29.7.16

Рынок средств защиты информации в России: до санкций и после. Часть вторая

Хочу продолжить вчерашнюю заметку о том, что принесли санкции и импортозамещение на отечественный рынок ИБ и смогли ли отечественные вендоры воспользоваться своим привилегированным положением, предложив заказчикам нечто новое? На фоне новостей о том, что российским силовикам разрешили вновь закупать западное ПО и разговорах о том, что это только первая ласточка к возврату на круги своя, было бы интересно увидеть, какие сюрпризы преподнесли российские разработчики средств защиты.

Когда я анализировал список сертифицированных продуктов, я все время вспоминал свою презентацию про "домотканные" средства защиты информации, в которой я попробовал перечислить отечественные продукты по ИБ хоть сколь-нибудь известные на рынке или у отдельных заказчиков. Однако порадоваться оказалось нечему :-( Новых типов продуктов среди сертифицированных решений почти не появилось, хотя на рынке новые имена все-таки есть и они регулярно звучат на различных стартаперских тусовках (правда, потом многие из них исчезают в никуда). Очень большое число железок для борьбы с утечками по техническим каналам и неимоверное число сертификатов на решения для РЖД - для тепловозов и электровозов, а также иных подвижных средств, в том числе и на отсутствие НДВ.

Какие же типы отечественных средств защиты находятся в реестре? Я перечислю то, что в той или иной степени можно отнести к традиционным средствам защиты, о которых я написал в прошлой заметке. Итак, список следующий:
  • 2012-2013 годы
    • средства вычислительной техники (СВТ), то есть средства защиты от несанкционированного доступа по классификации ФСТЭК
    • средства гарантированного уничтожения информации
    • "доверенные" операционные системы
    • антивирусы
    • средства аутентификации
    • защищенные СУБД (точнее их две или три)
    • межсетевые экраны
    • средства резервного копирования
  • 2013-2014 годы (в дополнение к вышеупомянутым)
    • системы обнаружения вторжений
    • сканеры защищенности
    • средства защиты СУБД
    • анализаторы исходных кодов
    • электронные замки
    • средства защиты корпоративной сотовой связи
    • средства инвентаризации ресурсов
  • 2014-2015 годы (в дополнение к вышеупомянутым)
    • средства безопасного хранения информации
    • сканер защищенности АСУ ТП
    • DLP
    • средства контроля конфигурации
    • средства защиты приложений
    • VDI и средства терминального доступа
    • средства отражения DDoS-атак
    • коммутаторы
  • 2015-2016 годы (в дополнение к вышеупомянутым)
    • WAF
    • SIEM
    • однонаправленные МСЭ
Если сравнивать с мировым рынком ИБ, то ситуация достаточно печальная. Там регулярно появляются какие-то свежие темы и решения. А у нас?.. Государству, как заказчику именно сертифицированных средств защиты, не нужны новые решения - нужны прошедшие оценку соответствия. Такая ситуация была 20 лет назад - такой ситуация и осталась. В 2007 году я написал статью "Западный или российский производитель ИБ: кого выбрать?", вызвавшую много споров, и заставившую моего бывшего руководителя, Володю Гайковича, написать ответный материал. И надо признать, что с тех пор почти ничего не поменялось. Причины такой ситуации остались те же - излишняя зависимость от регуляторики, отсутствие исследований (а зачем, если есть сертификат), отсутствие нормального маркетинга (хотя Twitter освоили почти все).

Итог печален - государственные структуры защищены не очень хорошо (мягко скажем) и с мертвой точки ситуация не сдвинется в обозримом будущем. Даже несмотря на очень неплохой 17-й приказ, который описывает большое количество защитных мер, совпадающих с лучшими мировыми практиками. Но под многие из них нет руководящего документа, утверждающего требования к той или иной мере. Нет требования; покупать решение никто не будет. И разрабатывать никто не будет. А если будут, то на соответствие чему сертифицировать? Техусловиям? А как потом это продать, если в сертификате нет четкого ответа о соответствии тому или иному классу или возможности работать в ГИС такого-то класса защищенности? И все возвращается на круги своя. А в условиях ужесточения правил сертификации ситуация и вовсе выглядит патовой...

На этом можно было бы закончить анализ реестра сертифицированных решений ФСТЭК, но это было бы неправильно. Все-таки есть у нас и положительные изменения, но они не касаются ни реестра, ни политики государства на импортозамещение, ни регуляторики. Есть компании, которые создают продукты, не благодаря, а вопреки усилиям государства. И ориентированы эти компании на решение нужд заказчиков, которых бумажки интересуют во вторую очередь (если вообще интересуют). Это Infowatch, Solar Security, Positive Technologies, Qrator, Wallarm и множество других. Было бы неверно завершить блиц-анализ текущей ситуации без упоминания этих компаний. Поэтому я превращу изначально планировавшийся диптих в триптих - в одной из следующих заметок обновлю презентацию про "домотканные" решения с указанием новинок нашего рынка.

В заключение хотел бы привести свою презентацию 2007 года, в которой я рассматриваю разницу подходов к разработке средств защиты в России и в мире.


Разработка средств защиты в России и на Западе: разность подходов from Aleksey Lukatskiy

Но есть и оптимисты. Вот как, например, на российский рынок ИБ в контексте импортозамещения смотрит одна из старейших отечественных ИБ-компаний - "Конфидент":



28.7.16

Рынок средств защиты информации в России: до санкций и после. Часть первая

Мое отношение к импортозамещению известно многим - я и не скрываю свою в целом отрицательную точку зрения на то, как это делается в России (именно на то, как это делается, а не на саму идею). Я не раз говорил и буду повторять, что сначала надо создать свое, а потом уже выдавливать чужое, но никак не наоборот. Также я не раз говорил, что даже то, что у нас пытается подать как импортозамещение является профанацией, призванной продавить интересы отдельных компаний, но никак ни отрасли в целом. Властям же в целом совершенно наплевать на отрасль ИТ и ИБ и никаких реальных шагов для развития ИТ/ИБ-отрасли у нас не делается. Но все это демагогия и тренировка в риторике. Я решил попробовать найти некое численное выражение сложившейся ситуации.

В качестве источника для своего блиц-исследования я взял последний реестр сертифицированных средств защиты информации ФСТЭК, на базе которого мне хотелось понять динамику сертификации средств защиты информации. Конечно, это не является стопроцентным отражением ситуации на рынке импортозамещения, но учитывая, что основной целевой аудиторией для импортозамещения являются госорганы, а госорганы обязаны применять только сертифицированные средства защиты информации, то по реестру можно с определенной долей уверенность судить и о общем состоянии отечественного рынка ИБ и его ответе на санкции и последовавшее за ним импортозамещение. В качестве точки отсчета я взял 6 марта 2014 года - именно от этой даты начинается история санкций против России и, соответственно, разговоры об импортозамещении.

Для чистоты эксперимента я взял два временных интервала - два года до санкций и два года после. Если предположить, что санкции и импортозамещение должны были повлиять на рынок средств защиты информации, то, в теории, численные показатели реестра (сертификаты, новые продукты, новые компании и т.п.) должны были возрасти как раз после 6 марта 2014-го года (с учетом определенной задержки на время сертификации).

Итак, вот что у меня получилось. Общее число сертификатов за указанные периоды времени выглядит следующим образом. В период с 6-го марта 2014 года число сертификатов росло, но, на мой взгляд, это является не отражением санкций, а продолжением роста, начавшегося в предыдущие годы. Учитывая длительность сертификации, говорить о тренде можно было бы с 2015-го года, в котором произошел... не рост, а падение числа выданных сертификатов.


"Отечественные СрЗИ", указанные на гистограмме, означает, что средство защиты произведено российской компанией. "Традиционные СрЗИ" означает, что речь идет именно о классических средствах защиты информации, исключая тематику борьбы с утечками по техническим каналам (генераторы шума, защита от виброакустики и т.п.). Также в традиционные СрЗИ я не включал всяческие защитные знаки, защитную фольгу, а также различные информационные системы и прикладное ПО, которое в массовом порядке различные госорганы и производители ринулись сертифицировать по техническим условиям.

Мы видим, что число сертификатов стало сокращаться. Интересно будет посмотреть статистику в следующем марте, чтобы говорить о сложившемся тренде или случайной девиации.


Можно предположить, что снижение числа сертификатов связано с тем, что заявители стали подаваться не на партии или единичные экземпляры, а на "серийное производство". Но и это не так - число сертификатов по схеме "серия" также неуклонно падает.


Возможно это связано с усилением требований по сертификации на отсутствие недекларированных возможностей, которое неявно ФСТЭК стала требовать от многих производителей - отечественных и зарубежных. Явно это требование войдет в новую редакцию 17-го приказа, согласно которой, все государственные и муниципальные информационные системы, начиная с минимального класса, будут требовать наличия сертификата на отсутствие НДВ. А это требование выполнить очень непросто - и нашим разработчикам, и иностранным. Особенно в концепции Agile, когда цикл разработки сокращается и внесение изменений в ПО становится более оперативным и динамичным. Сертификация на отсутствие НДВ в такой ситуации работает не очень хорошо. Отсюда и снижение числа соответствующих "ндвшных" сертификатов.


Отдельно меня интересовал вопрос, как соотносится число сертифицированных решений российского и иностранного происхождения. Вспоминая слайд ФСТЭК на их конференции в прошлом (а не в этом) году, у меня сложилось впечатление, что российские производители средств защиты набирают обороты и обходят иностранцев.


Прямой анализ реестра ФСТЭК говорит о схожей тенденции - соотношение числа сертификатов на иностранные и отечественные продукты примерно одинаковое и почти не изменилось после санкций. Иностранцы как сертифицировали свои решения, так и сертифицируют; просто в абсолютных цифрах число сертификатов стало меньше. Вот как это выглядит по годам - до и после санкций.





Однако в реальности ситуация оказалась немного иной. Если отбросить тему защиты информации от утечек по техническим каналам и сертификацию уникальных информационных систем и прикладного ПО, которые входят в понятие "отечественные СрЗИ", то соотношение будет уже совсем иным - иностранцы (а они не сертифицируют в России ни генераторы шума, ни уникальные разработки под конкретного заказчика) превалируют на отечественном рынке.


И санкции и импортозаместительная риторика никак не повлияла на соотношение в лучшую сторону. Даже наоборот (посмотрите на данные 2012-го года). Дальше ситуация остается неизменной - соотношение "иностранцев" и "патриотов" составляет примерно 3 к 1.





Вот такая статистика на основе публичных данных (проверить мои выкладки может любой желающий). И предварительный вывод, который я могу сделать на основе анализа реестра сертифицированных средств защиты ФСТЭК, очень прост. Санкции и курс на импортозамещение никак не повлияли на развитие отечественного рынка ИБ. Предварительный он потому, что во-первых, прошло пока всего два с небольшим года. А, во-вторых, снижение числа сертифицированных решений (западных или российских) может быть связано с усилением требований по сертификации ФСТЭК, которые усложнили процесс для любого типа разработчика - отечественного и иностранного.

Более того. Могу предположить, что взятый ФСТЭК курс на непрерывный мониторинг уязвимостей в сертифицированных продуктах, усиление требований в новых РД, и обязательность сертификации на НДВ для многих случаев, приведет к еще большему снижению числа сертифицированных решений и сокращению рынка сертификации средств защиты информации. Стартапы войти в эту "реку" не смогут по причине нехватки средств и непонимания всей процедуры. "Иностранцам" постепенно перекрывают кислород. Останутся только "старички", давно наладившие контакты с регулятором и испытательными лабораториями и ориентированные в первую очередь на выполнение именно регулятивных требований, а не удовлетворение потребностей заказчика.

ЗЫ. В абсолютных цифрах могут быть незначительные погрешности. Все-таки вручную анализировать Excel-ный файлик непросто; особенно с учетом нечеткости в названии продуктов, упомянутых в сертификатах. А вот относительные цифры остаются неизменными.

27.7.16

Новости международной ИБ

Раз уж в пятницу я упомянул про Вестфальскую систему международных отношений, то стоит сделать обзор текущей ситуации на международной арене информационной безопасности. Тем, кто занимается ИБ в рамках повседневной деятельности внутри своих компаний и ведомств обычно некогда смотреть, что происходит за пределами России в области информационной безопасности. Максимум, на что хватает времени и сил, - ознакомиться с результатами различных конференций или выставок по ИБ для того, чтобы составить представление о современных тенденциях в этой сфере. Однако есть одна тема, которая в последнее время все чаще и чаще выходит на повестку дня на самом высоком уровне. Речь идет о международной информационной безопасности, по которой за последнее время произошло немало событий, которые имеют далеко идущие последствия.

Я решил собрать воедино основные события последнего времени:
  • В Грозном в конце мая прошла встреча высоких представителей, курирующих вопросы безопасности в более чем 70 странах. Говорили там и про международную ИБ, а точнее про мирное применение информационных технологий, выработку универсальных правил ответственного поведения государств в информационном пространстве и их последующее принятие под эгидой ООН. А вообще странная картина получается. При Президенте есть спецпредставитель по данным вопросам, а в проекте Доктрины ИБ эта тема своего места не находит. 
  • В июне проходит очередное заседание Бильдербергского клуба, в повестке дня которого кибербезопасность стояла на 7-м месте. Как обычно бывает, никакой стенограммы не опубликовано и даже слухов по результатам заседания нет. Поэтому сложно сказать, что конкретно про кибербезопасность говорили на заседании якобы мирового закулисного правительства.
  • Но зато Россию постоянно обвиняют нанесении киберударов по всему прогрессивному человечеству. Если верить западным СМИ, след Россия видится в попытке украсть материалы расследования катастрофы с самолетом MH17, в деле Хиллари Клинтон, в взломе сайта демократической партии США (признавшийся во взломе румынский хакер случайно умер в тюрьме во время следствия, но следы ведут в Россию, вроде как даже в ГРУ) и т.д. С одной стороны формируется не самый приятный имидж страны в глазах мирового сообщества, а с другой, возможно, готовится почва для принятия международных мер, о чем я еще скажу дальше.
  • В США при при министерстве национальной безопасности (DHS) создается новое агентство по информационной безопасности. В Японии тоже создали отдельное агентство по кибербезопасности критических инфраструктур.
  • Военные США и НАТО активно обсуждают тематику кибервойн и киберконфликтов. Это и недавно выпущенное руководство американского МинОбороны "Law of War", и конференция CyCon 2016 в Таллинне, и грядущий выпуск нового Таллиннского руководства 2.0, и официальное включение киберпространства в качестве новой сферы влияния НАТО. США просто развивают уже существующие давно документы и подходы, а для НАТО эта относительно новая тема, которая теперь будет серьезно развиваться и поддерживаться. На фоне Таллиннского руководства, которое пытается увязать существующее международное право с киберпространством и определить, в каких случаях кибератака может стать сигналом объявления войны и можно ли реагировать на кибератаки в физическом мире, такое внимание военных к данной теме пугает. Особенно на фоне некоторой медлительности России в этом вопросе. Пытаться на уровне ООН продвинуть правила неприменения информационных технологий в "плохих" целях - это хорошо, но и быть готовым к тому, что это не пройдет, тоже стоит. И иметь ответ, неважно, симметричный или асимметричный.
10 направлений кибер-стратегии НАТО
  • Почти незамеченной у нас проходит дискуссия о применении международного гуманитарного права к кибервойнам и киберконфликтам. Активную роль в этой дискуссии играет Международный Комитет Красного Креста, который недавно опубликовал новые комментарии к Женевской Конвенции (с момента предыдущих комментариев прошло более 50 лет), рассматривающие вопросы защиты людей и гражданских объектов в том числе и от кибернападений в рамках международных и локальных конфликтов и войн, в том числе и с приставкой "кибер". Что интересно, об этом же недавно "Красный Крест" говорил и в России - совместно с ПИР-Центром они организовали интересный круглый стол о применении норм международного гуманитарного права в кибервойнах, о применении Гаагской и Женевской конвенций в киберпространстве.
Из основного это, пожалуй, все. Судя по той активности, которая ведется на международной арене, анархия в киберпространстве всем уже надоела, и его ключевые участники хотят установить правила игры. Не так уж и важно какой и в каких целях; они разные. Кто-то хочет предотвратить применение Интернет и информационных технологий в неблагих целях. Кто-то наоборот готовится к ведению кибервойн (это и НАТО, и США с союзниками). Кто-то (как Красный Крест) понимая, что предотвратить они ничего не могут, хотят хотя бы защитить граждан и гражданские объекты (больницы, транспорт, электростанции и т.п.) от кибератак в рамках межгосударственных кибервойн или локальных или негосударственных киберконфликтов.

Единственное, что мне непонятно, это цели России. Пытаться сдерживать появление кибероружия - это похвально, но все равно что плевать против ветра. Этот процесс уже не остановить и он уже давно вышел из под контроля, которого и не было. С ядерными вооружениями это могло сработать, но не с информационными технологиями. Эта тема прорабатывается уже давно и многими государствами. Некоторые из них и отдельные рода войск имеют. Многие специальные подразделения создают. Имеют стратегии противодействия. А вот у нас все как-то хаотично. Что-то делается, что-то пытаются делать, но не так, на что-то глаза и вовсе закрывают. Не знаю, что из всего этого получится, не знаю.


ЗЫ. А пока я писал эту заметку, США заявили, что они будут вводить санкции против тех стран (имея ввиду Россию и Китай), которые осуществляют кибератаки на американскую критическую инфраструктуру.

26.7.16

Обоснование инвестиций в ИБ банка

На прошлой неделе мне довелось поучаствовать в замечательной конференции Payment Security, проходившей в Санкт-Петербурге. Несмотря на то, что для меня эта поездка стала блиц-кригом и, прилетев в Питер утром, вечером я оттуда уже улетел (утром отвозил дочь в детсад, вечером забирал), я получил море позитива на этом мероприятии, которое было полно действительно полезных и практичных докладов, посвященных теме безопасности финансовых операций с разных точек зрения.

Я на Payment Security выступал с темой обоснования инвестиций в информационную безопасность на примере банка. Ключевым отличием от предыдущих моих выступлений на эту тему было то, что я приводил несколько примеров реальных банковских бизнес-процессов (кредитование, private banking и т.п.) и показывал вклад ИБ в них. И это, пожалуй, ключевой момент в процессе финансового обоснования и, более крупно, выхода на уровень бизнеса. Нужно четко понимать, что делает бизнес и на чем он зарабатывает деньги. Без этого любые попытки говорить с бизнесом его языком обречены на провал.

Поскольку времени на выступление было как всегда мало для такой темы и часть слайдов мне пришлось проскочить, то я решил записать выступление отдельно, что и делаю, выкладывая запись на YouTube:



А вот и сама презентация:



После презентации мне задали закономерный вопрос: "А как выйти на уровень руководства, чтобы донести до него финансовое обоснование?" По понятным причинам (временные ограничения) я не мог ответить развернуто на этот вопрос, но... Так сложилось, что двумя днями ранее я выступал на "Коде ИБ. Онлайн" с ответом именно на этот вопрос.


Те, кто не смог послушать мое выступление могут получить его запись - достаточно пройти на сайт конференции и оплатить доступ либо к одной записи, либо сразу ко всем записям выступлений в течение трех дней.

В своем выступлении я постарался показать, о чем реально думает руководство компаний и какой язык они понимают. По сути, речь может вестись о нескольких ключевых моментах. Например, об ущербе, но немного на другом, более высоком уровне.


Помимо потерь, бизнес будет интересовать и выгоды, которые он получает от ИБ. Я привел полтора десятка примеров таких выгод, но понятно, что в универсальной презентации сложно их детализировать. В презентации на Payment Security мои примеры носили более приземленный характер, так как были сосредоточены вокруг одной отрасли - банковской.


Ну и конечно, нельзя забывать про тот факт, что в компаниях бывают разные руководители и они воспринимают обоснования совершенно по разному. Да и подход к ним нужен тоже разный.


Об этом и еще многих других вещах я и говорил в рамках своего выступления, которое можно скачать на сайте конференции, а презентация с Payment Security доступна всем, без ограничений.

25.7.16

Об извещении ФСБ

Не хотел я комментировать извещение ФСБ, так как не вижу в нем ничего нового и интересного. Могу только снять шляпу перед его авторами за оперативность. Все-таки за 13 дней с момента поручения Президента выпустить документ для 8-го Центра - это сверхоперативно. Но так как вопросов по нему мне задавали много, решил написать эту заметку.

Данное извещение является ответом на третье поручение Президента, которое должно было ответить на вопрос, какие средства шифрования (кодирования) из закона Яровой подлежат обязательной сертификации? Правда, это поручение также обязывало ФСБ до 20 июля утвердить порядок сертификации средств кодирования, а также порядок передачи ключей шифрования в адрес ФСБ. Вот про ключи шифрования, хотя в самом законе про них ни слова, пока никакого извещения или разъяснения нет, что я и предполагал, когда писал про косяки закона Яровой.

И вот тут надо посмотреть на последний абзац ответа ФСБ, из которого вытекает, что сертификация средств, о которых пишет антитеррористический закон, не нужна. А раз она не нужна, то и порядок сертификации тоже не нужен. Получается, что из трех частей поручения на два ответ у нас есть. Про то, что сертификация не нужна я тоже писал раньше - все-таки перечень ситуаций, когда законодательство оговаривает обязательность сертификации средств защиты, известен и пока в нем отсутствуют мессенджеры и другие средства коммуникаций, на которых, по идее, Яровая с Озеровым (депутат и сенатор, чьи имена стояли под законопроектом) и нацеливали свой закон.

Обратите внимание на "пока", которое я упомянул. Потому что я вижу два сценария развития событий. Первый исходит из того, что авторы закона ничего не понимают в сфере регулирования своего "детища" (а зачем тогда было расширять ст.13.6 при наличии аналогичной ст.13.12?). Тогда ничего не произойдет и у нас просто будет еще одна неработающая статья, устанавливающая ответственность за нарушение несуществующего требования. В пользу этой версии говорит тот факт, что в извещении ФСБ 8-му Центру пришлось разъяснять очевидные вещи насчет закона о гостайне и уже существующей системы сертификации СКЗИ для гостайны. Второй сценарий конспирологичнее ;-) Он подразумевает, что в будущем (а я уверен, что депутат Яровая за свои заслуги точно перейдет из Думы №6 в следующий состав) появится закон, устанавливающий требования по сертификации мессенджеров или по рассмотрению мессенджеров в качестве средств шифрования (а это можно и сейчас сделать).

Таинственное ночное изменение текста извещения на мой взгляд ничего таинственного в себе не несет. Первый вариант отличается от второго только началом третьего абзаца. Вместо "Законодательством Российской Федерации" стало "Законом Российской Федерации "О государственной тайне". При и до и после текст остался неизменным. На мой взгляд авторы просто утрясли с юристами то, что и так было понятно. Обязательная сертификация установлена не только для гостайны, а еще, например, для государственных информационных систем, а также для ряда других ситуаций. Вдаваться в эти разъяснения в ФСБ, на мой взгляд, не посчитали нужным, так как сразу бы возник вопрос с персданными, с банковской тайной и т.п., на который они отвечать публично не готовы - только в частном порядке. Поэтому общее "законодательство" поменяли на конкретное упоминание закона о гостайне.

Самым главным в извещении ФСБ остается последний абзац, который говорит о том, что сертификация того, о чем говорит закон Яровой, не требуется. Однако в нем тоже есть одна загвоздка, а точнее слово "массово", которое вроде как нигде не описано и отсутствуют критерии "массовости". На самом деле, как мне кажется, термин "массово" имеет вполне четкую связь с Вассенаарскими соглашениями, в котором есть термин "mass market", то есть массовый рынок, поставки средств шифрования на который идут по облегченной схеме. В России этот термин не прижился - когда в 2009-м году ФСБ согласовывало новую процедуру ввоза средств шифрования в Россию, а позже и документы по ВТО, его исключили из списка и средства шифрования для массового рынка исчезли из списка исключений. Кстати, именно поэтому наши лицензиаты не могут выложить свои бесплатные криптопровайдеры в AppStore или Google Play (а во всем мире это означает причисление решения к mass market) и вынуждены раздавать их только со своих сайтов после регистрации - по другому регулятор не разрешает.

Резюмируя - ничего нового в извещении ФСБ нет - просто констатация известных фактов, которую 8-й Центр был вынужден опубликовать по причине наличия поручения Президента России.

22.7.16

О проекте новой Доктрины ИБ

В последнее время я стараюсь не комментировать проекты документов по ИБ, которые попадают мне в руки. Высказать предложения, отправить их разработчикам... Это да. Но вот публично комментировать еще не принятые (и, возможно, и в будущем не принятые) документы я перестал. Однако бывают исключения. Особенно в тех случаях, когда я не уверен, что мои предложения дойдут (во всех смыслах) до разработчиков. Так было с проектом 378-го приказа ФСБ, так будет и с проектом новой Доктрины ИБ, публичное обсуждение которого закончилось 5-го июля. Согласно новости на сайте СовБеза было получено около 50 предложений, а только я направил их около 20. И либо меня засчитали за одно "предложение", либо мои предложения не дошли вовсе.

Вообще сбор предложений СовБез устроил достаточно интересно. С одной стороны то, что они привлекли экспертов "со стороны" - уже прогресс и новация. С другой... 8-й Центр ФСБ тоже привлекал экспертов в рабочие группы, рассылал проект 378-го приказа, собирал мнения и предложения. Только почти ничего услышано не было - косметические правки прошли, а концептуальные и серьезные предложения были отметены как нецелесообразные. Но зато приказ "обсуждался публично" и был "принят с одобрения экспертного сообщества". Боюсь, что с Доктриной может получиться аналогичная ситуация :-(

Первый (а для меня и последний) раз СовБез собирал экспертов осенью прошлого года. Тогда нам раздали проект документа и предложили прислать свои предложения, что я и сделал. Но, к сожалению, судьбу их, как и факт получения, я до сих пор не знаю. Никакой обратной связи с СовБезом нет и не было. Также было и в этот раз. Форма для отправки предложений была реализована в виде обычной Web-страницы, но... Возможности приложить файл с предложениями не было. А я привык отправлять таблички "что меняем - на что меняем - комментарий", что в данном случае было невозможно. К тому же объем отправляемого сообщения был ограниченой 1000 знаков (включая число знаков в полях с ФИО, адресом, страной, организацией, должностью и социальным статусом). Ну что можно вместить в такой объем? Пришлось отправлять около 20 сообщений и не получить никакого ответа о том, что мои предложения получены.


Вообще это проблема наших регуляторов - отсутствие культуры сбора предложений к своим документам. Очень плохо формализованный процесс. В отличие от той же ISO. У них в каждом рассылаемом проекте каждая строка специально пронумерована, чтобы при подаче предложений было легко ссылаться на нее. А в проекте Доктрины... Там даже сквозной нумерации абзацев не было :-(


Сводная таблица полученных предложений в ISO выглядит вот таким образом. Все сразу понятно. Что предлагали и что было принято или отклонено.


Но вернемся к проекту Доктрины. Я не буду повторять свои терминологические, косметические и смысловые предложения, упомяну только ключевые, на мой взгляд, проблемы этого проекта:
  1. Проект Доктрины носит явно гуманитарный характер, что отличает ее от предыдущей версии документа. Возможно это сделано осознанно и тогда предложение сбалансировать техническую и гуманитарную части можно проигнорировать. Если же уклон в гуманитарную часть сделан неосознанно, то хотелось бы расширить именно техническую часть, которую коротко можно было бы назвать "кибербезопасность" (хотя это термин и не принят в России на официальном уровне). Понятно, что основной акцент сделан на борьбе с информационным воздействием на Россию и ее граждан, которое сегодня сильно, но и про кибер-составляющую забывать не стоит. Не случайно же в Совете Федерации мы писали проект Стратегии кибербезопасности, который как раз и был направлен на решение именно "технических" вопросов.
  2. Совершенно непонятно, кто будет координировать взаимодействие субъектов системы информационной безопасности? Может стоит вернуться к идее единого органа по информационной безопасности? Тем более в свете не раз упоминаемой в последнее время административной реформы.
  3. Атакующий потенциал ИТ в Доктрине вообще не рассматривается. И это при наличии уже выпущенного американским МинОбороны "Law of War" и натовского Таллиннского руководства. Не говоря уже про кучу других документов, говорящих о кибервойнах. В недавно обновленной Военной Доктрине эти вопросы тоже не нашли своего отражения, что говорит о том, что наши стратеги не понимают важности этой темы.
  4. Ряд терминов не определен; то же "информационное противоборство”. Вообще в России проблематика с терминологией, даже на уровне документов СовБеза и ФСБ и ФСТЭК. У нас до сих пор полная неразбериха с терминами и каждый ФОИВ придумывает свои. Я бы предложил определиться с терминологией и наконец задать единый язык для специалистов. Но это предложение и прошлой осенью проигнорировали :-(
  5. В части критической инфраструктуры отсутствует единая политика в области информационной безопасности и ее связи с промышленной безопасностью. Ростехнадзор, Минэнерго, Минтранс, Росатом, МЧС… У всех свой взгляд на роль ИБ на критической инфраструктуре и никто не может договориться. В проекте эта тема опять опущена; только вскользь упомянута.
  6. В проекте совсем не рассмотрен вопрос актуализации и гармонизации законодательства в области ИБ – УК, УПК, КоАП, виды тайн, вопросы лицензирования и оценки соответствия и т.п. Не учтены и вопросы отраслевой стандартизации и установки отраслевых подходов в области ИБ. В первичном проекте это было в разделе про образование и науку, а сейчас вообще ушло из текста.
  7. Среди национальных интересов не упоминается экспортопригодность отечественных ИТ и ИБ технологий и вывод их на международную арену, что вообще выглядит странно на фоне всех заявлений последнего времени о необходимости "догнать и перегнать". Либо в наши ИТ уже никто не верит?..
  8. Не упоминается такая угроза как низкая осведомленность и компетентность граждан в области информационной безопасности. 2-3 года назад в СовБезе писался проект основ госполитики в области формирования культуры ИБ в РФ. Там про это много говорилось и стоило бы вернуться к этой теме. Но судьба того документа покрыта мраком.
  9. Не совсем понятна связь проекта Доктрины с уже имеющимися документами СовБеза - основами госполитики в области защиты АСУ ТП и в области МИБ.
  10. Общей проблемой всех отечественных стратегических документов, в том числе и про ИБ, является то, что современная (Вестфальская) система международных отношений опирается на понятие государственного суверенитета и принцип действия международного права, а они в теме информационной безопасности дают сбой. Понятие “войны” и “агрессии” морально устарели и помимо государств противоправные действия могут осуществлять террористические и экстремистские организации, незаконные вооруженные  формирования и иные негосударственные акторы. Этот момент не учтен в проекте Доктрины, который ориентируется на межгосударственные отношения и только.
  11. Не говорится про регулярную оценку и анализ защищенности информационной инфраструктуры, про государственно-частное партнерство (например, в сфере обмена информацией об угрозах или в части создания центров компетенций по ИБ или центров реагирования на инциденты/угрозы ИБ), про регулярное проведения киберучений, про страхование информационных рисков, государственные программы “bug bounty” и т.п. Стоило бы добавить про регулярный пересмотр и угроз информационной безопасности, и программ обучения, и приоритетных направлений научных исследований и т.п., что связано с динамичностью отрасли ИБ и необходимостью учета такой динамики. И, наконец, стоило бы упомянуть про порядок и формирование государством и основными субъектами системы ИБ отчетности по вопросам информационной безопасности, а также проводить ее регулярный анализ и принятие корректирующих и предупреждающих действий по защите от реализации угроз.
Вот как-то так у меня получилось. Может быть все-таки часть моих предложений будет услышана. А то получится, как и с прошлой Доктриной, очередной мертворожденный документ, который никак не поможет отрасли ИБ развиваться, а российским организациям защищаться от широкого спектра угроз.

21.7.16

Искусственный интеллект повлияет на рынок труда в отрасли ИБ

Хочу вновь вернуться к теме, о которой я уже писал в мае - о будущем специалистов по ИБ. Но посмотреть на нее с другой стороны. В прошлый раз я поставил в центр самого специалиста и пытался озадачиться вопросом - что надо сделать, чтобы не быть выброшенным на помойку истории и не быть обойденным другими специалистами по ИБ. Иными словами, как противостоять конкуренции с другими людьми, наступающими на пятки. Сейчас тот же вопрос стоит задать уже по-другому - а не занимаюсь ли я тем, что может быть полностью автоматизировано? Не придет ли мне на смену искусственный интеллект? Как конкурировать с ИБ-роботом?

Мы все видим, что постепенно, но многие рутинные и плохо раньше поддававшиеся автоматизации задачи все чаще становятся уделом программного обеспечения, постепенно вытесняя человека из привычных ему областей. Анализ угроз, расследование инцидентов, разбор вредоносного ПО, поиск уязвимостей, пентесты, классификация информации, измерение ИБ, обманки... По каждой из названных тем уже существуют либо готовые решения, либо их прототипы, которые в обозримом будущем могут полностью исключить необходимость держать человека в этой роли. И это обозримое будущее может произойти совсем скоро - в пределах нескольких лет.


Согласно прогнозам, развитие технологий в ближайшие четыре года приведет к исчезновению 5 миллионов рабочих мест в развитых странах. В ближайшие 4 года! Не 40 лет, не 14... Четыре! Абитуриент, поступивший в ВУЗ на модную ныне специальность по ИБ, выйдя из института может быть уже никому не нужен, так как его заменить робот или программа. Готовы ли мы к этому? Это в фантастических фильмах будущее описывается как идеальный мир, где все делается компьютерами, а люди наслаждаются отдыхом в экологически чистых районах Земли, ближнего и дальнего космоса. А я что-то не очень верю в такую утопию. По крайней мере на первых порах. И мне бы не хотелось, чтобы через лет пять я получил автоматически подготовленное сообщение о том, что в моих услугах больше не нуждаются, так как меня может полностью заменить компьютерная программа. Это будет печальный день. Для меня. Хотя отдельные персонажи будут только рады :-)

Вчера, после моей заметки о замене пентестера искусственным интеллектом, в одном из чатов было предложено разработать искусственный интеллект, заменяющий "бумажных" безопасников. Видимо, речь идет о программе, которая будет писать документы и нормативку. Разочарую авторов этого предложения - такие сервисы не требуют искусственного интеллекта - достаточно в шаблоны вставлять нужные исходные данные, получаемые либо в результате опроса, либо в результате автоматизированного аудита. Я несколько лет назад даже программировал такую систему, которая достаточно неплохо справлялась со своей задачей. Сейчас же есть готовые Web-сервисы или отчуждаемые программы, которые помогают справиться с этой "бумажной" задачей и без машинного обучения или нейросетей.

У меня сейчас нет рецепта для ситуации, когда технологии придут на замену человеку. Да я, если честно, пока еще не могу поверить, что это произойдет в самом ближайшем будущем. Все-таки человеческое мышление инерционно и я смотрю на развитие технологий, опираясь на свой предыдущий опыт, когда технологические скачки были не такими быстрыми. Хотя вот Сколково и АСИ уже спрогнозировали список специальностей, который уйдут в небытие после 2020-го года. Но все-таки видя то, чем сейчас занимаемся мы в Cisco, чем занимаются различные стартапы, понимаешь, что искусственный интеллект очень активно начинает (или начнет) проникать во все сферы нашей жизни, включая и ИБ, и вот тогда вопрос "Что делать?" и "Кому я нужен?" станет очень и очень актуальным. Но каждый на него будет искать свой ответ. В декабре я его тоже искал :-)

Россию, если у нас по-прежнему будет курс на импортозапрещение, может быть и минет чаша сия и у нас, при нехватке собственных инновационных продуктов и технологий, по-прежнему все будет делаться и решаться человеком. А вдруг нет?

Вы готовы к этому?


ЗЫ. Интересно, почему режиссеры саги о "Терминаторе" еще не взяли в разработку тему о том, что главного героя отправляют не в прошлое из будущего, а наоборот? И главный герой - это хакер, который атакует SkyNet и выводит ее из строя. А Шварцнеггер исполнил бы роль батарейки для ноутбука главного героя :-) Интересная была бы картина :-)

ЗЗЫ. Думаю, эта заметка завершает триптих по искусственному интеллекту в отрасли ИБ. По крайней мере все, что я хотел написать, я написал.

20.7.16

Пентест - это не искусство. Искусственный интеллект скоро вытеснит пентестеров

Продолжу позавчерашнюю заметку про машинное обучение, искусственный интеллект, нейросети в области информационной безопасности. Сегодня поговорим о некоторых, более конкретных применения этих технологий. Я позволил себе выделить несколько ИБ-стартапов, которые заявили о себе, как об использующих различные технологии искусственного интеллекта для целей кибербезопасности:
  • Cyberlytic (Великобритания). По заказу МинОбороны ее Величества разработали технологию приоритезации атак и оценки рисков ИБ.
  • Cybereason (США). Занимаются обнаружением атак.
  • Darktrace (Великобритания). Занимается анализом поведения сетей, устройств или пользователей.
  • Deep Instinct (Израиль). Говорят, что первые стали заниматься машинным обучением в ИБ (а как быть с Cognitive Security?). Борются с APT (а с чем же еще?). 
  • Fortscale (США). Мониторят поведение пользователей.
  • Jask (США). Занимается корреляцией событий ИБ из разнородных источников.
  • harvest.ai (США). Отслеживают изменения в поведении пользователей, приложений и систем.
  • Neokami (Германия/США). Идентифицируют и классифицирут данные на базе их ценности и чувствительности/конфиденциальности.
  • Pattern.Ex (США). Заявляют о создании "виртуального" аналитика ИБ, который детектирует в 10 раз больше угроз и в 5 раз быстрее, чем машинное обучение и обнаружение аномалий.
  • Status Today (Великобритания). Занимаются мониторингом аномального поведения. 
  • Vectra Networks (США). Автоматически приоритезируют атаки на базе бизнес-ценности активов внутри сети.
Разумеется, это не весь список, а только несколько примеров, которые показывают разноплановость применений машинного обучения/нейросетей в ИБ. Отдельно хотелось бы отметить тему пентестов, которая все чаще и чаще упоминается в контексте именно искусственного интеллекта (как бы к этом термину не относились разные специалисты), который может, и скорее всего, сможет заменить человека.

Ведь что-такое пентест? Процесс проникновения в сеть предприятия путем прохождения через одну или несколько выявленных уязвимостей (не путать с работой Red Team). Сами по себе уязвимости могут быть найдены с помощью различных средств анализа защищенности - от "банальных" сканеров безопасности до   анализаторов исходных кодов и исполняемых файлов (SAST/DAST/IAST). Не все, это очевидно. Ну так и пентестер их находит не все - все зависит от квалификации/технологии. Дальше происходит то, чем обычно и отличается пентестер от сканера - объединение ряда уязвимостей в цепочку последовательных шагов, которые пентестер проходит для достижения своей цели - проникновения внутрь защищаемого объекта. И вот именно эту задачу и можно попробовать автоматизировать с помощью технологий искусственного интеллекта, задача которых самообучаться и снижать число ошибок на основании предыдущего опыта (а число ошибок в случае применения автоматизации может быть сокращено очень сильно). И речь тут не о Metasploit, Core Impact или Immunity Canvas, которые пусть и автоматизируют некоторые задачи пентестера, но не могут его заменить.

Да ну, что за фигня, нельзя работу пентестера автоматизировать, - возразят мне. Это же искусство! Пентестеру так выгодно считать - тогда работу можно продать подороже. И уж точно поторговаться - ведь любое искусство неформализуемо, а значит и "фикс-прайса" быть не может (хотя опыт работы с приложением Prism показывает, что вполне себе формализуемо). Но вспомним тот же RedSeal или Skybox. Эти приложения, опираясь на информацию о конфигурации сети и существующих уязвимостях, вычисляют вектора атак и визуализируют путь движения потенциального злоумышленника (вот тут я рассказывал, как мы это делали в своей внутренней сети). Но в отличие от пентестера они не осуществляют реального проникновения. По описанию, аналогичную RedSeal задачу реализует и отечественный PT MaxPatrol SIEM.

На прошедшей PHDays от организаторов конкурса "CityF: Противостояние" я услышал мнение, что столкнувшись с реальным противодействием со стороны команд безопасников, многие пентестеры спасовали, так как не привыкли к тому, что им реально кто-то противостоит. Мол, многие команды-"хакеров" применяли наборы стандартных шагов, которые достаточно легко просчитывались и отражались. А тут еще мне вспомнился американский стартап SafeBreach, который участвовал в конкурсе инновационных ИБ-компаний на RSA в этом году, и который предложил технологию анализа уязвимостей и предсказания пути движения атакующего на основе полученных знаний. Чем не автоматизация работы пентестера? И это не единственный пример, который демонстрирует возможность подмены с будущей заменой пентестеров. Необходимо только добавить возможность перебора большого числа вариантов и обучения на своих ошибках. И такие решения уже стали появляться. Например, у High Tech Bridge есть система анализа безопасности Web-платформ ImmuniWeb, которая объединяет усилия человека и систем поиска уязвимостей, пентестеров и сканеров безопасности. Она построена именно на технологиях машинного обучения и заявляет о большей эффективности (оперативности и точности), чем может достичь человек в своей работе. Индийский стартап CloudSek также занимается разработкой технологий машинного обучения при пентесте Web-приложений.

Но это не все, кто пытается создать виртуального пентестера. Я нашел еще несколько инновационных компаний, которые предлагают схожие решения (правда, не все пока с функциями искусственного интеллекта). Первые две компании - AttackIQ и Cybric уже предлагают готовые продукты, которые автоматизируют процесс поиска, устранения, приоритезации проблем ИБ, а также измерения состояния ИБ н предприятии. Еще одна компания пока является темной лошадкой. Речь идет о Verodin. У нее интересные технологии, которые позволяют симулировать атаки и автоматизировать непростой процесс оценке защищенности предприятия. Пока готового продукта у компании нет, но она уже привлекла внимание ряда инвестиционных фондов, включая и Cisco, которая в начале июля инвестировала в Verodin некоторую сумму денег и даже помогла компании выставляться на нашей крупнейшей конференции Cisco Live US в Лас-Вегасе. Еще одной темной лошадкой является отечественная компания Awaredefense, созданная выходами из Лаборатории Касперского и которые, судя по тому, что они представляли на конкурс ИБ-стартапов в Сколково, делают схожие вещи. Но информации по заложенным технологиям и идеям в Интернет отсутствуют, поэтому что-то более конкретное сказать сложно.

И это уже готовые решения или их прототипы. Я не говорю о различных исследованиях, которые ведутся в области автоматизации обнаружения дефектов программного обеспечения. Первые серьезные публичные исследования этой темы относятся к началу 80-х годов прошлого века и они уже находят свое применение в сканерах исходных кодов (SAST/DAST/IAST). Есть проекты и по использованию существующих наработок и в целях информационной безопасности. Я видел такие исследования не только у американцев, но и у норвежцев, шведов, турков, англичан... Есть они и в России, но пока я не видел продуктов и решений, которые бы были построены на них.

19.7.16

Миллионы граждан безвозмездно получат отечественные средства шифрования... и колпак от 8-го Центра

16 июля, в субботу, когда прогрессивное человечество отдыхало на своих дачных участках или общественных пляжах, наш Президент, работая в поте лица, выпустил очередное поручение "об обеспечении разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования". Правительству, а точнее лично премьер-министру, было поручено выполнить всего одну вещь - поэтапно перевести федеральные органы исполнительной власти, органы государственной власти субъектов Российской Федерации, государственные внебюджетные фонды, органы местного самоуправления на отечественную криптографию при взаимодействие между собой, с организациями и гражданами. При этом граждане должны получить средства шифрования бесплатно. Ни много ни мало.

В этой новости прекрасно все. И юридическая, и техническая продуманность. Согласно ФЗ-149, принятому уже много лет назад, госорганы и так должны использовать сертифицированные СКЗИ. А сертифицированные они могут быть только после реализации отечественных криптоалгоритмов. Согласно же ПКЗ-2005 (он же приказ ФСБ №66) взаимодействие организаций с госорганами должно осуществляться также с помощью отечественной криптографии. Поэтому достаточно странно видеть в поручении Президента то, что и так уже прописано на уровне федерального закона.

И зачем принимать отдельное поручение по этому вопросу? Закон не реализуется? Вот не скажу. Как раз госы почти всегда используют отечественные СКЗИ имени Инфотекса, С-Терры, Фактор-ТС, TSS и т.д. Случаи применения западной криптографии, конечно, бывают, но они не так уж и часты. Да и задействуется обычно встроенная функциональность в сетевое оборудование или МСЭ как резервная функция. Поэтому такое поручение выглядит очень странно. Хотя вспоминая про косяки закона Яровой...

Неохваченным было разве что взаимодействие граждан с госорганами. И вот тут авторы наступают на технические грабли, о которых на моей памяти сотрудникам 8-го Центра ФСБ говорили уже не раз и не два, а на протяжении многих и многих лет. Речь о применении российской криптографии для разных пользовательских платформ. На те же госуслуги я могу зайти с стационарного ПК под управлением Windows, а могу с ноутбука под управлением MacOS, а могу и с смартфона под управлением какого-нибудь Safari или специализированного приложения под Андроид. И если для Windows я могу загрузить бесплатный ViPNet CSP,  то что делать для других платформ? Еще есть вроде как TLS-клиент у Кода безопасности, плагин от Крипто-Про (для ФНС)

Безвозмездное предоставление средств шифрования - это классно. Но возникает закономерный вопрос, а кто их будет разрабатывать? А поддерживать? А отвечать на вопросы ничего не понимающих пользователей? Ведь не секрет, что пока любые отечественные СКЗИ далеки от того, чтобы быть прозрачными для обывателя. На портале госуслуг уже 17 миллионов пользователей (было в феврале). Кто из разработчиков обладает инфраструктурой поддержки такого количества пользователей? Даже если у 10% будут проблемы при установки или эксплуатации, то количество людей в поддержке должно быть велико. За чей счет, если продукт предоставляет безвозмездно?

А что делать, если для устройства пользователя не существует отечественного средства шифрования (а для той же платформы iOS это сделать очень непросто)? Отказать гражданину в предоставлении госуслуг? А что делать с вывозом средств шифрования за пределы РФ? Это ведь отдельное законодательство.

Кстати, обратите внимание, что в поручении нет ни слова про сертификацию используемых средств шифрования. Думаю, это сделано намеренно и специально для граждан, заставлять которых получать безвозмездно только сертифицированные средства шифрования было бы странно. Однако и без требования сертификации это поручение очень и очень непросто. Ведь по сути, каждая организация общается с госорганами. И каждый гражданин с ними общается. И получается, что их будут принуждать (гонения на криптографию продолжаются?..) использовать отечественные средства криптографической защиты. Не то, чтобы я против был их применения, просто их число и спектр применения далеки от идеала...

А если посмотреть на это поручение с точки зрения худшего сценария "а что если", то получится следующее. Сначала вводится требование применение отечественной криптографии при общении с госорганами. Потом вообще при любом общении (в поручении в этом контексте интересно второй пункт поручения про СОРМ). А потом, для острастки начнут применять новую статью КоАП 13.6 в части применения на сетях связи неразрешенных средств шифрования. И вуаля, профит. Все граждане и компании применяют только отечественные СКЗИ, прекрасно сдающие всю информацию в рамках СОРМ спецслужбам (а оно им надо?). И никаких у нас террористов и экстремистов. Вот заживем-то...


Будем ждать развития событий и того, что напишут в Правительстве.

18.7.16

Когнитивная безопасность или победоносный возврат нейросетей

В 2000-м году, когда я писал свою первую книгу "Обнаружение атак", я посвятил много времени изучению не только традиционных подходов по обнаружению вторжений по сигнатурам или аномалиям, но и многим другим методам, среди которых были и нейросети, призванные автоматизировать процесс принятия решения по событиям безопасности, подаваемым на вход нейросети. Однако на тот момент времени, основным препятствием на победоносном пути нейросетей была нехватка обучающего материала. Сегодня, в век Больших Данных (пусть и мало кто понимает что это такое на самом деле) ситуация стала кардинально иной - данных для анализа (в том числе и с точки зрения безопасности) стало настолько много, что прежние подходы, те же сигнатуры, начинают потихоньку сдавать свои позиции.

Именно поэтому в последний год-два так активно стали упоминаться термины "машинное обучение", "нейросети", "искусственный интеллект" в описании различных технологий и средств защиты информации. Когда в 2012-м году мы покупали компанию Cognitive Security, мало кто еще понимал, что это такое и с чем едят ту математику, которая лежала в основе анализа огромных объемов Web-логов, которые и анализировались с помощью технологий Cognitive Security. Сегодня технологии машинного обучения применяются не только в Cisco Cognitive Threat Analytics, но и во многих других решениях Cisco по ИБ. Спустя 4 года термин "Cognitive Security" стала использовать компания IBM, рассказывая о "новой эре" информационной безопасности, а различные "умные" технологии прочно обосновались в портфолио многих вендоров по ИБ.

Машинное обучение и искусственный интеллект позволят создать новые рынки
Я не буду сейчас вдаваться в дискуссию о том, чем отличается нейросеть от машинного обучения и корректно ли делать ссылки на искусственный интеллект применительно к ИБ, но факт остается фактом - на последних RSAC и InfoSecurity Europe эти термины эксплуатировались в хвост и в гриву всеми кому не лень. И это не то, чтобы дань моде (хотя и такое тоже бывает). Просто технологии действительно достигли такого уровня, чтобы снять нагрузку с человека, принимающего решения. Возьмем совсем недавнюю новость о том, что программа победила пилота ВВС США в воздушном бою. В переводе говорится об искусственном интеллекте, хотя в самих результатах упоминаются немного иной математический аппарат - и нечеткая логика, и генетические алгоритмы. Но суть не в терминах, а в том, что то, что еще совсем недавно считалось невозможным - компьютер обыграл человека в пусть и учебном, но все-таки бою. Кстати, именно опираясь на опыт воздушных боев полковник ВВС США Джон Бойд сформулировал теорию про петлю, позже названную его именем, которую все чаще и чаще на Западе примеряют к теме кибербезопасности.

Независимо от конкретного математического аппарата почти все такие системы базируются на анализе большого числа, в том числе разрозненных и неструктурированных данных, моделирующими человеческий процесс принятия решения, но делающие это более быстро. Основным же преимуществом различных технологий машинного обучения является способность к самообучению и исправлению ошибок. Полностью, конечно, ошибки исключить нельзя, но так и человек их тоже совершает и далеко не всегда извлекает уроки из них. Помимо анализа большого объема данных (а в ИБ их действительно много) технологии машинного обучения (читайте нейросети, читайте искусственные интеллект) также применяются в прогнозировании и принятии решений - в задачах, которые так важны и в кибербезопасности.

Читали ли вы роман Сергея Лукьяненко "Лабиринт отражений"? В нем (а раньше аналогичная идея была описана Гиббсоном в его известнейшом романе "Нейромансер") приводится пример системы защиты киберпространства, которая действует сама, адаптируясь к атакам, на нее направленным. С увеличением числа и сложности атак, растет мощность и системы защиты, тем самым превращая попытку проникновения (и защиты) в бой с непредсказуемым результатом, зависящим от того, у кого (атакующих или обороняющихся) лучше алгоритм самообучения. Раньше я думал, что это фантастика и при мне таких технологий не появится. Но сейчас я понимаю, что, возможно, я ошибался. Я вижу то, что делается у нас в Cisco и какие исследования мы проводим в области новых технологий ИБ. Я примерно представляю, что происходит у других игроков рынка ИБ. Я слежу за ИБ-стартапами. Я понимаю, что сегодня многие ринулись в эту сферу и скоро картина используемых в ИБ технологий сильно преобразится (возможно это даст даже перевес в борьбе с злоумышленниками, которые пока не замечены в активном поиске научных исследований на эту тему). Например, недавно специалисты из лаборатории компьютерных наук и искусственного интеллекта Массачусетского технологического института и стартапа PatternEx представили платформу AI2, построенную как раз на данном подходе, которая позволяет обнаруживать до 85% атак, не имея никакой базы сигнатур (кстати, как сертифицировать такие решения, не имеющие базы решающих правил, не совсем понятно).

Огорчает только, что российские игроки рынка ИБ тему машинного обучения пока почему-то обходят стороной. Возможно, это связано с нехваткой данных для обкатки технологий. Все-таки этот барьер преодолеть не так-то легко. Западным компаниям проще - у них доступ к гораздо большему объему данных, чем у россиян. Например, OpenDNS анализирует 80 миллиардов DNS-запросов ежедневно (!), а Cisco Talos пропускает через себя 16 миллиардов URL, 500 миллиардов сообщений e-mail и 18,5 миллиардов файлов в день (!). На таких объемах действительно проще отрабатывать новую математику. В России, пожалуй, что только Касперский с его KSN может выполнить аналогичную задачу; а также Яндекс, Mail.ru, Qiwi, Сбербанк и другие неИБ-компании с большими потоками данных для анализа и своими разработчиками. Хотя все, конечно, зависит от конкретной задачи. Например, для анализа защищенности Web-сайтов есть весь Интернет, а для обнаружения атак с помощью машинного обучения можно использовать различные конкурсы, те же CTF, в рамках которых собирать и анализировать методы злоумышленников.

ЗЫ. Кстати, в США (а где же еще) проходит и специализированная конференция по применению искусственного интеллекта в ИБ - AICS.

15.7.16

Infosecurity Russia vs InfoSecurity Europe: что делать экспонентам?

Завершившаяся InfoSecurity Europe и предшествующая ей RSA Conference заставили меня задуматься, а что ждать от грядущей осенью InfoSecurity Russia? В свое время (первые годы, до конфликта РЕСТЭКа и ГРОТЕКа) обе InfoSecurity были похожи друг на друга; даже залами. Да, число участников было немного разным, но оно и понятно - все-таки российский рынок поменьше будет европейского. В остальном же мероприятие проходило живенько и отклики от него были только позитивными.


Сейчас ситуация изменилась коренным образом. И изменилась в худшую сторону. Все дело в импортозапрещении, которое активно насаживается последние пару лет и стало понятно, что с этих рельс Россия врядли сойдет в обозримом будущем. Отсюда следует простой вывод - иностранных игроков будет становиться все меньше и, следуя курсу на импортозамещение, впору и саму выставку переименовать в ИнфоБезопасность, как это в свое время сделал РЕСТЭК, предвосхитив события на геополитической арене.

А раз участников становится меньше (хотя уже и в прошлые годы, несмотря на победные реляции о росте и очередном рекорде, число участников было меньше предыдущих лет), то как никогда острым становится вопрос для любого экспонента - стоит участвовать в мероприятии или нет? А если деньги уже заплачены, то как извлечь максимальную выгоду из своих 2-6 квадратных метров, которые еще и похожи на соседей как две капли воды?

Не открою истину, если скажу, что ключевым здесь будет ответ на вопрос: "Зачем посетитель приходит на выставку?" От ответа на этот вопрос будет зависеть и то, какие каналы взаимодействия с посетителем будут и должны быть использованы. Среди самых очевидных причин посещения InfoSecurity Russia я вижу следующие:

  • Выступить на каком-нибудь круглом столе или секции. Таких будет немного и вероятно они не попадут в вашу целевую аудиторию.
  • Потусить. Самая популярная причина, на мой взгляд.
  • Набрать сувенирки. В условиях урезания бюджетов даже на канцтовары вполне себе цель.
  • Узнать что-то новое. Новую фичу продукта или новое в рамках доклада. 
  • Решить деловой вопрос.

Если для вас важны все эти причины (кроме, может быть, первой), то ваш стенд и стендисты должны быть готовы удовлетворить спрос по каждому из направлений. У вас должны быть материалы с чем-то новым, у вас должны читаться презентации (именно на вашем стенде), у вас должна быть классная сувенирка, у вас должна быть переговорка, у вас должны быть "печеньки" и другие "заполнители желудка".

Но это еще не все. Второй вопрос, который вы должны будете себе задать - "Зачем посетителю именно ваш стенд?" Тут вариантов всего два:

  • Он шел целенаправленно к вам. Это самый идеальный вариант, который, бывает не часто. В этом случае вы можете сразу начать общаться с посетителем, который знает, что он хочет.
  • Он шел мимо и случайно наткнулся на ваш стенд (хотя при размерах InfoSecurity слово "наткнуться" не совсем верно отражает картину). Как не потерять посетителя через 10-15 секунд, когда он оглядится и поймет, что он ошибся или что ваш стенд ничем не отличается от соседних? Чем вы готовы заинтересовать посетителя в первые секунды посещения, чтобы даже та немногочисленная аудитория InfoSecurity Russia (по сравнению с прежними годами) все-таки была вами охвачена максимально полно?
Посещая разные международные выставки я сделал для себя несколько выводов о том, как можно извлечь пользу из собственного стенда:

  • Помните, что организаторы вам ничего не должны! Распространенное заблуждение думать, что заключив договор на оказание выставочных услуг, вы получаете организатора выставки в рабство и он обязан по первому вашему зову что-то делать. Ни фига. Он получил деньги и свою задачу выполнил. Если в процессе оказания услуг, что-то пошло не так, то организатор может быть и виноват, но сделать вы ничего не можете. Судиться с ним вы не будете. Мероприятие уже закончилось и вы остались у разбитого корыта, то есть без целевой аудитории, с неработающим Интернетом, регулярно отключающимся электричеством, неввезенной по причине неоформленного пропуска раздаткой и т.п. Берите все в свои руки и контролируйте все сами!!! Это самый главный вывод.
  • InfoSecurity Russia, несмотря на то, что это сначала выставка, а только потом конференционная часть, привлекает аудиторию своими докладами. Многие приходят именно послушать, а не посмотреть. Почему бы вам не организовать выступления на своем собственном стенде? Мы и на RSAC и на InfoSecurity Europe все три дня читали с утра и до вечера 20-25-тиминутные доклады с 5-тиминутными перерывами. Независимо от того, что шло в рамках деловой программы. В конце концов, посетитель стоит здесь и сейчас и врядли он дождется вашего выступления в рамках конференционного придатка, которое может произойдет еще и завтра. Неужели вам нечего сказать о своих решениях и решаемых ими задачах? Вот и говорите. Превратите свой стенд в мини-конференцию. 
  • Никаких групповых стендов. Это признак бедности и отсутствие какого-либо эффекта. Вас скорее всего никто не запомнит.
  • Не надейтесь на организаторов - шлите свои приглашения по своей базе клиентов. 
  • Превратите стенд в мини-шоу (если вы, конечно, готовы немного омрачить ваш имидж солидной компании несолидными "фишками").
  • Разыгрывайте призы. Это важно. Даже взрослые люди хотят получать подарки. Даже если они могут их купить сами. На всех выставках все компании всегда собирают визитки для розыгрыша призов в конце дня (или дважды-трижды в течение дня). Это должны быть серьезные призы - дроны, планшетники, смартфоны, игровые приставки или еще что-то. Не дарите свою продукцию - это допустимо только для "домашних" средств защиты типа антивируса или иной автономной системы защиты ПК. Сертификаты на обучение - это, конечно, хорошо, но врядли заставит меня ждать конца дня, чтобы поучаствовать в розыгрыше (если это не проплаченное обучение на CISSP или CISM, конечно). А вот ради  электрического скутера (его еще называют скейтбордом, унициклом и т.п.) я возможно и останусь. Не себе, так ребенку отдам :-) Стоимость таких призов невелика - всего 20-40 тысяч рублей, которые мы умножаем на три дня и получаем около 100 тысяч дополнительных затрат на повышение лояльности посетителей стенда.
  • Если вы будете организовывать выступления на стенде, то после них каждый участник должен получить какую-то сувенирку - футболку, кепку, селфи-палку, чехол для телефона, закрывашка веб-камеры и т.п. Дешево, но приятно. Надежда получить что-то заставляет людей слушать, а это ровно то, что вам и надо от посетителей (помимо подписанных счетов на покупку ваших продуктов и услуг).
Подытожу. Выхлоп от участия в постепенно сокращающейся выставке зависит только от самих участников. Продуктов в области ИБ у нас больше не стало. Заказчиков тоже. Остается более эффективно работать с каждым из посетителей, а для этого пора отказываться от привычных методов "стояния на стенде" в пользу активной и проактивной работы ДО, ВО ВРЕМЯ и ПОСЛЕ выставки.

14.7.16

Косяки закона Яровой

Про закон Яровой высказались уже все. Вернувшись из отпуска, выскажусь и я. Но буду говорить я не о том, что это бред и технически нереализуемо, а посмотрю на закон чуть более глубоко с точки зрения нестыковок, которые в нем есть.

Начнем с изменений в статью КоАП 13.6, которая теперь наказывает не только за использование несертифицированных средств связи, но и за использованием несертифицированных средств кодирования (шифрования), там где такое требование установлено законодательством (презентацию по ссылке давно не обновлял, но и ситуация в этой сфере не сильно поменялась - скоро обновлю).

Во-первых, депутатам стоило бы ознакомиться как минимум со статьей 13.12 того же КоАП, где уже установлена ответственность за использование несертифицированных средств защиты информации, к которым также относятся и средства шифрования. При этом статья 13.12 гораздо шире, чем 13.6, и распространяется не только на сети связи. Хотя сумма штрафа в 13.12 гораздо меньше, чем в 13.6. В остальном же эти статьи идентичны. И специально хочу отметить, что новый закон не требует применения только сертифицированных средств шифрования. Он наказывает за применение несертифицированных тогда, когда сертификация СКЗИ является обязательной. Таких же случаев у нас не так уж и много и закон Яровой этот список не расширил.

Во-вторых, депутаты решили расширить статью 13.15 КоАП, добавив в нее ответственность за разглашение государственной или иной специально охраняемой законом тайны. И в чем смысл этой поправки, если в КоАП уже есть ст.13.14 про разглашение информации с ограниченным доступом (а она шире, чем просто тайна), а разглашение государственной тайны у нас подпадает по 283-ю статью УК, а не под КоАП? Разве что штраф увеличил с тысячи рублей до миллиона. Ну так никто не мешал поменять ст.13.14...

В-третьих, статью 13.31 КоАП расширили новым составом правонарушения - непредоставление в ФСБ оператором распространения информации, необходимой для для декодирования электронных сообщений. При этом обязанность предоставлять такую информацию в ФСБ была возложена на организаторов распространения информации поправкой в статью 10 ФЗ-149 из "закона Яровой". Это, пожалуй, самая дискутируемая норма нового закона. Многие СМИ, да и эксперты тоже, усмотрели в этих поправках требования отдавать все ключи шифрования, включая сеансовые, да еще и в ситуации, когда у организатора распространения информации таких ключей нет и быть не может (например, при шифровании на оконечных устройствах и невозможности сделать легальный MITM). Давайте разбираться.

Сначала надо вспомнить, кто попадает под термин "организатор распространения информации в сети "Интернет"? Фактически - только различные Интернет-сервисы (соцсети, почтовые сервисы, мессенджеры и т.п.). Формально же под определение в 149-м законе попадает огромное количество компаний, предоставляющих своим сотрудникам сервис удаленного защищенного доступа через сеть Интернет. Например, VPN (вот и первые пострадавшие), Outlook Web Access, корпоративные мессенджеры (Jabber, Lync и т.п.), почтовые клиенты на смартфонах и т.п. Это все "деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет". Платежные системы, использующие Интернет как канал передачи данных, с их электронными сообщениями о переводе денежных средств тоже могут трактоваться как организаторы распространения информации. То есть изначально корявое определение в ФЗ-149, рассчитанное под одни цели, теперь может быть использовано в гораздо большем числе случаев, о которых стоит помнить. А корпоративным заказчикам стоит задуматься о том, как они будут выполнять требование передачи ключей шифрования в ФСБ. Это если следовать трактовкам закона Яровой, которые дают журналисты. Если же мы посмотрим на перечень поручений Президента, выпущенный во исполнение закона Яровой, то мы увидим, что речь идет не обо всех распространителях, а только о тех, которые внесены в реестр, который должен вестись ФСБ. Это немного отличается от того, что написано в законе, но кого это волнует? С другой стороны это хорошо. Зная, как оперативно ФСБ у нас выпускает что-то, этот реестр мы, как мне кажется, увидим не скоро. А если и увидим, то врядли в него попадет 99% компаний, которые сейчас могут считаться организаторами распространения информации.

Стоп-стоп-стоп. А где вообще говорится о передаче ключей шифрования? Почему специалисты и журналисты так прицепились именно к ключам? В законе говорится всего лишь об информации, необходимой для декодирования электронных сообщений. И это очень важно. Для неспециалиста разницы между кодированием и шифрованием нет никакой. А вот для специалиста... Причем, что в юридической, что в технической сфере. Разница колоссальная.  Термин "кодирование" не имеет никакого отношения к криптографии. В отличии от шифрования, в котором используется некий секретный элемент (например, ключ шифрования), в кодировании никаких секретных элементов нет. Кодирование - это механизм преобразования информации из одной формы, удобной для непосредственного использования (чтения, просмотра, прослушивания) в другую - для улучшения передачи/хранения или автоматической обработки. Например, помехоустойчивое кодирование. Преобразование base64 в электронной почте - это тоже кодирование. Unicode, ASCII, UTF-7 - это все тоже кодирование. И сжатие данных с помощью какого-либо кодека - это тоже кодирование (так называемое сжимающее кодирование). И MP3, JPEG, AVI, EPS, CDR, SWF, PDF - это тоже кодирование. В ФСБ можно отправлять информацию о выбранном кодеке и формате данных :-)

Кстати, у термина "шифрования" есть очень четкий и отделяющий его от кодирования момент - ограничение доступа к информации (кодирование применяется для другого). Это вытекает из определения шифровальных средств из действующего законодательства (например, из ПП-313). В проекте закона Яровой термины "кодирование" и "шифрование" упоминались в паре. В финальной версии (в рассматриваемой части) термин "шифрование" убрали, что дало возможность снизить остроту проблемы, о которой так много говорили.

Немного портит картину перечень поручения Президента, в последнем пункте которого говорится именно о передаче ключей шифрования. Я могу объяснить эту нестыковку очень просто. Список поручений готовили в ФСБ, а "закон Яровой" - в Госдуме. Учитывая полную безграмотность и некомпетентность депутатов в технических вопросах, изначально очевидная идея о передаче ключей шифрования была завуалировала так, что полностью потеряла свой первоначальный смысл. Все-таки между "передача ключей шифрования" и "предоставление информации, необходимой для декодирования электронных сообщений" есть большая разница. И теперь очень интересно будет посмотреть на то, как в ФСБ будут выкручиваться из этой ситуации. Все-таки первичен у нас закон и в своих нормативных документах ФСБ (если закон Яровой не отменят) должна будет отталкиваться от формулировок закона, а не поручения. Вспоминая сколько готовился 378-й приказ ФСБ (по сравнению с тем, когда он должен был быть готов), хочется верить, что упомянутый в поручении Президента порядок, который и должна разработать ФСБ, будет готов не к концу июля этого года, а гораздо позже.


В качестве резюме могу подытожить. По части информационной безопасности каких-то революционных изменений в законе Яровой я не увидел. Почти все, что там написано, уже в той или иной форме было в действующем законодательстве и Яровая с Озеровым (авторы закона) просто увеличили сумму штрафов за нарушения уже известных норм законодательства. Остается некоторая неразбериха с кодированием и ключами шифрования, но тут нам остается только ждать обещанных нормативных актов ФСБ и правоприменительной практики.

Но... раз уж я упомянул правоприменительную практику, то давайте представим, что компания Facebook или Twitter или WhatsUp (а именно их чаще всего называют как основных адресатов нового закона) отказались выполнять закон Яровой и дело ушло в суд... Кто будет ответчиком по данному делу? У названных мной компаний в России представительств вроде как и нет и вызвать их повесткой в суд достаточно сложно. Ну так их просто заблокируют, скажете вы. А на основании чего? В законе нет такой формы наказания для организаторов распространения информации, которые отказались предоставить ключи шифрования в ФСБ. Интересная коллизия получилась. Те, против кого закон по идее и направлен, не страдают (в легальном поле, разумеется). Террористы и отъявленные экстремисты (а не студенты, не задумываясь ретранслирующие заметки о том, что не надо ходить на выборы) и так не будут соблюдать данное законодательство. А вот законопослушные компании, как это часто и бывает, окажутся под очередным дамокловым мечом. Да еще и затраты понесут колоссальные.

ЗЫ. На разнице терминов "кодирование" и "шифрование" во времена пресловутого 334-го Указа строилась стратегия ряда компаний по уходу от обязательности сертификации СКЗИ.