» »

(Komentar) Dva kilograma informacijske varnosti, prosim

(Komentar) Dva kilograma informacijske varnosti, prosim

Ti. kavč oz. pisarniška inšpekcija (simbolična fotografija)

vir: RTV Slovenija
Slo-Tech - Število odmevnih varnostnih incidentov v digitalnem svetu je vsak dan večje in Slovenija ni nobena izjema. Spomnimo le na incidente Nova24TV, Lekarne Ljubljana, Bolnišnica Izola, Revoz, AJPES. Ob dogajanju se vedno znova zastavljata dve ključni vprašanji: kdo je kriv in zakaj podatki niso bili ustrezno zavarovani?


Kdo je odgovoren?

Pri iskanju krivca pomaga kombinacija ljudske folklore (»nihče ni kriv«) in inšpekcijske prakse (»kriva je odgovorna oseba«). Ko varnostni incidenti niso medijsko izpostavljeni, krivca ni treba iskati, dovolj je, da se dogovorimo med sabo, okaramo nesposobne zaposlene, se posipamo s pepelom in zadevo pometemo pod preprogo. Ko se začne incident javno pogrevati, nastanejo težave, ki jih bolj ali manj učinkovito rešujejo represivne službe: Policija, Informacijski pooblaščenec, AKOS, Uprava za informacijsko varnost). Takrat naj bi se v okviru formalnih postopkov določilo odgovorno osebo, praviloma tako, da se začne z iskanjem krivca čim nižje v organizacijski hierarhiji (če ne zadošča hišnik, naj bo kriv informatik, če to ni dovolj se žrtvuje vodjo informatike, šele v skrajnem primeru direktorja podjetja). Grešnika se oglobi, volk je sit, koza cela. Če se žrtev uspe pritožiti, globa na sodišču zaradi trenutnih težav z (ne)implementacijo ZVOP-2 pade. Sistem kot tak seveda deluje le dokler so globe nizke (oz. jih ni). GDPR žal omenja 10 do 20 milijonske globe, kar je za slovenske razmere dovolj, da lahko marsikoga prižene čez rob obupa. Ob tem velja dodati, da glede na GDPR sankcije ne doletijo več odgovornih oseb (vsaj, dokler ZVOP-2 ne bo uvedel kakšnega novega dognanja s tega področja), ampak organizacije v katerih se je varnostni incident zgodil (ki potem lahko skladno s svojimi notranjimi postopki in pravilniki izvršujejo disciplinske postopke in regresne zahtevke). Kako se bo v praksi izvajala črna magija izrekanja glob in kako visoke te v resnici bo, najbrž ne ve nihče. Na srečo pri nas zaradi neimplementaicje GDPR v nacionalni zakonodaji nimamo prekrškovnega organa, ki bi lahko te visoke globe izrekal. Še več, v delu, kjer so prekrški po novem urejeni v GDPR, ne veljajo več prekrški iz Zakona o varstvu podatkov (vsaj glede na mnenje ljubljanskih prekrškovnih sodišč -- ZSV 742/2019).

Kdaj so podatki ustrezno zavarovani?

Neodgovorjeno ostaja drugo vprašanje, ki je morda še pomembnejše. Kdaj so podatki ustrezno zavarovani? Zakonodaja (ZInfV, ZVOP-1, GDPR) daje splošna priporočila o tem, da je treba določiti varnostna tveganja in uvesti ukrepe s katerimi tveganja zmanjšamo (do kje?) in s katerimi preprečimo nepooblaščeno obdelavo podatkov (kako konkretno?). Skoraj gotovo večina večjih organizacij, tudi tiste, ki so bile predmet prej omenjenih varnostnih incidentov, izvaja osnovne ukrepe informacijske varnosti in aktivno preprečuje nepooblaščeno obdelavo podatkov. Toda incidenti so se kljub temu zgodili. Ali to pomeni, da zavarovanje podatkov ni bilo ustrezno? Ali morda pomeni, da vselej, ko se zgodi varnostni incident (zgodi se lahko vedno, mar ne?), to hkrati že pomeni, da zavarovanje podatkov ni bilo ustrezno oz. da dokler se incident ne zgodi, je zavarovanje po definiciji ustrezno? Zagata nikakor ni akademska, neustrezno zavarovanje podatkov se namreč strogo sankcionira.

Skladnost poslovanja. Skladnost s čim?

Težava je, ker popolne varnosti ni mogoče zagotoviti, a hkrati ni jasno kje je meja, ki bi jo bilo treba z uvajanjem organizacijskih, procesnih in tehničnih ukrepov doseči, da bi v primeru varnostnega incidenta lahko policiji ali inšpekcijskim službam zagotovili, da smo naredili vse kar načelo dolžne skrbnosti zahteva in da zato res ne bi bilo korektno plačevati glob. Če državne nadzorne institucije, ki razpolagajo s sredstvi prisile in (upajmo) z ustreznim strokovnim znanjem, odgovora na vprašanje ne bodo jasno oblikovale, se bo še naprej dogajalo kar se že – denarja se ne vlaga (dovolj) v informacijsko varnost, ampak v namenske proračune za plačevanje glob in podkupovanje uradnikov.

Po drugi strani bi bilo mogoče ta gordijski vozel presekati z jasno določitvijo zahtev dolžne skrbnosti (due dilligence), kar je praksa, ki se je že uveljavila v nekaterih vejah poslovanja. Dolžna skrbnost preprosto pomeni, da se jasno določi zahteve, ki jih je treba izpolnjevati. Če se kljub temu zgodi neljubi dogodek, recimo varnostni incident, organizacija praviloma ni deležna sankcij s strani nadzornih institucij, saj je naredila v dogovorjenem obsegu vse kar se je od nje zahtevalo. V takšnih primerih je vodstvo organizacij dodatno motivirano, da denar raje nameni izboljšanju informacijske varnosti kot plačevanju glob in pomirjanju razdraženih birokratov. Konkretne zahteve dolžne skrbnosti bi nenazadnje koristile tako notranjim uporabnikom, ko načrtujejo in postavljajo sistem varnosti kot tudi nadzornikom in inšpektorjem, ki preverjajo skladnost sistema.

Delovna vnema je velika, produkcija dokumentov še večja!

Domačim nadzornim organom velja priznati delovno vnemo na področju informacijske varnosti, saj so pripravili več dokumentov, ki so v pomoč organizacijam pri določanju varnostnih tveganj in uvajanju ukrepov za zmanjševanje takšnih tveganj. Vendar kljub hvalevrednim prizadevanjem še niso podali jasnih kriterijev, ki bi jih bilo treba izpolniti, da zagotovimo (pred bogom in domovino) dolžno skrbnost na področju informacijske varnosti. Na vprašanja, kakor ravnati, smo praviloma dobili enigmatične odgovore v smislu »zavarovanje se ugotavlja od primera do primera« ter »priporočamo uporabo uveljavljenih standardov kot je ISO 27001«. Res je, da kompleksne okoliščine sodobnih organizacij bistveno otežijo iskanje jasnih minimalnih standardov odgovornega ravnanja, toda hkrati bistvo ideje pravne varnosti in predvidljivosti tiči ravno v tem, da organizacije in posamezniki jasno vedo kaj morajo storiti, če naj se izognejo morebitnim sankcijam v inšpekcijskih ter prekrškovnih postopkih.

Popolna varnost

Upajmo torej, da bo nov varnostni incident, ki je tokrat "doletel" »prve v službi resnice«, spodbudil inšpekcijske službe k premisleku o vprašanju dolžne skrbnosti pri zagotavljanju informacijske varnosti. Upamo tudi, da bodo varuhi pravnega reda svoje uvide nesebično delili (v obliki izjave za javnost, brošur, napotkov ali celo okrogle mize) s širšo strokovno javnostjo. Tudi zato, ker številni med nami želimo dvigniti nivo informacijske varnosti, vendar zaradi omejenih sredstev in dejstva, da nihče ne more nikoli zagotoviti popolne varnosti, preprosto ne vemo koliko varnosti (že) zadošča, da izkažemo dolžno skrbnost in s tem zmanjšamo verjetnost izreka visokih glob, ki jih določa GDPR.

39 komentarjev

johanblond ::

" še niso podali jasnih kriterijev, ki bi jih bilo treba izpolniti, da zagotovimo (pred bogom in domovino) dolžno skrbnost na področju informacijske varnosti"

Kriteriji so jasni, podatki ne smejo pobegniti :-).

Na področju, ki ga poznam (pa ne bomo šli v detalje, ker ne bomo z imeni in priimki) in je precej bolj regulirano kot GDPR so tudi navodila zelo splošna:
"should be appropriate and such that they do not adversely affect, directly or indirectly, either the products during their manufacture and storage, or the accurate functioning of equipment".
Kaj je appropriate je dolžnost tistega, ki ima želi imeti certifikat.

Ko nekdo želi, "jasnih kriterijev, ki bi jih bilo treba izpolniti", pomeni, da mu je vseeno za končni cilj - varnost podatkov, samo rabi bianco menico, da ni kriv.

Miha 333 ::

johanblond je izjavil:

" še niso podali jasnih kriterijev, ki bi jih bilo treba izpolniti, da zagotovimo (pred bogom in domovino) dolžno skrbnost na področju informacijske varnosti"

Kriteriji so jasni, podatki ne smejo pobegniti :-).

Na področju, ki ga poznam (pa ne bomo šli v detalje, ker ne bomo z imeni in priimki) in je precej bolj regulirano kot GDPR so tudi navodila zelo splošna:
"should be appropriate and such that they do not adversely affect, directly or indirectly, either the products during their manufacture and storage, or the accurate functioning of equipment".
Kaj je appropriate je dolžnost tistega, ki ima želi imeti certifikat.

Ko nekdo želi, "jasnih kriterijev, ki bi jih bilo treba izpolniti", pomeni, da mu je vseeno za končni cilj - varnost podatkov, samo rabi bianco menico, da ni kriv.

Zadeva je rahlo kompleksnejša. Incident je lahko posledica tudi npr. neke varnostne ranljivosti v kakšnem produktu ali druge okoliščine, ki je izven nadzora uporabnika oz. organizacije.

brbr21 ::

Delovna vnema je velika, produkcija dokumentov še večja!

V enem stavku genijalen povzetek stanja duha v Sloveniji. Poklon!

Han ::

Uff, ima svinjsko tipkovnico. ;((

mrTwelveTrees ::

Nič novega napisanega v tem "članku".

Šmorn ::

Kdo je kriv? Krivi so napadalci. To je prva stvar, ki ti jo povedo na raznih izobraževanjih za informacijsko varnost.

johanblond ::

Miha 333 je izjavil:

Zadeva je rahlo kompleksnejša. Incident je lahko posledica tudi npr. neke varnostne ranljivosti v kakšnem produktu ali druge okoliščine, ki je izven nadzora uporabnika oz. organizacije.


Na zgoraj omenjenem področju (ki je dejansko bolj regulirano od enega varovanja osebnih podatkov) ja lastnik dovoljenj/certifikatov odgovoren za vso verigo procesov (zadnji podizvajalec mora izplnjevati vse kriterije kot on sam).
V tem kontekstu je potem vseeno ali je sam razvil neko rešitev ali pa jo kupil, on jo uporablja v nekem certificiranem okolju, on je odgovoren za njo. Nadzorni/regulatorni organ se ne ukvarja z internimi procesi podjetja (ali se je z nečim ukvarjal Jože iz tvojega podjetja ali pa Franci, subcontractor iz podjetja B).
Če da damo to v koncept varnosti računalniških podatkov, če imaš lasten ali outsourcan e-mail server, je to povsem nepomemben, irelevanten podatek pri presoji odgovornosti.

Vem kaj želiš povedati, ampak izkušnje iz vseh res kompleksnih sistemov kažejo, da je na osnovnem nivoju to najpomembnejša zadeva, se smeš dovolit prelaganja odgovornosti. Kljub temu da si nekaj outsorcal podjetju B, čisto za vse kar je naredilo podjetje B za tebe je tvoja odgovornost. Ko zahtevaš sledeče: "ti si uporabljal program B za ravnanje s osebnimi podatki, varnost programa B je tvoja odgovornost, ker si ti odgovoren za podatke" se dejansko stvari začnejo urejati.

Mi je pa povsem jasno, da dosledna implementacija tega da si ti odgovoren za vse procese, obrne na glavo. V tem konceptu si v končni fazi si ti pravno in finančno odgovoren kot upravljalec osebnih podatkov za hardwer, ki ga uporabljaš (npr. Intel Meltdown and Spectre). (OK, pri presoji tega problema, bi se lahko uspešno zagovorjal, da te napake pri designu procesorja se res ni dalo predvideti, ampak je to stvar, ki je esnotavno nisi mogel preprečiti, kljub vsem procesom, ki jih imaš vpeljane, stvar je v tem, da se moraš ti ukvarati z zagovarjanejm procesa, ne pa da se izogneš odgovornosti s tem, da itak ni procosor tvoj, ampak si ga kupil).

Vem, v IT sferi nepredstavljiva zadeva, so pa industrije, ki dejansko delujejo na tem konceptu. Že avtomobilska industrija, ki je pravzaprav slaba šal v smislu regulacije, je veliko bolj smisleno urejena.

En primer, kaj spremeba koncepta lahko obrne na glavo. Če nek uraden organ v RS zahteva nek uradno potrdilo, ki ga izdaja nek drug uraden organ v RS, ga mora pridobiti sam, ne pa stranka v postopku (državljan). In kar na enkrat se je zmanjšala potreba po nekih potrdilih.

Aggressor ::

Han je izjavil:

Uff, ima svinjsko tipkovnico. ;((


Če se ne motim, je to od takrat, ko je bila na RTV v klepetalnici.
en CRISPR na dan odžene zdravnika stran

Sc0ut ::

johanblond je izjavil:

Miha 333 je izjavil:

Zadeva je rahlo kompleksnejša. Incident je lahko posledica tudi npr. neke varnostne ranljivosti v kakšnem produktu ali druge okoliščine, ki je izven nadzora uporabnika oz. organizacije.


Na zgoraj omenjenem področju (ki je dejansko bolj regulirano od enega varovanja osebnih podatkov) ja lastnik dovoljenj/certifikatov odgovoren za vso verigo procesov (zadnji podizvajalec mora izplnjevati vse kriterije kot on sam).
V tem kontekstu je potem vseeno ali je sam razvil neko rešitev ali pa jo kupil, on jo uporablja v nekem certificiranem okolju, on je odgovoren za njo. Nadzorni/regulatorni organ se ne ukvarja z internimi procesi podjetja (ali se je z nečim ukvarjal Jože iz tvojega podjetja ali pa Franci, subcontractor iz podjetja B).
Če da damo to v koncept varnosti računalniških podatkov, če imaš lasten ali outsourcan e-mail server, je to povsem nepomemben, irelevanten podatek pri presoji odgovornosti.

Vem kaj želiš povedati, ampak izkušnje iz vseh res kompleksnih sistemov kažejo, da je na osnovnem nivoju to najpomembnejša zadeva, se smeš dovolit prelaganja odgovornosti. Kljub temu da si nekaj outsorcal podjetju B, čisto za vse kar je naredilo podjetje B za tebe je tvoja odgovornost. Ko zahtevaš sledeče: "ti si uporabljal program B za ravnanje s osebnimi podatki, varnost programa B je tvoja odgovornost, ker si ti odgovoren za podatke" se dejansko stvari začnejo urejati.

Mi je pa povsem jasno, da dosledna implementacija tega da si ti odgovoren za vse procese, obrne na glavo. V tem konceptu si v končni fazi si ti pravno in finančno odgovoren kot upravljalec osebnih podatkov za hardwer, ki ga uporabljaš (npr. Intel Meltdown and Spectre). (OK, pri presoji tega problema, bi se lahko uspešno zagovorjal, da te napake pri designu procesorja se res ni dalo predvideti, ampak je to stvar, ki je esnotavno nisi mogel preprečiti, kljub vsem procesom, ki jih imaš vpeljane, stvar je v tem, da se moraš ti ukvarati z zagovarjanejm procesa, ne pa da se izogneš odgovornosti s tem, da itak ni procosor tvoj, ampak si ga kupil).

Vem, v IT sferi nepredstavljiva zadeva, so pa industrije, ki dejansko delujejo na tem konceptu. Že avtomobilska industrija, ki je pravzaprav slaba šal v smislu regulacije, je veliko bolj smisleno urejena.

En primer, kaj spremeba koncepta lahko obrne na glavo. Če nek uraden organ v RS zahteva nek uradno potrdilo, ki ga izdaja nek drug uraden organ v RS, ga mora pridobiti sam, ne pa stranka v postopku (državljan). In kar na enkrat se je zmanjšala potreba po nekih potrdilih.


Tudi v farmaciji. Ti presojaš in odobravaš dobavitelje. Ti si ga izbral, tvoja skrb je.
1231 v3, Z97 A, 8GB ram 1600mhz, 1070 GTX SLI, Seasonic 520 (zna švicat)

SeMiNeSanja ::

In spet smo tam, kjer moraš ugotavljati, da povprečen slovencelj še ni šlišal za drugega, kakor tisti famozni ISO27001, katerega za povrhu vsega še skrivajo in ti je na voljo le ob plačilu.

To je tako nekako, kot če bi zakon o varnosti v cestnem prometu skrivali, kolikor se ga le da, na voljo bi ga pa imel izključno kot knjigo, ki pa jo ne smeš niti fotokopirat, kaj šele, da bi jo skeniral.

Potem pa pojdi na cesto in vozi po pravilih.....

Z drugimi besedami, ISO27001 je sam sebi namen, da neka elitna združba 'implementatorjev' in 'presojevalcev' na osnovi tega kuje denarce.

Naj imajo ISO tisti, ki ne vedo kam z denarjem - kaj pa vsi ostali? Kje pa je nek 'ljudski' skupek dobrih praks in minimalne 'higiene' v varovanju informacijskih 'zakladov'?

Zanimivo, da za bančništvo obstaja cel kup predpisov, ki se ne skrivajo tako kot tisti famozni ISO standard. Podobno je pri kartičnem poslovanju, kjer si lahko vsakdo prenese zahteve PCI DSS.
Bolj zanimivo pri PCI DSS je, da se zdi, kot pri nas ne velja...

V ZDA imajo tudi presneto natančno definirane minimalne zahteve za vsa podjetja, ki želijo poslovati z državo.

Torej kako to, da nobena od naših 'varni na internetu' in podobnih organizacij, katere prejemajo določena proračunska (če ne tudi EU) sredstva, ne more malo preplonkati zadeve, pometati ven kar ni bistveno za Janez S.P. ali Jaka d.o.o. in kreirati nekakšno PRIPOROČILO, ki bi lahko predstavilo nek temeljni kamen, okoli katerega bi se lahko potem prerekali, če to zadošča ali ne?

Jaz razumem, da je še vedno preveč analfabetov tam zunaj, ki jim je treba razlagati, da si ne deliš gesla, kot si tudi ne deliš zobno ščetko. Toda to ne sme biti opravičilo, da si nihče be beli glave glede tega, kako bi se definiralo neke smernice, priporočila, kasneje pa da se morda iz tega razvije nekakšen minimalni predpisani standard.

Je to RES tako zelo težko?
Saj v bistvu že vse obstaja.... le prevesti in prečistiti moraš!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

ABX ::

Če koga zanima varnost, je tu dokumentacija za hardening OS-a in postopkov ravnanja

https://paper.bobylive.com/Security/CIS/
Vaša inštalacija je uspešno spodletela!

antonija ::

johanblond je izjavil:

Na zgoraj omenjenem področju (ki je dejansko bolj regulirano od enega varovanja osebnih podatkov) ja lastnik dovoljenj/certifikatov odgovoren za vso verigo procesov (zadnji podizvajalec mora izplnjevati vse kriterije kot on sam).
V tem kontekstu je potem vseeno ali je sam razvil neko rešitev ali pa jo kupil, on jo uporablja v nekem certificiranem okolju, on je odgovoren za njo. Nadzorni/regulatorni organ se ne ukvarja z internimi procesi podjetja (ali se je z nečim ukvarjal Jože iz tvojega podjetja ali pa Franci, subcontractor iz podjetja B).
Če da damo to v koncept varnosti računalniških podatkov, če imaš lasten ali outsourcan e-mail server, je to povsem nepomemben, irelevanten podatek pri presoji odgovornosti.
Jaz sem bil preprican da je to splosna praksa za vse IT sisteme. Sicer imam izkusnje od "tavelikih" res samo iz farmacije, ampak ko mi damo v produkcijo nek SW, bo inspektor prisel obiskat _nas_ in _nam_ dajal kazni ce ne bo vse po pravilih. Nikogar ne briga kdo je (pod)izvajalec, nikogar ne zanima od kje je prisla koda, nikogar ne briga kdo je pobral najvec profita; mi imamo SW na produkciji, mi moramo dokazati da vse stima.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Unilseptij ::

No, vsaj za javno upravo so tukaj še famozne omejitve zaradi zakonodaje glede javnega naročanja, ki nabavo storitev s področja informatike še vedno obravnava enako kot nakup krompirja ali pisarniške opreme. Dokler inf. varnost (kar dejansko pomeni celoten sektor informatike) ne bo strateška prioriteta države z jasnimi zakonskimi določbami glede zahtevanih standardov in normativov, vključno z nabavo, uporabo in nadzorom (=neodvisno revizijo) je iluzorno pričakovati kaj več od poplave raznih politik, resolucij, priporočil itd, ki jih v resnici nihče ne bere, kaj šele, da bi jih implementiral.

Drži pa po mojem še to, da zakonodajalci tukaj dejansko ne vejo o čem odločajo in kaj pomeni inf. varnost. Izpolnitev vseh zahtev recimo GDPR-ja v "pozitivnem" smislu je dejansko nemogoče (oziroma nesorazmerno težko) na trenutni stopnji zrelosti inf. tehnologije v splošnem. Zato potem vsi iščejo luknje v zahtevah, izumljajo takšne in drugačne interpretacije teh zahtev in nasploh berejo zakonodajo v "negativnem" smislu iskanja lukenj in izjem.

SeMiNeSanja ::

Unilseptij je izjavil:

No, vsaj za javno upravo so tukaj še famozne omejitve zaradi zakonodaje glede javnega naročanja, ki nabavo storitev s področja informatike še vedno obravnava enako kot nakup krompirja ali pisarniške opreme.

Ma kje pa... dvorni dobavitelj dostavi datasheet, referent naredi copy&paste v razpis, vključno z besednimi tvorbami, katere pozna izključno preferirani proizvajalec.

Počasi sumim, da se ne gre za protekcionizem določenih ponudnikov/proizvajalcev, temveč za splošno nesposobnost kadra, ki sestavlja naročila, ki drugače sploh ne zna razpisati opremo, kakor da naredijo copy&paste datasheet-a.

Samo to mi nikoli ne bo jasno, zakaj vraga se delajo fine in direktno ne napišejo ime proizvajalca in konkretni model izdelka. Bi marsikomu prihranili študiranje podatkov in ugibanje za katero 'škatlo' se gre.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Unilseptij ::

Vseeno si upam trditi, da to, kar opisuješ, ni pravilo ampak izjema. Mirno ti pa tudi lahko zagotovim, da priprava že srednje kompleksnega razpisa s področja IT tako, da bo bullet proof in ga ne bo sesula že prva pritožba, ni mačji kašelj in da resursi, ki bi bili potrebni za to na strani naročnika, praviloma niso na voljo.

Imena proizvajalcev pa ne pišejo zaradi bizarnih omejitev zakona o javnih naročilih, ki predpostavlja, da za IT opremo in storitve obstaja enake vrste prosti trg kot za krompir ali pisarniško opremo, kjer proizvajalec nečeloma ni pomemben, pomemben je le produkt. V IT-ju to pač ni res in nikoli ne bo res (tako kot recimo ni res za nabave orožja, ki jih ureja poseben zakon) in nekoč bo to moralo biti jasno tudi zakonodajalcu. Včasih so anomalije v naročanju IT storitev prej posledica neustrezne zakonodaje kot pa dejanske korupcije.

Markoff ::

Šmorn je izjavil:

Kdo je kriv? Krivi so napadalci. To je prva stvar, ki ti jo povedo na raznih izobraževanjih za informacijsko varnost.

Ne, napadalci so žrtve napačne vzgoje in žrtvine malomarnosti, da se ustrezno zaščiti. Še malo, pa bomo v varne hiše trpali posiljevalce, blackhat(er)je in morilce. Nori zeitgeist pač.
Novorek idiokracije:
posebaj, skropucalo, inžinir, intiligenca/intelegenca, apsolutno, anEks.

knesz ::

Frank Abagnale je enkrat izjavil, da sta za IT breach, vdor, vedno samo dva vzroka, v podjetju:
- nekdo je naredil nekaj, kar ne bi smel
- nekdo ni naredil tisto, kar bi moral

bysaRD ::

knesz je izjavil:

Frank Abagnale je enkrat izjavil, da sta za IT breach, vdor, vedno samo dva vzroka, v podjetju:
- nekdo je naredil nekaj, kar ne bi smel
- nekdo ni naredil tisto, kar bi moral


Je res. Dodal bi še, da so možne tudi izrabljene sveže/neznane luknje v softwaru oz. izkoriščanje backdoorov.

techfreak :) ::

Me res zanima koliksen promil vseh uspesnih vdorov je povezan z 0day ranljivostmi, in koliko od teh ni izkoriscalo napacno skonfigurirane oz. sprogramirane druge programske opreme.

jan_g ::

johanblond je izjavil:

Miha 333 je izjavil:

Zadeva je rahlo kompleksnejša. Incident je lahko posledica tudi npr. neke varnostne ranljivosti v kakšnem produktu ali druge okoliščine, ki je izven nadzora uporabnika oz. organizacije.


Na zgoraj omenjenem področju (ki je dejansko bolj regulirano od enega varovanja osebnih podatkov) ja lastnik dovoljenj/certifikatov odgovoren za vso verigo procesov (zadnji podizvajalec mora izplnjevati vse kriterije kot on sam).
V tem kontekstu je potem vseeno ali je sam razvil neko rešitev ali pa jo kupil, on jo uporablja v nekem certificiranem okolju, on je odgovoren za njo. Nadzorni/regulatorni organ se ne ukvarja z internimi procesi podjetja (ali se je z nečim ukvarjal Jože iz tvojega podjetja ali pa Franci, subcontractor iz podjetja B).
Če da damo to v koncept varnosti računalniških podatkov, če imaš lasten ali outsourcan e-mail server, je to povsem nepomemben, irelevanten podatek pri presoji odgovornosti.

Vem kaj želiš povedati, ampak izkušnje iz vseh res kompleksnih sistemov kažejo, da je na osnovnem nivoju to najpomembnejša zadeva, se smeš dovolit prelaganja odgovornosti. Kljub temu da si nekaj outsorcal podjetju B, čisto za vse kar je naredilo podjetje B za tebe je tvoja odgovornost. Ko zahtevaš sledeče: "ti si uporabljal program B za ravnanje s osebnimi podatki, varnost programa B je tvoja odgovornost, ker si ti odgovoren za podatke" se dejansko stvari začnejo urejati.

Mi je pa povsem jasno, da dosledna implementacija tega da si ti odgovoren za vse procese, obrne na glavo. V tem konceptu si v končni fazi si ti pravno in finančno odgovoren kot upravljalec osebnih podatkov za hardwer, ki ga uporabljaš (npr. Intel Meltdown and Spectre). (OK, pri presoji tega problema, bi se lahko uspešno zagovorjal, da te napake pri designu procesorja se res ni dalo predvideti, ampak je to stvar, ki je esnotavno nisi mogel preprečiti, kljub vsem procesom, ki jih imaš vpeljane, stvar je v tem, da se moraš ti ukvarati z zagovarjanejm procesa, ne pa da se izogneš odgovornosti s tem, da itak ni procosor tvoj, ampak si ga kupil).

Vem, v IT sferi nepredstavljiva zadeva, so pa industrije, ki dejansko delujejo na tem konceptu. Že avtomobilska industrija, ki je pravzaprav slaba šal v smislu regulacije, je veliko bolj smisleno urejena.

En primer, kaj spremeba koncepta lahko obrne na glavo. Če nek uraden organ v RS zahteva nek uradno potrdilo, ki ga izdaja nek drug uraden organ v RS, ga mora pridobiti sam, ne pa stranka v postopku (državljan). In kar na enkrat se je zmanjšala potreba po nekih potrdilih.


Kaj ima veze vrsta industrije? Uspešno so vdrli in ukradli podatke že praktično vsem možnim podjetjem in organizacijam: bankam, zavarovalnicam, borzam, avtomobilskim podjetjem, farmacevstkim podjetjem, proizvajalcem medicinskih pripomočkov, pa seveda tudi raznoraznim javnim ustanovam, od ministrstev do agencij, izobraževalnim institucijam, itd. Ne glede na to, komu so vdrli in kaj so odtujili, večinoma ni bilo kakšnih hudih posledic za odgovorne osebe. Včasih so koga odpustili, tudi finančne globe so bile, ampak ja, večinoma je tako kot piše v novici.

SeMiNeSanja ::

Unilseptij je izjavil:

Vseeno si upam trditi, da to, kar opisuješ, ni pravilo ampak izjema. Mirno ti pa tudi lahko zagotovim, da priprava že srednje kompleksnega razpisa s področja IT tako, da bo bullet proof in ga ne bo sesula že prva pritožba, ni mačji kašelj in da resursi, ki bi bili potrebni za to na strani naročnika, praviloma niso na voljo.

Imena proizvajalcev pa ne pišejo zaradi bizarnih omejitev zakona o javnih naročilih, ki predpostavlja, da za IT opremo in storitve obstaja enake vrste prosti trg kot za krompir ali pisarniško opremo, kjer proizvajalec nečeloma ni pomemben, pomemben je le produkt. V IT-ju to pač ni res in nikoli ne bo res (tako kot recimo ni res za nabave orožja, ki jih ureja poseben zakon) in nekoč bo to moralo biti jasno tudi zakonodajalcu. Včasih so anomalije v naročanju IT storitev prej posledica neustrezne zakonodaje kot pa dejanske korupcije.

Prav zadnje čase sicer nisem gledal razpise, sem pa v preteklosti prav za hobi pri razpisih za požarne pregrade poiskal kateri proizvajalec/model EDINI ustreza razpisnim pogojem.
Takšnih razpisov, kjer se je dalo točno določiti proizvajalca in model, je bilo več kot 90%, ko se je šlo za požarne pregrade. Pri ostalih so potem še dopuščali "ali primerljiv"....
Kombinacije parametrov (št. portov, prepustnost, nazivi varnostnih storitev, 'pakiranje' storitev,..) so namreč tako karakteristične, da ne puščajo možnosti, da bi se lahko dva različna proizvoda potegovala za isti razpis. Celo tisti privesek "ali primerljiv" je pogosto brezpredmeten, ker so pogoji tako omejevalni, da preprosto ni primerljivega modela drugega proizvajalca, če želiš upoštevati vse zahtevane pogoje, ki pa so v praksi lahko čisto brezpredmetni.

Prav poimensko poimenovanje proizvajalcev pa sem tudi že naletel pri razpisih Policije. Njihova utemeljitev je "te in te proizvajalce že imamo v hiši".

Noja... saj po svoje je to lahko povsem legitimno - ampak kako hudiča se prej niso držali tega, pa da imajo zdaj X različnih proizvajalcev, nato pa se na enkrat 'zapre vrata' za karkoli novega? Kot da se vrata odprejo vsakič, ko pride naokrog dovolj močan lobij, nato pa se spet zaprejo?

Torej čisto kampanjsko nakupovanje, namesto da bi najprej naredili nekakšno odprto, poglobljeno tehnično evaluacijo za obdobje naslednjih X let. Pri tem bi izbrali rešitev, ki bo 'tehnično/cenovni standard' naslednjega desetletja in nehali komplicirati z lobiji levo in desno.

Samo hudirja, ko je za kaj takega potem že treba nekaj znati....... vsi ki nekaj znajo, pa so že dolgo zaposleni pri enih ali drugih dvornih dobaviteljih.
Potem pa naredi neodvisno analizo........

Začaran krog?

No, začaran je tudi v drugo smer - ko je kupec dejansko delal evaluacije in se nekako dokopal do kombinacije, ki je zanj optimalna glede na lastnosti in ceno. Sedaj bi rad kupil to izbrano rešitev.... kaj jim potem preostane, kot prepisati datasheet vedoč, da točno tem parametrom ne bo ustrezala nobena druga rešitev.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

Unilseptij ::

Ja, točno to. In recimo, da ko se projekt postavlja, ima še nekako smisel iskati ponudnika po čim bolj odprtem postopku, potem pa ko je le-ta enkrat izbran in tehnična rešitev postavljena, bi morala obstajati neka razumna procedura, kako nadaljevati. Zdaj bolj ali manj vsake 4 leta (včasih celo vsako leto) objavijo nov razpis za vzdrževanje/nadaljnji razvoj in potem se vsi delajo, da je čisto OK, če vse skupaj prevzame nekdo tretji, ki pač zmaga na vsakokratnem razpisu in začne iz nule in rabi leto ali več, da sploh razume, kaj počne.... ali pa se dogaja to, kar si napisal.
Vsekakor za neko dolgoročno planiranje in implementacijo izboljšav, tudi varnostnih, vedno zmanjka časa oziroma znanja, ker imaš konstantno neko tranzicijo, rizik menjave izvajalca, zaplete pri postopkih naročanja, ipd.
IT sistemi so danes tako kot ceste in ostala infrastruktura... they are here to stay in planiranje ter postopki nabave bi morali obsegati obdobje desetletja ali več, z vsemi ustreznimi rešitvami tudi za dolgoročno hrambo, varovanje in arhiviranje podatkov, kar se danes po pravilu sploh ne upošteva v razvojni fazi, kjer je cilj postaviti nekaj, kar deluje zdaj, pa četudi bo čez 1 leto vse skupaj za v smeti.

Zgodovina sprememb…

SeMiNeSanja ::

V poslovnih okoljih velikokrat vidiš, da se zamenja vzdrževalca, pa ni dolgo potem, ko je treba zamenjati še vso opremo, da bo od 'preferiranega proizvajalca'. To opremo seveda proda novi vzdrževalec....

Seveda novi vzdrževalec prej ni nič omenjal, da mu obstoječih rešitev ne obvlada, kaj šele, da se mu že cedijo sline po 'dodatnem zaslužku' iz prodaje nove opreme.

No, če stvari ne gredo preveč gladko (da stranka ne deli mnenja, da bi bilo treba menjati opremo), pa se malo potrudi 'sabotirati' zadeve in lepo črniti obstoječe rešitve (če se to ne zgodi že samo od sebe, ker novi vzdrževalec rešitev ne obvladuje).

Recimo da ima stranka serverje na Linuxu.... pa pride novi vzdrževalec, ki Linux obvlada bolj za silo, a ima apetite, da bi prodal Windows strežniško programje. Če že zaradi neznanja Linux ne bo deloval optimalno, pa se mu lahko malo 'pomaga', da postane 'popolnoma neuporaben' in menjava za kakšen Windows server kvazi 'prva prioriteta'.

Kupev pa naiven, pa bog ne daj, do mu omeniš, da ga vzdrževalec nateguje....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Afo ::

knesz je izjavil:

Frank Abagnale je enkrat izjavil, da sta za IT breach, vdor, vedno samo dva vzroka, v podjetju:
- nekdo je naredil nekaj, kar ne bi smel
- nekdo ni naredil tisto, kar bi moral

Kako duhovito in popolnoma neumno. Ta stavek velja za katerokoli stvar, kadarkoli in od kogarkoli. In drži v čisto vsaki situaciji.

No pa naredimo miselni eksperiment: prdnem na zmenku in moja simpatija to opazi. Kaj nisem storil pa bi moral? Zadržat prdca. Kaj sem storil, pa ne bi smel? Za fruštek kombinirat fižola s kokakolo.

Uff hvala Watson, pardon Frank Abagnale, pardon knesz. Bom uporabil pri naslednji NCIS računalniški forenzični analizi.
Bolje biti mlad in neumen, kot samo neumen!

Markoff ::

Frank je seveda kot karierni goljuf pozabil, da je vdore izvajal od zunaj (socialni inženiring), samo v nekaterih primerih (npr. zdravnik) pa šele nato od znotraj. Morda bi si moral večkrat ogledati film, posnet po njemu...to, da je Leonardo simpatičen, še ne pomeni, da so stvari, ki jih je počel, simpatične.
Novorek idiokracije:
posebaj, skropucalo, inžinir, intiligenca/intelegenca, apsolutno, anEks.

sunshine403 ::

SeMiNeSanja je izjavil:

Prav zadnje čase sicer nisem gledal razpise, sem pa v preteklosti prav za hobi pri razpisih za požarne pregrade poiskal kateri proizvajalec/model EDINI ustreza razpisnim pogojem.

Sicer je to res, ampak obstaja se en drug razlog za te stvari, ki ga nekako "pozabis" omeniti. In to je, da so ljudje zadovoljni z obstojeco resitvijo in predvsem obstojeco firmo, ki jim te stvari vzdrzuje in se hocejo losati razno raznih nakladacev (prisotni niso izjeme), ki bi lahko prisli zraven na razpisih. Sedaj ali je to ok ali ne se da pogledati z dveh strani. Legalno to definitivno ni ok, v praksi je pa neprimerno boljse, kot da dobijo za sicer manj denarja enega bleferja skupaj s "prvovrstno" opremo ;)

SeMiNeSanja ::

sunshine403 je izjavil:

SeMiNeSanja je izjavil:

Prav zadnje čase sicer nisem gledal razpise, sem pa v preteklosti prav za hobi pri razpisih za požarne pregrade poiskal kateri proizvajalec/model EDINI ustreza razpisnim pogojem.

Sicer je to res, ampak obstaja se en drug razlog za te stvari, ki ga nekako "pozabis" omeniti. In to je, da so ljudje zadovoljni z obstojeco resitvijo in predvsem obstojeco firmo, ki jim te stvari vzdrzuje in se hocejo losati razno raznih nakladacev (prisotni niso izjeme), ki bi lahko prisli zraven na razpisih. Sedaj ali je to ok ali ne se da pogledati z dveh strani. Legalno to definitivno ni ok, v praksi je pa neprimerno boljse, kot da dobijo za sicer manj denarja enega bleferja skupaj s "prvovrstno" opremo ;)

Imaš še bistveno bolj legitimni primer, ki ga zakonodaja ignorira:
Marljiv prodajalec high-tech rešitve ti je zadevo predstavil na dolgo in široko, šel skozi celotni presales proces, morda celo z testno postavitvijo rešitve (POC).
Se pravi, da je investiral čas in denar....

Potem pa javni razpis.... pa ga zaradi parih EUR nižje cene dobi konkurent, ki ni z očesom trepnil, da bi posel dobil.

V takih in podobnih primerih, te pa dejansko pogreje zaradi krivičnosti sistema.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

sunshine403 ::

Temu se pac rece poslovno tveganje ;)

Val202 ::

Po mojem je mozno vdore oz. odtujitve podatkov nekega podjetja znatno prepreciti tako, da ima podjetje dve loceni omrezji. Vse kar ni za javnost se drzi na fizicno locenem omrezju (tudi npr. interna elektronska posta zaposlenih), vsak prenos med omrezji pa gre po tocno dolocenih (cloveskih) kanalih. Vsekakor je vdor v tako zaprto omrezje mogoc, vendar neskoncno tezji za povprecne hekerje.

Hkrati pa vzdrzevanje dveh omrezij pomeni visji strosek za podjetje. V prihodnosti, ko bo tudi vecina poslovnega sveta dojela, da se je "racunalnistvo" zajedlo ze v vsako poro nasega zivljenja, bomo morda le presli na nivo kot ga vzdrzuje npr. letalska industrija. Ko pride do letalske nesrece in ko preiskovalni organ ugotovi kaj je bilo narobe, izda ustrezna navodila in teh se morajo nato drzati vsi letalski prevozniki (in proizvajalci letal) sicer pac ne letijo vec in nimajo dohodka/dobicka.

sunshine403 ::

Super, ampak realno bos to izvedel kako? Vsak ima dva racunalnika, dva telefona...? In na koncu vstavi usb kljuc, ki ga je pred tem uporabil doma na popolnoma nezascitenem racunalniku in je slo vse v 3pm ;)

kuglvinkl ::

Afo je izjavil:

knesz je izjavil:

Frank Abagnale je enkrat izjavil, da sta za IT breach, vdor, vedno samo dva vzroka, v podjetju:
- nekdo je naredil nekaj, kar ne bi smel
- nekdo ni naredil tisto, kar bi moral

Kako duhovito in popolnoma neumno. Ta stavek velja za katerokoli stvar, kadarkoli in od kogarkoli. In drži v čisto vsaki situaciji.

No pa naredimo miselni eksperiment: prdnem na zmenku in moja simpatija to opazi. Kaj nisem storil pa bi moral? Zadržat prdca. Kaj sem storil, pa ne bi smel? Za fruštek kombinirat fižola s kokakolo.

Uff hvala Watson, pardon Frank Abagnale, pardon knesz. Bom uporabil pri naslednji NCIS računalniški forenzični analizi.


tole je za uporabit hahah :):
Your focus determines your reallity

gtfo ::

Niti ne, Afo si samo domislja svojo strokovno premoc.

In ocitno izkazuje tudi zelo slabo izbiro simpatij, ce jih prdec tako strasno moti, ce ze odmislimo neobicajno dieto za zajtrk.

Jaz bi kvecjemu svetoval - nikakor ne uporabljat Afotovih prebliskov.

jukoz ::

SeMiNeSanja je izjavil:


Je to RES tako zelo težko?
Saj v bistvu že vse obstaja.... le prevesti in prečistiti moraš!


Ja, je. Ker mora nekdo to preveriti in odobriti.

Za to se uporablja iz CH: Information security checklist for SMEs
https://www.melani.admin.ch/melani/en/h...

6 (?) strani.

Pa poglejte še ostale =)

PrimoZ_ ::

Zdej se prodaja SoC...
5kg varnosti prosim :)

maddog ::

Informacijska varnost bo, ko bojo direktorcki v .si pripravljeni za to plačat. Do takrat pa bo to delal sosedov pubec.

antonija ::

Ena od nalog direktorjev je, da pazijo na stroske in jih poskusajo cimbolj zmanjsati. Dokler nizki stroski za IT varnost ne pomenijo resnejsega tveganja za podjetje (razen "ti-ti-ti, to pa ni bilo lepo" ko pride do vdora), se ze skorajda morajo dolocit da se bolj skrtarijo.
V panogah, kjer so zagrozene visoke kazni (ni nujno da denarne; v farmaciji ti lahko prepovejo prodajat zdravila ce najdejo resno neumnost v IT sistemih), se v IT varnost vlaga nepremirljivo vec. Dokler niso jasni kriteriji in kazni dovolj visoke/resne, se zadeve ne bojo spremenile, ker nihce nima razloga da bi karkoli spreminjal. Se vec: vsak direktor ki bi hotel "metati denar stran" za IT varnost, bi verjetno bil kregan in nebi dobil bonusa.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Val202 ::

sunshine403 je izjavil:

Super, ampak realno bos to izvedel kako? Vsak ima dva racunalnika, dva telefona...? In na koncu vstavi usb kljuc, ki ga je pred tem uporabil doma na popolnoma nezascitenem racunalniku in je slo vse v 3pm ;)


Da, natanko tako. Dva racunalnika, dva telefona (ce smatras, da so tudi pogovori vredni varovanja - manj moznosti za prisluskovanje). Interna posta, zunanja posta. Dostopa do USB vhodov NI, razen na specificnih racunalnikih, kjer se vse najprej preveri z dnevno posodobljenimi antivirusni programi. Vse zadeve iz zunanjega omrezja v notranjega prenasajo usposobljene osebe (npr. Osebe poucene o nevarnostih virusov, malwearov,...).
In ja, posel poteka pocasneje v nekaterih pogledih, ampak imas 99% manj moznosti, da ti kriticne podatke, ki jih vedno hranis v notranjem omrezju, zlorabijo zato, ker si povozil pravilo na firewallu. Tudi Bitstamp ne bi tiste 3GB BiCoin denarnice “izgubil”, ce bi jo imeli offline - pa je niso. Ce je pot, jo bo heker nasel v vsakem primeru. Je pa razlika med avtocesto in varovano ozko potjo.

Noben sistem ni 100% varen, tega se zavedamo vsi. Ampak eno je skrb, drugo pa malomarnost.

SeMiNeSanja ::

Še ena stvar, o kateri bi bilo dobro, da ljudje malo razmislijo...

Me pred kakšnim tednom pokliče en partner, ki mu pomagam pri vzdrževanju požarne pregrade njihove stranke in pove, da se je stranka odločila opraviti Pentest, pa da izvajalec potrebuje seznam njihovih javnih IP naslovov.

No, sem si mislil, pa da vidimo, iz kakšnega 'testa' so ti testerji... in namerno nisem spremenil nastavitev požarne pregrade, da bi jim omogočil 'resen' (nemoten) penetracijski test.
Poanta je bila, da je požarna pregrada nastavljena, da te ob vsakem 'prekršku' (akciji, kjer klasična pregrada izvede zgolj packet drop) vrže na blacklisto in naslednjih 20 minut ne moreš dostopati niti do servisov, ki so sicer dovoljeni za ves svet. Tako ne moreš delati portscannov, IP scannov, pa tudi vsakič, ko te IPS ali katera druga varnostna storitev zazna, si spet 'na hladnem'.

Zanimalo me je, koliko časa bo trajalo, da me bo izvajalec pentesta poklical in vprašal, če ga morda blokiram in če se to da izklopiti, da bi lahko skeniral za dejanskimi ranljivostmi.

Na moje presenečenje takega klica ni bilo!

To pa tudi pomeni, da je bil penetracijski test v bistvu ničvreden fail.
Torej si lahko resno zaskrbljen nad usposobljenostjo testerja, kateri ne zazna, da ga je sistem dal na ignore in mu prikriva izpostavljene servise.

Koliko je takšnih testerjev tam zunaj, ki niso sposobni zaznati, da tisti njihov scanner prikazuje nekam sumljivo malo odprtih portov in potencialnih ranljivosti?
Tako se potem sprašuješ, če ti ljudje sploh vedo, kaj pravzaprav počno s tistim orodjem, v katerega so vnesli nekaj tvojih zunanjih IP naslovov.

Največja težava pa je, da je za povprečnega naročnika praktično nemogoče zaznati, ali je res za svoj denar dobil to, za kar je plačal.
V tem primeru, tega definitivno niso dobili.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

sunshine403 ::

Val202 je izjavil:

sunshine403 je izjavil:

Super, ampak realno bos to izvedel kako? Vsak ima dva racunalnika, dva telefona...? In na koncu vstavi usb kljuc, ki ga je pred tem uporabil doma na popolnoma nezascitenem racunalniku in je slo vse v 3pm ;)


Da, natanko tako. Dva racunalnika, dva telefona (ce smatras, da so tudi pogovori vredni varovanja - manj moznosti za prisluskovanje). Interna posta, zunanja posta. Dostopa do USB vhodov NI, razen na specificnih racunalnikih, kjer se vse najprej preveri z dnevno posodobljenimi antivirusni programi. Vse zadeve iz zunanjega omrezja v notranjega prenasajo usposobljene osebe (npr. Osebe poucene o nevarnostih virusov, malwearov,...).

Kaj naj recem... veliko uspeha ti zelim, ko se bos enkrat zbudil in prisel v realni svet. Zna biti kar hud sok ;)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

(Komentar) Dva kilograma informacijske varnosti, prosim

Oddelek: Novice / Varnost
393667 (197) sunshine403
»

Transparentna Slovenija #1: Razkriti kupci trgovine z oblekami in opremo za najmlajše

Oddelek: Novice / Zasebnost
346278 (2570) M & M
»

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Varnost
36958915 (24148) AndrejO
»

Britanske bolnišnice poklenile pod izsiljevalsko programsko opremo (strani: 1 2 )

Oddelek: Novice / Kriptovalute
9627333 (21916) SeMiNeSanja
»

Sledenje uporabnika preko IP (strani: 1 2 )

Oddelek: Omrežja in internet
655543 (4567) kunigunda

Več podobnih tem