28.05.15

4 весенних поглощения на рынке ИБ

27 мая Palo Alto Networks объявила о приобретении американской CirroSecure, занимающейся защитой SaaS-сервисов. Размер сделки неизвестен.

Также 27-го мая Fortinet аннонсировала покупку Meru Networks, игрока Wi-Fi-рынка. Сумма сделки составляет примерно 44 миллиона долларов.

1-го мая малоизвестный американский MSSP-провайдер Nuspire Networks купил также малоизвестную американскую компанию из Цинцинати Security Confidence с целью расширения своего портфолио ИБ-услуг из облака. Размер сделки не разглашается.

4 апреля HID Global, известный игрок на рынке управления идентификацией, купил Quantum Secure, которая предлагала решения по управлению идентификацией и интеграции ИБ и физической безопасности. Размер сделки не разглашается.

26.05.15

Правительство утвердило дорожную карту по переводу финансовых услуг в электронный вид

Пока США отменяют часть финансовых и ИТ санкций в отношении Крыма, а Минпромторг с Минкомсвязью спорят о том, что считать отечественным оборудованием, Правительство утвердило план ("дорожную карту") с комплексом мер по совершенствованию механизмов электронного взаимодействия на финансовом рынке и по переходу на электронный документооборот всех участников рынка, их клиентов, федеральных органов исполнительной власти и Банка России. Среди целей плана:
  • повышение прозрачности и безопасности операций в сфере предоставления розничных финансовых услуг;
  • повышение эффективности мер по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма путем реализации риск-ориентированного подхода к вопросам идентификации.
Согласно проведенному исследованию текущий уровень доверия к безопасности пользователей электронных технологий и сервисов, в долях на финансовом рынке составляет 25%. Задача поднять это значение в 2016-м году до 40%, а в 2018-м - до 60%.

Как же Банк России, Минкомсвязь России, Минфин России, Минэкономразвития России, ФСБ России, МФЦ планируют достичь данных показателей? Дорожная карта предусматривает несколько шагов:
  1. Регулирование вопросов, связанных с применением различных видов ЭП на финансовом рынке, в том числе с учетом зарубежного опыта и международных стандартов.
    • Неужели признают западные алгоритмы электронной подписи для финансовых транзакций? С учетом планов по оснащению НСПК отечественной криптографии коллизия выглядит интересно.
  2. Проведение анализа действующих документов Банка России в области стандартизации, входящих в состав комплекса "Обеспечение информационной безопасности организаций банковской системы Российской Федерации", для определения возможности их использования в качестве основы при проведении работ по стандартизации обеспечения информационной безопасности организаций финансового рынка.
    • Анализ уже проведен.
  3. Определение направлений работ по разработке новых документов в области стандартизации, отсутствующих в составе комплекса "Обеспечение информационной безопасности организаций банковской системы Российской Федерации", для цели стандартизации обеспечения информационной безопасности организаций финансового рынка
  4. Разработка и ввод в действие документов Банка России в области стандартизации информационной безопасности организаций финансового рынка, реализуемые по результатам выполнения подпунктов 2 и 3, в том числе разработка проекта стандарта организации "Обеспечение информационной безопасности организаций - участников финансового рынка"
    • Тут все понятно - СТО будут на "подведомственные" ФСФР организации распространять.
  5. Обеспечение нормативно-правового регулирования защиты информации для участников финансового рынка, адаптированного к их бизнес-процессам (в соответствии с внутренним планом-графиком Банка России)
    • План было бы интересно посмотреть, но основные моменты озвучены были в Магнитогорске и на Межотраслевом форуме директоров по ИБ.
  6. Разработка механизмов оперативного взаимодействия Банка России, участников финансового рынка, КО, правоохранительных органов в части обмена информацией по направлениям противодействия правонарушениям: определение целей и задач, состава и содержания информации, разработка регламентов оперативного взаимодействия и организация и автоматизация оперативного взаимодействия (в соответствии с внутренним планом-графиком Банка России)
    • Это FinCERT, о котором пока достоверно известно мало что, кроме того, что он должен заработать с 1-го июля.

25.05.15

Обновленный перечень мероприятий по ИБ в 2015-м году

С января не обновлял перечень мероприятий по ИБ на 2015-й год. Обновил. Внес 6 новых мероприятий, уточнены даты по неопределившимся ранее событиям. Также добавил (слева от названия) пометки, если мероприятия в одном городе проходят в один день или с разницей в неделю и меньше. На мой взгляд, в таком случае, организаторы рискуют недополучить аудиторию, которая либо не сможет разорваться, либо не сможет выбить себе два дня посещения мероприятий в течение одной недели.



ЗЫ. Почему в список включены одни и не включены другие мероприятия - написано здесь.

У госорганов есть свой сегмент Интернет? Да! Уже 7 лет :-)

22 мая Президент России подписал Указ от 22.05.2015 № 260 "О некоторых вопросах информационной безопасности Российской Федерации", который определил порядок подключения информационных систем и информационно-телекоммуникационных сетей к информационно-телекоммуникационной сети «Интернет» через российский государственный сегмент сети «Интернет».


Согласно данному Указу существовавший уже 7 лет сегмент Интернет для федеральных и иных органов государственной власти и управляемый ФСО, преобразовывается в российский государственный сегмент Интернет, к которому должны быть подключены в обязательном порядке почти все высшие органы государственной власти, ФОИВы и органы исполнительной власти субъектов РФ, а остальным "госам" и на них работающим организациям настойчиво рекомендуется подключиться к этому сегменту.

Если честно, то мне непонятно, что так удивило многих в этом указе, который никакой революции не осуществил. Такой сегмент был создан еще в 2008-м году после подписания Президентом пресловутого 351-го Указа. Спустя год ФСО выпустило свой более детальный 487-й приказ, который утверждал положения о сегменте информационно-телекоммуникационной сети "Интернет" для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации. Новация в новом указе только одна - в ней упоминается ГосСОПКА, которая и будет защищать государственный сегмент Интернет. В 2008-м году такой системы еще не было.

То, что с подключением отечественных госов к Интернету будут что-то делать, стало понятно еще в прошлом году, когда были проведены кибер-учения, последующее за ним заседание СовБеза и Минкомсвязь вместе с МИДом активно заговорили об интернационализации управления локальными сегментами Интернетом. Вполне логично было предположить, что если на международной геополитической арене никаких серьезных подвижек не будет и российские инициативы в ООН не примут, а до активного продвижения блоковых инициатив еще далеко, то Россия будет обкатывать свои идеи внутри страны. Что, собственно, мы и видим. Как мне кажется за этим 260-м указом стоит некий сигнал другим государствам (друзьям по СНГ, ШОС, БРИКС, ОДКБ) быть более активными в деле интернационализации управления Интернетом. Ну а с технической точки зрения могу предположить, что данный сегмент будет строиться так, чтобы работать независимо от наличия подключения к глобальной сети Интернет.


Вопрос в другом. Почему за эти годы ни 351-й Указ, подписанный Путиным, ни приказ ФСО, так и не заработали? Почему госорганы так и не переходят в массовом порядке под Интернет-управление ФСО? Ведь в сегмент .gov сайты переноситься стали совсем недавно и то далеко не все это делают. А почтовые ящики до сих пор многие чиновники имеют на gmail (даже не на mail.ru или yandex.ru). Что же должно подтолкнуть госы на переход в старый новый сегмент Интернет? Очередной НПА Президента? Врядли. Наказание? Так его нет. Проверки? Так их тоже нет в этой сфере. Патриотизм и сплоченность супротив супостата? Это точно не про чиновников, принимающих решения.

А как обычным гражданам взаимодействовать с этим сегментом? Какие-то шлюзы появятся? Предположу, что сайт госуслуг перенесут именно в этот сегмент. Но как тогда он будет работать? И как с ним взаимодействовать, если у граждан используется HTTPS на базе западной криптографии, а старый новый сегмент должен работать на криптографии отечественной? Кто и как их будет сопрягать? Или всем гражданам бесплатно выдадут по сертифицированной СКЗИ? Или превратят весь Рунет в контролируемую зону и тогда в нем никакой криптографии не понадобится :-) А может наконец-то реализуют давно витающую идею о запрете всей западной криптографии в России? Тогда и криптотранслятор не понадобится.

А как сам сегмент будет функционировать? Распределенно или в виде ЦОДа, к которому будут подключаться все территориальные подразделения ФОИВов? В любом случае очень остро встанет вопрос с шифрованием, о котором в указе тоже упоминается. Но если сейчас госорганы используют разные СКЗИ, то как им взаимодействовать с будущим ЦОДом? Там будет создан кластер из разных СКЗИ? Или всех переведут на единого производителя?

Одни вопросы...

ЗЫ. Кстати, в прошлом году разговоры ходили об отдельном сегменте Интернет для силовиков. Что-то тема затихла.

20.05.15

О взломе самолета

Сейчас очень много пишут о том, что американский эксперт по информационной безопасности Крис Робертс взломал систему управления самолета авиакомпании United Airlines и сам попросился в руки ФБР, которая его и задержала, предъявив обвинения. Журналисты по своей, не самой лучшей, привычке перепечатывают иностранные статьи, не вдаваясь в суть происходящего. Но выглядит зато устрашающе - взломан самолет через развлекательную систему, встроенную впереди стоящее  кресло. На самом деле все немного не так :-) Не буду подробно рассказывать, что написано на 22 страницах отчета специального агента ФБР Майкла Хёрли, направленного им в суд Нью-Йорка, перескажу тезисно:

  1. Первые 12 страниц спецагент ФБР перечисляет, что он нашел на планшете, ноутбуке, куче съемных жестких дисков, флешек и SD-карт Криса Робертса.
  2. Последующие 6 страниц являются пересказом слов Робертса о том, как он пытался привлечь внимание общественности к проблеме информационной безопасности авиаперевозок и что конкретно он сделал на борту не только его последнего рейса, но и ряда предыдущих рейсов.
  3. Свое заключение спецагент ФБР базирует на 4 фактах
    • Развлекательная система того кресла, где сидел подозреваемый, имеет следы физического взлома (по словам Робертса ему надо было подключить витую пару к информационной системе самолета, а для этого надо было раскрутить монитор развлекательной системы).
    • Робертс рассылал через социальные сети сообщения о том, что ему удалось обойти систему защиты самолета.
    • Робертс уже имел к моменту задержания две беседы с сотрудниками ФБР, в которых он описывал произведенные действия по "взлому".
    • Агенты и технари ФБР предполагают, что Робертс действительно мог осуществить то, о чем он написал в социальных сетях.
  4. В итоге спецагент Хёрли делает вывод в своем запросе в суд, что Робертс имел возможность получить доступ к системе управления (а точнее к системе набора высоты) самолета, но доказательств этого факта не предъявляет.
  5. Задерживают Робертса по причине наличия у него на ноутбуке инструментов, которые могут быть использования для совершения противоправных действий. Именно это основание фигурирует в материалах, направленных в суд.
Иными словами, факт реального взлома системы набора высоты Airbus A320, Boeing 737-800, 737-900 и 757-200, пока не подтвержден. Речь идет об опасениях, что такое возможно и пока не подтвержденных заявлениях самого Робертса, который по словам СМИ хотел привлечь внимание к проблеме низкой защищенности самолетов от кибератак. Свою задачу, надо признать, он решил - внимание к проблеме привлек. Но вот возможен или нет взлом самолета - так и осталось непонятным. 

Я ни в коем случае не хочу утверждать, что такого быть не может. Но и обратное утверждать пока не готов - кроме голословных заявлений Робертса и подозрений ФБР, доказательств нет. Оно, конечно, к счастью. Я бы не хотел, чтобы в Интернет просочилось описание того, что, если это правда, делал Робертс. Тогда летать на самолетах будет действительно стрёмно - мало ли что и кому придет в голову. С другой стороны, на месте СМИ, я бы все-таки был более осторожен в публикации таких сообщений. Вызвать панику можно легко, а разгребать ее потом придется точно не журналистам.

Чего мне не хватило в методике моделирования угроз ФСТЭК?

Позавчера я рассмотрел проект методики моделирования угроз, а сегодня хочу систематизировать то, что мне в проекте методики не понравилось или не хватило:

  • Мне показалось ограниченной привязка к классической триаде "конфиденциальность-целостность-доступность". Даже в документах ФСБ по персданным от 2008-го года говорилось о большем количестве свойств информации, которые надо обеспечивать в рамках ИБ. За рамки триады выходит и ГОСТ Р ИСО/МЭК 13335, которые не ограничивается только КДЦ, но также упоминает подотчетности, аутентичность и т.п. Правда, надо признать, что спор о том, все ли можно свести к триаде или нет, - старый. Мы его еще в 2012-м году в блоге вели. Но я остаюсь при своем мнении - триадой все не ограничивается и есть угрозы, которые выходят за ее рамки.
  • Технократичность методики является следствием ее привязки к триаде. Допустим, приход регулятора, просроченный сертификат, отсутствие лицензии ФСБ на деятельность в области шифрования, внесение изменений в аттестованный объект информатизации, снижение бюджета на ИБ, сокращение персонала отдела защиты информации... По мне, так это все угрозы, которые попадают в поле зрения специалиста по ИБ и, зачастую, они даже более важны, чем угрозы КДЦ. Но в методику они совсем не попали. Причина этого, конечно, понятна, но все-таки оставляет чувство некоторой незавершенности.
  • Меня смущает отсутствие примеров. И хотя формализм - это традиция в документах ФСТЭК, хотелось бы увидеть большее число примеров, чем в текущем варианте. В конце концов мы говорим о методическим документе, а не бюрократическом приказе. Задача методички - разъяснить и показать "как надо", а это сложно сделать без примеров. Примеры сильно улучшили бы текст методички.
  • Отсутствие нумерации. Когда Банк России выпускал 5-ю редакцию своего СТО, он переиграл почти всю нумерацию и те, кто делал маппинг из требований СТОv4 в другие стандарты и требования вынуждены были все переделывать заново. В методике ФСТЭК другая проблема - полное отсутствие сквозной нумерации. Очень сложно ссылаться на разделы такого документа.
  • Отсутствие иллюстраций. Понятно, что в ФСТЭК нет выпускников Строгановского училища, но хотя бы блок-схемы типовой информационной системы и каналов/векторов реализации атак на нее, не помешали бы.
  • Коль скоро мы говорим о методичке, которая призвана снизить число ошибок при моделировании угроз, то неплохо было бы в приложение включить список типичных ошибок при составлении списка актуальных угроз. Тем более, что у ФСТЭК этот список есть - они его представляли на своей конференции. Почему бы не включить? Лишним он точно не будет.
  • Но, пожалуй, самое серьезное нарекание у меня вызывает итоговая таблица 8, которая, собственно, и отделяет актуальные угрозы от неактуальных. У меня такая же претензия было 7 лет назад, к прошлой методике определения актуальных угроз. Неравномерно в матрице/таблице проходит граница между актуальными и неактуальными угрозами; неравномерно. Число актуальных угроз явно завышается и делается это специально. В причины я вдаваться не готов - мне они понятны, хотя я их и не разделяю.
По сути, каких-либо серьезных претензий к проекту документа у меня нет. Все мои замечания касаются скорее удобства пользования им.

18.05.15

Fidelis покупает Resolution1

Меньше месяца прошло с того момента, когда General Dynamics продала Fidelis Cybersecurity инвестиционному фонду Marlin. И вот 12 мая Fidelis объявляет о том, что приобретает Resolution1 Security, небольшую американскую компанию, которая занималась средствами анализа угроз и реагирования на инциденты на оконечных устройствах. Размер сделки не уточняется.

Проект методики моделирования угроз ФСТЭК

Между майскими праздниками ФСТЭК обнародовала долгожданный проект методики моделирования угроз, которая станет обязательным для государственных и муниципальных органов руководством по определению угроз, актуальных (не путать с типами актуальных угроз в ПП-1119) для, соответственно, государственных и муниципальных информационных систем. Для остальных организаций, включая и операторов ПДн, данный документ носит рекомендательный характер.


Методика мне в целом понравилась. Получился добротный документ, который позволяет пройдя по его шагам получить на выходе список актуальных угроз. Процедура достаточно простая:
  1. Определить область применения методики моделирования угроз. Будем надеяться, что у тех, кто будет следовать этому документу, имея богатый опыт работы со старыми документами ФСТЭК, не возникнет вопрос, как соотносится "область применения" и "контролируемая зона".
  2. Идентифицировать источники и угрозы безопасности
  3. Оценка вероятности (возможности) реализации угрозы и степени возможного ущерба. Вероятность оценивается либо путем использования статистики, либо опираясь на возможность реализации угрозы, которая зависит от уровня защищенности информационной системы и потенциала нарушителя.
  4. Оценить возможности реализации и опасности угрозы
    • Определение типов, видов и потенциала нарушителей
    • Определение возможных способов реализации угроз 
    • Определение уровня защищенности
    • Определение потенциала нарушителя
    • Определение уровня опасности угрозы
  5. Мониторить и переоценивать угрозы
Из интересных моментов, которые я для себя отметил:

  • Моделирование должно производиться на разных этапах жизненного цикла информационной системы.
  • Учитывается, что угроза может быть реализована не только против самой информации или информационной системы, но и против обслуживающей инфраструктуры, например, против DNS-сервера, официального канала Twitter, хостинговой площадки или канала связи.
  • Среди источников названы также и целые государства, что в текущей ситуации вполне актуальная проблема.
  • Очень важно, что среди угроз рассматриваются низкое качество обслуживание со стороны обслуживающих ИС организацией или низкое качество инженерных систем, которые могут привести к реализации ущерба.
  • Не забыты и косвенные угрозы, например, недоступность обновления средства защиты, что в текущих геополитических условиях становится вполне реальным.
  • Установлен рекомендуемый срок пересмотра модели угроз - раз в год, а также в случае изменения законодательства, конфигурации системы, появления новых уязвимостей или появления фактов о новых возможностях нарушителей. Если предположить, что Сноуден говорил правду, то по новой методике это должно было стать причиной пересмотра модели угроз.
  • Приведена классификация видов нарушителей (от спецслужб до бывших работников), а также их возможных мотиваций, которые описывают возможные причины совершения несанкционированных действий.
  • Учтено, что угрозы могут быть реализованы не только на объекты информационной системы, но и на ее субъекты за счет социальной инженерии.
  • Не забыта "случайная" атака, под раздачу которой может попасть ничего не подозревающая организация. Например, веерная DDoS-атака, которая может зацепить не только прямую жертву.
  • Хорошо, что предлагается два варианта оценки вероятности - на базе статистики (если она есть) и на базе потенциала нарушителя.
  • Потенциал нарушителя определяется либо по приложению 3, либо берется для конкретной угрозы из банка данных угроз ФСТЭК. Если в банке данных этой информации нет, тогда и применяется приложение 3.
  • Впервые в документах ФСТЭК дается пример разных видов ущерба от нарушения триады - конфиденциальности, целостности и доступности. К таким видам ФСТЭК относит экономический (финансовый), социальный, политический, репутационный, технологический и т.п.
  • Отменяется методика определения актуальных угроз ПДн (после принятия обсуждаемого проекта)
  • Угрозы по техническим каналам определяются по отдельным документам ФСТЭК.
К методике прилагаются 3 приложения:
  • Рекомендации по формированию экспертной группы и проведению экспертной оценки. В данном приложении нашли свое отражения как ответы на вопросы "сколько экспертов достаточно", "кто такие эксперты", "какой квалификацией должны обладать эксперты", так и учет психологии восприятия рисков, которая иногда мешает принять правильное решение. Метод Дельфи, который описан в приложении, должен помочь снизить вероятность ошибки и зависимость от человеческого фактора.
  • Структура модели угроз. Еще один часто задаваемый вопрос - "что включать в модель угроз" и "как должна выглядеть модель угроз". Если на второй методика не отвечает (да и не должна), то на первый наконец-то дается ответ - перечисляются разделы документа, который будет включать список актуальных угроз безопасности информации.
  • Определение потенциала нарушителя. По сути, это пересказ ГОСТ Р ИСО/МЭК 18045, в котором впервые термин "потенциал нападения" и появился. Данное приложение нужно в том случае, если в банке данных угроз не найдено значение потенциала нарушителя.
В следующей заметке я рассмотрю то, чего мне не хватило / не хватает в проекте документа.

14.05.15

Проект новых требований Банка России по информационной безопасности

Кто помнит мои заметки по следам магнитогорского форума, тот обратил внимание, что Банк России, как и ФСТЭК, уделяет большое внимание теме качества ПО, участвующего в денежных переводах. И вот недавно стало известно, что ЦБ готовит еще один документ в схожем направлении. Речь идет о проекте Положения Банка России «О порядке расчёта величины кредитного риска на основе внутренних рейтингов».

Это первый нормативный документ Банка России, в котором планируется реализовать требования статьи 72.1 Федерального закона РФ от 10.07.2002 №86-ФЗ, которая гласит: "Банк России устанавливает требования к банковским методикам управления рисками и моделям колич. оценки рисков, в том числе к качеству используемых в этих моделях данных, применяемым кредитными организациями… для целей оценки активов, расчета норматива достаточности собственных средств (капитала) и иных обязательных нормативов".

Согласно стандарта ISO 8000, которому следует и Банк России, "качество данных и информации - это предоставление необходимой правильной информации нужным людям в нужное время". Качество - это ключевой компонент качества и полезности информации, полученной из этих данных. И влиять на качество данных могут различные факторы, в том числе имеющие отношение и к информационной безопасности. Согласно проекта готовящегося положения каждая кредитная организация "обеспечивает непрерывное функционирование своих ИС независимо от смены обеспечивающего персонала". Также "банк обеспечивает в течение всего периода функционирования ИС защиту от несанкционированных и нерегламентированных изменений и удалений данных путем принятия мер информационной безопасности (ИБ):

  • мер по обеспечению ИБ на всех стадиях жизненного цикла ИС
  • мер по управлению доступом к данным и его регистрацией
  • мер по применению средств защиты от воздействия вредоносного кода
  • мер по обеспечению ИБ при использовании сети Интернет
  • мер по обеспечению ИБ путем эксплуатации СКЗИ
  • мер по обнаружению и реагированию на инциденты ИБ
  • мер по мониторингу обеспечения ИБ".
В проекте нового Положения указанные меры не детализируются, но учитывая, что в работе над документом принимало участие ГУБЗИ, можно предположить, что детализация дана в всем известном Положении 382-П. Кстати, если вспомнить вступившее в силу с февраля положение о деятельности по проведению организованных торгов, то в нем также не было детализации защитных мер, но судя по их названию и порядку следования, они были списаны с 382-П.

Что хочется сказать в заключение? Новое положение - это еще один документ, устанавливающий обязанность кредитных организаций выполнять требования по защите информации. И если за неисполнение 382-П ответственности как таковой не предусмотрено, то за невыполнение нормативов банка по управлению рисками (а в данном случае речь идет о кредитных рисках) статьей 72.1 предусмотрен... отзыв лицензии. Есть о чем задуматься!

13.05.15

Очередной бумагоизмаранный проект НПА по импортозамещению

Правительство РФ подготовило проект Постановления "О приоритетных направлениях развития информационно-коммуникационных технологий государственных органов", которое устанавливает новые приоритеты развития ИТ в госорганах. В дополнение к:
  • Федеральному закону "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд",
  • Постановлению Правительства от 24.12.2013 № 1224 "Об установлении запрета и ограничений на допуск товаров, происходящих из иностранных государств, работ (услуг), выполняемых (оказываемых) иностранными лицами, для целей осуществления закупок товаров, работ (услуг) для нужд обороны страны и безопасности государства"
  • законопроекту "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации (в части введения государственного регулирования в сфере использования российских программ для электронных вычислительных машин или баз данных)",
  • проекту Постановления Правительства "Об установлении ограничения допуска программных средств и информационных продуктов вычислительной техники, происходящих из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд и дополнительного требования к участникам закупок услуг, связанных с использованием программных средств и информационных продуктов вычислительной техники",
  • распоряжению Правительства от 27 января №98-р
  • приказу Минкомсвязи "Об утверждении плана импортозамещения программного обеспечения",
в данном проекте устанавливается, что одним из 4-х приоритетов развития ИТ в федеральных органах исполнительной власти, органах управления внебюджетными фондами и иных государственных органах является "обеспечение технологической независимости и информационной безопасности при использовании информационно-коммуникационных технологий в государственных органах, в том числе за счет использования отечественных информационно-коммуникационных технологий и свободного программного обеспечения".

Видимо во исполнение данного Постановления должны появиться и другие нормативные акты, которые установят, как этот приоритет надо реализовывать. Пока это не очень понятно. Особенно в части используемой терминологии и роли Минкомсвязи во всем этом процессе. Деньги выделяются Минпромторгу. Планы импортозамещения пишет Минпромторг (и ИТ там нет). Информационная безопасность не входит в приоритеты Минкомсвязи (не говоря уже о Минпромторге) и не упоминается ни в одном из проектов (оно и понятно - за нее отвечают ФСТЭК и ФСБ, которые стараются не мараться в этой излишне политизированной теме). В целом писанины и разговоров много, до дела пока не дошло (но получить бюджеты, как отмечают эксперты, уже хочется).


МинОбороны вносит сумятицу в оценку соответствия средств защиты информации для своих нужд

11 октября 2012 года Правительство выпустило Постановление №1036 "Об особенностях оценки соответствия оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения указанной продукции", о котором я как-то писал. И вот МинОбороны готовит очередной документ в части оценки соответствия.

Подготовлен проект Указа Президента "О внесении изменения в Положение о Министерстве обороны Российской Федерации, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. N 1082", согласно которому вносятся изменения в подпункт 55.1 пункта 7, касающегося оценки соответствия, в т.ч. и средств защиты информации. Касающийся "нас" фрагмент был изменен с "к продукции (работам, услугам), используемой в Вооруженных Силах Российской Федерации в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа" на "к продукции (работам, услугам), используемой в Вооруженных Силах Российской Федерации в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной служебной информации ограниченного доступ" (жирным выделено отличие).

Зачем такая поправка? Мало того, что она сужает предыдущую формулировку (а что делать с неслужебной информацией ограниченного доступа), так она еще и отличается от формулировки ст.5 ФЗ-184 "О техническом регулировании", в котором этой приписки нет. И зачем?

12.05.15

Lockheed Martin инвестирует в Cybereason

Недавно Raytheon купила Websense и вот еще одна новость из области поставщиков для американского ВПК, вторгающихся в мир кибербезопасности. Lockheed Martin, который в прошлом году купил Industrial Defender, вложил 10 миллионов долларов в другого американского игрока рынка ИБ, у нас неизвестного, - компанию Cybereason. Основана она была выходцами из израильских спецслужб, обосновавшихся в США.

Как будет действовать реестр нарушителей закона... не о персональных данных?

В канун Дня Победы стал доступен проект Постановления Правительства "Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных", который разработан во исполнение в соответствии с частями 3, 4 статьи 15.5 Федерального закона... "Об информации, информационных технологиях и о защите информации", а не "О персональных данных", как часто ошибаются многие эксперты и журналисты. Согласно ФЗ-242 именно трехглавый закон у нас определяет, как будут наказывать нарушителей, нет, не всего закона о персональных данных, а тех, кто в нарушении закона публикует персональные данные в Интернет. Статья 15.5 четко про это говорит в самом начале: "В целях ограничения доступа к информации в сети "Интернет", обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, создается автоматизированная информационная система "Реестр нарушителей прав субъектов персональных данных".

Второе важное замечание относительно данного реестра, которое надо дать, - нарушение должно быть признано судом, а не Роскомнадзором. В части 5, статьи 15.5 четко сказано, что "основанием для включения в реестр нарушителей информации, указанной в части 2 настоящей статьи, является вступивший в законную силу судебный акт".

Иными словами, не так страшен ФЗ-242, как его малюют. Лишний раз подтверждается идея, высказанная на одном из совещаний на Старой площади, что бояться надо иностранным Интернет-компаниям, которые могут влиять на общественное мнение российских граждан (социальные сети и поисковые системы). В отношении остальных операторов ПДн применение данных норм представляется более чем непростым. А уж в случае обработки ПДн работников или клиентов компании во внутренних информационных системах компании, находящихся за пределами РФ, тем более. В Интернете эти данные обычно не публикуются и не обрабатываются, а следовательно блокировать доступ не к чему и вносить в реестр нечего.

Но есть парочка "но"... Первое касается ситуации с обработкой ПДн на Интернет-магазинах, гостиницах, форумах и т.п. Они в полной мере "попадают" под ст.15.5 ФЗ-149. Разумеется, если их владельцы имеют представительства на территории России. Это как минимум. На закрытых встречах замглавы РКН, г-жа Приезжева, утверждала также, что закон распространяется и на тех, кто представительств не имеет, но имеет русскоязычные разделы на своих сайтах. Комментировать не буду.

Второе "но" касается наказания. Если нельзя заблокировать доступ к базам данных, хранящим ПДн за пределами РФ (а это пока запрещено и РКН именно так трактует эту норму ФЗ-242), то это не значит, что у РКН нет рычагов воздействия на оператора-нарушителя. Не забываем, что они имеют право выдавать предписания об устранении выявленных нарушений и в случае его невыполнения существует наказание именно за отказ от выполнения этого предписания. Так что учитывайте.

Как будет осуществляться надзор в сфере ПДн с 1-го сентября?

Постепенно "закрываются" белые пятна по части нормотворчества в области персональных данных, о которых я писал между майскими праздниками.


И хотя господин Жаров в своем выступлении заявил, что запланирован переход на риск-ориентированную модель при проведении надзорных мероприятий и после принятия соответствующего и готовящегося сейчас законопроекта поднадзорные организации предполагается разделить на группы в зависимости от степени риска нарушений для экономики и ее граждан и на основе такой дифференциации планировать и проводить надзорные мероприятия, ситуация немного иная. 8 мая был опубликован проект еще одного Постановления Правительства в области персданных - теперь в отношении контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации. Я про него уже упоминал и хочу акцентировать внимание только на нескольких моментах:
  • Проект очень сильно похож на Административный регламент РКН в части осуществления государственной функции по контролю (надзору) в сфере ПДн, но есть и некоторые серьезные отличия.
  • Явный запрет на проверки технических и организационных мер по защите ПДн, предусмотренные 19-й статьей ФЗ-152. Это и так вытекали из действующего законодательства, но теперь это, наконец-то, зафиксировано явно.
  • Помимо плановых и внеплановых проверок теперь будут проводиться мероприятия систематического наблюдения. У этого понятия есть неоспоримое преимущество - мало кто понимает, что это такое и оно точно не попадает под ФЗ-294. Собственно РКН этим и раньше занимался, но теперь это обрело законную форму. А главное, что можно как угодно проводить это наблюдение руководствуясь своим пониманием и своими внутренними документами (а то и вовсе без них).
  • Список плановых проверок должен быть опубликован на сайте РКН, но согласовывать их с прокуратурой теперь не надо. Если вспомнить, что около 50% всех заявок на проведение плановых проверок отбраковывалось, то теперь понятно, что проверять будут тех, кого хочет РКН - никаких посредников, которые могут сказать как "да", так и "нет".
  • К основаниям формирования плана плановых проверок теперь относятся (список шире, чем раньше):
    • Трехлетний период с момента окончания последней плановой проверки.
    • Информация от госорганов, муниципалитетов и СМИ о нарушении. А у нас и многие Интернет-ресурсы теперь считают СМИ.
    • Обработка ПДн значительного количества субъектов ПДн, а также обработка биометрических и специальных категорий ПДн. Понятие значительности нигде не определено - так что в список могут попасть многие.
    • Непредставление информации РКН.
  • Отказ от согласования проверок с прокуратурой - это одно из ключевых отличий нового документа от действующей практики проведения проверок.
  • Еще большее количество оснований для проведения внеплановых проверок
    • Истечение срока выданного предписания
    • По доказательным обращениям граждан. Это единственный случай, когда требуется согласования с прокуратурой. Учитывая, что во всех остальных случаях эта "головная боль" не нужна могу предположить, что по заявлениям субъектов ПДн проверок будет меньше всего. Это опять расходится с духом закона о персональных данных, но это уже мало кого волнует. Достаточно посмотреть, как сам РКН обращается с конфиденциальностью ПДн при электронном общении с гражданами (слайд 6).
    • По причине непредоставления (неполного представления) информации оператором по запросу РКН
    • Наличие факта нарушения законодательства, полученное от СМИ, госорганов и муниципалитетов
    • Поручение Президента или Правительства
    • В случае нарушения оператором законодательства, выявленного в ходе систематического наблюдения. Ну очень размытая формулировка :-(
    • Несоответствие сведений, указанных в уведомлении
    • В случае неисполнения требования РКН об устранении выявленного нарушения
    • На основании представления органа прокуратуры
  • РКН активно готов привлекать экспертов для проведения проверок, особенно в части анализа содержания ИСПДн. Но проверять вопросы защиты персональных данных из 19-й статьи они не могут - это явно описано в самом начале проекта Постановления. В противном случае оно бы никогда не прошло согласование с ФСТЭК и ФСБ.
  • Периодичность проверок установлена один раз в 2 года для госов, муниципалов и коммерсантов (раньше было три), и один раз в три года в отношении физлиц и индивидуальных предпринимателей.
  • Расширение полномочий сотрудников РКН по доступу к запрашиваемым документам, помещениям и ИСПДн. Отказ в предоставлении доступа влечет за собой обращение РКН в правоохранительные органы.
Вот такой блиц-анализ этого проекта документа. Не думаю, что он сильно изменится в финальной версии. С одной стороны опасения о том, что РКН сможет приходить когда угодно и как угодно часто, не оправдались. С другой стороны - отказ от согласования с прокуратурой, расширение оснований для внеплановых проверок, привлечение экспертов и... планируемый рост штрафов, существенно повышают риски. Учитывайте это в своих планах приведения себя в соответствие.

08.05.15

Непредсказуемая аудитория моих социальных медиа

Иногда анализируя статистику своих социальных медиа (блог, Twitter, Slideshare или Facebook) или смотря на то, что там происходит, понимаю, что я ничего не понимаю :-) Возьмем к примеру список презентаций на Slideshare. Ну вот как можно предположить, что самой популярной за 7+ лет существования блога будет тема про русскую ментальность как фактор невозможности адекватного управления ИБ на базе западных практик? Вторая в списке презентация вполне заслуженно находится там, но вот первая...


Или допустим аудитория Slideshare, которая приходит ко мне. То, что Россия будет на первом месте, это было понятно. Но вот то, что зарубежный трафик составит около трети от российской аудитории, я не ожидал. Раньше это число не превышало 10% и на первом месте были представители СНГ. А сейчас второе место занимает Германия, третье США и только потом идет Украина. То ли меня реально иностранцы стали чаще читать, то ли это представители иностранных компаний, ходящие в Интернет через шлюзы за пределами РФ, а может просто многие перешли уже на VPN и прокси (в принципе, такой тренд сейчас есть).


Кстати, насчет иностранцев. Иногда реально подписываются на обновления именно они. Например, Gartner:


Но немало и реальных ботов. Вот, например, три кейса, когда явно иностранные владельцы твиттер-аккаунтов ретвитят мои сообщения. Причем это явно боты, так как в течение нескольких минут волна ретвитов кем-то сделанной картинки с "интригующими" заголовками:




Но иногда подписчики того же Twitter удивляют. Реально удивляют. То официальный твиттер банка подпишется, то вот газета "Кировоградская Правда":


или вот глава управы нагорного района города Москвы:


Бывают и просто забавные пользователи:



То ли это тоже боты, то ли реально людей так интересует информационная безопасность. Был бы звездой шоу-бизнеса, то можно было бы предположить, что это поклонники :-) Но вроде ничего такого нет. Отсюда и удивление в столь непредсказуемой аудитории :-)

07.05.15

Rapid7 покупает NT OBJECTives

4 мая американская компания Rapid7, известная своим сканером безопасности, а также рядом сервисов по ИБ, объявила о приобретении NT OBJECTives, компании, которая занималась тестированием защищенности Web- и мобильных приложений. Размер сделки не сообщается.

06.05.15

Какую информацию рассылает американский FinCERT, он же FS-ISAC?

В США, во многих отраслях есть центры анализа и распространения информации, связанной с информационной безопасностью. Это так называемые Information Sharing and Analysis Center (ISAC). Есть такой центр и в финансовой отрасли - FS-ISAC. У него нет задачи реагировать на инциденты - только анализ и распространение информации, которую члены FS-ISAC могут использовать по своему усмотрению.

Ниже несколько примеров того, что распространяет FS-ISAC по своим членам (Cisco тоже участник, поэтому я сделал несколько скриншотов). Вот так выглядит пример бюллетеня с анализом данных о той или иной угрозе:

Бюллетень с анализом угрозы
А вот в таком видел (в табличке Excel) приходит список IP-адресов, с которых зафиксирована рассылка вредоносного кода или осуществляются атаки, или с ними осуществляется взаимодействия с скомпрометированных узлов:

Списки вредоносных IP-адресов
Вот так выглядит список доменов, распространяющих вредоносный код:

Список вредоносных доменов
А вот так выглядит список адресов, которые были упомянуты в предыдущих рассылках FS-ISCA, но которые "исправились" и которые больше не надо блокировать:

Список "исправившихся" адресов
Как мне кажется, создаваемый сейчас в рамках ГУБЗИ FinCERT, который должен заработать с 1-го июля, должен делать примерно аналогичную работу. По крайней мере примерно в таком ключе обсуждалась роль FinCERTа на магнитогорском форуме в этом году.

ЗЫ. На ожидаемый вопрос, что означает аббревиатура TLP, отвечаю. TLP (Traffic Light Protocol) - это простой протокол, предложенный US CERT, и позволяющий "раскрасить" информацию в 4 "цвета", от которых зависит кому можно передавать информацию об угрозах - всем, внутри отрасли или сообщества, внутри организации, нельзя передавать никому. Это один из стандартов, применяемых при создании своей системы Threat Intelligence.

05.05.15

Очередная порция новостей по персональным данным

20-го апреля прошла расширенная коллегия Роскомнадзора, на которой были подведены итоги года ушедшего и озвучены планы на будущее. В контексте законодательства о персональных данных я бы хотел остановиться на следующих моментах:
  • Реестр нарушителей прав субъектов ПДн. Согласно распоряжению г-на Жарова, главы РКН, до 15 августа должен быть сформирован реестр нарушителей, в который, согласно ст.15.5 трехглавого ФЗ-149, должны включаться не все нарушители ФЗ-152, как считают многие, а только те, кто нарушает законодательство в области персональных данных в Интернете. На портале regulation.gov.ru уже размещен анонс о публичном обсуждении проекта Постановления Правительства Российской Федерации «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных» (интересно, почему эта система не "государственная"?). Правда, сам текст проекта так и не был выложен в публичный доступ.
Глава Роскомнадзора, г-н Жаров
  • Выход РКН из-под действия ФЗ-294. Согласно 242-ФЗ, и на мой взгляд это гораздо хуже чаще обсуждаемого "запрета на хранение", РКН выходит с 1-го сентября из-под действия закона о защите прав юридических лиц и инцивидуальных предпринимателей при осуществлении государственного надзора (контроля). Соответственно возникают опасения, что РКН, особенно в случае принятия законопроекта об увеличении штрафов за нарушение ФЗ-152, начнет слишком активно проверять соблюдение законодательства у операторов ПДн. Чтобы этого не допустить планируется разработать Постановление Правительства Российской Федерации «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации», анонс о разработке которого размещен на портале regulation.gov.ru. Правда, ничего хорошего от этого проекта я не жду. В лучшем случае он будет похож на текущий Административный регламент РКН, в худшем - будет еще большее количество оснований для проведения внеплановых проверок, отказ от согласования проверок с прокуратурой, привлечение экспертов для проведения проверок, расширение полномочий сотрудников РКН по доступу к документам и ИСПДн. Единственное, что положительное может появиться в этом проекте - явный запрет на проверки технических и организационных мер по защите ПДн, предусмотренные 19-й статьей ФЗ-152.
  • "Запрет" хранения ПДн россиян за границей. По данному направлению пока никаких явных подвижек нет. Слухов и начавшихся работ много, а вот какого-то утвержденного решения, увы, нет. Поэтому можно говорить только о том, что будет делаться и о чем уже известно точно. РКН готовит поправки в свой Административный регламент по ведению реестра операторов ПДн в части дополнения содержания реестра операторов ПДн сведениями о месте нахождения баз данных, а также в части изменения формы уведомления из Приложения 2 к этому регламенту. Соответственно можно ожидать с 1-го сентября "писем счастья" с требованием обновить о себе информацию в реестре у тех 300 с лишним тысяч операторов, которые сейчас числятся в реестре. Второй документ, который сейчас РКН готовит - это приказ с утверждением методических рекомендаций о порядке организации и осуществления контроля за обработкой персональных данных.
  • "Законопроект Матвиенко/Гаттарова". Начались определенные подвижки в части законопроекта №416052-6, который уже больше года лежал мертвым грузом в Госдуме и даже не был представлен к первому чтению. Возможно ситуация с ним сдвинется с мертвой точки и его все-таки запустят в работу.
  • Расширение толкования понятия "персональные данные" и введение "права на забвение". На коллегии РКН бывший министр связи, а ныне советник Президента г-н Щеголев, сделал два громких заявления. Первое касалось введения по примеру Европы в ФЗ-152 "права на забвение", а второе касалось необходимости внести изменения в трактовку понятия "персональные данные", чтобы распространить его на любую информацию о пользователях в Интернете, включая геолокационные данные, профиль поведения и мировозрение. Ну что тут сказать... 4 года назад в рамках конференции Лаборатории Касперского на теплоходе, идущем в Козьмодемьянск, Щеголев (будучи еще министром) уже демонстрировал свое знание предмета. Ситуация с тех пор мало изменилась. "Право на забвение", а точнее возможность потребовать уничтожения персональных данных о себе у россиян есть и сейчас, только вот ею никто не пользуется. А необходимость внесения в ФЗ-152 расширительного толкования термина "персональные данные" я могу списать на то, что бывший министр "не читатель". Куда уж шире "любой информации, относящейся"?.. И сейчас то, о чем говорил Щеголев, можно отнести к ПДн. Тут скорее стоит обратить внимание на то, что от советника Президента поступил сигнал, который РКН воспринял и свои будущие проверки (особенно применительно к Интернет-компаниям) будет строить исходя из новых реалий. Еще одно событие произошло чуть раньше - СМИ его преподнесли как "запрет использовать фотожабы на звезд шоу-бизнеса и политиков". На самом деле ситуация немного иная. В деле "Сюткин против Луркоморье" было принято решение, что фото певца с нецензурной лексикой нарушает приватность гражданина России и субъекта ПДн - Валерия Сюткина. Роскомнадзор, комментируя данное дело (а именно РКН был в данном деле истцом), пояснил, что он считает нарушением законодательства о персональных данных в отношении публичных персон. Например, создание и использование фейкового аккаунта в социальных сетях, поддельного сайта знаменитости, посвящённого её деятельности, а также использование фото публичного лица "в качестве олицетворения популярного интернет-мема, не имеющего отношения к личности "селебрити". Дальше РКН пояснил, что для известных, публичных персон достаточно фамилии, имени и фотографии, чтобы уже говорить об использовании персональных данных.
Вот такие новости.

27.04.15

Что было на RSA для тех, кто там не был или куда катится ИБ-мир?

В прошлом году я уже проводил блиц-анализ того, что рассказывалось на RSA Conference 2014 - ключевом мероприятии в отрасли ИБ в мире, которое задает тон на ближайший год. В прошедшую пятницу завершилась очередная  конференция RSA и можно повторить экспресс-анализ происходящего там. Разумеется это поверхностная оценка, которая строится на анализе встречаемости слов в программе мероприятия. Вот, что получается, если загнать программу в специализированный сервис, предварительно убрав из текста время, даты и место проведения мероприятия.



Смотря на картинку, можно сделать вывод, что на первое место вышла тема песочниц, которая и в прошлом году превалировала среди докладов. Но это не так. Просто организаторы RSAC решили обыграть ИБ-термины P2P и "песочница" в форматах организации мероприятий. Поэтому смело удаляем их из текста.
Слово "security" на конференции по безопасности, очевидно, является самым распространенным и поэтому его тоже надо убирать.
Но и в данном варианте слишком много слов-паразитов или слов, которые сбивают с толку, например, crowdsourced, которое не имеет отношения к ИБ, а скорее к очередному формату проведения мероприятия. Удаляем.
Опять вылезают слова-паразиты - cyber, building, information, world, technology... Они излишни для поставленной задачи. Удаляем и их. Итог у нас следующий:
Если исходить из предположения, что чаще всего используемые в программе мероприятия слова и определяют тренды в ИБ, то у нас они следующие:

  • Облака
  • Аналитика в области ИБ
  • Управление идентификацией
  • Сетевая безопасность
  • Интернет вещей и, в частности, безопасность автомобилей
  • Угрозы
  • Реагирование на инциденты
  • Индустриальная ИБ (ИБ АСУ ТП).
ЗЫ. Кстати, презентации с RSA Conference уже выложили. 300+ отборных материалов с тенденциями в области ИБ.



23.04.15

Инфосистемы Джет выделяет ИБ в новую компанию - Solar Security

Ну и дабы закончить сегодня день темой "консолидации", вспомним про недавнее событие на рынке ИБ, но уже на российском - известный интегратор "Инфосистемы Джет" 21-го апреля объявил о выделении части своего ИБ-бизнеса (разработка и услуги аутсорсинга) в отдельную компанию Solar Security. Оценивать данное событие сейчас трудно - поэтому просто констатирую сей факт. И, конечно, желаю коллегам удачи в это замечательное для развития ИБ время.


General Dynamics продает Fidelis Cybersecurity

Американский оборонный поставщик General Dynamics, купив в 2012-м году компанию Fidelis Cybersecurity, 14-го апреля заявил о том, что продает этот бизнес инвестиционному фонду Marlin Equity Partners (из принадлежащих им 85 компаний я знаю только Arcserve и Phoenix /производитель BIOSов/). Мотивация - желание сконцентрироваться на своем основном бизнесе в области оборонки. Несмотря на то, что за 3 года оборот Fidelis внутри GD удвоился, последняя все-таки решила избавиться от этого актива. Размер сделки не сообщается.

Raytheon покупает Websense

Полтора года назад я написал заметку о том, что к 2023-му году мировой рынок кибербезопасности будет совсем не таким, как сейчас; его захватят совершенно непривычные нам игроки, преимущественно из сектора мировой (американской) оборонки - Lockheed Martin, Booz Allen Hamilton, Boeing, Raytheon и др. И вот постепенно названные игроки начинают проявлять себя. В прошлом году Lockheed Martin купил Industrial Defender, а на днях, 20-го апреля один из основных поставщиков американской армии - Raytheon объявила о приобретении компании Websense, выделении своего подразделения Cyber Products, и интеграции обеих составных частей в рамках новой компании.

Ракета Патриот, разработанная Raytheon, - новое средство борьбы с APT :-)
Прошло меньше двух лет, как инвестиционный фонд Vista Equite купил Websense за почти 1 миллиард долларов. И вот Websense выделяют в совместное с Raytheon предприятие, в которой Vista Equite вкладывает 335 миллионов долларов и 1,6 миллиарда вкладывает Raytheon (всего последний тратит на эту сделку около 1,9 миллиардов). Судя по всему Raytheon хочет усилить свое присутствие за пределами США (у Websense 50% бизнеса за пределами США), а также выйти за рамки имиджа "поставщика для армии и разведки" и поставлять решения по кибербезопасности в гражданский и государственный сектора, в которых присутствовал Websense. При этом представители Raytheon все как один заявляют, что они привнесут в решения Websense технологии мирового уровня, которые были разработаны Raytheon'ом для американской оборонки и разведки.

Для Raytheon это не первая сделка в области ИБ. В ноябре 2014-го года за 420 миллионов Raytheon купил Blackbird Technologies, неизвестную у нас компанию, занимавшуюся технологиями слежки и кибербезопасности. В 2011-м Raytheon купил еще одного игрока в области кибербезопасности - неизвестного у нас американского военного контрактора Pireworks, который ранее спонсировался DARPA по ряду ИБ-проектов.

В России решения Websense были достаточно известны и данная сделка ставит на повестку дня несколько вопросов, ответы на которые должны появиться по мере становления новой объединенной компании:

  • Какой будет стратегия американского оборонной компании в России, учитывая текущую геополитическую ситуацию?
  • Как отнесутся заказчики к продукту, который производит компания, активно работающая с американской разведкой?
  • Будет ли ребрендинг компании и, если да, что будет с сертификатами ФСТЭК, которые выданы на другое название?

ЗЫ. А Raytheon, кстати, в январе уже заявлял о своей агрессивной политике поглощений на рынке кибербезопасности.

20.04.15

Что Банк России и российские банки думают про безопасность мобильных платежей?

На прошлой неделе в прессе началась шумиха о заражении мобильных устройств под управлением Android 350 тысяч клиентов российских банков и нанесенном им ущербе в 50 миллионов рублей. В итоге в прошлую среду Банк России опубликовал у себя на сайте сообщение "О несанкционированных операциях, совершенных с использованием устройств мобильной связи". Произошло это спустя месяц с момента вступления в силу новой редакции положения Банка России 382-П, устанавливающего требования по защите информации при осуществлении денежных переводов, в т.ч. и мобильных.

В 382-П вопросам безопасности мобильного банкинга, как самостоятельной задаче, внимания почти не уделено, что и понятно. Все-таки мобильный банкинг с точки зрения защиты отличается от обычного только способом получения клиента ДБО - через магазин приложений Apple, Google или Microsoft. Вся остальная обработка, реализуемая на стороне банка, идентична Интернет-банкингу и другим формам денежных переводов от физлиц. Кроме того, клиенты не входят в сферу регулирования ни Банка России, ни иных регуляторов. Поэтому ни ФЗ-161 о Национальной платежной системе, ни ПП-584 о защите информации в платежных системах, ни 382-П не распространяются на клиентов и не требуют от них ничего в контексте обеспечения информационной безопасности.

Поэтому Банк России, продолжая свою традицию, начатую письмами Банка России 120-Т от 02.10.2009 и 154-Т от 22.11.2010 и распространяющихся на банковские карты, решил вновь выпустить некоторую памятку для клиентов, но уже как пользователей мобильного банкинга, а не платежных карт. Эта памятка содержит в себе 8 простых и при этом здравых рекомендаций:

  • установить на устройство мобильной связи антивирусное программное обеспечение с регулярно обновляемыми базами
  • не переходить по ссылкам, приходящим из недостоверных источников, в том числе на известные сайты
  • своевременно уведомлять кредитную организацию о смене номера телефона мобильной связи, который клиент предоставил кредитной организации для получения услуги «мобильный банкинг», в том числе, на который происходит информирование об операциях по счету клиента
  • не скачивать на устройство мобильной связи приложения из непроверенных источников
  • не передавать устройство мобильной связи и платежную карту для использования третьим лицам, в том числе родственникам
  • не сообщать третьим лицам, в том числе сотрудникам кредитной организации, ПИН-код платежной карты и контрольный код, указанный на оборотной стороне платежной карте (СVV/CVC-код1 ), пароли от «Клиент-банка», одноразовые коды подтверждения
  • при наличии подозрения, что такие данные стали известны третьему лицу, необходимо сообщить об этом кредитной организации по контактным данным, указанным на ее официальном сайте
  • в случае обнаружения списания денежных средств необходимо в сроки, установленные законодательством РФ, обратиться в кредитную организацию или к оператору связи (если произошло списание денежных средств, предоставленных оператору связи в качестве оплаты услуг связи, в том числе перечисление денежных средств на «короткие номера»).
У меня, по сути, претензия только к последней рекомендации, а точнее к "срокам, установленным законодательством РФ". Где они установлены и почему нельзя было просто указать конкретное значение?

Я бы хотел посмотреть на данное событие (шумиха и документ ЦБ) с двух точек зрения. Первая касается экономики. Отдельные "эксперты" в очередной раз заявили о том, что вот он, наступающий апокалипсис мобильных платежей и надо срочно всем банкам бежать и заказывать услуги анализа защищенности мобильных приложений и вообще отдельным экспертам тяжело в одиночку сдерживать натиск хакеров всего мира и пора бы всем уже проснуться. Я хочу вновь вернуться к своей заметке двухлетней давности.

Сейчас тема экономической оценки эффективности вновь на коне и если смотреть на деятельность служб ИБ не с точки зрения торговли страхом, а с точки зрения банальной оценки выгод и затрат, то необходимость борьбы с мобильными банковскими угрозами не такая уж и очевидная (если не сказать больше). Ситуация с общим состоянием мобильных платежей не сильно изменилась по сравнению с описанной 2 года назад (соотношение осталось таким же).  И если мы посмотрим на текущий кейс, то картина следующая - 350 тысяч пострадавших и 50 миллионов рублей, о которых говорят журналисты. Делим одно значение на другое и получаем 142 рубля потерь на одного клиента. СТО СОРОК ДВА рубля! Ответьте себе на вопрос - вы будете что-то делать из-за такого ущерба? Вы поставите себе на смартфон антивирус? К слову сказать, тот же антивирус Касперского для Android стоит в год 300 рублей. Чтобы его окупить со мной должно случиться не менее трех аналогичных инцидентов в год. 

Правда по данному инциденту необходимо сделать несколько оговорок:
  • Если верить тому, что число пострадавших именно таково, то данный инцидент малоинтересен для клиентов банков - ущерба для них нет и заморачиваться этим не стоит (я бы не стал точно). Если число реальных пострадавших меньше и значение 350 тысяч выбрано для показа "сурьезности", то в этом случае потери на одного клиента будут больше. Но насколько?
  • Если посмотреть на инцидент с точки зрения банка, то тут все зависит от числа пострадавших банков. Если он один, то стоит задуматься о том, что существует риск, что 350 тысяч жертв обратится за возвратом своих незаконно списанных средств (пользуясь 9-й статьей ФЗ-161). И тогда 50 миллионов - это потери одного банка. Это может заставить задуматься. Но в статье говорится о нескольких банков и в этом случае надо считать реальные потери для каждого банка (с учетом практики обращений клиентов по 9-й статье).
  • Чтобы делать вывод о серьезности проблемы в общероссийском масштабе нужна общая статистика об инцидентах с мобильными платежами и объеме похищенных или готовящихся к хищению средств. К сожалению Департамент НПС Банка России до сих пор так и не опубликовал статистику по собранным по 203-й форме отчетности инцидентам. Последняя опубликованная статистика датирована первым полугодием 2013-го года.
Отсюда вывод с точки зрения экономики ИБ - каким бы страшным не казался данный инцидент (или как бы не запугивали отдельные представители отрасли), с точки зрения экономической целесообразности борьба с этой проблемой не такая уж и очевидная в настоящий момент.

Есть и вторая точки зрения. Это compliance (три драйвера "продаж" ИБ - страх, compliance и экономика). В 382-П у нас есть пункт 2.7.5, согласно которому, при обнаружении вредоносного кода участники платежной системы должны обменяться информацией о вредоносе. Банки должны сообщить оператору платежной системы, а он, в свою очередь, остальным участникам платежной системы. В п.2.12.3 также есть требование о необходимости обязательного уведомления клиентов о рисках несанкционированного доступа к защищаемой информации и мерах по их снижению. И вот тут возникает закономерный вопрос - а должны ли были банки уведомлять своих клиентов о данной угрозе? И в какой форме? И с какой периодичностью? Один раз при заключении договора? При каждом инциденте? Или еще как-то? Такой вопрос, кстати, возникал при подготовке еще второй редакции 382-П, но по ряду причин его так и не рассмотрели. Поэтому сейчас я бы рассматривал публикацию на сайте Банка России как пример того, как можно это сделать.

Впечатления от межотраслевого форума директоров по ИБ

В пятницу завершился очередной Межотраслевой форум директоров по безопасности, на котором я делал небольшое выступление про регуляторику, "подменяя" регуляторов. По традиции хотел бы поделиться некоторыми впечатлениями о мероприятии.

Начну с того, что это действительно межотраслевой форум, собравший специалистов из разных отраслей. Причем выступали представители не только традиционных банков, ТЭК, телекоммуникации и ритейла, как это часто бывает. Были логистические компании (и не одна), фармацевтика (правда, западные Novartis и BAYER), парфюмерия и косметика, металлургия, авиапромышленность, проектные организации. Такой спектр позволяет взглянуть на ИБ с разных сторон.


Кризис, безусловно, сказался на мероприятии - участников было меньше, чем в прошлом году. Возможно, конечно, что многие решили посмотреть прямую линию с Президентом, которая была в этот день. Но зато место проведения было выбрано очень достойное - отель Метрополь в центре Москвы.


Чем мне еще нравится межотраслевой форум - так это отсутствием выступающих спонсоров с невнятными или рекламными докладами. Безусловно они присутствуют, куда ж без них, но их очень мало. Интересных докладов, особенно от директоров и менеджеров по ИБ гораздо больше. На самые разные темы. Про коммерческую тайну...

Доклад Сергея Гусева из Северстали про защиту коммерческой тайны
про перенос персональных данных в облака и внешние ЦОДы...

Доклад Михаила Емельянникова

про управление рисками...

Доклад Федора Курносова из Эльдорадо

про экономику ИБ...

Доклад Дмитрий Мананникова из СПСПР-Экспресс
про взаимодействие с ИБ-компаниями и вообще про непростую жизнь иностранных/глобальных компаний в России...

Доклад Юлии Суслиной из Новартис
Вообще интересных докладов было много; про все в одной заметке и не расскажешь. Ждем презентаций... Но помимо выступлений на межотраслевом форуме было просто замечательное и живое общение в кулуарах. Как всегда, большинство новостей узнаешь именно в них :-)

С Алексеем Волковым :-)
Ну и конечно нельзя не упомянуть про некоторые фишки форума. Во-первых, это регистрация. Мне на почту за пару дней до начала пришла напоминалка с моим личным номером, который позволил мне пройти в ускоренном режиме получить бейдж. У стола регистрации стоял мобильный киоск, в котором можно было ввести свой номер и оперативно получить бейдж и набор материалов. Это как регистрация на самолет, когда не надо толпиться у стойки регистрации и посадочный талон печатается самостоятельно.

И во-вторых, мобильное приложение. Удобство такого софтинки я приметил еще в Магнитогорске, когда у тебя в смартфоне не только своя персонализированная программа и информация о спикерах, но и возможность ставить оценки и сразу видеть общий результат. Скоро мероприятие по ИБ без своего мобильного приложения будет восприниматься как неинновационное :-)



Резюмируя, хочу отметить, что я получил от мероприятия то, что хотел. Встречи со старыми друзьями, живое общение и несколько интересных мне докладов. И я увидел несколько новых лиц среди спикеров, что позволит в будущем разбавить надоевшие многим лица одних и тех же выступающих (эту проблему я слышал уже неоднократно на нескольких последних мероприятиях), которые не всегда меняют свои презентации и выступления.

 ЗЫ. А еще в Метрополе офигенный потолок :-)