26.2.13

Хроники Совета Федерации или как пишется Стратегия кибербезопасности

Сегодня мне довелось побывать на 3-м совещании в Совете Федерации, инициированном сенатором Русланом Гаттаровым и посвященном вопросам создания Стратегии кибербезопасности РФ. Тема безусловно важная, т.к. с момента выхода Доктрины ИБ прошло уже больше 10-ти лет и с тех пор многое поменялось - в поведении людей, в технологиях, в Интернет... Но как оказалось не поменялись только наши силовики, иначе как ретроградами после вчерашнего заседания я назвать не могу ;-(

Как не хотелось опускаться на уровень терминологических споров в самом начале работы, но без этого не обошлось. Термин "кибербезопасность" вызвал очередную дискуссию. Кто-то говорил, что он шире термина "информационная безопасность", кто что уже. Кто-то начал спорить, что нельзя вообще использовать буржуинский термин. МИД высказал в почти ультимативной форме пожелание заменить "кибербезопасность" "международной ИБ" (термин, который Россия с 98-го года использует на международной арене). В итоге треть заседания прошла в терминологических спорах "ни о чем".

Вторая треть заседания "невзначай" коснулась связи разрабатываемой Стратегии с иными документами "по теме" и позицией регуляторов. Оказалось, что они не видят смысла самим разрабатывать что-то аналогичное и тем более публичное (звучали даже идеи засекретить инициативу Совета Федерации), но готовы посмотреть на конечный результат и если что... присоединиться и взять на флаг полученный документ. Из уст МИДа и СовБеза звучали слова о том, что зачем такая стратегия нужна, если у России уже есть согласованная всеми ведомствами (МИД, ФСБ, СовБез и т.д.) позиция и она непреклонна и вообще публичное обсуждение таких "скользких" вопросов только на руку нашим врагам за океаном...

В третьей трети заседания обсуждалась сама Стратегия, а точнее ее второй вариант. К слову сказать, то, что получилось, выглядит вполне достойно для второй редакции и очень похоже на аналогичные стратегии иных государств. Помимо общих замечаний, хотели обсуждать и конкретные задачи, но дальше первой так и не продвинулись - речь о центрах мониторинга и реагирования на киберугрозы (вот, кстати, еще один парадокс - в словах "преступность", "терроризм", "угрозы" силовики МИД вполне себе позволяют использовать приставку "кибер-", а в слове "безопасность" категорически против). Как заявил представитель СовБеза, оказывается, у ФСБ все уже давно есть (речь шла об упоминаемой мной как-то системе СОБКА - Система ОБнаружения Компьютерных Атак) и Указ Президента 31с только формализовал то, что и так уже давно и с успехом работает на благо государства, бизнеа и гражданского общества (с последними двумя пунктами в 31-м указе как-то негусто, но СовБезу виднее). Потом прозвучали слова о том, что единый центр мониторинга киберугроз - это неосуществимо и соответствующие ведомства уже не первый год обсуждают этот вопрос с юридической, технической и философской точек зрения (!) и не могут прийти к взаимопониманию.

Так и закончилось наше заседание. На конструктивное обсуждение разделов Стратегии кибербезопасности времени не осталось. Но поручения по доработке были выданы, работа продолжается. Следующая итерация в марте - думаю текст уже будет в высокой степени готовности. А вот дальше начнется самое интересное - обсуждение Стратегии с профильными ведомствами ;-)

25.2.13

Поведение российских подростков в Интернет: уроки для служб ИБ

В прошлый четверг я писал об американском исследовании поведения молодежи в Интернет с точки зрения информационной безопасности. Было бы неправильно не рассказать и об отечественных исследованиях по данной тематике. В 2011-м году Факультет психологии МГУ, Федеральный институт развития образования и Фонд развития Интернет опубликовали большое исследование "Пойманные одной сетью: социально-психологическое исследование представлений детей и взрослых об Интернет" (176 страниц).

Как говорится в аннотации "В монографии представлены результаты серии иссле дований, осуществленных в 2009-2010 гг. в рамках Года Безопасного Интернета в России сотрудниками Фонда Развития Интернет, факультета психологии МГУ имени М.В. Ломоносова и ФГАУ «Федеральный институт развития образования» Минобрнауки России. Главный фокус исследований — особенности восприятия детьми и взрослыми глобальной сети, проблемы безопасности российских детей и подрост ков в интернете, роль родителей в обеспечении безопасности и компетентность педагогов в использовании современных ИКТ".

Выборка в исследовании была достаточно репрезентативная - в различных исследованиях участвовали от нескольких сотен до нескольких тысяч школьников, студентов, родителей, преподавателей из разных регионов России - от Мурманска до Ставрополья, от Карелии до Хабаровска. Все описанные в монографии исследования преследовали, конечно, не цель, связанную с корпоративной или ведомственной ИБ. Но среди прочего изучалось и поведение молодежи (будущих работников и чиновников) в Интернет, отношение к рискам и многие другие аналогичные вопросы.

Среди выводов (часть вполне очевидных), сделанных исследователями:
  • Интернет становится привычным пространством общения и досуга, заменяющим ТВ, радио и живое общение.
  • Многие проводят в Интернет по несколько часов в день, теряя вкус к реальной жизни. Появляется Интернет-зависимость, отсутствие социальной адаптации, неумение общаться и потеря "чувства реальности". У зависимой молодежи нередки случаи повышенной агрессии и немотивированного насилия. Желание как можно дольше сидеть в Интернет приводит к употреблению допинга, что тоже не самым лучшим образом влияет на молодежь, снося ей башню.
  • Большая часть опрошенных считает Интернет неопасным. Эти "данные конкретизируют ставшее сегодня уже общепринятым представление о том, что именно дети и подростки являются наиболее уязвимой группой пользователей Всемирной паутины и подвергаются опасности даже при анонимном общении по причине недостаточной степени осознания возможных последствий". К чему это приводит тоже понятно - рост вероятности успешного социального инжиниринга и иных техник внедрения вредоносного кода на компьютер жертвы.
  • Подростки беспечны и спокойно раздают напрво и налево свои персональные данные. Это, кстати, в очередной раз ставит вопрос о том, зачем нам такое жесткое законодательство по персональным данным, если сами субъекты ПДн не сильно заботятся о сохранности своей личной жизни?

  • Было выделено 7 типов подростков — пользователей интернета: «любознательные», «тусовщики», «бунтари», «игроки», «потребители», «ботаники» и «деловые». Первые четыре типа подростков-пользователей — самые распространенные среди российских школьников. Именно "бунтари" "разводят лохов",  "взламывают сайты" и делают иные неблаговидные вещи. Причем зачастую они не видят ничего криминального в своих действиях.
Вообще, очень интересное исследование, дающее понимание, куда и как будет развиваться нынешняя молодежь, если ее не направить в правильное русло. Число "бунтарей", невидящих криминала в хакерской деятельности, и "тусовщиков", готовых на многое (в т.ч. и попасть на удочку социального инжиниринга) ради прикольной встречи, будет только расти. И когда они перейдут из разряда школьников в разряд работников российских или зарубежных компаний (а произойдет это лет через 7-10), тогда мы и вспомним про это исследование и про то, что понимание человеческого поведения и знание психологии может помочь в выстраивании правильной стратегии ИБ.

22.2.13

А где установлена обязанность проводить анализ качества кода?

Анализ качества кода на Уральском форуме в Магнитогорске стал одной из самых актуальных тем - ему было посвящено целых 3 доклада и отдельные высказывания представителей ГУБиЗИ и ДРР Банка России. С точки зрения здравого смысла очевидно, что анализировать качество кода нужно. Это повышает стабильность, надежность и защищенность готового продукта. Но является ли это обязательным требованием или всего лишь пожеланием со стороны экспертов?

Как это ни странно, но это является требованием не в одном, и даже не в двух нормативных актах. Начнем с СТО БР ИББС 1.0 от 2010-го года. Раздел 7.3.5 гласит буквально следующее: "Также документация на разрабатываемые АБС или приобретаемые готовые АБС и их компоненты должна содержать описание реализованных защитных мер, предпринятых разработ чиком относительно безопасности разработки и безопасности поставки". Иными словами разработчик должен вести безопасную разработку и должен написать про это в документации на поставляемую АБС. Интересно, кто-то когда-то проверял наличие такого раздела в документации на приобретаемые АБС?

А еще у нас есть PCI DSS с его разделами 6.3, 6.5 и 6.6, посвященными как раз качеству кода, безопасной разработке и регулярному тестированию ПО на предмет требований стандарта PCI DSS и других лучших практик. И конечно же стандарт PA DSS, полностью посвященный вопросам разработки платежных приложений; особенно раздел 5. В отличие от СТО БР ИББС стандарты PCI DSS и PA DSS носят обязательный, а не рекомендательный характер.

Но это не все, что ожидает банковские организации и разработчиков платежных приложений в отношении обязательств по анализу качества кода. Вспомним Уральский форум. Заместитель начальника ГУБиЗИ Артем Михайлович Сычев поделился планами по развитию СТО БР ИББС, в числе которых разработка нового документа "Требования к банковским приложениям и разработчикам банковских приложений". Можно предположить, что данный документ включит в себя базовый набор требований к функциональности и процессу разработки платежных приложений, применяемых в российских финансовых организаций. Аналогичные планы есть и у Департамента регулирования расчетов - их озвучил заместитель директора ДРР Андрей Петрович Курило. Правда, ДРР идет чуть дальше ГУБиЗИ и предлагает не только установить требования к разработчикам платежных и финансовых приложений, используемых в рамках Национальной платежной системы, но и проводить оценку их соответствия (возможно, сертификацию) указанным требованиям.

Но значит ли все вышенаписанное, что только банковские приложения должны подвергаться дополнительному анализу на качество кода? Нет. Ведь у нас еще есть угрозы наличия недекларированных возможностей в прикладном и системном ПО, используемом в информационных системах персональных данных. С ними-то надо что-то делать? Но что? 16 ноября я уже мутил дискуссию на эту тему, в которой родилось необычно много комментариев и предложений. Часть из них, вполне вероятно, войдет в приказ по защите персональных данных. А иначе как бороться с тем, что так опрометчиво разработчики ПП-1119 включили в число угроз, с которыми надо бороться?

Выглядеть фрагмент приказа мог бы так: "В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению персональных данных могут применяться следующие меры: 
  • проверка кода системного и (или) прикладного программного обеспечения на отсутствие недекларированных возможностей с использованием автоматизированных средств (автоматизированная проверка кода);
  • проверка кода системного и (или) прикладного программного обеспечения на отсутствие недекларированных возможностей без использования автоматизированных средств (ручная проверка кода);
  • тестирование информационной системы на проникновения (пинтесты);
  • использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования". 
Так что тема, которая совсем недавно была уделом немногих продвинутых компаний, задумывающихся о безопасности заказных или своих самописных приложений, может вскоре стать очередным драйвером  развития российского рынка информационной безопасности. И игроки тут уже свои тоже появляются, например, Appercut Security или Positive Technologies. Есть свои фанаты этой тематики, ведущие специализированные блоги, например, Женя Родыгин. Готовятся мероприятия, посвященные анализу кода. Например, этой теме будет посвящена отдельная секция на РусКрипто 2013.

Так что готовтесь, коллеги...

21.2.13

Поведение молодежи в Интернет как угроза безопасности

Выражение "поколение Next" или "поколение Пепси" стало известным в 90-х - начале 2000-х годов и оно отражало совершенное новое поколение молодых людей, выросших в условиях полного отсутствия советской идеологии, в условиях перестройки, рыночных отношений и т.д. Сегодня появляется новый термин, отражающий очередную смену поколений. Это термин "поколение Y" или "millennial". Надо заметить, что в отличие от многих читателей этого блога, поколение Y выросло в то время, когда Интернет уже был распространен (многие даже не знают что такое ходить в FIDO на скорости в 14400 бод), когда компьютер перестал был предметом роскоши, когда у каждого появился мобильный телефон или смартфон. Поменялось у этого поколения и поведение в Интернет и поведение, связанное с применением информационных технологий. Частично, такие изменения описаны в отчете Cisco по глобальным сетевым технологиям, но мне бы поговорить хотелось не о нем.

В конце сентября был выпущен еще один интересный американский отчет, подготовленный по заказу Министерства национальной безопасности США (Department of Homeland Security). Отчет не очень большой - всего 60 страниц, но выводы в нем сделаны очень интересные. В нем говорится, что поколение "тысячных" (millennial) является первым, кто "всегда на связи", "всегда подключен" к средствам коммуникаций. Они не видят своей жизни без iPhone и iPad, без своего MacBook или другого лептопа. Они приносят их на работу и на учебу, создавая новые каналы реализации угроз, расширяя спектр возможных уязвимостей. Это новое поколение не понимает тех проблем и задач ИБ, которые стоят перед более старшими товарищами. Я уже как-то писал, что для современной молодежи нормальным является открыть о себе как можно больше данных в социальных сетях. Иначе они будут считаться "белыми воронами". И про исследование Евросоюза о парадоксах в словах и действиях субъектов персональных данных тоже писал.

И вот американское исследование, задачей которого было изучить поведение поколения Y в киберпространстве и сформировать идеи по повышению осведомленности Интернет-молодежи в вопросах обеспечения информационной безопасности. Было проведено несколько экспериментов, которые и позволили сделать выводы о том, что современная молодежь гораздо хуже соблюдает многие классические требования по безопасности - по правильному выбору паролей, по работы с электронной почте, по борьбе с фишингом и т.д. Вот облегченная сводная статистика.


Дальше исследователи стали пытаться найти ту форму донесения информации дл поколения Y, которая бы смогла помощь поднять уровень осведомленности в вопросах безопасности. Были опробованы разные варианты. Например, такой


Но в процессе экспериментов оказалось (что неудивительно, конечно), что девушки и юноши по-разному реагируют на те или иные формы и форматы донесения информации. Поэтому были разработаны отдельные "женские" и отдельно "мужские" способы коммуникаций.


Они варьировались от обычных "ну, чувак, ты лоханулся и нажал на сообщение, которое увело тебя на вредоносный сайт" до достаточно информативных и содержащих конкретные рекомендации по повышению уровня защищенности. Например, вот так выглядела коммуникация с молодой девушкой, которая неумело выбирала пароли доступа к различным социальным сетям и иным посещаемым Интернет-проектам.


Никаких текстовых памяток или парольных политик на 10-20 страниц. Все лаконично и предельно понятно. "Длиннее, сложнее, разнообразнее" так звучит девиз при выборе пароля.


И это дало свой эффект - поведение испытуемых поменялось в лучшую сторону. Выбираемые ими пароли стали сложнее и длиннее. Они стали реже заходить на фишинговые сайты и кликать по ссылкам в приходящих сообщениях e-mail. А значит выбранная форма повышения осведомленности была правильной и сыграла свою позитивную роль.




Вывод из этого исследования напрашивается простой - нельзя почивать на лаврах и жить с политиками, разработанными 5-10 лет назад или даже год назад. Нельзя иметь один комплект политик и требований. Надо учитывать целевую аудиторию! Этот классический маркетинговый принцип может быть и должен быть транслирован в т.ч. и в информационную безопасность. Без этого все попытки повысить уровень защищенности своей организации (даже с отличными средствами защиты, кипой правильных документов и аттестатом соответствия) будут обречены. Ведь безопасность системы равна безопасности самого слабого звена, а им всегда был и остается человек. Исключая его из процесса обеспечения ИБ на предприятии мы делаем ситуацию только хуже.

20.2.13

Американцы активизируют усилия по защите критически важных объектов

12 февраля президент США Барак Обама подписал очередной указ "Усиление кибербезопасности критических инфраструктур", который наметил ряд первоочередных задач по повышению уровня защищенности американских критических инфраструктур. Данный указ состоит из 6-ти направлений, которые будут реализовываться различными агентства и федеральными структурами:
  1. Координация усилий. Лишний раз уточняется, что все разрозненные спецслужбы и федеральные структуры, задействованные в процессе защиты критических инфраструктур, должны координировать свои усилия в соответствие с президентской директивой №1 от 13 февраля 2009 года.
  2. Обмен информацией. Тут вроде тоже все понятно. Госорганы и частные компании, владеющие КВО, должны обмениваться информацией о киберугрозах. В качестве протокола такого обмена предлагается использовать STIX.
  3. Консалтинг. Секретарь ихнего СовБеза должен установить процедуры по консультированию всех заинтересованных сторон по вопросам кибербезопасности КВО.
  4. Создание базовой инфраструктуры. Это, пожалуй, самый интересный пункт, который подразумевает создание инфраструктуры, включающей методологию, стандарты, процедуры и процессы по снижению рисков ИБ для КВО, а также эффективные, гибкие, реплицируемые, измеримые и экономичные методы и меры защиты.
  5. Привлечение волонтеров.
  6. Идентификация критичных инфраструктур с повышенным риском.
Первым практическим результатом данной работы стала разработка американским институтом по стандартизации (NIST) RFI по защите критических инфраструктур. Все заинтересованные лица должны прислать в NIST информацию об используемых методах и стандартах защиты критических КВО, которые будут проанализированы экспертами NIST с привлечением федеральных органов и спецслужб. По истечении 240 дней с момента публикации президентского указа (т.е. еще до конца 2013-го года) базовая инфраструктура кибербезопасности должна быть разработана и опубликована.

Хотя у нас и непринято опираться на американский опыт, данный пример очень показателен. Американские спецслужбы не сами навязывают частным и государственным компаниям методы борьбы со сферическим конем в вакууме, которые мало применимы к реальной жизни. Они действуют более грамотно, сначала запрашивая у КВО информацию о существующих методах борьбы с киберугрозами. Затем они будут анализироваться на предмет соответствия некоторым лучшим практикам и стандартам, а затем на их основе будет разработан целый комплект новых документов, процессов и процедур, способных бороться с угрозами в эпоху пост-Stuxnet.

ЗЫ. В России же пока темой кибервойн активно интересуются телеканалы. Спецслужбы же борются не с кибертеррористами, а с киберэкстремистами и радикалами. Тоже важная задача, но нерешаемая (именно в контексте борьбы с нелегальными элементами). Деанонимизация, о которой заговорили в прошлом сентябре и продолжили в феврале, ударит только по легальным пользователям; те, кто хочет скрыть свою незаконную активность от правоохранителей и силовиков и так это сделают - методов существует немало. Зато прижать хвост оппозиции, не сильно технически подкованной, можно будет легко. А это куда как важнее для нынешней власти, чем борьба с реальной киберугрозой ;-(

19.2.13

Завтра не умрет никогда. Поле биты - Интернет

В прошлый вторник по "Культуре" показывали документальный фильм "Завтра не умрет никогда. Поле битвы - Интернет". Я там давал интервью и побыл немного консультантом ;-)


18.2.13

Уральский форум - впечатления

Вся прошлая неделя прошла под Магнитогорском на Уральском форуме по информационной безопасности банков. Мероприятие стало еще лучше. По многим показателям. Тут вам и деловая программа, и спортивная, и культурная. Даже метеорит в пятницу и то был ;-) Я свел все впечатления от деловой программы в одну презентацию, которую и выкладываю.



На Уральском форуме в последний день была у меня еще одна презентация, помимо  опубликованной выше. Назвалась она "Как стать известным специалистом по информационной безопасности". Надо сказать, что за 15 минут рассказать об этом достаточно сложно и поэтому я наметил скорее какие-то общие направления и моменты. Презентацию выкладываю.



Собственно основных мыслей две. Первичен вопрос не "Как стать известным", а "Зачем стать известным". Именно от ответа на второй вопрос зависит успех или не успех первого. Первый - это техника, следуя которой можно действительно чего-то добиться. Но только поняв первопричину, достигнутый успех можно закрепить. Одному известность нужна, чтобы доказать бывшей девушке, ушедшей к другому. Другому - доказать что-то родителям, неверившим в ребенка. Третьим - тупо иметь много девчонок (или парней). Поняв исходную точку, можно понять и способ ее достижения.Вторая мысль еще проще - чтобы быть известным, надо что-то делать, а не ждать, когда известность упадет с неба. Падает она очень редко, а исчезает и того быстрее.

Презентация была посвящена вопросу известности, а не теме становления специалистом. Но события, которые сопровождали последние пару дней Форума и последующие дни показали, что до сих в отрасли не сложилось определения понятия "специалист по ИБ". Причем доказать свою "крутотень" стремятся все, но особенно молодежь. Года не проходит, чтобы где-то на форуме, в социальных сетях, на мероприятиях не начинался срач на тему "А ты кто такой?" Причем нельзя сказать, что это что-то новое. Достаточно вспомнить советскую классику:


Но похоже это вечная тема. Я ей посвятил как-то статью, в далеком 2005-м году, так ее и назвав "Кто такой "настоящий безопасник" (на Секлабе). Но всегда будет находиться очередной вьюнош, бескомпромиссно пытающийся доказать, что авторитетов не существует. Тут еще можно и "Отцов и детей" вспомнить Тургенева ;-)

11.2.13

Обновление программы курса по защите информации в НПС

Обновил программу курса по НПС. В текущей версии 1.6 добавлены следующие темы:
  • Требования ДИС Банка России по защите информации в системах ДБО
  • Все нормативные требования по защите информации в системах ДБО (ФСТЭК, ФСБ, Банк России)
  • Обновление списка операторов платежных систем
  • Список операторов электронных денежных средств
  • Планы развития СТО БР ИББС на 2013 год
  • Планы развития требования по защите информации в НПС на 2013 год
  • Рекомендации НП НПС о порядке использования электронных средств платежа
  • Деятельность НП НПС в части уточнения работы с 382-П, 2831-У и ПДн в рамках НПС

8.2.13

Контроль качества ПО с точки зрения ИБ становится обязаловкой?!

Об анализе кода я писал не раз и даже спрогнозировал в конце прошлого года, что тема эта поднимется с колен и начнет свое победное шествие по миру. И дело даже не в том, что по другому очень сложно бороться с НДВ, которое так необдуманно было вставлено в ПП-1119, а в том, что этого требует современное состояние защищенности многих корпоративных приложений.

Ведь не секрет, что абсолютное большинство атак реализуется уже не на сетевом, а на прикладном уровне. Еще в середине 2000-х я выступал с презентациями, в которых приводилась цифра 75% - именно такое количество атак фиксируется на прикладном уровне. Традиционные межсетевые экраны и системы предотвращения вторжений слабо помогают решать эту задачу. Нужные совершенно новые идеи. И одной из них является как раз анализ кода. Когда мы обсуждали, как может реализовываться задача борьбы с НДВ в документах ФСТЭК или ФСБ, то набросали несколько вариантов:
  • внедрение приемов "защищенного" программирования (SDLC)
  • проверка кода на предмет НДВ с помощью автоматизированных инструментов (например, Appercut Security)
  • ручная проверка кода на предмет НДВ с помощью специализированных компаний (например, Positive Technologies и т.п.) или в рамках сертификационных испытаний ФСТЭК/ФСБ/МО
  • услуги по анализу защищенности приложений и операционных систем, включая пентесты
  • доверенная аппаратная платформа с функциями защиты от НДВ на системном и прикладном уровне
  • страхование соответствующих информационных рисков.
Но ни одна из этих идей не прошла (для ФСТЭК времени было мало, а мотивация ФСБ так и осталась для меня загадкой при выборе ими защитных мер от НДВ системного или прикладного уровня), но регуляторы задумались. Об этом задумалась ФСТЭК. Об этом задумался Банк России, который планирует в этом году разработать отдельный документ с требованиями к банковским приложениям (на Инфофоруме в начале недели вообще прозвучала идея об отдельной сертификации финансовых приложений). Уникальны ли мы в этом вопросе? Нет!

С нового года в США вступил в силу закон под названием "Defense National Defense Authorization Act of 2013", который устанавливает определенные требования к продукции, поставляемой по оборонному заказу. Среди прочего (к слову сказать, закон занимает 681 страницу А4) есть там и раздел 933 "IMPROVEMENTS IN ASSURANCE OF COMPUTER SOFTWARE PROCURED BY THE DEPARTMENT OF DEFENSE", в котором говорится об обязательном контроле качестве ПО, приобретаемом Министерством Обороны. Достигается эта задача применением автоматизированных сканеров безопасности, тестированием, анализом кода и т.д. При этом действует это требование не для всех систем, приобретаемых американским МинОбороны (слишком уж накладно было бы), а только для определенных категорий - т.н. основных, систем, связанных с национальной безопасностью, и систем категории I по классификации МинОбороны США.

Но не только американская военщина озабочено анализом кода. 5-го февраля NIST опубликовал 4-ю версию своего документа SP800-53 "Security and Privacy Control for Federal Information Systems and Organizations", содержащего полный перечень мер для защиты государственных информационных систем США. Из этого перечня в зависимости от класса информационной системы с помощью SP800-60 и выбираются нужные механизмы обеспечения ИБ. Среди прочего есть там группа мер под названием "Systems and Service Acquisition", т.е. что делать при приобретении систем или услуг. А внутри группы SA есть блок SA-11 "Developer Security Testing and Evaluation", который появился только в 4-й редакции и содержит, собственно, меры по анализу качества приобретаемого ПО. Таких мер 7:
  • средства анализа кода
  • анализ уязвимостей и угроз
  • независимая оценка плана анализа защищенности
  • ручной анализ кода
  • пентесты
  • моделирование угроз
  • проверка области тестирования/анализа.
Еще один новый блок связан с угрозами в цепочке поставок. Это SA-12 и в нем тоже присутствуют тематика анализа кода. Вы уверены, что в приобретенном вами коде нет случайных или намеренных закладок? Чтобы ответить на этот вопрос и нужны меры из SA-12, в частности оценка ДО выбора системы, ДО ее использования и ДО ее обновления. А среди инструментов такой оценки NIST предлагает статический и динамический анализ, симуляцию, тестирование в режиме "белого"/"серого"/"черного" ящика, пентесты, fuzz testing, криптографические хэши и т.д.

В случае с NIST SP800-53 анализу подвергается не каждая приобретаемая система, а только некоторые из них, что зависит от класса государственной информационной системы и актуальных угроз.

К чему я это все пишу? Не для регуляторов - они рано или поздно придут к тому же, к чему пришел американские институт стандартов или МинОбороны. И не для вендров - западные и так проводят все эти работы, а отечественных врядли что-то заставит тратить дополнительные ресурсы на неочевидные вещи. Пишу я для потребителей, которые должны задуматься об анализе кода приобретаемых или самописных приложений. Либо с точки зрения регуляторики (уже к концу года стоит ждать документов от Банка России), либо с точки зрения выгоды. Спустить на тормозах эту тему уже не удастся...

7.2.13

Какие нормативы регулируют защиту ДБО?

Позавчера на Инфофоруме, в секции по НПС звучало немало нелестных слов от банкиров, которых видимо уже достало увеличение числа нормативных требований по защите, которые навешивают на них регуляторы. Они хотели бы жить по западным правилам игры, когда особых требований к защите ДБО никто не предъявляет и каждый банк исходит из принципа разумной достаточности и экономической целесообразности. У нас же все иначе.

Сегодня требований по безопасности систем ДБО пруд пруди:
  • раздел 7.6 СТО БР ИББС, за который отвечает ГУБиЗИ Банка России
  • Положение 382-П, за которое отвечает ДРР Банка России
  • упомянутые вчера требования по защите ДБО, разработанные ДИС Банка России вместе с Российской Академией Наук
  • требования ФСТЭК по защите персональных данных, т.к. до сих пор так никто ответа и не дал, как же защищать персданные при осуществлении денежных переводов - по 161-ФЗ или по 152-ФЗ
  • требования ФСБ по применению СКЗИ, в т.ч. и для ДБО
  • рекомендации НП НПС и АРБ по реагированию на инциденты в ДБО
  • Письмо 60-Т от 27.04.2007 "Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)"
  • Письмо 197-Т от 7.12.2007 "О рисках при дистанционном банковском обслуживании"
  • Письмо 36-Т от 31.03.2008 "О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга"
  • Письмо 11-Т от 30.01.2009 "О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга"
  • Письмо 141-Т от 26.10.2010 "О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания".
Визуально это выглядит так:

Внушительный список. Где-то это обязательные требования, где-то рекомендации. Но вопрос, которым задаются банки, в другом. Почему нет требований к разработчикам АБС и систем ДБО? Почему регулируют только банки? Потому что у них есть деньги? Или потому что у них есть отраслевой регулятор, а у разработчиков ДБО нет?

А ведь помимо разработчиков АБС немалое число проблем приносят злоумышленники, которых либо не ловят, а если ловят, то дают условные сроки или вовсе отпускают. А еще есть клиенты, малознакомые с вопросами информационной безопасности. А почему нет роликов по повышению осведомленности клиентов в области информационной безопасности? Предусматривает ли программа повышения финансовой грамотности россиян, о которой так давно говорят наши власти, вопросы ИБ при осуществлении финансовых транзакций?

Но ни преступников, ни клиентов особо не трогают, концентрируя весь набор требований на банках. Оно и понятно - проще. Это вам не внесение изменений в Уголовно-процессуальный кодекс. И не написание разъяснений для судей и следователей. И не регулярное их обучение. И не поиск баланс в 9-й статьей ФЗ-161. На все это требуется время и усилия по продвижению изменений. А выпустить требования по защите гораздо проще. Только вот в какой-то момент должно произойти переполнение чаши терпения. И вот тогда я даже не берусь предсказывать, к чему это все может привести...

6.2.13

Как взломали один банк...

UPDATE : Вопрос частично разрулили. Служба ИБ банка отработала сигнал оперативно. Деньги должны вернуть!

Что-то банковская тема не сдается и постоянно дает о себе знать. Вроде как еще вчера на секции по НПС была активная дискуссия на тему взаимоотношения банка, клиента и регулятора, а тут практическая ситуация ;-) Позвонила знакомая и сообщила, что ее счет в одном крупном банке взломали. Взломали очень интересно. Если дело было действительно так, как она описывала, то это верх разгильдяйства и непрофессионализма тех, кто выстраивал АБС. Ну и к службе ИБ там тоже есть вопросы (если они участвовали в процессе построения системы). Но написать я хотел о другом.

Два факта сопровождали этот взлом. Они интересны именно с точки зрения практической реализации различных требований и рекомендаций по защите ДБО. В частности, упомянутая мной сегодня методичка ЦБ по защите ДБО. В ней, в разделе технологических мер есть такой совет, как установление ежедневного лимита на снятие денег со счета.  Звучит она так "При использовании клиентского рабочего места в режиме минимального уровня защиты должно действовать ограничение на максимальную сумму транзакции, а ряд транзакций могут быть запрещены банком. Суточный объем транзакций также может быть ограничен". Но вот дальше возникает вопрос, а КАК должна быть реализована эта мера? Что должен просить клиент банка при реализации этой меры? Как проверить выполнение этой меры в рамках контроля (надзора)?

В упомянутом выше взломе мошенники действовали просто - первую сумму они сняли в 23.59, а вторую в 00.01. Формально требование суточного лимита соблюдено - 23.59 и 00.01 - это два разных дня. Правда идея суточного лимита все-таки относится к астрономическим, а не календарным суткам. Поэтому банкам стоит настраивать свои системы именно на 24-хчасовой интервал межжу транзакциями, а не на на учет календарных суток. А клиентам уточнять при оформлении данной услуги - как банк учитывает сутки, календарно или астрономически?

Дальше больше. Мошенники на двукратном снятии денег не остановились и пошли в соседний банкомат другого банка. И что же? Они с успехом сняли деньги и там, т.к. суточное ограничение на снятие наличных действовало только для собственной банкоматной сети и не было (почему-то) привязано к самому счету. И вновь совет банкам - привязывать суточные лимиты к счету или даже клиенту целиком, а никак не к банкомату или собственной банкоматной сети. Клиентам же стоит также интересоваться, ограничение действует только в "своих" банкоматах или распространяется на все банки без исключения. Причем обе рекомендации легко проверить на практике.

И тут вспоминается вчерашняя дискуссия на Инфофоруме. Представитель общества по защите прав потребителей говорил, что нужно повышать осведомленность клиентов банков в области ИБ. Представитель HandyBank напротив был уверен, что это все не работает и делает только хуже, создавая у клиентов чувство ложной защищенности. Он наоборот предложил концентрироваться на ловле преступников, а не на давлении регуляторов на банки. Представитель ВТБ говорил, что увеличение требований по ИБ не может идти бесконечно и в какой-то момент встанет дилемма "безопасность или удобство". В качестве примера приводилась африканский кейс, где ввели правило биометрической идентификации по отпечаткам пальцев при снятии денег. Через какое-то время после введения этой меры число мошенничеств перестало снижаться и опять стало расти, как и число инцидентов с отрезанными пальцами. При этом вице-президент ВТБ вскользь бросил идею, что регулятору стоило бы жестко установить минимальный уровень защиты.

Что могу сказать? Все правы и неправы, если посмотреть на упоминаемый мной взлом. Клиенту стоило бы знать, какие вопросы задавать банку при оформлении услуги "суточный лимит". А помочь ему в этом могли бы ролики повышения осведомленности. Но роликов недостаточно. Нужны были разъяснения и требования со стороны регулятора (скорее всего именно ЦБ), как должна была быть реализована данная услуга по суточному лимиту. Простой формулировки как в вышеупомянутой методичке ДИС явно недостаточно. А помимо требований в методику контроля (надзора) должен был быть вставлен соответствующий пункт (что и как проверять). Ну а преступников конечно ловить надо в любом случае. Только вот непросто это в таких кейсах.

Новая методичка Банка России по безопасности ДБО

Те немногочисленные посетители последней секции вчерашнего Инфофорума, посвященной защите дистанционного банковского обслуживания (ДБО), помнят доклад Андрея Щербакова, советника ДИС Банка России. Он анонсировал методические рекомендации по безопасности ДБО, разработанные ДИСом и Российской Академией Наук. Это было не только ново, но и неожиданно. Раньше ДИС не был замечен в этой области. Да и вопрос компетенции тоже сразу возник; все-таки это скорее тема ГУБиЗИ, чем ДИСа. Но оставим в стороне этот вопрос и посмотрим на сами требования, которые были любезны присланы по моей просьбе.

Разработчики рекомендаций выделяют 9 групп требований:
  1. Требования по идентификации и аутентификации клиентов
  2. Требования по идентификации и аутентификации клиента и удаленного банка
  3. Требования по аутентификации и регистрации операций
  4. Требования по защите транзакций
  5. Требования к криптографической подсистеме
  6. Требования по хранению ключей
  7. Требования по безопасности программного окружения
  8. Требования к журналам и аудиту
  9. Технологические требования. 
При этом, традиционно для ФСТЭК или ФСБ, но необычно для Банка России, выделяются три уровня безопасности – минимальный, стандартный и повышенный, для каждого из которых меняется состав каждой из групп требований.Собственно ничего сверхсложного или непонятного в рекомендациях нет - все предельно понятно и выполнимо. Вопрос может вызвать криптография в мобильных ДБО, но требования по применению сертифицированных СКЗИ возникают только для повышенного уровня. В остальном все вполне на уровне.

 
По заявлениям Щербакова данный документ был направлен в 8-й центр ФСБ и получил положительную оценку. Правда, повторюсь, статус этого документа - рекомендации. Судьба тоже пока неочевидна - оно и понятно - они только анонсированы. Если их примут в ГУБиЗИ и ДРР и вставят либо в состав СТО, либо в обновляемое 382-П, либо в готовящийся документ по защите переводов с помощью электронных средств платежа, то будет неплохо. Хотя определенная конкуренция между департаментами внутри ЦБ всегда существовала и существует и это может помешать принять этот документ на вооружение. Посмотрим...


5.2.13

Промышленная безопасность != информационная безопасность?

Есть такой Федеральный Закон "О промышленной безопасности опасных производственных объектов" (116-ФЗ). Очень нужный закон, который устанавливает "правовые, экономические и социальные основы обеспечения безопасной эксплуатации опасных производственных объектов и направлен на предупреждение аварий на опасных производственных объектах и обеспечение готовности эксплуатирующих опасные производственные объекты юридических лиц и индивидуальных предпринимателей к локализации и ликвидации последствий указанных аварий". При этом "промышленная безопасность опасных производственных объектов - это состояние защищенности жизненно важных интересов личности и общества от аварий на опасных производственных объектах и последствий указанных аварий". Правда, далее по тексту термин "авария" применяется в связке с "инцидентом", под которым понимается "отказ или повреждение технических устройств, применяемых на опасном производственном объекте, отклонение от режима технологического процесса, нарушение положений настоящего Федерального закона, других федеральных законов, принимаемых в соответствии с ними нормативных правовых актов Президента Российской Федерации, нормативных правовых актов Правительства Российской Федерации, а также федеральных норм и правил в области промышленной безопасности" (выделение мое).

А теперь вспомним пресловутый Stuxnet, работа которого заключалась в изменении работы центрифуг, отвечающих за обогащение урана. Иными словами, Stuxnet как раз и привел к отклонению от режима технологического процесса. А значит, если вдруг Stuxnet проявит себя у нас в России (а он сидит много где на отечественных критически важных объектах), то мы будем иметь дело с инцидентом, подпадающим под действие 116-ФЗ о промышленной безопасности. Но это в теории. На практике так уж сложилось, что промышленная безопасность и информационная безопасность никак не связаны; как не связаны информационная безопасность и безопасность объектов ТЭК из 256-ФЗ; как не связаны информационная безопасность и транспортная безопасность; как не связаны информационная безопасность и безопасность гидротехнических сооружений.

Вроде как причиной инцидентов на всех этих объектах может стать вредоносная программа или иная направленная или случайнай атака (до сих пор ходят слухи о том, что веерное отключение электроэнергии в США несколько лет назад было связано с червем Slammer, а причиной "слепоты" центров управления авиаполетами во время событий 11-го сентября послужила направленная атака), но под действие указанных законов все эти события не попадают.

А куда ж они попадают? А вот фиг знает ;-) Теоретически ими будут заниматься сотрудники ФСБ. Опять же в теории, т.к. нигде сие не прописано и не регламентировано. По промышленной безопасности существует огромное количество различных документов, регламентов, инструкций, выпущенных Ростехнадзором или Росатомнадзором. По безопасности объектов ТЭК также есть документы Минэнерго. А вот по информационной безопасности на этих объектах кроме рекомендательного четверокнижия ФСТЭК по КСИИ 2006-го года и прошлогодних неконкретных "основных направлений..." от СовБеза у нас нет ничего. Абсолютно ничего. Хотя нет, есть Указ Президента №31с.

Может все-таки пора объединять? Примерно вот так:


Очень высокоуровневая картинка, но объединяющая воедино различные аспекты безопасности критически важных объектов (опасных производств). Тут вам и физическая и технологическая (включая информационную) безопасность; и ликвидация последствия и ранее прогнозирование атак; и государственно-частное партнерство; и надзорные органы и собственники; и риски, ведущие к ущербу...

Или будем ждать когда бахнет?.. И тогда бюджеты можно будет попросить увеличенные.

Финализирована программа 5-го дня Уральского форума

Пару недель я писал, что я модерирую 5-й, последний день Уральского форума по банковской ИБ. Тогда я дума, что программа финализирована, но ситуация поменялась в лучшую сторону ;-) Впервые в истории Уральского форума презентационные доклады сменяются на практические, «живые» демонстрации того, с чем службам информационной безопасности приходится сталкиваться ежедневно в своей работе, а также того, о чем службам ИБ приходилось только слышать. Специалисты ведущих отечественных компаний, специализирующихся в практической безопасности, продемонстрируют типовые уязвимости систем дистанционного банковского обслуживания (Digital Security) и как происходит их использование в результате атаки (Positive Technologies), покажут как проводится анализ одного из самых популярных банковских троянцев (Лаборатория Касперского) и как злоумышленники управляют банковским ботнетом (Group-IB).

Однако помимо знания методов злоумышленников перед банковскими службами ИБ стоят и другие не менее важные задачи, например, контроль привилегированных пользователей (Информзащита) или ранее обнаружение угроз репутации банка, признаков подготовки к началу информационных войн против банка и т.п. (Диалог-Наука). Решение данных задач будет также продемонстрировано в рамках проводимых мастер-классов.

Но обеспечение безопасности своих банков – это не все, что занимает мысли и думы сотрудников служб ИБ. Как сохранить хорошую физическую форму при столь непростой работе? Как усилить свое влияние внутри и снаружи организации, получать больше зарплату, а также стать известным среди специалистов? А может все бросить и перестать работать «на дядю», начав собственный бизнес по информационной безопасности? И на эти вопросы будут также даны ответы от тех, кто уже прошел этот путь и нашел ответы на них - Алексея Голдбергса (КриптоПро), меня и Рустема Хайретдинова (Appercut Security).

Ну а для тех, кто прогуляет какие-нибудь важные доклады или проспит их или прокатается на лыжах, я буду закрывать форум с презентацией "5 дней Уральского форума за 15 минут или все, что Вы пропустили в одной короткой презентации" ;-)

ЗЫ. Организаторы обещают полезный и интересный сюрприз для тех, кто останется до завершения. А после уже на лыжи - автобусы будут курсировать регулярно ;-)


4.2.13

Два вебинара Cisco - по угрозам ИБ и по ввозу и использованию шифровальных средств

В ноябре 2011 года компания Cisco с успехом провела онлайн-семинар по вопросам импорта шифровальных средств, материалы с которого сразу стали популярны в среде специалистов по информационной безопасности, т.к. разъясняли непростые вопросы ввоза и применения шифровальных средств иностранного производства.

За прошедшие почти полтора года ситуация с законодательством немного изменилась – какие-то процедуры ввоза шифровальных средств упростились, какие-то получили новое толкование, какие-то полностью поменялись. Аналогичные изменения коснулись и вопросов применения шифровальных средств у потребителей. Для того, чтобы донести до российских специалистов последние изменения по данной теме, ответить на возникающие вопросы, поделиться лучшими практиками и советами, Cisco решила вновь провести онлайн-семинар "Шифровальные средства: ввоз и использование". Семинар бесплатный.

Он состоится 18-го февраля в 11 часов утра по московскому времени с помощью системы Webex. Для участия достаточно иметь подключение к Интернет и Интернет-браузер. Проверка возможности участия в семинаре проходит при регистрации или перед подключением к нему. Если вы хотите не только просматривать презентацию, но и задавать вопросы, то вы можете сделать это, позвонив по телефону (номера будут указаны при регистрации), или с помощью интегрированного голосового потока VoIP через браузер - достаточно иметь обычную телефонную гарнитуру или микрофон компьютера.

Регистрация на семинар на сайте Cisco. Если у вас есть какие-либо вопросы по данной теме, на которые вы бы хотели обязательно получить ответы в рамках проводимого семинара, то вы можете задать их, отправив на адрес: rus-sec-import@cisco.com или ssnezhko@cisco.com

А 7-го февраля мы проводим другой вебинар, посвященный опубликованному нами на днях ежегодному отчету Cisco по информационной безопасности. Согласно результатам Ежегодного отчета Cisco по информационной безопасности (Cisco 2013 Annual Security Report, ASR) и глобального исследования Cisco Connected World Technology Report (CCWTR), информационная безопасность компаний становится уязвимой из-за того, что сотрудники стремятся к повсеместному использованию мобильных устройств, а граница между работой и личной жизнью все более размывается.

Исследование Cisco в области информационной безопасности развеяло популярный миф, согласно которому угрозы возникают главным образом тогда, когда пользователь занимается в сети не вполне приличными делами. Сегодня сетевые злоумышленники фокусируют внимание не столько на порнографических, фармацевтических и игровых сайтах, сколько на обычных сетевых ресурсах с массовой аудиторией, таких как популярные поисковые механизмы, розничные магазины и социальные сети. Более того, отчет Cisco показал, что вредоносный контент можно "подцепить" на сайтах интернет-магазинов в 21 раз чаще, а в поисковых механизмах - в 27 раз чаще, чем на сайтах, специально созданных хакерами. Так, вероятность загрузки вредоносного контента при просмотре онлайн-рекламы в 182 раза выше, чем на порнографических сайтах.

Регистрация на семинар на сайте Cisco.

Список мероприятий по ИБ на 2013 год

Решил обновить свой перечень мероприятий по ИБ на 2013 год. Получилось много. Особенно в марте - 10 мероприятий из них 9 в Москве. Обратите внимание на 13-е, 14-е и 21-е марта - по два, а то и три пересечения. Удачи организаторам пересекающихся событий ;-)

В список попали те, что были в прошлогоднем списке, а также были добавлены новые мероприятия. Причем не все из них, по моему личному мнению, стоят того, чтобы их посещали. Часть мероприятий - это полный отстой, как в части контента, так и в части организации. Но я их все-таки решил включить, чтобы каждый сам делал свой выбор

Небольшие региональные события, вузовские конференции, а также различные ИТ-события не включал. Они либо очень ограничены по аудитории, либо не имеют практической направленности, либо в их рамках всего 1-2 выступления по ИБ.


Если вдруг я что-то упустил из крупных мероприятий, то присылайте - подумаю над включением.

1.2.13

Горизонт планирования кибервойн - 30 лет

Завершу эту неделю заметкой опять про кибервойны и деятельность России в этом направлении. Собственно вчера я уже написал про два заявления Рогозина по поводу активностей в области информационного противоборства и кибербезопасности. Сегодня стоит вспомнить про "русское DARPA", т.е. Фонд перспективных исследований, который был создан в конце прошлого года Указом Президента Путина.

Согласно справке Государственно-правового управления Фонд будет преследовать пять основных целей:
  1. содействие научным исследованиям и разработкам для достижения новых результатов в военно-технической, технологической и социально-экономической сферах;
  2. формирование научных представлений о возможных угрозах, критически значимых для обороны страны, причинах их возникновения и путях устранения;
  3. определение основных направлений научных исследований и разработок в целях развития производства высокотехнологичной продукции военного, специального и двойного назначения;
  4. организация заказа на разработку, апробацию и сопровождение инновационных научно-технических идей и конструкторских решений в области разработки и производства высокотехнологичной продукции военного, специального и двойного назначения;
  5. доведение идей и решений до уровня проектов и их финансирование.
Судя по вчерашнему высказыванию Рогозина Россия пытается избежать ошибок прошлого и учитывать не только угрозы нынешние, но и угрозы будущего, для которых также разрабатывать соответствующий ответ. "Мы во избежание каких бы то ни было ошибок, которые закладываются в программу вооружения, которые были допущены в прошлые годы и которые приводят к разночтениям в тексте собственно программы вооружения и гособоронзаказа конкретного текущего года (так называемые ножницы, которые потом приходится уточнять в течение года)… Чтобы этого не произошло, мы переходим на плановую научную экспертную основу подготовки правил, по которым теперь будут писаться эти программы вооружения. Эти правила обязывают участников работы по разработке программы вооружения руководствоваться тщательнейшим прогнозом и анализом, во-первых, военных угроз на 30-летнюю перспективу, во-вторых, на 10-летнюю перспективу прогноза развития науки, техники, технологии."

О каикх ошибках говорит Рогозин? На мой непросвещенный взгляд все очевидно. Сегодня войны уже совсем не такие, как в 80-х годах и тем более не такие, как в 40-х годах прошлого века. Массированных ударов с применением артиллерии и авиации уже не будет (по крайней мере в отношении России, я так предполагаю). Удары становятся точечными и в первую очередь направленными на выведение из строя систем управления войсками противника, захват его информационно-телекоммуникационной инфраструктуры и т.п. Жизненный цикл этих видов кибероружия и киберугроз отличается от того же жизненного цикла истребителей 5-го поколения, которые начали разрабатывать еще в 70-х годах, а поступили на вооружение они в начале 2000-х. 30 лет прошло. В области киберугроз все меняется гораздо быстрее. Об этом надо помнить и учитывать при оборонном заказе. Но так как это все-таки что-то новое для отечественного ОПК, то необходимо выделять все эти новинки в отдельное направление (может же и не выстрелить). Для этого и создан Фонд перспективных исследований, который, по моему мнению, и будет определять проекты (планируется, что первоначально их будет до 150-ти по вышеупомянутым направлениям), которые получат соответствующее финансирование. А уж реализовывать их будет, как мне видится, упомянутая вчера Корпорация ОАО "Системы управления".

Возглавить ФПИ должен бывший сотрудник ФСТЭК - Андрей Иванович Григорьев (50 лет). Как его охарактеризовал Рогозин: "Талантливый учёный, работал в последнее время в Федеральной службе по техническому и экспортному контролю, долгие годы работал в Вооружённых силах, в Военно-промышленной комиссии проработал совсем недолго, около двух месяцев, отвечал за спецпрограммы". В Интернет упоминаний о нем мало. Из интересного, пожалуй, только два факта - академик РАН и руководитель НИЦ нанотехнологий при ФСТЭК. Последнее смущает ;-)

Но это все мое видение, которое может быть вовсе неверным. Но мне кажется, что определенная логика в моих рассуждениях есть. Хотя может все не так и о киберугрозах вообще никто в нашем ОПК не думает (а может и некому, как предполагают некоторые эксперты). По крайней мере пока все разговор идут о разработке новых видов вооружений, материалов. Если посмотреть список тем научно-исследовательских работ, опубликованный в прошлом октябре (в то же время как раз был подписан указ о создании Фонда перспективных исследований) на сайте МинОбороны, то по "нашему" направлению тем вего две:
  • Методы и средства защиты бумажных документов от подделки при минимизации стоимости листа
  • Методы и средства обхода антивирусных систем, средств сетевой защиты, средств защиты ОС.
Первая тема достаточно специфична, а вот вторая может трактоваться очень широко - начиная от разработки боевых вирусов и заканчивая полноценной стратегией информационного противоборства. Дополнительно, в блоке ИТ заявлен еще ряд близких тем (негусто, если честно):
  • Методы и средства борьбы с дезинформацией в интернете
  • Подтверждение подлинности и целостности сканированных документов без применения электронной подписи (не хотят сертифицированные ФСБ решения использовать?)
  • Новые механизмы и способы работы с оборудованием, не имеющим стандартных программных и аппаратных интерфейсов либо имеющих неизвестные интерфейсы (сразу вспоминается фильм "День независимости", когда доблестные американские вояки загружают вирус на компьютер инопланетян).
Можно ли прогнозировать на такой длительный срок, как 30 лет? В области ИТ и ИБ возможно и нет. Но лет на 10-20 вполне возможно. Например, в Cisco работает такой человек, как Дейв Эванс. У него необычная должность - футуролог, он же штатный предсказатель ;-) Он предсказывает будущее высоких технологий, будущее Интернет с очень высокой вероятностью. Где-то я услышал, что 85% его предсказаний сбываются. Значит горизонт планирования киберугроз составляет 15-20 лет. Тоже немало.

ЗЫ. Кстати, для тех, кто ищет тему для диплома или диссертации. Советую обратить внимание на кибервойны. На ближайшие годы - это станет одной из актуальнейших тем в нашей профессии. А специалистов по ней, как всегда, не будет хватать. Так что есть возможность выделиться ;-) Учитывая, чо МинОбороны назвало направления для интересующих их исследований.