28.09.2016

Козлы и тигры информационной безопасности

На Дальинфокоме, который проходил в начале этой неделе во Владивостоке, я должен был читать презентацию с претензионным названием про дружбу козла Тимура и тигра Амура, которые ворвались в новостное поле российских СМИ и на долгое время задержались там ввиду нестандартности ситуации - хищник дружит со своим обедом. Ну и учитывая, что место этой дружбы находилось аккурат на Дальнем Востоке (вдаваться в разницу между Дальним Востоком и Приморьем я сейчас не буду :-), то мне показалось достаточно забавным назвать свою презентацию именно так. Именно в этом месте и в это время такое название было бы воспринято вполне адекватно, чего не скажешь о других регионах России (возможно). Но не самая лучшая организация (и смена организаторов) Дальинфокома привела к тому, что мое выступление отменилось; подозреваю, что даже и не предполагалось с самого начала :-(


Поэтому я не стал выкладывать презентацию в общий доступ, оставив ее в моих закромах на будущее. Однако три круглых стола, в которых мне довелось поучаствовать в рамках Дальинфокома, заставили меня немного пересмотреть свое решение - я все-таки выдерну несколько слайдов из презентации для визуализации того, о чем я хотел бы рассказать. Я думаю не столько долго погружаться и рассказывать, что такое тигры и козлы. Два вполне понятных и знакомых многим вида животных, один из которых пожирает другого. Причем часто второго отдают в качестве обеда первому (в зоопарках и сафари-парках так уж точно - дружба Тимура и Амура началась именно с этого "знакомства").


Если перевести этих представилетей фауны на область информационной безопасности, то окажется, что аналогия будет вполне уместной; причем сразу с множества сторон. Козлы могут предстать и в виде обманной системы, заманивающей хищников (хакеров) в ловушку. Тигры служат хорошей иллюстрацией как для хакеров, пожирающих (вламывающихся в информационные системы) ни в чем неповинных травоядных, так и для Tiger Team, занимающихся тем же самым, но с благими намерениями. Однако остановиться мне хотелось бы на другой аналогии, которая уравнивает российские госорганы с сакральной жервтой, которую государство по сути отдает на заклание хакерам.


Ведь если вдуматься, то так и происходит, и дискуссия на Дальинфокоме лишний раз меня в этом убедила. Государству нет дела до кибербезопасности госорганов и тем более муниципальных учреждений. Иначе как еще объяснить тот факт, что бюджеты на ИБ в госорганах урезаются, зарплаты специалистов по защите информации тоже не ахти какие, при этом самих специалистов не хватает, а штатных единиц под них не выделяют. Вспомним майское ПП-399 - оно как бы есть, но непонятно кто и за чей счет его будет выполнять. Потому что все понимают, денег нет, а ИБ госорганов в приоритеты государства не входит.

На Дальинфокоме, выступая в качестве адвоката дьявола, я все время пытался задать участникам простой вопрос - зачем им кибербезопасность? Угроз (массовых) у них нет. Штрафов за несоблюдение законодательства нет. Экономика для государственного или муниципального предприятия в ИБ почти отсутствует. Что движет госами в области ИБ? Энтузиазм? Привычка? Некоторые коллеги, участвующие в круглом столе, говорили, что угрозы есть, но мы про них не знаем. Штрафов нет, но есть увольнения чиновников за несоблюдение защитных мер. На мой вопрос про публичность этих фактов (и угроз, и увольнений), которые стали бы замечательным драйвером этой темы (как было у Роскомнадзора с персданными), полное молчание. Никто не хочет выносить сор из избы и самое главное сам регулятор (что ФСТЭК, что ФСБ) тоже этого почему-то не делают. Хотя на мой взгляд такая публичность сыграла бы им на руку и не пришлось бы лишний раз доказывать нужность занятий по кибербезопасности.

С ФСТЭК вообще ситуация не очень однозначная на сегодняшний день. Несколько лет подряд я хвалил этого регулятора, считая, что он выпустил и планирует выпустить очень нужные документы. 17-й, 21-й, 31-й приказы... Да, все так, но... с момента выхода этих приказов пока ФСТЭК больше ничего и не выпустил из обещанных документов. Где обещанная еще в 2015-м году методика моделирования угроз? Согласно новостям с прощедшей недавно InfoSecurity Russia, выход документа опять сдвинут - теперь на 2017-й год. А ведь еще в феврале срок был другой - март 2016-го. Как и проект новой редакции 17-го приказа, которую обещали выпустить для ознакомления и сбора комментариев осенью этого года. И где?


Документы по АСУ ТП тоже сдвинуты по срокам выхода и тоже на 1,5-2 года от ранее озвученных дат.


С требованиями по различным типам средств защиты и вовсе произошла детективная история. В озвученной на InfoSecurity Russia презентация список планируемых документов выглядт так:


Все бы ничего, но в феврале список был иной. В нем, например, присутствовали требования к SIEM, которые сейчас исчезли из перечня, а вместо них появились средства регистрации событий (возможно это тоже самое, а возможно и обычные менеджеры логов). И средства управления потоками информации тоже исчезли. Зато появились средства, которые в феврале отсутствовали, но присутствовали в версии аналогичной презентации от 2014-го года. То ли это связано с тем, что слайды брались из старой презентации и их забыли обновить, то ли ФСТЭК действительно опять поменяла свои планы по выпуску документов; не только с точки зрения сроков, но и номенклатуры.

В январяе в банке данных угроз было 182 записи, а в сентябре... 186. За 9 месяцев всего 4 новых угрозы?! И это при том, что в феврале говорилось о нахождении на стадии рассмотрениия аж 140 новых угроз. И где они?

Идем дальше. Межсетевые экраны. В феврале появился долгожданный 9-й приказ ФСТЭК о введении в действие новых требований к МСЭ. Сами требования к МСЭ (профили защиты) появились на сайте ФСТЭК только 12-го сентября и, что самое интересное, ФСТЭК грозится аннулировать сертификаты и решения на сертификацию МСЭ по старым требованиям с 1-го декабря этого года. Иными словами на то, чтобы пройти сертификацию по новым требованиям у заявителей есть всего 2 с половиной месяца (уже два).


Мне довелось пообщаться на InfoSecurity Russia с отечественными и западными разработчиками МСЭ и они, мягко говоря (а иначе за использование нецензурных выражений блог заблокирует Роскомнадзор), недоумевают. Даже отечественные разработчики жалуются в кулуарах, что не успеют сертифицироваться до 1-го декабря и уповают на то, что ФСТЭК выпустит информационное сообщение о сдвиге срока применения новых сертификатов хотя бы на весну 2017-го года. А если нет? На Дальинфокоме меня об этом спрашивали заказчики из госорганов. Что им-то делать? Думаю, что вопрос все-таки разрешится, но сейчас не о нем, а о том, почему проблема вообще возникла? Опять срыв сроков.

У ФСТЭК наблюдается катастрофическое несоблюдение ими же и озвученных дат выхода нормативных документов. И оно и понятно - они просто "зашиваются". Людей не хватает, руководство идет на повышение, прибавляется забот, рутина заедает, подбрасываются новые, более приоритетные задачи... Но старые дела и данные обещания никто не отменял... В итоге коллизия, которая будет только разрастаться. Я не предвижу ничего хорошего с точки зрения выпуска новых требований по безопасности и вполне допускаю, что многие из обещаний опять будут сдвинуты на еще более дальние сроки.

А страдают кто? Опять же госорганы. Это коммерческое предприятие может "забить болт" на требования сертификации или на иные документы регулятора и жить своим умом. Ни госы, ни муниципалы такой свободы позволить себе не могут. А регулятор бросает их на произвол судьбы, не имея физической возможности им помочь, и не желая озвучивать эти проблемы публично. Видимо надеятся на то, что успеют или проблема не всплывет. Мне знакомо это чувство, когда подходит крайний срок решения задачи, а к ее решению я даже не приступал. После дедлайна наступает либо апатия (а гори оно все синим пламенем), либо тебя нахлобучивает начальство за срыв обещаний. А кто может нахлобучить ФСТЭК? И за что? В плане нормотворческой деятельности ФСТЭК все обещанные документы не значатся (кроме парочки). А значит формально и взятки гладки.

А госорганы ждут. Ждут требований, ждут сертифицированных продуктов. На Дальинфокоме также озвучивалась проблема, что ФСТЭК, перейдя на сертификацию по профилям и новым РД, отказывается теперь сертифицировать по техническим условиям. И разослала соответствующие циркуляры по испытательным лабораториям. А что делать, когда РД на то или иное средство защиты еще нет? Например, на сканер безопасности или DLP или промышленный антивирус? Брать на себя ответственность и использовать несертифицированные СрЗИ? Не каждый госорган готов пойти на это. И получается дыра в системе безопасности, которой и пользуются "хищники". А госорган становится крайним, то есть козлом отпущения :-(

Вот такая аналогия с миром дикой природы родилась в процессе подготовки к участию в круглых столах по безопасности на Дальинфокоме. Будем надеяться, что хищники успеют "пожрать" не все госы и среди них найдутся "Тимуры", которые будут способны противостоять "тиграм" мира информационной безопасности, пока руководство зоопарка решает, как жить дальше.