09.04.2013

Стоит ли публиковать информацию о защищенности госорганов, КВО и военных объектов РФ?

Одной из идей, прозвучавших на заседании Совета Федерации при обсуждении Стратегии кибербезопасности Российской Федерации стало предложение государственным органам публично предоставлять ежегодную отчетность о киберпреступлениях против госорганов, о подготовленности госорганов к обеспечению кибербезопасности, о защите критически важных объектов. Я не помню, кто выступил инициатором этого предложения, но воспринято оно было многими в штыки. Противники высказывали идею, что такая публикация послужит снижению уровня защищенности российских госорганов и откроет ворота для иностранных хакеров.

Спор этот бесконечный и я не буду в него вступать. Но хотелось бы сослаться на последних два американских отчета, которые демонстрируют, как можно, не раскрывая государственных тайн, показать проблему и наметить шаги для ее устранения. Первый отчет "Resilient Military Systems and the Advanced Cyber Threat" посвящен не самой высокой защищенности американских военных информационных систем. Я про этот отчет уже писал недавно и не буду повторяться. Второй отчет также свежий (февраль 2013-го года) - "CYBERSECURITY. National Strategy, Roles, and Responsibilities Need to Be Better Defined and More Effectively Implemented". Выпущен он американской Счетной палатой (она у них там активно проводит также и аудит безопасности госорганов) и посвящен анализу уровня защищенности американских госорганов и критически важных объектов.

Без погружения в детали, этот отчет указывает на критические места в системе кибербезопасности госорганов и КВО США:
  • Число инцидентов ИБ в госорганах США растет (с 2006 года рост составил 782%).
  • Оставляет желать лучшего система оценки рисков и мониторинга ИБ. Только треть крупнейших госорганов США внедрили у себя практику управления рисками в соответствие с FISMA (в 2011-м году этот показатель был выше на 50%).
  • Острота проблемы обмена информацией об инцидентах с ИБ хоть и снизилась, но все равно остается.
  • Отсутствуют четкие и измеримые планы обучения и повышения осведомленности чиновников и работников КВО в части информационной безопасности.
  • Законодательная обязанность госорганов заниматься исследованиями в области ИБ (у нас о таком только мечтать) реализуется из рук вон плохо.
  • Плохо реализовано международное сотрудничество в области совместной борьбы с угрозами в информационном пространстве.
  • И т.д.
Ничего сверхсекретного в этой информации нет, но она показывает налогоплательщикам (а в США все-таки их мнение иногда учитывают), как государство защищает свой суверенитет от преступных посягательств и как защищаются данные американских граждан. Посмотрев данный отчет становится понятным, DDoS-атаки для американских госорганов и КВО неактуальны (0% в 2012-м году), в отличие от неавторизованного доступа (17%), вредоносного кода (18%) и неправильного использования информационных активов (20%).

Этот отчет показывает нам усилия американского правительства в области эволюции подходов по защите США от кибернападений.




Из этого отчета мы узнаем, насколько активно госорганы внедряют защитные меры, предусмотренные FISMA (аналог нашего 149-ФЗ применительно к госорганам), FIPS-200 и SP800-53 (аналог нашего 17-го приказа ФСТЭК или СТР-К). И картина меняется от госоргана к госоргану. Где-то уровень реализация приближается к 100%, а где-то и выше 0 не поднялся. Это, кстати, хороший пример того, что стоило бы реализовать ФСТЭК или ФСБ или Совету Безопасности по части мониторинга уровня ИБ в стране.


И дальше по тексту еще много чего написано, в деталях и с примерами. В этом госоргане так-то обстоит дело, а в этом - так-то. Если бы я был американским гражданином и налогоплательщиком, мне бы было понятно, с какими проблемами сталкиваются американские чиновники в области кибербезопасности. А им в свою очередь понятно, что есть такой независимый орган, как Счетная палата, которая выявит все плохое и расскажет об этом (не раскрывая госсекретов) гражданам. А это, в свою очередь, должно стимулировать американские госорганы делать что-то правильное для повышения своего уровня защищенности.

Правда, боюсь, что у нас эта идея все-таки не пройдет. А если и пройдет, то на такие отчеты сразу навесят какой-нибудь гриф, например, "не для прочтения вслух", и будем мы в неведении относительно реального уровня защищенности, а всю информацию будем получать из вот таких вот мастер-классов.

4 коммент.:

SK комментирует...

Хакеры и так найдут все дырки, а вот гласность помогла бы их быстрее залатывать.

Ronin комментирует...

У нас регламентировано проведение подобных аудитов и предоставление отчетности? Раз вопрос встал при обсуждении, значит нет. А цель таких отчетов какова? Непосредственно повышение защищенности - вряд ли. Если они для публикации, то для отчетности перед налогоплательщиками. Если смотреть правде в глаза, то мало кому извне, кроме тех же ИБ-блогеров для обсуждений, нужны подобные отчеты. Даже отчетность о количестве выявленных инцидентов мало нужна обычным гражданам. Да и где интересующее соотношение выявленных нарушений к невыявленным, не говоря о том, что одна успешная атака может повлечь серьезнейшие последствия, но зато у нас, как обычно, будут гордо рапортовать о пресечении миллионов атак (сканирований портов).
Оценка защищенности и отчеты по ней, только в более развернутом виде нужны для внутреннего использования и для составления плана действий, который в общем виде, опять же, уже может использоваться для опубликования.
А тот факт, что DDoS для муниципальных ИС случается редко, мало интересен для обычных граждан. И, кстати, не говорит о том, что эта атака неактуальна, максимум - что еще не реализовывалась или что предпосылок пока не было (хактивисты пока не интересовались этими ресурсами, например).
Куда полезнее (но более острый вопрос) - отчетность о случившихся инцидентах ИБ (далеко не только в гос органах, а скорее для всех КВО), что как раз пока не отражено в документе по понятным причинам.
В целом такая отчетность в довольно широком представлении нужна обязательно, но нужно сначала определиться с её целью и уже от нее отталкиваться, определяя кто, что и как. Но это проблема всего разрабатываемого документа, кстати говоря - нет сформулированных целей и задач и поэтому много мешанины.

Алексей Лукацкий комментирует...

В документе есть примеры инцидентов в госорганах

Черный Шершень Зла комментирует...

Нужно смотреть, кто конечный заказчик и потребитель ИБ. Кому это надо?
Если исполнители на местах - у них и так данные есть, отчет не поможет.
Если руководство - то лучше запросить закрытый отчет.

А открытый отчет предоставляет информацию налогоплательщикам. Чтобы они проверяли, как обеспечивается ИБ в структурах, работающих на их деньги. Фактически, аналогия с акционерами коммерческой организации.
Такой подход принят на Западе, и отчеты по ИБ вполне нормальны в этом свете.

Такой подход у нас пока не развит. Для нас будет дико, если гражданин затребует отчет даже по основным функциям гос. органа. Что уж говорить о таком важном, но все же поддерживающем направлении как ИБ.

В итоге отчет будет никому не нужен, превратится в бумажку, которую положат на полку (вывесят на сайт и пр.). Заполнять будут "на отвяжись" - и все это превратится еще в одну головную боль для безопасников.