Первый в СНГ банк, получивший сертификат соответствия ISO 27001

В декабре этого года АзияУниверсалБанк успешно прошел сертификацию по международному стандарту Системы Управления Информационной Безопасностью (СУИБ) - ISO/IEC 27001:2005. Он стал первым банком в СНГ, получившим сертификат по информационной безопасности Британского института стандартов.

Детали: http://www.aub.kg/ru/news/?news=1034

Первый в России CSO Summit

Ну вот мы и дожили до того, что у нас стали что-то делать не только для технических специалистов, но и для CISO. 24-25 марта в Москве пройдет первый CSO Summit.

Организаторы национально известного Russian CIO Summit – маркетинговое агентство "Форт-Росс" - представляют Первый Съезд Директоров по Информационной Безопасности. CSO Summit – мероприятие, ориентированное на руководителей подразделений по информационной безопасности компаний крупного и среднего бизнеса. Мероприятие, которое призвано помочь разобраться в решениях, представленных на рынке и выбрать стратегию по формированию и поддержанию Информационной Безопасности в компании.

Ключевые тематики:

• Тенденции развития информационной безопасности в мире
• Лучшие примеры внедрения информационной безопасности в российских компаниях
• Мобильная безопасность – пути достижения и основные угрозы
• Международный опыт в решении вопроса безопасности
• Инновации в сфере информационной безопасности

Одна из особенностей мероприятия в том, что выступать на ней будут преимущественно руководители подразделений по ИБ. Т.е. рекламных докладов будет минимум, что не может не радовать.

Адрес сайта саммита: www.cso-summit.ru

Какого СМИ по ИБ нам не хватает?

На днях задался вопросом, а какой бы Интернет-ресурс (или журнал) по ИБ я бы посещал (читал)? Среди существующих таковых нет ;-( Есть множество ресурсов для администраторов, есть рекламные площадки, есть сайты-форумы или редко обновляемые порталы...

Вот список тем, которые были бы мне интересны:

• разработка политик, стандартов, инструкций, процедур, планов по безопасности и их интеграция в планы BCP, DR и другие
• security compliance и его связь с различными высокоуровневыми требованиями (корпоративное поведение, внутренний контроль, ИТ и т.д.)
• security governance (именно governance, а не management)
• управление рисками
• архитектура информационной безопасности
• разработка целей ИБ, направлений и стратегии развития
• бюджетирование ИБ
• внутренний маркетинг ИБ
• измерение эффективности ИБ, метрики ИБ

Думаю, что такие темы были бы интересны не только мне, но и любому специалисту по безопасности, который "вырос" за пределы только технологического понимания тематики ИБ.

Новый журнал "Риск-менеджмент"

На днях открыл для себя новый журнал "Риск-менеджмент". Не могу сказать, что он совсем новый, т.к. сейчас вышел уже сдвоенный 11-12-ый номер, но я на него наткнулся только недавно. Журнал действительно интересный и рассматривает различные риски, присущие компаниям, а также меры по управлению ими - обеспечение непрерывности бизнеса, внутренний контроль/аудит, страхование и т.д.

Сайт издания - www.riskm.ru

Безопасность в России и в мире: очередная разница

Консалтинговая компания "Грант Торнтон Интернешнл" провела исследование, основная цель которого- выявить стратегический взгляд руководителей предприятий на перспективы их компаний. Были опрошены 7200 владельцев в 32 странах мира, включая Россию.

Согласно одному из разделов этого отчета, российские компании не готовы к кризисным ситуациям так, как их западные коллеги. У нас очень слабо развит учет текущих и будущих рисков, а также меры по управлению ими. Только 20% компаний имеют топ-менеджера, ответственнго за управление рисками. План действий в кризисной ситуацией, связанной с

• нарушением конфиденциальности, есть у 53% компаний


• нарушением безопасности информации, есть у 42% компаний


• сбоем компьютерных сетей, есть у 35% компаний


• и т.д.

У западных предпринимателей эти показатели существенно выше.

Что заставляет компании создавать план восстановления работоспособности?

Согласно результатам исследования, проведенного Dynamics Market совместно с Symantec, 3 самых важных риска, которые и приводят компании к созданию плана восстановления работоспособноссти (Disaster Recovery Plan). Это стихийные бедствия, терроризм и вирусные атаки. На четвертом месте - риск потери информации. Иными словами инциденты с ИБ становятся катализаторами, которые и позволяют вынести тему обеспечения информационной безопасности на более высокий уровень. Главное, чтобы специалистов ИБ пригласили к участию в рабочей группе по созданию плана обеспечения непрерывности.

Безопасность с человеческим лицом

Давно хотел обратиться к теме usability в безопасности. Особенно после дискуссии на seclab'е по поводу решений "НПП БИТ". И вот родилась статья, которую я сначала опубликовал в журнале "ИТ Спец", а по истечении трех месяцев и на секлабе.

Даже первые отзывы уже пошли. Негативные ;-) Например, "То уродство, что Ваша компания продает за немалые деньги, для профи Ставит жирный крест, на Ваших разглагольствованиях о "конечном пользователе" и его удобствах" (пунктуация автора сохранена).

ЗЫ. Интересно, что меня многие по-прежнему олицетворяют с компанией, в которой я работаю. Но это не так. Я - это я. Неся благую весть про безопасность, я не всегда делаю это от имени своего работодателя. А значит и не надо все мои статьи считать рекламой b пропагандой Cisco ;-)

ЗЗЫ. Гендиректор на одном из предыдущих мест работ даже запретил мне публиковаться под своим именем. Он посчитал, что я известен более, чем сама компания. А поэтому все статьи всех сотрудников должны публиковаться под маркой "По материалам <имя работодателя>".

ЗЗЗЫ. Опубликовав статью "Западный или российский производитель ИБ: кого выбрать?" я по привычке подписал ее своей должностью. Через пару часов гендиректор одного из российских разработчиков написал к нам в компанию письмо. Мол, это что, официальная позиция Cisco?!

О понимании истинной роли безопасности в бизнесе

Часто читая в последнее время курсы и презентации по связи безопасности и бизнеса я столкнулся с интересным парадоксом. Потребность со стороны заказчиков в такой информации есть и она огромна. После презентаций я слышу очень много высказываний о том, что эта информация позволяет по новому взглянуть на роль ИБ в компании и что она действительно позволяет вывести ИБ на качественно новый уровень. И это не голословно... На одном из курсов представители крупнейшего отечественного оператора связи многое из того, что я рассказывал уже внедрили у себя в компании. Я и раньше считал, что безопасность у них выстроена очень грамотно, а тут лишний раз в этом убедился. Да и бизнес у них растет очень нехилыми темпами, опережая ближайших конкурентов (про инциденты с ними я не слышал в последние годы).

Но... вакуум в этой области как был, так и остается. Производители и разработчики просто не понимают эту тему ;-( Уж так случилось. Интеграторы занимаются интеграцией продуктов. Консультанты предлагают технический консалтинг по ИБ. Бизнес-консалтинг в области ИБ не предлагает практически никто. Справедливости ради надо заметить, что и в ИТ бизнес-консалтинг пока предлагают немногие.

Учебные центры не учат этой теме, ограничиваясь темой compliance и интеграцией ИБ и ИТ в рамках COBIT и других стандартов. Пресса тоже не готова воспринимать это направление - все статьи, что заказывают сегодня, мусолят одни и те же темы - антивирусы, МСЭ, IPS, управление, стандарты... Итак по кругу.

Все игроки рынка жалуются, что заказчик не готов тратить много денег на безопасность. При этом они сами не в состоянии предложить потребителю решение его проблем. Недавно я прочитал статью, написанную сотрудником одной именитой компании, который озаглавил ее примерно так "Мы сами знаем, что нужно клиенту"... Такое "знание" обычно завершается на поставке большой партии железа и софта и подведение под имеющийся бюджет некоего обоснования ;-(

Я прекрасно понимаю, что это нормальный эволюционный процесс, но хотелось бы уж поскорее придти к правильному пониманию роли ИБ в бизнесе. Надеюсь, что грядущий 2008-ой год поспособствует этому ;-)

Новый ресурс по ИБ. Нужен ли?

Недавно на bankir.ru была дискуссия на тему создания очередного ресурса по информационной безопасности. Члены форума высказывали логичные мысли на тему существующих ресурсов. Одни рассчитаны на хакеров-подростков. Другие продвигают конкретные компании. И ни те, ни другие не дают никакой полезной в реальной жизни информации. Новости, статьи, утилиты... Нет "рыб" документов, нет возможности обмена опытом...

И действительно. Ресурсов казалось бы много, в т.ч. и по системам управления ИБ, стандартам ISO 2700x, но действительно полезного Интернет-инструмента в Рунете так и нет. На Западе есть sans.org, securityfocus.com, csoonline.com. А потребность в таком сайте велика. Даже не в одном. Нужен ресурс для CISO, нужен для ведущих специалистов (не администраторов).

Я знаю о трех попытках создания таких ресурсов. Ни одна пока не увенчалась успехом. В одном случае идея заглохла еще на стадии обсуждения. Во втором - сайт ограничился форумом и рекламой курсов и семинаров по ИБ. Только третья попытка пока не стала достоянием гласности, но работы по ней ведутся. Посмотрим, что получится. Но есть подозрение, что и она не сможет удовлетворить все потребности. А жаль ;-(

Новые поглощения на рынке ИБ

Не прошло и месяца, как вновь на рынке ИБ произошло уплотнение и укрупнение. Сразу две сделки были зафиксированы аналитиками. Первая - покупка малоизвестным (хотя число его клиентов превышает 60 миллионов) антивирусным производителем Grisoft (http://www.grisoft.com/) разработчика системы обнаружения Web-угроз LinkScanner - компании Exploit Prevention Lab.

Второе поглощение более интересно - компания IBM купила компанию Arsenal Digital Solution, которая работала в сегменте защиты, резервирования и восстановления данных на ПК и серверах (http://www-03.ibm.com/press/us/en/pressrelease/22778.wss). В ноябре IBM уже заявляла, что в 2008 году она потратит 1,5 миллиарда (!) на безопасность и вот первое подтверждение ее слов. Однако не все аналитики позитивно смотрят на вступление IBM на рынок безопасности. Например, эксперты Gartner считают, что умелая работа в сегменте ИТ-инфраструктуры еще не означает, что IBM примут с распростертыми объятиями на рынке ИБ (http://www.networkworld.com/news/2007/120607-ibm-network-security.html). Но и сбрасывать со счетов "голубого гиганта" не стоит. Достаточно вспомнить экспансию Microsoft на этот рынок. Аггресивная маркетинговая политика и наличие больших финансовых возможностей может существенно изменить ситуацию на рынке безопасности и подвинуть других игроков.

Бизнес без опасности

30-го ноября, в международный день защиты информации мы провели в Киеве конференцию "Бизнес без опасности". Было организовано два потока - технический и бизнес. На бизнес-потоке я читал 5 презентаций, 4 из которых могут быть интересны многим:
- Как связать безопасность с бизнес-стратегией предприятия? Как оценить безопасность в понятных бизнесу метриках?
- Архитектура ИБ и ее место в архитектуре предприятия и ИТ-архитектуре
- Обеспечение информационной безопасности в контексте стандартов ITIL и CoBIT
- Как решения Cisco по информационной безопасности реализуют требования стандартов PCI DSS и ISO 17799.

Все презентации выложены по адресу: http://www.cisco-events.ru/SecurityDay30Nov2007/download.html

ЗЫ. Первая презентация является сильно укороченной версией "тайландского" курса.

Как организовать выездное мероприятие по безопасности?

Как человеку, часто участвующему во всяких выездных мероприятиях, у меня сложилось несколько наблюдений, которые могут быть полезны тем, кто только планирует вывозить специалистов по безопасности заграницу или хочет улучшить уже существующую практику.

Итак, 3 составляющих хорошей поездки:

• Деловая программа
• Культурная программа
• Организация.

Разумеется, все эти ингредиенты должны начинаться с прилагательного "хорошая". Если мы хотим организовать отличную поездку, о которой потом будут слагать легенды, то вместо "хороший" используем "отличный" ;-) И конечно же нельзя забывать о том, что все эти составляющие должны быть подобраны в идеальной пропорции. Перекос в одну их сторон скажется на всем мероприятии.

Например, отличная деловая программа при полном отсутствии организации приведет к тому, что многие попросту пропустят интересные доклады. А отсутствие и культурной программы при этом заставит людей искать интересные туры самостоятельно. И опять в ущерб деловой программе. Другой пример. Организация на высоте, но деловая программа ограничивается голой рекламой каких-то продуктов. Результат тоже будет негативным. Люди скажут спасибо за то, что их вывезли, но эффекта с точки зрения поставленных целей не будет. А конце концов ваша задача сделать так, что поездка запомнилась на долго и участники вспоминали ее, хотели ее повторить и рекомендовали вас своим друзьям и коллегам. Если же поездка вызывает негативные или абсолютно нейтральные ассоциации, то это скажется и на отношении к самим организаторам, которое улучшить будет непросто (а ресурсов это потребует гораздо больше, чем вы сэкономили).

Насчет места проведения. Не стоит такие мероприятия проводить на пляжах. Тем самым вы выбиваете почву у себя из под ног. Многие участники будут проводить время на пляже, а не в конференц-зале. Или самостоятельно ездить по экскурсиям, если вы не предоставили им такой возможности. Кстати, если вы отдаете культурную программу (совместное распитие водки в баре отеля я за культурную программу не считаю) на откуп самим участникам, то будьте готовы к тому, что вас они не запомнят, т.к. у них будет отсутствовать ассоциативная связь между именем вашей компании и хорошим отдыхом. Вы для них станете обычным туроператором. Хотя нет. Обычный туроператор для них будет даже больше знаком, т.к. именно он позаботится об отдыхе ваших людей.

Не советую проводить мероприятия в заезженных местах типа Турции и Египта. Они уже порядком всем надоели и заманить туда кого-нибудь будет сложно. Даже потрясающая культурная и деловая программа не изменит сложившегося у многих мнения об этих местах массового отдыха соотечественников.

Но самое главное, в любой такой поездке - это цель. Отсутствие цели или неправильное целеполагание сводит на нет все усилия. Допустим, мы хотим просто повысить лояльность клиентов и для этого вывозим их за пределы нашей необъятной Родины. Цель ли это? Повышение лояльности? Безусловно. Формирование вокруг организаторов сообщества профессионалов тоже цель. Последующий рост продаж тоже цель. Все, что мы делаем в рамках конференции должно следовать этой цели. Анархии и хаоса быть не должно.

Организация таких поездок - это то, что необходимо отдавать на аутсорсинг. Даже если у вас в отделе маркетинга есть молодая девочка, на которую взваливается весь груз по ведению вашего мероприятия, то все равно помните, что специализированное агентство сделает все гораздо лучше и профессиональнее. Экономить тут не следует. К сожалению мне не раз приходилось видеть, когда попытка "снизить косты" (reduce costs) и сделать все своими силами оборачивалась нулевым эффектом. Почему? Потому что, сотрудник, взваливший на плечи груз организации выездного мероприятия, тоже человек. Он хочет гулять со всеми, спать со всеми, ездить на экскурсии со всеми и пить тоже со всеми. А он вынужден следить за нетрезвыми участниками группы, вовремя их будить, разбираться с отсутствием проектора в конференц-зале, позаботиться о том, чтобы у каждого была и программа мероприятия, и карта того места, куда все приехали, и взять на себя общение с шеф-поваром ресторана, и даже распечатать бейджик с названием и адресом отеля (на всякий случай ;-). Специализированное агентство сделает это гораздо лучше, сделав вашу поездку многократно приятнее.

Но специализированное, не значит туристическое. Организация пляжных туров и деловых поездок - это небо и земля. В конце концов вы вывозите не непознавших мир жителей глубинки, которые до сих пор максимум где отдыхали, это в Сочи или в Крыму. Вы вывозите людей, облеченных влиянием в своей компании, не раз бывавших за границей и живших в пятизвездочных отелях. Они ценят комфорт во всех проявлениях. Пример из жизни. Вот ездил я с таким вот туроператором заграницу. Поселил он нас в прибрежном отеле 3*, который ориентирован на то, что люди все время проводят не в номере, а на пляже. Так вот в номере была всего одна электрическая розетка и та, в ванне (видимо для бритвы). Ни Wi-Fi, ни ADSL/Ethernet в отеле не было в принципе. Зато телефонная розетка, через которую я подключался к Интернет по модему (такой архаикой я давно не пользовался), была только в комнате. Вот так и бегал из ванны в комнату и обратно. В ванне заряжал лэптоп, а в комнате работал по модему. Классические туроператоры рассчитаны на ПОТОК. Более того. Они справедливо полагают, что большинство людей в одно и тоже место ездят отдыхать не так часто. Поэтому вы можете высказывать свои претензии, но проверить их выполнение сможете врядли. А значит можно не напрягаться ;-( Из тех агентств, которые мне понравились, могу назвать только одно - ATH (http://www.ath.ru/).

А теперь несколько примеров того, как надо и не надо проводить мероприятия для специалистов по информационной безопасности.

Место: Сан-Сити, ЮАР. Однодневая деловая программа включает рассказы о тенденциях в мире ИБ, подходах в борьбе с ключевыми угрозами, рекламное выступление спонсора (но включающее не только описание продуктов, но и некоторую аналитику) и выступление заказчика. Потом круглый стол для обмена мнениями. Идеальное сочетание, позволяющее послушать, позадавать вопросы и поговорить.

Культурная программа включает поездку всей группы на крокодилью ферму, сафари, африканскую деревню, а также на мыс Доброй Надежды около Кейптауна. Интересно и незаезженно. Никто не отказался, никто не потерялся. А в результате большая сплоченность группы и возможность обсудить многие вопросы между собой, поделиться опытом и т.д. Организаторы всегда с вами. Вечера тоже вместе. Они знают вас, вы лучше познаете их. Из box mover'ов они превращаются в trusted advisor'ов.

Организация со стороны ATH тоже на высоте. Координаты для экстренной связи, описание места для мероприятия в раздатке (с указанием всех близлежащих достопримечательностей), консультации по возможным дополнительным экскурсиям, помощь в их заказе, рассказ о скользких моментах, опасностях и т.д. К слову сказать, менеджер ATH всегда с вами - днем и ночью. Он выделен для сопровождения именно вашей группы. Никаких "я буду отвечать на все вопросы в холле отеля каждый день с 17.00 до 18.30". Интернет в отеле представлен Wi-Fi'ем в каждом номере.

Общая оценка: 5+

Место: Канарские острова. Деловая программа рассчитана на 3 дня и включает много очень интересной и полезной информации, как с точки зрения продуктов, так и с точки зрения тенденций, аналитики и т.д. Идеального сочетания не получается, т.к. программа избыточна на мой взгляд. Слишком много информации - голова пухнет.

Культурная программа хоть и предусмотрена, но она не отличается оригинальностью - поездка в парк кактусов и обзорная экскурсия по острову. Учитывая отсутствия какой-либо истории и архитектуры на Канарах, культурная программа подкачала и ее отсутствие многие компенсировали в баре. К слову сказать, до пляжа идти было минут 15-20, что немного подпортило впечатление. Опять же если человек выбирается на пляж, то его уже не стоит ожидать на семинаре, т.к. это вам не 2 минуты добежать от моря до номера. Тут надо потратить полчаса, на что многие неготовы.

Организация своими силами, что с одной стороны и неплохо (знание отрасли, знание аудитории и т.д.), а с другой - незнание многих специфических особенностей этого места приводило к достаточно комичным, а иногда и просто стремным ситуациям. Интернет в отеле ограничивается 3-мя компьютерами в "бизнес-центре" (при полном отсутствии русской раскладки и клавиатуры). Свой компьютер подключить нельзя. Горничные по английски не понимают и приходится общаться только через reception! Для крупного заграничного отеля просто нонсенс.

Общая оценка: 4

Место: Турция. 3-хдневная деловая программа разбита на 2 параллельных потока и включает как продуктовые доклады, так и различную аналитику. Из неудачных моментов - параллелизм, который заставляет вас делать выбор между двумя интересными докладами, выступление иностранных спикеров (найти хорошего переводчика "в теме" и в Москве проблема, а уж заграницей и подавно). Из положительного - круглые столы (но было их многовато и на каждый выделялось не больше 40-60 минут, что недостаточно для эффективного обмена мнениями).

Культурная программа отсутствует как класс - каждый ищет приключения на свой вкус. Кто-то поехал на массаж, кто-то в общественные турецкие бани, но большинство склонялось по пляжу или сидело в баре.

Организация на троечку. Попытка сэкономить и провести все своими силами привела к тому, что отель не был заранее проверен. И хотя он был заявлен как 5* (All Inclusive), он не дотягивал и 4-х. Прокуренные номера, наличие в номерах неэлектронных сейфов, ключи для которых надо получать и сдавать (!) на reception и т.д. Интернет в отеле ограничивается 2-мя компьютерами в "бизнес-центре". Свой компьютер подключить нельзя.

Общая оценка: 3

Вот примерно такие впечатления/рекомендации получились. Не могу сказать, что я написал все, что хотел. Просто нахожусь под "ярким" впечатлением нескольких поездок, произошедших за последний месяц.

ЗЫ. В киевском Radisson SAS, откуда я вернулся на днях, учитывая канун новогодних праздников, каждый день на входе раздавали мандарины и миндаль, поили глинтвейном, а 6-го числа (день св.Николая) на ручку двери повесили рождественский носок с подарками ;-) Моя лояльность к этому отелю возросла многократно.

Чем протирают очки в Cisco?

Несмотря на обещание прислать пилотку и галстук (http://lukatsky.blogspot.com/2007/08/microsoft.html), Microsoft меня "кинула" ;-( Вот уж декабрь, а этих средств повышения осведомленности так и нет. Но зато я вспомнил, что совершенно забыл рассказать про очередной вариант повышения осведомленности, который принят у нас в компании. Так часто им пользуюсь, что вошло в привычку ;-) Итак, речь идет о тряпочке для протирки очков! Очень полезная вещь в хозяйстве. Спрятана в небольшой чехольчик размером 3 на 2 см, который вешается к поясу. На самой микрофайберной салфетке надпись "I'm, Security Champion!" Просто и со вкусом. Для людей, постоянно носящих очки, лучше и не придумаешь - напоминание про безопасность постоянно перед глазами.

О безопасности бизнеса среди тайских красот - 2

Ну вот и закончились все командировки, в которых я провел почти месяц (завтра было бы ровно 30 дней). Достаточно интересной оказалась поездка в Тайланд, о которой я уже писал (http://lukatsky.blogspot.com/2007/09/blog-post_1730.html). Арканоид был прав, для многих это оказалось непосильной задачей. Учиться среди тайских красот... Из почти 25 человек все дни обучения отсидели только две компании (не считая организаторов), одной из которых многое из мной рассказаного было знакомо на практике. Другие же "участники" занимались посещением достопримечательностей и принятием водных процедур, в т.ч. и внутрь себя ;-)

С другой стороны, мне удалось "добить" вторую версию этого курса ;-) Теперь готовлю третью версию - многое еще что можно сказать по теме связи безопасности и бизнеса.

ЗЫ. Самому мне тоже удалось выкроить последний день на экскурсии - фото тут - http://imgsrc.ru/akul/a183883.html

ЗЗЫ. Оказалось, что в отеле, где мы жили в Паттайе, не было Интернета ;-( Пришлось звонить на модемный пул в Чонбури (соседний с Паттаей город), а затем подключаться к VPN-шлюзу в Бангалоре. И все это на 28К. Давно с такими скоростями не работал ;-) Но ничего, все прошло "на ура".

О роли времени в ИБ

В одном интересном материале на днях прочитал, что эффективная программа ИБ внедряется в компании в течении 3-х лет. "Эффективная" в данном контексте значит, что она вынесена на уровень топ-менеджмента компании и увязана с бизнес-стратегией предприятия. 3 года - это некоторая усредненная (а возможно и минимальная) оценка для западных компаний (не SMB-уровня) с ИХ уровнем развития и зрелости. Иными словами не стоит рассчитывать, что в российских условиях эффективная программа ИБ будет внедрена быстрее чем за 3-4 года.

В такой ситуации достаточно интересно наблюдать метания ряда российских CISO, которые проработав менее 2-х лет в своей компании, уходят из нее на новое место, приговаривая при этом, что на прошлом рабочем месте их не поняли и не дали развивать направление информационной безопасности. А по другому просто и не могло быть. У любого процесса свои законы развития и перепрыгнуть через определенные эволюционные этапы невозможно. То же относится и к ИБ.

К чему я это написал? Не стоит рассчитывать на успех внедрения программы ИБ раньше 3-х лет. Это реальная временная оценка. И если у вас за 2 года программа не внедрилась, то это не значит, что вы что-то неправильно делаете (хотя и это возможно). Просто время еще не пришло.

Максимизирование бизнес капиталовложений

Иногда читаешь регулярно приходящие приглашения на различные конференции и семинары по безопасности и диву даешься. Неужели люди не могут хотя бы сами прочитывать свои перлы перед отправкой?.. Ждать, что они обратятся к профессиональным корректорам/редакторам уже не приходится.

Вот прислали сегодня приглашение, в котором есть такие строки:
- "Многие успешные организации имеют преимущества, осуществляя максимизирование бизнес капиталовложений и открытия новых возможностей"
- "Обеспечение эффективной безопасности для ресурсов целевого менеджмента"
- "Гарантирование соответствие и управление"
- "Информационная безопасность является признанным путеводителем и средством поддержки в достижении надежности бизнеса"...

Кто это переводил? Сегодня, как мне кажется, даже машинный перевод таких ляпов не делает. Читая такие приглашения, желание участвовать в мероприятии пропадает напрочь.

ЗЫ. Кому интересно, речь идет о конференции "27000 Business Goes Global" (http://www.infosystem.ru/longconf.php?fid=1193842725848334)

Что важнее в ИБ - маркетинг или технологии?

В предпоследнем PCWeek/RE прочитал интересную заметку (http://www.pcweek.ru/themes/detail.php?ID=103102) про одного из основателей Acer - Стена Ши. Статья посвящена ПК, но ее положения можно спроецировать и на безопасность. Стен Ши придумал такое понятие как "Smiling Curve", которая описывает, что надо сделать, чтобы производители ПК получали больше прибылей.

Мы видим, что "тупое" производство (то же касается и сетевого оборудования) денег приносит не так уж и много. Но даже наличие НИОКРов и бренда само по себе не говорит о прибыльности бизнеса. Почти любой мало-мальски известный вендор может похвастаться и патентами, и НИОКРами, и зарегистрированными торговыми марками и т.п. Но лидерами рынка ИБ они не являются, и потребитель их не покупает... даже если технология у них действительно неплохая. Как пример приведу компанию TippingPoint. Отличная IPS. Высокие скорости работы, неплохие алгоритмы обнаружения атак и т.д. Но недавно 3Com стал распродавать акции этого своего подразделения. Могу предположить, что по причине "забывчивости" по отношению к правой части кривой, продукт и не получил широкого распространения.

Вот и получается, что на рынке ИБ (как и на любом другом рынке) важную роль играет не только наличие технологии, но и множество других параметров, на которые далеко не все обращают внимание, считая это "ненужными" вещами. В первую очередь, речь идет о маркетинге, дистрибуции и постпродажном обслуживании, что к безопасности имеет опосредованное отношение, но напрямую влияет на рост бизнеса компании.

Именно поэтому многие начинающие вендоры несмотря на отличную технологию не могут выдвинуться в лидеры. Концентрация только на технических аспектах своего продукта еще не гарантирует его успех на рынке, который играет по своим законам. И чтобы выбиться в лидеры и не зависеть от наличия лобби или действий регуляторов, надо эти рыночные законы учитывать.

Trend Micro купила компанию Provilla

Уже на раз об этом писал, поэтому буду краток - Trend Micro купила компанию Provilla. Как не сложно догадаться, Provilla активно занималась решениями в DLP-сегменте. Основанная два года назад, Provilla предлагала своим заказчикам систему контроля и предотвращения утечки информации LeakProof.

Безопасность в аналогиях

Для того, чтобы донести какую-нибудь сложную мысль до широкой общественности, одним из способов является использование метода аналогий. Несколько лет назад я хотел запустить специальный сайт с аналогиями, но руки так и не дошли. Но зато перо не простаивает ;-) Вчера опубликовал 5-ую статью из серии "Безопасность в аналогиях" - "Ремонт квартиры и информационная безопасность: что общего?"
http://www.securitylab.ru/opinion/306307.php.

До нее были:
- "Звериный оскал безопасности" (http://www.securitylab.ru/contest/285834.php)
- "Что обшего между защитой информации и женщиной"
(http://www.securitylab.ru/opinion/293626.php)
- "Безопасность корпоративного младенца" (http://www.medicina-online.ru/articles/40277/)
- "Играя в безопасность, или что общего между футболом и защитой информации" (http://bugtraq.ru/library/misc/football.html).

На подходе у меня обновленная версия футбольной аналогии, а за ней последует еще автомобильная тема. Дальше я пока не думал. Может и еще что родится...

Мисс Безопасность 2007 - конкурс продолжается

Я уже писал (http://lukatsky.blogspot.com/2007/09/2007.html) про конкурс "Мисс Безопасность 2007", который организован на сайте http://miss.securityday.ru/. Он скоро подходит к концу и уже сейчас можно сделать несколько интересных выводов:

1. Из области ИБ в этом конкурсе не участвует практически никто ;-( Исключение составляют компании Microsoft, Доктор Веб, Информзащита, Ниеншанц-Защита и АИС. И это грустно ;-(
2. Очень интересно посмотреть на описание достоинств участниц конкурса. Кто-то, как в предыдущем посте, ставит себе в заслугу организацию ужина на вершине небоскреба. Но есть и просто потрясающие описания. Например, http://miss.securityday.ru/index.cfm?show=2275: OS: Windows NT/2000/2003, Unix FreeBSD, Linux RedHat, Unix SunOS, Linux RAQ 4/5. Code: ASM, C/C++, Pascal, Java, Perl. BorlandC++, Delphi, MSVC, lcc, cc/gcc. API: Windows kernel/network/graphic API, Unix system/network API. Web code: CGI, PHP, HTML, XML, JSP. DataBase: MSSQL, MySQL, InterBase, PostgreSQL, Oracle. Protocols: x.25, TCP/IP, TCP, UDP, ICMP, IGMP, VPN, NAT. Debug/Revers: Soft-Ice, Ida Pro, hiew, qview, OllyDbg, WinDBG. Я не знаю, как с точки зрения безопасности, но такой послужной список внушает уважение.
3. Все по разнмоу подходят к выбору фотографий. Кто-то, видимо узнав про конкурс, фотографируется в офисе "как есть" (например, http://miss.securityday.ru/index.cfm?show=2253). А кто-то выкладывает целые проффесионально сделанные портфолио. Например, по этому пути пошел Microsoft, представив на конкурс своего руководителя инициативы корпоративной безопасности (http://miss.securityday.ru/index.cfm?show=2315). Последняя кандидатура имеет все шансы на победу ;-)

Учитывая вышесказанное, можно предложить идею проведения аналогичного конкурса, но в области ИБ. Назвать такой конкурс можно по-разному - "Мисс Защита Информации", "Мисс СКЗИ", "Мисс антивирус" ;-)

О цивилизованном способе борьбы в тендерах

Ну вот и до рынка ИБ добралась цивилизация. Проигрыши в тендерах теперь начинают оспариваться в суде. Итак, первый случай. Лаборатория Касперского была придворным антивирусным поставщиком ФНС. Логично было предположить, что в недавно объявленном очередном тендере на оснащение 120000 (сто двадцать тысяч!) компьютеров антивирусом выиграет тоже ЛК. Но не тут-то было. Тендер выигрывает компания Лета с антивирусом ESET NOD32. По публичной информации выигрыш произошел за счет более низкой цены (46 млн.рублей против 56 млн. от ЛК). Для госструктур это неудивительно. Приходилось видеть тендера, в которых вес такого показателя, как "цена" достигал 95%, а вес такого показателя, как "соответствие требованиям ТЗ" не превышал всего 5%. Но вернемся к ЛК и Лете.

Через какое-то время ФНС отстраняет Лету от конкурса, ссылаясь на то, что NOD32 не работает в Lotus'е. Лета обращается в ФАС, которая закономерно принуждает ФНС вернуть ESET в тендер, т.к. изначально требования работать с Lotus'ом в ТЗ не было. В итоге Лета выигрывает (все-таки 10 миллионов разницы - это не фунт изюма). ЛК подает в арбитражный суд, требуя отменить результаты конкурса (что логично, учитывая сумму контракта в 2 с лишним миллиона долларов). А пока иск рассматривается в суде, ФНС успевает заключить договор на поставку с Летой. Через какое-то время суд принимает решение не в пользу ЛК.

К слову сказать, после этого события ЛК заявила, что использование NOD32 противоречит доктрине информационной безопасности России, утвержденной президентом, потому что продукция ESET не сертифицирована во ФСТЭК. Тут ЛК сильно лукавит, т.к. у NOD32 есть сертификат ФСТЭК. Правда на 300, а не 120000 экземпляров, но это уже дело десятое.

Интересен тот факт, что это один из первых публичных случаев, когда результаты тендера на поставку средств защиты были оспорены в суде. Рейдерские разборки, захваты чужой собственности, размывание акций, выживание директоров со своих позиций... Все это казалось невозможным на рынке ИБ. Но вот ситуация изменилась. И это не последний пример.

Недавно одна региональная компания объявила тендер на поставку маршрутизаторов с функциями поддержки VoIP и безопасности. В тендере схлестнулись 2 партнера одного именитого вендора и предложили 2 спецификации. Одна включала маршрутизатор в рамках специального security+voice bundle; другая описывала обычный маршрутизатор, с минимальной функциональностью по безопасности и обработке голоса. Вторая спецификация проиграла, т.к. не соответствовала требованиям ТЗ. Но несмотря на это, предложивший ее интегратор подал в арбитраж дабы признать результаты конкурса недействительными.

Все это достаточно печально, т.к. рынок ИБ превращается действительно в рынок (базар) с руганью, подставами, разборками и другими нелицеприятными инцидентами.

ЗЫ. И хотя с точки зрения законодательства, выигрыш NOD32 является закономерным, с точки зрения здравого смысла все не так очевидно. Если антивирус Касперского уже стоит на 120000 компьютеров, то менять их на 120000 антивирусов NOD32 - задача более чем нетривиальная. И если ФНС выиграл 10 млн.рублей на стоимости лицензий, то во сколько им обойдется внедрение 120 тысяч копий антивируса можно себе только представить. А ведь надо еще учитывать снос "старого" антивируса, переобучение специалистов и многие другие вопросы, входящие в TCO...

О безопасности... авиационной

Вспомнил случай, который вчера произошел со мной в самолете. Захожу, сожусь... у окна, рядом аварийный выход. Не раз доводилось сидеть рядом с аварийным люком, но тут стюардесса первый раз в моей практике акцентировала мое внимание на этом факте и попросила лишний раз изучить инструкцию по действию в экстренной ситуации. Стал изучать. Все как обычно, ничего нового. Решил попробовать на практике ;-)

Одним из требований было надавливание на ручку внизу люка и выдавливание его наружу. Бац. Ручки нет. Я говорю стюардессе: "Девушка, а миссия-то невыполнима - ручки нет". Она, улыбаясь: "Шутите?" Я ей: "Ни в коем разе". Она: "Откиньте ручку кресла и посмотрите под ней". Ну я попробовал. Ни фига. Более того... Ручка кресла прикручена болтами к аварийному люку (само кресло прикручено, конечно, к полу). Я в сторону стюардессы: "Люк прикручен к креслу!" Она: "Не может быть!" Причем взгляд у нее был красноречивее слов - она была действительно уверена, что следуя инструкции в данном конкретном самолете можно будет выйти через аварийный выход.

Какие выводы можно сделать в данной ситуации:
1. Приятно, что стюардесса обратила мое внимание на специфичные вопросы безопасности и не ограничилась стандартной демонстрацией надевания кислородной маски на лицо.
2. Приятно, что она была уверена, что инструкция выполнима. И, скорее всего, она это проверяла на практике.
3. Неприятно, что инструкция оказалась невыполнима в данном конкретном случае.
4. Неприятно, что security awareness не было подкреплено технически.

Все эти рассуждения можно применить и к информационной безопасности.

ЗЫ. А выводы?.. А их собственно и не будет. Хорошо, что я благополучно приземлился, хоть и с часовым опозданием ;-)

Symantec покупает Vontu

Symantec, один из лидеров рынка информационной безопасности, на ближайшей неделе должен объявить о покупке лидера сегмента средств предотвращения утечек информации (Data Leakage Prevention или Data Loss Prevention, DLP) - компании Vontu. По оценкам экспертов цена сделки может составить около 300-350 миллионов долларов (при ежегодном обороте Vontu в 30 миллионов).

DLP-решения (иногда их еще называют ILP) сегодня на подъеме - они востребованы потребителями и рынком, они требуются по многим стандартам и руководящим документам. Поэтому действия Symantec достаточно очевидны. Совсем недавно WebSense купила PortAuthority, а EMC купила Tablus. Эксперты считают, что действия Symantec были спровоцированы McAfee, которая на днях она купила SafeBoot (http://lukatsky.blogspot.com/2007/10/mcafee-safeboot.html). Это ее не первая сделка в сегменте DLP. Годом ранее, в прошлом октябре, McAfee купила компанию Onigma.

Как говорят специалисты, Symantec не планировала покупать Vontu, обратив свой взор на Tablus. Однако ее опередила EMC и Symantec'у ничего не оставалось делать как купить Vontu; причем по немаленькой цене (десятикратное превышение годового оборота компании).

McAfee покупает SafeBoot

350 миллионов долларов кэшем и компания SafeBoot, занимающаяся разработкой средств персонального шифрования, стала частью McAfee (http://www.mcafee.com/us/about/press/corporate/2007/20071008_133000_u.html).

Можно заметить интересную тенденцию на рынке информационной безопасности, причем не только в мире, но и в России. Сначала Check Point купила Pointsec, которая предлагала аналогичные решения по шифрованию файлов на персональном компьютере. Теперь вот McAfee приобрел SafeBoot. Учитывая тенденцию по части регулярных утечек данных, такой интерес к системам персонального шифрования вполне закономерен.

У нас тоже компании, которые занимаются утечками, обращают внимание на .эту технологии. Например, Infowatch, в состав которого вошли разработчики и технологии компании ЛАН Крипто после ее разделения.

Однако, как обычно, с криптографией возникают вопросы. А точнее с легитимностью ее использования. Но это тема для отдельного обсуждения.

И вновь об издательстве "Бином"

В сентябре я уже писал (http://lukatsky.blogspot.com/2007/09/blog-post_6101.html) про троянца на сайте издательства "Бином" и вот оно снова появилось на горизонте. Теперь в новом качестве. Лаборатория Касперского объявила о сотрудничестве с этим издательством в части совместной разработки реализации совместных федеральных, региональных и муниципальных образовательных программ в сфере информационной безопасности.

Возникает вопрос, что было первично - начало сотрудничества или троян. Если первое, то это грустно. Не очень известная, а значит особо непривлекающая к себе внимания компания, не способная защитить себя, учит других как защищаться ;-( Если второе, то можно только порадоваться за Лабораторию Касперского, которая существующий инцидент обратила в интересную для себя бизнес-возможность лишний раз заявить о себе.

Западный или российский производитель ИБ: кого выбрать?

В марте я написал статью "Западный или российский производитель ИБ: кого выбрать?" (http://www.securitylab.ru/opinion/293249.php). Как обычно статья вызвала острую дискуссию, которая началась еще тогда, когда я прочитал одноименную презентацию на семинарах ИТАР-ТАСС и Cnews. Меня обвиняли, что я "лью воду на цискину мельницу" и лишний раз пропагандирую в пользу решений Cisco. В обсуждении статьи на секлабе (http://www.securitylab.ru/forum/index.php?PAGE_NAME=read&FID=22&TID=41052) я написал буквально следующее: "Было бы идеально, если бы на секлабе появилась статья, отстаивающая противоположную точку зрения. Тогда были бы доводы двух сторон". И вот момент настал. Владимир Гайкович, гендиректор "Информзащиты", где я проработал 8 лет, ответил своим взглядом на мою статью (http://www.securitylab.ru/opinion/303860.php).

ЗЫ. Так часто получается, что многие мои критические статьи поспринимаются отдельными личностями на свой счет. Хочу сказать, что я пишу о рынке в целом. Если кто-то воспринимает это в свой адрес, то видимо, написанное в статьях, достигает своей цели.

Безопасность электронных платежей

Достаточно интересно наблюдать за тем, как растет интерес к мобильным платежам. Сегодня я выступал на конференции "e-5: e-banking, e-trading, e-insurance, e-commerce, e-funding" (http://e-5.abcforum.ru/). Рассказывал про стратегию защиты онлайн-транзакций. Через пару недель мне выступать на форуме "e-Payment 2007: электронные платежи в России" (http://www.globalforumfactory.com/ePay). Тема - про безопасность клиентов электронных платежей, Identity, защиту от краж ID и т.д.

В мае с разницой в один день я выступал на ИТАР-ТАССовском семинаре "Зазвонит ли мобильник звонкой монетой?" в рамках выставки "e-Finance Russia" и еще на конференции "Мобильная коммерция и платежи" (http://www.infor-media.ru/informedia-russia/client/index.aspx?id=conference&sub=introduction&confID=255). На них я рассказывал про безопасность мобильных платежей.

4 конференции за 5 месяцев... что лишний раз говорит о том, что эта тема все больше и больше набирает обороты. Только вот с безопасностью там не все так хорошо. Вопросы, которые мне обычно задают на таких конференциях и семинарах лишний раз демонстрируют это ;-(

Воскрешение страхования информационных рисков

Выступал сегодня (еще сегодня ;-) на конференции "e-5: e-banking, e-trading, e-insurance, e-commerce, e-funding" (http://e-5.abcforum.ru/). Вещал про стратегию защиты онлайн-транзакций. А после мены выступал представитель Ингостраха с темой страхования информационных рисков. Я уж думал, что она совсем загнулась, а тут опять. Причем в рассказе Ингосстраха прозвучало несколько занятных вещей, о которых я и хотел бы рассказать.

1. Под страхованием информационных рисков страховая компания воспринимает защиту, в основном, материальных активов - оборудования, ПО, баз данных и т.д. Страхуются они... или по балансовой стоимости или по некоему лимиту, например, на восстановление информации. Отсюда, кстати, вытекает отказ от страхования нелицензионного софта.

2. На вопрос, а как страховать утечку базы, когда сама СУБД не пострадала, но нанесен ущерб репутации, есть снижение курсовой стоимости акций или был отказ от каких-либо контрактов вследствие такой утечки. Во всех этих случаях Ингострах отказывается страховать информационные риски. Либо пытается их перевести в совершенно иные риски.

3. Сюрвей, как и расследование наступления страхового случая проводится иностранными компаниями. Это сильно отличается от того, что говорилось еще 3-4 года назад. Тогда в качестве сюрвейеров выбирались российские специализированные ИБ-компании. Что меня удивило, так это срок проведения сюрвея - 2-3 дня. Причем его проводить один человек и только путем устных бесед с руководителями ключевых отделов. Как за это время можно оценить риски, мне не совсем понятно. Также возникает вопрос с подтверждением страхового случая. В ОСАГО - это делает МВД, в медстраховке - поликлиника или больница. В ИБ это по идее должен делать уполномоченный госорган, которого у нас пока нет (и не факт, что появится в обозримом будущем). Что касается компании, которая принимает решение о наступлении страхового случая, то она должна удовлетворять все стороны.

Вот собственно и все. С таким подходом этот рынок будет о-о-о-чень долго развиваться. Особенно учитывая отношение страховых компаний. На вопрос представителю Ингостраха, а не планируют ли они выходить на правительство с инициативой развития этого сегмента, страховая компания ответила, что нет ;-( Какой тогда смысл выступать и рассказывать про такой страховой продукт мне не совсем понятно?

ЗЫ. Ни одного страхового случая в истории Ингостраха так и не наступило по данным его предстаителя.

InfoSecurity Russia 2007

Собственно написать меня это и именно сейчас сподвигло 2 факта: участие в InfoSecurity Russia 2007 и пост ArcanoiD'а в своем ЖЖ (http://arkanoid.livejournal.com/184921.html) про посещение им этой выставки. Он, правда, стал развивать тему аудита; я же хочу поговорить именно о выставке. Разделить рассказ хочу на 2 части: про организацию и про контент.

Организация... Уже четвертый год выставка, совмещенная с конференией проходит в России... и все 4 года я сталкиваюсь с жуткими накладками в организации процесса. В прошлом году мы из-за этого и не участвовали, надеясь, что организаторы извлекут уроки. Извлекли, что называется... Не буду говорить про негатив со стороны тех, кто строит стенды на выставке, коснусь только нас. Мы не стали в этом году строить стенд, а организовать собственное мероприятие в рамках InfoSecurity, справедливо полагая, что это будет дешевле (и так оно и оказалось) и эффективнее (слушать будут только нас и мы готовы будем отвечать за контент). Отсутствие стенда решили компенсировать установкой двух рекламных стендов на двух входах и раздачей программы нашего мероприятия при регистрации. Ну и конечно собственные приглашения через http://my.cisco.ru и новостную рассылку. В итоге стенд повесили только у одного входа. На вопрос "Какого...?" организаторы заявили, как в советские времени: "Мы заключили договор с ЭкспоЦентром. У нас есть все бумаги. Они должны были все сделать. Мы не виноваты". Программу ни одни из моих знакомых, бывших на выставке, так и не получил ;-( Про остальные накладки в виде сломавшегося проектора, отсутстия микрофонов, отсутствия бейджа и т.д. я даже упоминать не буду. Апогеем можно считать отказ охраны пропустить на выставку г-на Матюхина (глава Росинформтехнологий, бывший глава ФАПСИ). Причина проста - он не зарегистрировался ;-)

Вторая составляющая - контент... Ну что тут сказать. Если не считать, про снятые без предупреждения доклады, ничего нового, кроме того, что я уже писал в http://lukatsky.blogspot.com/2007/08/blog-post_1921.html, сказать мне нечего ;-( На выставке тоже ничего нового не было. Ну если не считать полного ребрендинга Positive Technologies и выступления Диалог-Науки в новом качестве - интегратора безопасности, а не просто поставщика Dr.Web.

ЗЫ. Честно говоря, желание участвовать в InfoSecurity следующем году у меня пропало напрочь ;-(

ISO 27001 в России: модно и бессмысленно

Ну вот Cnews и опубликовал мое очередное творение на тему ISO 27001. Заранее хочу предупредить, что данная статья писалась не как критика самого стандарта. Он хорош и правилен. Вопрос только в его применимости в России. Причем правильной применимости. Не ставя под сомнение его нужность, просто хочу выделить некоторые "болевые точки", на которые надо обращать внимание при его внедрении или при желании его внедрить. Повторяя заключение к статье: "Несмотря на достаточно длинную историю, стандарт ISO 27001 пока так и не превратился в России из отвлеченной теории в успешную практику. Необходимо время. Для потребителей. Для консультантов. Для регуляторов. А пока… Не хотелось бы столкнуться с ситуацией, когда управление ИБ (и сертификация этого процесса) у нас будет осуществляться формально, как в большинстве случаев с ISO 9001:2000. Это дискредитирует саму идею сертификации безопасности".

Читать: http://www.cnews.ru/reviews/index.shtml?2007/09/28/268177

Мисс Безопасность 2007

И вот настал момент очередного конкурса "Мисс Безопасность 2007". Желающие могут оценить претенденток, заявить свои кандидатуры, ну и вообще... порадовать глаз. Сайт - http://miss.securityday.ru/

ЗЫ. Хотя претендентки к безопасности имеют опосредованное отношение. Например, вот, что входит в послужной список одной из кандидаток (синтаксис и орфография сохранены):
1. Организация делового ужина в одном из ресторанов Нью-Йорка находящийся на крыше небоскреба.
2. Организация корпоративной недели отдыха на Н. Зеландии.
3. Самая красивая снегурочка для детей компании на протяжении ни одного года.

Троян на сайте издательства

Опасно стало ходить по Интернету. Недавно на сайте ЛАН Крипто сидел троянец. У меня его и антивирус и Cisco Security Agent засек. Сайт именитой компании по безопасности, а все же... Сегодня тоже инцидентик. Ищу издательство для своей новой книжки (таки решил ее дописать ;-) Прошелся по сайтам издательств. И вот на одном (издательство "Бином") меня попытались подцепить на крючок. Троянец решил поселиться на моей машинке. Что интересно антивирус его не отловил ;-( Сработал только Cisco Security Agent. Лишний раз убеждаюсь, что сигнатурный подход становится все менее и менее эффективным.

Средство против спама рекламируется с помощью спама

Уже не раз я в разных выступлениях говорил о том, что в предверие вступления России в ВТО к нам ринутся все больше новых игроков рынка ИБ. Если раньше в России были представлены в-основном крупные производители, то сейчас начинается второй приход, уже из мелких игроков информационной безопасности. И вот сейчас, перед выставкой InfoSecurity Russia 2007, число таких попыток только возрастает.

Что характерно, эти компании очень легко вычисляются. Во-первых, они используют не всегда красивые методы для достижения своей цели. А во-вторых, они не знакомы с русским языком ;-)

Например, сегодня я получил спам от одной компании, которая предлагает решения по защите... от спама ;-) Безусловно интересный способ продвижения своей продукции. А уж русский язык в присланном сообщении просто поражает:
- ...до получения содержания сообщения
- ...контролирует осуществление политики серфинга
- ...дополнительный уровень проверки оптимизирует потребление трафика и снижает ответственность
- ... во всех аспектах электронной почты
- ...самоподдерживаемое решение.

Учитывая рост числа таких компаний в Европе и США, можно предположить, что скоро в Россию хлынет целый поток таких "лидеров в обеспечении безопасности", предлагающих свои "уникальные всесторонние решения".

Barracuda покупает NetContinuum

В последнем обзоре Cnews по безопасности (http://www.cnews.ru/reviews/free/security2007/articles/it_giant.shtml) я писал о слияних и поглощениях в области безопасности. После этого произошло слияние Sourcefire и ClamAV, IBM и Princeton Softech, Novell и Senforce, Patchlink и SecureWave. И вот очередной пример консолидации рынка безопасности. Теперь в области Web-безопасности, что более чем актуально в эпоху Web 2.0, о которой говорят все кому не лень.

Компания Barracuda, известная своим решением по Web-фильтрации, купила компанию NetContinuum, разработавшую Web Application Firewall, ориентированный на отражение атак Cross-Site Scripting, SQL Injection и т.п. Приобретение произошло в середине июля, но до сего момента не анонсировалось широкой общественности.

Продукт, продаваемый теперь под торговой маркой Barracuda, будет называться Web App Controller и будет стоить от 30 до 50 тысяч долларов.

О безопасности бизнеса среди тайских красот...

Учебный центр НТЦ Корпорации ЮНИ пригласил меня почитать на выездном семинаре курс по безопасности бизнеса. Курс предназначен в первую очередь руководителям служб ИБ и IT и рассматривает вопросы построения систем информационной безопасности, наилучшим образом отвечающих требованиям бизнеса компании. В рамках курса рассматриваются методики построения систем ИБ с учетом реальных требований бизнеса компании, технологии измерения эффективности этих систем и подходы к их дальнейшему развитию и бюджетированию.

Место проведения - Бангкок-Паттайя (Тайланд).
Время проведения - 17-25 ноября.

Все детали тут - http://www.ntc.ru/news/news_thailand.htm

Куды бечь, когда узнал о проблемах с безопасностью?

Опубликовал на SecurityLab очередную статью про рекомендации Vulnerability Disclosure Working Group в части создания на каждом сайте раздела /security, который является демонстрацией компанией или организацией своего стремления защитить своих клиентов и свои активы от различных посягательств.

Адрес статьи- http://www.securitylab.ru/contest/302888.php

О западных стандартах и методиках

В последнее время все чаще и чаще слышим восторженные слова и дифирамбы в адрес ISO 27001, ISO 17799, ISO 15408 и т.д. Мы восхищенно вникаем в западные методики, восхищенно внимаем западным «оракулам», усваиваем западный сленг и иностранные словечки (один только «файрвол» чего стоит), стремимся за западными сертификатами, не задумываясь над простым вопросом: «А оно нам надо?»

Мы стали часто смотреть на Запад. Будто бы там все хорошо, все правильно, все ОК. У Запада действительно стоит многому поучиться и многое перенять. Но с умом, адаптируя к нашему менталитету, культуре, уровню зрелости. А мы берем все и, не меняя, пытаемся прививать. Но так нельзя. Обратимся к безопасности. Да, США на несколько корпусов ушли вперед и все, что прогрессивного есть в информационной безопасности (исключая может быть криптографию), взято именно от них. Но взято как-то неумно и неумело. Вспомним наши РД, появившиеся в далеком 1992 году и ставшие Библией для большинства российских специалистов по защите информации. А ведь эти РД были калькой с более ранней «Оранжевой книги», входящей в состав «Радужной серии». Однако, взяв за основу неплохой документ, наши пути разделились. В США «Радужная серия» разрослась до нескольких десятков книг по различным аспектам информационной безопасности, а потом ей на смену и вовсе пришли «Общие критерии», которые сейчас уже известны в своей третьей (пусть и нефинальной) редакции. У нас же РД (их меньше 10-ти) в неизменном виде известны до сих пор. Дальше больше.

Помимо классических РД мы стали применять и «Общие критерии» (ГОСТ Р ИСО/МЭК 15408), хотя в список стран, признающих выданные в других государствах сертификаты, мы так и не вошли. Более того. Несмотря на аутентичный перевод, наша версия «Общих критериев» официально не признана другими странами. Мы все ищем, что же плохого в «Общих критериях». Именно это прозвучало на одной из конференции из уст представителя Совета Безопасности РФ. С этим стандартом вообще ситуация непонятная. По нему уже сертифицируют, а вот что делать со «старыми» РД непонятно. Четкого ответа от ФСТЭК, по какому из двух направлений – РД или «Общие критерии» - нам двигаться вперед, до сих пор нет. Вот и вынуждены производители сертифицировать свои продукты дважды – по обоим документам – по старому, но всем известному, и по новому, но не всем понятному.

А теперь обратимся к международным стандартам ISO 27001 и 17799. Мы их приняли в России достаточно «быстро» – в 2007 году. Только вот принятые версии этих стандартов давно уже устарели. В России принята версия 2000 года, а весь мир работает по версии 2005 года. Опять хотели как лучше, а получилось…

Нельзя забывать, что многие западные методики появились в нужное время и в нужном месте. И если их превозносят в мире, это не значит, что они могут быть легко применимы в России. У нас немного иная история отрасли безопасности, иные специалисты, иные регуляторы, иные законы, иной уровень зрелости. Почти все у нас, за исключением продуктов, иное. Мы же, не оглядываясь на наш опыт, стараемся внедрять западные «best practices» (вот еще одно часто используемое западное словосочетание). И очень редко, когда успешно. А все потому, что мы не готовы к ним. Не зря все эксперты по ITIL признают, что ITIL – это лучшие ЗАПАДНЫЕ практики и их нельзя безоговорочно применять у нас – эффект может быть совершенно противоположным. Да и в предисловии к самому ITIL прямо написано, что эти рекомендации – не догма. Мы же всегда уходим в крайность и начинаем их навязывать… и на законодательном уровне тоже.

Возьмем, к примеру, большинство стандартов управления процессом ИБ. В самом их начале прямо сказано, что эффективный результат будет достигнут только тогда, когда безопасность получит поддержку на уровне руководства компании. А многие ли могут похвастаться этом в своих организациях? Но это почему-то не мешает нам внедрять ISO 27001 и другие стандарты.

Интегрироваться в западный мир надо. Но обдуманно. Главное не потерять себя. Брать полезное и отбрасывать наносное, ненужное и вредное. Надо научиться уважать себя и жить своим умом. Не все, конечно, надо начинать с нуля. Надо просто воспользоваться теми граблями, на которые уже наступил Запад и, вовремя их обойдя, сделать шаг вперед. Самостоятельно.

Что Госдума нам готовит?..

Последние несколько дней все средства массовой информации много говорят о том, что предвыборная гонка перешла в свою завершающую фазу – у четвертого созыва Государственной Думы (ГД) началась последняя, осенняя сессия. За оставшиеся 3 месяца Госдума должна принять ряд законов, которые по мнению депутатов являются самыми важными для нашей страны. Относится ли к приоритету №1 информационная безопасность? Давайте посмотрим.

Итак, заходим на официальный сайт ГД в раздел «Приоритетные направления законопроектной работы Государственной Думы в период осенней сессии 2007 года» (http://www.duma.gov.ru/index.jsp?t=plan/indexp.html). И что же мы видим? Из нескольких десятков законодательных инициатив только одна может быть отнесена к теме защиты информации. Федеральный закон «О служебной тайне», внесенный в Госдуму Комитетов по безопасности еще три года назад (в декабре 2004 года), был рассмотрен Советом Госдумы только в апреле прошлого года, а его рассмотрение в ГД запланировано на ноябрь 2007 года. Все, больше никаких законопроектов, исключая внесение изменений в законодательные акты РФ в связи с принятием ФЗ «О служебной тайне» и ФЗ «О коммерческой тайне». Относить такой проект, как разработка специального технического регламента «О безопасности устройств для развлечений», к вопросам информационной безопасности было бы не совсем правильно.

С чем может быть связана такая плачевная ситуация в области законодательства? На мой взгляд, причина проста и она хорошо иллюстрируется басней Крылова «Лебедь, рак и щука» или «Квартет». Иными словами у нас в Госдуме нет единого «владельца» темы «информационная безопасность». За нее отвечает целых три комитета – по информационной политике, по безопасности и комитет по энергетике, транспорту и связи. В положении о каждом из этих трех комитетов четко указано, что именно он отвечает за информационную безопасность. Однако хоть какую-то законодательную активность проявляет только одна структура – Комитет по безопасности; он же отвечает и за деятельность таких значимых для нашей отрасли структур, как ФСТЭК и ФСБ.

Когда за решение какого-то вопроса отвечает несколько человек, значит, за него не отвечает никто. И деятельность названных трех комитетов только подтверждает это. Комитету по энергетике, транспорту и связи хватает своих проблем в первых двух составляющих его названия. Что касается третьего элемента, то в этой сессии руки дошли только до финансовых вопросов, связанных с отраслью связи. У Комитета по информационной политике другие проблемы – свобода слова, право на получение и распространение информации, Интернет и т.п. Видимо поэтому, следуя классической поговорке о сапожнике без сапог, сайт этого комитета последний раз обновлялся в 2004 году.

Комитет по безопасности в первую очередь ориентируется в своей работе на борьбу с терроризмом, госбезопасность и иные аналогичные по масштабу вопросы. Именно так и появился в программе Госдумы появился законопроект «О служебной тайне». А ведь срок его внесения в Госдуму датирован еще 2004-м годом. И только под влиянием последних утечек из государственных и окологосударственных предприятий и организаций, ситуация сдвинулась с мертвой точки (хотя данный законопроект планировалось включить еще в весеннюю сессию 2006 года). С текстом проекта этого закона можно ознакомиться на сайте соответствующего комитета (http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=124871-4&12). Там же можно ознакомиться и с финансово-экономическим обоснованием этого федерального закона. По мнению депутатов, реализация требований закона «О служебной тайне» не потребует вообще никаких средств из бюджета и все бремя финансирования ляжет на организации, которые должны соблюдать тайну своей деятельности. Данный проект интересен тем, что он очень сильно усложняет жизнь большинству организаций, решивших ввести у себя режим (а это любое юридическое или физическое лицо) служебной тайны. Во-первых, для защиты этого вида тайны необходимо использовать только сертифицированные средства защиты, а во-вторых, подключение информационных систем, содержащих служебную тайну, к Интернет попросту запрещен. К слову сказать, изменений в Уголовном Кодексе в связи с принятием этого закона не планируется (http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=124861-4&12).

Вторым по счету, но не менее интересным, является законопроект «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры» (http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=340741-4&12). Он «нашумел» некоторое время назад, в связи с попыткой запретить использование зарубежного ПО в стратегических сферах России – телекоммуникации, банки, энергетика, оборонка и т.д. К счастью, данный проект был «завернут» как Правовым управлением Госдумы, так и Правительством РФ из-за его недостаточной проработанности. Однако сам проект пока не снят и, судя по сайту Комитета по безопасности, находится на рассмотрении. Возможно к нему вновь вернутся, когда возникнет такая необходимость.

Что же мы имеем? Почти ничего. Кроме законопроекта «О служебной тайне» каких-либо иных проектов, связанных с ИБ, у этого созыва Госдумы больше нет. А, учитывая начало предвыборной борьбы, сложно надеяться, что список будет пересмотрен. Если только у нас не появится очередной нацпроект, который заставит депутатов пересмотреть свои планы на законотворчество.

О чем думают академики?..

В последнем отчете Cnews опубликовано интервью с академиком РАЕН, д.т.н, зампредом Фонда Социального Страхования г-ном Ковалевским (http://www.cnews.ru/reviews/free/security2007/int/fss/). Тема стандартная - поддержка отечественного ИТ-производителя. Все бы ничего, но некоторые заявления вызывают недоумение, если не сказать больше. Про идею запрета западного ПО и замены его на отечественное я молчу. Об этом не высказывался только ленивый. Новый нацпроект с госфинансированием - это конечно лакомый кусочек...

Достаточно забавно выглядит постоянное упоминание ОС и СУБД. Такое впечатление, что кроме этих типов ПО академик РАЕН ничего не знает. Они они, по его мнению, являют собой самую большую угрозу и именно их надо заменить на отечественную продукцию (скорее всего имеется ввиду МСВС или Феникс и Линтер с HyTech). А вот распознавалки текстов, текстовые редакторы, антивирусы никакой опасности не представляют. Видимо о том, что прикладное ПО может стать причиной утечки информации или нестабильности системы, доктору технических наук идея в голову не приходила. Также он почему-то считает, что основная опасность таится на серверах, а ПК внимания можно не уделять. Хотя учитывая его "профессиональные" интересы, все встает на свои места. Речь идет о СУБД.

И вообще тема СУБД для г-на Ковалевского является самой важной. Именно СУБД, по его мнению, управляют информационными ресурсами. Именно они являются основной угрозой. Именно их надо защищать в первую очередь. Хотя обратившись к прошлому г-на Ковалевскому станется все понятно. Он является разработчиком отечественной СУБД HyTech, которую внедрял во многих госструктурах. Однако некоторые его высказывания все равно вызывают вопросы. Например, он говорит, что на CeBIT он демонстрировал всю систему Фонда соцстраха на ноутбуке. При этом в другом своем интервью он говорит, что вся база ФСС занимает 100 Тб и она увеличивается каждый день по 1 Гб. Вы видели лэптопы с терабайтными дисками?

Также интервьюер делает классическую ошибку ставя знак равенства между ПО с открытым кодом и бесплатным ПО. Например, он сторонник выкинуть Oracle из всех госструктур и заменить ее на ПО с открытым кодом. Почему он считает, что оно будет бесплатным и за лицензии платить не надо будет? Shareware не значит freeware...

В общем интервью вызывает как минимум улыбку ;-)

Что мешает нам развиваться... или парафраз о самоцензуре

Вспомните, когда последний раз вы выступали в своей компании с критикой чего-либо или кого-либо? Причем речь идет о позитивной критике, направленной на устранение какого-нибудь негативного момента в развитии компании, подразделения или продукта?

К сожалению, у нас очень развита самоцензура. "У нас" я имею ввиду современного человека, а не Россию. Многим гораздо проще молчать "в тряпочку", чем высказать, может и нелицеприятное, но все-таки важное мнение. И даже "анонимные ящики для общения с руководством" или возможность послать анонимное сообщение по e-mail ситуацию не меняют. Многие предпочитают "не выступать", считая "авось целее буду". Проблема в отсутствии культуры коммуникаций.

Большинство просто боится указывать не проблемы и недостатки; еще больше боятся предложить улучшение. Сотрудники боятся осложнений в любом их проявлении. Либо накажут за правду, либо заставят реализовывать свое же предложение. В любом случае спокойное течение офисной жизни нарушается. А это для многих хуже некуда. Инстинкт самосохранения...

Какое это отношение имеет к безопасности? Самое прямое. У нас поэтому многие ИБ-компании так и развиваются, как они развиваются. Перефразируя известное выражение из курса истории "Верхи не знают, а низы не хотят". На прошлой работе приходилось с этим сталкиваться. Был проект, детище руководителя компании. Задумка была неплоха, но ее реализация была далека от идеальной. На одном из совещаний я высказал свое мнение о том, что думаю. В ответ фонтан эмоций, преимущественно негативных, описываемых в двух словах так: "Не твое дело", "Не суйся", "Сам бы попробовал, а потом советовал" и т.д. И так по ряду вопросов. В итоге желание генерить идеи, советовать что-то пропадает. Климат это не улучшает; коллектив чувствует напряжение. В итоге руководство находится в плену своих идей, далеких от реальности. А сотрудники не готовы идти и выкладывать "правду-матку". Вот в результате у нас и появляется большое количество мертворожденных или абсолютно ненужных и неэффективных проектов и продуктов в области безопасности.

Можно ли изменить ситуацию? Можно. Но всякие "горячие линии" с руководством, почтовые ящики для предложений, центры идей - это всего лишь механизмы, которые ничто без более глубоких изменений в культуре самой организации. Именно в культуре, как бы пафосно это не звучало. Сотрудники должны понимать, как их предложение скажется на развитии компании. Они должны быть уверены, что их не накажут за "свободомыслие", а в случае удачной идеи даже поощрят.

Негативная роль слияний

Современный бизнес вынужден развиваться в условиях жесткой конкурентной борьбы, что заставляет компании модифицировать стратегию расширения своего бизнеса. Например, путем экспансии на новые рынки или выпуска новой продуктовой линейки. Но как быть, если компания по тем или иным причинам не может выйти на новый рынок или не имеет времени и ресурсов (например, нужных патентов или технологий) на запуск нового продукта? Выход один – поглотить или слиться с компанией, у которой есть все необходимое. Такой путь также позволяет увеличить долю на рынке и даже стать его лидером, получить новую сеть распространения своих продуктов, купить нужные технологии или команды-разработчиков и расширить клиентскую базу. Аналогичные процессы последние несколько лет протекают во многих отраслях, в т.ч. и в информационной безопасности. Я об этом уже не раз упоминал.

Но не всегда процесс M&A несет положительные моменты. Например, покупка IBM'ом компании ISS больше года назад. Уже тогда оценка этого события была неоднозначной. Несмотря на то, что ISS влилась в сервисный департамент и IBM в пресс-релизе четко написала, что этим приобретением она хотела бы усилить свое влияние и роль в сегменте аутсорсинга безопасности (Managed Security Services), многие считали, что продукты ISS будут развиваться и сами по себе (причем с тем же успехом, что и до слияния). Однако отсутствие четкой и озвученной стратегии развития этой продуктовой линейки привело к тому, что ISS стала постепенно сдавать свои позиции на традиционном для себя рынке. Если раньше в сегменте средств предотвращения атак ISS и Cisco шли ноздря в ноздрю и каждый квартал лидером становилась то одна компания, то другая (с отрывом от конкурента в 1-1,5%), то сегодня ситуация поменялась кардинальным образом. По последнему отчету Infonetics (Infonetics Q2 2007 Network Security Appliances and Software) Cisco занимает 28% этого рынка, а ISS - 17%. 11% разницы. Это уже серьезно...

В результате, потенциальное усиление влияния компании в одном сегменте, привело к потерям в другом. И пока неясно, было ли это оправдано?

Об аутсорсинге безопасности в России

Попросили меня сегодня о рецензии одной статьи про аутсорсинг безопасности в России. Написана она сотрудницей одного российского ИБ-интегратора. Вот и решил я тут повторить эту рецензию в расширенном формате.

Об аутсорсинге безопасности (Managed Security Services, MSS) сегодня говорят все, кому не лень. Такие услуги предлагает каждый второй интегратор, но реальных проектов, которыми можно было бы похвастаться в России практически нет. Почему? Есть несколько болевых точек, на которых необходимо сделать акцент.

Во-первых, кто может предлагать услуги аутсорсинга? Вопреки распространенному мнению о том, что такие услуги может оказывать любой крупный интегратор, это неверно. Дело в том, что мало иметь набор софта и железа и штат персонала, как это считает автор статьи. Учитывая, что услуги MSS оказываются дистанционно, то это обязательно подразумевает наличие качественных каналов связи от центра управления до клиента, и желательно с резервированием. В России интеграторы не могут похвастаться этим, в отличие от операторов связи (и то не всех). Т.е. заключить такие договора с операторами и закупить необходимое оборудование они в состоянии, но пока о таких прецедентах я не слышал.

Во-вторых, несмотря на громкое заявление в статье, ни один провайдер MSS не возьмет под контроль любые системы защиты. У него не безграничные возможности (по оборудованию, по людям, по финансам) и поэтому управлять он будет только широко известными решениями, под которые можно легко найти людей и для которых услуга будет рентабельной. Я с трудом могу представить провайдера, который будет в России управлять продуктами Fortinet. Только потому, что эти продукты у нас не распространены.

В-третьих, все "аутсорсеры" почему-то считают, что их работа заканчивается на этапе приема сигнала тревоги и возможной реконфигурации системы защиты. Но это только половина работы. Необходимо провести расследование "почему произошел инцидент?", "кто виноват?" и "что делать?". Иными словами, помимо обнаружения угрозы, необходимо еще реализовать и реагирование на инциденты. А для этого требуется зачастую выезд на территорию заказчика, что может быть проблематично в масштабах России. И вообще, утверждая, что аутсорсер может оперативно реагировать на обнаруживаемые атаки, необходимо пояснять как это будет делаться. Когда у MSS-провайдера всего одна площадка и она в Москве, сложно ожидать, что он сможет оперативно реагировать на взлом во Владивостоке.

В-четвертых, очень мало кто говорит о гарантиях и ответственности. Все их упоминают, но мало кто из российских компаний готов их брать на себя; в т.ч. и по причине финансовой несравнимости со многими из своих заказчиков. А ведь это самое главное в аутсорсинге. Если все-таки компанию с миллиардным оборотом взломали, то чем отвечает компания с оборотом в 30-40 миллионов? А страхование данного вида деятельности у нас пока не развито.

Наконец, меня всегда умиляет ссылка на наличие высококвалифицированных экспертов у компании-"аутсорсера". Откуда им взяться, если у нас специалистов не хватает для более приоритетных задач, а те люди, что есть, циркулируют между компаниями, надолго в них не задерживаясь? Если кто-то и осуществляет аутсорсинг, то это скорее студенты или недавние выпускники, о высокой квалификации и богатом опыте которых говорить рановато.

Еще 2 замечания по статье, уже сугубо технических. Первое касается описания услуги мониторинга средств защиты. Автор предлагает все оповещения об угрозах после их обработки у аутсорсера отправляется клиенту. Вопрос - зачем? Если клиент и платит аутсорсеру, то именно за то, чтобы не связываться с получением таких оповещений. Более того, как правильно замечает автор, у клиента нет ни достаточного количества людей, ни экспертизы, ни возможности работать круглосуточно. Зачем же посылать ему оповещения, которые не будут обработаны? И второе замечание касается такой темы, как хранение сигналов тревоги. Автор пишет, что клиенту не надо думать о том, чтобы хранить все логи от средств защиты - это сделает аутсорсер и будет делать это в течение нескольких лет. Интересно автор когда-нибудь считала какое должно быть хранилище, чтобы решить эту задачу? Один МСЭ генерит порядка около гигабайта логов в день. Умножая этот показатель на число дней в году, количество лет и число контролируемых средств защиты, можно понять, что центр обработки данных у аутсорсера должен быть "недетским". Таких у нас пока нет.

Поэтому я скептически отношусь к идее массового внедрения услуг аутсорсинга в России в настоящий момент. Спрос на них есть, предложение "на бумаге" за ним начинает поспевать, но на практике этот спрос остается неудовлетворенным. Поэтому-то и реальных примеров назвать никто не может.

Были носки от Microsoft... Теперь будет пилотка

Я уже писал о том, что Microsoft выпускает носки, пропагандирующие безопасность (http://lukatsky.blogspot.com/2007/08/blog-post_05.html). Теперь дошла очередь и до других предметов одежды. На днях должен получить пилотку и галстук от той же компании. И они тоже являются средством для повышения осведомленности персонала в области безопасности.

Хотя надо обладать определенным чувством юмора, чтобы придти в офис в пилотке ;-)

Как жара действует на наше правильство?

Лето, жара... Наше правительство решило опять завоевать весь мир и не нашло ничего лучше, как опереться на мнение нашего министра образования г-на Фурсенко, который высказал гениальную мысль, что завоевать весь мир мы сможем только тогда, когда этот самый мир будет работать на нашем криптографическом оборудовании.

Предпосылка этого летнего сумасшествия проста - товарищ Фрадков попенял товарищу Рейману, что Россия, мол, не лидер мирового ИТ-рынка (http://www.rbcdaily.ru/2007/08/27/media/289229). Леонид Дододжонович не смог ничего ответить; только привел пример Лаборатории Касперского. Ну тут и вступил в дискуссию наш "Макаренко" и сказал, что криптография - это тот сектор, который позволит нам стать мировым лидером. Тут же председатель правительства дал указание проработать этот вопров и до 1-го декабря вынести вердикт - идти по этому пути или нет.

И ведь никто не подумал вот о каких вещах. Во-первых, криптография у всех ассоциируется со спецслужбами, а те с государством. Кто же из иностранных держав пустит на свой рынок такое критичное оборудование, выпущенное потенциальным врагом. А ведь Россия для многих представляется именно так. Ее подъем мало кому интересен, ее энергоносители и зависимость от них вводят всех в ступор. А тут еще и криптография...

Во-вторых, г-да министры видимо не знают, что мы сами неохотно даем добро на импорт чужой криптографии в Россию. Да и экспорт своей у нас ограничен. Почему, запрещая чужую криптографию, мы думаем, что другие ее примут с распростертыми объятиями.

В-третьих, нельзя забывать, что криптография - это не только математика. Это еще и программисты и инженеры, которые будут создавать на основе имеющихся алгоритмов готовое обородувание. А вот тут-то и могут возникнуть проблемы. Умные-то мы умные, но вот делать конкурентоспособные продукты, удобные в использовании и грамотно продвигаемые, мы пока не умеем. А это даже важнее, чем наличие лучших криптоалгоритмов.

Кстати, насчет алгоритмов. Чем мы заслужили звание лучшей криптографической школой? ГОСТ 28147, 34.10, 34.11? Вот и все, что о нас знают на Западе (да и в России тоже). А где все остальное? Где различные криптографические протоколы? Прежде чем выходить на Запад, его надо убедить, что мы сильные не словами, а делами. Мы должны представить действительно серьезные доказательства своей криптографической мощи. Может нам стоит выиграть в каком-нибудь конкурсе на национальный стандарт шифрования (пока в таких конкурсах участвовала только одна наша компания - ЛАН Крипто). И только потом, после проведенного мировым сообществом криптоанализа, можно говорить о нашей лидирующей роли.

Хотя и тут не все просто. Одно дело - разрабатывать алгоритмы, и совсем другое - делать на их основе готовые продукты. Возможно нам предстоит пойти по пути антивируса Касперского, который хоть и известен на Западе, но скорее как антивирусный движок, чем как готовый продукт. С криптографией может произойти такая же ситуация. Мы будем экспортировать технологии, которые будут встраиваться в другие продукты и решения. И первый шаг мы уже сделали - наши криптоалгоритмы описаны в качестве RFC.

Еще одно поглощение

Всего 3 дня назад произошло очередное поглощение на рынке информационной безопасности - компания Sourcefire купила ClamAV - разработчика сетевого антивируса (http://investor.sourcefire.com/phoenix.zhtml?c=204582&p=irol-newsArticle&ID=1041607&highlight=).

Данная сделка интересна по двум причинам. Во-первых, Sourcefire сама недавно была целью поглощения ее со стороны Check Point. Однако американское правительство отклонило эту сделку, убоявшись угрозы национальной безопасности США со стороны компании, родившейся в земле обетованной. Вторая причина еще более интересна. Обе эти компании активно работают в сегменте решений с открытым кодом, что в "коммерческой" безопасности редкость. Sourcefire выпускает системы предотвращения атак на базе open-source решения Snort, а ClamAV в свою очередь выпускал антивирус (включая и систему борьбы с другим вредоносным кодом) с открытым кодом.

Консолидация рынка продолжается

Меньше месяца назад я написал статью "Слияния и поглощения - кто будет главным защитником информации", посвященную процессу консолидации рынка информационной безопасности. Написал бы я ее на пару недель позже и моя статья могла бы пополниться еще рядом интересных примеров.

Например, IBM в начале августа купил американскую компанию Princeton Softech, которая помимо прочего занимается и защитой данных (http://www-03.ibm.com/press/us/en/pressrelease/21980.wss). Другой известный игрок на рынке ПО - компания Novell, купила компанию Senforce Technologies (http://www.novell.com/news/press/novell-expands-security-capabilities-with-acquisition-of-senforce-technologies/) спустя неделю, 13 августа. Теперь Novell сможет предложить решение по защите рабочих станций (ZENworks Endpoint Security Management). В аналогичном направлении движется и компания PatchLink, которая купила SecureWave, также разрабатывающую средства защиты ПК. Это второе приобретение PatchLink за этот год (http://www.patchlink.com/company/Press_release_details.aspx?id=173). В феврале этого года ею уже была куплена компания Harris STAT.

Если посмотреть на рынок пива, автомобилей, авиатехники и т.п., то можно предположить, что скоро практически все ключевые технологии и продукты будут сосредоточены в «руках» 4-6 компаний и большинство традиционных игроков рынка защиты информации в их число не войдет по причине своей малой величины. Не хотелось бы становиться пророком, но можно назвать как минимум 3 компании, которые будут царствовать на рынке ИБ в ближайшие год-два. Это Cisco, IBM и Microsoft. Дальше заглядывать пока рано – агрессивная политика слияний и поглощений кого-либо из серых кардиналов этого рынка может спутать легко карты и тройка лидеров может поменяться.

Красота спасет Интернет... от маньяков

Достаточно интересный способ борьбы с Интернет-угрозами выбрала компания Symantec, которая в июне этого года инициировала в рамках США национальную кампанию "Connected and Protected Child Safety Initiative". Все бы ничего, если бы лицом этой компании не стала выигравшая последний конкурс "Мисс Америка 2007", начинающая бродвейская певица Лорен Нельсон (она же "Мисс Оклахома"). Одной из своих "предвыборных" программ она сделала защиту прав детей в Интернете (правда только в течение года после своей победы). Возможно именно поэтому судьи отдали победу этой "девушке", несмотря на то, что сомнения в ее возрасте возникают у любого, посмотревшего на фотографию Лорен.



Вместе с представителями Symantec она колесит по Америке и "образовывает" детей и их родителей. Помимо поездок по американским городам и весям она занимаются и другой социально-значимой деятельностью. Например, она внесла интересное, хотя и неоригинальное предложение в Конгресс США, не отличается оригинальностью, - включить в школьную программу курсы компьютерной безопасности. В свое время Лорен сама пострадала от виртуальных рук Интернет-маньяка, который прислал ей непристойный фото. Тогда ей было 13 лет. Как написано в одной из заметок по этому поводу, от окончательного развращения Лорен спасла полиция, в которую обратились родители будущей "Мисс Америка".

Все бы ничего, если бы методы, которые использует г-жа Нельсон, не выглядели, мягко говоря, сомнительно. С помощью полиции Нью-Йорка на одном из чатов была создана анкета якобы 14-летней девочки с фото Нельсон в этом же возрасте. Также "Мисс Америка 2007" ходила по сайтам педофилов, заводила с ними разговоры, звонила им и другими способами провоцировала на встречу с собой "в реале". И когда этот миг наставал в дело вступали полицейские и ведущий одного из реалити-шоу.

Хотя идея безусловно здравая. Зная приверженность детей к сотворению кумиров из всяких знаменитостей, привлечение "Мисс Америка", на которую хотят быть похожими чуть ли не вся девичья половина США, а юношеская готова делать все, чтобы хотя бы минутку постоять с ней рядом, выглядит очень даже правильно. К сожалению, пока трудно сказать, какой будет эффект от этой инициативы. Было бы неплохо, если бы могли транслировать американский опыт в России.

Вместе с представителями Symantec она колесит по Америке и "образовывает" детей и их родителей. Помимо поездок по американским городам и весям она занимаются и другой социально-значимой деятельностью. Например, она внесла интересное, хотя и неоригинальное предложение в Конгресс США, не отличается оригинальностью, - включить в школьную программу курсы компьютерной безопасности. В свое время Лорен сама пострадала от виртуальных рук Интернет-маньяка, который прислал ей непристойный фото. Тогда ей было 13 лет. Как написано в одной из заметок по этому поводу, от окончательного развращения Лорен спасла полиция, в которую обратились родители будущей "Мисс Америка".

Все бы ничего, если бы методы, которые использует г-жа Нельсон, не выглядели, мягко говоря, сомнительно. С помощью полиции Нью-Йорка на одном из чатов была создана анкета якобы 14-летней девочки с фото Нельсон в этом же возрасте. Также "Мисс Америка 2007" ходила по сайтам педофилов, заводила с ними разговоры, звонила им и другими способами провоцировала на встречу с собой "в реале". И когда этот миг наставал в дело вступали полицейские и ведущий одного из реалити-шоу.

Хотя идея безусловно здравая. Зная приверженность детей к сотворению кумиров из всяких знаменитостей, привлечение "Мисс Америка", на которую хотят быть похожими чуть ли не вся девичья половина США, а юношеская готова делать все, чтобы хотя бы минутку постоять с ней рядом, выглядит очень даже правильно. К сожалению, пока трудно сказать, какой будет эффект от этой инициативы. Было бы неплохо, если бы могли транслировать американский опыт в России.

Презерватив, как средство повышения осведомленности

Разгребал я свой рабочий стол и наткнулся на очередной пример того, как можно повышать осведомленность в области ИБ рядовых пользователей. Не без юмора, конечно, пример. Резиновое изделие №1 с рекламой информационной безопасности.

В ключевой момент, доставая такое изделие из кармана, сразу вспоминаешь, что безопасность это "наше все" и пренебрегать ею не стоит.

Пока широко такой способ повышения осведомленности не развит. Отчасти из-за некоторого ханжества, отчасти из-за непонимания важности security awareness. Но вспоминая, что на Западе во многих туалетах установлены аппараты по продаже средств индивидуальной защиты, можно представить, что скоро и они станут одной из площадок для продвижения идей безопасности.

Размышление о конференциях по ИБ

Вот прочитал заметку Антона Чувакина (http://chuvakin.blogspot.com/2007/08/on-conferences.html) и понял, что США и весь мир гораздо дальше ушли в области проведения различных мероприятий по безопасности, чем Россия. У них не принято брать денег с докладчиков, исключая выступления вендоров-спонсоров. Более того. Докладчикам платят за их доклады, а в ряде случаев даже оплачивают проезд до места проведения конференции. И это закономерно. Ведь докладчик работает, когда выступает и готовится к выступлению.

У нас все не так. Бесплатных для докладчиков публичных конференций и семинаров почти нет или они очень редки. Как правило, организаторы берут деньги с докладчиков, считая, что последние будут "гнать" рекламу. Ну а когда с докладчика, который обычно представляет какую-то компанию-производителя или поставщика, взяли деньги, то его маркетинговый департамент скорее всего захочет "отбить" заплаченные деньги. В результате организаторы добиваются того, с чем хотят бороться, - т.е. получают рекламные доклады (пусть и со скрытой рекламой).

К чему это приводит в результате? Посетители прекращают посещать такие конференции и семинары, т.к. не готовы слушать за свои деньги (обычно посещение таких мероприятий стоит денег) и свое время рекламу, которые они могут получить бесплатно и на своей территории, пригласив рекламодателя в свой офис. Теряя аудиторию, организаторы, желая все-таки отбить деньги за организацию мероприятия, часто делают его бесплатным для участников, а спикеров заставляют платить за "всех". И мы получаем порочный круг.

Недавно, мне довелось участвовать в одной широко разрекламированной конференции по безопасности (рекламные растяжки висели даже на Тверской). Так вот на заседании, на котором я выступал, присутствовало всего 8 человек (зал был рассчитан человек на 50), из которых семеро было докладчиками! Все это результат неправильной организации мероприятии во всех смыслах.

Только очень небольшой процент конференций и семинаров, организованных в России, идут по "западному" пути. Основной процент дохода идет со стороны слушателей. Но для того, чтобы привлечь хорошую целевую аудиторию, приглашаются интересные докладчики с интересными докладами.

С докладами и докладчиками, кстати, тоже проблема. Организаторы, не являясь специалистами ни в безопасности, ни в искусстве выступать перед аудиторией, "пропускают" либо неинтересные посетителям темы, либо не умеющих говорить спикеров, на выступлениях которых народ просто засыпает или встает и уходит, не возвращаясь уже на других докладчиков. Если же при конференции и создается программный комитет, то очень часто туда приглашают именитых персон или "свадебных генералов", далеких от практики ИБ. В итоге мероприятие опять страдает.

ЗЫ. К слову сказать, хороших докладчиков по ИБ, которые умеют "зажечь" и которые рассказывают интересные и полезные вещи, тоже не так уж и много. А учитывая все возрастающий интерес к теме безопасности и желание "срубить" легкие деньги, организаторам приходится приглашать "абы кого", только бы забить тайм-слоты.

Как повышают осведомленность в ИБ в Intel?

5-го августа я уже писал про повышение осведомленности и в качестве примера приводил 2 ведущих мировых ИТ-компании - Cisco и Microsoft. Теперь пришел черед еще одного не менее известного вендора - Intel.

Самое простое, что делают в Intel, как и во многих других компаниях - развешивают в "ходовых" местах различные постеры и плакаты. Очень удачное место для это - "курилка". Надо сказать, что в западных компаниях это маловероятно из-за их приверженнности здоровому образу жизни. В России пока не столь категоричны и в офисах еще можно курить, несмотря на принятие соответствующего закона.

Второй интересный вариант - шнурки для беджей, которые всегда на шее (исключая тех сотрудников, которые носят такие бейджи на поясе).


Главное, что требуется от любого носителя информации по security awareness - его постоянное мелькание перед глазами. Что может служить таким носителем кроме шнурка для бейджа, плаката в курилке или настольного календаря?.. Карандаш или ручка... Они используются повсеместно даже в наш компьютерный век. Такие карандаши можно положить в переговорных комнатах и тогда о вашей заботе о безопасности узнают и все ваши клиенты и партнеры. А это благоприятно будет влиять на вашу репутацию.

ЗЫ. Размещать надписи о безопасности на стилусе смартфона или КПК не стоит - слишком уж мелкий шрифт придется использовать.

Мы занимаемся не тем...

Получил сегодня по почте письмо и задумался, а тем ли я занимаюсь? Не пора ли сменить работу на более высокооплачиваемую? Вот текст письма, приведшего меня к столь серьезным раздумьям:

"Добрый вечер
Мы рады предложить Вам вакансию
Прибыль от 1521 долларов в день.
у нас есть возможность иметь доступ к информации о кредитных картах и пин кодах .
Мы предлагаем, чтобы Вы обналичивали эти карты за половину от денег, которые там будут. Суммы от 2275 долларов. Мы ищем долгосрочное сотрудничество только с серьезными людьми.
Пишите на ..."

ОТ полутора тысяч в день. За пару лет в олигархи можно выбиться, за десятилетку попасть в список Форбс...

ЗЫ. Письмо, кстати, пришло с мастерхостовых адресов ;-(

Ах, козлятушки, вы ребятушки

Забавные вещи иногда происходят, когда профессия очень прочно входит в твою жизнь и становится неотделима от хобби и обычной жизни. Недавно по просьбе трехлетнего сына запустил караоке дома и стали с ним петь песни. Дошли до "Второй песни Козы" из оперы Аристова и Рыбникова "Волк и семеро козлят на новый лад". Вчитался в текст на экране. Оказывается еще в те годы биометрия была в моде. Вот дословный текст песни:

Ах, козлятушки, куда сгинули,
На кого ж меня вы покинули!
Не послушали своей матушки
Получилися обознатушки.
Позабыли вы голос матери,
Видно бдительность вы утратили.
Допустили вы упущение,
Видно волк проник в помещение.

Аутентификация по голосу в чистом виде ;-)

Безопасность... и асфальт

Вот спросили тут меня на днях, почему, мол, надо покупать дорогие решения по безопасности, когда есть дешевые или вообще бесплатные. Вопрос не праздный. Универсального ответа нет - все, конечно, зависит от конкретной ситуации, конкретного вендора... Но могу привести аналогию из мира, близкого любому автовладельцу. Да и вообще любому человеку, который ездит на городском транспорте или иных транспортных средствах по нашим дорогам.

Итак, сейчас лето. Пора завершающего этапа подготовки к зимнему сезону. В том числе ремонтируют и дороги, точнее латают их. И такое повторяется каждый год. Сначала старый (хотя ему всего год) асфальт снимают, потом на его место кладут новый асфальт. Итого 2 операции, за каждую из которых берут, допустим Х рублей. Итого 2Х рублей в год. Плюс стоимость асфальта Y.

Почему нельзя поступить как на Западе, где асфальт не меняется годами? Почему у нас в дорожном покрытии колеи, вмятины и ямы появляются уже через пару месяцев после его укладки? Допустим у нас есть современный стойкий асфальт, который не надо менять каждый год. Разумеется, стоит он дороже. Допустим в 3 раза, чем упомянутый выше асфальт, т.е. 3Y. Хотя на самом деле стоит он не в 3, а в 1,5-2 раза больше. Казалось бы разницы никакой. 3 года тратить по Y или потратить 3Y один раз, но за три года. Но это так кажется. Ведь мы не учитываем сопутствующие затраты - снятие и укладку асфальта. Во втором случае эта стоимость за 3 года составит 2X за три года, а в первом - 6X за тот же период. А учитывая, что стоимость услуг у нас обычно превышает стоимость обслуживаемого продукта, то получается, что изначально дорогой асфальт оказывается выгоднее, чем дешевый (вопросы откатов я в рассчет не беру).

Аналогичные рассуждения можно применить и к системам защиты.