20.04.15

Что Банк России и российские банки думают про безопасность мобильных платежей?

На прошлой неделе в прессе началась шумиха о заражении мобильных устройств под управлением Android 350 тысяч клиентов российских банков и нанесенном им ущербе в 50 миллионов рублей. В итоге в прошлую среду Банк России опубликовал у себя на сайте сообщение "О несанкционированных операциях, совершенных с использованием устройств мобильной связи". Произошло это спустя месяц с момента вступления в силу новой редакции положения Банка России 382-П, устанавливающего требования по защите информации при осуществлении денежных переводов, в т.ч. и мобильных.

В 382-П вопросам безопасности мобильного банкинга, как самостоятельной задаче, внимания почти не уделено, что и понятно. Все-таки мобильный банкинг с точки зрения защиты отличается от обычного только способом получения клиента ДБО - через магазин приложений Apple, Google или Microsoft. Вся остальная обработка, реализуемая на стороне банка, идентична Интернет-банкингу и другим формам денежных переводов от физлиц. Кроме того, клиенты не входят в сферу регулирования ни Банка России, ни иных регуляторов. Поэтому ни ФЗ-161 о Национальной платежной системе, ни ПП-584 о защите информации в платежных системах, ни 382-П не распространяются на клиентов и не требуют от них ничего в контексте обеспечения информационной безопасности.

Поэтому Банк России, продолжая свою традицию, начатую письмами Банка России 120-Т от 02.10.2009 и 154-Т от 22.11.2010 и распространяющихся на банковские карты, решил вновь выпустить некоторую памятку для клиентов, но уже как пользователей мобильного банкинга, а не платежных карт. Эта памятка содержит в себе 8 простых и при этом здравых рекомендаций:

  • установить на устройство мобильной связи антивирусное программное обеспечение с регулярно обновляемыми базами
  • не переходить по ссылкам, приходящим из недостоверных источников, в том числе на известные сайты
  • своевременно уведомлять кредитную организацию о смене номера телефона мобильной связи, который клиент предоставил кредитной организации для получения услуги «мобильный банкинг», в том числе, на который происходит информирование об операциях по счету клиента
  • не скачивать на устройство мобильной связи приложения из непроверенных источников
  • не передавать устройство мобильной связи и платежную карту для использования третьим лицам, в том числе родственникам
  • не сообщать третьим лицам, в том числе сотрудникам кредитной организации, ПИН-код платежной карты и контрольный код, указанный на оборотной стороне платежной карте (СVV/CVC-код1 ), пароли от «Клиент-банка», одноразовые коды подтверждения
  • при наличии подозрения, что такие данные стали известны третьему лицу, необходимо сообщить об этом кредитной организации по контактным данным, указанным на ее официальном сайте
  • в случае обнаружения списания денежных средств необходимо в сроки, установленные законодательством РФ, обратиться в кредитную организацию или к оператору связи (если произошло списание денежных средств, предоставленных оператору связи в качестве оплаты услуг связи, в том числе перечисление денежных средств на «короткие номера»).
У меня, по сути, претензия только к последней рекомендации, а точнее к "срокам, установленным законодательством РФ". Где они установлены и почему нельзя было просто указать конкретное значение?

Я бы хотел посмотреть на данное событие (шумиха и документ ЦБ) с двух точек зрения. Первая касается экономики. Отдельные "эксперты" в очередной раз заявили о том, что вот он, наступающий апокалипсис мобильных платежей и надо срочно всем банкам бежать и заказывать услуги анализа защищенности мобильных приложений и вообще отдельным экспертам тяжело в одиночку сдерживать натиск хакеров всего мира и пора бы всем уже проснуться. Я хочу вновь вернуться к своей заметке двухлетней давности.

Сейчас тема экономической оценки эффективности вновь на коне и если смотреть на деятельность служб ИБ не с точки зрения торговли страхом, а с точки зрения банальной оценки выгод и затрат, то необходимость борьбы с мобильными банковскими угрозами не такая уж и очевидная (если не сказать больше). Ситуация с общим состоянием мобильных платежей не сильно изменилась по сравнению с описанной 2 года назад (соотношение осталось таким же).  И если мы посмотрим на текущий кейс, то картина следующая - 350 тысяч пострадавших и 50 миллионов рублей, о которых говорят журналисты. Делим одно значение на другое и получаем 142 рубля потерь на одного клиента. СТО СОРОК ДВА рубля! Ответьте себе на вопрос - вы будете что-то делать из-за такого ущерба? Вы поставите себе на смартфон антивирус? К слову сказать, тот же антивирус Касперского для Android стоит в год 300 рублей. Чтобы его окупить со мной должно случиться не менее трех аналогичных инцидентов в год. 

Правда по данному инциденту необходимо сделать несколько оговорок:
  • Если верить тому, что число пострадавших именно таково, то данный инцидент малоинтересен для клиентов банков - ущерба для них нет и заморачиваться этим не стоит (я бы не стал точно). Если число реальных пострадавших меньше и значение 350 тысяч выбрано для показа "сурьезности", то в этом случае потери на одного клиента будут больше. Но насколько?
  • Если посмотреть на инцидент с точки зрения банка, то тут все зависит от числа пострадавших банков. Если он один, то стоит задуматься о том, что существует риск, что 350 тысяч жертв обратится за возвратом своих незаконно списанных средств (пользуясь 9-й статьей ФЗ-161). И тогда 50 миллионов - это потери одного банка. Это может заставить задуматься. Но в статье говорится о нескольких банков и в этом случае надо считать реальные потери для каждого банка (с учетом практики обращений клиентов по 9-й статье).
  • Чтобы делать вывод о серьезности проблемы в общероссийском масштабе нужна общая статистика об инцидентах с мобильными платежами и объеме похищенных или готовящихся к хищению средств. К сожалению Департамент НПС Банка России до сих пор так и не опубликовал статистику по собранным по 203-й форме отчетности инцидентам. Последняя опубликованная статистика датирована первым полугодием 2013-го года.
Отсюда вывод с точки зрения экономики ИБ - каким бы страшным не казался данный инцидент (или как бы не запугивали отдельные представители отрасли), с точки зрения экономической целесообразности борьба с этой проблемой не такая уж и очевидная в настоящий момент.

Есть и вторая точки зрения. Это compliance (три драйвера "продаж" ИБ - страх, compliance и экономика). В 382-П у нас есть пункт 2.7.5, согласно которому, при обнаружении вредоносного кода участники платежной системы должны обменяться информацией о вредоносе. Банки должны сообщить оператору платежной системы, а он, в свою очередь, остальным участникам платежной системы. В п.2.12.3 также есть требование о необходимости обязательного уведомления клиентов о рисках несанкционированного доступа к защищаемой информации и мерах по их снижению. И вот тут возникает закономерный вопрос - а должны ли были банки уведомлять своих клиентов о данной угрозе? И в какой форме? И с какой периодичностью? Один раз при заключении договора? При каждом инциденте? Или еще как-то? Такой вопрос, кстати, возникал при подготовке еще второй редакции 382-П, но по ряду причин его так и не рассмотрели. Поэтому сейчас я бы рассматривал публикацию на сайте Банка России как пример того, как можно это сделать.

Впечатления от межотраслевого форума директоров по ИБ

В пятницу завершился очередной Межотраслевой форум директоров по безопасности, на котором я делал небольшое выступление про регуляторику, "подменяя" регуляторов. По традиции хотел бы поделиться некоторыми впечатлениями о мероприятии.

Начну с того, что это действительно межотраслевой форум, собравший специалистов из разных отраслей. Причем выступали представители не только традиционных банков, ТЭК, телекоммуникации и ритейла, как это часто бывает. Были логистические компании (и не одна), фармацевтика (правда, западные Novartis и BAYER), парфюмерия и косметика, металлургия, авиапромышленность, проектные организации. Такой спектр позволяет взглянуть на ИБ с разных сторон.


Кризис, безусловно, сказался на мероприятии - участников было меньше, чем в прошлом году. Возможно, конечно, что многие решили посмотреть прямую линию с Президентом, которая была в этот день. Но зато место проведения было выбрано очень достойное - отель Метрополь в центре Москвы.


Чем мне еще нравится межотраслевой форум - так это отсутствием выступающих спонсоров с невнятными или рекламными докладами. Безусловно они присутствуют, куда ж без них, но их очень мало. Интересных докладов, особенно от директоров и менеджеров по ИБ гораздо больше. На самые разные темы. Про коммерческую тайну...

Доклад Сергея Гусева из Северстали про защиту коммерческой тайны
про перенос персональных данных в облака и внешние ЦОДы...

Доклад Михаила Емельянникова

про управление рисками...

Доклад Федора Курносова из Эльдорадо

про экономику ИБ...

Доклад Дмитрий Мананникова из СПСПР-Экспресс
про взаимодействие с ИБ-компаниями и вообще про непростую жизнь иностранных/глобальных компаний в России...

Доклад Юлии Суслиной из Новартис
Вообще интересных докладов было много; про все в одной заметке и не расскажешь. Ждем презентаций... Но помимо выступлений на межотраслевом форуме было просто замечательное и живое общение в кулуарах. Как всегда, большинство новостей узнаешь именно в них :-)

С Алексеем Волковым :-)
Ну и конечно нельзя не упомянуть про некоторые фишки форума. Во-первых, это регистрация. Мне на почту за пару дней до начала пришла напоминалка с моим личным номером, который позволил мне пройти в ускоренном режиме получить бейдж. У стола регистрации стоял мобильный киоск, в котором можно было ввести свой номер и оперативно получить бейдж и набор материалов. Это как регистрация на самолет, когда не надо толпиться у стойки регистрации и посадочный талон печатается самостоятельно.

И во-вторых, мобильное приложение. Удобство такого софтинки я приметил еще в Магнитогорске, когда у тебя в смартфоне не только своя персонализированная программа и информация о спикерах, но и возможность ставить оценки и сразу видеть общий результат. Скоро мероприятие по ИБ без своего мобильного приложения будет восприниматься как неинновационное :-)



Резюмируя, хочу отметить, что я получил от мероприятия то, что хотел. Встречи со старыми друзьями, живое общение и несколько интересных мне докладов. И я увидел несколько новых лиц среди спикеров, что позволит в будущем разбавить надоевшие многим лица одних и тех же выступающих (эту проблему я слышал уже неоднократно на нескольких последних мероприятиях), которые не всегда меняют свои презентации и выступления.

 ЗЫ. А еще в Метрополе офигенный потолок :-)

17.04.15

Alert Logic покупает Critical Watch

Пропустил эту новость. Alert Logic, провайдер Security-as-a-Service услуг, 6 января объявил о приобретении также американской Critical Watch, занимающейся анализом защищенности и аудитом конфигураций ПО и железа с точки зрения безопасности. Детали сделки не разглашаются.

О чем могли бы рассказать регуляторы по ИБ, если бы они пришли на форум директоров по ИБ?

Вчера прошел первый день межотраслевого форума директоров по ИБ, на котором я должен был модерировать секцию по законодательству, на которое были приглашены представители всех ключевых регуляторов - ФСТЭК, ЦБ, Роскомнадзор, 8-й Центр ФСБ, ЦИБ ФСБ и других. К сожалению, высокая занятость не позволила им присутствовать, так что пришлось по сути отдуваться мне за них всех, рассказывая, что они запланировали на ближайшие полтора-два года.

Не могу сказать, что в презентации есть что-то уникальное, чего бы я раньше не упоминал в заметках на блоге. Просто я все это скомпилировал в единую презентацию, которая местами, повторяет то, что я читал в Магнитогорске (весь форум за 15 минут), а также впечатления и заметки с конференции ФСТЭК в феврале этого года.

Вот презентация:


Что бывает, когда пароль показывают в ТВ-сюжете и не только

Прочел вчера статью про 5 случаев, когда случайная публикация конфиденциальной информации в СМИ послужила причиной последующих проблем. Решил взять оттуда то, что представляет интерес (фотографии документов с ПДн - это не так интересно и тем более не редко :-) и добавить то, что туда не попало.

Итак, первый пример известен. Во время очередной фотосессии принца Уильяма во время его службы в Афганистане, журналисты случайно засняли листок, висящий на стене и содержаний логин/пароль к одной систем Королевских военно-воздушных сил.


Еще один случай также имеет британские корни. Бывший главный антитеррорист Великобритании потерял свое место после того, как выйдя из автомобиля с пачкой документов, был заснят вездесущими журналистами, которые позже определили, что наверху лежал документ с планом, разработанным для срыва попытки взрыва бомбы боевиками Аль-Кайеды.


Следующий пример вообще анекдотичен. Генеральный директор компании по ИБ не придумал ничего умнее, чем использовать в рекламной кампании по борьбе с утечками персональных данных... свои собственные ПДн, а точнее номер социального страхования, который и был использован ворами, получившими кредит в 500 долларов по данному SSN.


На днях были взломаны учетные записи социальных сетей французской телекомпании TV5 Monde. Произошло это после того, как по ТВ показали интвервью с одним из репортеров TV5 Monde, который снялся на фоне рабочего стола одного из сотрудников телекомпании, на котором внимательные хакеры углядели логин и пароль от Twitter, Instagram и YouTube телеканала TV5 Monde. Результат не заставил себя долго ждать.


Позже оказалось, что эта телекомпания "отличилась" дважды - в другом репортаже был обнаружен еще один пароль от телесети TV5 Monde.


Вот такие интересные примеры несоблюдения требований здравого смысла и безопасности ради пиара и маркетинга :-)

16.04.15

Как обосновать затраты на информационную безопасность?

Вчера я вернулся из Нижнего Новгорода, с замечательного ИТ-Форума 2020, где проводил мастер-класс на ставшую в последнее время популярной тему "Как обосновать затраты на информационную безопасность?" Вообще я люблю ездить в Нижний - там как-то спокойнее, чем в Москве, но не менее живо с точки зрения аудитории и интереса к теме информационной безопасности. Вот и в этот раз зал был полон, хотя параллельно в рамках форума проходило еще несколько семинаров и выступлений (а уж пирожки в кафе, говорят, были просто обалденные и не отпускали от себя никого).

Однако надо признать, что до конца досидели не все. Все-таки эта тема относительно нова для многих и взять и сходу ее применять на практике не так уж и просто. В отличие от темы законодательства, про которую почему-то меня после мастер-класса и спрашивали :-) Предположу, что уходили, возможно, представители муниципальных и государственных организаций, которым не все из предложенных вариантов и кейсов подходят. Все-таки коммерческому предприятию тут проще развернуться. Именно в контексте финансовой оценки ИБ. Оно зарабатывает деньги и всегда можно попытаться оценить вклад ИБ в достижение финансовых показателей предприятия. А у госов и муниципалов сфера гораздо уже - денег они не зарабатывают и финансы, в основном, можно применять в контексте оценки простоев персонала, зарплата которого и так невысока. В конечном итоге, при прочих равных, финансовая  оценка ИБ на коммерческом и государственном предприятии дает разные результаты. Видимо, поэтому, не дождавшись откровения и универсального рецепта, некоторые слушатели стали покидать мастер-класс. Но их было не так много :-)



Хотел бы сказать спасибо Правительству Нижегородской области за приглашение и возможность выступить. Из всего большого количества российских регионов тему развития ИТ и ИБ нижегородцы драйвят как немногие. Я помню еще выступления по приглашению хабаровского, питерского и московского ИТ-министерств. Но нижегородцы, по-моему, самые "старые" - их ИТ-Форум проводится уже в 8-й раз.

14.04.15

C какой периодичностью проводить аудит индустриальных сетей?

Тут в одном проекте возник вопрос, а как частно надо проводить аудит индустриальных сетей на предмет безопасности? Пробежавшись по стандартам и лучшим практикам была составлен следующий (неполный) список:

  • В NIST SP 800-82 “Guide to Industrial Control Systems (ICS) Security” требуется проводить инвентаризацию сети с целью идентификации всех активов с периодичностью не менее 1 раза в год
  • В стандарте IEC 62443-2-1 (пришел на смену ISA SP 99) говорится о ежегодном тестировании планов обеспечения непрерывности
  • Стандарт NERC CIP-005 Electronic Security Perimeter (пункт R4) требует не менее одного раза в год проводить поиск уязвимостей в критических активах. Аналогичное требование установлено в пункте R8 стандарта CIP-007 “Cyber Security – Systems Security Management”
  • Пункт C.3.1.1 стандарта США по безопасности атомных электростанций RG 5.71 требует ежегодного аудита ИБ
  • В Guidance for Addressing Cyber Security in the Chemical Industry требуется ежегодный пересмотр планов, например, обеспечения непрерывности, которые в свою очередь требуют аудита
  • Национальный центр кибербезопасности Великобритании NCSC требует ежегодной инвентаризации сетевых соединений и проведения пентестов
  • Ежегодный аудит требуется в "Control Systems Cyber Security Guidelines for the Natural Gas Pipeline Industry”
  • Ежегодный аудит требуется в “Security Guidelines for the Petroleum Industry”
  • Согласно ISO/TR 29001 "Petroleum, petrochemical and natural gas industries — Sector-specific quality management systems — Requirements for product and service supply organizations” внутренний аудит требуется не менее одного раза в год
  • Согласно "Pipeline Security Guidelines” аудит и пересмотр ИБ должен проводиться один раз в год
  • Согласно требованиям CPNI (Центр защиты критичной инфраструктуры Великобритании) “GOOD PRACTICE GUIDE. PROCESS CONTROL AND SCADA SECURITY” пересмотр планов по ИБ и аудит должны проводить ежегодно.


Вот такой перечень получился для разных отраслей, в которых применяются АСУ ТП. Где-то это требование (как в NERC CIP), где-то рекомендация. Но почти все сходятся во мнении, что аудит/оценка/пересмотр/инвентаризация/пентест должны быть ежегодными (не реже).

10.04.15

От Доктрины ИБ к стратегии кибербезопасности и обратно

Итак, продолжим. Вчера мы поговорили о проекте Конвенции по обеспечении международной ИБ для стран БРИКС. Сегодня поговорим о новой Доктрине ИБ, о которой сообщил Совет Безопасности, и о проекте нового закона, о котором написал позавчера "Коммерсант".

О том, что Доктрину достали с полки и начали переписывать стало известно еще в 2013-м году. Именно тогда в Совете Федерации была начата работа над Стратегией кибербезопасности. Собственно идея-то и состояла в том, чтобы актуализировать Доктрину и сделать документ, более соответствующий и современным угрозам и современной геополитической ситуации (правда, тогда еще Крым не присоединился к России путем народного волеизъявления). К концу 2013-го года две трети работ по Стратегии были завершены и она была представлена на Парламентских слушаниях. К сожалению, 8-й Центр ФСБ забраковал эту инициативу, а чуть позже и ее главный инициатор, сенатор Руслан Гаттаров, покинул Совет Федерации, став заместителем губернатора Челябинской области. В отсутствие инициатора и в виду противодействия со стороны ФСБ и Совета Безопасности (а он тоже высказывал свои сомнения в необходимости Стратегии) работы по Стратегии кибербезопасности были свернуты.



Но это не значит, что Доктрину не нужно было менять. Поэтому в Совете Безопасности стали негласно готовиться к внесению поправок в документ 2000-го года. Как это часто бывает в таких вопросах, публично заявлять о начале работ над чем-то принято уже в самом конце :-) Поэтому могу предположить, что работы находятся на финишной прямой и относительно скоро мы все увидим этот документ, готовящийся в строжайшей секретности.

Секретность, кстати, при подготовке данного документа была лишней. И хотя со мной многие не согласятся (и мы уже дискутировали на эту тему), но все-таки я считаю, что в подготовку документа, тем более устанавливающего правила игры на годы вперед, должны быть вовлечены специалисты совершенного различного профиля и из разных организаций и ведомств. У меня перед глазами пример последних 3-х приказов ФСТЭК и их сравнение с СТР-К и первым четверокнижием по ПДн. Небо и земля. Да, приглашение внешних экспертов - это непростая задача и пускание на самотек (как это, к сожалению, было с основами госполитики по вопросам формирования культуры ИБ в РФ) ни к чему хорошему не приведет. Поэтому я еще 2 года назад сформулировал правила коллективной работы над документами по ИБ.

Упомянутые в новости СовБеза ключевые положения новой Доктрины - это ни о чем. Все тоже самое постулировалось и в предыдущей редакции. Там также говорили о необходимости развития своих технологий, повышения их конкурентоспособности и т.п. А вообще история продвижения темы защиты национальных интересов в информационной сфере началась задолго до текущей геополитической ситуации. Еще в 1992-м году учеными РАН и российских НИИ была подготовлена "Концепция развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России”. Примерно в тоже время Гостехкомиссией России, позже переименованной в ФСТЭК России, был подготовлен проект Концепции защиты информации в системах обработки информации. Оба эти документа уже тогда предлагали развивать и стимулировать отечественных разработчиков в области информационной безопасности, видя растущую угрозу со стороны ряда государств дальнего зарубежья.

Пока еще действующая Доктрина информационной безопасности тоже не обошла вниманием этот вопрос, постулировав необходимость развития отечественных информационных технологий и средств защиты информации, а также сертификацию продукции иностранного происхождения, как гарантию ее соответствия требованиям по безопасности и, в ряде случаев, отсутствия в ней недокументированных возможностей. По сути сейчас мы вновь поднимаем на флаг тезис “Поддержим отечественного производителя”, не предлагая пока никаких конкретных и практических шагов для этого.

Как и 15 лет назад, так и сейчас, остается открытым вопрос о месте Доктрины в иерархии нормативных актов. Она не является федеральным законом и ее положения не обязательны к исполнению. Поэтому, без работы над целой структурой нормативно-правовых актов, которые бы уточняли и развивали положения Доктрины, курс на импортозамещение и обеспечение гарантий при использовании технологий, не имеющих отечественных аналогов, так и не выйдет за набор красивых лозунгов.

Возможно ситуация сдвинется с мертвой точки. По крайней мере сделан первый шаг в этом направлении - в Госдуме приступили к разработке законопроекта "О мерах по обеспечению информационной безопасности Российской Федерации" (кстати, в 2008-м году уже был принят до сих пор действующий одноименный Указ Президента №351, в который последние изменения вносились в июле 2014-го года). Автор проекта, член думского комитета по экономической политике Александр Потапов (почему не комитет по безопасности выступил иницииатором?) предлагает узаконить импортозамещение программного обеспечения, по сути повторив тоже, о чем говорит проект Постановления Правительства, подготовленный Минкомсвязью, но на уровне федерального закона и включив в него вопросы информационной безопасности.

Правда, пока это даже не законопроект, а проект законопроекта, в котором 10 пунктов (защитных мер), которые должны лечь в основу законопроекта. Помимо идеи импортозамещения, в тексте говорится и о резервном Интернет, и о проведении различных исследований, и ряде других "обеспечительных" мер. Но документ очень и очень сырой.

В 2006-м году, был уже один законопроект, который готовился под тем же соусом. В пояснительной записке к нему говорилось, что "программное обеспечение для обработки информации, в том числе составляющей государственную и служебную тайну, в большинстве случаев приобретается у случайных поставщиков и, соответственно, проверку на наличие недекларированных возможностей не проходит, поэтому его применение создает условия для неконтролируемого воздействия на объекты информационной и телекоммуникационной инфраструктуры, где оно установлено". Законопроект "Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры" должен быть снизить риски использования такого ПО (депутаты-авторы преимущественно говорили о продукции Microsoft) и повысить защищенность критической информационной инфраструктуры России. Этот, так и не рассмотренный даже в первом чтении законопроект, был не в пример лучше того, который готовится сейчас. У него была четкая сфера действия, четкий набор мероприятий, раздел про ответственность за несоблюдение и т.п. Но, к сожалению, он так и не был принят. И вот, спустя почти 10 лет, мы вновь возвращаемся к этой теме, но в гораздо худшем по реализации варианте :-(

Но даже если предположить, что депутаты (и приближенные эксперты) разработают и примут упомянутый законопроект, то этого недостаточно для реализации положений Доктрины ИБ (не только новой, но и старой). Ее должен дополнять план мероприятий и разработки нормативно-правовых актов, направленных на реализацию положений Доктрины ИБ. И кто-то должен быть ответственным за реализацию этого плана (как и за срыв сроков этой реализации). Только вот кандидатов на эту роль я не вижу :-( Учитывая ту неразбериху в ответственных за вопросы ИБ в России, учитывая отсутствие координации между ними, учитывая подковерные игры и конфликты даже между подразделениями в одном регуляторе, ждать чего-то стоящего пока не приходится :-( А единый орган исполнительной власти, уполномоченный по всем вопросам информационной безопасности, о котором говорилось в предложениях академиков РАН еще в 1992-м году, так и не создан и, похоже не будет.

Кадр из диафильма "Лебедь, рак и щука"
Главное, чтобы поздно не было...


09.04.15

Singtel покупает Trustwave

7 апреля сингапурская телекоммуникационная компания Singtel (не припомню когда бы сингапурцы кого-нибудь покупали на рынке ИБ) объявила о намерении приобрести частную чикагскую компанию Trustwave за 810 миллионов долларов. Причина проста - Singtel хочет усилить свое предложение Managed Security Services на растущем азиатском рынке. Решения Trustwave в России практически неизвестны ввиду специфичности рынка Managed Security Service. До момента своего приобретения Trustwave сама вела очень агрессивную политику поглощения скупив за последние 5 лет 6 компаний - M86 Security, Mirage Networks, Breach Security, BitArmor, Vericept и Application Security.

В международной ИБ грядет передел

7 апреля стало известно сразу о трех достаточно важных событиях в области информационной безопасности, которые могут иметь далеко идущие последствия и которые, по сути, продолжают историю, ставшей публичной в прошлом году после проведения первых в России киберучений:
  • На RIGF объявили о подготовке проекта конвенции по информационной безопасности для стран-участниц БРИКС.
  • Совет безопасности объявил о начале подготовки новой редакции Доктрины информационной безопасности.
  • В недрах Госдумы готовится проект законопроекта "О мерах по обеспечению информационной безопасности в РФ".
Попробуем разобраться в каждом из этих событий в отдельности и вместе взятых.

Итак проект Конвенции. О ней говорили достаточно давно и то, что она будет принята, у меня сомнений нет. Российские официальные лица потратили немало усилий, чтобы это подписание состоялось уже в этом году (вот только один из примеров). Известно даже, что представлять ее будут в Уфе, на саммитах БРИКС и ШОС, в июле 2015-го года. И хотя между странами БРИКС были определенные разногласия, которые, например, не позволили подписать соглашение о сотрудничестве в сфере международной ИБ между Россией и Китаем в ноябре прошлого года, думаю, сейчас ситуация будет совсем иной. Страны, которые населяет около 1 миллиарда Интернет-пользователей, хотят подорвать монополию США на доминирование в этой сфере, а также в сфере Интернет. 


Тут необходимо сделать сноску. Международная ИБ - это не совсем тоже самое, что привычная нам информационная безопасность. Это скорее свод вопросов, касающихся цифрового суверенитета, управления Интернетом, международного сотрудничества и т.п. Россия в 2013-м году уже приняла локальный документ на эту тему, а еще раньше пыталась провести через ООН проект Конвенции об обеспечении МИБ. Но, как это часто бывает в последнее время, палки нам в колеса вставляли США и проект Конвенции был благополучно, если и не забыт, то убран под сукно ООН. Но Россия свой документ не забыла и продолжала его методически продвигать в среде своих партнеров по различным альянсам и союзам (ШОС, СНГ, БРИКС, ОДКБ и т.п.).

В частности за последнее время Россией были предприняты следующие шаги и инициативы:
  • Неудачная попытка 2011-го года о принятии в ООН правил поведения в области обеспечения МИБ от имени ШОС привела к тому, что в 2014-м году была подписана Душанбинская декларация глав государств-членов ШОС о международной ИБ, после которой в январе 2015-го года обновленная версия правил была внесена в качестве официального документа ООН.
  • Предприняты шаги по подписанию соглашения в области международной ИБ между Россией и Китаем. Само соглашение в прошлом ноябре подписано не было и его подписание перенесли на первую половину 2015-го года.
  • 11 июля 2014 года подписано соглашение между Правительством Российской Федерации и Правительством Республики Куба о сотрудничестве в области обеспечения международной информационной безопасности (вступило в силу 2 января 2015 года).
  • В 2014-м году предприняты шаги по гармонизации законодательства по информационной безопасности в странах ОДКБ. Также в 2014-м году был подписан документ о создании центра противодействия кибербугрозам в рамках ОДКБ. Аналогичный центр в рамках СНГ, о создании которого говорят уже больше пяти лет, пока так и не заработал. А вообще работы по ИБ в рамках ОДКБ начаты были еще раньше. Кстати, в 2014-м году для парламентской ассамблеи ОДКБ был разработан и опубликован интересный словарь-справочник по ИБ.
  • 25 декабря 2013-го года подписано соглашение между Правительством Российской Федерации и Правительством Республики Беларусь о сотрудничестве в области обеспечения международной информационной безопасности.
  • В ноябре 2013-го года, в развитие Концепции было подписано соглашение о сотрудничестве государств – участников Содружества Независимых Государств в сфере обеспечения информационной безопасности.
  • Подписание в 2013-м году соглашения о мерах доверия в киберпространстве с США.
  • Подписание в 2012-м году соглашения о сотрудничестве государств - участников содружества независимых государств в области обеспечения информационной безопасности, а также ряд иных инициатив.
  • Разработка проекта "Правил поведения в области обеспечения МИБ", распространенного от имени государств-членов ШОС в ходе 66-й сессии Генеральной Ассамблеи ООН в 2011 г.
  • Подписание Соглашения между Правительством Российской Федерации и Правительством Федеративной Республики Бразилии о сотрудничестве в области обеспечения международной информационной и коммуникационной безопасности.
  • Подписание 16 июня 2009-го года соглашения (вступило в силу в 2011-м году) между правительствами государств-членов ШОС о сотрудничестве в области обеспечения международной информационной безопасности (текст).
  • Подписание в 2008-м году Концепции сотрудничества государств – участников Содружества Независимых Государств в сфере обеспечения информационной безопасности.
Такая активность по части СНГ, ШОС и ОДКБ, а также заявляемый российскими властями курс на усиление сотрудничества и с другими блоками заставляет нас сделать простой вывод - Россия будет усиливать свою активность в части МИБ и в рамках БРИКС. Заключенное соглашение с Бразилией, начало работ с Китаем, заявление руководителей Совета Безопасности о том, что БРИКС - это один из приоритетов внешней политики России, а также заявления сделанные по результатов саммитов БРИКС на о.Хайнань в 2011-м году и в Дурбане (ЮАР) в 2013-м году, все  это свидетельствует о том, что упомянутая выше конвенция, о которой должны заявить в Уфе, будет принята и Россия будет активно содействовать реализации ее принципов. Если уж не получилось в рамках всей ООН, то в рамках хотя бы 5-ти государств должно получиться. Конечно, если Китай не будет вставлять палки в колеса...



ЗЫ. Что-то длинный пост получился из обычного заявления, сделанного на RIGF :-) Поэтому рассказ о двух остальных событиях я продолжу завтра.

07.04.15

Почему в Интернете вещей так плохо с безопасностью (презентация)

На недавно прошедшей конференции "Интернет вещей" я делал доклад о безопасности IoT, а точнее о том, почему с безопасностью в этом новомодном явлении не так хорошо, как хотелось бы. Основной посыл был простой - при большом количестве стандартов и отсутствии четкого направления развития Интернета вещей, а также большом количестве различных применений и приложений IoT, говорить о его безопасности пока рано. ИБ IoT - это, в лучшем случае, частное решение задачи в отдельных случаях.




Технологические тенденции, влияющие на информационную безопасность (презентация)

Для одного из мероприятий, я готовил презентацию по технологическим тенденциям, которые влияют на информационную безопасность. Выкладываю...




06.04.15

Check Point покупает Lacoon Mobile Security

2-го апреля, компания Check Point объявила о приобретении израильской же Lacoon Mobile Security, которая занимается, как видно из названия, мобильной безопасностью. Детали сделки не раскрываются.

Что общего между ИБ и счастьем? Как измерить неизмеримое?

8 лет назад, когда только запускался этот блог и я придумал ему название "Бизнес без опасность", я хотел в первую очередь писать именно об измерениях информационной безопасности с точки зрения финансов. Но так сложилось, что 8 лет назад эта тема еще не была такой актуальной, а потом мое внимание захватила тема законодательства. Но сейчас наступила активная пора для возвращения к измерениям информационной безопасности в различных ее проявлениях. За последнее время было немало статей написано по данному вопросу, проведено курсов и мастер-классов, организовано выступлений. И вот новый анонс. 15 апреля меня пригласили на нижегородский ИТ-Форум 2020 выступить с темой оценкой эффективности информационной безопасности.


Необходимо отметить, что сейчас, особенно в регионах, наступает непростая экономическая ситуация, которую многие называют кризисом. Что же делать руководству предприятия, которое пытается в условиях нестабильности и будущей неопределенности сократить затраты или изменить их структуру? Под нож пойдут те, кто считается непрофильным для предприятия активом, незарабатывающим денег, а только их тратящих. К сожалению, информационная безопасность – одно из таких направлений, наряду с ИТ или маркетингом. Но деятельность маркетинга видна (хоть и непонятно какая из двух половин маркетингового бюджета приносит пользу). Деятельность ИТ тоже очевидна – а как тогда ходить в Интернет, кто будет менять картриджи в принтере, как почистить место на диске, как побороть медленно работающий Excel?

И только деятельность безопасников вызывает скорее негативную реакцию, чем понимание. Кто читает чужую переписку? Безопасники. Кто заставляет по 20-30 раз на дню вводить пароль в разные системы? Безопасники. Кто настроит скринсейверы таким образом, что они включаются уже через минуту неактивности? Безопасники. Из-за кого медленно работает компьютер и Интернет? Из-за безопасников с их «дурацкими» средствами защиты. Согласитесь, что это правда. Именно так и думает большинство о деятельности большинства безопасников, а точнее о ее видимой стороне.

Чтобы руководство и пользователи предприятия перестали думать об информационной безопасности как о затратном и мешающем подразделении, необходимо уметь показывать свой вклад в общее дело предприятия. Причем неважно, является оно коммерческим и направленным на извлечение прибыли, или государственным или муниципальным и направленным на оказание государственных и муниципальных услуг. Показывать его можно в рублевом выражении (это идеальный вариант) или иных формах, приемлемых для руководства предприятия. Именно об этом и пойдет речь в Нижнем Новгороде.

А причем тут счастье, о котором говорится в заголовке? На самом деле, между ИБ и счастьем очень много общего. Считается, что и безопасность и счастье сложно, а то и вовсе невозможно измерить. Однако это не так; совсем не так. И мастер-класс в Нижнем мы начнем именно с ответа на этот простой вопрос: "Как измерить счастье?" Я попробую показать, что это не так сложно и стоит только задуматься, как ситуация сразу прояснится и станет понятно, из чего состоит счастье каждого из нас, в чем оно измеряется, как меняется ощущение счастья с течением времени и т.п. А уж потом, мы перейдем к более сложной теме - измерению информационной безопасности. Да-да, безопасность измерять чуть сложнее, чем обычное человеческое счастье. Почему? Про это мы тоже поговорим в Нижнем Новгороде.

В прошлом году у меня тоже был запланирован мастер-класс в Нижнем Новгороде. Но по ряду причин я тогда не смог приехать и меня "подменял" Андрей Прозоров. В этот раз я надеюсь, что смогу добраться до ИТ-Форума. Я люблю приезжать в Нижний в апреле - я в Форуме участвую уже не первый раз и мне нравится размах мероприятия; и по количеству участников и по охвату рассматриваемых. Я там выступал и по теме BYOD, и по АСУ ТП, и по облакам. Почти все животрепещущие темы в области информационной безопасности находят свое отражение в программе ИТ-Форума. Что на самом деле неудивительно - нижегородское Министерство информационных технологий и, в частности, сам министр Сергей Кучин, очень серьезно относятся к этой теме и постоянно отслеживают все, что в ней происходит. Это, кстати, не так уж и часто происходит, когда министр по ИТ понимает, что происходит в ИБ. Вот пример одного из докладов Сергея Кучина по данному вопросу (есть и видео) - высвечены реальные проблемы, с которыми сталкиваются многие госорганы и муниципальные предприятия при решении вопросов ИБ. Так что тема ИБ на нижегородском форуме - не дань моде.

ЗЫ. Первоначально предполагалось, что мастер-класс будет ориентирован только на муниципальные предприятия Нижегородской области, но потом мы с организаторами решили, что тема может быть интересна и более широкой аудитории. Поэтому рассматривать будем разные варианты оценке эффективности ИБ - и с точки зрения государственного или муниципального учреждения, и с точки зрения бизнеса, направленного на зарабатывание денег.

ЗЗЫ. Мероприятие пройдет в зале Бетанкура с 13.00 о 16.00.

02.04.15

Ностальгия по обнаружению атак или куда продвинулась российская наука ИБ за 15 лет

Много лет назад, в 2000-м году, я написал свою первую книжку "Обнаружение атак". Да и вообще в те годы я достаточно активно занимался этой тематикой. С тех пор я регулярно отслеживаю последние веяния в этой области. И вот вчера, проглядывая материалы РусКрипто 2015 я наткнулся на СПИИРАНовской доклад "Построение нейросетевой и иммуноклеточной системы обнаружения вторжений", который описывал отечественное исследование, в котором ставились следующие задачи:

  • Создание гибридной схемы обнаружения и классификации сетевых атак
  • Программная реализация нейросетевого и иммуноклеточного модулей для обнаружения атак
  • Сравнение предложенных подходов по критерию эффективности распознавания атак.
Дай, думаю, изучу, куда ушла отечественная мысль за 15 лет? Изучил :-( 

Авторы, сделав традиционный вывод, что сигнатурные системы обнаружения атак неэффективны и нужно применять адаптивные методы, решили пойти проторенным путем, которым разные исследовали ходят уже лет 20 с лишним. Они решили применить для целей обнаружения атак нейросети и карты Кохонена. Ну допустим. Хотя за 20 лет ни одной коммерчески успешной системы, построенное на этих принципах, так и не появилось. Почему-то все системы до сих пор строятся именно на базе сигнатурных (или модифицированных) методов и большинство их создателей стараются снизить время между обнаружением атаки и разработки сигнатуры для нее.

Адаптивные методы тоже применяются, но для упрощения и повышения скорости работы они обычно используют анализ поведения приложений/процессов/файлов в песочнице. А дальше идет сравнение, насколько собранные параметры выпадают в заранее заданные пороговые значения. Работают данные методы неплохо, хотя зависимость от человеческого фактора велика и многие исследования ведутся именно в направлении автоматизации ряда задач (мы даже для этого купили за последнее время пару компаний - Cognitive Security и ThreatGRID).

В исследовании СПИИРАН, на которое, кстати, и денег было выделено по разным грантам, почему-то использовались устаревшие и совершенно неприемлемые в современных реалиях данные.


Почему используются тестовые данные 90-х годов? Почему нельзя взять Wireshark или TCPdump и записать реальный сетевой трафик, который и пускать на вход нейросети? Почему нельзя использовать тот же Metasploit вместо сканера SATAN 90-го года?


Это нетрудно - займет всего несколько часов работы любого сниффера. Ну или несколько дней, если хочется получить более репрезентативную выборку. На это даже бюджетных денег особо не надо. А вот результат должен стать гораздо более интересным и приближенным к реальности. Правда, врядли он будет близким к 99,95% (TP - показатель обнаружения, FP - показатель ложных срабатываний), как в таблице.


Поддержка научных исследований в области ИБ, о которых так много говорилось на РусКрипто, это конечно классно, но все-таки исследования должны быть более релевантными, как мне кажется. Особенно за бюджетные деньги.

Отечественное решение по криптографии для защиты АСУ ТП

Постепенно выкладываются материалы прошедшей РусКрипто 2015. Просматривая доклады, наткнулся на интересную презентацию компании "Инсайд РУС" - "Проблемы обеспечения информационной безопасности в системах промышленной автоматизации". Из доклада это было не совсем понятно, но судя по всему речь шла в том числе и об электроэнергетике, а иначе как объяснить появление там термина "Smart Grid". Хотя проблемы, описанные в докладе, одинаковы для многих отраслей, в которых используются АСУ ТП.



Я уже не раз писал, что одной из пока нерешенных проблем в ИБ АСУ ТП, является обеспечение целостности и конфиденциальности (если предположить, что их нужно все-таки обеспечивать). И вот в докладе "Инсайд РУС" и предлагалось решение этой задачи. По сути была разработана СКЗИ на базе отечественных ГОСТов, которая позволяла реализовывать отечественные криптоалгоритмы в системах промышленной автоматизации.


Ну, думаю, свершилось. Наконец-то. Смогли эффективно реализовать ГОСТы в железе, да еще и с учетом специфики протоколов АСУ ТП, где одно из ключевых требование - низкие задержки (особенно в электроэнергетике). Но потом посмотрел слайд с оценкой результатов работы представленного решения и понял, что до радости пока далеко.


В АСУ ТП важна не скорость передачи данных, а приспособленность к небольшим размерам пакетов (в несколько бит) и отсутствие задержек. А про то, при каких длинах пакетов измерялись вышеприведенные значения, не сказано.

Допустим, у нас есть подстанция, которая передает данные в размере нескольких бит, по каналу 56 Кбит/сек с требованием по задержкам (по стандартам электроэнергетики) 10 в минус 6-ой. И вот как при таких исходных данных, повсеместных в России, будет работать предлагаемое решение? Никак. Ибо такие условия наши ГОСТы по криптографии вообще не в состоянии учитывать :-(  К счастью, и требований по криптографической защите в АСУ ТП пока нет.

30.03.15

Исторические циклы Шпенглера и информационная безопасность

В пятницу в одном из постов на Facebook я упомянул теорию исторических циклов Шпенглера о том, что история развивается не последовательно, а циклами. К сожалению, предыдущие циклы мало чему учат новые поколения и они вновь наступают на те же грабли, что и их предшественники.

Упомянув про Шпенглера, вспомнилось мне, что и в области информационной безопасности цикличность имеет место быть. Вот, например, одна ситуация 17-18-тилетней давности. Я тогда работал в Информзащите и мы только начали выводить на российский рынок решения ISS по обнаружению атак и анализу защищенности. В один из погожих осенних деньков мы стояли на стенде на выставке "Интернетком" и к нам подбежал молодой и, как потом оказалось, очень амбициозный паренек. Сначала он носился по стенду, а потом заявил нам "Ваша система обнаружения вторжений - полная фигня. А я вот придумал технологию на базе нейронных сетей, которая идеальна и лишена всех недостатков присущих сигнатурным системам. Ну и что, что ваша система - лидер рынка? Я скоро всех порву!". Текст, разумеется, недословный - все-таки с 97-го - 98-го года прошло немало лет, но близкий по смыслу и интонации. Не найдя у нас поддержки, паренек убежал, а спустя некоторое время просился к нам на работу :-) Позже он стал генеральным директором одного из российских интеграторов по ИБ, а его "технология" так и осталась на уровне плохо работающего продукта, который не завоевал даже нескольких процентов рыночной доли в России.

Спустя несколько лет, в 2004-м году, на выставке InfoSecurity Russia, к нам на стенд, я уже работал в Cisco, пришел молодой паренек и заявил примерно следующее: "Ваш Cisco Security Agent, использующий несигнатурные методы обнаружения атак, полный отстой. Зато вот я придумал классную технологию HIPS - купите ее у меня, продам недорого!" Мы пытались объяснить этому, безусловно грамотному технарю, что так "слона не продать". Нельзя ругать (да еще и публично) того, кому ты пытаешься впарить себя, свою технологию, свои продукты. Итог предсказуем. Технология так и не была никому продана (а попытки были продать ее не только Cisco) и ее автор создал компанию, которая уже более десяти лет пытается продавать продукт на ее основе. Также не очень успешно. Ну а молодой человек, предсказуемо, стал генеральным директором этой компании по ИБ.

Российский рынок ИБ становился более зрелым, а вот "молодые пареньки" при этом не переводились. Шпенглер был прав :-) Совсем недавно к нам обратился... Кто бы вы думали? Точно! Вихрастый азартный мальчуган Генеральный директор одной из российских ИБ-компаний :-) И предложил он интегрировать его решение с технологиями Cisco, благо API, которые позволяют это сделать у нас немало. Ну ладно, дело полезное. Я всегда был за кооперацию отечественных и зарубежных решений. Но... спустя некоторое время этот генеральный директор стал публично поливать Cisco грязью, обвиняя наши решения в низкой защищенности, работе на спецслужбы и т.п. Ну а про предложение стать спонсором их ИБ-мероприятия я промолчу. Три практически идентичных истории, которых разделяют циклы в 8-10 лет.

Спрашивается, вот какого рожна ты гадишь тому, к кому пришел с целью сотрудничества? Ведь это совершенно банальная и лежащая на поверхности мысль - не порть отношений с теми, кто тебе может помочь и к кому ты пришел сам. А если тебе неприятно с ними общаться, что ж ты к ним приходишь за деньгами? Понятно, что деньги не пахнут. Понятно, что в условиях кризиса становится тяжело выживать. Понятно, что не найдя покупателя на свои технологии и продукты (а это было во всех трех случаях), надо пытаться получить хоть какую-то помощь от более крупного игрока рынка. Но зачем пилить сук, за который ты пытаешься зацепиться?

Сложно сказать, какая судьба ждет этого генерального директора и его компанию, но следуя теории исторических циклов Шпенглера, можно предположить, что ситуация повторится, и как и в двух предыдущих случаях лидером эта компания на нашем рынке явно не станет (как и не является им до сих пор).

Как меня забанили за демотиваторы про 8-й Центр ФСБ

Помнится, когда в прошлом году я опубликовал на Хабре, в нашем корпоративном блоге, заметку про то, как технически можно реализовать контроль доступа в Wi-Fi по паспорту, моя карма была опущена ниже нуля. Как мне потом объяснили, такая заметка была негативно воспринята пользователями, которые, не вчитываясь в технические детали, посчитали, что сама идея доступа к хотспотам по паспорту несет негативный оттенок, как и те, кто про нее пишет.

И вот на днях очередной удар :-) Захожу на сайт, где я иногда делаю демотиваторы и вижу надпись:


За что? Что за фигня? Как можно за такой невинный демотиватор баннить? Ведь большинству специалистов по информационной безопасности, которые сталкиваются с деятельностью 8-го Центра ФСБ, эти персонажи знакомы. Но, видимо, пользователи сайта, где этот демотиватор делался, далеки и от изображенных на демотиваторе людей, и от темы, которому он был посвящен.


Кстати, сделанный в предверии РусКрипто 2015 на том же сайте другой демотиватор такой реакции и бана не вызвал. А ведь он примерно такой же, что и предыдущий. Разве что Зигмунда Фрейда все узнают на фотографии и считают, что написано что-то реально смешное. Хотя надо признать, что я до создания этого демотиватора и не знал, как выглядит Фрейд :-)


И вот этот демотиватор на том же сайте тоже не вызвал бана:


Чем я так неугодил аудитории сайта с демотиватором про руководство 8-го Центра ФСБ? Или это ФСБ меня забанило за этот демотиватор? Конспирологическая версия :-)

В итоге, видимо, вернусь к иностранным сайтам демотиваторов - на них нет никакой оценки картинок. А если и есть, то иностранцам не понять нашего юмора и языка, что дает надежду, что в бан я там не попаду :-)



Только стилистика там немного иная - не используется черный квадрат Малевича и поэтому картинки менее привычны (как мне кажется):


А этот я делал на днях, в предверии 1-го апреля, когда в России должна в полную силу заработать национальная система платежных карт (НСПК). Кстати, на российском бы сайте этот вероятно тоже бы забанили - ни тема многим непонятна, ни изображенные на картинке лица.


Демотиваторы, кстати, интересный инструмент для маркетинга. Мы его перед РусКрипто использовали и, отчасти, именно за счет демотиваторов подхлестнули интерес к панельной дискуссии по импортозамещению, собравшей полный зал.

25.03.15

Впечатления от РусКрипто

В последнее время меня все чаще стали приглашать не столько выступать, сколько вести какие-либо мероприятия по ИБ. Понемногу превращаюсь в шоумена, а это интересный опыт. Он позволяет немного по-другому взглянуть на то, во что обычно превращаются мероприятия по информационной безопасности. В роли ведущего удается реализовать многие вещи, которые сложно сделать будучи обычным спикером. Тут и возможность высказаться, и задать правильные вопросы участникам и в зал, и возможность подвести итоги, а не просто сказать спасибо и разойтись. В общем интересная роль при правильном ее применении :-)

И вот, аккурат на следующий день после ведения двух круглых столов на IDC IT Security Roadshow, я выбрался на РусКрипто 2015, где мне досталась непростая тема - формирование отечественной отрасли ИБ, которую мы начали с набившей всем оскомину темы про импортозамещение.

Битва начинается. Остаться должен только один!

Кто следил в Twitter или Facebook за тегом #РусКрипто2015, тот помнит многочисленные "жабы" и демотиваторы, которым сопровождалась прелюдия к основной битве, которая должна была состояться 19-го марта. Вот только один из них :-)


Разогрев аудитории прошел нормально и на время баталии зал был полон. Сама же баталия и ее итог (на мой взгляд) были предсказуемы. На сегодняшний день импортозаместителям нечего сказать конкретного по теме импортозамещения. Законодательных требований нет (пока нет), государство не помогает, конкурировать нормально с иностранными решениями невозможно, элементной базы своей нет, но локальные разработчики либо нагнетают ("а вдруг отключат?.."), либо выдавливают патриотическую слезу (ездя по прежнему на иностранных авто, пользуясь иностранной бытовой техникой, питаясь преимущественно иностранными продуктами и отдыхая за пределами РФ).

Тема плавно перетекла в Facebook, где набрала еще 200 с лишним комментариев, а также продолжилась еще в двух тредах, связанных с ней. На мой непросвещенный взгляд у нас слишком активно все погрузились в тему полного импортозамещения, забыв про несколько моментов:
  • При отсутствии своей элементной базы, говорить о национальной безопасности, импортозамещении, суверенитете бессмысленно.
  • Говорить об экспортопригодности (а этот термин тоже звучал на РусКрипто) в условиях запрета применения в России иностранного софта вообще затея странная. Ответ иностранцев будет симметричный и ни о какой экспортопригодности и говорить не придется. Достаточно посмотреть, что уже началось, чтобы понять, что иностранцы (преимущественно из Нового Света) молчать не будут. "Банный скандал" с Касперским - это только первая ласточка. И куда тогда продавать свою экспортопригодную ИТ-продукцию? В Китай? Там своего добра навалом. В Белоруссию, Казахстан, Таджикистан?.. Вполне возможно.
  • Импортозамещение - это не замена американского или европейского на китайское или корейское. Импорт - это все, что за пределами РФ производится. Что, в китайской продукции нет закладок? Что, РФ уверена, что Китай не "кинет" или не начнет извлекать выгоду в свою, а не российскую пользу?
  • У нас отсутствует полный спектр замещаемого ПО и железа. Вот если бы он был, тогда разговоры о замене имели бы смысл. Но что делать, когда альтернативы нет, а требование не использовать (если вдруг оно появится) есть? В одной из крупных огосударствленных компаний я видел список того, что может быть заменено отечественными аналогами и что не может. Соотношение 12% против 88% не в пользу отечественного.
  • Упоминать "а что если отключат" можно (и даже правильно), но лично я верю в это с трудом. На то есть одна банальная причина. Если посмотреть на действия США по установлению мирового господства, то они следуют обычно одной из трех стратегий - завоевать, купить и "мягкая сила". Первые две в отношении России не работают и остается только подсаживать Россию на иглу - культуры, технологий, автомобилей, продуктов питания и т.п. Это и есть "мягкая сила". Ну и кто в такой ситуации будет отключать страну, потеряв последнюю возможность установления мало-мальски значимого контроля? Не логично это.
  • Если мы говорим о цифровом суверенитете, т.е. полном импортозамещении, то в условиях, когда свое нельзя продавать на Запад, нельзя использовать западное тут, своих аналогов нет, развивать локальный рынок можно только серьезными государственными вливаниями. Их нет, как и намеков на них. Пока одни разговоры... но не о помощи для своих, а о запрете для чужих. И как тогда развиваться отечественному?
  • Да много чего еще можно привести в качестве доводов не совсем правильно выбранной и звучащей политики импортозамещения. Но повторять 200+ комментариев из Facebook не хочется :-)
На мой взгляд, если уж и говорить о полном импортозамещении, то стоило взглянуть на китайский опыт (хотя многие эксперты говорят, что мы уже опоздали) - сначала создать аналоги, а потом уже замещать импортное. Можно было бы использовать и американский опыт, который заключается не в запрете применения чужого, а в оценке его соответствия определенным требованиям, в т.ч. и требованиям безопасности. У нас же, однако, почему-то все импортозаместители отметают напрочь такую форму обеспечения доверия, как оценка соответствия в форме сертификации по требованиям ФСТЭК/ФСБ. Регуляторов она не смущает, а вот импортозаместителей, которые сами далеко не всегда способны ее пройти, она не устраивает.

Однако здравые идеи рождаются и во коридорах власти. За день до круглого стола по импортозамещению на РусКрипто вице-премьер России Дмитрий Рогозин заявил: "Представьте себе, что перед нами поставлена задача полностью заменить электронно-компонентную базу для всей промышленности. Коллеги, это несерьезно. Это даже американцы не могут себе позволить, при том, что их экономика в десять раз больше нашей". Далее он заметил, что нужна кооперация. Вот за кооперацию ратую и я.

На мой взгляд государство должно четко разграничить сферы, где нужно применять только отечественные технологии, а где можно применять (после соответствующей проверки) и те, которые разработаны за пределами РФ. Я об этом даже писал недавно. А российским разработчикам, которые дальше форков или использования open source под своей торговой маркой пойти пока не могут, я бы посоветовал найти себе нишу, в которой можно очень неплохо паразитировать существовать. С ходу могу придумать три:
  • Оценка соответствия, а точнее автоматизация непростой задачи оценки соответствия объекта защиты требованиям по безопасности. В текущих условиях такие решения могут быть очень и очень востребованными не только регуляторами, но и корпоративными заказчиками, которые хотели бы удостовериться в надежности приобретаемого решения.
  • Средства контроля доступа к настройкам импортных средств защиты или объектов инфраструктуры. Такие решения уже создаются в России, например, SafeRoute или ЭФРОС.
  • Средства профилирования и нормализации сетевого трафика, которые могут быть установлены в прозрачном режиме перед средством защиты или сетевым устройством и контролировать сетевой трафик на предмет "команд на отключение".
Все упомянутые решения позволят не только сосуществовать отечественным и иностранным решениям на рынке, но и реально дополнять друг друга с точки зрения повышения защищенности отечественных корпоративных и ведомственных сетей. Более того, мне кажется, что данные решения будут востребованы сами по себе, без их государственной поддержки и серьезных денежных вливаний (не это ли основная причина шумихи вокруг импортозамещения).

Ну а что касается итогов дискуссии на РусКрипто, то тут судить об итогах не мне. Хотя мне показалось, что участникам со стороны импортозаместителей стоило чуть лучше подготовиться :-) Экспромт он хорошо, когда заранее подготовлен :-) Но шоу удалось, хотя ни к какому финальному решению мы так и не пришли. 




Как и в случае с IDC, я не был на других докладах (в первый день я был у IDC, а во второй с утра готовился к панельной дискуссии, а после нее почти ничего и не осталось "на послушать") и сказать о них мне нечего. Но аудитории, судя по отзывам, все понравилось - и научная часть, и "бизнесовая". Организация, регистрация, заселение, проживание, питание, спортивная и культурная программа... все на уровне. Коллегам из АИС респект. Родилась даже аналогия: "Проведение мероприятий сродни организации ИБ - пока не случится сбоя, не заметишь". Я никаких сбоев не заметил за все 4 дня, что был на РусКрипто. Поэтому гадостей писать не буду (их не было), а колоссальная закулисная работа, которая была проделана организаторами, осталась незамеченной, как и все, что хорошо организовано и идет "как по маслу".

ЗЫ. Предвосхищая вопрос, почему в этом заголовке я пишу про "впечатления", а в заметке про IDC упомянул "follow-up", сразу отвечаю - на иностранной мове правильнее follow-up, а на импортозаместительной - "впечатления" :-)

ЗЗЫ. Да, кстати, тема импортозамещения может получить новое развитие. Под нее можно замечательно списывать любой косяк и раздолбайство. Вот, например, импортные станки за Уралом вдруг стали нули печатать на мониторе и выпускать брак. Аж сама ФСБ занялась вопросом. Теперь можно срыв сроков сдачи космодрома Восточный списать на иностранное оборудование, которое вдруг начало сбоить. Кража миллиардов при строительстве керченского моста тоже можно списать на иностранное оборудование. Да мало ли, что можно теперь будет списать на происки врагов, действующих не своими руками, а через завезенное в Россию многие десятилетия назад оборудование.

24.03.15

СОПИЛКА? СОПИПКА? Нет, СОПКА!

Когда недавно многие издания разразились статьями на тему "ФСБ займется хакерами" я стойко пытался промолчать, не желая влезать в эту тему, но... не удержался :-) Поводом для статей послужила публикация выписки из Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, которая была утверждена Президентом Российской Федерации 12 декабря 2014 г. (на сайте ФСБ и на сайте Совета Безопасности).

На заднем плане сопки Кольского полуострова (снимал в 2008-м году)
Почему-то данный документ, датированный концом 2014-го года, преподносят как нечто совершенно новое и ранее неизвестное. А с чего вдруг? Если мы посмотрим на "Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации", то увидим, что уже там говорится о "силах обнаружения и предупреждения компьютерных атак - уполномоченных подразделениях федерального органа исполнительной власти в области обеспечения безопасности, федеральных органов исполнительной власти, осуществляющих деятельность в области обеспечения безопасности, государственного надзора и контроля, управления деятельностью критически важных объектов и иных элементов критической информационной инфраструктуры, а также физические лица и специально выделенные сотрудники организаций, осуществляющих эксплуатацию автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры на правах собственности либо на иных законных основаниях, принимающие участие в обнаружении и предупреждении компьютерных атак на критическую информационную инфраструктуру, мониторинге уровня ее реальной защищенности и ликвидации последствий компьютерных инцидентов на основании законодательства Российской Федерации". А ведь это 2012-й год!

Спустя полгода упоминание СОПКА мы находим в Указе Президента №31с "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ". А еще про нее говорит законопроект "О безопасности критических информационных инфраструктур". О самой системе специалистам было известно еще раньше, до 2012-го года уж точно. Хотя публично ФСБ о ней заявила (по крайней мере мне известно только об одном случае) только в Магнитогорске, на форуме "Информационная безопасность банков" (доклад делал представитель ФСБ). И тут журналисты открывают Америку :-)

Меня в данном документе СовБеза удивляет немного иное. Почему документ появляется спустя два года с момента принятия Указа 31с? По идее столь концептуальный документ должен был появиться если не одновременно с 31-м указом, то уж точно недалеко от него по времени. Но нет... Спустя два года. А ведь согласно Указу Президента, ФСБ обязана была разработать и более детальные требования, а именно:
  • методику обнаружения компьютерных атак на информационные системы и информационно-телекоммуникационные сети государственных органов и по согласованию с их владельцами - на иные информационные системы и информационно-телекоммуникационные сети
  • порядок обмена информацией между федеральными органами исполнительной власти о компьютерных инцидентах, связанных с функционированием информационных ресурсов Российской Федерации
  • методические рекомендации по организации защиты критической информационной инфраструктуры Российской Федерации от компьютерных атак
  • порядок обмена информацией между федеральными органами исполнительной власти и уполномоченными органами иностранных государств (международными организациями) о компьютерных инцидентах, связанных с функционированием информационных ресурсов.
И где? Если они еще будут разрабатываться, то как-то уж очень небыстро. А если они входят в закрытую часть концепции, то это уж совсем нелогично. А ведь согласно выписке из концепции должен быть разработан еще ряд документов (помимо уже упомянутых два года назад и до сих пор не разработанных):
  • порядок осуществления деятельности субъектов СОПКИ в области обнаружения, предупреждения и ликвидации последствий компьютерных атак
  • порядок и периодичность проведения мероприятий по оценке степени защищенности критической информационной инфраструктуры Российской Федерации от компьютерных атак.

Такая "оперативность" по выпуску основополагающих документов лично меня смущает. Я мог бы объяснить это традиционной секретностью, так привычной 8-му Центру. Но документов реально еще нет. И если бы СОПКА была сугубо внутренним делом 8-го Центра, то и пусть с ним. Но ведь данная система должна внедряться на широком круге объектов - государственных и критически важных. И тут без нормальной методологической базы не обойтись - не та тема.

Очень уж похожа ситуация на принятие 378-го приказа ФСБ по защите персональных данных. О нем впервые заговорили еще в 2011-м году, задолго до появления 21-го приказа ФСТЭК. Но вышел он спустя 3 (!) года с момента появления первого проекта. При этом суть приказа мало чем отличается от первой редакции. Но если с 378-м приказом такая скорость нормотворчества была только на руку многим операторам, то в контексте обнаружения атак действовать надо гораздо оперативнее. А вот с этим у 8-го Центра явно некоторые проблемы.

ЗЫ. Главное, чтобы такой опыт "оперативности" (во всех смыслах) не распространился и на FinCERT, который, как мы услышали в Магнитогорске, будет очень тесно завязан с СОПКОЙ и на техническом и на организационном уровне.

ЗЗЫ. Не удержался :-)