30.9.16

Что движет кибербезопасностью на вашем предприятии? Презентация с "Кода ИБ"

Третьей, завершающей презентацией стал мастер-класс, посвященный рассказу о том, как попробовать показать место ИБ на предприятии в контексте достижения его бизнес-задач и целей, а не борьбы с местами мифическими угрозами и выполнением законодательства, которое никто не контролирует. Не могу сказать, что тема для меня новая - я ее в том или ином виде муссирую уже давно. Просто каждый раз добавляю что-то новое - кейсы, примеры, истории из жизни. Так было и в этот раз.



ЗЫ. Четвертая презентация, мастер-класс по борьбе с фишингом, так и не случился - его планировали сделать платным и народ на него не пошел :-( Но это было предсказуемо (однако надежда меня питала, хотя я и не юноша уже давно) - пускать два параллельных потока, платный и бесплатный, было циничным. Очевидно, что народ пошел на бесплатные знания :-) Но с другой стороны я подготовил очень неплохой материал, который разбавлю несколькими демонстрациями того, как можно отправить фишинговое письмо от имени постороннего человека, как можно легко создать клон любого сайта, как можно оценить уровень осведомленности персонала в части борьбы с фишингом, и т.п. Будет возможность - прочитаю где-нибудь.

29.9.16

Борьба с внутренними угрозами. Обзор технологий. Презентация с "Кода ИБ"

Вторая презентация с "Кода ИБ" была посвящена обзору технологий борьбы с внутренними угрозами. Точнее даже не совсем технологиям, а тому, что может стать источником данных для обнаружения внутренних угроз и на работу с чем и нужны то есть или иные технологии. Специально не ограничивался банальными DLP, которые уже немного набили оскомину (хотя набор функций у Infowatch Traffic Monitor меня впечатлил). Технологии борьбы с внутренними угрозами не ограничиваются только DLP. Об этом и презентация.




28.9.16

Козлы и тигры информационной безопасности

На Дальинфокоме, который проходил в начале этой неделе во Владивостоке, я должен был читать презентацию с претензионным названием про дружбу козла Тимура и тигра Амура, которые ворвались в новостное поле российских СМИ и на долгое время задержались там ввиду нестандартности ситуации - хищник дружит со своим обедом. Ну и учитывая, что место этой дружбы находилось аккурат на Дальнем Востоке (вдаваться в разницу между Дальним Востоком и Приморьем я сейчас не буду :-), то мне показалось достаточно забавным назвать свою презентацию именно так. Именно в этом месте и в это время такое название было бы воспринято вполне адекватно, чего не скажешь о других регионах России (возможно). Но не самая лучшая организация (и смена организаторов) Дальинфокома привела к тому, что мое выступление отменилось; подозреваю, что даже и не предполагалось с самого начала :-(


Поэтому я не стал выкладывать презентацию в общий доступ, оставив ее в моих закромах на будущее. Однако три круглых стола, в которых мне довелось поучаствовать в рамках Дальинфокома, заставили меня немного пересмотреть свое решение - я все-таки выдерну несколько слайдов из презентации для визуализации того, о чем я хотел бы рассказать. Я думаю не столько долго погружаться и рассказывать, что такое тигры и козлы. Два вполне понятных и знакомых многим вида животных, один из которых пожирает другого. Причем часто второго отдают в качестве обеда первому (в зоопарках и сафари-парках так уж точно - дружба Тимура и Амура началась именно с этого "знакомства").


Если перевести этих представилетей фауны на область информационной безопасности, то окажется, что аналогия будет вполне уместной; причем сразу с множества сторон. Козлы могут предстать и в виде обманной системы, заманивающей хищников (хакеров) в ловушку. Тигры служат хорошей иллюстрацией как для хакеров, пожирающих (вламывающихся в информационные системы) ни в чем неповинных травоядных, так и для Tiger Team, занимающихся тем же самым, но с благими намерениями. Однако остановиться мне хотелось бы на другой аналогии, которая уравнивает российские госорганы с сакральной жервтой, которую государство по сути отдает на заклание хакерам.


Ведь если вдуматься, то так и происходит, и дискуссия на Дальинфокоме лишний раз меня в этом убедила. Государству нет дела до кибербезопасности госорганов и тем более муниципальных учреждений. Иначе как еще объяснить тот факт, что бюджеты на ИБ в госорганах урезаются, зарплаты специалистов по защите информации тоже не ахти какие, при этом самих специалистов не хватает, а штатных единиц под них не выделяют. Вспомним майское ПП-399 - оно как бы есть, но непонятно кто и за чей счет его будет выполнять. Потому что все понимают, денег нет, а ИБ госорганов в приоритеты государства не входит.

На Дальинфокоме, выступая в качестве адвоката дьявола, я все время пытался задать участникам простой вопрос - зачем им кибербезопасность? Угроз (массовых) у них нет. Штрафов за несоблюдение законодательства нет. Экономика для государственного или муниципального предприятия в ИБ почти отсутствует. Что движет госами в области ИБ? Энтузиазм? Привычка? Некоторые коллеги, участвующие в круглом столе, говорили, что угрозы есть, но мы про них не знаем. Штрафов нет, но есть увольнения чиновников за несоблюдение защитных мер. На мой вопрос про публичность этих фактов (и угроз, и увольнений), которые стали бы замечательным драйвером этой темы (как было у Роскомнадзора с персданными), полное молчание. Никто не хочет выносить сор из избы и самое главное сам регулятор (что ФСТЭК, что ФСБ) тоже этого почему-то не делают. Хотя на мой взгляд такая публичность сыграла бы им на руку и не пришлось бы лишний раз доказывать нужность занятий по кибербезопасности.

С ФСТЭК вообще ситуация не очень однозначная на сегодняшний день. Несколько лет подряд я хвалил этого регулятора, считая, что он выпустил и планирует выпустить очень нужные документы. 17-й, 21-й, 31-й приказы... Да, все так, но... с момента выхода этих приказов пока ФСТЭК больше ничего и не выпустил из обещанных документов. Где обещанная еще в 2015-м году методика моделирования угроз? Согласно новостям с прощедшей недавно InfoSecurity Russia, выход документа опять сдвинут - теперь на 2017-й год. А ведь еще в феврале срок был другой - март 2016-го. Как и проект новой редакции 17-го приказа, которую обещали выпустить для ознакомления и сбора комментариев осенью этого года. И где?


Документы по АСУ ТП тоже сдвинуты по срокам выхода и тоже на 1,5-2 года от ранее озвученных дат.


С требованиями по различным типам средств защиты и вовсе произошла детективная история. В озвученной на InfoSecurity Russia презентация список планируемых документов выглядт так:


Все бы ничего, но в феврале список был иной. В нем, например, присутствовали требования к SIEM, которые сейчас исчезли из перечня, а вместо них появились средства регистрации событий (возможно это тоже самое, а возможно и обычные менеджеры логов). И средства управления потоками информации тоже исчезли. Зато появились средства, которые в феврале отсутствовали, но присутствовали в версии аналогичной презентации от 2014-го года. То ли это связано с тем, что слайды брались из старой презентации и их забыли обновить, то ли ФСТЭК действительно опять поменяла свои планы по выпуску документов; не только с точки зрения сроков, но и номенклатуры.

В январяе в банке данных угроз было 182 записи, а в сентябре... 186. За 9 месяцев всего 4 новых угрозы?! И это при том, что в феврале говорилось о нахождении на стадии рассмотрениия аж 140 новых угроз. И где они?

Идем дальше. Межсетевые экраны. В феврале появился долгожданный 9-й приказ ФСТЭК о введении в действие новых требований к МСЭ. Сами требования к МСЭ (профили защиты) появились на сайте ФСТЭК только 12-го сентября и, что самое интересное, ФСТЭК грозится аннулировать сертификаты и решения на сертификацию МСЭ по старым требованиям с 1-го декабря этого года. Иными словами на то, чтобы пройти сертификацию по новым требованиям у заявителей есть всего 2 с половиной месяца (уже два).


Мне довелось пообщаться на InfoSecurity Russia с отечественными и западными разработчиками МСЭ и они, мягко говоря (а иначе за использование нецензурных выражений блог заблокирует Роскомнадзор), недоумевают. Даже отечественные разработчики жалуются в кулуарах, что не успеют сертифицироваться до 1-го декабря и уповают на то, что ФСТЭК выпустит информационное сообщение о сдвиге срока применения новых сертификатов хотя бы на весну 2017-го года. А если нет? На Дальинфокоме меня об этом спрашивали заказчики из госорганов. Что им-то делать? Думаю, что вопрос все-таки разрешится, но сейчас не о нем, а о том, почему проблема вообще возникла? Опять срыв сроков.

У ФСТЭК наблюдается катастрофическое несоблюдение ими же и озвученных дат выхода нормативных документов. И оно и понятно - они просто "зашиваются". Людей не хватает, руководство идет на повышение, прибавляется забот, рутина заедает, подбрасываются новые, более приоритетные задачи... Но старые дела и данные обещания никто не отменял... В итоге коллизия, которая будет только разрастаться. Я не предвижу ничего хорошего с точки зрения выпуска новых требований по безопасности и вполне допускаю, что многие из обещаний опять будут сдвинуты на еще более дальние сроки.

А страдают кто? Опять же госорганы. Это коммерческое предприятие может "забить болт" на требования сертификации или на иные документы регулятора и жить своим умом. Ни госы, ни муниципалы такой свободы позволить себе не могут. А регулятор бросает их на произвол судьбы, не имея физической возможности им помочь, и не желая озвучивать эти проблемы публично. Видимо надеятся на то, что успеют или проблема не всплывет. Мне знакомо это чувство, когда подходит крайний срок решения задачи, а к ее решению я даже не приступал. После дедлайна наступает либо апатия (а гори оно все синим пламенем), либо тебя нахлобучивает начальство за срыв обещаний. А кто может нахлобучить ФСТЭК? И за что? В плане нормотворческой деятельности ФСТЭК все обещанные документы не значатся (кроме парочки). А значит формально и взятки гладки.

А госорганы ждут. Ждут требований, ждут сертифицированных продуктов. На Дальинфокоме также озвучивалась проблема, что ФСТЭК, перейдя на сертификацию по профилям и новым РД, отказывается теперь сертифицировать по техническим условиям. И разослала соответствующие циркуляры по испытательным лабораториям. А что делать, когда РД на то или иное средство защиты еще нет? Например, на сканер безопасности или DLP или промышленный антивирус? Брать на себя ответственность и использовать несертифицированные СрЗИ? Не каждый госорган готов пойти на это. И получается дыра в системе безопасности, которой и пользуются "хищники". А госорган становится крайним, то есть козлом отпущения :-(

Вот такая аналогия с миром дикой природы родилась в процессе подготовки к участию в круглых столах по безопасности на Дальинфокоме. Будем надеяться, что хищники успеют "пожрать" не все госы и среди них найдутся "Тимуры", которые будут способны противостоять "тиграм" мира информационной безопасности, пока руководство зоопарка решает, как жить дальше.

27.9.16

Тенденции кибербезопасности. Презентация с "Кода ИБ"

На прошлой неделе довелось мне поучаствовать в челябинском "Коде ИБ", где я выступал с тремя презентациями. Первая была посвящена некоторым тенденциям в области кибербезопасности. За основу я взял наш полугодовой отчет по кибербезопасности за первое полугодие 2016-го года, но немного подсократил, оставив время для дискуссии. Вот что получилось:



ЗЫ. Полная версия нашего отчета с сопутствующих материалов (презентация, текст на 100 страниц и видео на русском языке) доступна тут.

26.9.16

ИБ-игрища в стиле Agile

Agile... как много в этом слове... непонятного. И мало кто может четко сформулировать, что же это такое. Видимо это судьба любой новомодной темы или термина, которые сначала все используют в хвост и в гриву, даже не всегда понимая ее сути. Потом наступает прозрение и термин находит наконец-то свое место в череде других таких же. Еще год назад так было с SOC (кстати, скоро будет очередной SOC Forum), так произошло и с Agile.

У меня до сих пор висит черновик заметки про Agile в ИБ, но я все не доведу ее до ума. Поэтому и на последней конференции BIS Summit 2016, посвященной теме Agile, я старался дистанцироваться от ответов на эту тему. Фиг его знает, ляпнешь что-то, а оно совсем не так. Или, наоборот, так, а ты и не знал. Но есть тема, с которой я "играюсь" уже достаточно давно - геймификация в ИБ. Поэтому по просьбе организаторов BIS Summit я решил объединить эти два направления и родилась "бизнес-ИБ-игра для взрослых в стиле Agile". За основу я взял уже описанный мной инструмент "что если" (what if), применяемый для моделирования различных ситуаций и возможность подготовить сценарий их разруливания. Полтора года назад я уже проводил такое мероприятие в Питере в рамках очного семинара RISC.

В этот раз я немного поменял правила игры. Увеличилось число команд, сократилось число участников, изменилось время на подготовку ответа (1 минута), появилась возможность работать в команде. Все, как в Agile :-) Вопросы тоже поменял, частично оставив и несколько прежних, непотерявших актуальности. Ну а поскольку я завершал деловую часть BIS Summit, то разбавил вопросы и парочкой достаточно смешных и забавных. В итоге получилась вот такая презентация:



Было весело. Но это местами и подпортило первоначальный план. Мне хотелось, чтобы участники команд, посовещавшись, делились собственным опытом, который могли бы перенимать коллеги из других команд и сидящие в зале слушатели. Но не получилось. Agile сыграл злую шутку (да и я не предусмотрел это) - команды старались ответить первыми и поэтому у них почти не было времени на обсуждение и подготовку взвешенного ответа. Было смешно, но без обучающего эффекта. Хотя в конце последнего дня рабочей недели может серьезность и не пошла бы... Но как и положено в Agile, уроки извлечены и на следующей итерации я постараюсь такой ошибки не допускать.

Что же касается самого BIS Summit, то мероприятие традиционно мне понравилось. Достойная организация, достойный контент, множество знакомых и друзей, с которым не виделся очень давно. Особо впечатлила выставка преимущественно российских компаний по ИБ, которая насчитывала 35 (!) стендов. Это было реально круто! Особенно на фоне окончившейся днем ранее InfoSecurity Russia, которой в пору превращаться в "ИнфоБезопасность Россия" (иностранцев там осталось мало, что закономерно). Лично для меня так и осталось загадкой, что делало большинство компаний на InfoSecurity Russia. Ничего из того, что помогло бы провести 3 дня с пользой для бизнеса, на стендах многих игроков не было :-(

PS. Склоняюсь к мысли, что организовывать мероприятия по ИБ могут только те, кто в этой самой ИБ хоть что-то понимает. Или надо создавать программный комитет, который состоит из тех, кто понимает.

23.9.16

Моя личная модель нарушителя

Наткнулся я тут в Интернете на интересную картинку, которая очень удачно легла на истерию последних недель, которая разгорается в США по поводу "русских хакеров в погонах" и в России по поводу "угрозы АНБ".


Но рассмотреть я ее хотел не в контексте атрибуции, о которой я уже написал. Речь пойдет о моей личной модели нарушителя. В свое время я уже поднимал эту тему, рассуждая о ПП-1119 и возможности определения актуальности угроз персональным данным. Тогда я высказал мысль, которой придерживаюсь до сих пор, что актуальность угрозы определяет оператор (на самом деле это написано в самом Постановлении Правительства) и никто не может его заставить выбрать какие-то иные, зачастую мифические угрозы. Вот с моей личной моделью нарушителя ситуация ровно та же.

Есть ли вероятность, что АНБ может меня взломать? Да, безусловно. Такая вероятность есть. Будет ли АНБ меня ломать? А зачем? Существует куча иных способов получения доступа к моим данным, 95% которых и так публична. При моем пересечении границы США, в рамках действующего американского законодательства, у меня могут спокойно изъять мой ноутбук и потребовать от меня предоставить к нему доступ. И получить доступ к моей учетной записи в Apple, Google и других американских ИТ-сервисах АНБ, в рамках действующего американского законодательства, может беспрепятственно. И прослушивать они меня могут без особых проблем - направленные микрофоны еще никто не отменял и никакие скремблеры или шифраторы от них не спасут. У АНБ, если предположить, что они будут мной интересоваться, существует огромное количество достаточно простых способов незаметно взять меня "на контроль". Только вот зачем я им? Это ключевой вопрос при составлении моей модели нарушителя. Вчера на "Код ИБ" в Челябинске я задал ровно тот же вопрос аудитории и получил вполне ожидаемы ответ - никто не рассматривает АНБ, как угрозу для себя и своих компаний.

Криминалитет представляет для меня гораздо большую опасность, так как я активно пользую различные финансовые инструменты в Интернет и не хотел бы, чтобы мои деньги украли через непатченную уязвимость в Flash-плагине браузера или через дыру в моем Интернет-банке. И разработчик ПО для моего фитнес-трекера, который не знал про SDLC, и поэтому все данные о моем здоровье и перемещениях могут быть слиты в Интернет, - это тоже нарушитель, который мне актуален. И сосед по лестничной клетке, который может подцепиться к моей точке доступа и за мой счет ходить в Интернет или прослушивать мой трафик; он тоже включен в мою модель нарушителя (хотя и не с самым высоким приоритетом). И посторонний человек, который может заглядывать ко мне в экран ноутбука, когда я сижу в аэропорту, тоже представляет для меня угрозу. И пассажир метро, создавший "левую" точку доступа с SSID московского метро, в которому смартфон может подключиться автоматически. В конце концов взломщик этого блога или моего Твиттера для меня тоже более актуален, чем АНБ.

Это все реально и с этим я борюсь в меру моих возможностей и знаний. А вот с АНБ я бороться не могу (как и с ФСБ, Моссадом, Ми-6, НОАК и другими спецслужбами). Потому что я примерно представляю уровень их возможностей. Могут ли они использовать уязвимости в прикладном ПО? Да, могут. А в операционной системе? Тоже могут. А в процессоре Intel? Да, снова могут. И если я еще могу выстроить процесс управления (именно управления, а не устранения) уязвимостями в ПО, то на уровне процессора - увы. И на уровне используемого мной дома маршрутизатора тоже. И на уровне аппаратной начинки смартфона. Это вне моих возможностей. Покупать отечественный ПК на базе Эльбруса? Домой? Нет уж, увольте. Ставить какой-нибудь клон Линукса, смело названный российской защищенной ОС? Ну уж нет. Покупать "МойОфис"? В топку. Я прагматик и предпочитаю здоровый баланс безопасности и удобства. АНБ не вписывается в него, а посему и загонять себя в прокрустово ложе отечественных, и почему-то именно поэтому считающихся автоматически защищенными, технологий я не готов. Так зачем мне напрягаться? Я принимаю этот риск, занимаясь более приземленными и более актуальными для меня проблемами, бороться с которыми и проще, и доступнее, и дешевле.

Возможно у кого-то будет другая модель нарушителя. Вполне допускаю. Какой-нибудь фанат "Дождя" или "Медузы" может подумать, что за ним следит ФСБ и так и норовит узнать о его контактах с американским Госдепом. И специально для этого он купит BlackPhone, отключит по совету Сноудена GSM и GPS, обернет телефон в фольгу и будет думать, что он защитил себя от спецслужб. И какой-нибудь условный "Ролдугин" или "Песков" может всерьез рассматривать сотрудников Форт-Мида в Мэриленде в качестве своей основной угрозы. В этом, наверное, и состоит отличие специалиста от неспециалиста. Одни борются с актуальными угрозами, другие с мифическими. Одни находят баланс, другие перегибают палку. Одни тратят на безопасность исходя из актуальных для себя угроз, другие перестраховываются многократно. Каждый выбирает для себя.

ЗЫ. С корпоративными моделями нарушителей ситуация идентичная, но это уже не тема данной заметки. Понятно, что для государственных и военных систем, обрабатывающих определенного рода информацию, угроза со стороны АНБ будет вполне реальной.

22.9.16

А водителем у него сам Брежнев... (о ИБ-маркетинге)

Есть такой старый советский анекдот: "Как известно Л. И. Брежнев был большой любитель хороших автомобилей и сам частенько управлял ими. Как то ехал он с личным водителем и решил сам поуправлять. Водителя справа посадил, сам -за руль. Естественно, притопил, далеко за сотню. Гаишники с радаром в кустах спрятались, видят --их клиент. Один выбегает--палкой машет. Машина остановилась. Он только к водителю сунулся, сразу развернулся и назад, к своей идёт. Напарник его спрашивает: Что это там за гусь? Он ему в ответ: Не знаю, кто это, но за водителя у него сам Брежнев".

Он всплыл в голове, когда по итогам первого дня InfoSecurity Russia в Facebook шло обсуждение одной из компаний-экспонентов, у которой в рекламных материалах были упоминания очень серьезных заказчиков. А вспомнил я этот анекдот не случайно - достаточно давно, еще когда я только начинал заниматься ИБ, среди коллег ходила байка, что упоминание Центробанка в числе клиентов - это признак дурного тона. Дело в том, что при масштабах Центробанка и децентрализованной в то время политике закупок средств защиты в ЦБ и его главных управлениях можно было встретить практически все присутствующие средства защиты, которые часто покупались "поиграться" или для пилотных внедрений. Продажа какой-нибудь системы защиты на один ПК уже давала право продавцу смело заявлять, что в его клиентах числится "сам Центробанк" :-) Со временем ситуация почти не менялась - только число таких вот "Центробанков" стало расти. Газпром, Сбербанк, РЖД, Лукойл, ФТС, ФНС... Территориально-распределенных компаний-монстров у нас в России немало и каждая проповедует тот же принцип, что и ЦБ на заре зарождения отечественной отрасли ИБ.

Это я не к тому, что не надо верить, когда в рекламной листовке упоминается Сбер, ЦБ, Газпром и другие серьезные имена. Просто надо учитывать нюансы, связанные с желанием приукрасить свои возможности и преувеличить свое распространение. Кстати, у иностранных вендоров, особо маленьких, та же проблема. Только им чуть проще - они пишут не про Центробанк, а про списки Fortune. Кто-то упоминает Fortune 500, кто-то Fortune 100 или Fortune 200 (хотя таких официально и нет). Кому-то посчастливилось и он "попал" в Fortune 50. Проверить это сложно, зато выглядит солидно :-) Отдельные вендоры используют магическое "Top 10 в области...". Кто определил эти Top 10 непонятно, но зато можно завлекать этим потенциальных клиентов, которые хотят равняться на "Топ...", "Fortune..." и т.п.

У людей в нашей профессии, особенно публичных, такое тоже часто происходит. Бывает видишь, как человек пишет, что он "внедрял SOC в крупнейшем банке Восточной Европы" и думаешь: "Крутой чувак! Офигенный опыт! Буду держать его в уме, если спросят, кого можно на работу взять или на конференции выступить пригласить." А потом выясняется, что и банк-то российский. И не внедрял, а был менеджером проекта и носил бумажки на подпись. И не весь SOC, а только поставлял софтину для небольшой части одного из процессов SOC. Но ведь это не очень солидно будет (по мнению приукрашивающего себя) - вот и рождается очередной "г-н Садомский" - распространитель театральных билетов, называющий Министерство культуры своим местом работы. Этот герой из советского фильма-детектива "Визит к Минотавру" по мотивам одноименного романа братьев Вайнеров.



Да что далеко ходить; у меня и самого такое иногда бывает :-( Негативные издержки публичности. Главное, чтобы не переборщить в приукрашивании, а то неудобно может получиться...

21.9.16

Еду на #codeib в Челябинске

Традиционно, последние пару лет я активно участвую в различных мероприятиях компании "Экспо-Линк", преимущественно в региональной серии конференций "Код информационной безопасности". И вот второе полугодие я для себя начинаю "Код ИБ" с Челябинска, где конференция пройдет уже завтра. Учитывая, что мероприятие уже по недоброй традиции наложилось на проходящую в Москве InfoSecurity Russia (20-22 сентября) и предшествует проходящему в пятницу в Москве же BIS Summit (его с "Код ИБ" объединяет совершенно неудачное на мой взгляд деление секций исходя из того, откуда исходят угрозы - изнутри или извне), московские спикеры неохотно ездят в этот замечательный уральский город. Поэтому на тех счастливчиков, что прилетают из Москвы, ложится большой груз ответственности :-) Особенно после прошлогоднего мероприятия, которое запомнилось взломом сайта организаторов и передачей приветов отдельным участникам (я, к сожалению, не смог в прошлый раз выбраться) :-)


У меня в этот раз у меня будет два мастер-класса и две небольших презентации. Первая презентация будет посвящена некоторым тенденциям отечественного рынка ИБ и вместе с Максимом Степченковым и Алексеем Комаровым мы обсудим все то, что сейчас творится в нашей области. На секции по внутренним угрозам я попробую систематизировать технологии, которые позволяют бороться с инцидентами, происходящими внутри (хотя само по себе деление угроз на внешние и внутренние сегодня, при наличии Wi-Fi, 3G/4G-модемов, флешек и т.п., выглядит по-дурацки). А вот на мастер-классах я смогу оторваться и в течение 1-1,5 часов рассказать о двух разноплановых темах:
  • Мастер-класс "Как проверить способность сотрудников противостоять фишинговым письмам на практике?" Как известно, фишинговые рассылки сегодня представляют одну из серьезнейших проблем ИБ. По статистике до 95% всех атак начинается именно с электронной почты, содержащей фишинговую ссылку или вредоносное вложение, которые и открывают пользователи. Как выстроить процесс борьбы с фишингом? Как не ограничиться только выбором антиспам-решения, а проверить реальную способность сотрудников противостоять попыткам хакеров поймать их на свою удочку? Как обучить сотрудников бороться с фишингом? Можно ли это сделать с минимальными затратами? Какие решения сегодня есть на рынке? Какова пошаговая процедура снижения числа удачных фишинговых атак? Какова реальная практика борьбы с фишингом у мировых лидеров? Как выстроен процесс у компании, получивший в 2016-м году награду за лучший проект противодействия фишингу? Вот этому и будет посвящен первый, закрытый мастер-класс. Почему закрытый? Экспо-Линк активно пробует разные форматы монетизации контента. Один из них был совсем недавно - "Код ИБ. Онлайн". Другой пройдет в Челябинске. Сумма, на мой взгляд москвича, незашкаливающая, а контент я постараюсь дать качественный (как и всегда, собственно).
  • Мастер-класс "Пошаговая инструкция для определения того, что движет ИБ на вашем предприятии" продолжит уже начатую на "Код ИБ. Онлайн" тему (кстати, материалы "Код ИБ. Онлайн" доступны для просмотра). Но в этот раз у меня будет больше времени на ее раскрытие. Мы привыкли, что ИБ занимается борьбой с угрозами и выполнением требований нормативных документов и все это безусловно важно. Но в нынешних условиях перед генеральным директором предприятия стоят более серьезные угрозы экономического плана. А требования законодательства по персональным данным, нормативных актов Банка России или ФСБ пусть и обязательны, но правоприменительная практика по ним либо отсутствует, либо приводит к незначительным штрафам. Значит ли это, что ИБ не важна для руководства современного предприятия? Конечно же нет. Важна и даже очень. Просто руководство предприятия оперирует немного иными материями, которые мы и будем обсуждать в рамках мастер-класса. Мы увидим, как можно преподнести ИБ руководству, чтобы оно поняло и его проняло. Мы увидим, какой язык надо использовать при общении с руководителями и как он зависит от уровня руководителя, его зрелости и типа.
Так что коллег из Челябинска и окрестностей приглашаю на мероприятие. Постараемся сделать его интересным.

15.9.16

7 гипотез об уязвимостях в ПО

Хочу продолжить начатую вчера тему про управление уязвимостями, но посмотреть на нее теперь с точки зрения производителя. Готовя вчерашний материал, я наткнулся на интересное исследование "An Empirical Analysis of Software Vendors’ Patching Behavior: Impact of Vulnerability Disclosure", которое базируется на изучении данных и статистики CERT/CC и SecurityFocus по уязвимостям. И хотя Университет Карнеги-Меллона, а именно его сотрудники являются авторами исследования, опубликовал его в 2006-м году, мне показалось, что озвученные в нем гипотезы имеют место быть и сейчас, спустя 10 лет с момента публикации.

Целью исследования было понять, как раскрытие информации об уязвимости, влияет на время ее устранения? К каким же выводам/гипотезам пришли авторы, проанализировавшие большое количество уязвимостей в самых популярных базах дыр того времени? Их несколько:

  1. Раскрытие информации об уязвимости снижает время на ее устранение.
  2. Крупные компании патчат свои продукты быстрее мелких.
  3. Критические уязвимости патчатся быстрее менее приоритетных.
  4. Публичные компании устраняют дыры в своих продуктах быстрее частных.
  5. Уязвимости, попавшие в прицел CERT/CC, устраняются быстрее опубликованных в других источниках.
  6. Уязвимости, раскрытые через CERT/CC, патчатся быстрее, чем дыры, опубликованные CERT/CC, но раскрытые ранее через иные источники.
  7. Мнение о том, что в open source продуктах уязвимости патчатся быстрее, чем в проприетарном ПО, не нашло подтверждения.
Все указанные гипотезы подтверждены в отчете цифрами, которые можно перепроверить самостоятельно.

Не могу сказать, что приведенные гипотезы открыли неизвестные миру истины. Скорее они подтвердили с цифрами в руках известные ранее предположения. Мне показались заслуживающими внимания 2-я и 4-я гипотезы. Они говорят о том, что небольшие игроки рынка, и уж тем более компании частные, менее зависимы от мнения окружающих и поэтому работают на поле устранения уязвимостей хуже их более публичных и более крупных "коллег".  Отсюда вытекает вывод, что у них процедура SDLC обычно выстроена гораздо хуже и соответственно уязвимостей в их решениях больше и устраняются они дольше (если вообще обнаруживаются).

Думаю, что я мог бы добавить сюда еще одну гипотезу - в продуктах крупных или широко известных компаний уязвимости ищутся чаще, чем в непопулярных или навязанных (например, законодательством) решениях. Именно ищутся, а не находятся. Почувствуйте разницу между этими двумя понятиями. Понятно, что на более популярные продукты усилия исследователей бросаются чаще и больше, чем на мало кому известное ПО и оборудование. Помогает этому и запускаемые некоторыми крупными игроками программы Bug Bounty.

Вывод, который делают авторы исследования, достаточно просто - раскрытие информации помогает рынку кибербезопасности. Я бы добавил сюда только одно - раскрытие с соблюдением определенного кодекса поведения или кодекса этики, если хотите. Но вспоминая, что упоминание этики у отдельных чудаков вызывает рвотный рефлекс и стойкую идиосинкразию, я не буду касаться этого вопроса. История рассудит, кто был прав. Я только напомню про список риторических вопросов, на которые каждый исследователь, решившийся раскрывать уязвимости, должен ответить сам себе.

14.9.16

Среднее время неустранения уязвимостей пользователями - 5 лет!

Как вы думаете, сколько времени проходит с момента появления информации об уязвимости и ее закрытием со стороны производителя? А сколько времени уязвимость не закрывается потребителем уязвимого ПО или инфраструктурного оборудования, даже несмотря на наличие выпущенного и бесплатно доступного обновления? В последнее время тема управления уязвимостями находит все большее отражение и в нормативных документах (ФСТЭК на эту тему не только разделы в своих приказах поместил, но и целые ГОСТы разработал, а ЦБ выпустил отдельную РС и добавил требования в свое обязательное 382-П и ряд других документов) и в средствах массовой информации.

Вопреки расхожему мнению о дырявости многих продуктов - корпоративных и обывательских, прикладных и инфраструктурных, статистика говорит обратное. Против 84% уязвимостей производители выпускают патчи в первые 24 часа с момента опубликования сведений о дыре. такова статистика за 2015-й год по данным компании Flexera (в упоминаемом ниже исследованиях Cisco схожие цифры). В прошлом году этот показатель был равен 83%, а в 2010 - всего 49%.


Иными словами, всего за 5 лет в среде разработчиков произошел качественный скачок в деле устранения обнаруживаемых уязвимостей. Я не раз утверждал и продолжаю утверждать, что защищенность ПО и железа определяется не числом дыр в нем (этот показатель говорит в первую очередь о популярности продукта), а выстроенным процессом их устранения. Наличие формализованного SDLC у многих производителей позволили существенно улучшить показатель выпуска патчей за прошедшие 5 лет. Но заказчиков по-прежнему ломают. Почему?

И вот тут мне бы хотелось сослаться на полугодовой отчет Cisco по кибербезопасности, который мы выпустили (в том числе и на русском языке) в конце этого лета, в котором приводится очень интересная статистика. Среднее время присутствия уязвимости на стороне заказчика составляет... 5 (!) лет. Пять лет!

Это проблема и системного ПО, и инфраструктурного. У последнего показатель выше, так как его обновляет гораздо реже, живя по принципу "работает - не трогай". Понятно, что обновить тот же браузер, офисное ПО или даже Web-сервер проще, чем маршрутизатор или межсетевой экран, на который завязано слишком много. Отсюда и вытекает парадокс - производитель выпустил патч для обнаруженной уязвимости, а потребитель не спешит его устанавливать.


И проблема эта общемировая. У кого-то ситуация чуть лучше, у кого-то чуть хуже, но все регионы мира сталкиваются с тем, что потребители используют устаревшее оборудование:


 и ПО:
увеличивая окно возможностей для злоумышленников, которые могут годами "резвиться" в сетях своих жертв, не опасаясь, что им "перекроют кислород". В 2015-м году мы проверили 115 тысяч устройств Cisco по всему миру и 92% из них содержали известные уязвимости для которых были выпущены исправления. В среднем на каждом устройстве присутствовало 28 (!) уязвимостей. В процессе анализа на десятой части всех устройств были найдены уязвимости известные более 10 (!) лет. Более десяти лет!!! Только вдумайтесь в эту цифру. 


При этом ситуация усугубляется еще и тем, что число уязвимостей в устаревшем ПО и железе не ограничивается одной дырой. Обычно их гораздо больше. По уже приведенным выше данным Cisco в сетевом оборудовании таких дыр обычно около трех десятков. В среднем же на один ИТ-актив приходится около 7 уязвимостей. Об этом говорит отчет Nopsec за этот год. Облачные провайдеры обычно более уязвимы - каждый их актив содержит в среднем 18 уязвимостей. Активы финансового сектора, при средней длительности устранения уязвимости в 176 дней (очень хороший показатель по сравнению с 5-тью годами), обладают 6-тью уязвимостями; ВУЗы - двумя...

Понятно, что указанные цифры - это средняя температура по больнице - у каждого потребителя ситуация может меняться. Более того, она меняется в зависимости от того, о каких уязвимостях мы говорим. Например, по данным Nopsec, среднее время устранения уязвимостей во внутренних сетях вдвое ниже, чем на периметре (а мы в своем исследовании преимущественно оценивали внешние устройства), и в 5 раз выше, чем у Web-приложений. У "пользовательского" ПО ситуация тоже сильно меняется. Например, у Google Chrome, с его обязательным автоматическим обновлением и необходимостью иметь права администратора для отключения автообновления, обновления "накатываются" оперативно и за небольшой промежуток времени, пользователей переводят на новую версию ПО, с устраненными уязвимостями. Более того, Google не разрешает скачивать устаревшие версии браузера ни со своего, ни с посторонних сайтов. Это дает свой эффект.


Чем жестче политика производителя, тем эффективнее результат. Например, у Microsoft Office функция автообновления хоть и присутствует, но большинство пользователей игнорирует ее, эксплуатируя одну и ту же версию годами. Выход новой версии "Офиса" никак не сказывается на динамике обновлений, что само по себе парадоксально.


Получается, что производители добросовестно выполняют свою функцию своевременного выпуска обновлений, но сами пользователи не горят желанием их ставить, устраняя тем самым уязвимости и делая свое ПО или оборудование более защищенным. В чем причины такой бездеятельности потребителей?

В нашем отчете приводится несколько причин такого безалаберного поведения:

  • Нет денег на обновление (если речь идет об обновлении основных версий)
  • Боязнь изменений в функциональности ПО
  • Обновление может привести к простоям в работе организации
  • Объединение обновлений безопасности с функциональными обновлениями.
В отчете Nopsec к этому списку добавляются:
  • Перегрузка специалистов по ИТ/ИБ, ответственных за обновления
  • Нехватка ресурсов, в том числе человеческих
  • Слишком много ручной работы для обновления
  • Непонимание рисков, связанных с использованием устаревшей инфраструктуры и ПО
  • Отсутствие процесса управления патчами и коммуникаций между его участниками.

От себя могу добавить еще одну причину, которую никто и никогда не называл в зарубежных отчетах, но которая заслужила второе место в моем опросе, который я запустил в августе в Twitter. Боязнь потери сертификата для российских пользователей - это серьезнейшая причина, почему не нужно обновлять уязвимое ПО. Дилема "уязвимое, но с бумажкой, или защищенное, но без сертификата", к сожалению, имеет место быть и как ФСТЭК не старается исправить эту ситуацию, пока до положительных сдвигов далеко.


Завершить заметку мне бы хотелось простой рекомендацией - выстраивайте процесс управления уязвимостями и патчами, не оставляйте его на потом. Тем самым вы увеличиваете злоумышленникам время на совершение их противоправных дел. Производитель в меру своих сил и возможностей выпускает обновления, но устанавливать их - это уже ответственность потребителя. И чем критичнее ПО и инфраструктура, тем меньше возможностей этот процесс полностью автоматизировать, исключив из него человека. Поэтому и должен это быть целый процесс, а не просто купленный сканер, который может указывать на наличие уязвимого ПО в сети.

13.9.16

Heartbleed, атрибуция кибератак и бритва Хенлона

Давно хотел написать эту заметку, но все как-то руки не доходили. Но после почти месяца пребывания в США тема всплыла вновь и теперь я уже не могу про нее не написать. Но сначала я задам риторический вопрос: "Кто стоит за уязвимостью Heartbleed?" Отдельные чудаки, как это часто бывает, безапелляционно скажут, что это АНБ внедрило уязвимость, которой были подвержены сотни тысяч узлов в Интернет. Я же, известный агент вашингтоновского обкома, расширю этот список (несанкционный) следующими кандидатурами:
  • ФСБ. А почему бы и нет? Если уж наша спецслужба манипулирует мочой спорстменов и выборами американского президента (и непонятно, что еще сложнее), то что ей мешает внести правки в код OpenSSL?
  • Криминал. Тоже вариант. OpenSSL крутится на многих финансовых ресурсах, которые могут представлять интерес для злоумышленников, которые могли подкупить разработчиков OpenSSL или самостоятельно внести уязвимость в код.
  • Обиженный фанат open source community, которого отшила подружка на день Рунета (а именно в этот день была опубликована информация о Heartbleed).
  • Инопланетяне. Ну а почему бы и нет? При отсутствии доказательств их несуществования тоже вполне себе версия; не хуже и не лучше других.
Аналогичный вопрос об авторстве может возникнуть и в отношении кибератак. Сами по себе они врядли возникают (а уязвимости могут, но об этом ниже). Поэтому вопрос об атрибуции киберугроз встает достаточно остро. У нас часто обвиняют американцев, а те в свою очередь, а за ним и европейцы, любят обвинять во всех своих кибер-бедах китайцев и русских. Но на чем каждая сторона основывает свои доводы? На принципе геополитической целесообразности. Ничего другого пока за этими обвинениями нет.

В последний месяц-другой было очень много обвинений России в кибератаках. То на Демпартию США, то на WADA, то на спортивный арбитраж, то на NY Times, то даже на само АНБ... Тут впору вспомнить известный старый фильм "Красная жара" с Шварцнегером:



Юный инноватор (таким званием он был награжден) из американской CrowdStrike, ее основатель и технический директор, Дмитрий Альперович, изучавший взлом демократов, дословно написал в своем исследовании: "Extensive targeting of defense ministries and other military victims has been observed, the profile of which closely mirrors the strategic interests of the Russian government, and may indicate affiliation with Главное Разведывательное Управление (Main Intelligence Department) or GRU, Russia’s premier military intelligence service". То есть вывод о русском следе сделан на основании того, что среди жертв были преимущественно военные организации, и атаки происходили с IP-адресов, зарегистрированных за Россией.

В отчете ThreatConnect, названном "Все дороги ведут в Россию", чуть больше деталей деятельности хакера(ов), скрывающихся под именем Guccifer. Опираясь на информацию о владельцах ряда адресов, участвующих в атаке на демократов, и используемый русскоязычный интерфейс, был вновь сделан вывод о русском следе. Тут не могу опять не вспомнить очередное творение советского периода - книгу "Тайна Фенимора" и снятый по ее мотивам фильм "Три веселые смены". Там был такой фрагмент:

"Но неожиданно Ира Привалова спросила Женю Рыжика:
– А кто такой Фенимор?
– Не знаю… – неуверенно сказал мальчик и тут же поправился: – Писатель такой… Фенимор… Купер.
– Странно, – сказала вожатая, – сегодня во сне ты произносил это имя. Может быть, тебе приснился Фенимор Купер?…
Писатель? – Не знаю. Может быть, и приснился. Какое это имеет значение.
Ира Привалова сурово посмотрела на Женю Рыжика.
– Штабс-капитан Рыбников во сне заговорил на родном японском языке, и это выдало его как японского шпиона. Во сне человек может открыть свою тайну.
С этими словами она встала и пошла прочь.
– Нет у меня никаких тайн! – вслед ей крикнул Рыжик."


Если бы я был русским хакером, работающим на ФСБ, то я специально бы выбрал для своей деятельности сайт, у которого только один интерфейс, на русском; чтобы он уж точно вел все следы в Россию (это была шутка). Хотя в ThreatConnect на полном серьезе считают, что использование русского VPN-сервиса через французскую инфраструктуру - это фирменный знак российских спецслужб :-) Помимо ThreatConnect, а они написали целых 9 статей на тему взлома "русскими хакерами" американских демократов, этот кейс разбирали в Mandiant, известной своей любовью к России, и Fidelis. Уровень их доказательств примерно такой же и в качестве основа атрибута в своих выводах они опираются на "русские" IP-адреса.

Пресса тоже сходится в мнении, что за последними атаками стоят русские хакеры, ассоциированные с государством. Мотивация журналистов проста - а кто еще, кроме России, которая имеет большой опыт влияния на внутреннюю политику по всей Европе? Например, в Independent это обосновывается так: "And who was responsible for the leak? Almost certainly, experts say, the Russians, directly or indirectly. For one thing, the Kremlin has a long record in doing this sort of thing, meddling in internal politics across Europe. Back when the DNC hack became public, in mid-June, Russian agents were identified as prime suspects".

Однако, если отбросить всю эту околополитическую шумиху, то на самом деле провести реальную атрибуцию киберугроз сегодня очень затруднительно. Я в прошлом году писал большую статью на эту тему, в которой постарался показать, что существует множество причин организационного, правового, коммерческого, геополитического, психологического плана, которые мешают адекватной атрибуции. И это еще мы не рассматриваем ситуацию, когда злоумышленники осознанно фальсифицируют якобы "доказательства" своей деятельности, призванные направить исследователей по лживому следу. Например, Лаборатория Касперского обнаружила такие факты в отношении кампании CloudAtlas и хакерских групп Lazarus и Sofacy. Понимая всю сложность атрибуции ЛК отказалась от того, чтобы указывать авторство вредоносных программ и кампаний, которые они расследуют. И многие специалисты (а не балаболы, гонящиеся за дешевой популярностью) сегодня стараются следовать этой практике.

Например, известный эксперт по кибербезопасности промышленных систем Роберт Ли, известный своей русофобией, часто называл Россию в качестве основного источника современных киберугроз. Я с ним даже спорил на эту тему и в Интернете и на курсах SANS, на которых он был моим инструктором. После неоднократных дискуссий на эту тему он перестал огульно обвинять Россию, сменив риторику на более спокойную. В частности в своей мартовской статье, он подробно описывает все сложности атрибуции киберугроз и просит не считать его прежние высказывания о том, что за атаками на энергосистему Украины стоит Россия, верными. Более того, он пишет, что доказательств этого нет и скорее всего не будет найдено, с чем я тоже соглашусь (если не будет какого-либо перебежчика, который раскроет, кто же все-таки стоял за этой атакой).

Завершить свою длинную заметку мне хотелось бы возвратом к тому, с чего я начал. Помимо названных пяти вариантов появления Heartbleed есть и шестой, который лично мне представляется наиболее вероятным. Называется он "бритвой Хенлона", за которой скрывается известная фраза "Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью". По данным компании Black Duck 67% компаний в мире не анализируют уязвимости в open source. И с OpenSSL ситуация была именно такой - этот проект поддерживался в инициативном порядке всего двумя разработчиками, занимающимися этим неполный рабочий день. Стоило ли в таких условиях ждать, что они будут заниматься безопасностью модуля по безопасности?


При таких исходных условиях я с большей охотой поставлю именно на раздолбайство, а не на спецслужбы, якобы стоящие за всеми громкими уязвимостями. Как сказал Пелевин: "Миром правит не тайная ложа, а явная лажа" и я склонен с ним согласиться. Значит ли это, что это всегда так? С уязвимостями вполне допускаю, но с атаками дело обстоит иначе и за ними всегда стоит кто-то. Только вот чтобы утверждать об этом "ком-то" необходимо гораздо более веские доводы, чем "только русские спецслужбы говорят на русском языке", "только китайцам интересны американские секреты" или "только Израиль может стоять за атаками на Сирию и Иран".

12.9.16

Intel и HPE продают свой ИБ-бизнес

На рынке ИБ, который раньше преимущественно был отмечен большим количеством сделок по поглощению, произошло два знаменательных события - Intel и HPE продают свой ИБ-бизнес. Компания Intel, которая в последнее время продавала и прикрывала отдельные линейки продуктов ранее приобретенной компании McAfee, решила все-таки продать свой подразделение по информационной безопасности частной инвестиционной компании TPG Capital за 3,1 миллиарда долларов (еще 1,1 миллиарда инвестирует сама TPG). Произошло это событие 7 сентября. После завершения сделки Intel будет владеть менее чем половиной вновь образованной компанией (49%), которая вернется к своему прежнему наименованию - McAfee.

Хочу напомнить, что в 2010-м году Intel купила McAfee за 7,7 миллиарда долларов, но желаемого эффекта эта покупка не принесла. Внедрить безопасность "в кремний", как это преподносили руководители McAfee и Intel, не удалось. Интересно, что в это же время, компания HPE анонсировала продажу за 8,8 миллиардов своего бизнеса ПО британской компании Micro Focus. Среди прочего продается и бизнес по ИБ - ArcSight, Fortify, Atalla и Voltage. Причина та же - "неповоротливый бегемот" (так в одном из материалов IDC назвала HPE и Intel) не смог выжать максимум из приобретенных ранее активов и не смог сфокусироваться на теме кибербезопасности, что и привело к закономерному результату. Теперь HPE будет фокусироваться на других темам, среди которых ИБ уже в явном виде не присутствует.

Последствия данных сделок для России и других стран постсоветского пространства пока предположить сложно.

ДТП как зеркало отрасли информационной безопасности

Все как-то не было повода, а тут он сам собой и с неожиданной стороны проявился. Попал я ДТП с участием Камаза, двух автобусов и 5 легковых автомобилей. Авария была серьезная - лобовое столкновение Камаза с одним из автобусов, водителю которого пришлось ампутировать обе ноги. И пока я находился на месте ДТП, а было это в течение 6 часов, и наблюдал за всем происходящим мне в голову пришли две мысли, имеющие отношение к ИБ.



Сам не раз ловил себя на том, что любая авария, мимо которой проезжаешь, вызывает любопытство. А что, а как, а почему?.. Но со стороны все это обычно выглядит не так, как в ситуации, в которой ты сам один из главных героев. За 6 часов вокруг места аварии скопилось немало зевак, многие из которых тупо щелкали все происходящее на камеры своих смартфонов. Потом появилось несколько видеоблогеров, которые решили не просто поснимать аварию с тротуара, а пробраться к самим машинам, залезть в наполовину снесенную кабину Камаза и полностью смятую кабину автобуса. Потом подтянулась пресса - ТВ и радио. Особенно настырным был корреспондент РЕН-ТВ, который все пытался взять интервью у водителей пострадавших машин, которые были явно не расположены что-то комментировать.

Очень сильно мне это напомнило ситуацию с взломами или утечками в той или иной компании. Да и, пожалуй, с любым инцидентом ИБ, который становится достоянием гласности. Кто-то просто копируют новость с какого-либо новостного ресурса, кто-то ее сухо комментирует (мол так-то и так-то), а кто-то ярко смакует все детали, сразу найдя "виновного" и сходу, но новостным лентам, определив причину происходящего. Когда ты находишься в роли комментатора, то вроде бы ничего и нет в этом предосудительного (если этическую грань не переходить). А вот когда ты в роли комментируемого... Картина меняется. Уже не так весело и не так интересно. Хочется, чтобы это поскорее закончилось и жизнь продолжала бы течь как раньше. В общем ничего нового. Старая, очень старая поговорка. "Не делай другим того, что ты не хочешь, чтобы делали тебе". Не говори о других так, как не хочешь, чтобы говорили о тебе. Комментатор уверен, что его или его компанию не взломают и ему не придется оказаться в роли комментируемого? А если утечка произойдет? А если в его продуктах (если он их выпускает) найдут целый букет дыр? Вот такой была моя первая мысль, когда я сидел в машине, вокруг лил дождь, копошились спасатели, гаишники, следователи, муниципалы и еще масса всякого народа.

Вторая мысль пришла уже позже, когда спустя 6 часов после аварии нас отпустили по домам. Кто бывал в ДТП, тот знает, что обычно оформление проходит быстрее. Если дело происходит в Москве, то каждая машина ГИБДД обычно оснащена принтером и подключением к Интернету. Это сильно ускоряет процедуру оформления - в последний мой раз на оформление паровозика из 4-х машин ушло всего 2 часа с момента ДТП и моим отъездом домой. И это при том, что ДТП произошло в 18 часов с небольшим, то есть в час пик, на загруженной Ленинградке. Но вернемся к последней аварии.

Дело было на Новокуркинском шоссе, которое разделяет Москву и Московскую область. Это привело к тому, что на место ДТП приехали и столичные наряды, и областные. Было 8 машин скорой помощи, машина ЦЭМПа (Центра экстренной медицинской помощи), 5 машин МЧС и пожарных, 6 машин ГИБДД и парочку личных БМВ, видимо, руководителей близлежащих подразделений МВД. 20+ машин!!! Неорганизованность полнейшая.

12 (!) пожарных фотографировали место происшествия - каждую столкнувшуюся машину с двух сторон. Двенадцать! Я потом спросил одного из них, зачем они это делали? Оказалось все просто - у них порядок такой. Каждый наряд должен сделать фотофиксацию места, на которое они выехали, для отчетности. Для гарантии, что фотографии получатся, в каждом наряде фотографируют 2-3 человека. Отсюда такое количество "фоторепортеров".

Пожарные прибыли на место спустя несколько минут после ДТП; благо областная пожарка была в 600 метрах, а московская - в километре. Однако они еще 4 часа ждали следователя, который должен был им разрешить растаскивать поврежденные машины. Приехавший же следователь оказался молодым и явно неопытным (как же его кляли гаишники) - он все кому-то звонил и уточнял, как надо заполнять документы по происшествию (оторванные ноги водителя автобуса - это уголовное преступление). Сами же спасатели и гаишники не хотели ничего решать, боясь брать на себя ответственность. Позже, пообщавшись с ними, я понял, что им могут еще и по шапке надавать, если они "внесут изменения на месте аварии". Поэтому и приехавший для растаскивания Камаз, и машина для эвакуации автобуса, стояли на аварийке в течение нескольких часов, пока им дадут делать свое дело. И стояли они, конечно же, на проезжей части, перекрыв одну из полос, усугубляя и так непростую дорожную ситуацию.
В итоге, заполнив все протоколы, объяснения, расписки, спустя 6 часов, мы уехали с места ДТП по домам.

Вся эта бюрократия мне напомнила фрагмент из старого советского фильма "Огарева, 6":


И несмотря на 36 лет, прошедшие с момента выхода фильма о доблестной милиции, ситуация совсем не сдвинулась с мертвой точки. И надо признать, что в информационной безопасности, а точнее в расследовании инцидентов ИБ все точно также. Куча бумаг, неорганизованность, конкурирующие "смежники", нежелание брать на себя ответственность и... куча потерянного драгоценного времени. И это не пессимизм, а реалии, которые все глубже и глубже засасывают тех, кто сталкивается с государственными органами, которые требует уведомлять их об инцидентах ИБ. Пока это сделано для объектов ТЭК (постановлению №861 в октябре будет уже 3 года) и банков. Не за горами требование оповещать СОПКУ. А там может всплыть и тема уведомления об инцидентах с персданными граждан (она уже давно муссируется в кулуарах).

Вот такие вот мысли...