11.06.2010

О паранойе, вселенском заговоре и многом другом

Работа конференции ВУЗов, имеющих специальности по ИБ, завершилась. Могу подвести первые итоги. По новым госстандартам 3-го поколения отпишусь подробнее попозже, а сейчас расскажу о конференционной части. Доклады были интересные и не очень (первых больше). Видно, что ВУЗы несмотря на полное неприятие их работ регуляторами в лице ФСТЭК, ФСБ, МВД и т.п. занимаются по различным грантам, НИРам, заказам такими вещами, которые не соответствуют действующей политике государства в области ИБ. Работа по линии ПЭМИН, криптографии, криптоанализу, распознаванию речи ведутся очень активно. Некоторые ВУЗы автоматизируеют результаты своей деятельности. Например, в ТУСУРе разработали программу по автоматизации процессе классификации и моделирования угроз в рамках ФЗ-152, создав некий аналог Wingdoc ПДн.

Было пару о-о-очень дискуссионных докладов. Один выступал от МЭСИ (Баяндин Н.И.), второй якобы от ФАИТ (хотя его доклад не имел никакого отношения к месту его работы в отделе удостоверяющих центров). Баяндин рассказывал про читаемый ими в МЭСИ курс по деловой разведке и попытке сделать из этого официальную специализацию в рамках госстандарта. Нареканий на эту программу обучения было много. Одно из них заключалось в том, что готовящиеся специалисты могут работать как на благо государства, так и во вред. Т.к. умение аккумулировать из разрозненных открытых источников информацию приводит к созданию аналитических отчетов, которые по совокупности могут содержать гостайну. Второй вопрос связан с нарушением ФЗ-152. Все-таки сбор сведений о гражданах без их согласия нарушает закон о персданных. На что выступающий, не раз отмечая, что закон они не нарушают, в данном случае заявил, что ФЗ-152 неработает, прецедентов пока нет и что они все равно будут собирать ПДн без согласия ;-)

Второй выступающий (от ФАИТ) говорил о проблемах ИБ. Интересный доклад, суть которого может быть выражена примерно следующим: американцы - сволочи, придумали Интернет, распространили его по всему миру и теперь все находятся под колпаком у спецслужб США. Дальше больше. Все протоколы Интернет - американские, оборудование - тоже американское, операционные системы американские, закладки на закладках, демократия под угрозой. Операторы связи тоже сволочи, т.к. не заботятся о безопасности клиентов, а только стригут "бачки" (как выразился выступающий). Интеграторы - некомпетентны и их надо привлекать к ответственности за продажу некачественного товара (некачественный - это тот, в котором, по мнению выступающего, могут быть в теории закладки), выпускаемые в России книги иностранных авторов - это псевдонаучная шелуха, засорящая и обманывающая молодые умы...

Все бы ничего, если бы не два аспекта. Признание неспособности России выпускать адекватное ПО и железо всем известно. Но когда его делает представитель ФАИТ (а именно от этого ведомства выступал оратор), то возникает вопрос? А что же делает ФАИТ, как головное ведомство по развитию ИТ в России? На эту тему профессор Преображенский хорошо высказался в "Собачьем сердце" (монолог про разруху и большевиков).

Второй момент связан с самой постановкой проблемы. Любой специалист признает, что на недоверенных элементах сложно строить защищенную систему с гарантированным уровнем ИБ. Но советовать всем выбросить Microsoft, Linux (как низкозащищенную приманку со стороны американских спецслужб; видимо про то, что на базе этой ОС разработаны МСВС и другие "наши" ОС автор не знает), Cisco и продукцию других западных вендоров - это верх умстевнной работы. Заменить-то на что? Оратор предложил вернуться к MS DOS, как к проверенной спецслужбами системе. И видимо оратор не знает, что выбор платформы должен зависеть не от желания спецслужб (это логично только для госорганов и критически важных объектов), а от стратегии управления рисками заказчика. Готов он принять риск использования недоверенной платформы - пожалуйста. Не готов - предложите ему альтернативу. А ее-то и нет. Правда, даже если принять "умную" идею о возврате к MS DOS, то у любого грамотного специалиста возникает другой закономерный вопрос. Раз спецслужбы пекутся о защищенности ОС, то наверное стоит и системотехнику предлагать тоже отечественную и тоже проверенную. Но ее вообще у нас нет. Штучная сборка, пожалуйста. А вот серийного производства, увы... В общем представитель ФАИТ, как бывший сотрудник ФАПСИ, показал свою компетенцию в области
 ИБ для граждан и общества. А то, что он представитель головного ведомства по ИТ в России говорит и о будущем информационных технологий в России.

ЗЫ. А еще по мнению представителя ФАИТ, а по совместительству преподавателя трех московских ВУЗов, NetBIOS - это протокол доступа к BIOS по сети ;-)

ЗЗЫ.  И в заключение, оратор из ФАИТ очень много ругал Cisco. Из наиболее одиозных высказываний можно отметить одно. Cisco непрофессиональная в сетевых технологиях компания потому что выпускники ее сетевых академий считают, что стек протоколов TCP/IP состоит из 4-х уровней, а оратор написал книгу, в которой описано 5 уровней. А второе доказательство незнания сетей в том, что Cisco переводит термин "Voice over IP" как "голос поверх IP", в то время как надо переводить как "речь поверх IP". Ну про понимание оратором NetBIOS я написал выше.

11 коммент.:

Dmitry Evteev комментирует...

>> ЗЫ. А еще по мнению представителя ФАИТ, а по совместительству преподавателя трех московских ВУЗов, NetBIOS - это протокол доступа к BIOS по сети ;-)

%))) жгут

e1am0 комментирует...

"ё**ный стыд" как-то так по моему. видимо гражданин из советского нии )))

больно конечно такое читать, но такой непрофессионализм встречается во многих областях. отрицательный отбор работает. не знаю как ты, я вот с положительным отбором сталкиваюсь гораздо реже. просто в разы

Евгений Родыгин комментирует...

Так же наблюдаю тенденцию, когда "молодеж" обгоняет на 3 порядка не только "среднюю температуру по стране" но и так называемых "регуляторов".
Но тут беда в том, что "продвинутому хацкеру" некуда податься !!! Мало быть перспективным - нужно иметь среду в которой можно реализоваться...

В связи с этим только максимальная интеграция в мировое сообщество позволит держаться на плаву.

В случае наличия "национальных заборов" предвижу развитие интеграционных процессов что называется на стороне ! Другими словами "Без вас обойдемся" только бы удила были не крепкие...

Baevsky комментирует...

Прямо, материализация известного персонажа из "Понедельника" Стругацких.

Алексей Волков комментирует...

О май гадэбл, как бы сказали герои передачи "Дашь Молодежь". Уважаемые товарищи очевидно совсем увлеклись обезопашиванием всего и вся, и впали в глубокую, всепоглощающую паранойю... И совсем забыли про то, что ИБ - это "обеспечивающая" отрасль, основной задачей которой является не выдергивание сетевых шнуров и форматирование жестких дисков, а достижение оптимального баланса между необходимостью скорейшего инновационного развития государства и бизнеса, и соблюдением мер безопасности. MSDOS, конечно - серьезная инновация :)

ivlad комментирует...

Евгений Родыгин, податься специалисту всегда есть, куда. Просто не надо думать, что ФСТЭК, ФАИТ и проч. имеют хоть сколько-нибудь значительную уникальную компетенцию в области безопасности. В той части, во всяком случае, которая применима в реальной жизни.

Kronin комментирует...

Ржунимагу пишы ИСЧО!!!!!!! ;-)

Евгений Родыгин комментирует...

2 ivlad
"Просто не надо думать, что ФСТЭК, ФАИТ и проч. имеют хоть сколько-нибудь значительную уникальную компетенцию в области безопасности"

Ну я бы не стал так говорить... у ФСТЭК есть серьезная компетенция. Она не оценивается количеством записей в базе антивируса, если Вы понимаете о чем я...

Mihail комментирует...

Одновременно и смешно, и жутко... перспективы пугают. Одно дело это компетентность самого докладчика из ФАИТ, но его же кто-то отправил на конференцию?! И его коллеги наверное ознакомлены с его доклададом. Так получается это не только его мнение, "их" много %)

Алексей Лукацкий комментирует...

Судя по всему, это личная инициатива данного г-на. Ибо он выступал по своей курсовой в Академии Генштаба трехлетней давности. Слова и картинки те же. И опять же в ФАИТ он сидит в другом отделе, который к ИБ имеет опосредованное отношение.

ЕвгенийКР комментирует...

Рисков ИБ очень много, вот только практически они реализуются не в достаточном объеме. Для примера возьмем косвенную работу сотрудников МВД, ФСБ и т.п. В России по полной пошло распространение порно-баннеров с вымогательством денежных средств. Не понимаю как так получается, известен получатель и счет на кого уходят деньги, почему нет борьбы. Проблема острая. Тут же это говорит, что и антивирусные компании не справляются со своими задачами. Проблемы вирусных угроз у нас перед глазами ) Взял одно узкое направление, не нужно лезть в глубины БИОС. Где под вирусом может быть троян.