27.12.13

Чем мне запомнился год 2013-й?

Последняя пятница года... Для кого-то последний рабочий день года. Пора и некоторые итоги подводить. Кто-то уже сказал, что этот год прошел в очередной раз под знаком персональных данных и действительно - не проходило месяца, чтобы не появлялось что-то по этой части. Все-таки у нас ИБ - это в первую очередь "бумага" и compliance, а уж потом реальные действия. Но все-таки были и другие события, которые запомнились в уходящем году. Часть из них самодостаточны, часть из них были не так публичны, а часть является частью чего-то большего, с чем нам еще предстоит иметь дело. К их числу я (это именно мой взгляд) бы отнес следующие:

  • Документы ФСТЭК. Я неоднократно уже писал и продолжаю так считать, что ФСТЭК сделала колоссальный шаг вперед в деле усиления государственной системы защиты информации, раскрыв свои объятия для внешних экспертов. Вторым важным моментом можно назвать возврат себе статуса методологической базы по вопросам ИБ и начало разработки очень большого количества документов по различным вопросам защиты информации - я могу назвать как минимум с два десятка документов, которые должны увидеть свет уже в 2014-м и 2015-м году. Это очень важно. Кто-то говорит, что уже опубликованные документы или их проекты сложны для понимания и реализации. Не соглашусь. Все привыкли, что в документах ФСТЭК все как у военных - делай так, делай эдак, шаг влево, шаг вправо запрещены. В гостайне это было закономерно, в динамичной среде, в которой мы живем сейчас так делать уже нельзя - задать строгие рамки невозможно. Поэтому та определенная свобода выбора, которая заложена в 17-м и 21-м приказе еще покажет свою позитивную сторону.
  • Нормотворчество 8-го Центра ФСБ. А вот с коллегами ФСТЭК по цеху ситуация прямо противоположная. Они считают себя умнее всех и, на мой взгляд, свысока смотрят на всех остальных. Я прекрасно понимаю, что они считают, что все, что они делают, они делают во благо и на благо государства, но то, как они это делают я не могу приветствовать. Почему из-за их запретительных активностей должны страдать бизнес, общество и рядовые граждане? Именно запретительных - пока ничего развивающего рынок с их стороны я так и не видел. Да и не только развивающего, а хоть как-то способствующего защите информации в их сфере деятельности (персданные, КВО, криптография и т.п.). 
  • Изменения в ЦБ. В третьем регуляторе в области ИБ запомнившиеся мне изменения происходили на нескольких фронтах. Создание мегарегулятора, смена председателя правления, смена структуры департаментов и их руководителей, новые РС и новые версии СТО 1.0 и 1.2, планы по существенному изменению 382-П. Последствия от некоторых изменений вполне себе позитивны, от некоторых пока не очевидны. А на фоне санации банковской системы многим из этих событий еще только предстоить высветиться во всей красе. Как мне кажется, предстоящая конференция в Магнитогорске должна снять некоторые вопросы и дать общее представление о том, как будет развиваться ИБ в финансовой отрасли. 
  • PCI DSS 3.0. Вышла новая версия стандарта и этим все сказано.
  • Стратегия кибербезопасности РФ. Деятельность Руслана Гаттарова воспринимается по-разному. В одном сходятся все - к теме ИБ внимание он поднял. Одной из поднятых им тем стала стратегия кибербезопасности России, которая должна была актуализировать раздел Доктрины ИБ, посвященный технологическим вопросам и использованию информационных технологий. Представители 8-ки в очередной раз продемонстрировали всю свою сущность, высказав претензии не к сути документа или его содержанию, а к одному термину ("кибербезопасность") и непониманию места стратегии в структуре высокоуровневых документов, регулирующих вопросы ИБ в России. Сейчас сложно предположить, чем закончится данная эпопея, но как минимум она заставила многих пересмотреть свои взгляды на отсутствие в стране высокоуровневых и актуальных документов по ИБ; да и в СовБезе началась движуха по этому вопросу (может и активность в Совете Федерации повлияла). 
  • Международная ИБ. Эта тема для многих является террой инкогнита. Я же в нее погрузился благодаря ПИР-Центру и считаю, что в ближайшее время эта тема еще выйдет на первый план. И причиной тому не только откровения Сноудена, но постоянно поднимаемая тема кибервойн, сотрудничество в области борьбы с киберпреступностью и т.п.
  • Откровения Сноудена. Для меня откровения Сноудена не являются ни шокирующими, но откровениями, ни чем-то требующим детального рассуждения. По крайней мере пока он не предъявил доказательств ничего такого, о чем не знал бы или не догадывался специалист. Есть заявления, которые приписывают Сноудену, но доказательств по которым никто не предъявлял. Например, якобы существующий секретный контракт, по которому АНБ выплатила RSA 10 миллионов долларов за закладку в реализации криптоалгоритма. Тут даже обычная логика подсказывает, что что-то тут не то. Во-первых, сама RSA стоила на момент покупки 2 миллиарда долларов и 10 миллионов для нее как слону дробина. Во-вторых, АНБ могла и не платить, надавив на RSA по другому. Ну и, наконец, где текст самого контракта? В общем, "Сноуден" и журналисты от его имени пошумели, но пока никаких откровений с точки зрения ИБ не было.
  • Формирование киберкомандования МО РФ. Ну тут пока мало публичной конкретики. Есть определенные шаги, есть планы. С их результатами мы, скорее всего, столкнемся в 2014-м году. 
  • Подписание Указа 31с. Аналогичная ситуация и с полусекретным Указом Президента 31с о создании государственной системы обнаружения и предотвращения атак, который подводит законодательную базу под ФСБшную СОПКУ. Деятельность по ней идет активная, но не публичная.
  • ИБ Сочи. На ИнфоБЕРЕГе мы впервые подняли тему ИБ крупных спортивных мероприятий, в первую очередь зимней Олимпиалы в Сочи (и казанской Универсиады до нее). Осталось совсем немного времени, чтобы оценить насколько Россия в состоянии обеспечивать безопасность массовых мероприятий. Именно информационную безопасность, что для нас ново. При этом, эта тема вызвала нешуточное противодействие со стороны разных официальных лиц, которые вставляли палки в колеса и не давали ее активно пропагандировать, педалируя всеми возможными способами.
  • ИБ индустриальных систем. Тема защиты индустриальных систем (АСУ ТП) тоже в этом году активизировалась как никогда раньше. Мероприятия, проекты, нормативка... В следующем году эта тема должна выйти на новый уровень, как мне кажется. 
  • Интернет вещей. Интернет вещей продолжает тему индустриальных решений, но расширяет ее до консьюмерского рынка - "умный" дом, сантехника, часы, очки, кофеварки, телевизоры, секс-игрушки... Все это потребует защиты, хотя сейчас эта тема воспринимается скорее как шутка или с юмором.
  • Облака. На Западе тема облаков ушла в тень - ее сменили "Большие данные". А вот у нас облака набирают популярность, а с ними и тема защиты самой облачной инфраструктуры, помещаемых в нее данных и приложений, соответствия законодательным ребованиям. В этом году начала писаться и нормативка по этому вопросу - причем как технологическая (со стороны ФСТЭК), так и высокоуровневая (РАЭК, Минкомсвязи и др.).
  • SDLC. Российский рынок дозрел и еще до одной темы - Secure Development Lifecycle, о которой у нас стали активно говорить Appercut Security и Positive Technologies. И хотя ни ПО не поменялось, ни угрозы, ни задачи, эта тема стала актуальной только в 2013-м году. Вероятнее всего на это повлияло появление требований ФСТЭК и проект рекомендаций ЦБ, которые предусматривают анализ ПО на предмет его качества с точки зрения ИБ. Под это дело стали появились и продукты.
  • Атаки 3-го поколения. Взлом Твиттера Associated Press, рассылка сообщений об отставке Якунина от якобы Правительства, фишинговые сайты... Примеров достаточно, а бороться сложно, т.к. атака напрямую не затрагивает жертву. Пока эти атаки носят эпизодический характер, но с течением времени их будет становится все больше.
  • Экономика и эффективность ИБ. А вот эта тема пока не стреляет как остальные, хотя я могу отметить, что в этом году ей уделяют внимания все больше и больше. Но готовых рецептов пока нет. Могу предположить, что про эти аспекты ИБ будут говорить и будут копать и исследовать. В условиях кризиса без них никуда.
  • Social Media. Мне могло показаться, но у меня сложилось впечатление, что в этом году специалистов по ИБ, которые завели себе блоги и Твиттер стало гораздо больше, чем раньше. И писать стали больше. И нести свет в массы. И грязное белье на свет тоже стали выносить чаще. Такая активность блоггеров уже дает свои плоды - и регуляторы стали реагировать на заявления в Интернет, и глупостей они меньше делают.
  • Говнопиар. Правда, и говнопиара тоже стало больше. На этом поприще отметились как отдельные эксперты, так и целые компании. В общем рынок становится зрелым и цивилизованным, перенимая не только все хорошее, но и плохое. Правда, предыдущая тенденция помогает своевременно выявлять такие факты и не давать им распространяться :-)
Вот, пожалуй, и все, чем мне запомнился год уходящий. В новом году лошади мы будем не только ржать и пахать, но и столкнемся с развитием описанных выше тенденций, а также с новыми, не менее интересными фактами на поприще информационной безопасности.

3 коммент.:

Анонимный комментирует...

"Все привыкли, что в документах ФСТЭК все как у военных - делай так, делай эдак, шаг влево, шаг вправо запрещены. В гостайне это было закономерно, в динамичной среде, в которой мы живем сейчас так делать уже нельзя - задать строгие рамки невозможно."

Самое главное, что-бы ФСТЭК до своих региональных инспекторов донес эту позицию, а то они до сих пор по 781-ПП и 58 приказу (если не по 4-хкнижию) могут проверят.

Unknown комментирует...

В разделе - "Нормотворчество 8-го Центра ФСБ" хорошо и довольно смело описана всем известная проблема.
В практике ИБ, таких называют:

"Технофобы - в основном постсоветские организации, боятся технических изобретений, новинок..., им проще всё запретить приказами. WiFi - звучит как «умри», руководствуются жесткими ограничительными правилами, приказами"

Анонимный комментирует...

На Западе тема облаков ушла в тень - ее сменили "Большие данные"
Мне думается, что выработав определенные подходы к построению облаков (+ появление технических продуктов и решений) западный ИТ/ИБ бизнес на данном этапе считает это направление "решенным", в отличие от Big Data. В тоже время у нас развитие Big Data еще только предстоит, так как на сегодня мало у кого они вообще есть в таком количестве (внутри) и, соответственно, мало кем востребованы. Что подтверждается в том числе и этим: Атаки 3-го поколения... Пока эти атаки носят эпизодический характер, но с течением времени их будет становится все больше.
Иными словами, внутреннее применение технологий Big Data пока не востребовано, а "внешнее" еще не набрало критическую массу.
А вот "облака" это теперь понятно, дешево, технологично и безопасно (при определенных допущениях). :)