Детали: http://www.aub.kg/ru/news/?news=1034
27.12.07
Первый в СНГ банк, получивший сертификат соответствия ISO 27001
Детали: http://www.aub.kg/ru/news/?news=1034
25.12.07
Первый в России CSO Summit
Организаторы национально известного Russian CIO Summit – маркетинговое агентство "Форт-Росс" - представляют Первый Съезд Директоров по Информационной Безопасности. CSO Summit – мероприятие, ориентированное на руководителей подразделений по информационной безопасности компаний крупного и среднего бизнеса. Мероприятие, которое призвано помочь разобраться в решениях, представленных на рынке и выбрать стратегию по формированию и поддержанию Информационной Безопасности в компании.
Ключевые тематики:
- Тенденции развития информационной безопасности в мире
- Лучшие примеры внедрения информационной безопасности в российских компаниях
- Мобильная безопасность – пути достижения и основные угрозы
- Международный опыт в решении вопроса безопасности
- Инновации в сфере информационной безопасности
Одна из особенностей мероприятия в том, что выступать на ней будут преимущественно руководители подразделений по ИБ. Т.е. рекламных докладов будет минимум, что не может не радовать.
Адрес сайта саммита: www.cso-summit.ru
23.12.07
Какого СМИ по ИБ нам не хватает?
Вот список тем, которые были бы мне интересны:
- разработка политик, стандартов, инструкций, процедур, планов по безопасности и их интеграция в планы BCP, DR и другие
- security compliance и его связь с различными высокоуровневыми требованиями (корпоративное поведение, внутренний контроль, ИТ и т.д.)
- security governance (именно governance, а не management)
- управление рисками
- архитектура информационной безопасности
- разработка целей ИБ, направлений и стратегии развития
- бюджетирование ИБ
- внутренний маркетинг ИБ
- измерение эффективности ИБ, метрики ИБ
Думаю, что такие темы были бы интересны не только мне, но и любому специалисту по безопасности, который "вырос" за пределы только технологического понимания тематики ИБ.
Новый журнал "Риск-менеджмент"
Сайт издания - www.riskm.ru
Безопасность в России и в мире: очередная разница
- нарушением конфиденциальности, есть у 53% компаний
- нарушением безопасности информации, есть у 42% компаний
- сбоем компьютерных сетей, есть у 35% компаний
- и т.д.
У западных предпринимателей эти показатели существенно выше.
Что заставляет компании создавать план восстановления работоспособности?
20.12.07
Безопасность с человеческим лицом
Даже первые отзывы уже пошли. Негативные ;-) Например, "То уродство, что Ваша компания продает за немалые деньги, для профи Ставит жирный крест, на Ваших разглагольствованиях о "конечном пользователе" и его удобствах" (пунктуация автора сохранена).
ЗЫ. Интересно, что меня многие по-прежнему олицетворяют с компанией, в которой я работаю. Но это не так. Я - это я. Неся благую весть про безопасность, я не всегда делаю это от имени своего работодателя. А значит и не надо все мои статьи считать рекламой b пропагандой Cisco ;-)
ЗЗЫ. Гендиректор на одном из предыдущих мест работ даже запретил мне публиковаться под своим именем. Он посчитал, что я известен более, чем сама компания. А поэтому все статьи всех сотрудников должны публиковаться под маркой "По материалам <имя работодателя>".
ЗЗЗЫ. Опубликовав статью "Западный или российский производитель ИБ: кого выбрать?" я по привычке подписал ее своей должностью. Через пару часов гендиректор одного из российских разработчиков написал к нам в компанию письмо. Мол, это что, официальная позиция Cisco?!
15.12.07
О понимании истинной роли безопасности в бизнесе
Но... вакуум в этой области как был, так и остается. Производители и разработчики просто не понимают эту тему ;-( Уж так случилось. Интеграторы занимаются интеграцией продуктов. Консультанты предлагают технический консалтинг по ИБ. Бизнес-консалтинг в области ИБ не предлагает практически никто. Справедливости ради надо заметить, что и в ИТ бизнес-консалтинг пока предлагают немногие.
Учебные центры не учат этой теме, ограничиваясь темой compliance и интеграцией ИБ и ИТ в рамках COBIT и других стандартов. Пресса тоже не готова воспринимать это направление - все статьи, что заказывают сегодня, мусолят одни и те же темы - антивирусы, МСЭ, IPS, управление, стандарты... Итак по кругу.
Все игроки рынка жалуются, что заказчик не готов тратить много денег на безопасность. При этом они сами не в состоянии предложить потребителю решение его проблем. Недавно я прочитал статью, написанную сотрудником одной именитой компании, который озаглавил ее примерно так "Мы сами знаем, что нужно клиенту"... Такое "знание" обычно завершается на поставке большой партии железа и софта и подведение под имеющийся бюджет некоего обоснования ;-(
Я прекрасно понимаю, что это нормальный эволюционный процесс, но хотелось бы уж поскорее придти к правильному пониманию роли ИБ в бизнесе. Надеюсь, что грядущий 2008-ой год поспособствует этому ;-)
Новый ресурс по ИБ. Нужен ли?
И действительно. Ресурсов казалось бы много, в т.ч. и по системам управления ИБ, стандартам ISO 2700x, но действительно полезного Интернет-инструмента в Рунете так и нет. На Западе есть sans.org, securityfocus.com, csoonline.com. А потребность в таком сайте велика. Даже не в одном. Нужен ресурс для CISO, нужен для ведущих специалистов (не администраторов).
Я знаю о трех попытках создания таких ресурсов. Ни одна пока не увенчалась успехом. В одном случае идея заглохла еще на стадии обсуждения. Во втором - сайт ограничился форумом и рекламой курсов и семинаров по ИБ. Только третья попытка пока не стала достоянием гласности, но работы по ней ведутся. Посмотрим, что получится. Но есть подозрение, что и она не сможет удовлетворить все потребности. А жаль ;-(
12.12.07
Новые поглощения на рынке ИБ
Второе поглощение более интересно - компания IBM купила компанию Arsenal Digital Solution, которая работала в сегменте защиты, резервирования и восстановления данных на ПК и серверах (http://www-03.ibm.com/press/us/en/pressrelease/22778.wss). В ноябре IBM уже заявляла, что в 2008 году она потратит 1,5 миллиарда (!) на безопасность и вот первое подтверждение ее слов. Однако не все аналитики позитивно смотрят на вступление IBM на рынок безопасности. Например, эксперты Gartner считают, что умелая работа в сегменте ИТ-инфраструктуры еще не означает, что IBM примут с распростертыми объятиями на рынке ИБ (http://www.networkworld.com/news/2007/120607-ibm-network-security.html). Но и сбрасывать со счетов "голубого гиганта" не стоит. Достаточно вспомнить экспансию Microsoft на этот рынок. Аггресивная маркетинговая политика и наличие больших финансовых возможностей может существенно изменить ситуацию на рынке безопасности и подвинуть других игроков.
10.12.07
Бизнес без опасности
- Как связать безопасность с бизнес-стратегией предприятия? Как оценить безопасность в понятных бизнесу метриках?
- Архитектура ИБ и ее место в архитектуре предприятия и ИТ-архитектуре
- Обеспечение информационной безопасности в контексте стандартов ITIL и CoBIT
- Как решения Cisco по информационной безопасности реализуют требования стандартов PCI DSS и ISO 17799.
Все презентации выложены по адресу: http://www.cisco-events.ru/SecurityDay30Nov2007/download.html
ЗЫ. Первая презентация является сильно укороченной версией "тайландского" курса.
Как организовать выездное мероприятие по безопасности?
Как человеку, часто участвующему во всяких выездных мероприятиях, у меня сложилось несколько наблюдений, которые могут быть полезны тем, кто только планирует вывозить специалистов по безопасности заграницу или хочет улучшить уже существующую практику.
Итак, 3 составляющих хорошей поездки:
- Деловая программа
- Культурная программа
- Организация.
Разумеется, все эти ингредиенты должны начинаться с прилагательного "хорошая". Если мы хотим организовать отличную поездку, о которой потом будут слагать легенды, то вместо "хороший" используем "отличный" ;-) И конечно же нельзя забывать о том, что все эти составляющие должны быть подобраны в идеальной пропорции. Перекос в одну их сторон скажется на всем мероприятии.
Например, отличная деловая программа при полном отсутствии организации приведет к тому, что многие попросту пропустят интересные доклады. А отсутствие и культурной программы при этом заставит людей искать интересные туры самостоятельно. И опять в ущерб деловой программе. Другой пример. Организация на высоте, но деловая программа ограничивается голой рекламой каких-то продуктов. Результат тоже будет негативным. Люди скажут спасибо за то, что их вывезли, но эффекта с точки зрения поставленных целей не будет. А конце концов ваша задача сделать так, что поездка запомнилась на долго и участники вспоминали ее, хотели ее повторить и рекомендовали вас своим друзьям и коллегам. Если же поездка вызывает негативные или абсолютно нейтральные ассоциации, то это скажется и на отношении к самим организаторам, которое улучшить будет непросто (а ресурсов это потребует гораздо больше, чем вы сэкономили).
Насчет места проведения. Не стоит такие мероприятия проводить на пляжах. Тем самым вы выбиваете почву у себя из под ног. Многие участники будут проводить время на пляже, а не в конференц-зале. Или самостоятельно ездить по экскурсиям, если вы не предоставили им такой возможности. Кстати, если вы отдаете культурную программу (совместное распитие водки в баре отеля я за культурную программу не считаю) на откуп самим участникам, то будьте готовы к тому, что вас они не запомнят, т.к. у них будет отсутствовать ассоциативная связь между именем вашей компании и хорошим отдыхом. Вы для них станете обычным туроператором. Хотя нет. Обычный туроператор для них будет даже больше знаком, т.к. именно он позаботится об отдыхе ваших людей.
Не советую проводить мероприятия в заезженных местах типа Турции и Египта. Они уже порядком всем надоели и заманить туда кого-нибудь будет сложно. Даже потрясающая культурная и деловая программа не изменит сложившегося у многих мнения об этих местах массового отдыха соотечественников.
Но самое главное, в любой такой поездке - это цель. Отсутствие цели или неправильное целеполагание сводит на нет все усилия. Допустим, мы хотим просто повысить лояльность клиентов и для этого вывозим их за пределы нашей необъятной Родины. Цель ли это? Повышение лояльности? Безусловно. Формирование вокруг организаторов сообщества профессионалов тоже цель. Последующий рост продаж тоже цель. Все, что мы делаем в рамках конференции должно следовать этой цели. Анархии и хаоса быть не должно.
Организация таких поездок - это то, что необходимо отдавать на аутсорсинг. Даже если у вас в отделе маркетинга есть молодая девочка, на которую взваливается весь груз по ведению вашего мероприятия, то все равно помните, что специализированное агентство сделает все гораздо лучше и профессиональнее. Экономить тут не следует. К сожалению мне не раз приходилось видеть, когда попытка "снизить косты" (reduce costs) и сделать все своими силами оборачивалась нулевым эффектом. Почему? Потому что, сотрудник, взваливший на плечи груз организации выездного мероприятия, тоже человек. Он хочет гулять со всеми, спать со всеми, ездить на экскурсии со всеми и пить тоже со всеми. А он вынужден следить за нетрезвыми участниками группы, вовремя их будить, разбираться с отсутствием проектора в конференц-зале, позаботиться о том, чтобы у каждого была и программа мероприятия, и карта того места, куда все приехали, и взять на себя общение с шеф-поваром ресторана, и даже распечатать бейджик с названием и адресом отеля (на всякий случай ;-). Специализированное агентство сделает это гораздо лучше, сделав вашу поездку многократно приятнее.
Но специализированное, не значит туристическое. Организация пляжных туров и деловых поездок - это небо и земля. В конце концов вы вывозите не непознавших мир жителей глубинки, которые до сих пор максимум где отдыхали, это в Сочи или в Крыму. Вы вывозите людей, облеченных влиянием в своей компании, не раз бывавших за границей и живших в пятизвездочных отелях. Они ценят комфорт во всех проявлениях. Пример из жизни. Вот ездил я с таким вот туроператором заграницу. Поселил он нас в прибрежном отеле 3*, который ориентирован на то, что люди все время проводят не в номере, а на пляже. Так вот в номере была всего одна электрическая розетка и та, в ванне (видимо для бритвы). Ни Wi-Fi, ни ADSL/Ethernet в отеле не было в принципе. Зато телефонная розетка, через которую я подключался к Интернет по модему (такой архаикой я давно не пользовался), была только в комнате. Вот так и бегал из ванны в комнату и обратно. В ванне заряжал лэптоп, а в комнате работал по модему. Классические туроператоры рассчитаны на ПОТОК. Более того. Они справедливо полагают, что большинство людей в одно и тоже место ездят отдыхать не так часто. Поэтому вы можете высказывать свои претензии, но проверить их выполнение сможете врядли. А значит можно не напрягаться ;-( Из тех агентств, которые мне понравились, могу назвать только одно - ATH (http://www.ath.ru/).
А теперь несколько примеров того, как надо и не надо проводить мероприятия для специалистов по информационной безопасности.
Место: Сан-Сити, ЮАР. Однодневая деловая программа включает рассказы о тенденциях в мире ИБ, подходах в борьбе с ключевыми угрозами, рекламное выступление спонсора (но включающее не только описание продуктов, но и некоторую аналитику) и выступление заказчика. Потом круглый стол для обмена мнениями. Идеальное сочетание, позволяющее послушать, позадавать вопросы и поговорить.
Культурная программа включает поездку всей группы на крокодилью ферму, сафари, африканскую деревню, а также на мыс Доброй Надежды около Кейптауна. Интересно и незаезженно. Никто не отказался, никто не потерялся. А в результате большая сплоченность группы и возможность обсудить многие вопросы между собой, поделиться опытом и т.д. Организаторы всегда с вами. Вечера тоже вместе. Они знают вас, вы лучше познаете их. Из box mover'ов они превращаются в trusted advisor'ов.
Организация со стороны ATH тоже на высоте. Координаты для экстренной связи, описание места для мероприятия в раздатке (с указанием всех близлежащих достопримечательностей), консультации по возможным дополнительным экскурсиям, помощь в их заказе, рассказ о скользких моментах, опасностях и т.д. К слову сказать, менеджер ATH всегда с вами - днем и ночью. Он выделен для сопровождения именно вашей группы. Никаких "я буду отвечать на все вопросы в холле отеля каждый день с 17.00 до 18.30". Интернет в отеле представлен Wi-Fi'ем в каждом номере.
Общая оценка: 5+
Место: Канарские острова. Деловая программа рассчитана на 3 дня и включает много очень интересной и полезной информации, как с точки зрения продуктов, так и с точки зрения тенденций, аналитики и т.д. Идеального сочетания не получается, т.к. программа избыточна на мой взгляд. Слишком много информации - голова пухнет.
Культурная программа хоть и предусмотрена, но она не отличается оригинальностью - поездка в парк кактусов и обзорная экскурсия по острову. Учитывая отсутствия какой-либо истории и архитектуры на Канарах, культурная программа подкачала и ее отсутствие многие компенсировали в баре. К слову сказать, до пляжа идти было минут 15-20, что немного подпортило впечатление. Опять же если человек выбирается на пляж, то его уже не стоит ожидать на семинаре, т.к. это вам не 2 минуты добежать от моря до номера. Тут надо потратить полчаса, на что многие неготовы.
Организация своими силами, что с одной стороны и неплохо (знание отрасли, знание аудитории и т.д.), а с другой - незнание многих специфических особенностей этого места приводило к достаточно комичным, а иногда и просто стремным ситуациям. Интернет в отеле ограничивается 3-мя компьютерами в "бизнес-центре" (при полном отсутствии русской раскладки и клавиатуры). Свой компьютер подключить нельзя. Горничные по английски не понимают и приходится общаться только через reception! Для крупного заграничного отеля просто нонсенс.
Общая оценка: 4
Место: Турция. 3-хдневная деловая программа разбита на 2 параллельных потока и включает как продуктовые доклады, так и различную аналитику. Из неудачных моментов - параллелизм, который заставляет вас делать выбор между двумя интересными докладами, выступление иностранных спикеров (найти хорошего переводчика "в теме" и в Москве проблема, а уж заграницей и подавно). Из положительного - круглые столы (но было их многовато и на каждый выделялось не больше 40-60 минут, что недостаточно для эффективного обмена мнениями).
Культурная программа отсутствует как класс - каждый ищет приключения на свой вкус. Кто-то поехал на массаж, кто-то в общественные турецкие бани, но большинство склонялось по пляжу или сидело в баре.
Организация на троечку. Попытка сэкономить и провести все своими силами привела к тому, что отель не был заранее проверен. И хотя он был заявлен как 5* (All Inclusive), он не дотягивал и 4-х. Прокуренные номера, наличие в номерах неэлектронных сейфов, ключи для которых надо получать и сдавать (!) на reception и т.д. Интернет в отеле ограничивается 2-мя компьютерами в "бизнес-центре". Свой компьютер подключить нельзя.
Общая оценка: 3
Вот примерно такие впечатления/рекомендации получились. Не могу сказать, что я написал все, что хотел. Просто нахожусь под "ярким" впечатлением нескольких поездок, произошедших за последний месяц.
ЗЫ. В киевском Radisson SAS, откуда я вернулся на днях, учитывая канун новогодних праздников, каждый день на входе раздавали мандарины и миндаль, поили глинтвейном, а 6-го числа (день св.Николая) на ручку двери повесили рождественский носок с подарками ;-) Моя лояльность к этому отелю возросла многократно.
Чем протирают очки в Cisco?
О безопасности бизнеса среди тайских красот - 2
С другой стороны, мне удалось "добить" вторую версию этого курса ;-) Теперь готовлю третью версию - многое еще что можно сказать по теме связи безопасности и бизнеса.
ЗЫ. Самому мне тоже удалось выкроить последний день на экскурсии - фото тут - http://imgsrc.ru/akul/a183883.html
ЗЗЫ. Оказалось, что в отеле, где мы жили в Паттайе, не было Интернета ;-( Пришлось звонить на модемный пул в Чонбури (соседний с Паттаей город), а затем подключаться к VPN-шлюзу в Бангалоре. И все это на 28К. Давно с такими скоростями не работал ;-) Но ничего, все прошло "на ура".
6.11.07
О роли времени в ИБ
В такой ситуации достаточно интересно наблюдать метания ряда российских CISO, которые проработав менее 2-х лет в своей компании, уходят из нее на новое место, приговаривая при этом, что на прошлом рабочем месте их не поняли и не дали развивать направление информационной безопасности. А по другому просто и не могло быть. У любого процесса свои законы развития и перепрыгнуть через определенные эволюционные этапы невозможно. То же относится и к ИБ.
К чему я это написал? Не стоит рассчитывать на успех внедрения программы ИБ раньше 3-х лет. Это реальная временная оценка. И если у вас за 2 года программа не внедрилась, то это не значит, что вы что-то неправильно делаете (хотя и это возможно). Просто время еще не пришло.
2.11.07
Максимизирование бизнес капиталовложений
Вот прислали сегодня приглашение, в котором есть такие строки:
- "Многие успешные организации имеют преимущества, осуществляя максимизирование бизнес капиталовложений и открытия новых возможностей"
- "Обеспечение эффективной безопасности для ресурсов целевого менеджмента"
- "Гарантирование соответствие и управление"
- "Информационная безопасность является признанным путеводителем и средством поддержки в достижении надежности бизнеса"...
Кто это переводил? Сегодня, как мне кажется, даже машинный перевод таких ляпов не делает. Читая такие приглашения, желание участвовать в мероприятии пропадает напрочь.
ЗЫ. Кому интересно, речь идет о конференции "27000 Business Goes Global" (http://www.infosystem.ru/longconf.php?fid=1193842725848334)
29.10.07
Что важнее в ИБ - маркетинг или технологии?
Trend Micro купила компанию Provilla
27.10.07
Безопасность в аналогиях
http://www.securitylab.ru/opinion/306307.php.
До нее были:
- "Звериный оскал безопасности" (http://www.securitylab.ru/contest/285834.php)
- "Что обшего между защитой информации и женщиной"
(http://www.securitylab.ru/opinion/293626.php)
- "Безопасность корпоративного младенца" (http://www.medicina-online.ru/articles/40277/)
- "Играя в безопасность, или что общего между футболом и защитой информации" (http://bugtraq.ru/library/misc/football.html).
На подходе у меня обновленная версия футбольной аналогии, а за ней последует еще автомобильная тема. Дальше я пока не думал. Может и еще что родится...
22.10.07
Мисс Безопасность 2007 - конкурс продолжается
1. Из области ИБ в этом конкурсе не участвует практически никто ;-( Исключение составляют компании Microsoft, Доктор Веб, Информзащита, Ниеншанц-Защита и АИС. И это грустно ;-(
2. Очень интересно посмотреть на описание достоинств участниц конкурса. Кто-то, как в предыдущем посте, ставит себе в заслугу организацию ужина на вершине небоскреба. Но есть и просто потрясающие описания. Например, http://miss.securityday.ru/index.cfm?show=2275: OS: Windows NT/2000/2003, Unix FreeBSD, Linux RedHat, Unix SunOS, Linux RAQ 4/5. Code: ASM, C/C++, Pascal, Java, Perl. BorlandC++, Delphi, MSVC, lcc, cc/gcc. API: Windows kernel/network/graphic API, Unix system/network API. Web code: CGI, PHP, HTML, XML, JSP. DataBase: MSSQL, MySQL, InterBase, PostgreSQL, Oracle. Protocols: x.25, TCP/IP, TCP, UDP, ICMP, IGMP, VPN, NAT. Debug/Revers: Soft-Ice, Ida Pro, hiew, qview, OllyDbg, WinDBG. Я не знаю, как с точки зрения безопасности, но такой послужной список внушает уважение.
3. Все по разнмоу подходят к выбору фотографий. Кто-то, видимо узнав про конкурс, фотографируется в офисе "как есть" (например, http://miss.securityday.ru/index.cfm?show=2253). А кто-то выкладывает целые проффесионально сделанные портфолио. Например, по этому пути пошел Microsoft, представив на конкурс своего руководителя инициативы корпоративной безопасности (http://miss.securityday.ru/index.cfm?show=2315). Последняя кандидатура имеет все шансы на победу ;-)
Учитывая вышесказанное, можно предложить идею проведения аналогичного конкурса, но в области ИБ. Назвать такой конкурс можно по-разному - "Мисс Защита Информации", "Мисс СКЗИ", "Мисс антивирус" ;-)
18.10.07
О цивилизованном способе борьбы в тендерах
Через какое-то время ФНС отстраняет Лету от конкурса, ссылаясь на то, что NOD32 не работает в Lotus'е. Лета обращается в ФАС, которая закономерно принуждает ФНС вернуть ESET в тендер, т.к. изначально требования работать с Lotus'ом в ТЗ не было. В итоге Лета выигрывает (все-таки 10 миллионов разницы - это не фунт изюма). ЛК подает в арбитражный суд, требуя отменить результаты конкурса (что логично, учитывая сумму контракта в 2 с лишним миллиона долларов). А пока иск рассматривается в суде, ФНС успевает заключить договор на поставку с Летой. Через какое-то время суд принимает решение не в пользу ЛК.
К слову сказать, после этого события ЛК заявила, что использование NOD32 противоречит доктрине информационной безопасности России, утвержденной президентом, потому что продукция ESET не сертифицирована во ФСТЭК. Тут ЛК сильно лукавит, т.к. у NOD32 есть сертификат ФСТЭК. Правда на 300, а не 120000 экземпляров, но это уже дело десятое.
Интересен тот факт, что это один из первых публичных случаев, когда результаты тендера на поставку средств защиты были оспорены в суде. Рейдерские разборки, захваты чужой собственности, размывание акций, выживание директоров со своих позиций... Все это казалось невозможным на рынке ИБ. Но вот ситуация изменилась. И это не последний пример.
Недавно одна региональная компания объявила тендер на поставку маршрутизаторов с функциями поддержки VoIP и безопасности. В тендере схлестнулись 2 партнера одного именитого вендора и предложили 2 спецификации. Одна включала маршрутизатор в рамках специального security+voice bundle; другая описывала обычный маршрутизатор, с минимальной функциональностью по безопасности и обработке голоса. Вторая спецификация проиграла, т.к. не соответствовала требованиям ТЗ. Но несмотря на это, предложивший ее интегратор подал в арбитраж дабы признать результаты конкурса недействительными.
Все это достаточно печально, т.к. рынок ИБ превращается действительно в рынок (базар) с руганью, подставами, разборками и другими нелицеприятными инцидентами.
ЗЫ. И хотя с точки зрения законодательства, выигрыш NOD32 является закономерным, с точки зрения здравого смысла все не так очевидно. Если антивирус Касперского уже стоит на 120000 компьютеров, то менять их на 120000 антивирусов NOD32 - задача более чем нетривиальная. И если ФНС выиграл 10 млн.рублей на стоимости лицензий, то во сколько им обойдется внедрение 120 тысяч копий антивируса можно себе только представить. А ведь надо еще учитывать снос "старого" антивируса, переобучение специалистов и многие другие вопросы, входящие в TCO...
13.10.07
О безопасности... авиационной
Одним из требований было надавливание на ручку внизу люка и выдавливание его наружу. Бац. Ручки нет. Я говорю стюардессе: "Девушка, а миссия-то невыполнима - ручки нет". Она, улыбаясь: "Шутите?" Я ей: "Ни в коем разе". Она: "Откиньте ручку кресла и посмотрите под ней". Ну я попробовал. Ни фига. Более того... Ручка кресла прикручена болтами к аварийному люку (само кресло прикручено, конечно, к полу). Я в сторону стюардессы: "Люк прикручен к креслу!" Она: "Не может быть!" Причем взгляд у нее был красноречивее слов - она была действительно уверена, что следуя инструкции в данном конкретном самолете можно будет выйти через аварийный выход.
Какие выводы можно сделать в данной ситуации:
1. Приятно, что стюардесса обратила мое внимание на специфичные вопросы безопасности и не ограничилась стандартной демонстрацией надевания кислородной маски на лицо.
2. Приятно, что она была уверена, что инструкция выполнима. И, скорее всего, она это проверяла на практике.
3. Неприятно, что инструкция оказалась невыполнима в данном конкретном случае.
4. Неприятно, что security awareness не было подкреплено технически.
Все эти рассуждения можно применить и к информационной безопасности.
ЗЫ. А выводы?.. А их собственно и не будет. Хорошо, что я благополучно приземлился, хоть и с часовым опозданием ;-)
Symantec покупает Vontu
DLP-решения (иногда их еще называют ILP) сегодня на подъеме - они востребованы потребителями и рынком, они требуются по многим стандартам и руководящим документам. Поэтому действия Symantec достаточно очевидны. Совсем недавно WebSense купила PortAuthority, а EMC купила Tablus. Эксперты считают, что действия Symantec были спровоцированы McAfee, которая на днях она купила SafeBoot (http://lukatsky.blogspot.com/2007/10/mcafee-safeboot.html). Это ее не первая сделка в сегменте DLP. Годом ранее, в прошлом октябре, McAfee купила компанию Onigma.
Как говорят специалисты, Symantec не планировала покупать Vontu, обратив свой взор на Tablus. Однако ее опередила EMC и Symantec'у ничего не оставалось делать как купить Vontu; причем по немаленькой цене (десятикратное превышение годового оборота компании).
12.10.07
McAfee покупает SafeBoot
Можно заметить интересную тенденцию на рынке информационной безопасности, причем не только в мире, но и в России. Сначала Check Point купила Pointsec, которая предлагала аналогичные решения по шифрованию файлов на персональном компьютере. Теперь вот McAfee приобрел SafeBoot. Учитывая тенденцию по части регулярных утечек данных, такой интерес к системам персонального шифрования вполне закономерен.
У нас тоже компании, которые занимаются утечками, обращают внимание на .эту технологии. Например, Infowatch, в состав которого вошли разработчики и технологии компании ЛАН Крипто после ее разделения.
Однако, как обычно, с криптографией возникают вопросы. А точнее с легитимностью ее использования. Но это тема для отдельного обсуждения.
И вновь об издательстве "Бином"
Возникает вопрос, что было первично - начало сотрудничества или троян. Если первое, то это грустно. Не очень известная, а значит особо непривлекающая к себе внимания компания, не способная защитить себя, учит других как защищаться ;-( Если второе, то можно только порадоваться за Лабораторию Касперского, которая существующий инцидент обратила в интересную для себя бизнес-возможность лишний раз заявить о себе.
1.10.07
Западный или российский производитель ИБ: кого выбрать?
ЗЫ. Так часто получается, что многие мои критические статьи поспринимаются отдельными личностями на свой счет. Хочу сказать, что я пишу о рынке в целом. Если кто-то воспринимает это в свой адрес, то видимо, написанное в статьях, достигает своей цели.
29.9.07
Безопасность электронных платежей
В мае с разницой в один день я выступал на ИТАР-ТАССовском семинаре "Зазвонит ли мобильник звонкой монетой?" в рамках выставки "e-Finance Russia" и еще на конференции "Мобильная коммерция и платежи" (http://www.infor-media.ru/informedia-russia/client/index.aspx?id=conference&sub=introduction&confID=255). На них я рассказывал про безопасность мобильных платежей.
4 конференции за 5 месяцев... что лишний раз говорит о том, что эта тема все больше и больше набирает обороты. Только вот с безопасностью там не все так хорошо. Вопросы, которые мне обычно задают на таких конференциях и семинарах лишний раз демонстрируют это ;-(
28.9.07
Воскрешение страхования информационных рисков
1. Под страхованием информационных рисков страховая компания воспринимает защиту, в основном, материальных активов - оборудования, ПО, баз данных и т.д. Страхуются они... или по балансовой стоимости или по некоему лимиту, например, на восстановление информации. Отсюда, кстати, вытекает отказ от страхования нелицензионного софта.
2. На вопрос, а как страховать утечку базы, когда сама СУБД не пострадала, но нанесен ущерб репутации, есть снижение курсовой стоимости акций или был отказ от каких-либо контрактов вследствие такой утечки. Во всех этих случаях Ингострах отказывается страховать информационные риски. Либо пытается их перевести в совершенно иные риски.
3. Сюрвей, как и расследование наступления страхового случая проводится иностранными компаниями. Это сильно отличается от того, что говорилось еще 3-4 года назад. Тогда в качестве сюрвейеров выбирались российские специализированные ИБ-компании. Что меня удивило, так это срок проведения сюрвея - 2-3 дня. Причем его проводить один человек и только путем устных бесед с руководителями ключевых отделов. Как за это время можно оценить риски, мне не совсем понятно. Также возникает вопрос с подтверждением страхового случая. В ОСАГО - это делает МВД, в медстраховке - поликлиника или больница. В ИБ это по идее должен делать уполномоченный госорган, которого у нас пока нет (и не факт, что появится в обозримом будущем). Что касается компании, которая принимает решение о наступлении страхового случая, то она должна удовлетворять все стороны.
Вот собственно и все. С таким подходом этот рынок будет о-о-о-чень долго развиваться. Особенно учитывая отношение страховых компаний. На вопрос представителю Ингостраха, а не планируют ли они выходить на правительство с инициативой развития этого сегмента, страховая компания ответила, что нет ;-( Какой тогда смысл выступать и рассказывать про такой страховой продукт мне не совсем понятно?
ЗЫ. Ни одного страхового случая в истории Ингостраха так и не наступило по данным его предстаителя.
InfoSecurity Russia 2007
Организация... Уже четвертый год выставка, совмещенная с конференией проходит в России... и все 4 года я сталкиваюсь с жуткими накладками в организации процесса. В прошлом году мы из-за этого и не участвовали, надеясь, что организаторы извлекут уроки. Извлекли, что называется... Не буду говорить про негатив со стороны тех, кто строит стенды на выставке, коснусь только нас. Мы не стали в этом году строить стенд, а организовать собственное мероприятие в рамках InfoSecurity, справедливо полагая, что это будет дешевле (и так оно и оказалось) и эффективнее (слушать будут только нас и мы готовы будем отвечать за контент). Отсутствие стенда решили компенсировать установкой двух рекламных стендов на двух входах и раздачей программы нашего мероприятия при регистрации. Ну и конечно собственные приглашения через http://my.cisco.ru и новостную рассылку. В итоге стенд повесили только у одного входа. На вопрос "Какого...?" организаторы заявили, как в советские времени: "Мы заключили договор с ЭкспоЦентром. У нас есть все бумаги. Они должны были все сделать. Мы не виноваты". Программу ни одни из моих знакомых, бывших на выставке, так и не получил ;-( Про остальные накладки в виде сломавшегося проектора, отсутстия микрофонов, отсутствия бейджа и т.д. я даже упоминать не буду. Апогеем можно считать отказ охраны пропустить на выставку г-на Матюхина (глава Росинформтехнологий, бывший глава ФАПСИ). Причина проста - он не зарегистрировался ;-)
Вторая составляющая - контент... Ну что тут сказать. Если не считать, про снятые без предупреждения доклады, ничего нового, кроме того, что я уже писал в http://lukatsky.blogspot.com/2007/08/blog-post_1921.html, сказать мне нечего ;-( На выставке тоже ничего нового не было. Ну если не считать полного ребрендинга Positive Technologies и выступления Диалог-Науки в новом качестве - интегратора безопасности, а не просто поставщика Dr.Web.
ЗЫ. Честно говоря, желание участвовать в InfoSecurity следующем году у меня пропало напрочь ;-(
ISO 27001 в России: модно и бессмысленно
Читать: http://www.cnews.ru/reviews/index.shtml?2007/09/28/268177
24.9.07
Мисс Безопасность 2007
ЗЫ. Хотя претендентки к безопасности имеют опосредованное отношение. Например, вот, что входит в послужной список одной из кандидаток (синтаксис и орфография сохранены):
1. Организация делового ужина в одном из ресторанов Нью-Йорка находящийся на крыше небоскреба.
2. Организация корпоративной недели отдыха на Н. Зеландии.
3. Самая красивая снегурочка для детей компании на протяжении ни одного года.
20.9.07
Троян на сайте издательства
Средство против спама рекламируется с помощью спама
Что характерно, эти компании очень легко вычисляются. Во-первых, они используют не всегда красивые методы для достижения своей цели. А во-вторых, они не знакомы с русским языком ;-)
Например, сегодня я получил спам от одной компании, которая предлагает решения по защите... от спама ;-) Безусловно интересный способ продвижения своей продукции. А уж русский язык в присланном сообщении просто поражает:
- ...до получения содержания сообщения
- ...контролирует осуществление политики серфинга
- ...дополнительный уровень проверки оптимизирует потребление трафика и снижает ответственность
- ... во всех аспектах электронной почты
- ...самоподдерживаемое решение.
Учитывая рост числа таких компаний в Европе и США, можно предположить, что скоро в Россию хлынет целый поток таких "лидеров в обеспечении безопасности", предлагающих свои "уникальные всесторонние решения".
18.9.07
Barracuda покупает NetContinuum
Компания Barracuda, известная своим решением по Web-фильтрации, купила компанию NetContinuum, разработавшую Web Application Firewall, ориентированный на отражение атак Cross-Site Scripting, SQL Injection и т.п. Приобретение произошло в середине июля, но до сего момента не анонсировалось широкой общественности.
Продукт, продаваемый теперь под торговой маркой Barracuda, будет называться Web App Controller и будет стоить от 30 до 50 тысяч долларов.
17.9.07
О безопасности бизнеса среди тайских красот...
Место проведения - Бангкок-Паттайя (Тайланд).
Время проведения - 17-25 ноября.
Все детали тут - http://www.ntc.ru/news/news_thailand.htm
Куды бечь, когда узнал о проблемах с безопасностью?
Адрес статьи- http://www.securitylab.ru/contest/302888.php
11.9.07
О западных стандартах и методиках
Мы стали часто смотреть на Запад. Будто бы там все хорошо, все правильно, все ОК. У Запада действительно стоит многому поучиться и многое перенять. Но с умом, адаптируя к нашему менталитету, культуре, уровню зрелости. А мы берем все и, не меняя, пытаемся прививать. Но так нельзя. Обратимся к безопасности. Да, США на несколько корпусов ушли вперед и все, что прогрессивного есть в информационной безопасности (исключая может быть криптографию), взято именно от них. Но взято как-то неумно и неумело. Вспомним наши РД, появившиеся в далеком 1992 году и ставшие Библией для большинства российских специалистов по защите информации. А ведь эти РД были калькой с более ранней «Оранжевой книги», входящей в состав «Радужной серии». Однако, взяв за основу неплохой документ, наши пути разделились. В США «Радужная серия» разрослась до нескольких десятков книг по различным аспектам информационной безопасности, а потом ей на смену и вовсе пришли «Общие критерии», которые сейчас уже известны в своей третьей (пусть и нефинальной) редакции. У нас же РД (их меньше 10-ти) в неизменном виде известны до сих пор. Дальше больше.
Помимо классических РД мы стали применять и «Общие критерии» (ГОСТ Р ИСО/МЭК 15408), хотя в список стран, признающих выданные в других государствах сертификаты, мы так и не вошли. Более того. Несмотря на аутентичный перевод, наша версия «Общих критериев» официально не признана другими странами. Мы все ищем, что же плохого в «Общих критериях». Именно это прозвучало на одной из конференции из уст представителя Совета Безопасности РФ. С этим стандартом вообще ситуация непонятная. По нему уже сертифицируют, а вот что делать со «старыми» РД непонятно. Четкого ответа от ФСТЭК, по какому из двух направлений – РД или «Общие критерии» - нам двигаться вперед, до сих пор нет. Вот и вынуждены производители сертифицировать свои продукты дважды – по обоим документам – по старому, но всем известному, и по новому, но не всем понятному.
А теперь обратимся к международным стандартам ISO 27001 и 17799. Мы их приняли в России достаточно «быстро» – в 2007 году. Только вот принятые версии этих стандартов давно уже устарели. В России принята версия 2000 года, а весь мир работает по версии 2005 года. Опять хотели как лучше, а получилось…
Нельзя забывать, что многие западные методики появились в нужное время и в нужном месте. И если их превозносят в мире, это не значит, что они могут быть легко применимы в России. У нас немного иная история отрасли безопасности, иные специалисты, иные регуляторы, иные законы, иной уровень зрелости. Почти все у нас, за исключением продуктов, иное. Мы же, не оглядываясь на наш опыт, стараемся внедрять западные «best practices» (вот еще одно часто используемое западное словосочетание). И очень редко, когда успешно. А все потому, что мы не готовы к ним. Не зря все эксперты по ITIL признают, что ITIL – это лучшие ЗАПАДНЫЕ практики и их нельзя безоговорочно применять у нас – эффект может быть совершенно противоположным. Да и в предисловии к самому ITIL прямо написано, что эти рекомендации – не догма. Мы же всегда уходим в крайность и начинаем их навязывать… и на законодательном уровне тоже.
Возьмем, к примеру, большинство стандартов управления процессом ИБ. В самом их начале прямо сказано, что эффективный результат будет достигнут только тогда, когда безопасность получит поддержку на уровне руководства компании. А многие ли могут похвастаться этом в своих организациях? Но это почему-то не мешает нам внедрять ISO 27001 и другие стандарты.
Интегрироваться в западный мир надо. Но обдуманно. Главное не потерять себя. Брать полезное и отбрасывать наносное, ненужное и вредное. Надо научиться уважать себя и жить своим умом. Не все, конечно, надо начинать с нуля. Надо просто воспользоваться теми граблями, на которые уже наступил Запад и, вовремя их обойдя, сделать шаг вперед. Самостоятельно.
8.9.07
Что Госдума нам готовит?..
Итак, заходим на официальный сайт ГД в раздел «Приоритетные направления законопроектной работы Государственной Думы в период осенней сессии 2007 года» (http://www.duma.gov.ru/index.jsp?t=plan/indexp.html). И что же мы видим? Из нескольких десятков законодательных инициатив только одна может быть отнесена к теме защиты информации. Федеральный закон «О служебной тайне», внесенный в Госдуму Комитетов по безопасности еще три года назад (в декабре 2004 года), был рассмотрен Советом Госдумы только в апреле прошлого года, а его рассмотрение в ГД запланировано на ноябрь 2007 года. Все, больше никаких законопроектов, исключая внесение изменений в законодательные акты РФ в связи с принятием ФЗ «О служебной тайне» и ФЗ «О коммерческой тайне». Относить такой проект, как разработка специального технического регламента «О безопасности устройств для развлечений», к вопросам информационной безопасности было бы не совсем правильно.
С чем может быть связана такая плачевная ситуация в области законодательства? На мой взгляд, причина проста и она хорошо иллюстрируется басней Крылова «Лебедь, рак и щука» или «Квартет». Иными словами у нас в Госдуме нет единого «владельца» темы «информационная безопасность». За нее отвечает целых три комитета – по информационной политике, по безопасности и комитет по энергетике, транспорту и связи. В положении о каждом из этих трех комитетов четко указано, что именно он отвечает за информационную безопасность. Однако хоть какую-то законодательную активность проявляет только одна структура – Комитет по безопасности; он же отвечает и за деятельность таких значимых для нашей отрасли структур, как ФСТЭК и ФСБ.
Когда за решение какого-то вопроса отвечает несколько человек, значит, за него не отвечает никто. И деятельность названных трех комитетов только подтверждает это. Комитету по энергетике, транспорту и связи хватает своих проблем в первых двух составляющих его названия. Что касается третьего элемента, то в этой сессии руки дошли только до финансовых вопросов, связанных с отраслью связи. У Комитета по информационной политике другие проблемы – свобода слова, право на получение и распространение информации, Интернет и т.п. Видимо поэтому, следуя классической поговорке о сапожнике без сапог, сайт этого комитета последний раз обновлялся в 2004 году.
Комитет по безопасности в первую очередь ориентируется в своей работе на борьбу с терроризмом, госбезопасность и иные аналогичные по масштабу вопросы. Именно так и появился в программе Госдумы появился законопроект «О служебной тайне». А ведь срок его внесения в Госдуму датирован еще 2004-м годом. И только под влиянием последних утечек из государственных и окологосударственных предприятий и организаций, ситуация сдвинулась с мертвой точки (хотя данный законопроект планировалось включить еще в весеннюю сессию 2006 года). С текстом проекта этого закона можно ознакомиться на сайте соответствующего комитета (http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=124871-4&12). Там же можно ознакомиться и с финансово-экономическим обоснованием этого федерального закона. По мнению депутатов, реализация требований закона «О служебной тайне» не потребует вообще никаких средств из бюджета и все бремя финансирования ляжет на организации, которые должны соблюдать тайну своей деятельности. Данный проект интересен тем, что он очень сильно усложняет жизнь большинству организаций, решивших ввести у себя режим (а это любое юридическое или физическое лицо) служебной тайны. Во-первых, для защиты этого вида тайны необходимо использовать только сертифицированные средства защиты, а во-вторых, подключение информационных систем, содержащих служебную тайну, к Интернет попросту запрещен. К слову сказать, изменений в Уголовном Кодексе в связи с принятием этого закона не планируется (http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=124861-4&12).
Вторым по счету, но не менее интересным, является законопроект «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры» (http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=340741-4&12). Он «нашумел» некоторое время назад, в связи с попыткой запретить использование зарубежного ПО в стратегических сферах России – телекоммуникации, банки, энергетика, оборонка и т.д. К счастью, данный проект был «завернут» как Правовым управлением Госдумы, так и Правительством РФ из-за его недостаточной проработанности. Однако сам проект пока не снят и, судя по сайту Комитета по безопасности, находится на рассмотрении. Возможно к нему вновь вернутся, когда возникнет такая необходимость.
Что же мы имеем? Почти ничего. Кроме законопроекта «О служебной тайне» каких-либо иных проектов, связанных с ИБ, у этого созыва Госдумы больше нет. А, учитывая начало предвыборной борьбы, сложно надеяться, что список будет пересмотрен. Если только у нас не появится очередной нацпроект, который заставит депутатов пересмотреть свои планы на законотворчество.
30.8.07
О чем думают академики?..
Достаточно забавно выглядит постоянное упоминание ОС и СУБД. Такое впечатление, что кроме этих типов ПО академик РАЕН ничего не знает. Они они, по его мнению, являют собой самую большую угрозу и именно их надо заменить на отечественную продукцию (скорее всего имеется ввиду МСВС или Феникс и Линтер с HyTech). А вот распознавалки текстов, текстовые редакторы, антивирусы никакой опасности не представляют. Видимо о том, что прикладное ПО может стать причиной утечки информации или нестабильности системы, доктору технических наук идея в голову не приходила. Также он почему-то считает, что основная опасность таится на серверах, а ПК внимания можно не уделять. Хотя учитывая его "профессиональные" интересы, все встает на свои места. Речь идет о СУБД.
И вообще тема СУБД для г-на Ковалевского является самой важной. Именно СУБД, по его мнению, управляют информационными ресурсами. Именно они являются основной угрозой. Именно их надо защищать в первую очередь. Хотя обратившись к прошлому г-на Ковалевскому станется все понятно. Он является разработчиком отечественной СУБД HyTech, которую внедрял во многих госструктурах. Однако некоторые его высказывания все равно вызывают вопросы. Например, он говорит, что на CeBIT он демонстрировал всю систему Фонда соцстраха на ноутбуке. При этом в другом своем интервью он говорит, что вся база ФСС занимает 100 Тб и она увеличивается каждый день по 1 Гб. Вы видели лэптопы с терабайтными дисками?
Также интервьюер делает классическую ошибку ставя знак равенства между ПО с открытым кодом и бесплатным ПО. Например, он сторонник выкинуть Oracle из всех госструктур и заменить ее на ПО с открытым кодом. Почему он считает, что оно будет бесплатным и за лицензии платить не надо будет? Shareware не значит freeware...
В общем интервью вызывает как минимум улыбку ;-)
Что мешает нам развиваться... или парафраз о самоцензуре
К сожалению, у нас очень развита самоцензура. "У нас" я имею ввиду современного человека, а не Россию. Многим гораздо проще молчать "в тряпочку", чем высказать, может и нелицеприятное, но все-таки важное мнение. И даже "анонимные ящики для общения с руководством" или возможность послать анонимное сообщение по e-mail ситуацию не меняют. Многие предпочитают "не выступать", считая "авось целее буду". Проблема в отсутствии культуры коммуникаций.
Большинство просто боится указывать не проблемы и недостатки; еще больше боятся предложить улучшение. Сотрудники боятся осложнений в любом их проявлении. Либо накажут за правду, либо заставят реализовывать свое же предложение. В любом случае спокойное течение офисной жизни нарушается. А это для многих хуже некуда. Инстинкт самосохранения...
Какое это отношение имеет к безопасности? Самое прямое. У нас поэтому многие ИБ-компании так и развиваются, как они развиваются. Перефразируя известное выражение из курса истории "Верхи не знают, а низы не хотят". На прошлой работе приходилось с этим сталкиваться. Был проект, детище руководителя компании. Задумка была неплоха, но ее реализация была далека от идеальной. На одном из совещаний я высказал свое мнение о том, что думаю. В ответ фонтан эмоций, преимущественно негативных, описываемых в двух словах так: "Не твое дело", "Не суйся", "Сам бы попробовал, а потом советовал" и т.д. И так по ряду вопросов. В итоге желание генерить идеи, советовать что-то пропадает. Климат это не улучшает; коллектив чувствует напряжение. В итоге руководство находится в плену своих идей, далеких от реальности. А сотрудники не готовы идти и выкладывать "правду-матку". Вот в результате у нас и появляется большое количество мертворожденных или абсолютно ненужных и неэффективных проектов и продуктов в области безопасности.
Можно ли изменить ситуацию? Можно. Но всякие "горячие линии" с руководством, почтовые ящики для предложений, центры идей - это всего лишь механизмы, которые ничто без более глубоких изменений в культуре самой организации. Именно в культуре, как бы пафосно это не звучало. Сотрудники должны понимать, как их предложение скажется на развитии компании. Они должны быть уверены, что их не накажут за "свободомыслие", а в случае удачной идеи даже поощрят.
Негативная роль слияний
Но не всегда процесс M&A несет положительные моменты. Например, покупка IBM'ом компании ISS больше года назад. Уже тогда оценка этого события была неоднозначной. Несмотря на то, что ISS влилась в сервисный департамент и IBM в пресс-релизе четко написала, что этим приобретением она хотела бы усилить свое влияние и роль в сегменте аутсорсинга безопасности (Managed Security Services), многие считали, что продукты ISS будут развиваться и сами по себе (причем с тем же успехом, что и до слияния). Однако отсутствие четкой и озвученной стратегии развития этой продуктовой линейки привело к тому, что ISS стала постепенно сдавать свои позиции на традиционном для себя рынке. Если раньше в сегменте средств предотвращения атак ISS и Cisco шли ноздря в ноздрю и каждый квартал лидером становилась то одна компания, то другая (с отрывом от конкурента в 1-1,5%), то сегодня ситуация поменялась кардинальным образом. По последнему отчету Infonetics (Infonetics Q2 2007 Network Security Appliances and Software) Cisco занимает 28% этого рынка, а ISS - 17%. 11% разницы. Это уже серьезно...
В результате, потенциальное усиление влияния компании в одном сегменте, привело к потерям в другом. И пока неясно, было ли это оправдано?
28.8.07
Об аутсорсинге безопасности в России
Об аутсорсинге безопасности (Managed Security Services, MSS) сегодня говорят все, кому не лень. Такие услуги предлагает каждый второй интегратор, но реальных проектов, которыми можно было бы похвастаться в России практически нет. Почему? Есть несколько болевых точек, на которых необходимо сделать акцент.
Во-первых, кто может предлагать услуги аутсорсинга? Вопреки распространенному мнению о том, что такие услуги может оказывать любой крупный интегратор, это неверно. Дело в том, что мало иметь набор софта и железа и штат персонала, как это считает автор статьи. Учитывая, что услуги MSS оказываются дистанционно, то это обязательно подразумевает наличие качественных каналов связи от центра управления до клиента, и желательно с резервированием. В России интеграторы не могут похвастаться этим, в отличие от операторов связи (и то не всех). Т.е. заключить такие договора с операторами и закупить необходимое оборудование они в состоянии, но пока о таких прецедентах я не слышал.
Во-вторых, несмотря на громкое заявление в статье, ни один провайдер MSS не возьмет под контроль любые системы защиты. У него не безграничные возможности (по оборудованию, по людям, по финансам) и поэтому управлять он будет только широко известными решениями, под которые можно легко найти людей и для которых услуга будет рентабельной. Я с трудом могу представить провайдера, который будет в России управлять продуктами Fortinet. Только потому, что эти продукты у нас не распространены.
В-третьих, все "аутсорсеры" почему-то считают, что их работа заканчивается на этапе приема сигнала тревоги и возможной реконфигурации системы защиты. Но это только половина работы. Необходимо провести расследование "почему произошел инцидент?", "кто виноват?" и "что делать?". Иными словами, помимо обнаружения угрозы, необходимо еще реализовать и реагирование на инциденты. А для этого требуется зачастую выезд на территорию заказчика, что может быть проблематично в масштабах России. И вообще, утверждая, что аутсорсер может оперативно реагировать на обнаруживаемые атаки, необходимо пояснять как это будет делаться. Когда у MSS-провайдера всего одна площадка и она в Москве, сложно ожидать, что он сможет оперативно реагировать на взлом во Владивостоке.
В-четвертых, очень мало кто говорит о гарантиях и ответственности. Все их упоминают, но мало кто из российских компаний готов их брать на себя; в т.ч. и по причине финансовой несравнимости со многими из своих заказчиков. А ведь это самое главное в аутсорсинге. Если все-таки компанию с миллиардным оборотом взломали, то чем отвечает компания с оборотом в 30-40 миллионов? А страхование данного вида деятельности у нас пока не развито.
Наконец, меня всегда умиляет ссылка на наличие высококвалифицированных экспертов у компании-"аутсорсера". Откуда им взяться, если у нас специалистов не хватает для более приоритетных задач, а те люди, что есть, циркулируют между компаниями, надолго в них не задерживаясь? Если кто-то и осуществляет аутсорсинг, то это скорее студенты или недавние выпускники, о высокой квалификации и богатом опыте которых говорить рановато.
Еще 2 замечания по статье, уже сугубо технических. Первое касается описания услуги мониторинга средств защиты. Автор предлагает все оповещения об угрозах после их обработки у аутсорсера отправляется клиенту. Вопрос - зачем? Если клиент и платит аутсорсеру, то именно за то, чтобы не связываться с получением таких оповещений. Более того, как правильно замечает автор, у клиента нет ни достаточного количества людей, ни экспертизы, ни возможности работать круглосуточно. Зачем же посылать ему оповещения, которые не будут обработаны? И второе замечание касается такой темы, как хранение сигналов тревоги. Автор пишет, что клиенту не надо думать о том, чтобы хранить все логи от средств защиты - это сделает аутсорсер и будет делать это в течение нескольких лет. Интересно автор когда-нибудь считала какое должно быть хранилище, чтобы решить эту задачу? Один МСЭ генерит порядка около гигабайта логов в день. Умножая этот показатель на число дней в году, количество лет и число контролируемых средств защиты, можно понять, что центр обработки данных у аутсорсера должен быть "недетским". Таких у нас пока нет.
Поэтому я скептически отношусь к идее массового внедрения услуг аутсорсинга в России в настоящий момент. Спрос на них есть, предложение "на бумаге" за ним начинает поспевать, но на практике этот спрос остается неудовлетворенным. Поэтому-то и реальных примеров назвать никто не может.
27.8.07
Были носки от Microsoft... Теперь будет пилотка
Хотя надо обладать определенным чувством юмора, чтобы придти в офис в пилотке ;-)
Как жара действует на наше правильство?
Предпосылка этого летнего сумасшествия проста - товарищ Фрадков попенял товарищу Рейману, что Россия, мол, не лидер мирового ИТ-рынка (http://www.rbcdaily.ru/2007/08/27/media/289229). Леонид Дододжонович не смог ничего ответить; только привел пример Лаборатории Касперского. Ну тут и вступил в дискуссию наш "Макаренко" и сказал, что криптография - это тот сектор, который позволит нам стать мировым лидером. Тут же председатель правительства дал указание проработать этот вопров и до 1-го декабря вынести вердикт - идти по этому пути или нет.
И ведь никто не подумал вот о каких вещах. Во-первых, криптография у всех ассоциируется со спецслужбами, а те с государством. Кто же из иностранных держав пустит на свой рынок такое критичное оборудование, выпущенное потенциальным врагом. А ведь Россия для многих представляется именно так. Ее подъем мало кому интересен, ее энергоносители и зависимость от них вводят всех в ступор. А тут еще и криптография...
Во-вторых, г-да министры видимо не знают, что мы сами неохотно даем добро на импорт чужой криптографии в Россию. Да и экспорт своей у нас ограничен. Почему, запрещая чужую криптографию, мы думаем, что другие ее примут с распростертыми объятиями.
В-третьих, нельзя забывать, что криптография - это не только математика. Это еще и программисты и инженеры, которые будут создавать на основе имеющихся алгоритмов готовое обородувание. А вот тут-то и могут возникнуть проблемы. Умные-то мы умные, но вот делать конкурентоспособные продукты, удобные в использовании и грамотно продвигаемые, мы пока не умеем. А это даже важнее, чем наличие лучших криптоалгоритмов.
Кстати, насчет алгоритмов. Чем мы заслужили звание лучшей криптографической школой? ГОСТ 28147, 34.10, 34.11? Вот и все, что о нас знают на Западе (да и в России тоже). А где все остальное? Где различные криптографические протоколы? Прежде чем выходить на Запад, его надо убедить, что мы сильные не словами, а делами. Мы должны представить действительно серьезные доказательства своей криптографической мощи. Может нам стоит выиграть в каком-нибудь конкурсе на национальный стандарт шифрования (пока в таких конкурсах участвовала только одна наша компания - ЛАН Крипто). И только потом, после проведенного мировым сообществом криптоанализа, можно говорить о нашей лидирующей роли.
Хотя и тут не все просто. Одно дело - разрабатывать алгоритмы, и совсем другое - делать на их основе готовые продукты. Возможно нам предстоит пойти по пути антивируса Касперского, который хоть и известен на Западе, но скорее как антивирусный движок, чем как готовый продукт. С криптографией может произойти такая же ситуация. Мы будем экспортировать технологии, которые будут встраиваться в другие продукты и решения. И первый шаг мы уже сделали - наши криптоалгоритмы описаны в качестве RFC.
20.8.07
Еще одно поглощение
Данная сделка интересна по двум причинам. Во-первых, Sourcefire сама недавно была целью поглощения ее со стороны Check Point. Однако американское правительство отклонило эту сделку, убоявшись угрозы национальной безопасности США со стороны компании, родившейся в земле обетованной. Вторая причина еще более интересна. Обе эти компании активно работают в сегменте решений с открытым кодом, что в "коммерческой" безопасности редкость. Sourcefire выпускает системы предотвращения атак на базе open-source решения Snort, а ClamAV в свою очередь выпускал антивирус (включая и систему борьбы с другим вредоносным кодом) с открытым кодом.
18.8.07
Консолидация рынка продолжается
Например, IBM в начале августа купил американскую компанию Princeton Softech, которая помимо прочего занимается и защитой данных (http://www-03.ibm.com/press/us/en/pressrelease/21980.wss). Другой известный игрок на рынке ПО - компания Novell, купила компанию Senforce Technologies (http://www.novell.com/news/press/novell-expands-security-capabilities-with-acquisition-of-senforce-technologies/) спустя неделю, 13 августа. Теперь Novell сможет предложить решение по защите рабочих станций (ZENworks Endpoint Security Management). В аналогичном направлении движется и компания PatchLink, которая купила SecureWave, также разрабатывающую средства защиты ПК. Это второе приобретение PatchLink за этот год (http://www.patchlink.com/company/Press_release_details.aspx?id=173). В феврале этого года ею уже была куплена компания Harris STAT.
Если посмотреть на рынок пива, автомобилей, авиатехники и т.п., то можно предположить, что скоро практически все ключевые технологии и продукты будут сосредоточены в «руках» 4-6 компаний и большинство традиционных игроков рынка защиты информации в их число не войдет по причине своей малой величины. Не хотелось бы становиться пророком, но можно назвать как минимум 3 компании, которые будут царствовать на рынке ИБ в ближайшие год-два. Это Cisco, IBM и Microsoft. Дальше заглядывать пока рано – агрессивная политика слияний и поглощений кого-либо из серых кардиналов этого рынка может спутать легко карты и тройка лидеров может поменяться.
17.8.07
Красота спасет Интернет... от маньяков
Достаточно интересный способ борьбы с Интернет-угрозами выбрала компания Symantec, которая в июне этого года инициировала в рамках США национальную кампанию "Connected and Protected Child Safety Initiative". Все бы ничего, если бы лицом этой компании не стала выигравшая последний конкурс "Мисс Америка 2007", начинающая бродвейская певица Лорен Нельсон (она же "Мисс Оклахома"). Одной из своих "предвыборных" программ она сделала защиту прав детей в Интернете (правда только в течение года после своей победы). Возможно именно поэтому судьи отдали победу этой "девушке", несмотря на то, что сомнения в ее возрасте возникают у любого, посмотревшего на фотографию Лорен.
Вместе с представителями Symantec она колесит по Америке и "образовывает" детей и их родителей. Помимо поездок по американским городам и весям она занимаются и другой социально-значимой деятельностью. Например, она внесла интересное, хотя и неоригинальное предложение в Конгресс США, не отличается оригинальностью, - включить в школьную программу курсы компьютерной безопасности. В свое время Лорен сама пострадала от виртуальных рук Интернет-маньяка, который прислал ей непристойный фото. Тогда ей было 13 лет. Как написано в одной из заметок по этому поводу, от окончательного развращения Лорен спасла полиция, в которую обратились родители будущей "Мисс Америка".
Все бы ничего, если бы методы, которые использует г-жа Нельсон, не выглядели, мягко говоря, сомнительно. С помощью полиции Нью-Йорка на одном из чатов была создана анкета якобы 14-летней девочки с фото Нельсон в этом же возрасте. Также "Мисс Америка 2007" ходила по сайтам педофилов, заводила с ними разговоры, звонила им и другими способами провоцировала на встречу с собой "в реале". И когда этот миг наставал в дело вступали полицейские и ведущий одного из реалити-шоу.
Хотя идея безусловно здравая. Зная приверженность детей к сотворению кумиров из всяких знаменитостей, привлечение "Мисс Америка", на которую хотят быть похожими чуть ли не вся девичья половина США, а юношеская готова делать все, чтобы хотя бы минутку постоять с ней рядом, выглядит очень даже правильно. К сожалению, пока трудно сказать, какой будет эффект от этой инициативы. Было бы неплохо, если бы могли транслировать американский опыт в России.
Вместе с представителями Symantec она колесит по Америке и "образовывает" детей и их родителей. Помимо поездок по американским городам и весям она занимаются и другой социально-значимой деятельностью. Например, она внесла интересное, хотя и неоригинальное предложение в Конгресс США, не отличается оригинальностью, - включить в школьную программу курсы компьютерной безопасности. В свое время Лорен сама пострадала от виртуальных рук Интернет-маньяка, который прислал ей непристойный фото. Тогда ей было 13 лет. Как написано в одной из заметок по этому поводу, от окончательного развращения Лорен спасла полиция, в которую обратились родители будущей "Мисс Америка".
Все бы ничего, если бы методы, которые использует г-жа Нельсон, не выглядели, мягко говоря, сомнительно. С помощью полиции Нью-Йорка на одном из чатов была создана анкета якобы 14-летней девочки с фото Нельсон в этом же возрасте. Также "Мисс Америка 2007" ходила по сайтам педофилов, заводила с ними разговоры, звонила им и другими способами провоцировала на встречу с собой "в реале". И когда этот миг наставал в дело вступали полицейские и ведущий одного из реалити-шоу.
Хотя идея безусловно здравая. Зная приверженность детей к сотворению кумиров из всяких знаменитостей, привлечение "Мисс Америка", на которую хотят быть похожими чуть ли не вся девичья половина США, а юношеская готова делать все, чтобы хотя бы минутку постоять с ней рядом, выглядит очень даже правильно. К сожалению, пока трудно сказать, какой будет эффект от этой инициативы. Было бы неплохо, если бы могли транслировать американский опыт в России.
12.8.07
Презерватив, как средство повышения осведомленности
В ключевой момент, доставая такое изделие из кармана, сразу вспоминаешь, что безопасность это "наше все" и пренебрегать ею не стоит.
Пока широко такой способ повышения осведомленности не развит. Отчасти из-за некоторого ханжества, отчасти из-за непонимания важности security awareness. Но вспоминая, что на Западе во многих туалетах установлены аппараты по продаже средств индивидуальной защиты, можно представить, что скоро и они станут одной из площадок для продвижения идей безопасности.
10.8.07
Размышление о конференциях по ИБ
У нас все не так. Бесплатных для докладчиков публичных конференций и семинаров почти нет или они очень редки. Как правило, организаторы берут деньги с докладчиков, считая, что последние будут "гнать" рекламу. Ну а когда с докладчика, который обычно представляет какую-то компанию-производителя или поставщика, взяли деньги, то его маркетинговый департамент скорее всего захочет "отбить" заплаченные деньги. В результате организаторы добиваются того, с чем хотят бороться, - т.е. получают рекламные доклады (пусть и со скрытой рекламой).
К чему это приводит в результате? Посетители прекращают посещать такие конференции и семинары, т.к. не готовы слушать за свои деньги (обычно посещение таких мероприятий стоит денег) и свое время рекламу, которые они могут получить бесплатно и на своей территории, пригласив рекламодателя в свой офис. Теряя аудиторию, организаторы, желая все-таки отбить деньги за организацию мероприятия, часто делают его бесплатным для участников, а спикеров заставляют платить за "всех". И мы получаем порочный круг.
Недавно, мне довелось участвовать в одной широко разрекламированной конференции по безопасности (рекламные растяжки висели даже на Тверской). Так вот на заседании, на котором я выступал, присутствовало всего 8 человек (зал был рассчитан человек на 50), из которых семеро было докладчиками! Все это результат неправильной организации мероприятии во всех смыслах.
Только очень небольшой процент конференций и семинаров, организованных в России, идут по "западному" пути. Основной процент дохода идет со стороны слушателей. Но для того, чтобы привлечь хорошую целевую аудиторию, приглашаются интересные докладчики с интересными докладами.
С докладами и докладчиками, кстати, тоже проблема. Организаторы, не являясь специалистами ни в безопасности, ни в искусстве выступать перед аудиторией, "пропускают" либо неинтересные посетителям темы, либо не умеющих говорить спикеров, на выступлениях которых народ просто засыпает или встает и уходит, не возвращаясь уже на других докладчиков. Если же при конференции и создается программный комитет, то очень часто туда приглашают именитых персон или "свадебных генералов", далеких от практики ИБ. В итоге мероприятие опять страдает.
ЗЫ. К слову сказать, хороших докладчиков по ИБ, которые умеют "зажечь" и которые рассказывают интересные и полезные вещи, тоже не так уж и много. А учитывая все возрастающий интерес к теме безопасности и желание "срубить" легкие деньги, организаторам приходится приглашать "абы кого", только бы забить тайм-слоты.
Как повышают осведомленность в ИБ в Intel?
Самое простое, что делают в Intel, как и во многих других компаниях - развешивают в "ходовых" местах различные постеры и плакаты. Очень удачное место для это - "курилка". Надо сказать, что в западных компаниях это маловероятно из-за их приверженнности здоровому образу жизни. В России пока не столь категоричны и в офисах еще можно курить, несмотря на принятие соответствующего закона.
Второй интересный вариант - шнурки для беджей, которые всегда на шее (исключая тех сотрудников, которые носят такие бейджи на поясе).
Главное, что требуется от любого носителя информации по security awareness - его постоянное мелькание перед глазами. Что может служить таким носителем кроме шнурка для бейджа, плаката в курилке или настольного календаря?.. Карандаш или ручка... Они используются повсеместно даже в наш компьютерный век. Такие карандаши можно положить в переговорных комнатах и тогда о вашей заботе о безопасности узнают и все ваши клиенты и партнеры. А это благоприятно будет влиять на вашу репутацию.
ЗЫ. Размещать надписи о безопасности на стилусе смартфона или КПК не стоит - слишком уж мелкий шрифт придется использовать.
Мы занимаемся не тем...
"Добрый вечер
Мы рады предложить Вам вакансию
Прибыль от 1521 долларов в день.
у нас есть возможность иметь доступ к информации о кредитных картах и пин кодах .
Мы предлагаем, чтобы Вы обналичивали эти карты за половину от денег, которые там будут. Суммы от 2275 долларов. Мы ищем долгосрочное сотрудничество только с серьезными людьми.
Пишите на ..."
ОТ полутора тысяч в день. За пару лет в олигархи можно выбиться, за десятилетку попасть в список Форбс...
ЗЫ. Письмо, кстати, пришло с мастерхостовых адресов ;-(
7.8.07
Ах, козлятушки, вы ребятушки
Ах, козлятушки, куда сгинули,
На кого ж меня вы покинули!
Не послушали своей матушки
Получилися обознатушки.
Позабыли вы голос матери,
Видно бдительность вы утратили.
Допустили вы упущение,
Видно волк проник в помещение.
Аутентификация по голосу в чистом виде ;-)
Безопасность... и асфальт
Итак, сейчас лето. Пора завершающего этапа подготовки к зимнему сезону. В том числе ремонтируют и дороги, точнее латают их. И такое повторяется каждый год. Сначала старый (хотя ему всего год) асфальт снимают, потом на его место кладут новый асфальт. Итого 2 операции, за каждую из которых берут, допустим Х рублей. Итого 2Х рублей в год. Плюс стоимость асфальта Y.
Почему нельзя поступить как на Западе, где асфальт не меняется годами? Почему у нас в дорожном покрытии колеи, вмятины и ямы появляются уже через пару месяцев после его укладки? Допустим у нас есть современный стойкий асфальт, который не надо менять каждый год. Разумеется, стоит он дороже. Допустим в 3 раза, чем упомянутый выше асфальт, т.е. 3Y. Хотя на самом деле стоит он не в 3, а в 1,5-2 раза больше. Казалось бы разницы никакой. 3 года тратить по Y или потратить 3Y один раз, но за три года. Но это так кажется. Ведь мы не учитываем сопутствующие затраты - снятие и укладку асфальта. Во втором случае эта стоимость за 3 года составит 2X за три года, а в первом - 6X за тот же период. А учитывая, что стоимость услуг у нас обычно превышает стоимость обслуживаемого продукта, то получается, что изначально дорогой асфальт оказывается выгоднее, чем дешевый (вопросы откатов я в рассчет не беру).
Аналогичные рассуждения можно применить и к системам защиты.