16.09.2020

Про обязательную сертификацию для всех без исключения значимых объектов КИИ

Позавчера был опубликован принятый ФСТЭК еще в феврале приказ (видимо, на передержке держали) о внесении изменений в 239-й приказ с требованиями по обеспечению безопасности значимых объектов КИИ. Этим приказом регулятор, качество документов которого в последнее время скатилось ниже плинтуса, в очередной раз подтвердил, что думать о потребителях, то есть читателях своей нормативки, он не хочет и ему, в целом, наплевать на то, как будут выполняться новые требования. А требования достаточно примечательные.

Одно из них - расширение запрета на использование элементов значимого объекта КИИ не только 1-й, но уже и 2-й категорией. Прощай Zoom, облака и сервера обновлений, расположенные за пределами Российской Федерации. Ну да и ладно. Зачем значимым объектам КИИ обновление? Не нужно оно. Хотя допускаю, что регулятор не рассматривает сервера обновлений как угрозу для ОКИИ и не включает их в контур контроля. Ну тем лучше.

Гораздо большие последствия будет иметь другое изменение, а именно, новые правила оценки соответствия средств защиты значимых объектов. Напомню, что в прежней редакции средства защиты должны были пройти оценку соответствия в одной из трех форм - испытания, приемки или обязательной сертификации. Так как достаточного количества сертифицированных изделий в России просто нет (особенно для промышленных площадок), то многие субъекты КИИ планировали воспользоваться оставшимися двумя формами оценки соответствия, которые никак не регламентировались ФСТЭК. И вот сюрприз. Теперь при выборе формы оценки соответствия в виде испытаний или приемки, средства защиты (исключая встроенные в общесистемное и прикладное ПО) в обязательном порядке должны дополнительно еще проходить проверку на 6-й уровень доверия согласно 131-му приказу ФСТЭК. И вот тут начинается самое интересное.

Испытания, согласно новой редакции 239-го приказа, могут проводиться самостоятельно или с привлечением внешних лиц. Вроде бы логично с целью экономии провести такие испытания, включая  оценку доверия, самостоятельно. Но на этом пути нас ждет одна небольшая засада. Требования, устанавливающие уровни доверия, утвержденные 131-м приказом ФСТЭК, являются ДСПшными. ФСТЭК, правда, выложила у себя на сайте выписку из них, но документ этот неполон. Кроме того, он ссылается на совсем уж ДСПшную методику ФСТЭК по выявлению уязвимостей и недекларированных возможностей, без которых провести оценку соответствия на 6-й уровень доверия невозможно.

Можно ли получить данную методику и требования по доверию посторонним лицам? Согласно требованиям ФСТЭК, они "предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации". Учитывая курс ФСТЭК на засекречивание всего и вся, боюсь, что обычный субъект КИИ, владеющий значимыми объектами КИИ, получить их не сможет. И даже если у него есть лицензия ФСТЭК на ТЗКИ или разработку СрЗИ, тоже. А откуда у районной поликлиники или транспортной компании такая лицензия? Вот и получается, что своими силами провести такую оценку будет очень проблематично. Я уже не говорю, про отсутствие у субъектов КИИ специалистов, способных провести такой анализ. Да и вообще, эти требования в принципе не способен выполнить субъект КИИ, как бы он не хотел, так как они рассчитаны либо на разработчиков средств защиты, имеющих весь пакет документации и исходных кодов на свою продукцию, либо на лиц, которым они доверили ее анализ. Субъекты КИИ, до свидания!.. 


Но может тогда внешние лица смогут провести такую оценку? Смогут. Это могут быть, как написано выше, разработчики средств защиты (если они отечественные), заявители на сертификацию (обычно, если средство защиты иностранное), испытательные лаборатории и органы по сертификации. Немного зная, как строится работа в таких организациях, могу предположить, что оценивать уровни доверия средств защиты без выдачи сертификата или иного документа, "равного" ему по своему уровню, они не будут. То есть, по сути, сертификация, пусть и не функциональная, а по уровням доверия, но становится обязательной для любого средства защиты значимого объекта КИИ.

А вот дальше я вновь возвращаюсь к первому абзацу этой заметки. Есть у меня подозрения, что регулятор сам-то не читал свой приказ, а если читал, то не пытался хотя бы на минутку поставить себя на место субъекта КИИ и попробовать выполнить те изменения, которые были внесены. Если бы попытался, то у него бы возникли следующие вопросы (у меня они возникли сразу, а я даже не субъект КИИ). Требования по оценке по уровням доверия вступает в силу с 1-го января 2023 года, но... 

  • Значит ли, что уже сейчас нельзя устанавливать на ЗОКИИ средства защиты, прошедшие оценку соответствия в форме испытаний или приемки, но без уровней доверия? Или запрет вступает в силу именно в 2023-м году? 
  • Если я сейчас внедрю (или они уже внедрены) такие средства защиты, то 2-го января 2023-го года мне надо от них отказываться или все-таки закон не имеет обратной силы?
  • Если закон обратной силы не имеет, то можно ли мне после 1-го января 2023-го года обновлять средства защиты или это уже будет считаться модернизацией ЗОКИИ, а значит, как написано в приказе, надо будет уже проводить оценку по 6-му уровню доверия?
  • А если сейчас идет проектирование системы и в ТЗ таких требований не было, то что делать? Будет ли отсрочка?
  • Если у меня инвестпрограмма рассчитана на 3 года и в нее уже внесены средства защиты без оценки по 6-му уровню доверия, то что делать в таком случае? Бюджет уже заложен и часто это бюджет государственный.
  • Закупка обновлений средств защиты без 6-го уровня доверия не будет ли рассматриваться для госкомпаний или госорганов, как нецелевое расходование средств со всеми вытекающими последствиями? 
  • Как будет трактоваться отсутствие 6-го уровня доверия при проведении проверок ФСТЭК (если средство защиты было внедрено до 1-го января 2023-го года)? 
Вопросы, конечно, риторические. Авторы приказа явно не думали о них, когда готовили свой документ. Даже информационного сообщения никакого на сайте не опубликовали с разъяснениями. Видимо, не досуг.

Кстати, еще пример, как ФСТЭК подходит к своим документам. 12-го августа регулятор утвердил список документов, необходимых лицензиатам для выполнения работ по ТЗКИ, включая и тематику КИИ. В этом перечне присутствуют и 17-й, и 21-й приказы, и методичка по защитным мерам, и даже ДСПшная методика моделирования угроз ПДн 2008-го года, на смену которой скоро придет новая методика моделирования угроз ФСТЭК. Чего в этом перечне нет, так это 235-го и 239-го приказов по КИИ. То есть строить защиту субъектам КИИ лицензиат может, а вот документы, устанавливающие требования к этой защите, лицензиату иметь необязательно. В - Внимательность...

15.09.2020

Как ловить кибермафию с помощью анализа DNS (презентация)

На прошлой неделе выступал на TLDCON 2020, конференции администраторов и регистраторов национальных доменов верхнего уровня, где рассказывал про возможности использования DNS для расследования инцидентов и анализа вредоносных инфраструктур, которые используют киберпреступники и мошенники для своих афер - рассылки вредоносных программ, хостинга командных серверов, фишинговых сайтов и т.п.

Презентация выложена на Slideshare и в моем канале в Telegram.


14.09.2020

Презентация по ИБ для руководства компании (презентация)

 В пятницу, на CISO Forum, я завершал это отличное мероприятие мастер-классом о том, как надо готовить презентации и отчеты по ИБ для руководства компании. Тема эта непростая и за один час изложить ее непросто, но я попытался показать отдельные важные моменты. Рассказал и про то, на чем делать акцент, и что в отчете обязательно нужны KPI/КПЭ, привлекающие внимание, и как увязать KPI по ИБ с KPI топ-менеджера, и как учитывать интересы целевой аудитории и многое другое. Но все-таки час - это час. Границы времени не расширишь и многие практические лайфхаки остались за кадром. Уже подумываю над созданием однодневного курса по этой теме с практическими занятиями.

А пока выкладываю презентацию - на Slideshare и в канал в Telegram.   


09.09.2020

13 советов, от которых зависит успешность вашего SOC (презентация)

Продолжаю публиковать ранее невыкладываемые материалы с "Кода ИБ". На этот раз это будет презентация "13 советов, от которых зависит успешность вашего SOC", которую я читал в апреле 2019 года, то есть более года назад. Хочу отметить, что вчерашняя презентация про Threat Intelligence читалась мной 2,5 года назад и сегодня на нее смотришь немного иначе, чем тогда. Так и с презентацией по SOCам - что-то уже не так актуально, но что-то продолжает оставаться достаточно важным и полезным.

Презентацию выкладываю на Slideshare и в свой канал в Telegram.

08.09.2020

От разрозненных фидов к целостной программе Threat intelligence (презентация)

Пытливые читатели моего блога помнят, что я не раз упоминал серию конференций "Код ИБ. Профи", в которой также неоднократно (а именно 5 раз) принимал участие (а также в региональных конференциях "Код ИБ"). В отличие от большинства мероприятий по ИБ, эта серия была построена по непривычной для России концепции - платное участие и уникальный контент. Поэтому я никогда не выкладывал и больше нигде не читал презентации, которые делались для "Кода ИБ. Профи". Позже организаторы этой конференции решили запустить новый проект - "Код ИБ. Академия", в основу которого легли видео-материалы со всех "Код ИБ. Профи" и "Код ИБ". Так как это было коммерческим проектом, то доступ к этим материалам стал продаваться за деньги. В 2019-м году я поднял вопрос о роялти авторам материалов, на которых другие зарабатывают деньги.

К сожалению, надо признать, что вопрос до сих пор так и не решился, несмотря на несколько напоминаний. Больше я не вижу смысла ждать, когда организаторы "Код ИБ. Академия" соблаговолят выполнить свои обещания. Поэтому я решил, что имею полное право выложить все свои материалы в открытый доступ, что и начинаю делать. Пока буду выкладывать презентации, а позже, после обработки, и звуковое сопровождение к ним. Начну с мастер-класса по построению программы Threat Intelligence, который я готовил в 2018-м году. Выложил презентацию на LinkedIn (см.ниже), а также к себе в Telegram-канал.


07.09.2020

Мои выступления в сентябре

Новый учебный год начинается достаточно активно. В сентябре у меня организовалось достаточно много различных выступлений, в онлайн и оффлайн формате. Поэтому решил сделать под них отдельную заметку (и это только то, что известно к текущему моменту), а с завтрашнего дня начну выкладывать большие видео с разных мастер-классов, которые я читал, но ранее не выкладывал. 

8 сентября - "Последние тренды при организации безопасного удаленного доступа". Формат - онлайн. Организаторы - Cisco и Step Logic. Это в меньшей степени обычный вебинар, сколько лабораторная работа, перед началом которой я расскажу о 8 сценариях удаленного доступа, один из которых и будет отработан в рамках онлайн-лабы.

8 сентября - "Как DNS помогает разоблачать мафию". Формат - онлайн. Конференция - TLDCON 2020. В секции про использовании DNS для аналитических исследований я буду рассказывать про то, как с помощью DNS можно проводить расследования вредоносных инфраструктуры и выявлять, кто стоит за теми или иными киберпреступлениями.

10 сентября - "Как построить современную стратегию обнаружения угроз или почему IDS сегодня недостаточно?". Формат - онлайн. Серия вебинаров - Cisco Club. Здесь я буду рассказывать, почему за 20 лет в области обнаружения угроз изменилось все и только отношение заказчиков к IDS остается неизменным и почему это плохо.  

10 сентября - "ВЗГЛЯД CISO НА НОВЫЕ ВЫЗОВЫ И ТРЕНДЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПОСЛЕ ПАНДЕМИИ. ТРЕНДЫ МУЗЫКИ: УКУЛЕЛЕ, БАЛАЛАЙКА ИЛИ ПИПА?" (модерирование пленарной сессии). Формат - вживую. Конференция - CISO Forum. Первое крупное очное мероприятие по ИБ после самоизоляции. У пленарки, конечно, была своя концепция и задумка, но все может поменяться. Все-таки с таким явлением, как самоизоляция, мы сталкиваемся впервые и для многих она стала неожиданностью, как и последствия для ИБ. Про это и поговорим.  

11 сентября - "АФИША ДЛЯ КОНЦЕРТА: ЭКОНОМИЧЕСКАЯ ЭФФЕКТИВНОСТЬ. ПРЕЗЕНТАЦИЯ ИБ ДЛЯ РУКОВОДСТВА". Формат - вживую. Конференция - CISO Forum. А это уже будет не модерируемая мной дискуссия, а полноценный доклад, который будет закрывать CISO Forum и в котором я попробую дать ряд практических советов о подготовке презентаций по ИБ для руководства компании. 

14 сентября - "Как выбрать правильную архитектуру удаленного доступа или что делать, если коронавирус вернется?". Формат - онлайн. Серия вебинаров - Cisco Club. Для многих весенний аврал, связанный с переходом на удаленку, закончился. Но сейчас начинается уже планомерная работа с организацией удаленного доступа не только из дома, но из любой точки с наличием Интернет. О том, как выстроить архитектуру такого доступа я буду говорить вместе с Русланом Ивановым.

17 сентября - "Старый периметр умер. Да здравствует новый периметр. Как защитить размытую картинку?". Формат - онлайн. Серия вебинаров - Cisco Club. Вроде про периметр уже сказано все, что только можно. Но мы попробуем вместе с Михаилом Кадером посмотреть на него немного с другой точки зрения. Как организовать защищенный периметр в условиях удаленной работы, BYOD, доступа к облакам и т.п.?

22 сентября - "Если бы с COVID-19 можно было бороться с помощью сегментации?..". Формат - онлайн. Конференция - Kazan Digital Week. Завершу первый месяц осени рассказом о том, как сегментация могла бы помочь справиться с коронавирусом, если бы ее идеи могли бы быть применены в реальном мире и наоборот, как сегментация может помочь корпоративным сетям, если бы их накрыл коронавирус.

04.09.2020

Дашборды по ИБ АСУ ТП (презентация)

После почти двухмесячного молчания в блоге, компенсированного активностью в Twitter  и Telegram, возвращаюсь и на эту площадку :-) И начну с выкладывания презентации, которую я читал на Kaspersky ICS Security Conference. Посвящена она дашбордам по ИБ АСУ ТП, хотя ее положения могут быть без особых отличий применяться и не только в АСУ ТП, так как принципы визуализации и донесения информации до лиц, принимающих решения, мало чем отличаются от отрасли  к отрасли. Времени было не так много - всего 30 минут, поэтому не удалось рассказать все, что хотел, но главное все-таки успел.

Небольшая зарисовка. После доклада ко мне подошел человек из команды организаторов, могу ошибаться, но возможно это был кто-то из звукорежиссеров, и сказал, что "даже он понял" мой доклад, так было все разжевано и по делу рассказано. Пустячок, а приятно :-)

Скоро коллеги из Лаборатории Касперского выложат видео этого доклада (кто не смог вчера его посмотреть вживую или в онлайн-трансляции), а я пока выкладываю на Slideshare саму презентацию. У кого нет доступа к Slideshare (хотя обойти блокировку РКН сегодня не представляет большого труда) и кто не готов ждать 24-го сентября, когда все презентации Slideshare будут интегрированы в сервис Scribd, могу порекомендовать зайти ко мне в канал Telegram, куда я выложил презентацию в виде pdf. 

08.07.2020

Опыт обучения на курсах по SOCам

Упомянул вчера про прохождение курса по SOCам (для тех, кто думает, что SoC - это System-on-Chip, сообщаю, что это Security Operations Center) и хочу поделиться некоторыми впечатлениями. Начну с того, что когда речь заходит об обучении по SOCам, нет ни одного курса, который бы закрыл все потребности в этой части, как нет человека, который в SOC занимается всеми направлениями - от мониторинга до реагирования, от threat hunting до threat intelligence, от проектирования архитектуры до формирования плана обучения аналитиков. Это все разные задачи, которыми занимаются разные роли внутри SOC. Поэтому и обучение тут нужно разное. Одним нужны курсы по Threat Hunting, другим по реагированию на инциденты, третьим по организации Red Team (если это часть сервисной модели SOC), четвертым - по планированию и проектированию SOC. Я про это уже и писал и выступал, но посчитал нелишним упомянуть еще раз. Так вот сейчас я бы хотел поделиться впечатлением о курсе именно про планирование и проектирование SOC, который ориентирован больше не на аналитиков по мониторингу ИБ (типа CompTIA Cybersecurity Analyst, о прохождении которого я уже писал, или Cisco CyberOps Professional), а на руководителей центров мониторинга или их аудиторов и проектантов (проектировщиков). Ну а так как я в последнее время глубоко погружен в эту тему и участвую в разных проектах по аудиту или проектированию SOCов, то я и решил, что надо систематизировать свои знания по этой теме.

Хочу отметить, что курсы по проектированию SOCов я нашел только у SANS. Первоначально это был пятидневный курс SANS MGT517, который разработал и вел Chris Cowley. Позже, причина до сих пор непонятна, MGT517 был закрыт SANS'ом и долгое время никаких специализированных курсов по SOCам не было, пока в прошлом году Крис не анонсировал собственный трехдневный курс по SOCам (его я и проходил недавно), а SANS не запустил двухдневный курс MGT551 имени Джона Хаббарда. MGT551, по словам его автора, является дополнением к его же курсу SEC450 по Blue Team и позволяет дополнить картину уже с высоты птичьего полета, с точки зрения менеджера SOC. Курс Криса по-прежнему ориентирован только на руководителей/аудиторов/проектантов SOC и не является дополнением к чему бы-то ни было. У SANS есть еще шестидневный курс SEC511 по непрерывному мониторингу и SecOps, но он схож с упомянутыми выше курсами CompTIA и Cisco CyberOps, то есть ориентирован именно на специалистов по мониторингу ИБ, чем на лидеров.


Но вернемся к курсу Криса, который первоначально проходил только очно, но ввиду коронавирусной  шумихи был срочно переведен в онлайн-формат. Не могу сказать, что это повлияло на него с положительной точки зрения, так как возросла нагрузка на слушателей, которые должны были гораздо более серьезно относиться к обучению и заданиям, которые давались в рамках курса (но про это я уже написал вчера). С другой стороны, когда ты не связан корпоративными ограничениями (я имею ввиду SANS), можно быть чуть более открытым и давать материал лучше. Да и кучу сопутствующих материалов предоставлять (хотя, может, это больше зависит от инструктора, чем от от того, где курс читается).

Как я уже упомянул, курс не рассчитан на аналитиков, работающих с различными платформами и инструментами, его задача другая. Показать, нужен ли SOC организации и если да, то какой, и по какой модели его строить.

Очень много времени уделяется вопросу выбора и обоснования. Например, как обосновать необходимость SOC руководству компании, какие доводы использовать, каким ролям CxO важны какие задачи SOC и т.п.


С выбором связана и тема смен в SOCах. Крис давал различные модели и описывал их плюсы и минусы. Полезная тема с точки зрения планирования работ персонала и определения численности сотрудников SOC.  


Фанатам технологий тоже было уделено внимание, но не с точки зрения лабораторных работ по конкретным платформам и инструментам, а с точки зрения их выбора. например, какие альтернативы есть для защиты коммуникаций в SOC, для TI, для SOAR, для SIEM и т.п. Причем они сравниваются по разным параметрам (цена, функциональность и т.п.), что дает возможность слушателям потом выбирать то, что лучше подходит под их задачи. Никаких "купите QRadar как SIEM" или "только Webex Teams может быть использован для коммуникаций внутри SOC".

Тема технологий развивается и с точки зрения геополитических рисков. Но не "Русские хакеры! Все пропало!", как это было на курсах SANS по промышленной ИБ, а с точки зрения оценки рисков использования различных технологий и сервисов от разных компаний и стран. Интересно, что Крис не просто показывает всякие прикольные таблички, а потом отдает их и с ними можно играться по своему усмотрению.


Говоря о мониторинге ИБ, нельзя обойти вниманием вопрос процессов. Крис подробно рассматривает достаточно стандартную процессную схему SOC с погружением в отдельные процессы и особенности их выстраивания с точки зрения менеджмента, выбора технологий под них или их аутсорсинга во внешние руки. 

Хороший раздел про разработку use case. Причем не только с точки зрения теории, но и практики.


Например, выдали табличку с кучей готовых use cases с их разбиением по L1-L3, привязкой к матрице MITRE ATT&CK, метриками и оценкой их эффективности. Полезная штука - мы в рамках наших проектов по SOC тоже используем схожую табличку в Excel, куда заносятся все Use Case, которые мы разрабатываем и с которыми потом можно работать, а не просто теоретизировать. 


Ну и конечно вопрос измерения эффективности тоже не был обойден вниманием, хотя он, на мой взгляд, был не очень детально проработан. Метрики описывались больше технологические, чем бизнесовые. Но и среди них были интересные примеры, нечасто встречающиеся в публичных презентациях по оценке эффективности SOC. 


Ну и для тех, кто любит сравнивать себя с другими SOCами, был раздел про оценку зрелости SOC с рассмотрением соответствующей модели зрелости и заданиями по ее использованию. Мы в своих проектах по аудиту уже построенных центров мониторинга тоже сталкиваемся с вопросом "А как мы соотносимся с другими?". Правда, в ответе на него гораздо важнее иметь не саму модель зрелости, а результаты этой оценки по другим SOCам, о чем Крис скромно умолчал :-)


Сложно в короткую заметку включить материал всех трех дней по 8 часов каждый. Поэтому могу в целом отметить, что курс очень полезный именно для тех, кто строит собственный или проводит аудит уже построенного SOCа и хочет получить общую картину под названием "центр мониторинга ИБ". Если вам нужны знания по конкретным направлениям деятельности SOC, то это скорее уже другие курсы, в том числе и вышеупомянутые. 

ЗЫ. Вроде как Крис упоминал, что ему тоже не очень понравилась идея онлайн-курса по SOC и, возможно, больше таких не будет, - останутся только очные мероприятия, что увеличит цену на них, минимум, вдвое (за счет билетов и проживания). И это не считая сложностей с командировкой за пределы страны (сам Крис из США, но иногда проводит курсы в Европе, куда попасть сейчас непросто).

07.07.2020

Опыт полутора десятков онлайн-курсов за время самоизоялции

Так сложилось, что я не очень люблю отечественные учебные центры; не важно, в какой области они преподносят свои курсы - в ИБ ли или в чем-то ином. Пройдя немалое количество курсов западных (я тут посмотрел в нашей корпоративной LMS, в которую либо автоматом, либо вручную заносятся все мои курсы, и там их число давно перевалило за сотню), я понял, что ТАМ умеют делать из обучения реальный бизнес. Возможно, там просто больше специалистов, но там как-то умеют делать и качественный контент (и над ними не довлеет необходимость согласовывать свои программы обучения с регуляторами), и преподносить его по-разному и все равно интересно. А вот у нас что-то не то все время (я и за собой замечаю, что мои курсы достаточно однобоки и местами скучны, что, на мой взгляд, скорее связано с желанием втиснуть в 8 часов слишком много контента, не давая возможность поделать слушателям какие-то задания).

3,5 месяца самоизоляции (а мы глобально продолжаем на ней находиться до конца осени) позволили высвободившееся от очных мероприятий и командировок время уделить самообразованию, которое в 100% случаев проходило дистанционно. И это были совершенно разноплановые курсы - от продуктовых по Cisco до трехдневного курса по проектированию и планированию SOCов, от создания дашбордов до организации собственной онлайн-школы, от создания бизнеса с нуля (две недели со стартаперами) до сетевого threat hunting'а. На что-то я пошел для систематизации собственных знаний и навыков, что-то было обязательным на работе, а что-то было просто интересно изучить с точки зрения расширения кругозора. Заодно я прослушал записи ряда конференций по ИБ - от RSA Conference 2020 или Cisco Live US 2020 до "Кода ИБ. Профи" или конференции по ИБ O'Reily. И что я могу сказать по итогам такого образовательного дистанционного интенсива?..


Во-первых, дистанционное обучение - это челендж. Большой челендж. Без самоконтроля и постоянного пинания себя, вы постоянно будете отвлекаться от материала. И если обучение проходит в реальном времени, то нагнать потом будет сложно. Мне поэтому непросто дался трехдневный курс по SOC, на котором меня спасало только то, что многие вопросы были мне знакомы по проектам, в которых я участвовал или участвую, и я мог ненадолго отвлекаться.

Дима Мананнико как-то в Фейсбуке написал впечатления от преподавания онлайн на программе MBA в РАНХиГС. Мол удаленно, во-первых, сложно читать несколько часов подряд, а, во-вторых, вы не видите глаз слушателей и не понимаете их реакцию на вашу лекцию. Могу сказать как слушатель - это тоже непростая роль, так в онлайн вы не всегда можете достучаться до лектора; особенно, если речь идет о записи курса. Вы один на один с контентом и если вы его не понимаете или если платформа не приспособлена для преподавания, то это будет ад. Представьте, что курс проходит на платформе для организации вебинаров и вместе с вами на курсе еще несколько сотен человек (у меня такое было). Да, там есть чат и есть помощники лектора, но они не способны отработать весь тот поток сознания, который идет в чате непрерывно от сотен человек с разным уровнем знаний и навыков в изучаемой теме. В итоге вы не получаете очень многого, что можно получить при очном обучении.

В-третьих, у вас отсутствует социализация. Помню, когда я учился на курсах SANS по безопасности промышленных систем, около трети полезного я получил не на курсе от инструктора, а в кулуарах, общаясь с коллегами за обедом или вечером в баре (а обучение проходило в Амстердаме, в гостинице, где и проживало большинство слушателей). В онлайне у вас нет кулуаров и нет возможности обмениваться мнением за бокалом коньяка с коллегами. И это тоже большая потеря. На паре мероприятий, где мне довелось участвовать за время самоизоляции, организаторы с помощью курьеров доставляли участником еду и выпивку, но все-таки это не совсем то - общения-то все равно нет.

В-четвертых, на западных очных курсах обычно даются задания, которые вы выполняете во время многодневного курса. Например, на курсах SANS по обнаружению атак, SOCам, безопасности промышленных систем, Threat Hunting или реагированию на инциденты, в которых я участвовал у вас в день обычно проводится по 5-6 лабораторных работ, что приводит к 20-25 лабам за 4 дня, после чего пятый день целиком выделяется на практику. У нас такое мало где делается, а в онлайн это сделать вообще проблематично; как с точки зрения организаторов, так и с точки зрения слушателей. Особенно последним сложно - они же могут забить болт на "домашку" и ничего не делать. И проверить их сложно (хотя можно). В итоге обучение получается неполным. На очном обучении вы не можете откровенно манкировать заданиями, которые вокруг вас все делают.

А еще забавный момент - стоимость онлайн-обучения почему-то российские учебные центры не сокращают - она остается такой же, что и очное обучение. И это несмотря на существенное отличие этих двух форматов, которые надо готовить по-разному. У нас же обычно инструктор просто читает перед камерой с параллельным показом презентации и это считается дистанционным обучением. А все потому, что используемая платформа не позволяет организовать именно обучение, а не вебинар.

По итогам прохождения множества онлайн-курсов у меня составился некоторый список вопросов, который я задаю себе (и тем, кто предлагает мне дистанционное обучение), прежде чем принять решение:
  1. Чем отличается дистанционное обучение от очного?
  2. Будут ли домашние задания, включая стоп-задания (без которых нельзя пройти дальше)? На одном из курсов только стоп-задания заставили меня дойти до финала - курс был достаточно неудачно организованным, но я хотел его завершить и только стоп-задания стимулировали меня это сделать.
  3. Какая платформа используется для обучения (специализированная или обычная, вебинарная)? Например, некоторые учебные центры используют Webex Meetings, который, в отличие от Webex Trainings, не очень подходит именно для обучения, при котором происходит активное взаимодействие со слушателями. А вот Webinar.ru, Youtube или Facebook, который также нередко используют для прохождения курсов, для этого совсем не предназначены.
  4. Могу ли я общаться с другими участниками и как? В одном из курсов это происходило только в чате и только во время присутствия лектора, а в другом - организаторы создали специальные группы в Фейсбуке и Телеграме для постоянного общения.
  5. Могу ли я задавать вопросы инструктору, в том числе и в частном порядке? Как это делается - в чате или голосом (писать длинные вопросы любят далеко не все)?
  6. Будут ли мне доступны учебник и сопутствующие материалы (например, SANS заранее присылает вам коробку с учебниками и флешку с виртуалками для лабораторных работ)?
  7. Как контролируется прогресс в обучении? Где-то это могут быть стоп-задания, а где-то специальная метрика, отражающая кумулятивный параметр оценки прохождения курса и выполненных домашек. 
  8. В течение какого времени я буду иметь доступ к материалам онлайн-курса? У SANS, например, это обычно 6 месяцев. У курса по созданию бизнеса с нуля авторы предоставили пожизненный доступ к материалам. У всех все по-разному.
  9. Если вам это важно, то уточните, сколько CPE вы получите от прохождения того или иного курса. Знаю, что многие сертифицированные специалисты иногда только ради CPE и ходят на конференции и обучение :-)
Вот такой, достаточно нестандартный для меня опыт, так как обычно лекции читаю я, а не мне :-) Может быть кому-то это будет полезным при выборе тех или иных онлайн-курсов. А я в следующей заметке попробую описать свой опыт прохождения курса по SOCам.

15.06.2020

Алгоритм оценки необходимости выполнения НПА по ИБ

В последнее время, несмотря на коронавирус и самоизоляцию, наши регуляторы и законодатели не устают выпускать новые нормативные акты, а в различных чатиках, каналах и группах вновь стали подниматься вопросы выполнения нормативных актов, известных уже не первый, и даже не пятый, год (например, ФЗ-152). И часто эти вопросы звучат в контексте, а как выполнять то или иное требование (или весь НПА)? При этом почти никогда не звучит вопрос, а надо ли вообще выполнять это требование или НПА. Я прекрасно понимаю, что для классического, "законопослушного" безопасника это звучит крамольно, но с точки зрения бизнес далеко не вес нормативные акты надо бежать выполнять по мере их выхода. Я для себя сформировал некую процедуру, ответив на вопросы которой, можно понять, насколько стоит вообще задумываться о выполнении тех или иных приказов, постановлений, положений, указаний, информационных сообщений и т.п.

Итак, процедура состоит из ответов всего на 5 вопросов. Первый из них звучит просто - "есть ли данное требование в НПА?". Да-да, очень часто мы спорим о требованиях, которых просто нет в нормативных актах, а он являются скорее примером "испорченного телефона". Набивший оскомину, но при этом оставшийся классическим пример связан с сертификацией средств защиты информации. Такого требования, например, а ФЗ-152 (о персональных данных) или ФЗ-187 (о КИИ) нет, но многие почему-то просто жаждут применения таких средств из все больше и больше сокращающегося списка. Поэтому я рекомендую в таких случаях самостоятельно читать НПА. Или вот вопрос о мифических требованиях ФСБ к средствам ГосСОПКИ. Таких требований нет, но я упорно слышу от заказчиков, которые услышали это ряда отечественных вендоров, что требования якобы есть и их надо выполнять.  

Второй вопрос связан с легитимностью нормативного акта. Да, не каждый выпущенный нормативный акт является легитимным. И хотя число нелигитимных НПА в нашей области постоянно сокращается, все-таки стоит смотреть, насколько требования по принятию и регистрации НПА соблюдены. Третий вопрос касается надзирателей за требованиями. Важно не только иметь легитимные требования, но и орган, который имеет право надзирать за соблюдением этих требований. Например, требования по импортозамещению ПО и железа, включая средства защиты, у коммерческих компаний (с госами ситуация иная). Требования есть, но кто имеет право проверять их соблюдение? Минцифра? Увы, нет. Так стоит ли напрягаться по этому поводу и вкладываться в то, что никто не способен проконтролировать? Или требования по защите ПДн. Проверять их может ФСТЭК и ФСБ, но... только в государственных и муниципальных операторах ПДн. А для проверки коммерческих организаций им нужно отдельное распоряжение Президента страны и я что-то такого не помню за 9 лет существования такого требования.

Четвертый вопрос еще интереснее. Вот есть у вас требование и оно легитимное и даже проверяющие есть, и они даже прийти могут проверить. А наказать они нас могут, если мы что-то не выполняем? Например, по теме КИИ сейчас всего одна статья и она уголовная (ст.274.1). Да, регуляторы внесли законопроект об изменении КоАП и появлении там новых составов правонарушений, но пока их нет. А раз наказать нельзя, то стоит ли так стремиться выполнять требования? С точки зрения бизнеса, который считает свои затраты и не видит рисков, положительный ответ будет не столь очевидным. Понятно, что можно расширить этот вопрос и уточнить масштаб наказания. Например, за невыполнение требований ФЗ-152 размер штрафов незначительный, в отличие от штрафа за нарушение GDPR. 

Наконец, пятый вопрос будет звучать так - "Наказание есть, но его когда-нибудь применяли?" То есть важен не только сам факт наличия наказания за невыполнение требований, но и правоприменительная практика по этому направлению. А том может оказаться, что за нарушение требований никто и никогда не наказывал. Например, есть такое Постановление Правительства №584 о защите информации в платежных системах. Там и требования, и регуляторы, и право проводить надзор, а вот проверок ноль. 


Если следовать этому простому алгоритму, то число требований, который нам надо будет соблюдать с точки зрения кибербезопасности может существенно сократиться и нам не придется тратить много денег своей компании и сидеть и бояться мифических проверок. Повторюсь, что это взгляд с точки зрения бизнеса, который рассматривает любое ограничивающее его законодательство как налог, который надо оптимизировать. И ИБ должна не мешать это делать, запугивая начальство карами небесными, а способствовать разумной трате денег, которые в условиях коронавируса и так сокращаются.


Но нельзя не сказать и об обратной стороне медали. Описанный алгоритм корректен в ситуации, когда мы живем в стране, где верховенствует закон. Но у нас увы, как показывает опыт последних 2-3 месяцев, когда власти принимают нормы, ограничивающие права граждан в нарушение действующего законодательства, существует вероятность, что вас придут проверят независимо от того, есть у проверяющих права на это или нет и накажут вас даже при отсутствии соответствующих статей в КоАП. Как говорится "был бы человек, а статья найдется". И ситуация явно не становится лучше. Поэтому описанный выше алгоритм стоит вписывать в существующую в организации стратегию управления рисками и танцевать уже от нее. Кто-то вполне всерьез рассматривает риски наезда со стороны государства, кто-то нет...

08.06.2020

Что больше нужно предприятию - служба ИБ или функция ИБ?

В мире ИБ существует много мифов и заблуждений, часть которых появилось очень давно и тогда они еще были правдой, но со временем ситуация поменялась кардинальным образом, но миф или заблуждение продолжают жить и только укрепляются в умах специалистов, которым не преподавали в ВУЗах критическое мышление и поэтому они часто плывут по течению, скользят по накатанной плоскости вместо того, чтобы остановиться и подумать, туда ли они движутся. Одно из таких заблуждений связано с тем, кто должен обеспечивать информационную безопасность на предприятии.

Пару недель назад я участвовал в закрытой дискуссии по результатам одного опроса, посвященного вопросам ИБ в России после пандемии коронавируса. В нем, среди прочего, возникла тема смены роли ИБ после самоизоляции, и я смог наконец-то сформулировать, пропустив через себя, то, о чем Дима Мананников говорит уже давно на своих выступлениях. Речь идет о том, что ИБ в нормальной жизни давно уже вышла за пределы выделенного подразделения ИБ и рассматривать ее необходимо как самостоятельную функцию в рамках всего предприятия.

Попробую пояснить на простом визуальном примере. Если мы посмотрим на большинство стандартов, best practices, приказов регуляторов и т.п., то мы увидим, что все они исходят из простой парадигмы - кибербезопасностью должна заниматься отдельная служба кибербезопасности (или ИБ, или ЗИ). Это стало "аксиомой" и чем серьезнее защищаемая система, тем больше она, по мнению авторов лучших практик, нуждается в отдельном подразделении. И, как следствие, многие продолжают эту мысль и считают, что вся ИБ должна быть сосредоточена в службе ИБ. Поэтому и тема персональных данных у нас часто попадает в руки безопасников; хотя в Европе, согласно тому же GDPR, этой темой занимаются совсем другие люди, далекие от ИБ и вообще ИТ. Многие ИБшники свою деятельность видят вот так:  


Есть отдельные подразделения, которые занимаются бизнесом, и есть служба ИБ, которая, как шериф на диком Западе, защищает бизнес от плохих парней, покушающихся на него. Как только возникает такая картинка, сразу всплывают вопросы, на которых традиционный безопасник не может дать ответа. Кто должен заниматься борьбой с мошенничеством (часто антифрод находится в руках отдельных людей)? Кто должен мониторить даркнет (часто это вешают на PR-службу)? Кто должен заниматься мониторингом использования ваших доменов (часто это вешают на digital marketing)? Кто должен заниматься повышением осведомленности персонала (часто это вешают на HR)? Кто должен заниматься обеспечением бесперебойной работы сайта (часто это вешают на ИТ)? Кто должен заниматься повышением продуктивности пользователей, тратящих время на чтение спама (часто это вешают на operations)? Кто должен заниматься управлением уязвимостями (часто это вешают на ИТ)? И т.д. По сути, у безопасников в руках остаются только вещи, которые прописаны в нормативных документах, то есть они занимаются так публично нелюбимой ими же (но так желаемой по ночам) бумажной безопасностью. А все потому, что они мыслят в терминах подразделений, отделов, служб, у которых есть свои полномочия, свой бюджет, свои ресурсы...

Но ИБ давно вышла за рамки того, что придумают ФСТЭК, ФСБ или Роскомнадзор, жестко ограниченные рамках положений о них, и определяющих сферы их компетенций. ИБ на современном предприятии - это то, что пронизывает абсолютно все сферы деятельности компании. ИБ превратилась (хотя, наверное, она всегда была такой) из набора задач, выполняемых службой ИБ, в функцию, которая должна быть обеспечена... и не так важно кем обеспечена. Если координацию реализации этой функции не может взять на себя служба ИБ, ее передадут другим подразделениям, а точнее раздербанят между ними, что негативно скажется на общем состоянии ИБ предприятия, которая будет следовать поговорке "у семи нянек дитя без глаза".


В итоге служба ИБ будет прозябать, руководство будут рассматривать службу ИБ как центр затрат и вериги на ногах у бизнеса, безопасники будут все больше требовать от регуляторов усиления контроля, параллельно кляня их за излишний надзор и регуляторику... Вот так и живем :-(

02.06.2020

Игра Cybersecurity Alias

Еще до пандемии меня пригласили в один проект, целью которого было создание игр по кибербезопасности, которыми можно было занимать участников различных мероприятий по ИБ, а также использовать их как самостоятельный инструмент для изучения различных аспектов ИБ. То есть проект должен был использовать геймификацию, которая начинает набирать у нас обороты, и как новый формат для мероприятий, и как инструмент обучения. А учитывая, что я про тему геймификации писал уже немало и в моей коллекции есть немало примеров игр по ИБ, мое участие в этом проекте было вполне логичным. На мне лежала часть, связанная с придумыванием игр, а на пригласившем меня в проект человеке - их оформление и издание. Но увы... Проект умер, так и не родившись и все мои идеи и уже почти написанные сценарии и правила канули в Лету.

Но про один из вариантов я все-таки напишу, так как он настолько прост, что его можно сделать в домашних условиях без особых усилий. Эту игру я назвал Cybersecurity Alias. Alias - это такая простая игра на ассоциации - один участник пытается объяснить записанное на карточке слово, а другие игроки пытаются его угадать. Cybersecurity Alias, соответственно, - это игра, в которой надо было объяснять термины и слова, связанные с кибербезопасностью.

За кажущейся простотой этой идеи скрывается, на самом деле, очень много интересного. Во-первых, можно проверять знания сотрудников при приеме их на работе или регулярной аттестации. Во-вторых, эта игра позволяет научить сотрудников объяснять сложные вещи простыми словами, что очень полезно при общении с бизнесом. В-третьих, эта игра позволяет вырабатывать навык общения в условиях цейтнота по времени (в игре на карточку из 8 слов вам дается очень немного времени). И, наконец, эта игра позволяет в игровой форме расширить кругозор собственных сотрудников, которые далеко не всегда знают темы за пределами своей повседневной деятельности.

При этом, как у классического Alias есть разные версии - для взрослых, для детей, для смешанной аудитории, с параллельным выполнением заданий и т.п., так и в ИБ-версии можно сделать схожие  вариации. Например, детей можно заменить бизнесом или рядовыми пользователями, которым вам придется объяснять ваши задачи и инструментарий совсем уж простым языком. И т.д.

Самое главное, что такая игра легка в изготовлении. Достаточно составить словарь из нескольких сотен слов (в оригинальной версии 180 карточек по 8 слов в каждой) и поместить их на шаблон карточки, который легко отрисовать в PowerPoint, Word или ином офисном продукте. В итоге получится что-то вроде таких карт, на которых можно увидеть совершенно разные слова, имеющие отношение к ИБ - от названия технологий до знаковых имен в ИБ, от нормативки до инструментария злоумышленников. Если вдуматься, то словарь современного ИБшника насчитывает не менее пары тысяч специфических слов, которые можно вынести на карты Cybersecurity Alias и долгими и скучными "вечерами" на самоизоляции заняться полезным делом.


29.05.2020

Три статьи про SOCи - обзор 40 российских SOCов, измерение эффективности и SOC на удаленке

Как-то кучно зашло... Первая статья посвящена теме измерения эффективности SOC, метрикам и т.п. Она получилась достаточно объемной и поэтому редакция "Information Security" решила разделить ее на две части. Пока опубликована первая часть, в которой я рассмотрел различные временные метрики, используемые в SOC.


Вторая статья тоже про SOC, но уже с другой точки зрения. Это обзор 40 российских SOCов, которые согласились ответить на 30 вопросов о своем технологическом стеке, предлагаемых сервисах, архитектуре, используемым фидам, процессе обучения и численности персонала и т.п. Этот материал тоже не вместился в рамки одной статьи, поэтому редакция "BIS Journal - Информационная безопасность банков" также решила разделить ее на части. Первая часть уже опубликована.


Третья статья про SOC была опубликована чуть раньше, на Хабре. Я ее поставил вопросам организации труда аналитиков SOC при удаленной работе, которая коснулась многих - не только офисных сотрудников, но и специалистов по ИБ. На что обращать внимание при переходе с точки зрения технологий, процесса, культуры удаленной работы, контроля эффективности, законодательства и т.п. То есть обо всем том, о чем в обычной жизни не задумываешься.

ЗЫ. Ну и "чтобы два раза не вставать" :-) Для IT-World написал продолжение обзора хакерских методов, которые запомнились за два месяца самоизоляции и карантина. Первые две части были опубликована на Хабре (тут и тут), а третью, спустя пару месяцев, опубликовал уже на IT-World.

25.05.2020

Техническая защита ПДн в соответствие с GDPR и ФЗ-152 (презентация)

По приглашению выступал на GDPR Day, собравшем около тысячи человек онлайн (очень хороший результат), и на котором я рассказывал о том, как технически защищать персональные данные в соответствие с ФЗ-152 и GDPR. Выкладываю презентацию:



Заодно выложу и ссылки из нее:

21.05.2020

О проектах Указа Президента и Постановления Правительства по убийству всех СуКИИ

Вчера РБК опубликовала статью о том, что Минкомсвязь выступила с инициативой обязать оснастить все объекты КИИ отечественным ПО и железом. И я не смог пройти мимо двух проектов (Указа Президента и Постановления Правительства), которые были подготовлены в рамках этой инициативы. Отвлекусь и скажу, что когда за информационную безопасность в Минцифре отвечал г-н Соколов, это было терпимо. Он хоть и не понимал ничего в объекте регулирования, но и не лез туда особо со своими законодательными инициативами. А вот когда в Минцифру на роль замминистра пришла г-жа Бокова (прославившаяся участием в законе о суверенном Рунете), то ситуация, похоже, сдвинулась с мертвой точки и теперь будет ухудшаться, так как привычка сенатора выходить с законодательной инициативой теперь, видимо, найдет свое преломление в новой роли и нас еще ждет немало нормативных экзерсисов.
Но вернемся к теме. Я перечислю все инициативы, которые предложены в двух проектах:
  • Правительство должно до 1-го сентября ЭТОГО, то есть 2020-го года, утвердить требования к ПО и железу и порядок перехода на его использование.
  • Все субъекты КИИ (без исключений) должны перейти на отечественное ПО до 1-го января 2021 года, а на отечественное железо до 1-го января 2022 года. То есть на переход на ПО дается всего 4 месяца. Это я так, просто подсчитал временной интервал, а то замминистры у нас одаренные и привыкли считать, что переход на ПО осуществляется по команде "раз-два", то есть мгновенно.
  • По мнению замминистра Соколова, изложенного в пояснительной записке, принятие Указа не потребует дополнительных расходов бюджета РФ. Логично же. На такое бюджет совсем не нужен, когда можно на плечи потребителя все переложить. На прошлом Уральском форуме, вице-президент по ИТ одного из госбанков упомянул, что импортозамещение по их оценкам обойдется только им в 400 миллиардов рублей. И, конечно, эти деньги будут взяты не из бюджета. Ну разве, что Игорь Иванович попросит помочь Владимира Владимировича деньгами на импортозамещение. Но он у нас такой один - бюджет не оскудеет от этого; и курс рубля не упадет, и нефть не рухнет от этого.
  • Отвечать за реализацию Указа Президента по информационной безопасности будут... нет, не ФСТЭК с ФСБ, а Минцифра с Минпромторгом. Ведь именно они как нельзя лучше знают, как обеспечивать информационную безопасности объектов КИИ.
  • Указ и Постановления Правительства распространяются на ВСЕ объекты, включая незначимые. И никого не волнует, что требования по ИБ у нас установлены только для значимых объектов. И никого не волнует, что ФСТЭК с Минпромторгом уже согласовали дифференцированные требования по доверию к средствам защиты и иным решениям, используемым на объектах КИИ. Плевать. Всех под одну гребенку! И Газпром и небольшую котельную, и РЖД и курьерскую службу, и Сбербанк и микрофинансовую организацию или ломбарж.
  • Все используемое на ОКИИ ПО и железо должно быть включено в реестр отечественного или евразийского ПО или реестр радиоэлектронной продукции. Есть и исключения. Если аналоги иностранного ПО или железа не включены в РПО/РЕП/РРП, то можно и зарубежные ИТ-решения применять, но при этом его обновлять или поддерживать могут только компании, которые не находятся под прямым или КОСВЕННЫМ контролем иностранных физических или юридических лиц. Минцифра наступает на все те же грабли, что уже наступала ФСТЭК некоторое время назад. Но ФСТЭК тогда устранила все эти проблемы, но Минцифра, видимо, решила повторить этот путь заново. Вот, правда, в здравый смысл нового и старого замминистра я что-то, в отличие от ФСТЭК, не очень верю.
  • Если ПО или железо является средством защиты, то дополнительно к требованиям Минцифры и Минпромторга добавляются требования ФСТЭК. А если ПО или железо еще и атаки ловит и инциденты передает, то оно должно соответствовать все еще отсутствующим требованиям ФСБ.
  • Переходить на отечественное надо не только для новых объектов, но и на уже существующих. То есть выкинуть и заменить на новое и родное.
  • При переходе, правила которого должны быть утверждены до 1-го сентября, надо провести аудит объекта КИИ. Чиновники не знают, что аудит проводят на соответствие чему-то и поэтому в проекте ПП написано, что надо просто провести аудит. Мне кажется, что авторы проектов нормативных актов имели ввиду инвентаризацию используемого и планируемого к использованию ПО и железа. Но могу и ошибаться - пытаться подняться до высот замминистра и уровня его компетенций я не могу. Потом надо провести анализ требований Правительства по переходу на отечественное ПО и железо, поискать аналоги и оценить сроки амортизации используемого оборудования и сроки действия прав на ПО. Правда, зачем оценивать сроки амортизации и права на софт непонятно - это никак не влияет на требование перехода (хотя и должно).
  • После проведения анализа из пункта выше список используемого и планируемого ПО и железо должен быть согласован с Минцифрой и Минпромторгом (а могут ведь и не соглассовать). Напомню, что все это надо будет сделать в промежуток с 1-го сентября до 31 декабря и не забыть еще закупить и внедрить все купленное.
Одна радость. В предпоследнем пункте проекта Постановления Правительства о порядке перехода  говорится о том, что по итогам всех описанных выше мероприятий надо составить план перехода и отправить его копию в Минцифру и Минпромторг. Это как бы намекает на то, что до 1-го января 2021-го года надо всего лишь направить вновь появившимся в области КИИ регуляторам только планы перехода на отечественное ПО и железо, а реализовывать их по мере возможности, уже с учетом срока амортизации и сроков окончания прав на ПО, а также наличия финансовых возможностей. Но, правда, формулировки всех остальных пунктов говорят о том, что к этому сроку надо перейти на российское. Я только дочитав до последнего пункта документа задумался, что возможно речь идет не о самом переходе, а о плане перехода.

Так что будем посмотреть на то, как это вся эпопея будет разворачиваться. Если возобладает здравый смысл, то все останется как есть. Если г-н Соколов и г-жа Бокова будут настаивать, то своими действиями они убьют недобитый коронавирусом и обязательной добровольной самоизоляцией бизнес, которому "посчастливилось" быть отнесенным к критической информационной инфраструктуре.


ЗЫ. Уже вчера вечером стало известно, что замминистра Соколов, чьим именем и электронной подписью подписаны все описанные в заметке проекты, покидает Минкомсвязи. И как теперь будет развиваться эта история становится еще менее понятно. Либо упавшее знамя подхватит другая замминистра, г-жа Бокова, либо тему спустя на тормозах. Будем поглядеть...