10.04.2020

Каких навыков не хватает ИБшникам и какие навыки востребованы?

Наткнулся я на днях на вот такую матрицу, которая показывает результаты анонимного опроса 34-х специалистов по ИБ с минимум 5-тилетним стажем по 19 различным навыкам, которыми они обладают или не обладают. Черным показаны пробелы в навыках. Если посмотреть внимательно, то окажется, что только один чувак с опытом более 24 лет обладает всеми навыками. У остальных есть пробелы, местами достаточно значительные. Отсюда можно сделать два простых вывода:
  1. Нельзя знать все! Если вы чего-то в ИБ не знаете, не надо посыпать голову пеплом. 97% специалистов такие же как и вы и тоже чего-то не знают. Скорее это повод задуматься о том, каких навыков вам не хватает и пойти их нарабатывать.
  2. Но нарабатывать их вам надо, если вам они нужны. И отсюда второй вывод. Специалисты по ИБ широкого профиля редки на рынке. У многих есть своя специализация и он растет в ней.

Если посмотреть таблицу, то основные пробелы у людей в нескольких направлениях:
  • управлением уязвимостями и поиск багов
  • управление доступом и идентификационной информацией
  • разработка эксплойтов
  • пентесты
  • безопасность ПО (тут, думаю, речь идет об AppSec) и DevOps
  • социальный инжиниринг.
Такая картина соответствует, как минимум, моему восприятию мира. SecDevOps и AppSec - это достаточно новое направление в ИБ и в нем еще маловато специалистов. Социнжиниринг подразумевает работу с людьми и знание психологии, что никогда не было коньком безопасников. Еще три навыка относятся к offensive-тематике, которая хорошо знакома обычно молодому поколению, а не пиджакам. Немного выбивается тема Identity Management; не знаю почему.

Завершить эту небольшую заметку хотелось бы другой статистикой; на этот раз от IDC. В декабре 2018-го года они провели опрос 1438 респондентов, спросив у них про наиболее важные навыки в их работе специалистов по ИБ. Был предложен список из полусотни навыков, которые затем были ранжированы по важности. В десятку вошли следующие (в порядке убывания):
  1. Умение писать скрипты для различных задач, возникающих в деятельности безопасника
  2. Знание бизнеса и умение говорить с ним на одном языке
  3. Гиперконвергентные инфраструктуры
  4. Анализ данных
  5. Понимание бизнес-тенденций
  6. Машинное обучение
  7. Управление приложениями
  8. API
  9. SQL
  10. ERM или ERP.
Судя по списку, в нем речь идет скорее о нехватке знаний, чем навыков. Но список все равно интересен. Интересно, что в список из 30 областей знаний, в которых опрошенные специалисты по ИБ хотели совершенствоваться, совершенно не вошли:
  • блокчейн
  • виртуальная и дополненная реальность
  • управление бизнес-процессами
  • CRM
  • DevOps
  • управление базами данных
  • управление сетями
  • телекоммуникации
  • пользовательский интерфейс
  • и другие.
Часть из этого списка "аутсайдеров" скорее связана с тем, что безопасники думают, что они все знают в той или иной области (например, в сетях, open source или той же кибербезопасности, тех областях которые вообще не были названы), а остальные темы скорее просто неинтересны безопасникам и они их считают неперспективными (тот же VR/AR или блокчейн) или ненужными в своей работе (тот же BPM или UD/UX).

В завершение хочу отметить, что тема компетенций безопасника и вообще "кто такой безопасник" и какими навыками он должен обладать всплывает с завидной регулярностью. Человек, обвиняющий других в том, что они "неучи", чего-то не знают, умеют только бумажки писать и т.п., обычно сам недалеко ушел от возраста ребенка, когда все возводят в степень n, когда юношеский максимализм так и брызжет во все стороны. Кто-то умудряется и в 40 лет оставаться таким же твердолобым и упертым :-) Ну, ФСТЭК ему судья :-) Я же просто напомню, что на службу ИБ сегодня навешивают очень много разных задач, что подразумевает не только совершенно различные ее структуры (а я про это недавно писал), но и совершенно разные роли у самих безопасников в зависимости от решаемых задач.


Так что не надо сильно напрягаться, если вы чего не знаете или не умеете. Если вы это понимаете, это уже отлично. Это половина успеха. Составьте план своего развития и вперед. И помните, что вопреки распространенному мнению, что самообразование (как и вообще образование) - это инвестиция, таковой оно станет, если эта "инвестиция" будет приносить вам прибыль. То есть, если вы сможете после обучения получать больше или найдете работу лучше. Вот тогда это инвестиция. А еще вы можете учится, чтобы сохранить работу. Это никакая не инвестиция :-)

Вообще, ставя цели по обучению и самообразованию, поймите, что вы хотите - заработать или сохранить. Если сохранить, учитесь тому, что у вас спрашивают прямо сейчас на текущей работе - нормативка, импортозамещение и остальная лабуда, которая не делает вас лучше, а засоряет ваш мозг ненужным хламом знаний. Если у вас цель заработать - смотрите в сторону востребованных навыков и знаний и вперед, учитесь им.

И не болейте! 

06.04.2020

Вопросы к ИБ-регуляторам по поводу коронавируса

С момента появления рекомендации о переходе на режим самоизоляции (очень странная конструкция с точки зрения законодательства), подразумевающий удаленную работу, прошло уже больше трех недель, за которые наши регуляторы, надо признать, достаточно оперативно (по меркам регуляторов), выпустили свои рекомендации о том, что надо делать в новых условиях:
  • Для субъектов КИИ ФСТЭК выпустила рекомендации (письмо ФСТЭК от 20 марта №240/84/389) об обеспечении безопасности объектов КИИ при реализации дистанционного режима исполнения должностных обязанностей работниками субъектов КИИ. Кстати, какова юридическая сила этого письма по сравнению с тем же 235/239-м приказами?
  • Схожие, но почему-то дспшные, рекомендации (письмо ФСТЭК от 20 марта 2020 г. №240/22/1204дсп) о мерах защиты информации, принимаемых в информационных системах, в целях минимизации рисков возникновения дополнительных угроз безопасности информации при осуществлении удаленного доступа их работников, ФСТЭК направила в ФОИВ и подведомственные организации.
  • НКЦКИ также 20 марта опубликовал уведомление об угрозах безопасности информации, связанные с пандемией коронавируса.
  • 23 марта и Банк России опубликовал свои собственные рекомендации по организации работы соответствующих сотрудников вне зависимости от того, работают они из офиса или удаленно в условиях распространения коронавируса.
Даже Верховный Главнокомандующий у нас на удаленке
Я не буду обращать внимание на мелкие огрехи в данных рекомендациях (например, на главной странице ФСТЭК ее рекомендаций до сих пор нет, а требование идентифицировать СВТ по MAC при удаленном доступе невыполнимо). Меня в этих рекомендациях смутило немного другое. Они излишне технократичны и направлены на описание только технических мер ИБ, в то время как гораздо важнее было бы увидеть советы, а то и изменения в НПА, связанные с организационными и процессными мерами.

Я, опираясь на некоторое знание нормативных документов регуляторов, попробовал мысленно применить их в условиях удаленной работы и у меня сразу возник ряд вопросов, которые пока остаются без ответа:

  1. ФСТЭК при оказании услуг мониторинга ИБ требует, чтобы у SOC было свое помещение и своя соответствующая требованиям ИБ информационная система. В условиях перевода на удаленку работников SOC, как выполнить это требование? Не пора ли все-таки перестать привязывать деятельность по ИБ к ее физическому местоположению и допустить существование виртуальных и мобильных SOCов?
  2. Аналогичный вопрос и к центрам ГосСОПКИ. Насколько возможно обеспечение их функционирования из дома?
  3. Многие работники, находящиеся на удаленке и работающие не только с корпоративных, но и личных устройств, имеют доступ к персональным данным, тем самым расширяя границы своих ИСПДн. Как ФСТЭК и Роскомнадзор рекомендуют вести себя операторам ПДн в таких ситуациях? Надо ли пересматривать требования по ИБ, установленные 21-м приказом ФСТЭК, или заново отправлять обновленное уведомление в РКН?
  4. РКН вообще единственный не выдал никаких рекомендаций, кроме работы с тепловизорами при измерении температуры и новостей о том, что возможен фишинг (и тут) и спам, паразитирующий на теме коронавируса (без примеров и тем более индикаторов компрометации). А мне, например, интересно было бы посмотреть на рекомендации, связанные с получением согласий на обработку ПДн при дистанционной работе.
  5. ЦБ и ФСБ (а в ряде случаев и ФСТЭК) настойчиво рекомендуют использование сертифицированных СКЗИ. Как выполнить это требование в условиях дистанционной работы? Не с технической точки зрения, а с точки зрения всех регламентов, формуляров, инструкций (той же 152-й) и т.п.? Это не говоря уже о том, что число мест, в которых ведется работа с применением СКЗИ существенно возросло и не потребует ли это внесения изменения в лицензию ФСБ на деятельность, связанную с шифровальными средствами?
  6. Произойдут ли какие-то изменения в части ЕБС? Как с точки зрения съема биометрических данных (например, рекомендация приостановить эту деятельность), так и с точки зрения выполнения всего спектра нормативных и нормативно-правовых актов, связанных с работой ЕБС. В условиях пандемии выполнить их все достаточно затруднительно.
  7. Есть подозрение, что в условиях пандемии и разработчикам средств защиты, и разработчикам финансового ПО, которое должно пройти оценку соответствия по требованиям ФСТЭК и Банка России, будет сделать это затруднительно. И начало лета, установленное обоими регуляторами (ФСТЭК - в части крайнего срока обновления сертификатов; ЦБ - в части отсрочки проверки), как мне кажется, становится уже нереальной датой для выполнения соответствующих требований. Будут ли смещать этот срок?
  8. Как выполнять аудит внешними силами по требованиям ЦБ. Многие сидят дома и боятся высунуть нос на улицу. Можно ли проводить аудит дистанционно? Как удостовериться в его честности? Можно ли отсрочить проведение аудита (именно аудита со стороны финансовых организаций, а не проверок со стороны регулятора)? Если чуть расширить этот вопрос, то как вообще можно дистанционно убедиться в выполнении требований по оценке соответствия в условиях текущей нормативки? Если никак, то надо ли ее менять или  временно отложить ее применение?
  9. Можно ли проводить оценку уровня доверия и вообще сертификационные испытания по требованиям ФСТЭК из дома? Как, например, читать дспшные требования к уровням доверия, если ты находишься на удаленной работе? Это вообще возможно (думаю, что нет)?
  10. Как утверждать/заверять решения совещаний, проводимых дистанционно с помощью различных сервисов телеконференций? Как организовывать работы всяких комиссий, упоминаемых в нормативных документов регуляторов, например, комиссии по категорированию объектов КИИ? А если смотреть шире, то как вообще дистанционно выстраивать процессы, завязанные на бумажный документооборот (всякие согласования, утверждения, журналы и т.п.)? Причем это вопрос не только к тем, кто выполняет требования регуляторов, но и к тем, кто их проверяет.
  11. Рекомендации по применению УКЭП при дистанционной работе.
  12. Надо ли обновлять контакты лиц, отвечающих за ИБ или за обработку ПДн, которые собирали регуляторы в рамках выполнения своих обязанностей?
Многие из описанных вопросов в принципе имеют решение, которое просто сейчас нереализуемо из-за ограничений действующей нормативной базы или отсутствия позиции регуляторов по данному вопросу. Как мне кажется, сейчас отличное время, чтобы задуматься о том, какие изменения стоит внести в действующие нормативные правовые акты, чтобы следующие пандемии (а было бы неразумно думать, что на коронавирусе все и закончится) не застали нас всех в расплох.

ЗЫ. Хорошо хоть категорирование объектов КИИ все уже закончили... ну или должны были закончить еще в прошлом году :-)

ЗЗЫ. А еще жаль, что регуляторы не практикуют теле- или видеоконференции для общения своих рабочих и экспертных групп. Это полезно не только в части снижения времени стояния в пробках (какие сейчас пробки?), но и с точки зрения защиты участников от возможного заражения. 

10.03.2020

Криптографический квиз и другие интеллектуальные игры на РусКрипто

Ровно через неделю начинается РусКрипто, которая входит в мой топ-лист российских мероприятий по ИБ. И дело тут даже не в программе, а скорее в атмосфере и месте проведения, которые собирают многих специалистов по ИБ, имеющих отношение к теме криптографии, идентификации, аутентификации, производных технологий на их основе (например, блокчейн), и т.п

В этом году я буду выступать в секции "Секреты, ключи, сертификаты и идентификационная информация в современных ИТ-инфраструктурах" под руководством несравненного Алексея Качалина. Буду рассказывать о том, как сегодня, когда идентифицировать и аутентифицировать надо не только пользователей, но и устройства, которые подключаются к внутренним и внешним ресурсам изнутри корпоративной сети или снаружи ее, когда проверка подлинности проходит не только на уровне ОС или сетевого устройства, но и на уровне приложений, собственных или чужих, внутренних или облачных, мы должны по-другому посмотреть на то, как должна быть реализована и внедрена система управления идентификационной информацией и предоставления доступа. Попробую рассказать о том, как эволюционировали системы идентификации и аутентификации и какие решения нового поколения сейчас доступны заказчикам? Это будет 18-го марта.

А 19-го марта, вечером, я буду вести криптографический квиз "Игра в имитацию", который по формату будет отличаться от тех интеллектуальных игр, которые я вел в прошлые годы ("Своя игра", "Брейн-ринг", "Где логика?" и др.). В этот раз совершенно не важно, кто первый нажмет кнопку или поднимет флажок. Поэтому проявить свои знания в области криптографии сможет каждый. Но проверять буду не только теорию и исторические факты, но и знания в области музыки и литературы, кино и мультипликации. Надеюсь, что завершить насыщенную деловую программу участием в интеллектуальной игре будет познавательно.


Кроме игры, также подготовил несколько кроссвордов на каждый день, ответив на вопросы которого, все участники смогут получить призы от организаторов РусКрипто. И кроссворды (разных типов) тоже будут на тему криптографии. Дерзайте!

06.03.2020

17 способов проникновения во внутреннюю сеть компании (обновленная презентация)

Во Владивостоке на неделе проходил Cisco Security Day, где я выступал с несколькими докладами. Один из них, рассматривающий несколько крупных инцидентов (Equifax, MAERSK, British Airways, DNSpionage, Olympic Destroyer и т.п.), я и выкладываю. В нем я попробовал подсветить ряд вопросов, связанных с тем, почему крупные организации, тратящие миллионы на свою защиту, не смогли обнаружить и среагировать на эти и схожие инциденты.



05.03.2020

Как ДИБ и ФинЦЕРТ могли бы улучшить кибербезопасность финансовых организаций?

Одним из часто звучащих вопросов от руководства, которое мало что смыслит в ИБ, но хочет держать руку на пульсе, среди прочих, является: "Как мы соотносимся с конкурентами?" За этим, казалось бы простым и сложным одновременно, вопросом скрывается вполне понятные управленческие решения. Мы хуже других - значит надо "наказать" виновных и инвестировать в улучшения. Мы лучше других - надо наградить "непричастных" и хвалиться этим.
Но если отбросить в сторону болтовню, то знание своего уровня безопасности по сравнению с другими, позволяет безопаснику фокусироваться на тех процессах и проектах, которые позволят улучшить свою ИБ как в целом, так и в отдельных направлениях.

Чтобы узнать свой уровень можно обратиться к "большой четверке" и они в рамках Security Benchmarking смогут оценить вас, как по отношению к "коллегам" в вашей отрасли, так и по отношению с компаниями из других сфер деятельности. Схожую задачу могут решить и просто крупные международные аудиторы, которые за время своей работы накопили статистику и могут оценивать зрелость своих клиентов и сравнивать ее со "средней температурой по больнице" (мы, например, такое делаем при аудите SOCов, сравнивая их между собой).

А теперь вернемся к заголовку заметки. Как эту задачу мог бы помочь решить Банк России для своих поднадзорных организаций? А все просто. В ЦБ стекается на протяжении уже нескольких лет 202-я форма отчетности (а до этого отчетность по СТО БР, а сейчас еще и отчетность по ГОСТ 57580.2), которая содержит всю нужную информацию. Раньше ГУБЗИ уже публиковало сводную статистику по числу кредитных организаций, достигших того или иного уровня соответствия по 202-й форме. Но в последнее время уже ДИБ перестал это делать, уделяя внимание только данным по мошенническим операциям (свежий отчет) и атакам.

А ведь, что может быть проще, раз в год, публиковать сводную радарную диаграмму по средним уровням соответствия требованиям того же ГОСТа. Можно пойти еще дальше и делать выборку по разным типам финансовых организаций - банки с базовой лицензией, крупняк, операторы платежных систем, разные типы НФО и т.п.     


Никакой тайны в этом случае не раскрывается, репутация финансовых организаций не страдает, а у последних появляется ценнейший источник информации, на который можно ориентироваться в своей деятельности. И на вопрос руководства: "А как мы соотносимся с конкурентами?" всегда можно быстро подготовить один слайдик с радарной диаграммой и правильно его преподнести.

И ЦБ - единственный из всех регулятор, кто способен это сделать. У ФСТЭК нет этих данных, хотя если аккумулировать результаты аттестаций, то может получиться тоже неплохая аналитика. ФСБ/НКЦКИ все по привычки засекречивает и делится только данными о десятках миллионов атак, отраженных на сайт Президента России. И только ЦБ в лице ДИБ не только имеет все необходимые данные, но и может их публиковать, так как уже делал это раньше и делает сейчас по смежным направлениям своей деятельности. Думаю, вот за это ДИБу бы реально сказали "спасибо". А то попытка вынести тему ИБ на уровень Правления, предпринятая в проекте положения по системе управления операционными рисками в принципе неплоха, но очень уж сложна для восприятия и реализации. Я уже дважды прочитал именно эту редакцию проекта, но пока в голове не уложил всю схему того, что хочет сделать ЦБ и как это соотнести с уже имеющимися мероприятиями по ИБ, требуемыми по другим нормативным актам регулятора.

04.03.2020

Еще одна настольная игра по ИБ - Black Hat

Прикупил я тут на Amazon себе в коллекцию очередную игру по ИБ, которая скромно называется Black Hat.


В отличие от описанных позавчера карточных игр, Black Hat идеологически больше поход на KIPS, в которой карточки тоже есть, но они скорее дополняют игровое поле, чем являются основным инструментом игры.


В игру может играть от 2 до 6 игроков, которые могут использовать совершенно разные тактики и стратегии для достижения победы, которую не обязательно получает тот, кто заканчивает игру первым.


Карты разного значения:


Различные переходы на игровом поле:


Смена части поля для того, чтобы помешать противнику:


"Туз в рукаве", который может попасть при сдаче и который может мгновенно изменить ход игры: 


Цель - показать возможности и трюки, которые есть у "плохих парней", способных нанести ущерб вашей компании. А игра помогает вам в игровой форме погрузиться в методы, которые могут быть использованы против вас.


В целом, мне игра понравилась. И она могла бы легко занять свое место на различных мероприятиях или тим-билдингах безопасников. Особенно сейчас, когда лишний раз на улицу не выйдешь, страшась коронавируса, на зарубежное мероприятие особо не съездишь... Что еще делать долгими вечерами в перерывах между обсуждением поправок к Конституции и улучшением демографии в стране?.. Правильно! Играть!!!


03.03.2020

В аутсорсинговых SOC не бывает квалифицированных кадров!

"В нашем SOC работает высококвалифицированный персонал...". Примерно такие фразы можно встретить в рекламе чуть ли не каждого российского SOCа, предлагающего свои услуги заказчикам, задумывающимся о том, как выполнять требования законодательства по КИИ или нормативных актов Банка России, требующих незамедлительного оповещения регулятора об инцидентах. И каждый раз, когда я вижу эту победную реляцию о высококвалифицированных аналитиках, я порываюсь задать несколько вопросов такому SOC. Но так как меня могут побить камнями, а презентацию о том, что аналитики L1 не нужны мне до сих пор вспоминают, я решил задаться риторическими вопросами на страницах своего блога.

2-3 марта в Луисвилле проходит Blue Team Summit, на котором, в выступлении Стеф Рэнд прозвучала очень интересная цифра - среднее время, которое затрачивается на подготовку аналитика SOC, составляет 12 (!) месяцев. При этом у меня есть непубличная статистика европейских и американских SOCов, которая говорит, что средняя ротация кадров в SOC составляет около 90% в год, то есть за 12 месяцев сменяется почти весь состав аналитиков.


То есть мы уже видим некоторую нестыковку между заявлениями некоторых коммерческих SOCов и реальностью. А если посмотреть с другой точки зрения, с точки зрения бизнеса? Аналитики - это самое узкое место любого аутсорсингового SOC. И чтобы бизнес такого SOC мог расти по мере появления новых заказчиков, это узкое место должно иметь возможность почти мгновенного расширения. Ваш клиент, придя к вам за мониторингом ИБ, не может ждать, пока вы обучите за 12 месяцев нового аналитика (или даже нескольких аналитиков). И на рынке вы его не купите, так как аналитиков L2-L3 уже всех давно схантили, а L1 хантить бессмысленно (он запросит денег больше, чем стоит). Получается, что узкое место надо забивать молодняком, который готов работать за еду и который, увы, не будет блистать высокой квалификацией, но который сможет подхватывать задачи и помогать расти бизнесу.

В такой ситуации как никогда важной становится задача разработки эффективных playbook и автоматизации работы с ними и с другими задачами SOC. Тогда низкую квалификацию аналитиков SOC можно компенсировать грамотной автоматизацией и прописанными процессами, обеспечивающими движение от А до Я по наиболее короткому маршруту, недопускающим отклонений и траты драгоценного времени.

Кстати, о рутинных процессах в SOC. Профессионал не будет работать тупо методично выполнять одну и ту же работу согласно playbook. Ему очень быстро это наскучит и он либо вообще не возьмется за эту работу, либо очень быстро захочет перемен. Поэтому удел профи в SOC - это творческая работа типа threat hunting или forensics, но никак не L1-L2, коих и нужно большинство в аутсорсинговом SOCе и которые и закрывают большую часть кейсов. То есть мы опять возвращаемся к мысли, что типовые задачи SOC закрываются не профессионалами, а низкоквалифицированной рабочей силой. L1, там где работает основная масса аналитиков, это по сути конвейер, на котором каждый шаг имеет четко прогнозируемое время прохождения и предсказуемое качество. А это первые кандидаты на автоматизацию.

Вот методолог SOC - это, да, профессионал, но он нужен один, ну два, на SOC. Специалист по контролю качества SOC тоже профессионал, но и он нужен не в массовом количестве. Реверсер вредоносного кода может вообще в SOCе не дождаться, когда ему прилетит малварь для анализа. А если прилетит, то это столь редкое событие, что уж точно не требует наличия десятков специалистов. Архитектор SOC тоже птица редкая, но потому и высокооплачиваемая, Настройщиков пианино SOC тоже много не нужно. Вся массовка - это как аналитики первой и второй линии и именно их должно быть много и именно они будут низкоквалифицированной рабочей силой.

Если вам утверждают обратное и по-прежнему твердят о высокой квалификации аналитиков SOC, то стоит задуматься, понимает ли выбранный вами коммерческий SOC хоть что-то в коммерции? Какой нормальный руководитель будет нанимать высокооплачиваемых специалистов на рутинную работу, которую и робот при правильной автоматизации может выполнить? А где найти столько высокооплачиваемых профессионалов? Их в мире-то не хватает, не говоря уже о России с ее уровнем недоИБразования.

Я как-то в одной презентации по SOCам запостил скриншот одного коммерческого SOC, который как раз искал к себе аналитиков "без опыта работы", и потом на меня за эту презентацию наехали, мол, я подрываю репутацию и бизнес этого SOCа. А ведь в этом ничего такого нет - это нормальное бизнес-решение для растущего SOCа - других вариантов просто нет. Либо у вас все высококвалифицированные и дорогие и поэтому вы топчитесь на месте и уж точно не растете (а то и банкротитесь, не выдерживая конкуренции с теми, кто лучше вас понимает в бизнесе). Либо вы растете, но за счет найма "пушечного мяса", которое нахватается у вас знаний и опыта и или пойдет на повышение к вам же (а вы будете на его место искать других "студентов"), или на большую зарплату к другому работодателю. И так по кругу...

02.03.2020

4 карточных игры по ИБ

Андрей на днях написал про карточную игру по ИБ, которую выпустили горячие финские парни из NIXU (и чуть раньше про еще одну) Я решил накидать еще несколько примеров карточных игр по ИБ, которые можно внедрить как в процесс повышения осведомленности или обучения по ИБ в своей компании, или использовать их на мероприятиях по ИБ.

CERT компании Michelin в 2017-м году разработал свою версию карточной игры (на английском и французском языках), исходники которой можно скачать с Github и использовать по своему усмотрению. 42 карты с отличным дизайном поделены на 2 категории - защитники (зеленые) и нападающие (красные). При этом в каждой из категорий есть акторы (фиг знает, как это перевести нормально на русский язык, - термин уже активно используется дипломатами), то есть человеческие персонажи (государственные хакеры, аналитик ИБ, архитектор ИБ, Grey Hat, менеджер проектов, киберпреступники и т.п.), и инструменты (системы обнаружения атак, защита Wi-Fi, Zero Day, DoS, флешка на парковке и т.п.). Каждый персонаж имеет три характеристики - уровень знаний, уровень эффективности и уровень обнаружения. Инструменты могут модифицировать характеристики персонажей в сторону их усиления или ослабления. Сама игра достаточно проста - сдаются карты и затем идет подсчет значений имеющихся на руках характеристик. Интересная задумка и прекрасный дизайн, но не до конца проработанная логика игры, в которой слишком много уделяется удаче.

Еще одну карточную игры по ИБ разработали в японской ассоциации сетевой безопасности, взяв за основу игру "Оборотень" (Werewolf), которая в свою очередь базируется на классической "Мафии", придуманную Дмитрием Давыдовым в 1986-м году.

В SEC WEREWOLF идея отличается от предыдущей игры - коррумпированные работники стащили конфиденциальную информацию с помощью нанятых хакеров. Руководство компании узнает об этом, но коррумпированные сотрудники пытаются повесить всю вину для невиновных. CSIRT приглашается для проведения расследования. Цель игры - познакомить широкий круг неспециалистов по ИБ с ролью и деятельностью группы реагирования на инциденты.


Правила игры, описание персонажей доступно на сайте JNSA, но сами карты скачать нельзя - только купить в Интернет-магазине. Однако это не так уж и страшно - в правилах игры дано описание всех карт и их можно изготовить самостоятельно.


Гораздо более сложная игра, и более приближенная к реалиям ИБ, называется d0x3d!, доступная в исходниках на Github. Различные типы нарушителей и атак:
Различные объекты для нападения:

Различные цели (финансовая информация, интеллектуальная собственность, персданные и т.п.):

Различные действия:

По сравнению с предыдущими двумя играми это на порядок сложнее, но от этого и интереснее. Занимает она около 1 часа и играть в нее можно даже одному игроку (до 4-х игроков).


Последняя в этом обзоре игра называется Backdoors & Breaches. Она разработана для проведения штабных киберучений, темой которых является реагирование на инциденты и изучение TTP злоумышленников. 52 уникальных карты, доступные для скачивания шаблоны кар, достаточно простые правила, которые во-многом повторяют то, что я провожу в рамках своих киберучений на тех или иных мероприятий. У их карточного варианта есть как свои плюсы, так и минусы. Плюс связан с формой представления учений - в карты можно играть даже в купе поезда. Минус - вы ограничены теми TTP, которые записаны на картах. В остальном же очень интересный вариант карточной игры по ИБ.  


На прошедшей на прошлой неделе RSA Conference геймификация и интерактив заняли свое достойное место и немало сессий проходило не в скучном лекционном формате, а именно в игровой форме. Так что это стоит пробовать.

28.02.2020

Почему спиваются CISO?

На проходящей на этой неделе RSA Conference в первый день проводили интересный круглый стол на тему "Цифровая трансформация, обман и детокс: опрос лидеров ИБ", на котором поднималась очень интересная и очень дискуссионная тема, связанная с влиянием работы CISO на его жизнь. В прошлый года на RSA Conference был отдельный трек, посвященный роли CISO, развитию его карьеры, лайфхакам коллеги и т.п. В этом году этот трек решили начать с наболевшего и опросили известных и не очень коллег о том, как они дошли  до жизни такой. Позволю себе пересказать тезисно некоторые из прозвучавших тем.


На вопрос "Почему вы выбрали ИБ?" ответы разнились от "Я смотрел Mr.Robot"/"CSI Cyber" и "Я люблю решать головоломки" до "Был пентестером" и "Хотел заработать денег". Вот интересно, какие варианты ответов были у наших CISO? Зато ответы на второй вопрос "Как вы думаете, почему вас наняли?" были предсказуемы - регуляторика, произошедший инцидент, рекомендации совета директоров и часть стратегии развития. Как мне кажется, ровно те же самые основные причины присутствуют и на нашем рынке.

А вот дальше больше. Была приведена интересная статистика Forbes, согласно которой один из шести CISO имеет проблемы с алкоголем или спасается лекарственными препаратами, так как:

  • они должны быть доступны в режиме 24/7
  • 89% никогда не имели даже двухнедельного отпуска. 
Как следствие, 55% CISO удерживаются на работе менее 3 лет, а 30% - менее 2 лет. В то время как средний CFO сидит на своем месте 5 лет, а средний CEO - 8 лет.

Так как в отличие от ИТ-проект, ИБ не имеет начала и конца, то недостижимая ежегодная цель CISO "ни одного взлома, ни одной утечки" приводит к постоянному ночному кошмару и 91% CISO постоянно испытывают средний или высокий уровень стресса. 60% руководителей ИБ не могут дистанцироваться от работы и все время думают о ней; даже на отдыхе.

Отсюда и поднятая тема (которая пока не имеет никакой статистики) о последствиях работы CISO - рост самоубийств (в России и СНГ о таких случаях не слышал, но у американцев и число безопасников побольше, чем у нас на порядок будет), рост разводов (такое и у нас есть, хотя зависит ли это от работы человека?), а также рост пагубных привычек у CISO, среди которых на первое место выходит алкоголь и наркотики. У соотечественников, предположу, пока наркотики не в ходу (если не брать совсем уж молодежь), а вот алкоголь часто сопутствует работе CISO и хороший алкоголь - это привычный подарок на Новый год или 23-е февраля (а кто-то и на 30-е ноября, международный день защиты информации дарит).

После обсуждения проблем, на RSA Conference обсудили пути выхода из сложившейся ситуации. Начали с модного на Западе слова "детокс" и классического совета для всех тех, кто получил зависимость от гаджетов, - отключайтесь на время от технологий и научитесь проводить время без них. На Западе даже появляются отели, которые специально поднимают цены за то, что на их территории нет гаджетов, нет Интернета, глушится мобильная связь и человек остается один на один с природой. Такое есть и у нас, но не думаю, что кто-то готов за это платить - достаточно просто выехать за 100 км от Москвы и получить такой цифровой детокс, что единственным спасением станет алкоголь :-)

Второй совет тоже мало пока применим в России - посещение психологов и изучение всяческих психологических лайфхаков у нас не в чести. Они рассматриваются как шарлатаны, худшие, чем гомеопаты или продавцы страха от ИБ. Но на Западе изучение рекомендаций из серии "Как не сгореть на работе" - это из серии "must have" для каждого руководителя.

Горячие телефонные линии, онлайн-площадки (типа suicidepreventionlifeline.org), онлайн-психотерапевты (типа www.opencounseling.com или www.brendanhburns.com)... А также рекомендации больше спать, не есть сахар, меньше прокрастинировать, искать счастье вокруг себя, становиться приверженцем цифрового минимализма и заниматься ИБ-волонтерством. Ну просто ИБ-ЗОЖ какой-то :-)

В конце же дискуссии прозвучали следующие советы, которым должен следовать каждый уважающий себя CISO, столкнувшийся со стрессом в работе (а не столкнувшиеся должны помогать своим подчиненным):

  1. На следующей неделе
    • установить не менее одной цели для обычного ЗОЖ
  2. В течение трех месяцев
    • присоединиться к одной профессиональной организации и регулярно посещать ее встречи, а также стать ее волонтером (а вы думаете, зачем я создавал НАИБАЛ? :-)
    • установить не менее одной цели цифрового детокса
    • изменить хотя бы одну плохую привычку
  3. В течение полугода
    • выступить хотя бы на одной конференции
    • прочитать не менее одной книжки о лидерстве и постановке целей
    • провести самооценку руководства вашей компании в части того, как оно поддерживает психологическое и физическое здоровье своих сотрудников!
Тут грядут московские "Код ИБ. Профи" и CISO Forum. Может быть поднять на них эту тему?.. Хотя о цифровом детоксе и ИБ ЗОЖ лучше говорить точно не в Москве, а где-нибудь на Рускрипто или сочинском "Код ИБ. Профи", которые пройдут в гораздо лучше приспособленных для отдыха местах.

Всем ЗОЖ!

27.02.2020

Дифференциация требований по ИБ на примере новой системы сертификации МинОбороны

Наблюдая за тем, что делает ФСТЭК (ФСБ тоже), а точнее как, замечаешь одну вещь. Регулятор воспринимает только два цвета - белое или черное. Вспоминается дискуссия во время принятия последней редакции Постановления Правительства о лицензировании отдельных видов деятельности и перечня требования к лицензиатам на мониторинг ИБ. Кто помнит, там есть такие пункты, которые обязывают владельца коммерческого SOC иметь ряд сертифицированных средств защиты, например, SIEM, а также аттестовать SOC по требованиям ГИС1. Первое требование обходится всеми российскими SOCами, которые для лицензии покупают один SIEM, а в работе использует другой :-) И проверять это регулятор не хочет, хотя нередко упоминает, что они используют стратегию "тайного покупателя". Второе же требование по сути не только запрещает виртуальные и мобильные SOCи, но и закрывает доступ на российский рынок вход SOCам иностранным.

Когда обсуждался пункт про аттестацию на ГИС1 доводы ФСТЭК звучали следующим образом: вдруг к SOCу придет госорган, который захочет купить услугу мониторинга ИБ для своих ГИС 1-го класса? SOC должен иметь тот же уровень аттестации. А на закономерный вопрос, что SOCов, к которым могут прийти госорганы, у нас в стране можно пересчитать по пальцам одной руки, и поэтому устанавливать в качестве обязательного требования аттестацию ГИС1 не совсем разумно - это отсечет многие региональные SOCи, которые будут ориентироваться на малый бизнес, который крупным федеральным SOCам пока мало интересен. Но увы, деля все на черное и белое, на все или ничего, регулятор не захотел пересматривать свои взгляды. И так во всем - сертифицированное или несертифицированное, отечественное или зарубежное, под контролем или не под контролем, аттестованная или неаттестованная, лицензиат или нелицензиат...

А возможна ли ситуация с 50 оттенками серого между черным и белым? Да, вполне. Например, так поступило МинОбороны США, которое выпустило на днях систему сертификации компаний с точки зрения кибербезопасности (Cybersecurity Maturity Model Certification), которую должны соблюдать все компании, которые работают с американским военным ведомством, а их число насчитывает около 300 тысяч.

Я не буду подробно рассказывать о самой системе (желающие могут почитать про это сами), а коснусь только ключевых тезисов, показывающих ключевую идею новой системы:

  • Система разработана не для всех организаций, а только для тех, кто работает с МинОбороны США. Как не хватает нам в России такой же дифференциации. Вот есть требования, они жесткие, но они только для тех, кто имеет доступ к ВПК/ОПК. А вот есть требования для тех, кто работает с госорганами. Они различаются по уровню защищаемой информации. А для тех, кто работает с гражданским сектором требования устанавливаются на основе лучших практик или гражданского законодательства. Но нет... у нас всех под одну гребенку :-(
  • Система охватывает не только прямых поставщиков, но и всю цепочку поставщиков. Причем речь идет не о требованиях к продуктам или компонентам, а о требованиях именно к самим компаниям, производящим или поставляющим что-то в интересах военного ведомства. Это связано с тем, что по мнению разработчиков системы, злоумышленники часто действуют не напрямую на военные организации или их прямых подрядчиков, а через поставщиков вплоть до 6-8 уровней.
  • Новая система базируется на уже известных требованиях NIST SP800-53, ISO 27001, ISO 27032, NIST SP800-171.
  • Малый бизнес, работающий в интересах МинОбороны, очень важен для него, но не всегда в состоянии выполнить те же самые требования, что и крупные игроки типа Lockheed Martin или Raytheon. Поэтому требования системы CMMC являются дифференцированными.
  • На сертификацию выделяется 3 года. Невыполнение требований приведет не к штрафу, а к отказу от заключения контрактов. Такое "наказание" выглядит вполне действенным, так как серьезно бьет по карману собственников, не давая им зарабатывать; в отличие от штрафов, которые обычно фиксированные и их легко платить.
  • Сертификацию проводят независимые аккредитованные организации, правила выбора и аккредитации которых еще предстоит разработать.
  • Все требования по безопасности разбиваются на 5 уровней - от базовой кибергигены до продвинутого. Правила соотнесения определенного военного контракта и нужного уровня соответствия пока неясны - они находятся в разработке.
  • Взлом компании не означает потерю контракта или потерю сертификата, но может потребовать повторной сертификации


Система CMMC, которую сейчас внедряет американское МинОбороны, находится только в самом начале своего пути и пока еще не отвечает на все вопросы (например, должны ли ей соответствовать поставщики обычного коммерческого софта, продаваемого на открытом рынке; а поставщики в рамках микрозакупок типа канцелярки или поставщики бухгалтерских услуг?). Но сама идея оценки состояния ИБ поставщиков, а также дифференциация требований по ИБ в зависимости от типа контракта и уровня защищаемой информации, является достаточно здравой и позволяющей учесть различные типы компаний, которые работают с министерством, а не грести всех под одну гребенку.

26.02.2020

Кибербезопасность прорывных технологий (презентация)

Ну и чтобы завершить с темой моих выступления на Уральском форуме, которая была начата предыдущими двумя заметками, выкладываю свою презентацию, посвященную аспектам кибербезопасности, которые надо учитывать при внедрении прорывных технологий - больших данных, блокчейна, машинного обучения, квантовых вычислений, биометрии, 5G и т.п.



Бизнес-метрики ИБ для руководства финансовой организации (презентация)

На Уральском форуме мне довелось не только собрать воедино все регулятивные новости, но и выступить еще дважды с темами, которые были одобрены программным комитетом. Одна из них была посвящена метрикам и подходам, которые руководитель ИБ финансовой организации мог бы использовать при общении с Правлением или исполнительным органом организации.

Особенно приятно было услышать отзыв об этой презентации, в котором сквозило удивление, что я понимаю банковский бизнес лучше чем банкиры :-) Это, конечно, преувеличение, но я действительно немного понимаю именно в бизнес-ориентированной составляющей ИБ для разных направлений экономики. Но и в кредитной организации мне довелось работать на заре становления меня как безопасника - почти 25 лет назад я начинал свою карьеру именно в банке.


25.02.2020

Уральский форум за 15 минут (презентация и видео)

На прошлой неделе закончился Уральский форум по информационной безопасности финансовых учреждений. Это мероприятие, уже ставшее традиционным место сбора банковских безопасников, в этом году особенно удалось. Тут наложилось много обстоятельств. И работа организаторов, которая была на высоте, и снежная зима, которой в Москве так и не было, и культурная программа, и новые знакомства и старые друзья... И очень интересной и насыщенной на мой взгляд оказалась программа. Тут и активно представленный Банк России (я не помню, чтобы на предыдущих форумах было столько докладов регулятора), и интересные доклады от участников рынка.

По традиции последние годы я подвожу итоги конференции в своей презентации "Уральский форум за 15 минут". Не стал исключением и этот год. И хотя я уже давно не вмещаюсь в 15 минут, я попробовал выделить ключевые темы, которые были представлены именно регулятором. Вот, что у меня получилось:



Тем же, кто хочет не только посмотреть, но и послушать, могу порекомендовать видео, которые организаторы очень быстро выложили на YouTube, и в котором моя презентация сопровождается моим же голосом:



Другие видеосюжеты с Уральского форума вы можете найти на официальном канале BIS TV (там будут выкладываться выступления по мере их обработки), а на сайте форума в самое ближайшее время (может быть уже сейчас, когда вы читаете эти строки) вы сможете найти все презентации.

14.02.2020

Сценарий, по которому ФСТЭК прекратит свое существования

Пятница... День подготовки к выходным, день шуток, анекдотов и фантазий. Вот об одной такой фантазии я и хочу поведать. Пришла она мне в голову после общения с коллегами из разных структур, с которыми мы пересеклись на конференции ФСТЭК. Фантазия носит конспирологический характер, но для пятницы вполне пойдет.


Итак, что мы сейчас видим. ФСТЭК, вопреки своим предыдущим шагам (а попытка включить требование по применению чисто российских средств защиты и продукции ИТ предпринималась еще при подготовке первой редакции 235-го и 239-го приказов, но ее тогда отбили), вносит на общественное обсуждение проект приказа, который воообще не касается сферы деятельности регулятора (что тоже еще предстоит осмыслить), то есть технической защиты конфиденциальной информации, а целиком касается вопросов импортозапрещения (именно запрещения, так как все пункты носят запрещающий характер).

При этом своими требованиями ФСТЭК наступает на мозоль многим и это боль будет носить длительный характер, так требование по запрету контроля со стороны иностранных лиц касается не только момента заключения договора, а всего цикла работы ИТ-решения на значимом объекте КИИ. То есть нужно отслеживать контрагента не только на стадии закупки, но и на стадии эксплуатации, чтобы не получилось, что компания, поставившая продукт и поддерживающая его, вдруг не сменила "гражданство" или не получила в акционеры/владельцы/руководители иностранца.

СМИ сразу же разносят эту весть, ругая на чем свет регулятора, который сделал это не корысти ради, а токмо во исполнение воли пославшей мя жены по распоряжению того Правительства, которое уже отправлено в отставку. На него валить, конечно, можно, но бессмысленно. Иных уж нет, а те далече. Все посланные "лучи добра" собирает все равно ФСТЭК. Дальше больше. Регулятор принимает приказ и начинается достаточно серьезные шатания и брожения не только у иностранных инвесторов, которые хотели бы вложить в Россию деньги, но не могут "из-за ФСТЭК", но и у российских крупных компаний, в советы директоров которых входят иностранцы, или которые возглавляют иностранцы, или у которых есть иностранные акционеры. Люди из "близкого круга" докладывают гаранту, что во всем виновата ФСТЭК, которая попадает сразу меж двух огней (и патриоты бьют, и супостаты). Письма от Ассоциации европейского бизнеса, германской торгово-промышленной палаты и кучи других известных и не очень ассоциаций пишут письма во все инстанции, что несмотря на заявления Президента страны о важности иностранных инвестиций, есть еще такие элементы, которые не прислушиваются к мнению главы страны и идут ему наперекор. Все показывают пальцами опять на ФСТЭК.

Дальше государственная машина начинает работать по привычной схеме. Президент не знал, что творится, и надо кого-то наказать. Кого? Того, кто это все придумал, то есть ФСТЭК (отставленное Правительство уже не накажешь). Как наказать? А вот тут есть несколько вариантов. Один из них - расформировать ФСТЭК, экспортный контроль отдать в таможню, а часть по ИБ отдать в ФСБ. А то и вернуться к идее создания единого регулятора по ИБ, которая витала и витает в кулуарах (последний раз я про нее в декабре слышал). И ведь сейчас, на фоне внесения изменений в Конституцию, перетрахивания федеральных министерств и служб, смены их руководителей (говорят, что даже Жаров из РКН уходит) и других новаций, убрать регулятора, название которого многие либо не знают, либо произносят с ошибкой (ВТЕК или ФТЕК вместо ФСТЭК), не так уж и сложно.

Как вам такая конспирологическая версия в пятницу?

13.02.2020

Как ФСТЭК запрещал пользоваться услугами Вымпелкома, Яндекса и множества других российских компаний

Вчера, я вкратце пробежался по последствиям, которые повлечет за собой принятие поправок в 239-й приказ. Сегодня я хотел бы коснуться одной из формулировок этих поправок чуть более подробно. Но для этого, я бы хотел, чтобы вы представили себе ситуацию.

Обычный русский город Осташков. Население по итогам 2019-го года составляет 15666 человек. Единственное медицинское учреждение на весь Осташковский район - Осташковская центральная районная больница. Стационар круглосуточного пребывания на 158 коек, дневного пребывания - на 40 коек. Есть отделение хирургии, инфекционное, травма, гинекология, неврология, родовое, реанимация. 63 врача и 155 средних медицинских работника. Муниципальный бюджет на здравоохранение составляет 29 миллионов рублей; еще почти 10 миллионов составляют внебюджетные средства. Минимум треть средств уходит на капитальный ремонт отделений больницы.Средняя зарплата врача - 30 тысяч рублей. Средняя зарплата среднего медработника - 15 тысяч рублей. Нехватка кадров. Безопасника нет в принципе, а айтишник - один единственный с зарплатой в 17-20 тысяч рублей.


Ситуация достаточно типична для большинства районных больниц страны, которые, как мы знаем все относятся к субъектам КИИ. Есть ли значимые объекты у такого субъекта? Ну если почитать показатели критериев категорирования, то да, есть, так как возможно нанесение ущерба жизни и здоровью людям путем воздействия на объекты КИИ. Таким образом, у Осташковской ЦРБ есть значимые объекты КИИ, на которые распространяет свое действие 239-й приказ ФСТЭК, в том числе и его новая редакция, которую примут скорее всего без каких-либо поправок, так как это не инициатива ФСТЭК, а распоряжение Правительства, которое потребовало от ФСТЭК до 1-го марта 2020 г. обеспечить усиление требований по безопасности информации к оборудованию, используемому на объектах КИИ и в государственных информационных системах и увязать их с мерами по импортозамещению, реализуемыми Минпромторгом.

Теперь смотрим на поправки в 239-й приказ. Два последних пункта поправок требуют, чтобы в значимом объекте не было ни поддержки, ни удаленного прямого доступа сотрудников зарубежных организаций, а также организаций, находящихся под прямым или косвенным контролем иностранных физических и (или) юридических лиц". И это, скажу я вам, полнейшая жопа для главрача районной больницы, который теперь обязан проводить проверки всех своих контрагентов на поставку или обслуживание эксплуатируемой вычислительной техники на предмет нахождения их под прямым или косвенным контролем иностранных физических и (или) юридических лиц.

Это даже хуже, чем требовать использование отечественного софта или радиоэлектронной продукции, находящейся в соответствующих реестрах Минцифры или Минпромторга. В этих случаях соответствующие комиссии уже сделали все за вас и приняли решение о включении прошедших проверки железок и софта в реестры. В случае с же поправками ФСТЭК никакой отсылки к реестрам нет (и переложить все на экспертные комиссии не удастся) - руководитель организации несет полную ответственность за проверку контрагентов.

А как это сделать? Вставить пункт в тендерные требования, а потом и договор? Вставить можно, но их же и нарушить можно (за доступ к бюджетным деньгам-то). Контролировать все равно надо. А можно ведь и специально подставить неугодного руководителя - подставив на конкурс фирму, у которой руководитель имеет двойное гражданство (вот и контроль со стороны иностранного физического лица), или которая сама зарегистрирована в оффшоре. А потом пожаловаться в прокуратуру и все - неугодный руководитель идет валить лес, а на его место ставится податливый и понятливый человек.

А как проверить двойное гражданство? А вид на жительство? А наличие в учредителях оффшора? А что делать, если уже сейчас больница закупает антивирус у компании, которая находится под контролем управляющей компании, зарегистрированной в Великобритании? А если вы заказываете услуги расследования инцидента у компании, которая также зарегистрирована в Лондоне? А услуга обязательного по требованиям ФСТЭК пентеста от компании, руководитель которой имеет гражданство Израиля? А если в руководстве компании-производителе DLP есть гражданин Беларуси, то как мы считаем Беларусь, как иностранное государство или как часть так и не заработавшего Союзного государства?

Но можно взять и более простые примеры. Компания "Вымпелком" входит в состав группы компаний VEON Ltd. и имеет штаб-квартиру в Амстердаме. Ее акции торгуются на бирже и любой миноритарный акционер имеет определенный контроль над ней (в проекте приказа ФСТЭК не говорится об объеме контроля). Но вернемся к Вымпелкому. Вы не интересовались гражданством его генерального директора, Василия Лацанича? Значит ли это, что теперь субъекты КИИ не могут под страхом уголовного наказания пользоваться услугами связи от одного из крупнейших операторов связи России? Акции МТС тоже торгуются на американской бирже и среди ее акционеров есть иностранцы. А Яндекс? Он вообще зарегистрирован в Нидерландах (100% ООО "Яндекс" принадлежит голландской Yandex N.V.). И таких примеров, которые просто лежат на поверхности, можно назвать немало. А уж ситуаций, когда структура собственности какой-либо компании, занимающейся ИБ или разработкой или поддержкой ИТ, совсем неясна, гораздо больше. И уж точно не задача главврача заниматься такой проверкой.

Что вообще понимается под фразой "под контролем"? А я вам скажу. Это когда:




  • руководитель компании имеет двойное/тройное гражданство (а возможно и вид на жительство в другой стране)
  • среди акционеров компании есть иностранцы, в том числе россияне с двойным гражданством
  • в исполнительном органе или совете директоров компании есть иностранцы, в том числе россияне с двойным гражданством.
Интересно, сколько в нашей стране "отечественных" ИТ/ИБ-компаний, которые удовлетворяют таким требованиям?

А что, если не проверять? А это прямой путь к статье 274.1 и 10 годам лишения свободы (закупка же не у того контрагента может быть признана несоответствующей законодательству и потери бюджета могут составить несколько миллионов рублей, что будет характеризоваться как тяжкий ущерб со всеми вытекающими).

А что же делать главврачу Осташковской центральной районной больницы, а также руководителям всех остальных медицинских учреждений и иных организаций, которым "посчастливилось" стать владельцами значимых объектов КИИ? А ничего. Никаких выводов не будет. Пусть каждый их делает самостоятельно.

ЗЫ. А ведь есть еще дочки иностранных компаний, работающих в России, которые пользуются услугами своих центральных департаментов ИТ или ИБ, в которых работают иностранцы. Это получается, что ФСТЭК еще и такую деятельность поставит скоро вне закона. На очередном международном форуме наш гарант изменяемой сейчас Конституции услышит много интересного об инвестиционном климате в нашей стране с таким законодательством.

12.02.2020

О проекте поправок в 239-й приказ ФСТЭК

Сегодня проходит конференция ФСТЭК, на которой... не будут рассказывать о КИИ. И вообще из 14 докладов, заявленных в программе, представители ФСТЭК читают только 3 из них. А раз так, то позволю себе высказаться о проекте поправок в 239-й приказ ФСТЭК, который на днях был выложен на общественное обсуждение и который уже вызвал большой отклик в СМИ.


Я бы отметил, что этот приказ совсем не про защиту информацию и не про кибербезопасность. Кто-то руками ФСТЭК пытается таким образом в очередной раз попробовать импортозаместить иностранные решения, причем уже не только в ИБ, а вообще в области ИТ. И вот почему:

  • Пункт 9 (абзац 2) проекта приказа запрещает осуществлять прямой удаленный доступ в ПО и программно-аппаратным средствам значимых объектов КИИ работников организаций, находящихся под прямым или косвенным контролем иностранных юридических лиц. Учитывая, что ряд ИТ-продуктов (я даже не говорю про ИБ-решения) достаточно сложны и иногда требуют помощи со стороны работников производителя, это нововведение означает, что его будут либо обходить (слово "прямой" можно трактовать по-разному), либо в случае какой-либо проблемы или сложной ситуации, она так и останется неразрешенной. Кроме того, данный пункт означает запрет на использование на значимых объектах КИИ зарубежных облачных сервисов, неважно где расположенных. А, вспоминая, что у нас в КИИ включаются не только объекты ТЭК или транспорта, но и финансовые организации, образование, медицина, наука и т.п., а они активно используют в своей основной деятельности тот же YouTube или Google, Amazon или Azure, то работа этих сервисов будет парализована. 
  • Пункт 9 (абзац 3) проекта приказа распространяет запрет на расположение значимых объектов КИИ за пределами России не только на объекты 1-й, но и 2-й категории значимости (из трех возможных). Это означает запрет на использование на значимых объектах КИИ 1-й и 2-й категории облачных сервисов, расположенных за рубежом. Вот интересно, многие даже государственные сайты используют SSL-сертификаты, выданные не российскими УЦ, проверка которых осуществляется также зарубежом. Можно ли считать такую проверку (а без нее портал или сайт может и не заработать) расположением объекта КИИ за пределами РФ? А та же SABRE, которой пользуется Аэрофлот? Или ее не рассматривать как объект КИИ (даже несмотря на использование ее на законном основании)? И таких примеров можно вспомнить очень много; особенно если обратиться к истории с законом ФЗ-242 о локализации ПДн россиян.
  • Пункт 10 проекта приказа запрещает техническую поддержку ПО и программно-аппаратным средствам значимых объектов КИИ организациями, находящихся под прямым или косвенным контролем иностранных юридических лиц. Этот пункт самый значимый и он означает полный запрет на поставку любого иностранного оборудования и ПО в любые значимые объекты КИИ, так как техническая поддержка (пусть часто и ограниченная) является частью любой продажи.
  • Пункт 8 проекта приказа в части нового требования 29.2 требует, чтобы средства защиты информации соответствовали 5-му уровню доверия и выше. 5-й уровень доверия означает предоставление исходных кодов для средства защиты, что в соответствие с законодательством ряда стран передача исходных кодов на ИТ-продукцию и средства защиты в определенные страны может нанести ущерб национальной безопасности. Для большинства иностранных компаний это означает фактический запрет на продажу средств защиты информации для значимых объектов КИИ, так как они должны быть либо сертифицированными (что, как показывает опыт последних двух лет, почти невозможно для "иностранцев"), либо прошедшими оценку по 5-му уровню доверия (что также практически невозможно). Длительность сертификации сегодня составляет сегодня не менее года.
  • Пункт 8 проекта приказа в части нового требования 29.3 касается прикладного ПО, обеспечивающего выполнение функций значимого объекта по его назначению (для банков это АБС, для операторов связи системы управления сетями и биллинг, для промышленности и нефтегаза – АСУ ТП, для медицинских организаций – медицинское ПО и т.п.). Для всех иностранных производителей ПО (Siemens, SAP, Oracle, Rockwell, NCR, Microsoft и сотни других) это требования означает предоставление исходных кодов для их анализа на территории России, что затруднительно как с точки зрения корпоративных правил передачи интеллектуальной собственности, так и с точки зрения запрета на передачу исходных кодов по требованиям законодательства ряда стран.
Вот такие поправки, не имеющие ничего общего с защитой информации. Раньше ФСТЭК достаточно четко дистанцировалась от любых попыток втянуть ее во всякие смутные инициативы типа "Цифровой экономики" или импортозамещения. Но видимо теперь регулятор уже не может остаться в стороне и вынужден следовать общей "линии партии". А жаль...