31.1.17

Чего не хватает 17-му приказу?

Не за горами принятие промежуточной версии 17-го приказа, за которой воспоследует и уже полноценный вариант новых требований для госорганов, а также иных организаций, обрабатывающих информацию, владельцем которой являются госорганы. Учитывая, что прошлая версия 17-го приказа вышла аж 4 года назад (хотя у ФСТЭК и было желание выйти на двухлетний цикл обновления своих НПА), стоит поразмышлять, чего не хватает текущей редакции и что могло бы появиться в новом варианте.

Сейчас документ исходит из предпосылки (неявной), что в государственной информационной системе все узлы одинаковы и это персональные компьютеры или сервера, за которыми работают или могут работать пользователи, которые в свою очередь могут пройти процесс аутентификации. Иными словами, речь идет только об офисных ИС. Однако уже сейчас даже в офисных системах есть устройства, за которыми пользователи не работают, но устройства обрабатывают информацию ограниченного доступа. Это могут быть принтеры, сканеры, системы видеонаблюдения, видеоконференцсвязь, IP-телефония и т.п.


Во-вторых, сейчас активно, внедряется Интернет вещей, который подразумевает обмен информацией между устройствами, преимущественно консьюмерскими, – интеллектуальные часы, очки, кофеварки и т.п. Они и к офисной беспроводной сети могут подключаться, включаясь тем самым в контролируемую зону. Запретить это сложно, значит нужно контролировать и регламентировать. И если в традиционных ГИС таких устройств может быть и немного, учитывая неразвитость Wi-Fi в ГИС, то в коммерческих структурах, которые после принятия поправок в ФЗ-149 могут попасть под действие 17-го приказа, таких устройств немало и их число будет расти.

В-третьих, в сети могут быть и мобильные устройства, к которым, по крайней мере на текущем этапе, необходимо применять немного отличные требования по защите. Например, многие мобильные устройства подразумевает всего лишь 4-хзначный PIN-код, а не 6-ти-8мисимвольный пароль.

Идем дальше. Сейчас документ статичен – он прописывает набор защитных мер, которые государственное или муниципальное учреждение обязано применить при построении системы защиты. Однако такая статичность в современном динамичном окружении уже не позволяет решать многие задачи ИБ. Например, возьмем пользователя Иванова, который получает доступ к защищаемым ресурсам с ноутбука. Казалось бы сценарий один… но нет, сценариев такого доступа может быть очень много:
  • Пользователь Иванов подключился к защищаемым ресурсам с личного ноутбука
  • Пользователь Иванов подключился к защищаемым ресурсам со служебного ноутбука
  • Пользователь Иванов подключился к защищаемым ресурсам изнутри ведомства
  • Пользователь Иванов подключился к защищаемым ресурсам удаленно, через Интернет
  • Пользователь Иванов подключился к защищаемым ресурсам по Wi-Fi
  • Пользователь Иванов подключился к защищаемым ресурсам по проводному соединению
  • Пользователь Иванов подключился к защищаемым ресурсам в рабочее время
  • Пользователь Иванов подключился к защищаемым ресурсам в нерабочее время.
И в каждом из этих случаев (а они могут еще и комбинироваться между собой) меры защиты могут и должны быть разными. Например, подключение извне и подключение изнутри требуют разных мер, подключение с личного и служебного ноутбука требуют разных мер, подключение в рабочее и нерабочее время требуют разных мер. Иными словами, реализация защитных мер должна зависеть от контекста. Под контекстом я понимаю не только ответ на вопрос «ЧТО можно», т.е. анализ трафика на сетевом и прикладном уровне, но и ответы на вопрос «КОГДА можно» (привязка ко времени попытки доступа), «КУДА и ОТКУДА можно» (куда и откуда осуществляется доступ), «КОМУ можно» (привязка не только к IP-адресу, но и к учетной записи пользователя), «КАК можно» (с какого устройства можно осуществлять доступ – с личного или с корпоративного, со стационарного или с мобильного). Все это позволяет более гибко выстраивать политики доступа и учитывать постоянно изменяющиеся потребности современного предприятия с точки зрения информационной безопасности. И если еще несколько лет назад такая тема была не столь актуальна для госорганов, то сегодня многим государевым структурам без этого не обойтись.


Ввиду активного перехода на облачные среды и аутсорсинг по тексту лучше заменить упоминаемого «оператора» на «оператора и уполномоченное лицо, которое может обеспечивать защиту ИС». Также как и лучше заменить заменить по тексту упоминаемого «пользователя» на «субъекта доступа», т.к. контролировать надо в современных информационных системах не только пользователя, но и приложения, процессы, узлы, компоненты ИС, т.е. всех субъектов доступа.

Еще в новый 17-й приказ я бы добавил ряд защитных мер из проекта новой версии NIST Cyber Security Framework v1.1, которая как раз сейчас рассматривается в NIST. 17-й приказ и с первой версией не целиком коррелировался, а уж с новой тем более. Например, в условиях постоянных новостей о закладках со стороны китайских производителей и роста рисков вмешательства в оборудование в процессе его доставки потребителю, в CSF v1.1 был добавлен большой раздел по управлению ИБ в рамках управления цепочками поставок - требования к взаимоотношению с вендорамами, требования к процессу закупки ПО и железа и т.п. В условиях импортозапрещения в России эта тема даже гораздо более важная, чем в других странах мира. Ее стоило бы очертить хотя бы крупными мазками в новой версии 17-го приказа.

Перечень блоков защитных мер по CSF v.1.1 (красным показаны обновления в v1.1)
В новую версию CSF добавили абсолютно новый раздел по измерению ИБ, демонстрирующий важность ИБ для руководство организации, а также текущий уровень ИБ и его динамику. Я уже писал (а также тут, тут и тут) в прошлом году про то, как можно было бы улучшить 17-й приказ в этой части - повторять не имеет смысла. Если с точки зрения использования этого подхода самим регулятором или органом по аттестации может быть говорить еще и рано, то дать такой инструмент потребителю для самооценки было бы полезно. Когда-то же надо внедрять мысль о том, что измерять уровень своей защищенности можно и нужно (и это не так уж и сложно). Если уж ФСТЭК постепенно переходит на концепцию непрерывного мониторинга защищенности, то почему бы не пойти в сторону измерения этой защищенности?..

Про визуализацию я уже писал на днях, но вновь повторюсь - использование блок-схем, иллюстраций и иных способов выделения контента сильно помогает восприятию документов. Хотя я прекрасно понимаю, что Минюст может такие "квадраты Малевича" и не пропустить. Но почему бы не вынести инфографику на уровень методичек, которые не требуют согласования с Минюстом?

Вот такие предложения вкратце. Надеюсь, что ФСТЭК проект новой редакции 17-го приказа также выложит для общественного обсуждения и многие специалисты смогут высказать свои замечания и сделать предложения регулятору.

30.1.17

Законопроект по штрафам в области ПДн. Что нас ждет в скором будущем?

Прошлая неделя ознаменовалась не только празднованием китайского Нового года, но и международным днем защиты персональных данных, который празднуется во всем мире 28-го января. И аккурат к этому празднику Госдума приняла в третьем чтении законопроект о штрафах в области ПДн, которого все так ждали и страшились одновременно. Сейчас, глядя на текст законопроекта, можно уже утверждать, что его не изменят и вероятность его отмены Советом Федерации или Президентом близка к нулю.

Я попробую сформулировать тезисно ключевые моменты, связанные с новыми правилами:

  • Этот законопроект был внесен в Госдуму еще в декабре 2014-го года, а в феврале 2015-го года он был принят в первом чтении. С тех пор этот законопроект был забыт депутатами и с него сдули пыль только сейчас. За это время ситуация в законодательстве изменилась, но... законопроект почти не трогали. Например, 7-я часть статьи 13.11 наказывает за невыполнение госорганом или муниципальным учреждением обязанности по обезличиванию ПДн. Все бы ничего, но норма по обязательному обезличиванию была в прошлой версии ПП-211 - в сентябре 2014-го года ее отменили, определив, что обязанность обезличивания устанавливается какими-либо НПА. Но за прошедшие пару лет таких актов, насколько мне известно, так и не было принято. Получается, что депутаты вводят наказание за то, что делать уже не требуется, то есть данная часть статьи 13.11 работать не будет.
  • Также мне не совсем понятно, почему было убрано наказание за обработку без согласия спецкатегорий ПДн (за нее следовал максимальный штраф в 300 тысяч рублей); депутаты оставили наказание за обработку без согласия любых ПДн (и обычных и спецкатегорий)? Это совсем нелогично. В Европе, например, и дух и буква Евроконвенции и Евродирективы гласят, что к обработке спецкатегорий ПДн надо относиться с большим пиететом, чем к обработке обычных ПДн. И наказание за незаконную обработку таких ПДн существенно серьезнее. Но не в России. У нас и уровни защищенности, установленные ПП-1119, почти никак не зависят от типа ПДн (в отличие от прежнего "приказа трех" по классификации ИСПДн), и наказание за незаконную обработку спецкатегорий ПДн убрали. С другой стороны это лишний раз доказывает давно известный факт, что регулятор давно уже не интересуется защитой прав субъектов ПДн, занимаясь совсем другими задачами.
  • Законопроект устанавливает 7 вполне конкретных составов правонарушений, за которые воспоследует административное наказание. В отличие от прошлой и пока еще действующей редакции ст.13.11, теперь четко установлены случаи, за которые можно наказать оператора ПДн - никакой отсебятины и никакого размытого "нарушения правил обработки ПДн". Все предельно понятно. Например, раньше по ст.13.11 можно было наказать за нарушение ФЗ-242; сейчас уже этого сделать будет нельзя. За отсутствие уведомления РКН тоже можно было наказать - сейчас проблематично. Ну и т.д.
  • Многие комментаторы радостно говорят, что законопроект ничего не поменяет в деле защиты прав субъектов, так как сумма штрафов выросла незначительно и она не будет стимулировать операторов ПДн. Не соглашусь. Сумма штрафов не выросла, но вот схема их назначения изменилась кардинально. Раньше (еще пока в действующей редакции) наказание могло быть одно и за "нарушение установленного законом порядка...". То есть сколько бы нарушений найдено не было, наказать можно было только один раз. Сейчас формулировка статьи поменялась и она просто перечисляет 7 составов правонарушений. Вспоминая практику применения ст.5.27 (нарушение законодательства о труде), когда за каждое нарушение инспекторы трудовых инспекций назначали отдельный штраф, можно предположить, что схожая практика может быть применена и к новой статье 13.11. Именно может быть. С другой стороны ст.4.4 КоАП определяет, что может быть и другой вариант, когда в рамках одного дела, ведомого одним судьей, наказание по совокупности правонарушений рассчитывается не за каждое нарушение, а как одно. Анализ правоприменительной практики показывает, что такие случаи происходят нередко. Поэтому стоит подождать принятия закона и начала надзорной деятельности.
  • За ущерб субъекту по-прежнему не наказывают - только 6-я часть новой редакции ст.13.11 (неавтоматизированная обработка ПДн) предусматривает такой состав. В свое время в экспертном совете при Минкомсвязи мы рассматривали такой законопроект (о наказании именно за ущерб субъекту), но РКН был против и его "похоронили".
  • Права наказывать по статье 13.11 перешло от прокуратуры к РКН.
27-го января должны были рассматривать и второй законопроект - по надзору в области ПДн, но, видимо, депутаты не успели этого сделать. В нем тоже произошло немало интересного, о чем уже писал Михаил Емельянников.

24.1.17

Новые требования по ИБ для финансовых организаций

А продолжу-ка я обзор последних изменений нормативных актов по ИБ, но в этот раз коснусь финансовой сферы. Она, наряду с госорганами, у нас наиболее заурегулирована и все равно на месте не стоит. Собственно, как и во всем мире. В конце прошлого года требования по ИБ разработала SWIFT, а "Минфин" штата Нью-Йорк разработал проект своих требований по безопасности финансовых организаций (вступят в силу с 1-го марта 2017-го года). Что же у нас появилось или появится в обозримом будущем и о чем можно будет поговорить/узнать на Магнитогорском форуме, до которого осталось меньше месяца. Вкратце (я все еще надеюсь посвятить каждому из НПА по отдельной заметке) у нас появилось вот что:
  • Положение Банка России от 24 августа 2016-го года №552-П "О требованиях к защите информации в платежной системе Банка России" (или как его еще называют требования по защите АРМ КБР). Нельзя сказать, что раньше защита АРМ КБР не осуществлялась, - ведь об угрозах для этой системы ЦБ предупреждал давно. Например, в письме ЦБ №51-Т "О форме договора об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России, заключаемого между Банком России и клиентом Банка России" было целое приложение по защите информации. Но за 4 года ситуация немного поменялась, да и сила такого договора межжду банком и ЦБ не сравнима с Положением Банка России. За его нарушение наказывать легче :-) Кстати, требование хранить 3 года видео - это, на самом деле, не так уж и серьезно. Стоимость такого решения не слишком высока и измеряется несколькими тысячами долларов.
  • А вот рекомендация Банка России перенести формирование кодов аутентификации и защитных кодов в АБС может иметь более серьезные последствия. Такое встраивание СКЗИ на мой взгляд потребует от разработчиков не только соответствующей лицензии ФСБ, но и, возможно, согласования ТЗ на данную работу, что в текущих условиях 8-го Центра может быть не очень простой задачей.
  • В конце прошлого года ЦБ принял новый СТО 1.3, посвященный сбору доказательств в рамках процесса реагирования на инциденты. Это, пожалуй, один из первых документов в комплексе стандартизации по ИБ Банка России, который опускается на такой уровень детализации, влоть до указания конкретных программных продуктов, облегчающих сбор доказательств в оперативной памяти, на ПК или в сетевом трафике.
  • В декабре также был согласован проект ГОСТа "Базовый состав организационных и технических мер защиты информации", который в скором времени станет обязательным для финансовых организаций и именно на наего будут ссылаться иные документы ЦБ. Правда, по этому стандарту у меня сейчас возникают вопросы. Планировалось, что все технические меры защиты уйдут из 382-П и других Положений Банка России и они просто будут ссылаться на новый ГОСТ. Но новый стандарт содержит далеко не все (от слова "совсем") технические требования из 382-П. Поэтому я пока не могу для себя понять, что же появится в итоге. То ли положения ЦБ оставят за собой набор защитных мероприятий, то ли помимо упомянутого проекта ГОСТа будут и другие национальные стандарты.
  • Поскольку в России ЦБ запустил аналог SWIFT - систему передачи финансовых сообщений, то логично было бы узнать, какие защитные меры приняты для СПФС. ЦБ считает, что риски для СПФС и для платежной системы Банка России идентичны и поэтому для обеспечения их безопасности применяется схожая идеология. Защитные меры перечислены в договоре об оказании услуг по передаче финансовых сообщений, утвержденном письмом ЦБ от 10 декабря 2015 г. № 017-45-4/10550. Думаю, что через какое-то время можно ожидать и отдельного положения Банка России под эту тему (по аналогии с 552-П).
  • А еще ЦБ подготовил проект своего нового Указания “О требованиях к операторам услуг платежной инфраструктуры, привлекаемым Банком России, о порядке привлечения Банком России операторов услуг платежной инфраструктуры и ведения перечня операторов услуг платежной инфраструктуры, привлеченных Банком России”. В главе 4, целиком посвященной защите информации, всего 3 пункта, но они важны. Согласно им ОУПИ, являющийся резидентом РФ, должен иметь оценку соответствия 382-П на уровне "хорошая" (4-й уровень), а ОУПИ - не резидент РФ должен соответствовать уровню Level 1 стандарта PCI DSS или быть сертифицированным на соответствие ISO 27001.
Но это еще не все. Не стоит думать, что это все хаотические попытки понавыпускать какие-то документы по ИБ, имитирующую бурную деятельность, но не имеющие никакой конкретной цели. Это совершенно не так. Есть План мероприятий (дорожная карта) на 2016 год по реализации Основных направлений развития финансового рынка Российской Федерации на период 2016–2018 годов, которые описывают видение ЦБ отечественной финансовой отрасли на 3 года. Согласно этому плану по нашему направлению ЦБ должен:
  • провести анализ возможности и целесообразности использования финансовыми организациями аутсорсинга отдельных элементов деятельности и подготовить соответствующих предложений - 2-е полугодие 2017-го года
  • подготовить предложения по совершенствованию законодательства Российской Федерации в части наделения Банка России полномочиями по регулированию и контролю обеспечения информационной безопасности в финансовых организациях - 2-е полугодие 2017-го года
  • участвовать в разработке проекта федерального закона, направленного на формирование правовой основы противодействия мошенничеству на финансовом рынке - 2-е полугодие 2017-го года
  • разработать проекты национальных стандартов информационной безопасности - 2-е полугодие 2017-го года
  • провести консультации с ФСТЭК России о создании системы сертификации и аттестации для цели контроля исполнения финансовыми организациями требований национальных стандартов информационной безопасности и технических требований к защите информации, установленных в правилах платежной системы Банка России для участников платежной системы - 2-е полугодие 2017-го года
  • подготовить необходимые материалы и проекты документов для создания системы сертификации и аттестации для контроля исполнения финансовыми организациями требований национальных стандартов информационной безопасности и технических требований к защите информации, установленных в правилах платежной системы Банка России для участников платежной системы - 2-е полугодие 2017-го года
  • провести консультации с представителями финансовых организаций для определения состава и содержания дополнительных организационных и технических механизмов защиты автоматизированного рабочего места «Клиент Банка России», применяемого для взаимодействия финансовых организаций – участников платежной системы с платежной системой Банка России - 2-е полугодие 2017-го года
  • разработать регламенты взаимодействия по вопросам противодействия киберпреступности между Банком России и не являющимися поднадзорными и под- контрольными Банку России организациями и заинтересованными в повышении уровня информационной безопасности финансовой системы и национальной платежной системы Российской Федерации - 2-е полугодие 2017-го года
  • разработать функционально-технические требования на автоматизированную систему противодействия мошенническим платежам в платежной системе Банка России - 2-е полугодие 2017-го года
  • подготовить предложения по созданию и совершенствованию направлений подготовки специалистов внутреннего аудита, стратегического планирования, управления активами и финансового консультирования, обеспечения кибербезопасности и корпоративного управления - 4 квартал 2018 года. Я про это уже писал в июне прошлого года.
  • разработать Указание Банка России «О внесении изменений в Положение Банка России от 9 июня 2012 года No 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» - 2 квартал 2017-го года
  • разработать Положение Банка России о правилах обеспечения безопасности и требованиях к защите информации в платеж- ной системе Банка России (для участников платежной системы Банка России). И это не 552-П - этот документ нужен для перспективной платежной системы ЦБ.
Вот такая картина вырисовывается. Этот год будет насыщенным, да и последующие тоже не дадут почивать на лаврах и спокойно заниматься борьбой с киберпреступниками. Регулятор не дремлет и будет радовать (а кого-то и огорчать) своими нормативными документами.

ЗЫ. У кого данный план регулятора вызывает вопросы, рекомендую посетить Магнитогорский форум - в этом году там будет высажен целый десант от Банка России - около 30 человек, причем самого высокого уровня. Кто, как не они, знают, что скрывается за краткими формулировками дорожной карты?..

ЗЗЫ. Хочу заметить, что утвержденные планы подготовки в России принято соблюдать, так как в противном случае чиновников не поглалят по головке. Поэтому все, что написано выше будет сделано в указанные сроки, но... хочу обратить внимание, что обычно в планах наших ведомств указывают не срок окончания работ по задаче, а срок ее начала. Например, написано, что во втором полугодии будут ГОСТы. Это не значит, что их до июля примут. Это значит, что их до июля разработают и прелставят общественности или утвердят. Потом начнется процедура согласований (если надо), общественных обсуждений, регистрации в Минюсте или в Ростехрегулировании. Поэтому не стоит питать иллюзий относительно скорого выхода указанных выше документов; обычно к этим срокам надо добавлять от 3 до 12 месяцев (а для законопроектов и того больше).

23.1.17

Промежуточная версия нового 17-го приказа

В недалеком октябре 2015-го года всенародно избранный Президент выпустил очередной (дспшный) перечень поручений, направленный на усиление контроля за защитой информации в государственных органах. В нем было целых 8 пунктов, результаты по многим из которых мы сейчас и наблюдаем:
  • обязательное уведомление об инцидентах
  • распространение требований ФСТЭК не только на ГИС, но и на операторов информационных систем, обрабатывающих информацию, обладателем которой являются госорганы
  • совершенствование банка данных угроз
  • включение в планы информатизации госорганов мероприятий по защите информации
  • включение в требования по жизненному циклу ГИС требований по защите информации
  • и т.д.
По этой причине сейчас активно вносятся изменения в ПП-676, устанавливающее требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации. И в эту же струю укладывается проект изменений 17-го приказа ФСТЭК, который в пятницу был выложен для обсуждения (это значит, что можно не по фейсбукам комментировать, что там не так, а написать разработчикам, чей адрес, указан на странице проекта НПА).

Надо сразу отметить, что это не тот документ, которого ждали многие. Это промежуточная версия, задача которой закрыть ряд стоящих перед ФСТЭК вопросов, которые не касаются непосредственно состава и содержания защитных мер. Вот именно последнего многие ждут и именно последнее отложено на неопределенный срок, связанный с принятием поправок в ФЗ-149. Как только эти поправки примут, тогда, спустя некоторое время, и выйдет серьезно обновленная редакция 17-го приказа. А пока посмотрим, что нам подготовил регулятор в текущем проекте помимо косметических и терминологических правок:
  • Перешли на давно обещанные 3 класса защищенности ГИС. 4-й класс, который и раньше был достаточно вырожденным, убран совсем. В приложении 2 также убран столбец с мерами для соответствующего класса. Насколько я обратил внимание, никаких изменений в составе базовых мер для 1-3-х классов не произошло.
  • Переход на 3 класса автоматически облегчил их соотнесение с классами защиты средств защиты, на которые переходит ФСТЭК в своих документах по системам обнаружения вторжений, МСЭ, антивирусам, ОС, СУБД и т.п. Теперь логика простая - 6-й класс защиты применяется в ГИС 3-го класса, 5-й класс - в ГИС 2-го класса и 4-й класс в ГИС 1-го класса (средства защиты 1-3 классов применяются для защиты гостайны). Что делать со старыми, но еще действующими сертификатами, и как они будут соотноситься с новыми классами ГИС не совсем понятно. А ведь старых сертификатов немало - некоторые вендора аккурат перед 1-м декабря продлили сертификаты на свои МСЭ до 2019-го года. И как быть потребителю? В принципе в проекте есть решение в виде фразы "При этом функции безопасности таких средств должны обеспечивать выполнение настоящих Требований" (это касается сертификации по ТУ/ЗБ). Но это и в прошлые разы вызывало вопросы - как определить соответствие функций безопасности требованиям класса защищенности ГИС? Писать в ФСТЭК?
  • Появились новые виды аттестационных испытаний, что не может не радовать. Что огорчает - по ним нет никаких методических документов ФСТЭК или ГОСТов. А ведь в 17-м приказе написано, что при проведении аттестации надо ими руководствоваться, а их нет :-( Пентесты теперь обязательны для ГИС 1-го и 2-го классов защищенности - проводить их можно своими силами или с привлечением лицензиатов ФСТЭК (с июня, как я уже писал, для лицензиатов вступают новые правила игры).
  • Усилили связь требований по защите с банком данных угроз и уязвимостей ФСТЭК (при моделировании угроз и анализе уязвимостей).
  • Запретили проведение аттестации тем же лицом, что и проектирует/внедряет систему защиты. С одной стороны это логично, а с другой - заказчикам, которые привыкли заключать один договор с генподрядчиком, который уже сам искал исполнителей на проектирование, внедрение и аттестацию, придется пересмотреть свою практику. Или писать письма в ФСТЭК с просьбой разрешить такие договора.
  • Зачем-то включили пункт, что срок действия аттестата не может превышать 5 лет. Ну так вроде он по требованиям ФСТЭК выдается сроком на 3 года, то есть и так меньше 5-ти лет. Непонятно.
  • Учли переход на общую систему ЦОДов и "Гособлако" в части аттестации.
  • Синхронизировали требования по защите информации ГИС, включаемой в ТЗ на ее создание, с требованиями ПП-676, упомянутого выше.
  • Убрали ссылку на ГОСТ 27001. Применительно к госорганам я бы это поддержал - не готовы они еще к процессному подходу в области ИБ; особенно в условиях не самого лучшего бюджетирования.
Вот так выглядят изменения в 17-й приказ, которые должны будут приняты в самое ближайшее время. В целом же можно говорить об усилении контроля за деятельностью по защите информации в госорганах и организациях, обрабатывающих информацию, обладателем которой  являются госорганы. Я попробовал набросать картинку тех изменений, которые происходят сейчас, происходили в самом недалеком будущем или будут происходить в самое ближайшее время. И вот что получилось:


Если попробовать порассуждать, то получается, что, теоретически, можно ожидать новых требований по аттестации, которые были упомянуты в рассматриваемом проекте изменений 17-го приказа и которые должны быть облечены в некий формальний документ. А под это дело может быть ФСТЭК и вообще подходы к аттестации пересмотрит, а то действующие ГОСТы в этой области совсем никуда не годятся.

ЗЫ. Кстати, если посмотреть на упомянутый выше перечень поручений, то там можно увидеть ряд пунктов, которые пока не стали достоянием гласности, что означает, что нас еще ждет нечто интересное.

20.1.17

Чего не хватает российской нормативке или почему одна картинка говорит больше тысячи слов?

Во вчерашней заметке про новые требования по безопасности SWIFT я упомянул, что отечественным регуляторам не хватает умения визуализировать свои требования и свои документы, что сильно затрудняет применение их на практике. Я уже писал про сложность восприятия документов ФСТЭК (тут, тут и тут), но сегодня я решил чуть раскрыть эту тему. Правда, уже с другой точки зрения, а точнее с точки зрения формата представления документов.

Все мы знаем про три типа восприятия информации - аудиалы (восприятие на слух), визуалы (восприятие через глаза) и кинестетики (восприятие через ощущения и касания). На самом деле есть еще и очень редкий, четвертый тип - дискрет, воспринимающий информацию через цифры, четкие доводы и логическое осмысление. Но знание этих 4-х типов не сильно помогает нам ответить на вопрос, почему тексты российских регуляторов воспринимаются хуже, чем тех же американских. Ответ заключается в таком явлении как "эффект превосходства образа", то есть восприятии визуальных изображений на порядок лучше, чем восприятие текста и тем более устной речи. Даже таблицы, не говоря уже о цифрах или просто стене текста, сложны для восприятия и скучны; от них устаешь уже через пару страниц и смысл документа начинает ускользать от читателя. Спасением являются иллюстрации и изображения, поясняющие или раскрывающие смысл тех или иных положений, а также правильное использование типографики (шрифтов), цвета, визуального ряда и макета/дизайна.

Приведу несколько фактов:
  • Изображения обрабатываются в 60 000 раз быстрее текста
  • 80% людей охотнее читают текст, который сопровождается изображениями
  • В тексте читается всего 28% слов и всего 20% прочитанного остается в памяти
  • Согласно теории Саноки-Сульмана люди лучше запоминают палитры, содержащие сочетание только трех или менее цветов, чем те, в которых четыре и более цвета, а также цветовое различие между контекстом и фоном может повысить нашу способность концентрироваться на контексте. То есть черный текст на белом фоне воспринимается гораздо лучше такого же текста еще и с красным заголовком. А еще эта теория объясняют, почему большинство презентаций регуляторов такое унылое гуано - их авторы почему-то считают, что если использовать для заголовков, текста, подписей на  слайде разные кислотные цвета, то так лучше будет восприниматься.
  • Феномен бинокулярного соперничества глаз требует от нас для нормального восприятия не перегружать страницу/слайд (именно поэтому "стена текста" не читается), выделять ключевые моменты, а также использовать тематические иконки.
  • Используемый шрифт влияет на восприятие контента и на принятие решений по результатам его чтения. Поэтому рекомендуется использовать удобочитаемые шрифты, отделять текст от изображений, не накладывать изображения на текст и оставлять достаточно свободного пространства между абзацами.
  • Согласно теории Кастелано-Хендерсона восприятие контента улучшают подходящие иконки или картинки для представления данных, расположенный в правильной последовательности контент (списки и таблицы), а также использование привычных цветов для важных объектов.
Ну а дальше будет несколько примеров, по которым вы, сами для себя, может судить о том, насколько легко или тяжело воспринимать представленную информацию (возможно у меня глаз уже замылен и я привык к нашим НПА по ИБ, но российские документы бросаются в глаза мгновенно):
PCI DSS v3.0
ITU-T E.409 по реагированию на инциденты для организаций электросвязи 
Финнский стандарт по критериям аудита ИБ (KATAKRI)
Канадский "ФЗ-152" (PIPEDA) 
Французский стандарт по анализу рисков  (MEHARI)
ISF SoGP
NIST SP800-53

Указание Банка России по угрозам ПДн
FFIEC IT Examination Handbook
Приказ №17 ФСТЭК
Приказ №470 Минэкономразвития 
Приказ ФСТЭК по КСИИ
СТО БР ИББС 1.3 по сбору доказательств
Проект ГОСТ с базовым набором защитных мер для финансовых организаций
Концепция по ГосСОПКЕ
Приказ №378 ФСБ
NIST CSF v1.0
Стандарт Катара по безопасности критических инфраструктур
Понятно, что рекомендация будет простой - учитывать особенности восприятия информации при оформлении документов. Для этого можно либо ориентироваться на мировой опыт (благо его полно) и попробовать сделать самостоятельно, не забыв проверимость на "читаемость" на коллегах, либо нанять дизайнера в штат (или найти любителя дизайнов и макетов среди сотрудников), либо заплатить (что, конечно, врядли) агентствам, специализирующимся на таких вопросах.

ЗЫ. Это же касается и многих корпоративных документов по ИБ, ориентированных вроде бы на рядовых пользователей, но совершенно ими не воспринимаемых. И причина тут может быть не в том, что контент плохой, а в том, что подача его неудовлетворительна.

19.1.17

Новые требования по кибербезопасности SWIFT

В собственный Топ 5 международных событий по ИБ прошлого года на последнее место я включил атаки на SWIFT, систему, которая раньше не часто попадала в прицел злоумышленников. И вот в конце прошлого года, в рамках программы Customer Security Programme (CSP), SWIFT выпустила документ под названием "SWIFT Customer Security Framework. Supplementary Guide", который устанавливает набор обязательных и рекомендательных защитных мер для клиентов SWIFT. Первые (обязательные) меры являются основой для защиты информации, передаваемой в рамках SWIFT (это некий аналог базового набора мер в 17-м приказе или набора защитных мероприятий в проекте нового ГОСТа Банка России), а вторые описывают лучшие практики, повышающие уровень защищенности.

Новые требования распространяются на 4 компонента:

  • уровень обмена данными
  • локальную инфраструктуру SWIFT заказчика
  • пользовательские ПК
  • пользователей.

Соединение с SWIFT, ИТ-инфраструктура и бэкофис заказчика в область действия SWIFT CSF не попадают:


При этом, что мне понравилось и чего не хватает в отечественных документах, в визуальной форме показаны типы архитектур, покрываемых требованиями, что облегчает восприятие и реализацию документа. Таких архитектур выделено 4 - от максимально возможной (архитектура А1 - полный стек технологий SWIFT) до минималистичной (архитектура B - отсутствие на стороне заказчика локальной SWIFT-инфраструктуры и наличие только пользователей и их ПК).



Для каждой из 4-х архитектур описаны требования по безопасности, которые, как я уже написал выше, делятся на обязательные и рекомендательные. Документ получился достаточно объемным - 52 страницы, содержание которого показано ниже. Приставка A после номера требования (например, 7.3А - пентесты, 6.5А - обнаружение атак, 2.7А - сканирование уязвимостей) означает рекомендательность требования (от слова "Advisory").


Описание требований лаконичное, но предельно понятное - никакого растекания мыслью по древу. Вот пример описания защитной меры "защита данных при передаче за пределы контролируемой зоны".


Несмотря на объем, все требования нового документа можно увязать с всего тремя целями:

  • защити свое окружение
  • знай и ограничь доступ
  • обнаруживай и реагируй.


Во втором квартале 2017-го года заказчики SWIFT начнут сообщать в SWIFT о своем соответствии данным требованиям (в обязательной их части), а с января 2018-го года это станет обязательной нормой - все заказчики должны будут проводить собственную оценку соответствия (SWIFT называет это знакомым словом "аттестация") и направлять ее результаты на ежегодной основе. Дополнительно SWIFT планирует случайным образом ежегодно выбирать некоторых заказчиков для проведения более глубокого их аудита внутренними или внешними аудиторами. Данное требование напоминает шаги нашего Банка России, который требует отправлять результаты оценки соответствия 202-й формы, а при необходимости проводит дополнительные надзорные мероприятия в отношении выбранных банков.

Статус соответствия требованиям будет размещаться в публичном реестре (SWIFT KYC Registry), чтобы каждый смог убедиться в надежности своих партнеров и контрагентов. По сути, это идея, которую не довел до финального завершения Банк России, который собирал результаты оценки соответствия СТО БР ИББС и хотел их публиковать на сайте. Сейчас же все ограничилось тем, что ЦБ публикует список тех, кто присоединился к СТО, без указания их уровня соответствия. Я не знаю, насколько это повышает стимулирует заказчиков выбирать более защищенные финансовые организации, но инициатива SWIFT интересная - посмотрим, что из нее получится.

Могу отметить, что документ не содержит каких-то новых требований, неизвестных заказчикам SWIFT, и ранее им невстречавшихся в других нормативных документах (том же PCI DSS или NIST CSF). Поэтому для облегчения внедрения SWIFT Customer Security Framework в конце документа содержит таблицу соответствия своих требований наиболее известным лучшим мировым практикам:


Получить данный документ может любой заказчик SWIFT - он выложен на официальном сайте, в разделе для зарегистрированных пользователей.

18.1.17

Корпоративные тренинги по ИБ набирают популярность

Если продолжить тему корпоративных мероприятий по ИБ, то немного особняком стоят корпоративные тренинги по ИБ. С одной стороны у них те же преимущества, что у корпоративных мероприятий (основное - ориентация на нужды заказчика), а с другой - немного иной масштаб и глубина погружения. Речь идет обычно об одной теме, которая развораивается на несколько часов или даже один-два дня и раскрывается одним-двумя лекторами для группы корпоративного заказчика.

Мне в прошлом году довелось участвовать в целом ряде таких тренингов, посвященных следующим темам:
  • Законодательство по ИБ для банков
  • Управление ИБ
  • Как выстроить внутренний маркетинг ИБ?
  • Безопасность ГИС
  • Бизнес-модели в деятельности служб ИБ
  • Человеческий фактор в деятельности служб ИБ
  • Обзор подходов к Threat Intelligence
  • Персональные данные
  • Построение программы повышения осведомленности персонала
  • Разработка бизнес-кейса по ИБ
  • Как понять бизнес-приоритеты компании?
  • Как обосновать ИБ для руководства компании?
  • Управление инцидентами
  • Архитектура и стратегия ИБ
  • Теория организации в ИБ
  • Измерение ИБ
  • Моделирование угроз
  • Геймификация в ИБ
  • Выстраивание процесса борьбы с фишингом на предприятии.
От коллег я слышал про участие в тренингах по финансовой оценке ИБ, борьбе с утечками, моделированию угроз по методике Microsoft, анализу прикладного ПО с точки зрения ИБ, сбору цифровых доказательств и т.п.

Как можно заметить, темы совершенно различные, и, как правило, по ним (исключая, быть может, тему законодательства) практически нет программ обучения в отечественных учебных центрах. Связано это с тем, что учебные центры преимущественно готовят специалистов по массовым программам, интересным широкому кругу лиц. Вкладываться в программу, которая будет востребована всего одним-двумя заказчиками (даже если у них будет по полной одной-две группы), УЦ не хотят - инвестиции могут и не отбиться. Отсюда определенный образовательный вакуум, который и заполняют корпоративные тренинги.

И вновь повторю вчерашнее заключение. Данный формат ни в коем случае не отменяет традиционного обучения по ИБ и не подменяет собой обычные конференции и семинары. Но в условиях необходимости более глубокого изучения той или иной темы, интересной небольшой группе лиц одного заказчика, альтернативы корпоративным тренингам просто нет. Не случайно, многие крупные компании создают свои корпоративные университеты, где готовят сотрудников по собственным программам обучения.

ЗЫ. И, конечно же, для регионов данный тип тренингов зачастую является единственной возможностью для повышения квалификации своих сотрудников. Отправить в Москву (а большинство УЦ по ИБ сосредоточено именно в Белокаменной) даже двух человек может обойтись дороже проведения корпоративного тренинга в регионах с приглашением московского лектора (не говоря уже о местном).

17.1.17

О корпоративных мероприятиях по ИБ

Так сложилось, что я достаточно часто пишу про различные ИБ-мероприятия - их фишки, достоинства и недостатки, а также рекомендации организаторам, которые, так уж сложилось, далеко не всегда следуют им, считая, что им, организующим 2-3 мероприятия в год, лучше знать, чем мне, участвующем ежегодно в около сотне мероприятий в разных городах и странах. Ну да ладно, история сама расставит все по своим местам. А сейчас я хотел бы упомянуть еще один формат, который стал набирать популярность в последнее время. И речь идет не о фокусных SOC Forum, PKI Forum, РусКрипто и еще парочке посвященных всего одной теме событий ИБ. Речь о закрытых корпоративных мероприятиях, в которых мне доводилось участвовать в последние месяцы неоднократно (эта презентация как раз с такого семинара).

Обычно, такие мероприятия проводятся крупными холдингами или территориально-распределенными компаниями или федеральными органами исполнительной власти, которые собирают со всех регионов своих представителей служб ИБ и доносят до них нужную, важную и полезную информацию. Обычно такие семинары/конференции длятся один или два дня, на которых первый день посвящен обзорным вещам, направленным на расширение кругозора участников, а второй уже посвящен сугубо внутренним докладам, командообразующим тренингам, деловым играм и иным способам сплочения людей.

Что дает такой формат? Преимуществ, как минимум, пять:
  • Программа, ориентированная на нужды заказчика, а не нужды спонсоров или организаторов.
  • Заказчик может "отправить" на мероприятие гораздо больше одного или двух своих сотрудников, как это часто бывает, включая и региональных людей, которые обычно на московские мероприятия не попадают.
  • Можно включить свой, часто конфиденциальный контент, который никогда не удается донести сразу до всех сотрудников.
  • Обратная связь от сотрудников, которые могут высказать руководству головной ИБ все, что они думают или, хотя бы, задать свои вопросы и вступить в дискуссию.
  • Наконец, последним в списке, но не последним по важности, будут знакомства друг с другом людей из разных регионов, которые до этого "видели" коллег только в почте.
Учитывая, что действительно хороших с точки зрения контента мероприятий у нас не так много, то популярность корпоративных мероприятий будет только расти. Это не значит, что обычные ИБ-мероприятия "для всех" потеряют свою аудиторию и свою актуальность - это два разных, мало пересекающихся мира. Конференции "для всех" направлены на удовлетворение интересов спонсоров, которым интересно лить в уши слушателей рекламу. А так как слушатели от этого уже устали, то и получается, что почти все мероприятия у нас превращаются во встречи коллег, которые общаются за чашкой чая или в кулуарах, вообще не заходя в зал, где спонсоры рекламируют свои продукты и услуги.

Исключения скорее подтверждают общее правило. В качестве такого исключения могу назвать грядущий CISO Forum, который мне чем-то напоминает мини-RSA. Сама конференция RSA - это тоже мероприятие "для всех и обо всем", но там, за счет наличия до трех десятков параллельных потоков, идущих пять дней подряд, каждый может без проблем найти себе интересный контент. Но и музыку там заказывают не спонсоры, а слушатели, которые платят за участие 2500 тысячи долларов (ну или полторы, если регистрируются существенно заранее). CISO Forum в этом году пока еще не тянет на полноценную RSAC, но на нем также планируется несколько параллельных потоков, посвященных совершенно разным темам - от трендов (футуристический поток) и технологий до хакерской тематики (offensive) и работы с людьми. То есть ровно те темы, которые попадают в прицел современного руководителя по ИБ.


В целом же практика проведения корпоративных ИБ-конференций, я думаю, продолжится и в 2017-м году их будет еще больше, чем в прошлом.

13.1.17

Какой должна быть атрибуция кибератак?

Завершу неделю, прошедшую под знаком атрибуции киберугроз, еще одной заметкой. Если посмотреть на то, что я написал в среду и свести в таблицу, то мы увидим вот такую картину:


Получается, что одby и тот же набор фактов может трактоваться совершенно по-разному; местами даже диаметрально противоположно. А это означает, что представленные "доказательства" не могут служить для целей атрибуции, как бы того не хотелось американским официальным лицам. Вон уже и украинский след пытаются найти в Гризлигейте...

Поэтому, попробую, дистанцируясь от текущего скандала, сформулировать некие мысли о том, какой должна быть атрибуция киберугроз в современном мире. Что вообще из себя представляет атрибуция; по-крупному? Это обвинение некоего лица в совершении преступления (кибератаки во многих странах мира признаны таковыми). А раз речь идет об обвинении (к счастью, международное право для киберпространства пока вызывает множество вопросов и поэтому не работает, а то бы мы за каждый ping получали повестки в Международный трибунал), то стоит смотреть на атрибуцию именно с точки зрения уголовного права.

Сегодня атрибуция атак отличается от сбора доказательств в уголовном деле, в котором требуется точность. Неверный вывод на основе собранных доказательств и подозреваемый становится обвиняемым и может сесть в тюрьму, а то и лишиться жизни (в тех странах, где смертная казнь не отменена). Следователь, подтасовавший доказательства, может быть наказан за свои действия. В атрибуции киберугроз такого нет - никто не отвечает за свои слова, хотя обвинения звучат достаточно серьезные, а на их основе принимаются серьезные решения, например, санкции в отношении юридических или физических лиц.

О чем же нам говорит уголовное право применительно к понятию "доказательство", на котором и строится обвинение (или защита)? Во-первых, бывают (по УПК) разные виды доказательств, из которых в атрибуции кибератак могли бы найти свое применение следующие:

  • показания подозреваемого, обвиняемого, потерпевшего и свидетелей
  • заключения и показания экспертов и специалистов
  • вещественные доказательства
  • иные документы.

С допустимостью доказательств требованиям процессуального законодательства пока я вижу сложности ввиду отсутствия единства у юристов-международников относительно применения норм права к киберпространству. Да и с такими понятиями как "надлежащий источник", "правомочный субъект", "законность способа получения доказательств" и "соблюдение правил фиксации доказательств" могут быть сложности. Особенно в тех случаях, когда не хочется раскрывать свои источники и методы сбора информации, используемой в качестве доказательств. Разумеется, это все в том случае, если мы говорим о придании некой юридической значимости проведенной атрибуции для, например, дальнейшей передачи материалов в международные суды или проведения дипломатических переговоров. Если такой цели, то вопрос допустимости доказательств, конечно, не снимается, но их можно и не афишировать.

Если посмотреть на представленные в рамках Гризлигейта доказательства, то мы увидим, что с ними в рамках рассматриваемой заметки существует множество проблем. И представленные доказательства слишком относительны и их связь с предметом доказывания неочевидна. С допустимостью доказательств вообще полная беда ввиду отсутствия этих самых доказательств (исключая косвенные). Достоверность доказательств DHS и американской разведки тоже вызывает много вопросов. Прямых доказательств лично я не увидел - только косвенные, но их количество не позволяет перейти им в качество и сделать вывод о виновности России.

Получается, что сегодня никто не может доказать правдивость аналитика, проводящего атрибуцию кибератак, исключая три ситуации:
  1. "Хакера" поймали за руку в момент совершения кибератаки.
  2. "Хакер" сам признался (хотя тут тоже есть свою нюансы, когда кто-то берет на себя всю вину).
  3. Произошла утечка информации (если это не направленная дезинформация).
По сути можно говорить об атрибуции, как о регилигии. Фактов доказательства вины нет - есть только вера в это. Кто-то верит, кто-то нет; каждый выбирает для себя.

К сожалению, это говорит о том, что сегодня нормальную атрибуцию провести очень и очень непросто. Я видел не так уж и много отчетов, в которых проводилась неплохая атрибуция. Среди них анализ Лаборатории Касперского по Equation Group или анализ Airbus по Pitty Tiger Group. Очень достойные отчеты с кучей фактов и доказательств. Но даже там не сказано конкретно, кто стоит за той или иной группой. Дальше идут уже предположения. Например, что Equation Group работает на американское правительство, а Pitty Tiger Group - это не государственная группировка, но базирующая, вероятно, в Азии.

Какой же тогда должна быть атрибуция кибератак? Я бы не мудрствовал, а предложил бы применять к ней те же принципы, что и к сбору доказательств в уголовном процессе с поправкой на киберпространство. Тем более, что лучшие практики в этой области уже стали появляться. Тут можно назвать и недавно выпущенный стандарт Банка России, и материалы CERT/CC, и свободные ресурсы Интернет. Единственное, что я бы отметил особо, так это то, что проведение атрибуции, имеющей международные последствия, должно проводиться государством, а не частными компаниями, а используемые доказательства должны быть поддающимися проверке, а не голословными утверждениями или непонятно откуда взятыми данными. Если доказательства относятся к охраняемой законом тайне, то тут ситуация сложнее, что мы и видим (если рассматривать версию, что американские спецслужбы действительно что-то накопали, но не могут раскрывать своих источников) в Гризлигейте.

12.1.17

Почему российские ИБ-компании не комментируют Гризлигейт

Ну и чтобы закончить (возможно на время) с темой Гризлигейта задамся простым вопросом. Почему ни одна российская компания не прокомментировала отчет DHS и не опровергла приведенные в нем "факты"? Новогодние праздники или нежелание попасть в черный список США?

Возьмем Mandiant (часть FireEye) или CrowdStrike, которые прямо называют Россию, как источника последних кибератак на американскую администрацию и стратегически важные американские компании и организации. Они не боятся, так как в России бизнеса или не имеют вовсе или он незначителен. Им терять особо нечего, кроме репутации в среде специалистов, которые тоже далеко не всегда подкованы в атрибуции киберугроз и доверяют мнению (не всегда верному) более именитых коллег. Но почему российские ИБ-игроки молчат?

Если все говорят, что отчет DHS - это если и не фейк, то явно невыдерживающий серьезной критики набор неподтвержденных "фактов", то почему никто не приводит серьезной аргументации? Исходные данные вроде как присутствуют - набор индикаторов компрометации от DHS. У той же Лаборатории Касперского, Dr.Web или Group-IB еще и сведения по вредоносным программам есть и их предполагаемым авторам. У отечественных операторов связи, а также отечественных Anti-DDoS-провайдеров есть (я надеюсь) понимание того, как складывается картинка с IP-трафиком с указанных в отчете DHS Интернет-адресов. У того же разработчика защитного плагина Wordfence для WordPress есть анализ того, как упомянутые DHS адреса участвуют в атаках на сайты, находящиеся под защитой Wordfence. Учитывая, что многие отечественные разработчики WAF используют модель с централизованным анализом данных об угрозах, то такие данные у них должны быть и они могли бы опровергнуть выводы США о хакерах в погонах, которые врядли будут атаковать и российские крупные и не очень компании и организации.

Исследовательские подразделения есть (заявляются) у многих отечественных ИБ-компаний, в том числе и предлагающих услуги SOC, то есть в теории имеющих опыт, как минимум, расследования инцидентов, а может быть и атрибуции киберугроз. И они тоже молчат. Почему?

Неужели все так боятся написать что-то официальное супротив позиции американских властей, которые могут помешать выйти на и так непростой для российских компаний американский рынок? Бизнес-интересы превыше всего? Ну а почему бы и нет? Вот такие размышления приходят в голову, когда смотришь на информационный фон вокруг Гризлигейта в США и в России. У них про это высказались все кому не лень, а у нас полное молчание (исключая общие фразы, что отчет DHS - полная шняга). Новый Год влияет? Лень? Или все-таки бизнес-интересы?

ЗЫ. Зато рейтинги кибервойск выпускать не боится никто. Благодарная тема. И неопасная. Ну разве что коллеги по цеху назовут это полным бредом. Зато пипл схавает, а имя автора отчета может запомниться, что в свою очередь может позитивно сказаться при выборе решений по ИБ. 

11.1.17

А ФСТЭК все молчит...

1-го декабря вступили в силу новые правила ФСТЭК, согласно которым, все новые разрабатываемые, производимые и поставляемые межсетевые экраны должны соответствовать новым требованиям ФСТЭК, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. №9.  При этом в информационном сообщении ФСТЭК от 28 апреля 2016 г. N 240/24/1986 "Об утверждении требований к межсетевым экранам" прямо сказано, что "межсетевые экраны, установленные до 1 декабря 2016 г., могут эксплуатироваться без проведения повторной сертификации на соответствие Требованиям". Все бы ничего, но тут мы сталкиваемся с реальностью, которая далеко от того, что думали во ФСТЭК, выпуская свои требования. А реальность такова, что органы по аттестации отказываются аттестовывать системы, в которых используются МСЭ с действующим сертификатом, но выданным по старым требованиям. Мотивируют они это тем, что ввиду отсутствия четкой и явной позиции регулятора рисковать своей лицензией и правом проводить аттестации они не готовы.

Учитывая, что на момент написания этой заметки в России только один МСЭ был сертифицирован по новым требованиям, а денег на покупку новых МСЭ или сертификацию имеющихся никто в бюджет не закладывал, то ситуация складывая тупиковая. И что делать пока непонятно. Я в начале декабря звонил во ФСТЭК с просьбой прокомментировать ситуацию и мне ответили, что волноваться не надо, что соответствующее информационное сообщение готовится и скоро все наладится. Но вот прошло уже почти полтора месяца, а воз и ныне там. 

И судя по активности в социальных сетях многие госорганы и муниципалы уже начинают задавать неприятные вопросы и чуть ли не обвинять регулятора в лоббировании интересов единственного "доверенного" поставщика. Я не настолько наивен, чтобы подозревать такое, но проблема явно требует участия регулятора. И проблема не рассосется сама собой, так как есть немалое количество продуктов, которые производители не планируют повторно сертифицировать по новым требованиям, так они выпустили уже новые версии своих решений и активно продвигают их. Аттестационные компании же выжидают - либо явно отказывая клиентам в аттестации, либо предлагая выдавать аттестат со сроком действия равным сроку действия сертификата на МСЭ, что не устраивает заказчиков, которые не готовы потом повторно платить за аттестацию.

А ФСТЭК все молчит...

Почему американцы винят именно русских в кибератаках на себя?

Процесс Threat Hunting практически всегда начинается с гипотезы о наличии (или, реже, отсутствии) угрозы в анализируемых данных, которую вы, с помощью собранных или собираемых доказательств, должны подтвердить или опровергнуть. В атрибуции, то есть определении того, кто стоит за той или иной угрозой, ситуация аналогичная. Сначала мы высказываем гипотезу о том, кто стоит за той или иной кампанией или инцидентом, а потом пытается это доказать или опровергнуть. И вот если посмотреть на Гризлигейт (так, по аналогии с Уотергейтом, стали называть историю с российскими кибератаками на США), то становится понятно, почему такое разное отношение к опубликованному Министерством национальной безопасности JAR-отчету, а после и к позиции трех спецслужб США, о которых, кстати, мы даже не знаем, на какую целевую аудиторию они были рассчитаны (а это важно).


Когда я первый раз смотрел оба эти документа, то я, пропуская его через призму собственного опыта и размышлений, считал, что это полная фигня, которая ничего не доказывает. Такой вывод по результатам анализа приведенных индикаторов компрометации делается большинством, особенно российских, специалистов. И это нормально. Мы, явно или неявно, не хотим, чтобы нашу страну считали прибежищем хакеров и киберпреступников. Но что, если попробовать дистанцироваться от геополитики и посмотреть на кейс с отчетом DHS с точки зрения специалиста по расследованию инцидентов? Сначала мы должны сформулировать гипотезу, которую будем доказывать или опровергать. У американцев она могла звучать так: "Нас атаковали хакеры из России, за которыми стоит государство в лице ГРУ или ФСБ". А дальше их задача была найти подтверждение этой гипотезе.

Что в итоге легло в основу американской уверенности, что за атаками на демпартию и другие федеральные информационные системы стоят "русские"?
  1. Web shell под названием PAS Tool PHP Web Kit, разработанный в Украине и активно рекламируемый на русскоязычных хакерских форумах. С другой стороны, тот же Роберт Грэм из Errata Security пишет, что этот софт используется сотнями, если не тысячами, хакеров по всему миру.
  2. Вредоносное ПО Xagent, прочно увязываемое с русскими хакерами. Правда, найти его может любой желающий и квалифицированный специалист. Вон, ESET его получила и проанализировала.
  3. Большое количество IP-адресов, принадлежащих российскому оператору связи Yota, который еще и принадлежал бывшему заместителю министра связи, то есть лицу, приближенному к властям. Yota занимает первое место в списке операторов связи, владеющих IP-адресами из списка DHS. Из 876 адресов 44 принадлежит Yota (еще 5 Ростелекому). С другой стороны, если отбросить привязку к операторам связи, то по географической привязке именно в США находится наибольшее число задействованных в атаке "русских" IP-адресов. А 15% всех адресов и вовсе связаны с Tor, то есть любой желающий мог скрыть свою активность за этой анонимной сетью.
  4. Наибольшая активность хакеров происходила в те моменты, когда в Москве было рабочее время. Этот атрибут не упоминается в отчете DHS, но приводился в расследовании CrowdStrike и Mandiant. Я уже не раз писал, что Москва - это еще не вся Россия, а в московском часовом поясе также находится Ирак с Ираном, которые могут иметь зуб на США. Ну а в соседнем часовом поясе находится Турция, Сирия, Ливия, которые тоже не очень расположены к заокеанским "партнерам".
  5. Русскоязычные комментарии, использование сайтов с русскоязычным интерфейсом и файлы, созданные в ОС/ПО с поддержкой русского языка. Также отсутствующий в отчете DHS, но упоминаемый в других исследованиях атрибут. В мире русским языком владеет около 300 миллионов человек, что ставит его на 5-е место по распространенности в мире и на 2-е в Интернет. Родным его считают 160 миллионов человек и не только в России. Так что "русская Винда" могла стоять на компьютере не только в России. Хотя я прекрасно понимаю, что под термином "русский" американцы давно уже понимают всех выходцев из бывшего СССР, в том числе и не являющихся гражданами Российской Федерации.
  6. Они называют себя медведями, а где у нас по улицам ходят медведи и у какой страны медведь чуть ли не национальный герой? Опять все указывает на Россию, хотя те же гризли водятся только в США и нигде больше.
  7. В атаке на демпартию было использовано вредоносное ПО, которое раньше уже было связано с Россией! Зачем же мы будем перепроверять, не ошиблись ли эксперты в прошлый раз?
  8. Эти атаки выгодны именно России. Это, пожалуй, единственный довод, который увязывает "русских" хакеров и российские власти. Ну и что, что Китай раньше атаковал гораздо сильнее и имеются реальные факты и доказательства китайского шпионажа?.. 
  9. Российские СМИ в лице RT и ее главреда Маргариты Симоньян активно поддерживали Трампа во время предвыборной гонки и гнобили демократов. RT у нас канал государственный, значит российские власти поддерживали все, что делалось супротив США; А еще Хиллари Клинтон считает, что за атаками стоит сам Владимир Путин, а у нас нет сомнений в ее честности и правдивости, ведь она была госсекретарем США.
Какой вывод можно сделать по данным фактам? Могла ли Россия стоять за атаками на американские ресурсы? Могла. Стояла ли? Не факт. Кто занимался эксплуатацией IDS или SIEM знает, что у этих систем бывают ложные срабатывания и их бывает немало. Так и с указанным отчетом DHS. Четких доказательств именно "русского следа" до сих пор нет. В совокупности приведенные выше атрибуты вроде как указывают на Россию, что вероятно подтверждает изначально выдвинутую гипотезу, а точнее не опровергает ее.

Есть ли другие кандидаты на место России в данном кейсе? А зачем? США в текущих условиях других врагов (например, Китай) пока называть нет смысла. Поэтому как в мультфильме "Падал прошлогодний снег": "Кто в цари последний? Никого? Тогда я буду первым!" Вот так и с Россией. Никто не опроверг озвученную американцами версию с доказательствами в руках. Даже Россия молчит и, кроме пресс-секретаря нашего Президента и отдельных чиновников МИДа, никак не опровергает представленные факты, просто называя их бредом и измышлениями уходящей на покой администрации.

Есть и еще одна причина, почему американцы в рамках атрибуции обвиняют Россию. Она называется предвзятость. Большинство аналитиков, занимающихся атрибуцией киберугроз, это бывшие военные ВВС США или АНБ, которые во время службы также занимались атрибуцией, но немного в иной сфере. Более того, часто они рассматривали в качестве источника угроз именно Россию, как самого вероятного противника. А после того как они перешлю на гражданку и стали заниматься атрибуцией киберугроз, то... ничего не поменялось. психология восприятия рисков у них осталась той же.

Специалисты из России, которые оперируют тем же отчетом и списком индикаторов, скорее всего, начали бы с иной гипотезы - "Америку атаковали не российские хакеры". И опираясь на эту гипотезу специалисты будут искать доказательства ее правоты, что я, собственно, и попробовал вышел сделать, противопоставляя "фактам" из расследования CrowdStrike, Mandiant, DHS контраргументы. В современном Интернет найти доказательства правоты обеих сторон не сложно. Особенно если оперировать только IP-адресами и не подниматься на уровень TTP.


После выхода совместного доклада трех американских спецслужб ситуация явно не улучшилась. Там еще меньше доказательств "русского следа" и много жалоб на RT и ее главреда за то, что они якобы не любят американских демократов и, наоборот, превозносят Трампа, что, как это понятно всем умным людям, доказывает влияние России на американские выборы и работу российских хакеров. Правда, после истории с якобы имеющими доказательствами наличия химического оружия в Ираке верить на слово отчетам американской разведки уже как-то и некомильфо. Как, собственно, и в ссылки на якобы имеющиеся в секретном (третьем) докладе для узкого круга лиц, доказательства. Достаточно вспомнить истории с отравлением Литвиненко, сбитым MH17, взломом Sony Pictures, арестом Хансена или нелегалов "во главе" с Анной Чапман и т.п. делами, в которых секретность не сильно мешала выкладывать гораздо больше доказательств (пусть и местами спорных), чем в текущем деле. А ведь те кейсы имели зачастую гораздо более серьезные последствия, чем атаки на несколько серверов.

А вот если дистанцироваться от геополитики и отбросить в сторону всю эту шумиху вокруг отношений России и США, то отчет DHS вполне неплох, так как содержит немалое количество индикаторов компрометации, которые действительно характеризуют вредоносную активность (и не так важно, кто за ней стоит). Поэтому, если уж извлекать из этого кейса пользу, то путем внесения соответствующих правил в сетевые средства ИБ (те же МСЭ или IPS) или SIEM для обнаружения атак на вас.

ЗЫ. Кстати, теперь использование и Xagent и PAS будет однозначно указывать на русский след. Замечательный подарок США всему хакерскому сообществу, которое теперь может спокойно маскироваться под ГРУ или ФСБ :-)

10.1.17

Новости ИБ за новогодние праздники (остальное)

Продолжаем начатую прошлой заметкой тему с ИБ-событиями, произошедшими за новогодние праздники. К ним, помимо Гризлигейта, я бы еще отнес:
  • 31 декабря Вашингтон-пост опубликовала статью о взломе российскими хакерами электросети в Вермонте. Потом, правда, оказалось, что взломанный компьютер не был подключен к электросети, а русский след отсутствовал, но американские СМИ успели подхватить столь лакомую идею об очередном доказательстве путинских кибератак. Это заставило Вашингтон-пост модифицировать свою статью и написать небольшое опровержение, но осадочек остался.
  • Литва сообщила о нахождении на государственных компьютерах шпионского ПО из России (доказательств не представлено).
  • Американский журналист Джейсон Леопольд и сотрудник MIT Райан Шапиро в соответствии с законом о свободе информации направили запрос американским спецслужбам с целью получить доказательства русского следа в кибератаках во время выборной кампании. Вопросы достаточно конкретные, но ответа на них пока дано не было, что может привести Леопольда и Шапиро к обращению в суд.
  • CrowdStrike опять продемонстрировали свою "экспертизу" по части атрибуции киберугроз. В конце декабря они опубликовали отчет по "артиллерийскому троянцу", который был разработан ГРУ, который сливал данные о местоположении артиллерии Вооруженных сил Украины в российское МинОбороны, благодаря чему ВСУ потеряли до 50% своей артиллерии. Исследование CrowdStrike быстро было подвергнуто критике (например, тут). Несмотря на ранние заявления о том, что троянец передавал координаты артиллерийских установок российским военным, в итоге сама CrowdStrike признает, что доказательств этому нет. И модуля GPS в трояне нет; да и сама подменяемая программа для расчета артиллерийских таблиц непонятно с какого боку привязана к Вооруженным Силам Украины (обратите внимание, на этот вопрос следует ответ, что программа размещается на украинских сайтах для распространения софта). Да и про 50% потерь уже тоже ни слова. Министерство Обороны Украины опровергло "сенсацию" от CrowdStrike.
  • За последние два месяца ушедшего високосного года Украина, по словам ее Президента, 6500 раз подвергалась кибератакам со стороны России. В ответ на данные недружественные акты Украина обновила свою Доктрину информационной безопасности, а также приняла ряд решений в части защиты своей критической инфраструктуры. Об этом было сообщено 29-го декабря на заседании Национального совета по национальной безопасности и обороне Украины.
  • В Сети появилось фото, на котором Папа Римский Франциск использует планшетник с заклеенной камерой.
  • Евразийский экономический союз (ЕАЭС) планирует создать единое цифровое пространство, в том числе и со своей собственной криптографией. 
  • В США все активнее заговорили о необходимости государственного регулирования кибербезопасности Интернета вещей. Надо сказать, что Россия тоже движется в том же направлении. Про ИБ IoT, правда, речи пока нет, но вот идея государственного контроля промышленного и консьюмерского Интернета вещей озвучивалась уже неоднократно, а в ноябре даже была создана соответствующая ассоциация.
  • Роскомнадзор стал активно блокировать анонимайзеры в сети Интернет.
  • В Сети появился шифровальщик Koolova, который возвращает доступ над зашифрованными файлами при одном условии - жертва должна прочитать две статьи по кибербезопасности. Достаточно интересная тактика, которая скорее отражает изощренное чувство юмора у автора вредоносного ПО. Ранее в декабре появился шифровальщик Popcorn Times, который присылал ключи для расшифрования, если жертва заражала еще нескольких человек, создавая тем самым пирамиду.
  • NetGear, который в последнее время часто попадает в ленты новостей с негативным окрасом от своей деятельности на ниве кибербезопасности, запустила программу Bug Bounty.
  • Опять взломали сайт ФБР.
  • НАТО будет спонсировать украинскую военную программу кибербезопасности.
  • Чехия планирует перестроить свое киберкомандование и увеличить его численность в 10 раз - с 42 до 400 человек к 2025-му году.
  • Американские военные нашли штаб-квартиру хакерского подразделения Китайской Народной Армии. Она располагалась в двух пекинских отелях.
  • В Казахстане утверждены новые требования по ИБ, обязательные для госорганов. Документ достаточно высокоуровневый и сильно отличается от отечественного 17-го приказа. НО зато там упомянуты и управление активами, и управление рисками, и контроль за правомерностью использования ПО, и обязанность проводить внешний и внутренний аудит, и требования к разработке ПО, и многое другое.
  • На 2017-й год прогнозируется около одного миллиона открытых вакансий по кибербезопасности.
  • Энергосети Турции подверглись атакам хакеров из... США, а не России.
  • Германия подозревает, что за кибератаками на ОБСЕ стоят те же хакеры, что и за последними атаками на США, то есть русские. 
  • США признали свою избирательную систему критической инфраструктурой. У нас ГАС "Выборы" таковой считалась еще с середины прошлого десятилетия.
Вот такое "очко" в виде подборки из 21 новогодних новостей. В этом году праздники прошли очень уж активно.