26.12.2017

Мой Топ событий кибербезопасности в уходящем году

Решил по сложившейся традиции подвести некоторые итоги года и сформулировать список событий, которые мне запомнились в нашей отрасли. В отличие от прошлого года, когда я разделял события на отечественные и зарубежные, в этот раз я решил дать все одним списком. При этом стоит отметить, что данный событийный пьедестал является субъективным, так как отражает сугубо мою точку зрения на все происходящее. Итак, я бы выделил следующих 7 событий, которые на мой взгляд на только являются самыми значимыми (по крайней мере для меня), но и, отражая очень интересные, но не всегда явные тенденции, могут иметь определенные, далеко идущие последствия:


  1. Слитый в Интернет архив АНБ/ЦРУ ShadowBrokers / Vault 7. Данное событие малоинтересно с точки зрения того, что утекло и у кого (помним, что существует два типа организаций - тех, кого уже взломали, и тех, кто еще об этом не знает). Ну с кем не бывает? При таком количестве лиц, имевших доступ к этим архивам (говорят о 5000 человек), утечка была только вопросом времени. Отсутствие схожих утечек в России говорит не только об уровне секретности в наших спецслужбах, но и о количестве лиц, допущенных к такого рода инструментарию (а он есть, тут я не сомневаюсь). О тысячах говорить не приходится; думаю и о сотнях тоже. Но данные истории интересны другим. Они по сути уравняли технические возможности (думаю, не надолго, но все-таки) рядовых киберпреступников и спецслужб. А это в свою очередь влияет на оценку потенциала нарушителя, если следовать терминологии ФСТЭК, или модели нарушителя, если следовать терминологии ФСБ. В первом случае потенциал оценивается как функция от двух переменных - мотивации и возможностей. Возможности обычного хакера и хакера в погонах теперь равны, а мотивацию оценить бывает и вовсе невозможно. Отсюда получается, что закладываться в модели угроз ФСТЭК надо на максимально возможный вариант, что грозит завышенными затратами и существенным снижением удобства системы защиты. В случае с ФСБ мы приходим к тому, что против нас почти всегда действует нарушитель Н6, то есть приравненный к спецслужбам иностранного государства; опять, со всеми вытекающими отсюда последствиями и затратами.
  2. Эпидемии WannaCry, Neytya и BadRabbit. Я уже писал, что сами по себе данные угрозы не стоят и выеденного яйца, так как они не настолько опасны, как об этом пишут в СМИ. Ну пострадало от WannaCry 400 тысяч компьютеров и что? Вирус ILOVEYOU, Conficker, да даже Locky или Dridex заразили гораздо больше жертв, а их авторы получили гораздо больше выгод, чем в случае с WannaCry и иже с ними. Но... данные эпидемии интересны по другим причинам. Я бы назвал две. Во-первых, они показали абсолютное раздолбайство большинства заказчиков, до сих пор считающих, что пары МСЭ + AV достаточно для борьбы с вредоносными программами. Да даже если для защиты использовалось больше этих двух типов защитных устройств. Ну как вообще можно было пропустить то, что использовало известные уже не одну неделю уязвимости?  Оказалось можно. А во-вторых, названные  угрозы в очередной раз продемонстрировали неспособность антивирусных производителей (да и не только их) бороться с банальными проблемами. Вспомните, что они вам говорили после начала эпидемии? "Мы умеем бороться с WannaCry. Просто включите механизм мониторинга системной активности". То есть? А он не был включен? А почему? Ааа, так он вешает компьютер, загружая процессор на 100%? Тогда понятно. А фразу о том, что антивирусный вендор научился распознавать вредоносное ПО через час после начала эпидемии? А как же хваленое обнаружение 100% неизвестных вирусов и эвристические механизмы (кстати, вы же не думаете, что антивирус хранит на каждом защищаемом компьютере всю базу вирусных сигнатур, которая может насчитывать сотни миллионов и миллиарды семплов)? А как быть с тем, что уязвимость, используемая WannaCry, была известна уже месяц? Все это лишний раз доказывает, что никакие APT не нанест такого ущерба, как раздолбайство самих специалистов по ИТ или ИБ, занимающихся не реальной, а мнимой безопасностью. А самое интересное, что эти эпидемии показывают, что ничего не изменится в области ИБ в ближайшее время. Люди как доверяли купленным железкам и софту, отключая мозг, так и будут доверять.
  3. Прохождение сертификации ФСБ на многопротокольное оборудование, а также сертификации ФСТЭК на отсутствие НДВ для маршрутизаторов Cisco ISR. Да, это событие локальное и моновендорное, но для меня не менее значимое; особенно в текущей ситуации с импортозамещением, санкциями, разговорами о возобновлении холодной войны и т.п.
  4. "Цифровая экономика". Про эту государственную программу я уже писал (тут, тут и тут) и повторяться не буду. Для меня данное событие значимо по ряду причин. Во-первых, оно подтвердило мой прошлогодний прогноз об усилении роли Сбербанка в обеспечении кибербезопасности на национальном уровне. Сбербанк реально пытается что-то сделать лучше в нашей сфере (Академия кибербезопасности - это одно из таких начинаний, Центр компетенций по ИБ в рамках цифровой экономики - другое). Я еще напишу, видимо уже в следующем году, о том, в каком направлении движется Сбербанк в части кибербезопасности (у них немало интересных проектов, как показали выступления на Академии кибербезопасности). Просто они слишком опережают время и, не учитывая политическую составляющую процесса, бегут впереди паровоза. Так было и с центром компетенций по ИБ, в работе которого изначально не пригласили (я уже писал про это) ни одного из регуляторов по ИБ (ни ФСТЭК, ни ФСБ, ни ЦБ), что и сказалось на результатах, которые немного отличаются от первоначальной задумки - и по количеству инициатив, и по финансированию, и вообще по самой дорожной карте. Не буду вдаваться в детали, но судя по всему, данная программа, в том виде, в котором она преподносилась, мягко говоря, отошла на второй план. Не скажу, что работа прошла впустую, но и запланированного выхлопа от нее не будет. Лично для себя я получил список интересных инициатив, в количестве нескольких сотен, часть из которых можно попробовать пропихнуть при очередной попытке улучшить отрасль ИБ в России (а их было уже немало).
  5. ФЗ "О безопасности критической информационной инфраструктуры". Это законодательство (а это около двух десятков нормативно-правовых актов от ФСТЭК, ФСБ, Правительства, Президента, Минкомсвязи и др.) интересно не тем, что оно символизирует собой новый этап в развитии отечественного рынка ИБ, как считают многие специалисты. Как раз наоборот. Оно ничего не символизирует. Почему в России что-то делают с ИБ только под влиянием регулятора и штрафов? Почему нельзя оценивать реальные угрозы или влияние ИБ на бизнес? Почему все ждут, что принятие нового законодательства что-то изменит с безопасности критических инфраструктур? Почему все считают, что ГосСОПКА как-то улучшит ситуацию с атаками (WannaCry-то прошел, и Neytya тоже, и Bad Rabbit)? Лично для меня ФЗ-187 и иже с ними запомнился совсем другим. Во-первых, полным нежеланием ФСБ прислушиваться к мнению экспертного сообщества (не надо сразу думать, что я о себе, - было много предложений из разных источников, которые были проигнорированы). Во-вторых, демонстрацией того, что в сжатые сроки (два с небольшим месяца) "родить" нормативку можно, но качество ее будет не самым высоким. В-третьих, убеждением, что ФСТЭК реально заинтересована в государственно-частном партнерстве (чтобы это ни значило) и привлечении экспертного сообщества при подготовке своих нормативных актов (сколько было заседаний по проектам приказов и не сосчитать). В-четвертых, уверенностью, что курс на цифровой изоляционизм, который сейчас активно продвигается со всех сторон, ожидаемого эффекта не даст, а только отбросит Россию назад. Мы это уже проходили, но можно и повторить :-(


  6. Напряженная геополитическая ситуация. Эта тема не нова и длится уже года три, с момента внезапного желания Крыма присоединиться к России, завершившегося нашей пирровой победой. И дело не в санкциях (которые усилятся в начале 2018-го года), и не в возможном сценарии повторить путь Северной Корее, находящейся в мировой изоляции, и даже не в импортозапрещении, в результате которого российская отрасль ИБ пока так ничего и не родила (хотя даже слонам для рождения своих детенышей нужно всего около 2-х лет). Меня во всей этой ситуации смущает Китай. Государство, которое способно строить Великую Китайскую стену почти 20 столетий, не отступая от принятой изначально стратегии, способно на многое. В отличие от западных "торопыг", китайцы готовы долго ждать установления своего господства. И для этого они готовы идти на жертвы - внедряться в разные компании под видом "чернорабочих", отдавать свое оборудование даром (и даже выдавать миллионные кредиты на него), спускать на тормозах международные инициативы, которые вредят Китаю, строить из себя падаванов Великой Америки. И вот так, тихой сапой, они становятся гегемонами и в мировой ИБ. И к чему это приведет, пока сказать сложно. Даже секретные письма о запрете китайского оборудования не сильно помогают - китайцы все равно проникают повсюду. А бороться с ними сложно - совершенно иная культура, отличная от более привычной нам западной.
  7. Финальным аккордом я бы назвал историю с Центром информационной безопасности ФСБ, которая длится уже больше года, начавшись с задержания одного из высокопоставленных сотрудников этого центра, борющегося в России с киберугрозами. После этого были регулярные вбросы в СМИ различных непроверенных (но как обычно полученных из "достоверных" источников) фактов, которые еще больше набрасывали удавку бросали тень на работу центра. То бывший сотрудник Лаборатории Касперского обвиняет ФСБ в найме киберпреступников на работу. То эту тему подхватывает еще один бывший, на этот раз сотрудник ФБР. Сами киберпреступники вдруг тоже начинают из тюрьмы публиковать разоблачения и обвинять ЦИБ в найме хакеров на работу для взлома американской демократии. Слишком уж много вливается из разных "независимых" источников одной и той же информации. Правдива ли она? Отрицать не буду - я допускаю такой вариант. Но дело в другом. Шумиха вокруг ЦИБа сильно мешает ему осуществлять свою работу по поимке реальных киберпреступников. И в этом я вижу крайне отрицательное влияние этой ситуации на отрасль ИБ. С другой стороны, ФСБ занимает выжидательную позицию, молча и никак не комментируя все творящееся вокруг ЦИБа. То ли его хотят утопить, то ли просто нет у ФСБ своей "Захаровой", которая бы отвечала на нападки. С PR (и борьбой с черным PR) у ФСБ все не очень хорошо, о чем я тоже уже писал.
Вот такая субъективная "великолепная семерка" получилась. Посмотрим, к чему она приведет в году желтой земляной собаки.