31.1.13

Новые стандарты обмена данными между системами обнаружения вторжений

Рассказывая о том, почему в России будет сложно (мягко говоря) создать работающую систему обнаружения атак федерального уровня, я упомянул отсутствие поддержки у большинства современных средств обнаружения атак, которые могли бы лечь в основу системы, которую будет строить ФСБ, протоколов обмена сигналами тревоги STIX и TAXII. Но сначала хочу еще раз напомнить, что у ФСБ существует отторжение к продукции иностранного производства, а значит костяк системы, описанной в Указе 31с, должны составить именно отечественные поделки. Я, если честно, не очень верю в способность разработки системы обнаружения вторжений в России. Я не верил в это в 2003-м году, когда писал соответствующую статью для PCWEeek, не верю и сейчас. С тех пор ничего не поменялось - компаний, которые были бы способны поддерживать инфраструктуру для изучения атак и создания сигнатур у нас как не было, так и нет. На эту роль могли бы потянуть Лаборатория Касперского, Доктор Веб и Positive Technologies, которые ведут схожие исследования в области антивирусной защиты и поиска уязвимостей, но о своих планах ухода в сегмент IDS/IPS они не заявляли.

Но вернемся к STIX и TAXII. Инициатиром разработки этих двух стандартов стала компания MITRE, известная своим стандартом CVE. Она же "шефствует" над OVAL, CCE, CEE, CME, CWE, CPE, CRF, CAPEC, SCAP, CVSS и XCCDF. Но если все эти стандарты были ориентированы в первую очередь на управление уязвимостями, то STIX и TAXII направлены на обмен информацией об угрозах.

Идея STIX достаточно проста - слишком уж много в последнее время появляется угроз уровня APT и необходимо оперативно обмениваться информацией о них. нельзя сказать, что раньше такого обмена не было, но он был не стандартизован. Каждое ведомство или компания использовали какие-то собственные наработки, непозволяющие эффективно коммуницировать между собой. Язык STIX должен устранить этот недостаток. Он позволяет унифицировать описание различных угроз и связанных с ними параметров - индикаторы атаки, информация об инциденте, используемый для атаки инструментарий или уязвимости, предполагаемые меры нейтрализации атаки, информация о предполагаемом противнике/нарушителе и т.п. А вот идея TAXII заключается в унификации способов обмена информации об угрозах, описанных с помощью STIX.

В целом картина выглядит достаточно логично и целостно. И очень удачно она ложится на задачу, поставленную указом 31с.  Есть источники информации об атаках, есть аналитики, есть методика ликцидации последствий атак, есть инфраструктура обмена информацией между ведомствами...


Вот только воспользуется кто-то у нас наработками MITRE, которые могут стать общепринятыми стандартами, или мы опять будем изобретать велосипед?.. Вопрос открытый.

Военные активизировались в области кибервойн

Про интерес МинОбороны к кибервойнам я уже писал год назад. А тут набрался еще ворох новостей по данной теме. Примерно через месяц после опубликования моего поста и примерно через три месяца после написания стратегии МинОбороны по ведению кибервойн, вице-премьер Рогозин рассказал о планах создания в России киберкомандования, которое займется обеспечением информационной безопасности армии и всей инфраструктуры государства.

Вчера Рогозин вскользь заявил, что в курируемой им Военно-промышленной комиссии при Правительстве РФ формируется совет по автоматизированным системам управления, связи, разведки, радиоэлектронной борьбы и информационному противоборству! Вице-премьер назвал это направление одним из приоритетнейших.

Вчера же Рогозин заявил, что ОАО "Корпорация "Системы управления" будет отвечать за вопросы кибербезопасности для Вооруженных сил и оборонно-промышленного комплекса. Дословно это звучало так: "В ее составе мы собрали ведущие НИИ, разрабатывающие АСУ для родов и видов Вооруженных сил и Оборонно-промышленного комплекса. "Системы управления" также сориентированы нами на работы в области кибербезопасности". Могу сказать, что в числе НИИ, входящих в "Системы управления", есть небезызвестный в области ИБ Концерн "Системпром", выпустивший не только немало очень специфических средств защиты, имеющих сертификаты ФСТЭК, ФСБ и МинОбороны, но и занимающийся различными исследованиями в этой области. Работами в области ИБ также занимается НИИ "Масштаб", НИИИТ, Интелтех.

Так что думаю, этот год станет знаковым с точки зрения разработки основных постулатов стратегии информационного противоборства (кибервойны).

30.1.13

О кибербезопасности в прямом эфире

Запись сегодняшнего прямого эфира по кибербезопасности.

Cisco покупает Cognitive Security

Сегодня Cisco анонсировала приобретение частной чешской компании Cognitive Security, занимающейся исследованиями в области сетевой безопасности и анализом угроз, а также выпуском высокопроизводительных продуктов по анализу аномальной сетевой активности. Детали и размер сделки не разглашаются.

Законопроект о регулировании Интернет - попытка №3

В 2010-м я писал про законопроект по регулированию Интернет депутата Шлегеля. И хотя к теме информационной безопасности он имел опосредованное отношение, в нем были зафиксированы определенные интересные моменты. Выпущенная в тот же период версия законопроекта Минкомсвязи была более жесткой - начиная от обязательной паспортизации Интернет-пользователей и обязательством шестимесячного хранения логов и заканчивая различными поправками в УК по части ответственности за фишинг и иные угрозы. В результате жесткой критики не только самих законопроектов, но и вообще идеи регулирования Интернет, эта тема поутихла, но власти от нее не отказались, а после арабских весен задумались о регулировании вновь.

Началось все с темы защиты детей от негативной информации (причем сам закон в большей степени говорил о традиционных СМИ и в меньшей об Интернет, но почему-то Роскомнадзор весь свой пыл бросил именно в Сеть, напрочь забывая про порнуху, фильмы с суицидом и наркотой по ТВ). И вот на днях на свет вновь появилась идея законопроекта о регулировании уже не отдельных аспектов электронных коммуникаций, а всего Интернет. Причем не в виде поправок в трехглавый 149-ФЗ, а в виде отдельного закона. В сети уже появился текст концепции этого законопроекта, который приписывается Лиге Безопасного Интернет (она же продвигала закон о защите детей, от реализации которого ее потом отодвинули), и поэтому я не раскрою тайны, если пройдусь по нему.

Согласно Концепции "впервые законопроектом очерчивается круг субъектов правоотношений в российском сегменте сети Интернет, устанавливаются их права, обязанности, а также ответственность за действия (бездействие) в сети Интернет". Честно говоря меня всегда удивляла эта глупая идея властей очерчить границы в Интернете и сказать, вот тут российский Интернет, а тут европейский. Как они себе это представляют? Поставить великий русский березовый щит? Но дело даже не в технологии. В чем смысл этой идеи? Разделить сайты в домене .рф или .ru от остальных? Ну так что мешает врагу советской власти зарегистрировать домен в зоне .com и размещать свою хулу на власти там? Ничего. Речь скорее может идти о законопроекте, который направлен на совсем иное. И про это, кстати, прямо сказано в преамбуле концепции - "Настоящий законопроект направлен на персонификацию ответственности субъектов правоотношений, связанных с использованием сети Интернет, для обеспечения равных прав и возможностей граждан в сети Интернет". Т.е. по сути речь пойдет об ответственности тех, кто идет против правил, устанавливаемых властями. А это не только пользователи, но и компании, которые сейчас не подчиняются требованиям закона "О связи" - компаниям Facebook, Google, Яндекс, Mail.ru и т.п. А ведь это очень серьезные игроки, влияющие на общественное мнение россиян, которые никому неподвластны.


Дальше авторы в качестве мотива создания отдельного законопроекта называют необходимость защиты персональных данных, конфиденциальной информации и иной, защищаемой законодательством информации, обеспечение ИБ в сети Интернет, а также защита граждан от вредоносной информации. Тут все ясно для тех, кто знаком с законодательством. Регулировать защиту персональных данных в Интернет отдельным законом - идея бредовая и нарушает основы юриспруденции. Если уж хотите защищать - меняйте ФЗ-152. При этом там и придумывать ничего не надо - берите новую редакцию Евроконвенции и вперед, внедряйте в ФЗ-152.

По защите конфиденциальной информации у нас есть ФЗ-149 - все изменения надо вносить в него. Тем более, что у нас многие и не-Интернет-вопросы с защитой конфиденциалки не решены, а мы (точнее они) на Интернет замахнулись. Что такое "иная информация", отличная от конфиденциальной, я не знаю. Гостайна у нас регулируется отдельным законодательством, а открытую информацию вроде как и защищать не нужно (или Лига Безопасного Интернет вместе с депутатом Шлегелем решили поднять руку на святое и заняться не только обеспечением конфидениальности, но и целостности и доступности общедоступной информации?..). Что там осталось? Только защита граждан от вредоносной информации. Сначала защитили детей, теперь и остальных граждан. Только вот от чего? От порнухи? От рекламы наркоты? От рекламы суицида? Смешно.

Но вернемся к законопроекту. Текста там пока нет - только структура законопроекта, насчитывающего 32 статьи."Наших" там только 4 статьи в 5-м разделе:
  • защита участников взаимодействия в сети Интернет от информации, распространение которой в РФ запрещено
  • защита авторских и интеллектуальных прав в сегменте РФ в сети Интернет
  • защита персональных данных и иной информации ограниченного доступа в сети Интернет
  • особенности обеспечения информационной безопасности отдельных элементов сегмента РФ в сети Интернет.
Остальные статьи касаются прав и обязанностей участников сети Интернет, особенностей регулирования e-mail, СМИ, электронной торговли, электронной подписи, рекламы, социальных сетей и трансгранички. Т.е. безопасность - там лишь малая толика и то для видимости. На самом деле законопроект ставит перед собой задачу зарегулировать остающийся пока свободным Интернет и сделать его подконтрольным властям. В этом же направлении движутся и другие внутренние и международные законотворческие российские инициативы.

29.1.13

Как я пытался исправить сайт ФСТЭК

Первой заметкой этого года стала новость про смену сайта ФСТЭК. Выглядит, конечно, убого, а пользоваться им совершенно неудобно. Попытка оправдать это фразой "привыкнешь" лишний раз говорит о том, что действительно не удобно. К сайту не надо привыкать, как и к мобильному телефону. Он либо удобен и эргономичен, либо нет. Так вот вместе с постом в блоге я решил написать и разработчикам этого сайта. Оказалось, что все сайты госорганов мониторятся с единой площадки "ГосМонитор" и чтобы прокомментировать любой из сайтов отечественных чиновников надо сначала зарегистрироваться на этом сайте.

Вообще с точки зрения безопасности этот сайт тоже требует отдельной заметки. Расскажу только об одном аспекте. При вводе пароля вам помогает подсистема оценка его стойкости. Очень полезный инструмент, скажу я вам... если сделан грамотно. Кто творил эту поделку я не знаю, но подозреваю, какой алгоритм в нее заложили - он проще некуда. Если длина пароля меньше 6 символов, то его надежность неплохая. Никакой проверки последовательности нажатия клавиш, комбинации букв и цифр, регистров и т.д. На скриншоте показан вариант, когда пароль "123456". По мнению авторов "ГосМонитора" это неплохой пароль ;-)


Но пойдем дальше. Я написал разработчикам примерно тоже, что и в блоге и получил следующий ответ. "Здравствуйте. Информационные ресурсы сайта по составу и структуре тематических рубрик соответствуют Указу Президента Российской Федерации от 10 августа 2011 г. N 1067 «Об утверждении перечня информации о деятельности Федеральной службы по техническому и экспортному контролю, размещаемой в сети Интернет» и приказу ФСТЭК России от 20 октября 2011 г. N 542 «Об утверждении перечня разделов, включаемых в состав официального сайта ФСТЭК России в сети Интернет» с изменениями, утвержденными приказом ФСТЭК России от 23 марта 2012 г. N 31. Изменения в структуру вносятся приказным порядком - поэтому это не так просто. Ваше предложение обоснованно и данная проблема известна - в этом направлении будет проведена работа. Извиняемся за неудобства. Спасибо за Ваше предложение. В уважением, администратор официального сайта ФСТЭК России."

Непросто оказывается живется сайтам госорганов. Если мне, что надо сделать на сайте Cisco, я прошу и мне это делают в течение дня. А тут все запущено. Структура и наполнение сайта утверждены высоким указом Президента России, отойти от которого ни-ни. Зная, что Президент у нас пользуется бумажным блокнотом вместо изобретений автоматизации человеческого труда, можно предположить, как он воспримет предложения по изменению информационной архитектуры сайта какого-либо госоргана. А жаль...

28.1.13

Российские инвесторы вкладывают в западную мобильную безопасность

Известная инвестиционная компания Runa Capital, основателями которой являются россияне, инвестировала около 5 миллионов долларов в израильскую компанию Cellrox, которая разрабатывает решение по созданию на мобильном устройстве нескольких независимых профилей (для работы, для дома и т.п.), позволяющих не смешиваться данным, приложениям и т.п. Этакая виртуализация в рамках мобильного устройства.

Для Runa это первая инвестиция в компанию, занимающуюся безопасностью. В числе других инвестиций Runa - Яндекс, Parallels, Softline, Acronis.

Среди других участников сделки - Previz VenturePartners, Columbia Technology Ventures, а также Александр Туркот, бывший директор IT-кластера центра "Сколково".

Что же такое кибербезопасность?

Возвращаясь к теме стратегии кибербезопасности, о которой начали говорить в прошлом году, хочу обратиться к очень интересному стандарту, который описывает это понятие и его связь с другими, более привычному российскому уху терминами их области информационной безопасности. Речь идет о стандарте ISO/IEC 27032:2012 Information technology -- Security techniques -- Guidelines for cybersecurity, который был принят в июле прошлого года.

В этом стандарте не стоит искать откровений и вселенской мудрости. Однако он дает четкое понимание связи термина cybersecurity (кибербезопасность) с сетевой безопасностью, прикладной безопасностью, Интернет-безопасностью и безопасностью критичных информационных инфраструктур с точки зрения западных специалистов. В стандарте приводится вот такая картинка, которая визуализирует связь различных терминов.



И сразу становится понятно, что кибербезопасность и так нам привычная информационная безопасность - это совсем не одно и тоже. И безопасность критичных информационных инфраструктур хоть и связана с кибербезопасностью (так как ее понимают во всем мире), но только частично.

Киберпреступность (cybercrime) же вообще стоит особняком и не имеет никакого отношения ни к информационной безопасности, ни к кибербезопасности. Также как и понятие cybersafety, которая в России не имеет прямого и емкого перевода, но смысл его таков - безопасное поведение в киберпространстве и, в первую очередь, защита детей от негативной информации в Интернет. В России эта тема имеет скорее отрицательный оттенок, что связано с "законом о черных списках" (ФЗ-139), но это не совсем верно. Немало организаций ведет очень важную работу в этой связи - это и Центр безопасного Интернета, и Фонд "Дружественный Рунет", и проект i-Deti, и Фонд развития Интернет, и Google, и линия помощи "Дети Онлайн" и многие другие.

Собственно разброд и шатания на заседании в Совете Федерации, где обсуждалась тема разработки стратегии кибербезопасности России как раз и связана с тем, что каждый специалист, присутствующий на мероприятии (операторы связи, Минкомсвязь, Совет Безопасности, интеграторы, производители, научное сообщество, ВУЗы и т.п.) вкладывает в термин "кибербезопасность" свой смысл и в итоге получается смешение несмешиваемого в одной куче. В итоге в предварительный проект этого документа включили почти все предложения звучавшие на встрече и получился ералаш, с которым надо что-то делать ;-(

Хотя предвижу,  что данное деление, предложенное в ISO 27032:2012, также будет воспринято не всеми. И если мы пойдем своим путем и будем придумывать свое толкование так любимого на Западе термина кибербезопасность, то можем в будущем столкнуться с тем, что нас перестанут понимать иностранные специалисты, с которыми мы сейчас пытаемся найти общий язык. Зато такая нестыковка позволит благополучно существовать департаменту по международной ИБ, который создается в Министерстве иностранных дел. Для дипломатов же милое дело начать с обсуждения общих понятий ;-)

25.1.13

Почему банкирам стоит ехать в Магнитогорск?

С 11-го по 16-е февраля в Магнитогорске традиционно проходит Уральский форум по банковской безопасности. И каждый раз перед его началом идут споры - надо ехать или не надо; будет там скучно или все-таки смысл есть? Могу поделиться своим мнением о том, стоит или нет.

Во-первых, это первое крупное мероприятие после того, как в прошлом году с 1-го июля заработала 27-я статья ФЗ-161 и выпущенные под нее документы Банка России - 382-П и 2831-У. Да, была осенная конференция по НПС, но... преимущество нынешнего мероприятия в том, что уже наработана полугодовая практика применения документов ЦБ, получена статистика по инцидентам. Все это должно быть озвучено в Магнитогорске (я надеюсь), а также планы по развитию законодательства по защите информации в НПС. Со стороны ЦБ будут участвовать директор департамента регулирования расчетов Прохоров Р.А. и его заместитель Курило А.П.

Но помимо НПС никуда не делась тема СТО БР ИББС. И после периода затишься и неопределенности появляется ясность по тому, как будет развиваться СТО в ближайшем будущем. Какие новые документы появятся в 2013-м году? Надо ли будет проходить самооценку и отправлять ее в ГУБЗИ? Когда появится новая версия СТО? Будет ли в ней учтена тема ПДн? На эти вопросы должны быть даны ответы тоже высоким представительством со стороны ГУБЗИ. Едут начальник ГУБЗИ Крылов О.В. и его заместитель Сычев А.М.

Помимо выступлений о банковском регулировании ИБ со стороны ЦБ должны быть интересные доклады со стороны ФСТЭК и РКН (за ФСБ не уверен). У ФСТЭК к этому моменту должен появиться финальный вариант проекта приказа по ПДн (а может и утвердят уже), а РКН сможет поделиться статусом по принятия законопроекта об увеличении штрафов, а также рассказать о своем новом документе по обезличиванию. Может быть и ФСБ что-то скажет по своему проекту приказа по ПДн (там тоже уже финишная прямая). Ну и наконец, будет выступление от АБИСС и я думаю ее представитель расскажет и о работах по переводу PCI DSS на русский язык, что тоже немаловажно и вызывает немало вопросов. Кстати, в программе заявлен доклад ЦБ "О подходе к стандартизации вопросов ИБ в виртуальных средах". Значит ли это, что ЦБ готовит стандарт по безопасности виртуализации? Об этом тоже, надеюсь, узнаем в Магнитогорске.

С точки зрения формата мероприятия в этом году также произошли некоторые изменения. Во-первых, в первый день будет организован круглый стол "Диалог с регулятором", на котором все регуляторы (ДРР, ГУБЗИ, ФСТЭК, ФСБ, РКН) будут поставлены перед рядом непростых вопросов из зала. Во-вторых, в последний день меня попросили вести практический день, в рамках которого будут представлены несколько мастер-классов по животрепещущим вопросам ИБ. Если все получится так, как задумано, то мы попробуем уйти от обычных презентаций с говорящей головой, а устроим движуху с демонстрациями и практикой. Правда, времени выделяется на каждый мастер-класс не так много, но первый опыт все-таки...

Лаборатория Касперского будет показывать работу одного из нашумевших банковских троянцев и методы его анализа. Известные конкуренты - Digital Security и Positive Technologies, которые не так давно схлестнулись в LinlkedIn, сойдутся и в Магнитогорске и будут демонстрировать как атаки на ДБО, так и уязвимости в них. Должно быть также интересно. Диалог-Наука традиционно будет показывать, как использовать Интернет для конкурентной разведки. Сколько раз уже видел выступления Масаловича, но каждый раз интересно.

Также была идея провести несколько мастер-классов на темы, напрямую несвязанных с ИБ, но связанных с деятельностью безопасника. Как готовить презентации для руководства? Как повысить узнаваемость своего личного бренда? Как все успевать в наше сумасшедшее время? И т.п. Но не получилось - слишком много желающих выступить с основным контентом. Поэтому пока в программу включен только один доклад - "10 простых правил хорошей физической формы современного безопасника" ;-) Посмотрим, что получится и вызовет ли интерес данный формат. Если да, то может быть попробуем его развить на других мероприятиях по ИБ (наметки есть, где это все замутить).

Что касается остальных докладов, то их тоже будет немало - от вендоров, интеграторов, банкиров. Тут ничего заранее предсказать нельзя. И рекламный доклад  вендора может быть интересен и независимый доклад банкира может быть совсем скучным. Раз на раз не приходится. Если провести анализ заявленных тем (правда, сейчас в программе есть далеко не все из них), то картина получается следующая:



Кстати, насчет спорта. Рядом горнолыжная трасса ;-) Но это не значит, что тем, кто не катается делать там нечего. Там есть неплохая трасса для тюбинга (ватрушек). В прошлом году там тоже зажигали ;-)


Ну и другие развлечения там тоже присутствуют - баня, коньки, беговые лыжи, бассейн рядом построен... Грустно и скучно точно не будет ;-) Вечерами песни под гитару или групповое караоке ;-) Бильярд тоже есть. Компания всегда собирается отличная. Так что присоединяйтесь!

ЗЫ. Централизованный перелет будет не на ТУ204 от Red Wings - так что опасаться не стоит ;-)

24.1.13

Структура законодательства по защите критически важных объектов

После выпуска последних нормативных актов по защите критически важных объектов решил обновить карту нормативных актов по данной тематике. Вот что получилось:


Итого:
  • 2 принятых закона, только намечающих проблематику ИБ в КВО (ограничиваясь только ТЭК), один снятый законопроект (именно из него выросли ноги у четверки документов ФСТЭК) и один законопроект ФСТЭК, который в прошлом году был раскритикован Минэкономразвития.
  • 4 указа Президента и один документ ("Основы государственной политики") с непонятным статусом. Именно Указами президента в-основном регулируется тематика безопасности КВО.
  • 1 распоряжение и 3 закрытых постановления Правительства по контртеррористической защищенности объектов ТЭК. Правительство эту тему обходит стороной, делая только то, что вытекает из ФЗ-256.
  • 2 документа Совета Безопасности, статус которых в иерархии нормативно-правовых актов для меня всегда был загадкой.
  • 6 документов от ФСТЭК - четверка документов с требованиями к КСИИ, один с методикой аудита КСИИ и один по формированию кадрами подразделений, ответственных за защиту КСИИ.
  • 3 отраслевых стандарта Газпрома (относящихся именно к КСИИ)
  • 2 документа Минэнерго по контр-террористической защищенности объектов ТЭК.
  • 0 документов ФСБ.
Что интересного в этой картинке? Собственно, два момента. Первый. Несмотря на то, что именно ФСБ является основным регулятором тематики защиты КВО, у этого органа исполнительной власти нет ни одного документа по данной тематике! Нечего сказать? Не хотят подставляться? Или просто шифруются, навешивая грифы? Фиг знает. Я бы предположил первые две версии, хотя и третью до конца не исключаю. Второй момент - фокус внимания действующей нормативной базы. Это топливно-энергетический комплекс. Как будто в других отраслях у нас нет КВО. Или ждем очередной Саяно-Шушенской применительно к другим отраслям?...

23.1.13

Федеральная система обнаружения атак - как она могла бы выглядеть?

В блоге и в Твиттере мне стали оппонировать, что я критикую, не зная, как на самом деле будет устроена система обнаружения атак, описанная в Указе Президента №31с. Так уж сложилось, что темой обнаружения атак я занимаюсь давно, еще с конца 90-х и поэтому неплохо себе представляю, как может быть выстроена такая система и с какими сложностями могут столкнуться ее создатели (кстати, в Академии ФСБ до сих пор учатся по моей книжке "Обнаружение атак" 2001-го года издания).

Конечно, сложно, не зная целеполагания, предполагать, что же имели ввиду авторы 31-го указа, но вариантов на самом деле тут немного. Под описанной системой обнаружения атак может пониматься:
  • Низкоуровневая система мониторинга вредоносной активности, направленной на информационные системы РФ (допустим, только на государственные информационные системы и КСИИ в КВО). Т.е. по сути - это территориально-распределенная IDS. Почему она не заработает я написал вчера и позавчера.
  • Высокоуровневая система мониторинга, которая аккумулирует данные с разных источников. Некий ситуационный центр по ИБ (или Security Operation Center). При том зоопарке решений, используемых отечественными госорганами и КВО, построить такой SOC - задача нетривиальная. Еще более нетривиальная задача - визуализировать весь тот объем информации, который будет поступать в SOC. Это терабайты данных ежедневно.
  • Центр сбора информации об инцидентах ИБ. Это наиболее просто реализуемая задача, но и она имеет кучу подводных камней, начиная от отсутствия единого формата для такой информации до нежелания госорганов светить такие сведения. Тут достаточно вспомнить процедуру обязательного уведомления Банка России в рамках отчетности по 2831-У. Но там хоть ответственность косвенная была за невыполнение обязательных требований ЦБ, а тут?...
  • Система оповещения об уровне Интернет-угрозы. Это, пожалуй, самый простой путь реализации указа 31с. Достаточно просто поставить на сайт ФСБ иконку уровня угрозы от Cisco, Касперского или других вендоров и тем самым оповещать пользователей об уровне угроз. Я про это даже писал 10 лет назад.
Но так уж ли важен вариант реализации данной системы? По сути они все обладают  схожим функционалом и при его реализации проблемы будут одинаковыми. Как могла бы выглядеть такая система в идеале?

Начать стоило бы с того, чтобы определиться - мы хотим иметь систему ориентированную вовнутрь или с зачатками прогнозирования? Первый вариант ограничен только данными, получаемыми из множества источников (сенсоров), разбросанных по госорганам и Интернет. В этом случае мы анализируем текущий уровень защищенности; не более того. Второй позволяет учитывать и внешнюю ситуацию в киберпространстве, атаки на иные ресурсы, в т.ч. и в других странах, тенденции мира "по ту сторону баррикад" и т.д. Первый путь чуть проще в реализации, т.к. поступаемые данные более формализованные, чем различные бюллетени, сообщения на "хакерских" форумах и другая неструктурированная информация.

Ядром (и первым элементом) любого варианта построения системы обнаружения атак является механизм сбора событий для последующего их анализа. В зависимости от охвата и глубины реализации системы этот список может быть очень широким и включать в себя сетевой трафик, логи сетевого оборудования, ОС, СУБД и приложений, события средств защиты, результаты идентификации/аутентификации, события Netflow, результаты сканирования, конфиги, данные репутации Интернет-ресурсов и т.п. Не так важно, что будет выступать в качестве сборщика - SIEM, средства анализа защищенности, средства анализа рисков, системы управления журналами регистрации. Главное, чтобы выбранное средство могло:
  • собирать данные из всех источников
  • собирать и хранить неструктурированные данные
  • работать с большими объемами данных (сотни терабайт, а то и петабайт с эксабайтами)
  • предоставить мощные аналитические возможности (причем на этом уровне они даже важнее, чем аналитика и модуль принятия решения на сенсоре)
  • приоритезировать зафиксированные события.
Из современных SIEM мало кто подойдет под эту задачу. Все-таки они ориентированы для решения иных задач - аггрегирования данных от распространенных средств защиты в одной базе и генерации отчетов для реализации требований соответствия. Из всех игроков рынка лучше всего под эту задачу подходит Splunk, но и его надо докручивать, чтобы получить инструмент, похожий на нужный хотя бы в первоначальном приближении. В отличие от традиционных SIEM Splunk ориентирован на аналитику неструктурированных данных большого объема.

Модули сбора и аналитики - это тот минимум, который позволяет выстроить систему обнаружения вторжений по любому из вышеописанных сценариев.И я специально не касаюсь того, как устроен модуль аналитки. Там ведь тоже вопросов выше крыши. Как бороться с ошибками первого и второго рода? Что является нормальным поведением, а что отклонением? Кто описывает профили поведения контролируемых систем? Я более чем уверен, что ФСБ не готова заниматься этой работой. Если уж не стали писать базовые модели угроз для нескольких десятков отраслей, то уж создавать десятки и сотни тысяч профилей точно не будут (в FIDNET первоначально речь шла о нескольких десятках миллионов профилей). Ждать этого от уважаемых мной рядовых сотрудников органов власти я тоже не могу - они и сигнатурные-то IDS не всегда настраивают, оставляя все "по умолчанию". Здесь же задача гораздо сложнее, чем просто поставить галочку напротив нужных сигнатур. Посмотрите на картинку ниже - можно ли по данному профилу сказать, речь идет об атаке на БД SQL или это просто пик обращений к ней?


А вот тут ситуация еще сложнее - два "аномальных" события. Одно предваряет другое. Кто будет описывать не только профиль трафика, но и правила корреляции между событиями?




Отдельная задача - визуализация полученных данных. При том объеме данных, которые будут поступать в систему, обычный табличный вариант не сильно подойдет. Да и традиционные карты сети тоже будут захлебываться в объеме данных. Вот так карта сети выглядит в системе визуализации для обычного предприятия (даже большого).


Все почти идеально (пример из реальной сетки). А теперь я покажу как такая карта выглядит для сети компании Cisco:


Попытка детализации карты не сильно облегчает жизнь:


Решить эту проблему можно - путем редизайна контролируемых сетей, сегментирования, применения модульного подхода и т.д. Но как заставить госорганы это сделать? Это вам не СКЗИ навязывать. Многие годами живут в плоской сети без всякой сегментации. И как в такой карте разбираться и отслеживать в ней инциденты ИБ?

Могу поделиться опытом, как Cisco проводила работы по автоматизации задачи оценки безопасности нашей сети на десятки тысяч узлов. Задача оказалась нетривиальной. В федеральной же сети узлов не десятки и даже не сотни тысяч - гораздо больше. И это только ПК, за которыми работают пользователи. Если вспомнить про M2M-взаимодействие, различные IP-устройства (принтеры, сенсоры ввода/вывода, датчики индустриальных систем и т.д.), то число узлов, которые должны будут мониториться системой обнаружения атак, будет измеряться миллионами.

Дальше начинается уже специфика и конкретика. Если в систему обнаружения атак входит реагирование, а в указе 31с оно прописано, то мы должны решить, как реагировать на обнаруженные атаки - просто уведомить "кого надо" или предпринимать более активные действия - контратака, блокирование, изоляция пострадавшего сегмента и т.д. Причем в зависимости от источника данных варианты реагирования и ликвидации последствий могут быть совершенно различными и спектр возможных вариантов просто зашкаливает. А еще они могут быть автоматическими, ручными и автоматизированными.

Мнение о том, что предлагаемая 31-м указом система обнаружения атак должна работать по принципу "установил и забыл", ошибочно с самого начала. Это совершенно не так. Это постоянная и кропотливая работа, требующая высокой квалификации от ее участников и  немалых ресурсов (временных, людских, финансовых). Именно поэтому я скептически отношусь к идее, прописанной в Указе №31с. В теории такую систему создать не сложно - проблемы начинаются на практике. И пока я не вижу, чтобы кто-нибудь задумался о том, чтобы найти пути их решения до разработки системы, а не после. Если этот пост поможет ответственным за создание данной системы обратить внимание на тонкие моменты и подводные камни - уже неплохо. А если они привлекут к разработке концепции системы экспертное сообщество (правда, в это я не очень верю - ФСБ пока считает себя умнее всех), то будет вообще отлично. И еще неплохо подумать о том, кто и как будет эксплуатировать созданную систему?

ЗЫ. Я в своих постах не раз высказался о том, что у ФСБ нет достаточного количества квалифицированных специалистов, чтобы потянуть эту задачу. На чем базируется мое мнение? Если не брать некоторые сведения, которые у меня есть и которые я не буду афишировать, то достаточно взглянуть на этот вопрос с точки зрения логики. Вы видели хоть какой-нибудь документ от ФСБ по теме информационной безопасности, который бы вызвал у вас уважение и доверие к конторе, а также уверенность в ее компетенции? Я нет ;-( У меня даже к документам по криптографии есть немало претензий, а уж в этой-то теме регулятор собаку съел. Но время идет, меняются технологии, меняются подходы, а регулятор как сидит на своих "временных требованиях к СКЗИ" так и сидит. NIST и не только уже с тех пор не один и не два документа выпустили по теме управления ключами, выбора длин ключей в зависимости от задачи, облачной криптографии, а мы так и сидим в средневековье. "Святая Инквизиция" не хочет выпускать из своих рук знание о том, что Земля-то круглая. Правда все уже об этом знают, но официально регулятор хранит молчание и ничего не признает кроме принадлежащего себе сокровенного знания.

В других темах по информационной безопасности ФСБ пока "студенты" ;-(  Достаточно вспомнить некоторые выступления сотрудников ФСБ по теме безопасности виртуализации и облаков. Они только-только начинают копать что-то отличное от криптографии. И они уступают специалистам коммерческих компаний, ВУЗов, госорганов, которые не связаны никакими ограничениями по части изучения международного опыта, международных стандартов и т.п. Это не то, чтобы плохо - это нормально. Все всегда с чего-то начинают. Плохо то, что ФСБ оккупировала эту тему и никого туда не пускает, считая себя умнее всех и засекречивая результаты своей работы. Может быть все-таки они одумаются?.. Или серьезный инцидент на каком-либо критически важном объекте заставит их одуматься?.. Последнего не хотелось бы.

22.1.13

Почему провалилась FIDNET?

Упомянутая вчера федеральная сеть обнаружения компьютерных атак FIDNET, анонсированная в указе Клинтона от 1996-го года, так и не была запущена ни в своем изначальном, ни в реинкарнированном виде. Причиной тому стало обычный недосмотр, в результате которого информация о FIDNET просочилась в СМИ до того момента, как данный проект был анонсирован членам Конгресса и другим заинтересованным сторонам. Сторонники прав и свобод в Интернет начали серьезно критиковать проект, утверждая, что он является очередной попыткой вмешательства в частную жизнь американских граждан. Конгресс ничего не мог противопоставить данной критике, т.к. не имел никакой информации о реальном положении дел. Да и публикация в "Нью-Йорк Таймс" о проекте FIDNET оказалась преждевременной и с технической точки зрения - не было до конца понятно, где будет размещен "мозг" системы, в который будут стекаться данные с распределенных датчиков. "Белый Дом" тоже не проявил интереса к данной инициативе, а потом все про нее забыли, т.к. ее заслонила более серьезная тема - "Проблема 2000". В итоге система приказала долго жить...

Идея же FIDNET была концептуально достаточно проста. В федеральном сегменте американского Интернет, предназначенного для работы госорганов (это некий аналог отечественной СМЭВ), были разбросаны датчики системы обнаружения атак, использующего не сигнатурный, а поведенческий (аномальный) подход, позволяющий отслеживать отклонения от нормального профиля трафика, идущего к критическим сетевым узлам. Дополнительно на ключевых оконечных устройствах устанавливались агенты, которые передавали данные о поведении своих "подопечных" в центр для анализа, а по его результатам информация об атаках и атакующих передавалась по всей сети. Ничего сверхестественного, но в отечественных условиях такая система столкнулась бы (столкнется) с рядом сложностей.

Во-первых, в России нет ни одного работающего прототипа поведенческих системы обнаружения вторжений. Наработок много, дипломов и диссертаций еще больше, НИРами можно туалеты оклеивать. Кстати, прошлое и нынешнее руководство 8-го Центра ФСБ очень активно занималось данной темой и выпустило немало публикаций по этому вопросу. Реальных систем нет ;-(

Во-вторых, любая поведченская система базируется на обучении, которое предваряет ее ввод в промышленную эксплуатацию. Сначала мы изучаем и фиксируем эталонное поведение, а потом уже отслеживаем отклонения от него. В условиях постоянных изменений эффективно обучить систему практически невозможно - число ложных срабатываний будет просто зашкаливать. В России, в отличии от США, процесс информатизации госорганов только началася, чиновники учатся пользоваться компьютерами, а значит их поведение постоянно меняется. Также постоянно меняются различные государственные информационные системы. Их постоянная модификация не позволяет выстроить для них адекватный профиль.

Третья причина - отсутствие специалистов, которые способны заниматься поведенческими системами. Это вам не сигнатурные IDS/IPS, которым достаточно указать адрес сервера обновления и они будут сами скачивать новые сигнатуры. Это в Указе Президента на ФСБ возложена только разработка системы, а ее эксплуатация ложится на плечи органов исполнительной власти. На самом деле в этих органах нет специалистов и эффективность системы снижалась бы по экспоненте с течением времени (у сигнатурных систем эффективность снижается линейно).

Я не знаю, как будет строиться система, предполагаемая по Указу №31с, поэтому и коснулся проблем с FIDNET. А теперь обратимся к тому, как строится в США современная "версия" FIDNET. Называется она National Cyberspace Security Response System. При ее разработке учли проблемы с FIDNET. Если у первой задачи стояли следующие:
  • мониторинг телекоммуникационной инфраструктуру в реальном или близком к реальному времени
  • возможность распознавать, собирать и строить профили системных аномалий для идентификации потенциальных угроз и атак
  • возможность отслеживать, перенаправлять, изолировать и удалять трафик, ассоциированный с атакой,
то у NCSRS приоритеты сменились:
  • анализ и предупреждение
  • управление инцидентами национального масштаба
  • обеспечение непрерывности в государственной и частной инфраструктуре
  • обмен информацией о безопасности через и между организациями с целю улучшения информационной безопасности.
Сразу видно, что авторы NCSRS, даже имея бюджеты, несопоставимые с тем, что готова выделять Россия на информационную безопасность, не стали делать ставку на технологические аспекты обнаружения вторжений, понимая, что это малореально и что федеральными информационными системами (а FIDNET была ограничена только ими) национальный сегмент Интернет не ограничен. КВО находятся в ведении частных лиц и компаний, в дела которых вмешиваться достаточно сложно.

В целом NCSRS опирается на две основных инициативы:
  • поощрение частного сектора делиться информацией о состоянии своей защищенности
  • расширение сети раннего предупреждения и информирования (Cyber Warning and Information Network, CWIN) для поддержания координирующей роли Министерства национальной безопасности (Department of Homeland Security, DHS) для повышения уровня защищенности национального сегмента сети Интернет.
Первая инициатива пока наталкивается на сложности юридического характера, т.к. частным предприятиям непросто с законодательной точки зрения делиться достаточно критической информацией об атаках на свои ресурсы, возникших инцидентах, утечках и иной чувствительной информации. Вторая похожа на первоначальную FIDNET, но деталей ее реализации пока не так много. Хотя первая версия CWIN была запущена еще в 2001-м году, она до сих пор так и не заработала на полную мощность в связи с отсутствием адекватного финансирования. Однако определенные результаты все-таки достигнуты - были созданы и заработали индустриальные центры анализа и обмена информацией (Information Sharing and Analysis Centers, ISAC), например, центр для электроэнергетики (Energy ISAC).

Краткий экскурс в историю FIDNET и NCSRS показывает, что с наскока решить проблему создания системы обнаружения вторжения федерального масштаба невозможно. И прежде чем выпускать какие-то нормативные акты необходимо все тщательно взвесить, определиться с целями, возможными путями их достижения и препятствиями на этих путях. И только потом затевать такую, безусловно нужную в наше время инициативу.

21.1.13

Возможно ли создать систему раннего оповещения о компьютерных атаках в масштабах России?

Сегодня я написал про новый Указ Президента Путина о создании системы раннего предупреждения о компьютерных атаках. Несмотря на интерес к данному событию со стороны профессионального сообщества, хочу заметить, что это не ново. Мы далеко не первая страна, которая пытается запустить такой проект.

Аналогичная нашему указу 31с система обнаружения компьютерных атак в США была анонсирована аж в 1996-м году. Именно тогда был подписан соответствующий Executive Order 13010 Президента Клинтона о защите критичных инфраструктур и, среди прочего, о создании FIDNET (Federal Intrusion Detection NETwork). Этим же указом была создана президентская комиссия по данной тематике (почти как наша межведомственная). Мы сейчас пытаемся с опозданием на 17 лет сделать то, что уже было инициировано нашими партнерами|врагами (ненужное зачеркнуть). Однако надо признать, что FIDNET так и не заработала в полную силу (да и не в полную тоже) - число атак на федеральные информационные системы не уменьшилось, а число "удачных" атак даже увеличилось. В феврале 2003-го года в США была подписана "Национальная стратегия по защите киберпространства", в которой приоритетом №1 было названо создание национальной системы реагирования на инциденты в киберпространстве (National Cyberspace Security Response System), ставшей реинкарнацией FIDNET. Однако успеха NCSRS тоже не достигла, о чем лишний раз говорят "успешные" атаки Anonymous и Lulzsec в 2011-м и 2012-м годах (с угрозами а-ля "Wikileaks" системы раннего предупреждения бороться не в состоянии).

Почему произошел такой провал в достаточно здравой идее раннего предупреждения компьютерных атак? Начнем с того, что сегодня не существует возможностей для прогнозирования компьютерных атак. В институте прикладной математике имени Келдыша при РАН в свое время занимались данной проблематикой и даже высказли гипотезу, что компьютерные атаки в глобальном масштабе подчиняются вполне определенным математическим законам. Но на разработку моделей у ученых не было средств и эта тема заглохла, так и не развившись. Поэтому будем исходить из того, что спрогнозировать атаки нереально (если не брать в расчет, что почти любое крупное политическое событие приводит к всплеску хакерской активности) и нам остается только обнаруживать несанкционированные действия в реальном режиме времени.

Данная задача разбивается на несколько направлений - техника, люди, процессы, организация. С точки зрения техники дело совсем швах. Отечественных систем обнаружения вторжений у нас раз-два и обчелся; сертифицированных в ФСБ примерно столько же. Причем отзывы о работе с ними (что с "Ручейком", что с "Аргусом") говорят, что их эффективность сопоставима с системами обнаружения, которые разрабатывались в США в 90-х годах. Да и процент ведомств, которые используют эти системы ничтожно мал - большинство использует продукцию западного производства, сертифицированную в ФСТЭК (наши IPS 4200, 4300, 4500 там тоже есть). Но... когда речь идет об одном ведомстве, то проблемы нет (ну или почти нет), а когда о десятках? Да еще и КВО плюсуем. Эти IDS/IPS должны уметь обмениваться информацией между собой, что подразумевает поддержку стандартов TAXII (Trusted Automated eXchange of Indicator Information) и STIX (Structured Threat Information eXpression). А этого не наблюдается - мало кто из вендоров их поддерживает.

Пытаться разработать коннекторы к различным системам и собирать данные от них в централизованном центре мониторинга и реагирования на атаки?... Идея конечно занятная, но в России пока никем нереализованная. Государев GOV-CERT.RU  пока не тянет на эту роль. Могу сказать по опыту Cisco, что работа такого центра - это колоссальная задача. У нас в нашем Cisco Security Intelligence Operations Center работает свыше 600 человек, ежедневно поступает около 75 Терабайт данных для анализа, 35% мирового email-трафика, 13 миллиардов Web-запросов, в качестве источников выступает 1.6 миллиона сенсоров и 150 миллионов оконечных устройств. Вы можете себе представить аналогичные возможности у государственного CERT? Я нет ;-(

Но мало обнаруживать атаки. На них же надо реагировать путем выработки соответствующих рекомендаций, правил для средств защиты или сигнатур для IDS/IPS. Например, упомянутый Cisco SIO выпускает свыше 8 миллионов правил для средств защиты ежедневно, а частота обновлений составляет 1 раз в 3-5 минут. Но это только для наших средств защиты? В федеральном масштабе эти показатели должны быть иными, совсем иными. Кто в ФСБ это будет делать? Там просто некому. Кто будет это делать? Как видно из текста Указа Президента эксплуатация данной системы на ФСБ не возлагается. Вообще это нонсенс. Система федерального масштаба с полным отсутствием централизованного управления.  Т.е. как и сейчас это будут делать рядовые сотрудники отделов защиты информации или ИТ органов исполнительной власти? Так у них и без этого головной боли полно. К тому же квалификации в области расследования инцидентов и обнаружения атак у них нет, а обучать их в массовом порядке в России негде - соответствующих курсов по управлению инцидентами у нас раз-два и обчелся, а в институтах эту тематику обходят стороной (как и вообще тематику операционной безопасности).

Но может быть тогда можно надеяться на разработку методических указаний со стороны ФСБ? Ну даже если представить, что у них есть нужное количество специалистов для решения данной задачи, то я все равно не верю в то, что это будет сделано в обозримые сроки. Уж если прямое распоряжение по разработке обязательной нормативной базы по части персональных данных (а это все вытекает из федерального закона) было сорвано, то чего уж ждать от разработки методических рекомендаций?.. Понятие оперативности разработки нормативных актов и ФСБ у меня что-то не стыкуются. Может поэтому "Основные направления..." Совбеза растянуты до 2020-го года?..


В традиционных системах оповещения об угрозе (например, в системе предупреждения о ракетном нападении) всегда можно идентифицировать нарушителя. Либо прямо - ракета вышла из шахты с территории конкретного государства; либо косвенно - по скоплению или передислокации войск, по увеличению коммуникаций между штабами  и т.п. В системе обнаружения компьютерных атак - это малореально либо требует длительных исследований с непредсказуемым результатом. Вспомним тот же Stuxnet - до сих пор нет  доказательств, что эта атака была реализована американцами или израильтянами. Серьезные предпосылки в пользу этой версии присутствуют, но вот беспорных доказательств - пока нет. Или тот же "Красный Октябрь". В коде есть слова на русском языке, большинство командных серверов находится на территории России. Но является ли это признаком того, что за "Красным Октябрем" стоит Россия? Нет. Русскоговорящие программисты могут и не быть гражданами Российской Федерации. А раз нет противника, то что делать? Как выстраивать линию защиты при неизвестной нападающей стороне? А если попробовать составить список потенциальных противников, то в киберпространстве он будет слишком большим. Это в физическом мире число потенциальных противников России ограничено теми, кто владеет ядерным арсеналом. В виртуальном атаковать может кто угодно - от уволенного сисадмина до сторонников Pussy Riot, от Украины, недовольной условиями газового договора, до Аль-Кайеды, решившей поддержать братьев-мусульман.

Ну допустим, фиг с ней, с нападающей стороной. Но причину-то инцидента мы должны установить. Должны. Но как? Как отделить сбой в результате направленной атаки от сбоя в результате череды случайностей или имеющихся уязвимостей? Это и в рамках одной-то системы непросто, а уж в федеральных масштабах... Вручную это нереально, а автоматизированных систем для данной задачи не существует. Разработка же их в Указе не указана. Может быть имеется ввиду, что такие работы будут вестись в рамках утвержденных Путиным приоритетных направлений развития науки, технологий и техники и утвержденной Медведевым 28 декабря 2012 года программы фундаментальных научных исследований в Российской Федерации на долгосрочный период (2013–2020 годы)? Все может быть, но я почему-то отношусь к этому предположению скептически.

Ориентироваться на последствия от инцидентов? Но они могут носить неразрушающий характер. Яркий пример - "Красный Октябрь"? Никакого выведения из строя газопровода или завода по обогащению урана - только сбор конфиденциальной информации. Отследить такие атаки в автоматизированном режиме очень проблематично. Нужны специалисты, а их нет, как я показал выше. И не факт, что будут. В разработанных же государственных образовательных стандартах по информационной безопасности 090101-090107 (а их 7 и утверждены они были в 2010-2011-м годах) этим вопросам внимания не уделяется вовсе. В свое время я изучал курс SANS Intrusion Detection In-Depth и могу сказать, что пяти дней по 8 часов хватает впритык - только для начального погружения в тему.

Еще одной причиной, по которой указ №31с "не взлетит" - его полная отвязка от действующей системы нормативных актов. К чему он? Зачем он? Для кого он? Вопросы есть - ответов нет. Эксперты и журналисты придумывают разные версии. Только у меня их целых четыре:
  1. Указ является развитием (началом) активности, связанной с реализацией "Основных направлений..." СовБеза. Собственно положения Указа пытаются формализовать то, что написано в 17-м пункте документа СовБеза и должно быть сделано в 2012-2013-м годах.
  2. Произошел серьезный инцидент в каком-либо из КВО и регуляторы зашевелились. Это возможно, но в СМИ информация н просачивалась.
  3. Надо осваивать бюджеты, под которые нужен нормативный акт.
  4. Реакция на "Красный Октябрь".
Я склонен верить в первую версию, но в этом случае мы имеем дело с нормативным актом, висящим в вакууме. В 2009-м году я готовил таксономию законодательства для защиты КСИИ и у меня получилась вот такая картинка:


Надо заметить, что она не сильно изменилась с тех пор. Появились новые документы ФСТЭК, появилась статья 11 256-го закона о безопасности объектов ТЭК (статья ни о чем), появился разбитый в пух и прах законопроект ФСТЭК по защите КВО, появился документ СовБеза. И все. Ни одного фокусного нормативного акта уровня закона как не было, так и нет. А ведь тут нужно сильно перерабатывать нормативку. Ведь многие КВО находятся в частных руках. Это для госорганов можно взять и спустить нормативные требования сверху. С бизнесом этот фокус не пройдет (если нужен правильный результат) - нужно организовывать частно-государственное партнерство и обсуждать совместные шаги, устраивающие государство и бизнес. Но регуляторы вести такое обсуждение с бизнесом не умеют (в США такая дисскусия с бизнесом была предусмотрена еще указом Клинтона в 96-м году).

Продолжим перечисление причин. Следущая - сам регулятор в лице ФСБ. При всем моем уважении к этой структуре, в теме защиты критичных инфраструктур они разбираются мало. Не на уровне отдельных специалистов, которые копают эту тематику, а именно на уровне ведомства, ответственного за безопасность российского государства. Так уж сложилось, что акромя криптографии в теме ИБ ФСБ светилась мало. Надеяться, что у них есть такая же экспертиза и в других направлениях, включая информационную безопасность КВО, не приходится. В США, когда разрабатылвали план защиты критичных инфраструктур понимали, что у них нет ведомства, который мог бы взвалить на себя такую задачу целиком. Поэтому был создан отдельный центр при ФБР (NIPC), а также Critical Infrastructure Assurance Office (CIAO), которые и координировались американским Советом Безопасности, в котором была создана отдельная должность (National Coordinator for Security, Infrastructure Protection, and Counter-terrorism). И NIPC, и CIAO были созданы отдельной директивой президента (PDD-63). Может у нас создана такая же должность; в секретной части указа 31с?

А почему не сработала FIDNET? Про это я напишу завтра. Тема обнаружения атак для меня слишком хорошо знакома, чтобы я с нее соскочил так просто ;-)

Президент подписал указ о создании государственной системы обнаружения атак

28 декабря президент Путин на своей встрече в Кремле с офицерами, назначенными на высшие командные должности, заявил, что нужно продолжать действовать "системно и наступательно, в том числе по таким направлениям, как контрразведка, защита стратегической инфраструктуры, борьба с преступлениями в сфере экономики, в киберпространстве".

Буквально на следующий день, 29-го декабря, Путин подписывает указ №1711 об изменении состава Межведомственной комиссии Совета Безопасности РФ по информационной безопасности. Среди прочего в ее состав вошли руководитель службы безопасности Роснефти, заместитель генерального директора по безопасности Росатома и заместитель председателя правления Газпрома, т.е. трех отечественных стратегических инфраструктур.

А 15 января Президент России подписал новый Указ №31с "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ". Все полномочия по созданию данной системы, разработке методики обнаружения атак, обмену информацией между госорганами об инцидентах ИБ, оценке степени защищенности критической информационной инфраструктуры возложены на ФСБ.

В совокупности с "Основными направлениями государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации", выпущенными Советом Безопасности летом прошлого года, выглядят эти действия как реализация целенаправленной программы по защите отечественных критических информационных инфраструктур.

Но вопросов, после выхода последнего указа, все равно больше чем ответов:
  1. Какие компоненты входят в данную систему? Не на словах, а не деле. Малоприспособоенные к реальной жизни "РУЧЕЕК" и "АРГУС"?
  2. На кого возложена эксплуатация данной системы обнаружения компьютерных атак?
  3. ФСБ достаточно давно ведет работы по т.н. системе "СОПКА" (Система Обнаружения, Предупреждения и ликвидации последствий Компьютерных Атак). Это одно и тоже или разные системы?
  4. Продолжают ли действовать прежние документы Правительства, Президента и СовБеза? Например, "Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий", утвержденная в ноябре 2005-го года.
  5. Что с документами ФСТЭК по КСИИ? С одной стороны они есть и достаточно неплохи. С другой - ФСТЭК сама не раз заявляла, что это рекомендации, а не обязательные требования.
  6. Когда же все-таки будет составлен конкретный перечень мероприятий в соответствии с "Основными направлениями..." СовБеза с детализацией, датами и ответственными?
Пока складывается впечатление, что регулятор в лице ФСБ уже и сам не рад, что перетянул эту тему на себя, отодвинув ФСТЭК от регулирования данного процесса (хотя ФСТЭК тоже не факт, что лучший вариант). Проблема (особенно после Stuxnet, Duqu и Flame) актуальна как никогда. На российских КВО эти вредоносные программы сидят, но делать с ними никто ничего не хочет (или не может). Если будут утверждены конкретные мероприятия с датами и ответственными, это же надо будет нести ответственность. А этого никто не хочет, т.к. с высокой степенью вероятности установленные сроки будут сорваны. Но если, например, невнедрение электронной подписи или УЭК в масштабах страны - это некритичная проблема (жили же без них и ничего), то сбой в поставках газа или инцидент на объектах Росатома из-за компьютерных атак - проблема гораздо более серьезная с непредсказуемыми последствиями.

Я более чем уверен, что в ФСБ сейчас нет достаточного количества адекватных специалистов по данной тематике. Максимум на что они способны - это потребовать использовать российскую криптографию на всех КВО, включая и в западных индустриальных системах. Это, конечно не решение проблемы (да и невозможно это реализовать). Как и не решение - внедрение пока еще несуществующей операционной системы от Касперского. Нужен системный подход с привлечением широкого круга специалистов, как это делается на Западе и как это попыталась сделать ФСТЭК с документами по ПДн и защите госорганов.

17.1.13

Очередной законопроект Аксакова по теме персданных

Как-то мимо меня прошел этот законопроект по теме персданных, который 9-го июля прошлого года был внесен в Госдуму депутатом Аксаковым. Это законопроект 108693-6 "О внесении изменений в статью 857 части второй Гражданского кодекса Российской Федерации, статью 26 Федерального закона "О банках и банковской деятельности" и Федеральный закон "О персональных данных" (в части смягчения режима банковской тайны).

В пояснительной записке к законопроекту сказано, что "действующая редакция ст. 857 Гражданского кодекса Российской Федерации и ст. 26 Федерального закона «О банках и банковской деятельности» предусматривает предоставление сведений, составляющих банковскую тайну непосредственно клиенту или его представителю, тем самым сужая круг третьих лиц, которым такая информация может быть предоставлена с ясного и недвусмысленного согласия самого клиента без необходимости оформления соответствующей доверенности как представителю от имени клиента".

Дальше Аксаков пишет: "В указанные нормы предлагается внести изменения, расширяющие круг субъектов, которым могут быть предоставлены сведения, составляющие банковскую тайну. 

При этом предлагаемые изменения не освобождают кредитные организации от обязанности хранить и соблюдать требования по банковской тайне и позволят эффективно организовать процесс обслуживания клиентов и освободят кредитные организации от исполнения функций, не относящихся к непосредственному осуществлению банковской деятельности.

Например, кредитная организация, в целях обслуживания клиентов, при наличии согласия клиента, могла бы заключить договор с организациями, осуществляющими почтовые услуги (для рассылки сообщений клиентам), информационные услуги телефонного центра, услуги по архивированию и хранению юридических дел клиентов.

Указанные изменения корреспондируются с изменениями, предлагаемыми к внесению в Федеральный закон "О персональных данных".

Все бы ничего, но законопроект включен в примерную программу Государственной Думы только на ноябрь 2013! Год ждать...

16.1.13

Как РКН будет проводить проверки по линии ПДн в ближайшее время - новое Постановление Правительства

В прошлом мае Минэкономразвития уже рассматривал проект Постановления Правительства по наделению РКН новыми полномочиями в части надзора (контроля) в области ПДн. И хотя коллеги из Роскомнадзора неоднократно уверяли меня, что они и в мыслях не имели желания проводить контроль и надзор за соблюдением технических и организационных мер обеспечения безопасности ПДн в негосударственных ИСПДн, я одну из задач, возлагаемых на РКН проектом Постановления, и читаемую как "Контроль и надзор за соблюдением обязательных требований ФЗ и принимаемыми в соответствии с ними НПА, в т.ч. за выполнением организационных и технических мер по обеспечению безопасности ПДн в негосударственных информационных системах" не могу воспринимать никак иначе. Чтобы совсем уж поставить точку над i в данном вопросе еще одно доказательство - в прошлом проекте Постановления Правительства служащий РКН наделялся правом "получать доступа и проверять выполнение организационных и технических мер по обеспечению безопасности ПДн в негосударственных информационных системах".

Потом, на различных заседаниях с участием представителей ФСТЭК и ФСБ они неоднократно заявляли, что они не пропустят проект в такой формулировке, т.к. РКН вторгается не в свою область. Но вот на последнем заседании Консультативного Совета при РКН, в котором я состою, было вскользь отмечено, что РКН договорился со всеми (Минкомсвязь, ФСТЭК, ФСБ и МинЮст) и направил финальный вариант проекта Постановления на экспертизу в Минэкономразвития. Вот этот проект!

Второй абзац данного положения, еще до начала нумерации, четко говорит, что "Действие данного Положения не распространяется на деятельность по осуществлению контроля и надзора за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствие со статьей 19 Федерального закона "О персональных данных". И хотя это пока проект, я думаю можно поставить точку в вопросе полномочий РКН по части технических проверок (да и сам РКН это подтверждает).

Что еще интересного есть в этом проекте?
  • Письма счастья в явной форме не относятся к документарным проверкам.
  • Вся информация и документы запрашиваются только на основании мотивированного письменного запроса.
  • РКН имеет право получать доступ к ИСПДн.
  • РКН имеет право применять меры по приостановлению или прекращению деятельности, осуществляемой с нарушением ФЗ-152.
  • Проверки госорганов, муниципалов и физлиц проводятся в соответствие с внутренними планами РКН и они не должны публиковаться, как это делается в отношении юрлиц и индивидуальных предпринимателей.
  • Число оснований для плановых и внеплановых проверок по сравнению с предыдущим проектом и административным регламентом чуть снизилось, но незначительно. А вот пункт об отсутствии согласовывать свои внеплановые проверки с прокуратурой остался.
Вот и все ;-) Ничего более интересного в проекте нет. По сути он фиксирует то, что и так уже делается сотрудниками РКН в рамках своих проверок, но что вызывало некоторые вопросы и коллизии.

ЗЫ. Интересно, что в пояснительной записке в проекту Постановления написано, что он выкладывался на сайт РКН в открытый доступ, но ни одного предложения по нему в адрес РКН не поступило. Я конечно не ежедневно хожу на сайт РКН, но что-то я не припомню, чтобы именно этот текст выкладывался на сайт. Ну да ладно...

15.1.13

Как я на ТВ снимался

Сегодня утром позвонили мне с телеканала "Россия" и попросили прокомментировать на камеру события с "Красным Октябрем", который был обнаружен Лабораторией Касперского. Я согласился и буквально через 40 минут после звонка у нашего офиса в Крылатском уже стоял микроавтобус со съемочной группой.

Редактор предложил расширить тематику репортажа и говорить не столько о "Красном Октябре", сколько о кибервойнах, кибероружии, Stuxnet, способах противодействия кибервойнам, кибертерроризме и других животрепещущих темах. Собственно об этом мы и говорили, но... итог неутешителен - от почти часового интервью в сюжет попало секунд 20 ;-(



Из этой нарезки может сложиться впечатление, что за "Красным Октябрем" стоит Китай и Россия. Да и в заметке на сайте "Вестей" преподносится та же идея. Хочу отметить, что говорил я все-таки немного иное. Суть моего фрагмента, от которого остался только китайский след, сводилась к простой мысли - в Интернет практически невозможно напрямую идентифицировать того, кто стоит за той или иной атакой. Хостинг сервера управления в России не означает, что именно Россия стоит за атакой - оплатить хостинг можно удаленно украденной кредиткой, даже не пересекая государственной границы Российскоф Федерации. Та же история и с китайцами. То, что они нашли используемые "Красным Октябрем" уязвимости, не значит, что именно они стоят за данной атакой. Еще мы говорили о школах программирования, о том, как вычисляется предполагаемый автор вредоносного кода по "почерку", но все это в сюжет не вошло. Как и мой рассказ о кибертерроризме, странах, которые считаются самыми продвинутыми в деле кибервооружений, инициативах при ООН по разработке международных конвенций по информационной безопасности, рассказ про Stuxnet и т.д. В итоге красивая задумка вылилась в получившийся сюжет.

Не то, чтобы получившийся материал плох. Просто мне хотелось рассказать, что осталось за кадром и как снимаются такие сюжеты.  И если вы видите, что на экране кто-то несет ересь, чушь или просто говорит не совсем правильные вещи, то может быть это результат "грамотной" нарезки или банального лимита времени на сюжет. Монтажер и редактор же обычно не в теме (если нет прямого цензора, стоязего за спиной) и поэтому монтируют то, что по их мнению является главным.

Что включить в политику работы в социальных сетях с точки зрения ИБ?

Многие пользуются социальными сетями (читая эту заметку, вы уже ими пользуетесь). Кто-то в формате "read-only", кто-то активно участвуя в дискуссиях; кто-то трепется с бывшими одноклассниками в "Одноклассниках", а кто-то активно обменивается опытом с коллегами в Facebook; кто-то является членом публичных "ВКонтакте", а кто-то наборот предпочитает закрытые междусобойчики. Все эти ситуации объединяет одно - использование нового канала коммуникации, который несет с собой не только преимущества, но и риски. Причем риски не только типичные для любого Web-сайта и описанные мной ранее, но и риски утечки информации, нарушение этических норм, нарушения прав на интеллектуальную собственность и т.п.

Раз у нас есть риски, то должна быть и политика управления ими. Причем речь идет не о самой простой из них, которая заключается в полном запрете социальных сетей (хотя нашим чиновникам хотят такое запретить на высочайшем уровне - слишком уж много глупостей они пишут). И даже не о той, которая хорошо иллюстрируется приведенной картинкой (спасибо Alex Toparenko) и известной поговоркой "молчание - золото". Речь идет о полноценной политике использования социальных сетей в контексте информационной безопасности.


В целом данная политика должно состоять из 3-х блоков "об общего к частному":
  • Общее отношение компании к социальным медиа. Что используется, а что нет; для чего; какие полномочия даны пользователям; будет ли проводиться модерация контента и т.д.?
  • Что могут и что не могут сотрудники делать в онлайн-пространстве. При этом данный раздел должен включать в себя не только требования, но и лучшие практики и советы, как вести себя в той или иной ситуации, а также в зависимости от роли - пользователь, как частное лицо, или пользователь, как сотрудник компании. Общим должно быть правило "думай, прежде чем что-то опубликовать в социальной сети". Стоит лишний раз напомнить пользователям, что все, что опубликовано в Интернет, уже врядли может быть оттуда удалено. Поэтому надо взвешивать последствия любого своего действия в социальных сетях; и взвешивать ДО, а не ПОСЛЕ.
  • Что могут и что не могут публиковать сотрудники на социальных ресурсах, в которых им разрешено участвовать от имени компании. Очевидно, что врядли работодатель будет рад, если его сотрудники на ресурсах, ассоциированных с компанией, будут поливать грязью действующую власть или выкладывать контент, нарушающий чью-то интеллектуальную собственность (да и от своего собственного имени это не очень-то приветствуется).
С точки зрения числа документов - это может быть одна политика, две, три и даже четыре. Количество не так важно - фокус смещается на содержание, а не форму. Описывая правила поведения в социальных сетях стоит акцентироваться не только на том, что нельзя, но и на том, что можно, чтобы для каждого из требований/положений можно было провести четкую грань разрешенного и запрещенного поведения.

И не забудьте включить в эту политику раздел о том, кто отвечает за ее реализацию и с какой частотой ее надо пересматривать. В отличие от парольной политики, не меняющейся годами, работа в социальной сети претерпевает изменения достаточно часто. Кто должен быть владельцем данной политики? Вопрос не простой, т.к. работа в социальной сети предполагает затрагивание интересно разных подразделений - PR, маркетинг, HR, юридическое, ИТ, безопасность, работа с клиентами и т.д.

Поэтому службе ИБ не стоит брать на себя всю тяжесть ответственности за данное направление, но свое слово она должна сказать и внести свою лепту в формируемый документ (а также отслеживать его изменени и предлагать их по необходимости). Какие разделы данной политики могут принадлежать перу безопасников:
  • Использование определенных платформ Social Media. Например, работникам может быть разрешен доступ к Facebook, LinkedIn и Twitter, но запрещен к "Одноклассникам" и "ВКонтакте". Это может быть как глобальное правило "для всех", так и гибкая политика доступа для разных групп пользователей, затем реализуемая на межсесетевом экране. При этом можно ограничивать доступ не только к сайту целиком, а к отдельным его разделам или микро-приложениям, которые в нем используются, или применять иные гибкие настройки разграничения доступа. Такие прикладные межсетевые экраны (application firewall или next generation firewall) сейчас есть у некоторых производителей (мы вот тоже имеем такой продукт - Cisco ASA CX).
  • Помимо ограничения на конкретные платформы или разделы социальной сети политика может ограничивать доступ и к материалам на определенную тему - от банальных порнография, реклама суицида и наркотиков, до посещения социальных сетей для поиска работы (исключая сотрудников HR) или страниц конкурентов на социальных сетях (исключая сотрудников отделов экономической безопасности или маркетинга).
  • Ответственность пользователей за нарушения правил общей политики информационной безопасности. Не мешает лишний раз напомнить, что нет никакой разницы как осуществлена кража и передача конфиденциальной информации - по e-mail, USB или через "Мой Круг" или Google+. Сюда же будет включаться и перечень наказаний за нарушения, например, отлучение от Интернет или иные формы дисциплинарного воздействия, согласуемые с Трудовым Кодексом.
  • Пароли и учетные записи. Хорошей практикой является включение в политику требования, чтобы пароли к учетным записям социальных сетей (исключая быть может корпоративные, если реализована единая система Identity Management) не совпадали с паролями, используемыми в корпоративной сети.
  • Время и цель доступа в социальные сети. Это вообще-то не функция ИБ, но уж слишком часто навешивают на безопасников контроль действий сотрудников в Интернет, контроль посещаемых сайтов, скачиваемых файлов и т.д. Если и у вас это так, то тогда стоит зафиксировать соответствующие правила. Например, "использование социальных сетей в личных целях в рабочее время запрещено" или "использование социальных сетей в личных целях в рабочее время разрешено в течение 30 минут ежедневно с 9.30 до 10.00 утра и с 17.30 до 18.00 вечера". На межсетевом экране это правило также легко зафиксировать, если межсетевой экран оперирует не IP-адресам в своих правилах, а именами пользователей.
  • Контроль контента. Поскольку социальная сеть подразумевает общение по принципу "один ко многим" или "многие к одному", то в отличие от переписки, где главенствует принцип "один к одному", контроль любого контента, размещаемого в социальных сетях от имени компании и с ресурсов, принадлежащих компании, никаких конституционных прав не нарушает. Поэтому в политике должно найти отражение правило, что любой контент может быть проверен сотрудниками с соответствующими привилегиями; обычно это ИБ, юристы и HR. Сюда же могут попасть правила, связанные с регистрацией действий и архивацией контента, связанными с сотрудником, сидящим в социальных сетях. Правда, прописывая условие регистрации и архивации будьте готовы реализовать его на практике, что не просто, т.к. требует немалых вычислительных ресурсов под данную задачу. Что же касается функции DLP для Web-контента, то это также возможно сегодня в некоторых продуктах.
  • Вредоносный код и фишинг. В приведенной по ссылке выше презентации описаны различные риски, связанные с открытием ссылок или запуском файлов от посторонних людей. Понятно, что этого делать не надо, но лишний раз напомнить (желательно с примерами скриншотов) не помешает. Это для безопасников очевидно, а для рядовых пользователей ничего не стоит кликнуть на флеш-ролик с "котэ", который в скрытом режиме устанавливает трояна или крадет пароли доступа.
  • Интеллектуальная собственность. Запрет на нарушение прав на чужую интеллектуальную собственность очевиден, но... его просто записать, но сложно контролировать на практике. По крайней мере по отношению к мультимедиа-контенту. Поэтому в некоторых случаях проще запретить выкладывание таких файлов или ввести их премодерацию.
  • Персональные данные. Также нелишним будет еще раз напомнить про правила работы с персональными данными клиентов, партнеров и иных лиц, которые оставили свои ПДн в социальных сетях, контролируемых компанией. Это если говорить о сотрудниках. Если же у вас есть собственная социальная сеть, то не забудьте опубликовать в ней политику работы с ПДн, выполнив тем самым требование ФЗ-152. Правда, не всегда понятно, как это сделать на чужих социальных ресурсах, на которых у вас всего лишь "страничка".
  • Информационные войны. Это нередкость в Интернет-пространстве. Ждать от сотрудников, что они будут уметь воевать, не стоит. Но лишний раз напомнить им, чтобы они не ввязывались в такие войны (троллинг, флейм и т.п.) стоит. Также можно включить рекомендацию сообщать обо всех случаях публикации негатива о компании. Главное, четко определить границы между негативом и шуткой (хотя это непросто). Этот тот случай, когда простого требования недостаточно, - необходимо чуть больше описания, рассмотрение примеров и т.д.
  • Спам. У нас на корпоративном блоге российского офиса Cisco нередко появляется спам в комментариях к заметкам. Бороться с ним можно разными методами, которые также должны найти отражение в политике работы с социальными сетями. Это и CAPTCHA, и запрет на публикацию комментов анонимами (так сделано у меня на этом блоге), и использование специализированных движков для контроля спама (так сделано, например, у Алексея Волкова) и т.п., включая и ручной просмотр, если комментариев немного.
Очевидно, что данная политика должна быть не только написана, но и доведена до сведения всех сотрудников (тренинг,  в т.ч. и онлайн, будет нелишним), а ее положения должны найти отражение в конкретных технических и организационных мерах, реализация которых ляжет на ответственные подразделения, включая и службу ИБ.

ЗЫ. Кстати, 1.5 года назад я уже давал ссылку на интересный документ по тому, что включать в политику работы с социальными сетями. Документ по-прежнему актуален.

14.1.13

Что бывает после инцидента ИБ?

Что бывает после инцидента ИБ?.. Вопрос непраздный и интересный, но мало кто на него может дать универсальный ответ. На первый взгляд все очевидно. Надо извлечь уроки и устранить причины инцидентов. Но это только на первый взгляд. На самом деле статистика немного иная. В 2011-м году Forrester провел опрос около двух с половиной тысяч руководителей ИТ-подразделений и людей, принимающих решения, и задал им простой вопрос: "Если вы сталкивались с инцидентами ИБ, то какие изменения они повлекли за собой за последние 12 месяцев?". Ответы были неожиданными.


С самым распространенным ответом все вроде бы понятно. Впечатляет второй по распространенности ответ - "ничего не поменялось". В трети случаев (по оси абсцисс отложены проценты ответивших) фиксация инцидента не приводила ни к чему! Можно конечно предположить, что инциденты были несерьезные и в процесс их анализа было принято решение не тратить свои усилия на борьбу с ними, но в это верится с трудом. Увеличение затрат на защитные технологии, рост затрат на программу реагирования на инциденты - ответы тоже очевидные.

То, что удар по репутации в результате инцидента возможен - это вещь бесспорная, а вот то, что это происходит в 9% случаев - цифра интересная. Хотя тут было бы интересно посмотреть на то, как респонденты оценивали удар по репутации. Только ли по факту публикации в СМИ или еще какими-то методами пользовались; с привязкой к бизнес-показателям. Число тех, кто решил сменить поставщика продуктов или услуг достаточно велико - тоже интересный результат.

А вот чисто "бизнесовые" результаты (потеря заказчиков, партнеров или рост сложности  привлечения новых заказчиков) показывают, что инциденты ИБ либо мало (практически в рамках погрешности) влияют на бизнес-показатели, которые интересны руководству компаний (и которые могли бы вовлечь его в решение вопросов ИБ), либо мало кто реально оценивает и увязывает результаты инцидентов ИБ с бизнесом своей компании. Причем, как мне кажется, верны оба утверждения.

11.1.13

Тихой сапой в деятельности служб ИБ наступает революция

Обращали ли вы внимание на интересную тенденцию, которая тихой сапой приходит на рынок информационной безопасности. Но не на рынок производителей средств защиты или поставщиков услуг (хотя к ним это тоже имеет отношение), а в деятельность корпоративных служб ИБ. Речь идет о стирании границы между двумя ранее независимыми направлениями - рынка корпоративных и потребительских технологий. Причем именно последние проникают в первые и это ставит новые вопросы перед службами ИБ. Вот несколько примеров:
  • Нежелание пользователей использовать выданную на работе оргтехнику по 4-5 лет. Как раз наоборот - пользователи хотят жить как в обычной жизни - устарел компьютер - поменял, понравилась новая модель смартфона - поменял и т.д. И они это начинают диктовать своему предприятию. На ИБ это влияет несильно, но жизненный цикл средств защиты уменьшается и это надо учитывать при бюджетировании и выработке стратегии тестирования и внедрения средств защиты (нужно ускоряться).
  • Концепция BYOD, о которой не только уже все слышали, но и начинают использовать. Одно дело защищать корпоративные устройства и другое дело - личные, на которых может находиться (и находится) личная информация пользователя, его персональные данные, которые он не хотел бы делать достоянием если не гласности, то ИТ/ИБ-службы.
  • За BYOD мягкой поступью идет BYOT, т.е. "принеси свою технологию", когда пользователь начинает приносить свои приложения, делающие их работу удобней и эффективней. А это приводит к тому, что стандартизация ПО, о которой так ратуют многие апологеты ИТ, уже не является панацеей. Нет стандарта на используемое ПО - специалистам по ИБ приходится расширять свои знания в части изучения нового софта, новых уязвимостей, новых угроз, новых каналов утечки и т.д. Это требует ресурсов, о выделении которых надо думать заранее.
  • Размывание границы между личным и корпоративным не только в устройствах или технологиях, но и в действиях, которые пользователи осуществляют в рабочее время с личных устройств или с корпоративных устройств в нерабочее время. Не зря в развитых странах сейчас идет борьба не ИТ и ИБ, а ИБ и Privacy. Как совместить и то и другое? Как не нарушать конституционные права пользователя на частную жизнь и при этом обеспечивать эффективную работу сотрудника? Неоднократно поднимаемая тема контроля e-mail относится именно к этому направлению. Одно дело запретить заниматься личными делами на работе (нарушает ТК, но многие работодатели так делают) и совсем другое дело, когда такого запрета нет. В этих условиях службам ИБ приходится отходить от концепции "замкнутой среды" и придумывать что-то более гибкое.
  • Приход новых вендоров, ранее на корпоративном рынке незамеченных, а следовательно и неучитывающих потребности корпоративных пользователей или учитывающих не в полной мере. Речь идет о Google, Apple, Dropbox и иже с ними. Загрузка корпоративных документов в iCloud, Google.Docs, Dropbox с их малокемчитаемыми политиками с одной стороны повышает надежность хранения, гибкость доступа и удобство обмена с коллегами, а с другой ставит кучу непонятно как разрешаемых задач перед службами ИБ. Причем именно перед безопасниками - айтишникам все эти сервисы никаких особых проблем не доставляют (если не вспоминать про синхронизацию).
  • Использование социальных сетей для целей корпоративного маркетинга, привлечения новых клиентов, получения обратной связи от потребителя и т.д. С другой стороны социальные сети начинают использоваться для информационных войн (а кому с ними бороться как не безопасникам), слива (в т.ч. и случайного) конфиденциальной информации, нарушения этических норм и т.п. И обо всем этом тоже стоит задуматься ДО, а не ПОСЛЕ начала их активного использования.

В маркетинге есть модель, называемая кривой Роджерса или кривой восприятия инноваций. Суть ее проста - любая инновация воспринимается не сразу, а постепенно. Сначала ее начинают применять новаторы, потом ранние последователи, а уже за ними раннее и позднее большинство.


Так уж складывается, что к новаторам и ранним последователям в описанных выше областях нередко относятся либо руководители высшего или среднего звена, либо ключевые сотрудники, приносящие компании немалую прибыль. А следовательно их мнение и поведение надо учитывать. Пробовать упирать на требования запретительных политик ИБ можно, но вот вопрос "кто проиграет в этой войне" думаю будет не за службой ИБ ;-( И последние инциденты это демонстрируют с завидной регулярностью.

Пора пересматривать традиционные подходы  в области обеспечения ИБ и учитывать набирающее силу влияние рядовых пользователей на применение технологий и новых методов работы. А уж регуляторам с их главенствующей методической ролью (как минимум в теории) и подавно стоит об этом подумать.

10.1.13

ФСТЭК сменила сайт. Лучше бы не меняла...

Информатизация органов государственного управления добралась и до "наших" регуляторов. Не прошло и пары лет, как Дмитрий Медведев "потребовал" улучшить качество и содержание сайтов отечественных госорганов, как ФСТЭК, ФСБ и иже с ними обновили свои сайты. Одной из первых, в конце прошлого года, была Федеральная служба безопасности, которая обновила свое Интернет-представительство. Сайт как сайт. Для галочки пойдет. Пользоваться им не очень удобно, да и ФЗ-152 они не соблюдают. Некоторые разделы, например, "проекты нормативных актов" из зоны прямо видимости пропали. Найти его можно только по "старой" ссылке, но там контент не обновлялся с ноября. То ли потому, что про ссылку забыли, то ли из-за отсутствия проектов новых НПА, то ли из-за перехода всех госорганов на единый портал по размещению информации о разработке НПА (но там ФСБ даже в списке госорганов отсутствует). Подсайт центра по лицензированию, сертификации и защите гостайны ФСБ тоже малоинформативен и кроме редко обновляемого списка сертифицированных в ФСБ средств защиты не интересен.

Сайт Банка России также давно не обновлялся и малополезен специалистам по информационной безопасности. Раздел ГУБЗИ не найти даже через поиск и только прямая ссылка позволяет добраться до нужной страницы. Правда и там ждет разочарование - кроме информации о СТО БР ИББС и недавно появившегося переченя банков, присоединившихся к СТО БР ИББС, ничего и нет. А как было бы удобно опубликовать там весь перечень нормативных актов Банка России, имеющих отношение к ИБ. Сейчас же приходится шерстить "Вестник Банка России" в поисках нужных документов... Да и другой полезной информации по банковской ИБ там можно разместить немало.

Ну и наконец сайт ФСТЭК. Он обновился аккурат вчера, хотя многие специалисты наблюдают за ЭТИМ уже давно - ссылка на тестовую версию висела на главной странице сайта ФСТЭК больше полугода. Обсуждать контент сейчас не буду - частично он переехал с предыдущей версии, частично он новый, что-то явно будет еще наполняться (хотя за полгода можно было бы и наполнить). У меня претензии другого плана - к архитектуре, дизайну и тестированию сайта. Проектировал его явно кто-то незнакомый ни с первым понятием, ни со вторым, ни с третьим.

В Facebook коллега хорошо высказался на эту тему: "Реальный треш. Так и вижу, как сотрудник ФСТЭК просит 17 летнего сына и его знакомых создать новый дизайн сайта… Ладно Россия отстает от Запада по многим направлениям включая лживую девку кибернетику, но создавать сайты по образу 2000 года, живя в 2012 это конечно тихий ужас. Гораздо проще не просить сына, а заплатить 20-30 тысяч фрилансеру в Новосибирске и на выходе получить что-то более-менее в стиле современности. Вообщем проклятое место. Собирали Ламборджини, а снова вышел АвтоВАЗ".

У меня аналогичное впечатление - сайт создавали на коленке те, кто взял в руки учебник по Joomla и стали выполнять его рекомендации; пропустив первый раздел о планировании информационной архитектуры. Именно она определяет, какая информация будет содержаться на сайте, как к ней организовать удобный доступ, кто целевая аудитория и т.д. и т.п. Ну разве непонятно было, что стоило всю информацию четко разделить на 2 больших блока - экспортный контроль и техническая защита конфиденциальной информации? Это позволило бы сразу разделить аудитории. В экспортный контроль не лезу, а раздел по ТЗКИ можно было бы разделить как минимум по двум срезам:
  • По аудитории. Я их вижу по крупному 4 - лицензиаты-оказатели услуг, сертификаторы, разработчики, потребители. Они почти не пересекаются по используемой информации.
  • По задачам. Их тоже немного - лицензирование деятельности, аккредитация лабораторий, сертификация продуктов, рекомендации/требования по защите, контроль и надзор.
И это все лежит на поверхности. Ну почему бы не посетить сайты аналогичных ведомств в других странах и посмотреть, как сделано "у них". Австралийцы, американцы, канадцы... Ну почему их сайты не вызывают отторжения? Ну почему там и без Артемия Лебедева дизайнеры есть и способы сделать что-то простое, но при этом удобное в использовании?.. Ну а про работоспособность сайта в различных браузерах я вообще молчу. У меня в Firefox текстовые блоки наезжают друг на друга, а часть ссылок не срабатывает с первого раза. В Safari та же проблема. У коллег проблемы с просмотром в Хроме. Пожалуй, только в Internet Explorer все работает более-менее. На смартфоне и планшетнике ситуация еще хуже - видимо о специальных мобильных версиях для сайтов разработчики не слышали.

В общем хотелось как лучше, а получилось как всегда. Задумки-то неплохие - тут и английская версия (покоцанная, правда), и RSS, и кнопки "поделиться" в разных социальных сетях, и политика работы с ПДн... Но как-то это все недоделано. Не хватает ФСТЭК специалистов по digital marketing, которые бы выстроили грамотную стратегию продвижения ФСТЭК в Интернет и помогли бы составить правильное техническое задание для разработчиков сайта.

ЗЫ. Старая версия была гораздо удобнее нынешней с точки зрения навигации и дизайна (его там просто не было, а потому он и не мешал).