О паранойе, вселенском заговоре и многом другом

Работа конференции ВУЗов, имеющих специальности по ИБ, завершилась. Могу подвести первые итоги. По новым госстандартам 3-го поколения отпишусь подробнее попозже, а сейчас расскажу о конференционной части. Доклады были интересные и не очень (первых больше). Видно, что ВУЗы несмотря на полное неприятие их работ регуляторами в лице ФСТЭК, ФСБ, МВД и т.п. занимаются по различным грантам, НИРам, заказам такими вещами, которые не соответствуют действующей политике государства в области ИБ. Работа по линии ПЭМИН, криптографии, криптоанализу, распознаванию речи ведутся очень активно. Некоторые ВУЗы автоматизируеют результаты своей деятельности. Например, в ТУСУРе разработали программу по автоматизации процессе классификации и моделирования угроз в рамках ФЗ-152, создав некий аналог Wingdoc ПДн.

Было пару о-о-очень дискуссионных докладов. Один выступал от МЭСИ (Баяндин Н.И.), второй якобы от ФАИТ (хотя его доклад не имел никакого отношения к месту его работы в отделе удостоверяющих центров). Баяндин рассказывал про читаемый ими в МЭСИ курс по деловой разведке и попытке сделать из этого официальную специализацию в рамках госстандарта. Нареканий на эту программу обучения было много. Одно из них заключалось в том, что готовящиеся специалисты могут работать как на благо государства, так и во вред. Т.к. умение аккумулировать из разрозненных открытых источников информацию приводит к созданию аналитических отчетов, которые по совокупности могут содержать гостайну. Второй вопрос связан с нарушением ФЗ-152. Все-таки сбор сведений о гражданах без их согласия нарушает закон о персданных. На что выступающий, не раз отмечая, что закон они не нарушают, в данном случае заявил, что ФЗ-152 неработает, прецедентов пока нет и что они все равно будут собирать ПДн без согласия ;-)

Второй выступающий (от ФАИТ) говорил о проблемах ИБ. Интересный доклад, суть которого может быть выражена примерно следующим: американцы - сволочи, придумали Интернет, распространили его по всему миру и теперь все находятся под колпаком у спецслужб США. Дальше больше. Все протоколы Интернет - американские, оборудование - тоже американское, операционные системы американские, закладки на закладках, демократия под угрозой. Операторы связи тоже сволочи, т.к. не заботятся о безопасности клиентов, а только стригут "бачки" (как выразился выступающий). Интеграторы - некомпетентны и их надо привлекать к ответственности за продажу некачественного товара (некачественный - это тот, в котором, по мнению выступающего, могут быть в теории закладки), выпускаемые в России книги иностранных авторов - это псевдонаучная шелуха, засорящая и обманывающая молодые умы...

Все бы ничего, если бы не два аспекта. Признание неспособности России выпускать адекватное ПО и железо всем известно. Но когда его делает представитель ФАИТ (а именно от этого ведомства выступал оратор), то возникает вопрос? А что же делает ФАИТ, как головное ведомство по развитию ИТ в России? На эту тему профессор Преображенский хорошо высказался в "Собачьем сердце" (монолог про разруху и большевиков).

Второй момент связан с самой постановкой проблемы. Любой специалист признает, что на недоверенных элементах сложно строить защищенную систему с гарантированным уровнем ИБ. Но советовать всем выбросить Microsoft, Linux (как низкозащищенную приманку со стороны американских спецслужб; видимо про то, что на базе этой ОС разработаны МСВС и другие "наши" ОС автор не знает), Cisco и продукцию других западных вендоров - это верх умстевнной работы. Заменить-то на что? Оратор предложил вернуться к MS DOS, как к проверенной спецслужбами системе. И видимо оратор не знает, что выбор платформы должен зависеть не от желания спецслужб (это логично только для госорганов и критически важных объектов), а от стратегии управления рисками заказчика. Готов он принять риск использования недоверенной платформы - пожалуйста. Не готов - предложите ему альтернативу. А ее-то и нет. Правда, даже если принять "умную" идею о возврате к MS DOS, то у любого грамотного специалиста возникает другой закономерный вопрос. Раз спецслужбы пекутся о защищенности ОС, то наверное стоит и системотехнику предлагать тоже отечественную и тоже проверенную. Но ее вообще у нас нет. Штучная сборка, пожалуйста. А вот серийного производства, увы... В общем представитель ФАИТ, как бывший сотрудник ФАПСИ, показал свою компетенцию в области
 ИБ для граждан и общества. А то, что он представитель головного ведомства по ИТ в России говорит и о будущем информационных технологий в России.

ЗЫ. А еще по мнению представителя ФАИТ, а по совместительству преподавателя трех московских ВУЗов, NetBIOS - это протокол доступа к BIOS по сети ;-)

ЗЗЫ.  И в заключение, оратор из ФАИТ очень много ругал Cisco. Из наиболее одиозных высказываний можно отметить одно. Cisco непрофессиональная в сетевых технологиях компания потому что выпускники ее сетевых академий считают, что стек протоколов TCP/IP состоит из 4-х уровней, а оратор написал книгу, в которой описано 5 уровней. А второе доказательство незнания сетей в том, что Cisco переводит термин "Voice over IP" как "голос поверх IP", в то время как надо переводить как "речь поверх IP". Ну про понимание оратором NetBIOS я написал выше.