это имел ввиду, что никто такую лавочку прикрывать не будет?
@RationalVal, ну и чего стоят глубоко разбирающиеся в теме "профессаналы" ИБ Сбербанка? Какая же у них охуенная защита ПД и реальная безопасность.
@pavelkonkov, моя больная фантазия настолько больная, что смогла заразить судей Красногорского городского суда Московской области, которые и вынесли обвинительный приговор по делу. А так же все СМИ, потому что новости о перехваченных продажах данных банков вполне себе регулярные.
А теперь моё заключение.
Я ХЗ сколько Сбер тратит денег на ИБ и сколько макулатуры на это переводит, но...
На скамье подсудимых должен был сидеть не только он. Изучение вопросов защиты информации обычно начинается с Приказ ФСБ России от 10 июля 2014 г. № 378 и постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, у ИБшников обычно это "азбука для самых маленьких" (с этого обычно начинают).
Так вот из фактов, изложенных в приговоре суда СОБЛЮДЕНИЯ требований данных актов я не нашел. Согласно классификации Постановления в Сбере должен обеспечиваться наивысший уровень безопасности (хранение данных более 100к физлиц).
Далее ссылки на Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности (утверждены упомянутым выше приказом ФСБ) и их нарушения (не все, только основные):
(пп. в п. 5) Не утверждены, или "только на бумаге" или просто не соблюдаются требования по разграничениям данных и обеспечение доступа в соответствии с должностными обязанностями.
(пп. б п. 5) Не обеспечен учёт и порядок хранения носителей информации.
(пп. г п. 5) Не буду прям утверждать, но упоминаний о сертифицированных средствах защиты информации в приговоре я так же не нашел. Но использование iPad в отделениях...
(пп. 9) Каждый тип защищаемых данных должен быть защищен в соответствии со своим уровнем защиты. Наличие всех данных в одной БД (раз сделана выгрузка) само по себе уже нарушение.
(п. 17) Квалификация сотрудников ответственных за ИБ должна обеспечивать полную защиту персональных данных.
(пп. б п. 20) Каждый запрос на получение данных и его предоставление должны быть зафиксированы.
(п. 22) Все полномочия доступа должны быть прописаны в специальном электронном журнале, все изменения доступов должны фиксироваться. Не реже 1 раза в полгода должна проходить полная сверка.
Я не буду писать ссылки и цитаты на другую нормативку от ФСБ и ФСТЭК (это в 3 - 4 раза раздует пост), но почему за нарушения которой прописаны прямо в приговоре суда никто не ответил?... И к чему это привело? Через 2 года в СМИ опубликовали информацию о новой масштабной утечке по словам представителя Сбера - фейк, однако прозвон данных журналистами РБК (чтобы по формальным причинам пост не закрыли - свидетельство о регистрации СМИ ИА № ФС 77 - 63848) подтвердил, что данные настоящие.
У Сбера официально "утечки не было", но прозвон по взятым наугад номерам все данные почему-то на 100 % подтверждают, полагаю, что принято решение "если нет официальной утечки данных, то и виновных нет и оправдываться не нужно".
После начала СВО за кибератаки уже отчитываются оптом и в основном в % т.е. уже просто не публикуют сколько раз и кого слили.
Безнаказанность порождает безответственность.
И "вой" банков "не надо нас штрафовать" это прямое признание того, что менеджмент в банковской сфере не может (или не хочет) выполнять требования действующих законов РФ, но уступать свои кресла тем специалистам, кто может обеспечить выполнение законодательства не собирается.
P.S. Просто ещё раз прочувствуйте - спустя 13 лет после принятия закона 152-ФЗ "О защите персональных данных" и 29 лет после принятия закона 395-1 "О банках и банковской деятельности", где были требования по обеспечению безопасности финансовой информации из ТОП-1 крупнейших банков России всю клиентскую базу по физлицам типичный офисный планктон ПРОСТО ВЫНОСИТ НА ФЛЕШКЕ. Никаких тебе мега взломов, крутых хакеров, операций спецслужб, тайных агентов. Просто типичный (хоть и долго работающий) офисный планктон вынес всю базу на флешке...
Простите @astrobeglec, но к информационной безопасности, судя по вашим постам, вы имеете отношение такое же, как и планктон к межзвёздным перелётам. Защитить информационный объект на 100% невозможно в принципе ни при каких условиях, если он существует. То есть, если объект существует, значит информация о нём известна, а если она известна, то это порождает канал связи между объектом и субъектом и так далее.(можете открывать форточку, ага)
Сколько бы не вкладывались в безопасность и автоматизацию - утечки будут всегда, особенно при условиях, когда доступ к информации имеет человек. И штрафы вряд ли помогут изменить ситуацию, лучше бы ловили и жестко наказывали тех, кто эту информацию добывает/сливает и использует во вред. Лично мне похер, что в сети есть информация о том, что я заказывал еду с доставкой и даже адрес(кстати, вспомните телефонные справочники 90х), это тот риск, на который я согласился, когда поленился вытащить свою жопу на улицу и дотащить её до кафешки или риск не хранить все деньги у себя дома, ожидая домушников, вместо банка с онлайн обслуживанием.
PS. Ни в коем случае не оправдываю всякие яндексы и прочие сдеки, данные которых слили в сеть, а компании при этом не понесли наказания, но хотел бы напомнить, что без этих компаний у нас не было бы кучи сервисов и удобств, а лишая компаний оборотных средств, мы лишаемся и сервисов, кроме того большое количество людей лишается ещё и работы.
Такую задачу поставил Little.Bit пикабушникам. И на его призыв откликнулись PILOTMISHA, MorGott и Lei Radna. Поэтому теперь вы знаете, как сделать игру, скрафтить косплей, написать историю и посадить самолет. А если еще не знаете, то смотрите и учитесь.
Если будет интересно, то могу коротко написать чем системы с ориентированием на безопасность отличаются от "обычных".
Тема, как показали комментарии и оценки поста, таки интересная, в комментариях быстро сформировалось два лагеря:
- тотальное обеспечение безопасности персональных данных невозможно;
- тотальное обеспечение безопасности персональных данных возможно.
Я себя отношу ко второму лагерю и в этом посте будет обосновано как можно добиться полной защиты данных.
Начать я хочу с базовой аксиомы информационной безопасности:
Единственным показателем эффективности информационной безопасности (инфобеза) ИТ-инфраструктуры является полное или почти полное отсутствие успешных атак на инфраструктуру.
Сперва здесь я сделал подборку явных нарушений инфобеза (которые видны каждому клиенту, кто в теме) в некоторых из ТОП-10 крупнейших банков, но потом удалил, чтобы не раздувать пост и сосредоточиться только на теме абсолютно безопасного хранения данных.
Итак, первый шаг - организационно-управленческий. Вопрос инфобеза должен быть № 1, полномочия ответственного за инфобез сотрудника должны быть наивысшими.
Практически всегда правила инфобеза налагают жесткие ограничения на сотрудников и бизнес-процессы, требует повышенной квалификации и дисциплины всех задействованных лиц, поэтому прежде всего менеджмент (за единичными исключениями) к ним относится крайне негативно. Да и сотрудники от всего этого не в восторге.
Второй шаг - психологический. Инфобез, это точно та же война. Только проходит она не в реальности, а в киберпространстве. Что отличает солдата от гражданского? Психология. На 1 месте слово "надо". Броник тяжелый и неудобный? Надо. Ползком неудобно? Но надо. Камуфляж не красивый, но так надо. Солдат, который забывает слово "надо" очень быстро приезжает домой в деревянном ящике. То же самое и про инфобез - расслабился, сделал что-то как захотел, а не как надо... И тебя поимели.
Третий шаг - стратегия. Инфобез строится как пирамида, только от вершины к основанию. На вершине стоят стратегические вопросы:
Классификация данных, определение того какие данные из всех необходимо защищать;
Какую цену готовы заплатить за защиту данных;
Какими данными можно жертвовать;
Какие процессы защищать;
Какое количество уровней защиты.
И т.д. и т.п. Последующие шаги будут делаться исходя из стратегических целей.
Для определения стратегических целей нужна полная инвентаризация данных компании (т.е. описание всей инфраструктуры), бизнес-процессов, составление матриц доступа тип данных (публичные данные, для служебного пользования, секретные, особой важности) / круг лиц имеющих доступ к данным. Главный принцип стратегии инфобеза - минимализм:
- хранимых данных должно быть минимальное количество, если что-то можно не хранить - это не должно храниться;
- доступ к каждой категории данных (кроме общедоступных) должен быть у минимально возможного числа лиц, если нет крайней необходимости, то доступа к данным быть не должно;
- объём программ и оборудования, обрабатывающих данные, должен быть минимально возможным. Всё неиспользуемое обрудование, части операционных систем, прикладное ПО которое может быть исключено - должно быть исключено;
Четвертый шаг - тактика. Каждый стратегический пункт нужно "разложить" в тактическом плане. На каждый тип данных, канал обмена данными, бизнес-процесс составляется матрица возможных угроз и меры по их предотвращению. Я предпочитаю (точнее предпочитал, до выхода из темы) делать это по матрице DCRUD (она является логической переработкой CRUD):
D - Denial of service - Отказ в обслуживании. Сервис и данные всегда должны быть доступны только пользователям у которых есть к ним доступ и недоступны всем остальным.
C - Create - Создание данных должно быть доступно только пользователям с соответствующими полномочиями.
R - Read - Чтение данных должно осуществляться только пользователям с соответствующими полномочиями.
U - Update - Обновление данных должно быть безопасно (можно восстановить всю историю обновления данных) и должно осуществляться только пользователям с соответствующими полномочиями.
D - Delete - Удаление данных недопустимо, данные могут быть помечены как не актуальные, но никогда не удаляться.
Пятый шаг - дисциплина и ответственность. Какой бы совершенной не была инфраструктура, как бы хорошо не были прописаны процессы, если требования и регламенты не будут соблюдать, то эффект на выходе - нулевой. Здесь опять же больше всего косячит именно менеджмент, они же "избранные"... Пароли на листочке на монитора, токены с ЭЦП руководителя гуляющие по всему офису... Ну вы поняли. Но главное не это - обычно, когда безопасник тыкает носом в явные нарушения правил ИБ происходит что? "Не мешай работать". Докладные, что "Вася нарушает правила ИБ, что может повлечь ... " - послушали, покивали... И на этом всё. Ну и т.д. и т.п.
Практический пример организации защищенного хранилища данных с нулевой утечкой (участвовал специалистом в разработке оного в 2015 - 2016-м году, сфера работы компании - медицина). Поскольку было давно, что-то могу помнить некорректно:
Провели инвентаризацию данных. Определили, что защищать нужно ПД клиентов компании (ФИО, паспортные данные), а так же услуги клиентов.
Сделали два хранилища - публичное и защищенное. В публичном было всё, кроме защищенных данных.
Защищенное хранилище физически размещалось в 2-х зданиях (для обеспечения надёжности хранения, например при пожаре в одном из зданий). Серверные в подвалах, на входе железные двери, внутри пост охраны, сами стойки за отдельной решеткой и ключей у охраны от неё нет. Доступ мог осуществляться только по приказу руководителя, который ЗАРАНЕЕ передавали охраннику, он впускал в назначенное время сотрудника, сотрудник СВОИМ ключом открывал доступ в серверную.
Все обмены данными (даже публичными) - зашифрованные, как минимум по 3-м ключам шифрования.
Сотрудникам организовали минимальный доступ к информации. Например, фамилию клиента видел только сотрудник проводящий первичную регистрацию. Дальше с клиентом работали только по имени-отчеству и ID.
Направления на анализы выдавались по UUID, результаты привязывались так же к UUID. Никаких фамилий и имён. Связь пациента и UUID анализа - в защищенном хранилище.
Сотрудники носили форму вообще без карманов, любая техника - запрещена. Из оборудования (кроме мед. приборов) разрешались только механические ручные часы. Нарушение правила - безусловное увольнение.
На рабочих ПК - урезанный до предела Linux, браузер в режиме киоска + самописная СКЗИ. По времени визита клиента выдавалась только минимум информации.
Никакой беспроводной связи. Все кабели с данными только с изоляцией и шумоподавлением в защищенных кабель-каналах с сигнализацией повреждения.
Никакого удаленного доступа. Вообще никакого и вообще никому.
Все обмены данными строго по "белым спискам" с логированием в журналах;
Защищенное хранилище технически представляло собой 5 серверов (начинка как у обычных ПК) + станция администрирования:
Станция администрирования - ПК с которого был доступ к серверам. Каждый сервер имел 2 сетевые карты, 1 сетевая в "общую" сеть и 1 в коммутатор к станции администрирования. Доступ к SSH только через порт 2 (только с IP и MAC станции администрирования и сервера бэкапов).
Сервер бэкапов. Сервер все бэкапы забирал сам мог подключаться к остальным серверам.
Сервер ключей шифрования. Сервер генирировал и хранил все необходимые ключи шифрования данных.
Сервер баз данных. База данных с полным запретом стандартных операций (SELECT, INSERT, UPDATE, DELETE). Все операции только через DDL, в каждой DDL обязательное журналирование всех операций. В таблицы допускалось только добавление строк, UPDATE, DELETE в DDL запрещены. Каждая запись, вместе с ЭЦП прошлой записи подписывается ЭЦП.
Сервер приложений. На данном сервере хранились микроприложения, которые работали с БД, IP-АТС и рассылки СМС. 1 задача - 1 приложение. Рассылки СМС брались напрямую из БД, на звонки динамически выделялись номера. То есть номер 0001 сейчас перенаправляется на +7 912 345 68 89, а через 5 минут на +7 912 345 89 68. Каждый сотрудник звонил только на "свой" номер. Т.е. если пациент не пришел, то "свой" номер врача указывал на номер пациента, который записан на текущий момент.
Ни одно из приложений не было больше 1000 строк кода.
Сервер управления, который рулил всем вышеперечисленным.
Каждый сервер имел защищенную процедуру запуска. Без специальной флешки (для каждого - своя) запуск был невозможен, за каждый сервер отвечал отдельный сотрудник и флешка запуска была только у него.
Организация операций с данными от регистрации клиента до архивации:
Новый клиент заключает договор, его данные вносятся в форму, распечатывается подписывается. СКЗИ регистратуры шифрует каждый тип данных (фамилия отдельно, дата рождения отдельно, телефон отдельно, паспортные данные отдельно и т.д.) публичными ключами и полученные данные отправляет серверу приложений. Данные шифруются ключом рабочей станции и ключом сотрудника. Сервер приложений получает зашифрованные данные. По IP отправителя отправляет данные на расшифровку, потом по информации сервера управления отправляет данные на расшифровку ключом сотрудника, полученные данные отправляет в DDL СУБД (обращаем внимание - БЕЗ РАСШИФРОВКИ). Бумажная копия документов сразу упаковывается в конверт, опечатывается и сдается в архив. Из публичных данных остаётся только хеш номера телефона (так хранятся пароли).
При необходимости оказания услуги клиент называет номер телефона, его вбивают, так же шифруют ключом ПК и сотрудника, сервер приложений так же расшифровывает и возвращает по хешу телефона (из публичной части) UUID клиента зашифрованный ключами ПК и сотрудника.
Клиенту делается запись на время Х к врачу. Данные по записи так же шифруются и передаются в формате дата-время-UUID клиента-UUID врача.
По расписанию приёма сервер управления запрашивает связки UUID клиента и UUID врача. Сервер приложений получает команду на формирование пакета данных, которые будут отправлены на ПК врача - имя и отчество клиента, минимальные данные по профилю (т.е. врач видит только "свои" данные, историю посещений по своему профилю и результаты своих анализов). Данные шифруются ключом ПК врача и ключом самого врача.
Направление на анализы - так же по UUID. На направлении нет ни ФИО, ни возраста, ничего. UUID и список исследований.
Лаборатория вносит результаты так же по UUID.
Обращу внимание:
Все передачи данных идут строго по одной. Списки исключены полностью.
Все данные шифруются ПОСЛЕДОВАТЕЛЬНО ключами оборудования, сотрудников и сервисов. Расшифровка возможна ТОЛЬКО на том оборудовании куда идут данные и только сотрудником, которому данные предназначены;
Ключ оборудования прописан только в самом оборудовании, ключ сотрудника - на токене / флешке. Токен получается в начале рабочего дня под запись и сдаётся в конце рабочего дня так же под запись.
Защищаемые данные в открытом виде не хранятся НИГДЕ.
Все данные НИКОМУ и НИКОГДА не предоставляются.
Нарушение порядков обмена данными - алармы и журналы.
ОК, давайте представим, что конкуренты решили слить себе данные, что для этого нужно:
Украсть одну из серверных полностью. Весь комплекс работает так, что отсутствие одного из элементов делает остальные бесполезными. БД зашифрована, ключи на сервере ключей, сколько раз и какими ключами шифровалось на сервере управления, а как именно шифровалось на сервере приложений. На сервере бэкапов в принципе те же грабли (бэкапы зашифрованы).
Украсть все ключи запуска серверов у всех сотрудников.
Выкрасть всех разработчиков. Проект разрабатывало 7 человек. Каждый отвечал только за свой участок и защиту своего сектора. "В целом" работу системы понимали все, но конкретики по "чужим" участкам ни у кого не было.
Проанализировать с помощью разработчиков системы весь код со всех серверов, составить матрицу что и чем шифруется и расшифровывается и по матрице расшифровать данные.
Почему другие варианты не сработают?
"Засланные казачки" бесполезны. Просто потому что "точки слива" нет. Допустим решили получить данные на Х. Для этого нужно знать номер телефона, по которому он зарегистрировался, создать фиктивную запись к врачу, ОПЛАТИТЬ её и получить часть данных по его профилю. С учётом смсок с информированием о записи клиент вполне себе может и вопросы задать. А ответы в логах доступа - кто записывал, с какого рабочего места...
Просто запоминать? А что именно? Врач видит, что к нему пришел 3 раз Иван Иванович (фамилию и дату рождения не видит), который сдал такие-то анализы с таким-то результатом. Сфоткать экран нечем, да и смысл? Информации о том был ли Иван Иванович у других врачей и что он там делал - нет. Да и какой именно Иван Иванович - ХЗ, ибо людей с одинаковыми именами-отчествами полно. Бухи видят оплаты, но не видят и не знают кто платил...
В регистратуре есть информация о человеке (при регистрации), больше - ничего (он ещё обследований не проходил).
При повторном обращении есть UUID и куда пошел человек. Больше - ничего.
В лаборатории есть информация, что по UUID есть такие-то результаты анализов. Больше - ничего.
P.S. У данной истории печальный финал. Система отработала несколько лет, прошла проверки в т.ч. по 152-ФЗ, а потом главврач клиники сменился. Новый систему заменил на "более продвинутую, менее сложную от одного из лидеров обеспечения безопасности персональных данных".
Для удобства переноса данных мы её быстро (за 15 минут) "ломанули" и за пару дней перетащили все данные (потребовалось участие всех разработчиков и всех админов). "Ломанули за 15 минут", это не хвастовство и не зря в кавычках - просто эта система имела уровень защиты исключительно от технически неграмотных честных людей, ибо в личных настройках ВСЕХ ПОЛЬЗОВАТЕЛЕЙ (правда довольно глубоко) был логин/пароль к центральной БД в открытом виде, БД разрешала удаленные подключения, а внутри БД разграничений доступа не было от слова совсем.