16.07.2012

Сколько CERTов в России?

После появления новости о появлении в сети сайта gov-cert.ru в Facebook и в Twitter началось активное обсуждение этого вопроса. Что можно добавить к этой теме? Ну во-первых, Центр реагирования на компьютерные инциденты в информационных системах органов государственной власти Российской Федерации(GOV-CERT.RU) создан 8-м центром ФСБ, о чем они рассказали на заседании в АДЭ на прошлой неделе. На основное высказывание, что ФСБ не могло предложить PGP для переписки с ними могу заметить следующее. PGP - это некий стандарт де-факто при общении с CERTами/CSIRTами по всему миру. А во-вторых, что можно предложить использовать в качестве альтернативы? Причем альтернативы бесплатной и не имеющей проблем с совместимостью? Допустим, предложила бы ФСБ использовать КриптоПро. А если у госоргана, пострадавшего от инцидента, стоит Инфотекс? Или они используют СигналКом? Или еще что-то сертифицированное и на ГОСТе? Есть ли уверенность, что все эти продукты совместимы? Нет. Поэтому PGP - это нормальный выбор. Никого же не смущает, что ФСБ в своей Веб-приемной принимает через Интернет заявки с персональными данными без какой-либо их криптографической защиты противореча своим же собственным требованиям по обязательному применению шифрования при передаче ПДн через Интернет ;-)

Но GOV-CERT.RU не единственный, кто занимается реагированием на инциденты. Согласно последнему отчету ENISA со списком всех европейских CERT'ов в России таких организаций (исключая новый GOV-CERT) всего три - CERT-GIB, WebPlus ISP и RU-CERT. Первый из тройки был создан совсем недавно. Его основатель - компания Group-IB. B этот CERT - сугубо частный центр реагирования, обслуживающий сторонние организации, а также претендующий на звание "прогосударственного", т.к. именно с ним Координационным центром национального домена сети Интернет было заключено соглашение о противодействии киберугрозам в доменах .RU и .РФ (наряду с подразделением Лиги безопасного Интернета -  фондом "Дружественный Рунет").

Webplus ISP CERT занимается обслуживанием только собственных ресурсов, а вот RU-CERT, претендуя на звание национального CERTа, все-таки таковым не является. Хотя он является первым центром реагирования в России. Я помню мы в АДЭ эту инициативу РОСНИИРОСа обсуждали много лет назад (очень много, т.к. я не помню, было это еще до смены работы или уже после). Однако за эти годы RU-CERT никакой активности не проявлял и я о ней не слышал (хотя это не доказывает, что ее не было). RU-CERT пишет у себя на сайте, что он входит в международные объединения CERTов - FIRST и Trusted Introducer, являясь точко контакта от России. Хотя это не совсем верно. RU-CERT - единственный, кто от России пока входит в FIRST, но неединственный, кто входит в Trusted Introducer - CERT-GIB и Webplus ISP тоже туда входят ;-) Разница только в том, что RU-CERT имеет статус аккредитованного, а CERT-GIB и Webplus просто в списке CERT'ов. Но на работу это никак не влияет.

Итого, пока весь мир знает только 3 российских CERT'а. Еще один (GOV-CERT.RU) в процессе формирования. С ним правда много неясностей. Телефон почему-то мобильный указан (хотя это и некритично). Реагируют они только с 9.00 до 18.00 (наверное время московское) и только в рабочие дни. Домен у них зарегистрирован на "Р-Альфу" (бывшая "Релком-Альфа"), которая владеет и RU-CERT'ом. Ну да ладно, они в начале пути. Думаю, что у них получится.

А скоро в России может появиться и еще один CERT. АРСИБ создает такую структуру. Правда непонятно, на кого он будет ориентирован. То ли это локальный центр мониторинга угроз будет, то ли центр распространит свою работу на страны СНГ... Ждемс...

ЗЫ. Кстати, CERT - это торговая марка Университет Карнеги-Меллона (они первый создали CERT/CC) и чтобы ее использовать необходимо получить соответствующее разрешение, которое в России получил только CERT-GIB.

7 коммент.:

Dmitry K Kostrov комментирует...

ж) ввод в эксплуатацию первой очереди Ситуационного центра единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов;

Dmitry K Kostrov комментирует...

ж) ввод в эксплуатацию первой очереди Ситуационного центра единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки уровня реальной защищенности ее элементов;

Дмитрий комментирует...

А можно прокомментировать фразу -
"Никого же не смущает, что ФСБ в своей Веб-приемной принимает через Интернет заявки с персональными данными без какой-либо их криптографической защиты противореча своим же собственным требованиям по обязательному применению шифрования при передаче ПДн через Интернет ;-)"?
Эти требования существуют для негосударственных ИСПД?

Алексей Лукацкий комментирует...

Dmitry Kostrov, ну это только обещают и CERTом это не будет в общепринятом понимании. Тогда и вирусную лабораторию ЛК можно CERTом назвать (Саша Гостев вообще говорит, что они больше чем CERT).

Дмитрий, а в чем комментарий? У ФСБ позиция, что передача ПДн через Интернет - это всегда применение шифрования, не взирая на тип оператора ПДн.

Михаил Емельянников комментирует...

Меня, например, смущает, и очень сильно. Равно как https на всех госсайтах. И клиентов моих очень смущает - они тоже так хотят.

Алексей Лукацкий комментирует...

Михаил, а что вам мешает сделать официальный запрос в ФСБ с просьбой разъяснить позицию? ;-) Или инициировать такой запрос от клиентов ;-)

Михаил Емельянников комментирует...

Реакция на этот же вопрос, задаваемый в устной форме