↓
 ↑
Регистрация
Имя/email

Пароль

 
Войти при помощи
Marlagram
24 сентября 2018
Aa Aa
//Ужастиков в лунную ночь, да.

Наши с вами персональные данные ничего не стоят - забавная, но в целом более-менее вводящая в курс дела статья о ситуации с персональными данными в России. Правда, на реплики автора по части ситуации на Благостном Западе лучше внимания не обращать, там это просто (очень) заметно дороже и значительно избирательнее в смысле клиентуры, просто частному анонимусу действительно сложно (хотя ситуация от страны к стране отличается заметно, это тоже да).
...
Любопытный факт: активно продаются базы пользователей букмекеров-форексов-опционов, услуг экстрасенсов-гадалок-ворожей, покупателей БАД-ов, средств для похудания и повышения потенции. Целевые аудитории этих специфичных продуктов настолько кристаллизовались, что эти базы переходят из рук в руки, постоянно дополняются и поддерживаются в актуальном состоянии. Бизнес просто огромный по своему масштабу.
...

Обратная сторона дешёвой сотовой связи, дешевых тендеров в соответствии с нонешними законами о госзакупках на софт и интеграцию, общего пофигизма и крайне неудобных на практике процедур оформления отчётности у разного рода силовиков - из-за чего их обходят (так или иначе) практически тотально. Плюс нюансы того, что требует ЦБ от банков и как часто/в каком направлении под это дело переписывают соответствующий софт...
А ведь пресловутая цифровизация в условиях тотально текущих баз и именно так организованной работы тех же ОПСОСов - это п...ц.

Из обсуждений:
...
У операторов обычные сотрудники имеют доступ ко всем данным пользователя напрямую, кроме пароля, который можно получить тоже, но уже чуть сложнее. Всё довольно-таки регламентировано, база в облаке, машина админом анально огорожена. Стащить базу целиком очень трудно с машины обычного сотрудника, но можно понаделать всякого номеропробивательного. Обычно, действия сотрудников контролируются через запись экрана, но пишется экран не всегда, да и просматривает всё это 1,5 человека. Как таковой борьбы с сливом данных нет. Т.е. если поймают — накажут, но и всё. Есть ещё такой момент: сейчас у опсосов час работы обычного сотрудника стоит ~100р. Мб это причина почему данные стоят так мало в итоге. С банками ситуация весьма похожа, кстати. Инфа из личного опыта: устраивался на пару недель посмотреть что внутри в один из банков и в один из опсосов.
...
Работала у одного оператора, у нас далеко не все имели доступ к полным персональным данным, многие работали исключительно с деперсонализированными агрегированными данными (в части бизнес-пользователей). Записи экрана тоже не было, вроде как только текстовые логи.

А возможностей достать инфу, работая в подобной конторе, да, масса. Показательная порка сливателя была на моей памяти только один раз и то, не при мне, а раньше. Такая притча во языцах «чтоб неповадно было».
То что сливают обычные сотрудники с зарплатой 3 копейки вполне логично. Потому что у ИТ или тех же аналитиков достаточно высокие зарплаты, чтобы заниматься подобным рискованным бизнесом.
...
Регламентирован = защищен бумажками (ака процессами). По поводу того, что есть мало у кого, тоже хочется уточнить — а что понимать под мало? У сотрудников колл-центра, чья работа стоит реально копейки, есть. У сотрудников ритейла (аналогично), есть. У айтишников (многочисленных подразделений по тестированию все новых продуктов и фич, DBA, и т.п.) тоже есть. Правда последние вряд ли будут этим заниматься (ибо зарплата получше и терять есть чего).
...
На примере услуги «Вспышка» расскажу (определение места нахождения абонента моб.связи). Чтобы получить ответ на запрос от оператора (кстати, тоже через доверенного гос. провайдера (их несколько) менты то делают не не напрямую, все логируется более чем), нужно обоснование. Обоснование слепить — совершенно не проблема: сотрудник указывает в причине запроса, что по делу N поступили сведения о причастности абонента X к делу N, и очень срочно нужно выяснить, где он находится. Таким образом, любой сотрудник имеет обоснование на получение информации, которое вполне подходит для норм закона (например, «О Полиции»), и никаких претензий к нему не будет даже в случае служебного расследования. Бюрократия во всей красе.
...
Я, в свое время, успел поработать в банках и страховых москвы (причина смены работы — личные планы, тупая политика/курс т.д.).

Так вот, когда ты на должности, которая связана с работой с БД, работа на уровне таблиц и всего того порно, которое есть в базе, то у тебя в лучшем случае своя учетка, а в среднем — учетка на твой отдел, которая отличается от root учетки лишь тем, что ты не можешь случайно грохнуть определенные базы и добавить юзверов. В то же время у тебя есть и godmode доступ, вот с того вот "стикера на стене", если кодерам нужно добавить юзвера в свежую базу.

Так вот — что в банках, что в страховых, когда ты работаешь напрямую с данными — ты видишь все. Нету скрытой от тебя информации. Ты видишь об объекте все от 0 до F.

Если кто-то захочет поставить триггер, словить тебя на нехороших действиях — этот запрос пойдет через твой отдел + ты увидишь изменения, если кто-то их и сделал. Так же не забываем, что это Россия, где, в дружном коллективе, никто не может нормально держать язык за зубами.

Вот и все. Любой сотрудник, имеющий по тем или иным причинам прямой доступ в базу может безнаказанно и непойманно выдавать данные о ком и чем угодно.
...
Это только в сказке бывает. Когда в субботу в 6 утра спокойного сна у вас звонок, и тетки кричат, что нету 33 миллиардов, то сие правится ручками, как и сотни косяков каждый день. Не в плане, что любой мог попросить меня что-то исправить, я мог исправить что угодно что просили или я захотел, но попросить могли только опреденные люди. Это из первой десятки банк.

Заявки и ЭЦП очень круто, первые еще можно переварить, а ЭЦП… вы видели какое железо и ОС в парках компании? Какие методы они используют для ограничения доступа к периферии, и как сие глючит, если надо дать исключение?

Можно томик ужасов написать.

Так же волокита ужасно замедляет работу. ЭЦП сел и подписал? Для начала надо быть у компа, или заму быть у компа. Если там цепочка — пошло поехало. Добавляем глюки, которые рандомно бывают. И все. В банках, по крайнем мере ранее, отчетность была до обеда и после (о ошибки вскрываются именно перед закрытием, иногда после, тут больше кунгфу делать). А если тупить — тебя (банк) штрафуют. То бишь там закрывали день в полдень и открывали следом. И операции из первой половинки дня никак нельзя было закрыть во второй половинке.

В страховых все проще и спокойнее. Там не рилтайм, но иногда есть факапы, что очень крупный клиент (автосалон или армия) хотят получить договор, которые забили с косяками, как выясняется позже, или от руки сделали и перебили криво… В итоге ничего с ним не сделать, кроме ручной правки.
...


#Приватность #Реал #Хабр
24 сентября 2018
2 комментария
Я бы порассказывал, конечно, но, блин(
Закрытие опердня в банке - старый добрый ужастик :D
Как хорошо, что я теперь не в банке :D
ПОИСК
ФАНФИКОВ







Закрыть
Закрыть
Закрыть