30.9.10

И вновь о 57-ФЗ

И снова вспомним 57-ФЗ. После сообщения о том, что Royal Bank of Scotland запретили увеличить долю в ЗАО "Королевский банку Шотландии" по причине наличия у последнего лицензии ФСБ на криптографию. И вот ФАС внес в Правительство пакет поправок, который исключает деятельность банков (кроме банков с госучастием) в области криптографии из стратегических видов деятельности.

ЗЫ. Правда, непонятно, почему исключение касается только банков? Но все равно хоть что-то... Первый шаг сделан.

29.9.10

Лужков, Медведев и рынок ИБ

Ехал я вчера с работы и как-то долго ехал. 3,5 часа против обычных 40 минут. Толи дождь пошел неожиданно, толи бывший мэр решил всем показать, что при нем пробки были меньше ;-) Но факт остается фактом - тема увольнения с позором бывшего мэра Москвы склонялась на радио всеми и вся. И пока я все это слушал, я размышлял, как это все может сказаться на рынке ИБ в России и имеет это увольнение хоть какую-нибудь связь с нашей тематикой? Вообще политология и прогнозы - вещь неблагодарная, да еще и для неспециалистов, но... как известно играть в футбол и управлять государством у нас может каждый и делает это лучше профессионалов ;-) Так что поразмышлял и я.

Как-то летом я уже делал презентацию о тенденциях в области ИБ, которые нас ждут. Все они зависили от того, какой клан возьмет вверх в России - "либералы" (Медведевский) или "силовики" (Путинский). Еще совсем недавно у меня не было четкого ответа на этот вопрос и более того, я думал, что Путин "одержит вверх" ;-) Но после новости о снятии Лужкова я подумал, что несмотря на заявления "врагов", наш Президент может и делает самостоятельные шаги. Причем такие, что ого-го ;-) Все-таки снять с такой формулировкой одного из организаторов партии, которой сейчас руководить Путин, - это Поступок. А если учесть, что ходили слухи о том, что Путин никогда не согласится со снятием Лужкова, который должен был обеспечить электорат на выборах 2012-го года, то решение Дмитрия Анатольевича (уникальное в своем роде) выглядит совсем уж сногсшибательно. А значит Медведев в состоянии пробить и другие свои, менее навореченные инициативы. Например, принятие международных стандартов в системе техрегулирования или исключения ФСБ из системы регулирования гражданской криптографии.

Правда, все может быть и наоборот ;-) Но верить в это не хочется ;-) Хочется надеяться, что эпоха "синепогонников" (как их сегодня не раз называли по радио) постепенно заканчивается. По крайней мере на гражданском рынке информационной безопасности.

28.9.10

Калькулятор рисков от Symantec

Наверное многие видели эту ссылку на калькулятор рисков Symantec для малого и среднего бизнеса. Идея интересная, но вот реализация... ;-(  Я поигрался с этим сервисом, давая разные ответы на вопросы, ища между ними зависимость. Не нашел ;-(

Интересный результат дал такой сценарий - вся обрабатываемая в гипотетической компании информация важна как никогда (бегунок в самом правом положении). Иными словами, размер потенциального ущерба должен быть максимальный. Число сбоев (инцидентов) поставил 1 (меньше нельзя), длительность простоя и длительность ежедневного удаления спама - тоже минимально возможные значения. Самый худший случай простоя (есть и такой вопрос) - неприятно, но никакого нарушения работы. Т.к. инцидентов минимум, то и на вопрос "сколько вы тратите на восстановление системы?" я указал нижнюю границу - 1 тысячу долларов.

Теперь смотрим на результаты. Они достаточно интересны. Например, этот "калькулятор" насчитал мне 63 часа потери времени в год. На основании чего? Логичный вывод о том, что они умножили 1 минуту на ежедневное удаление спама на число сотрудников и число дней в году, не срабатывает ;-( Да и то, что разные сотрудники используют разные усилия для удаления спама (как и его объем тоже отличается для разных сотрудников) видимо не учитывается. Итоговая сумма потерь тоже непонятно откуда взялась, но с порядком я могу согласиться. В моем примере эта цифра равна 4,7 тысячам долларов (всего). Но дальше интереснее. Из того, что ущерб компании с 40-миллионным оборотом составил всего около пяти тысяч долларов сделан парадоксальный вывод о том, что уровень риска у меня гораздо выше среднего. Зато потом все понятно - "Компания Symantec поможет вам защитить важную для вас информацию. Перейдите к выбору решения прямо сейчас".

Дальше больше ;-) В исходных данных я указал, что речь идет об индивидуальном предпринимателе. 1 сотрудник. Минимальная зарплата. Минимальный доход. Минимальные показатели ущерба. Максимальный уровень важности информации. Как вы думаете, какой результат был получен? Идентичный первому описанному выше сценарию ;-) Та же сумма ущерба. То же количество потерянного времени (значит число сотрудников в этой формуле не участвует вовсе). Только риск стал еще выше (почти максимальной отметки достиг).

Ну и третий сценарий  ;-) Максимальные исходные данные с точки зрения объемов продаж, зарплаты и числа сотрудников. Никакой важной информации на предприятии вообще нет. И что же? Результаты аналогичные ;-) 63 часа простоя, 4688 долларов потерь. Только вот риск ниже нижнего значения ;-)

А теперь феерия чувств ;-) Использовал минимальные исходные данные, отсутствие важной информации, но поигрался с числом инцидентов (поставил 5), временем восстановления после простоя (поднял до 2 часов) и временными затратами на удаление спама (увеличил до 10 минут). Что у нас должно произойти по логике? Время простоя должно возрасти. И возрасти многократно. Ан нет. В калькуляторе оно сократилось в 5 раз - до 13-ти часов. И где логика, спрашиваю я?

ЗЫ. В общем какая-то ...гня ;-(

27.9.10

Напоминание: общественные слушания по теме персданных

Напоминаю, что летом был запущен сайт общественных слушаний по совершенствованию законодательства в области персональных данных. И именно к результатам, полученным через этот сайт, будут прислушиваться ко второму чтению резниковского проекта. Так что присоединяйтесь! И ваш голос будет услышан!

23.9.10

АРСИБ - новая ассоциация руководителей служб ИБ

Я уже не раз писал о попытках объединить безопасников в некое сообщество, которые заканчивались ничем. Одним из немногих исключений является RISSPA, которая продолжает жить и здравствовать. Но вот на днях было продекларировано создание АРСИБ - Ассоциации руководителей служб ИБ.

Задачи у АРСИБ достаточно амбициозные:
  1. объединение руководителей ИБ;
  2. выражение консолидированного мнения и позиций профессионалов в области информационной безопасности;
  3. взаимодействие с регуляторами по вопросам информационной безопасности;
  4. воздействие на вопросы законодательного обеспечения ИБ;
  5. взаимодействие с профильными ассоциациями, такими как АЗИ, ABISS, RISSPA и др.;
  6. проведение тематических семинаров, тренингов, консультаций, в том числе узкоспециализированных по актуальным вопросам информационной безопасности;
  7. повышение уровня квалификации и компетенций специалистов и руководителей информационной безопасности;
  8. создание в интересах членов собственного центра информационной и сетевой безопасности (NSIC) и установление контактов с международными организациями (например: FIRST - Forum of Incident Response and Security Teams). За основу создания и определения полномочий принимаются подходы создания центров типа CSIRT\CERT;
  9. популяризация идей и профессий в области информационной безопасности.
Я, если честно, скептически отношусь к этой затее по ряду причин. Во-первых, ничто не мешает руководителям служб ИБ и сейчас общаться между собой. В качестве площадки можно выбрать любую из существующих социальных сетей, предусматривающих закрытые дискуссионные группы (тот же LinkedIn, Facebook или даже "ВКонтакте.ру"). Во-вторых, консолидированного мнения у большого количества людей достичь сложно. Хотя положительные (но непубличные) примеры и тут есть. А главное, что несовсем понятно, куда это мнение транслировать. Как показывает опыт - общение с законодателями возможно организовать и по существующим каналам, а с регуляторами общаться практически бесполезно.

Мне лично больше всего импонирует 8-я цель создания АРСИБ и я даже знаю, кто был ее инициатором ;-) Только вот в рамках АРСИБ это сделать будет невозможно. В курсе по управлению инцидентами я рассматриваю вопрос создания CSIRT (CERT - это чужая торговая марка). Там видно, что это, как правило, чисто затратное мероприятие, которое требует постоянного и немалого финансирования. На членские взносы это не сделаешь. Именно отсутствие финансирования не позволило реализоваться, как минимум, двум известным мне попыткам (за последние 10 лет) создать российскую группу реагирования на инциденты ИБ. И именно потребность в инвестициях стала основным мотивом вхождения Group-IB в Группу Лета. Популяризация идей и проведение мероприятий - тоже мероприятия не бесплатные (хотя RISSPA и удается проводить семинары бесплатно). Да и вообще клубная (именно клубная) деятельность - это всегда затраты.

Описание преимуществ членства тоже вызывает немало вопросов ;-( Как АРСИБ будет бороться с недобросовестными поставщиками услуг и вендорами? Как АРСИБ будет решать вопросы трудоустройства (и почему нельзя использовать существующую биржу труда по ИБ)? Как участие в АРСИБ поднимет статус руководителя службы ИБ внутри своего работодателя? Ну и т.д.

Вопросов больше чем ответов... Хотя было уже два собрания, на котором решались вопросы по созданию АРСИБ, на мой взгляд эта тема совершенно не проработана ;-(  Кроме статусности (и то спорной) я почти не вижу смысла в появление АРСИБ ;-( По крайней мере сейчас. Если она будет похожа на СоДИТ (что можно предположить, исходя из изучения списка инициаторов создания АРСИБ), то может что-то дельное и родится. Но я как-то не верю уже в попытку создания чего-то, действительно помогающего руководителю ИБ. Может просто я скептик?

ЗЫ. О вступлении можно узнать по ссылке выше.

22.9.10

ФАИТ продолжает жить?!

Не в качестве флейма, а токмо ради напоминания ;-) ФАИТ было закрыто в августе этого года. А недавно на сайте госзакупок появился интересный конкурс по созданию в России единой системы электронно-цифровых подписей. В качестве контактного лица указан Владимир Георгиевич Матюхин, который перестал руководить ФАИТ еще в январе!

Однако эти люди не тонут ;-) Федеральное агентство - призрак! Что-то в этом есть!

21.9.10

Контркриминалистика?! А нафига?

Прочел на секлабе статью про контркриминалистику и возникло у меня непонятное ощущение. Сначала я подумал, что статья будет про расследование инцидентов; да и авторство статьи принадлежит Group-IB, которая занимается компьютерной криминалистикой. Но внимательно прочитав материал и зайдя на сайт автора статьи, возникло определенное недоумение. Зачем компании, которая занимается расследование преступлений в сфере высоких технологий и помогающей собирать доказательства для правоохранительных структур, нужен проект, направленные на изучение и ПУБЛИКОВАНИЕ методов, препятствующих их основной деятельности?

Я понимаю изучение методов злоумышленников с целью противодействия им. Но публиковать-то это зачем? И зачем открывать проект с преложением присоединиться к нему всех желающих? Вот как-то не стыкуется у меня это в голове ;-(

20.9.10

Cisco SIO

Я уже как-то писал про приложение Cisco SIO for iPhone, которое позволяет иметь постоянный доступ к информации о текущих Интернет-угрозах, новостях о ИБ и т.п. Работает это приложение на базе результатов, которые генерит наше подразделение Cisco Security Intelligence Operations (SIO). И вот мы в очередной раз обновили наш SIO-портал, который является единой точкой входа по всем вопросам безопасности, как связанным с Cisco, так и не связанным с моим работодателем. Блоги по безопасности, аналитика, статистика, различные Web-инструменты, видео, новости, бюллетени по уязвимостям, политика в области работы с уязвимостями и т.д. Все это на одном портале по понятной ссылке www.cisco.com/security или www.cisco.com/go/sio.

16.9.10

HP покупает ArcSight

Все-таки ArcSight был куплен HP. За 1.5 миллиарда долларов. Пока никаких деталей об интеграции продуктов обеих компаний нет. И вообще, как пройдет поглощение тоже не совсем понятно. В пресс-релизе руководство обеих компаний отделывается общими словами, не более.

15.9.10

Leta IT инвестирует в Group-IB

На проведенной сегодня пресс-конференции компаний Leta IT и Group-IB был анонсирован факт вхождения последней в состав ИТ-интегратора. Group-IB является, пожалуй, единственной компанией, которая профессионально занималась в России расследованием инцидентов (хотя попутно она пыталась торговать решениями SourceFire и GuardianEdge). В общем, решение Леты было вполне логичным - расширить свою экспертизу и портфолио услуг (а может и под какой-то конкретный проект). А вот с точки зрения внешнего наблюдателя, который смотрит на все это отстраненно и читает пресс-релизы, вопросов немало.

В пресс-релизе Group-IB написано, что она получает доступ к центру исследований и аналитики ESET. Логичный шаг, позволяющий получать доступ к информации о современных угрозах, их источниках и путях распространения. Но зачем отдавать 50%-ую долю за это? Неужели в Интернете мало источников такой информации? Или возможностей получать эту информацию, не продавая себя инвестору? Нелогично как-то ;-(

Другой вопрос возникает когда видишь озвученные цифры оборота Group-IB в 2009-м году. Согласно опубликованным данным это 43 миллиона рублей (почти 1,5 миллиона долларов). Если верить информации Cnews, в Group-IB работает 4 человека; по другой информации - около 8. Даже если рассматривать последнюю цифру, то получается порядка 180-200 тысяч долларов годового дохода на сотрудника. Больших накладных расходов для консалтинговой компании из 8 человек не требуется; налоги тоже будут не сильно обременительными. Я далеко не уверен, что в Лете смогут платить столько же (хотя и был бы рад ошибиться).

Так что посмотрим, как будет развиваться это направление в Лете ;-)

UPDATE: По достоверной информации в Group-IB сейчас работает около 30 сотрудников. А инвестиции нужны для запуска новых сервисов и приобретение специфического оборудования.

ЗЫ. Group-IB вошла не в Leta IT, а в Leta Group.

14.9.10

SurfPatrol - проверь защищенность своего ПК через Интернет

Есть у многих разработчиков браузеров интересная возможность на их сайтах - проверка защищенности компьютера пользователя. Иными словами, разработчики встают на место злоумышленников и проверяют, что можно было бы сделать, если бы через ваш дырявый браузер полезет хакер. Например, у Mozilla (разработчик Firefox) такое тестирование преставляет собой проверку актуальных и обновленных плагинов.

И вот в конце прошлой недели аналогичный по сути, но более глубокий по анализу инструмент, был запущен компанией Positive Technologies. Система проверки SurfPatrol расположена по одноименному адресу. Сервис бесплатный. И возможностей по его использованию я вижу много. Начиная от операторов связи, которые могут предложить своим клиентам такой сервис, до клиентов банков, которые могут проверять защищенность своих ПК перед доступом к своим виртуальным счетам.

В чем  преимущество такого сервиса перед аналогичными заявками  западных игроков? Ну, во-первых, поддержка русского языка, что для рядовых пользователей Рунета является одним из основных критериев. Во-вторых, этот инструмент функционирует без агента. Т.е. никаких апплетов ставить не надо, загружая и без того нагруженный плагинами браузер. У того же Qualys или Secunia я не рискнул ставить плагин (фиг знает, что он там собирает). Кстати, у Qualys есть один неприятный сюрприз, который вводит многих пользователей. Их решение проверяет не защищенность системы, а актуальность установленного софта, плагинов и т.п. (т.е. по сути то, что делает Mozilla). Но последняя версия и защищенная версия - это совсем не одно и тоже.

Фокус у любого такого инструмента - на ОС Windows. Тот же Qualys об этом говорит только в FAQ и пользователи Linux или MacOS, желающие проверить свой комп, будут неприятно удивлены (а еще Qualys не проверяет нелицензионный Windows). SurfPatrol похоже тоже ориентирован на продукцию Microsoft (судя по ухе имеющимся отзывам). Сам я на Linux его проверить не смог (ибо нет ее у меня), а вот на MacOS и iOS 4 я его проверил - все чисто (правда и патчится мой Mac регулярно).

ЗЫ. Думаю, что список поддерживаемых SurfPatrol платформ будет постоянно пополняться.

13.9.10

IP-адрес приравнен к персданным

Верховный суд Швейцарии 8 сентября принял решение о том, что IP-адреса Интернет-пользователей относятся к персональным данным и полностью подпадают под законодательство о защите прав субъектов ПДн.

Вот такие интересные новости в Европе. Надо заметить, что в России аналогичное судебное решение (правда не на уровне ВС РФ) было принято еще в 2003-м году, когда районный суд Екатеринбурга принял решение о том, что IP- и MAC-адрес пользовательского компьютера в Интернет относится и к персданным пользователя и одновременно к служебной и коммерческой тайне оператора связи. Вот такая мы прогрессивная страна - на 7 лет опередили всю Европу ;-)

На курсе я эту ситуацию рассматривал как требующую дополнительного изучения. И вот теперь, похоже, найден ответ. А решение пока только одно - перевод IP-адресов в разряд общедоступных и фиксация этого во внутренних нормативных документах оператора связи. И остается надеяться на принятие законопроекта по Интернет. Тогда IP-адреса будут считаться общедоступной информацией автоматически.

6.9.10

Курс "Управление инцидентами ИБ" (часть 1)

В феврале я выкладывал в блог полную версию своего курса по моделированию угроз. И вот настал момент для выкладывания очередного курса. Уже по управлению инцидентами информационной безопасности. Ввиду большого объема презентации (431 слайд), курс разбит на 5 частей - как раз получается на всю рабочую неделю. Это последняя версия, которую я читал.


ЗЫ. Детальная карта курса (чтобы окинуть его взглядом с высоты птичьего полета) тут.

2.9.10

Управление К выведено за штат

За штат МВД выведено Бюро специальных технических мероприятий (БСТМ, известное как управление «К»), занимающееся борьбой с преступлениями в сфере высоких технологий и техническими мероприятиями по прослушиванию правонарушителей в рамках оперативно-розыскных мероприятий.

Выведение за штат — рутинная процедура в рамках структурных преобразований министерства, за штат будут так или иначе выведены в скором времени все подразделения, сотрудники которых после переаттестации будут вновь приняты, но уже в состав киберполиции. Как пишет сайт каспаров.ру, за штат та или иная структура милиции выводится в случаях, когда ее планируется распустить, переподчинить, сократить численность или изменить внутреннюю структуру.

В случае с управлением К роспуска не будет, но вот остальные мероприятия коснутся их могут. В частности, ходят слухи о сокращении БСТМ на четверть, а в начале года ходили слухи о переподчинении БСТМ одноименному управлению в структуре ФСБ.

1.9.10

Что ФСТЭК думает о лицензиатах?

Наверное уже многие видели, но я решил тоже откросспостить ссылку на ответ начальника отдела управления ФСТЭК. Если это подстава, то скоро сообщение должно исчезнуть, а если это реальный ответ сотрудника ФСТЭК, то становится грустно...

Нужно ли шифрование для защиты ПДн?

Чего-то понесло меня в тему шифрования в последнее время... Видимо постоянное "окружение" влияет ;-) Но обратимся к непростому, как оказывается, вопросу: "А нужно ли шифровать ПДн?" Многие операторы ПДн почему-то считают, что убрав из текста закона фрагмент "в т.ч. использовать шифровальные средства", законодатели сказали, что это самое шифрование теперь необязательно. И да и нет. Оно и раньше было необязательным, но находились "читатели", которые в словах после "т.ч." видели обязательство применения шифрования. И вот по инициативе ФСБ фрагмент убрали и многие "читатели" ринулись в другую крайность.

Но дело даже не в этом, а в том, что все почему-то ставят знак равенства между термином "конфиденциальность", указанном в ФЗ-152, и термином "шифрование". Но ведь это не одно и тоже. Совсем не одно и тоже. Что говорит ФЗ-152 про конфиденциальность? "Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания". Где тут слово "шифрование"? Это всего лишь требование не допускать распространения ПДн без согласия их субъекта или иного законного основания. Достаточно всего лишь вписать в договор с субъектом, что ПДн передаются в открытом виде по Интернет (утрирую малость, но суть остается прежней) и вот вы уже чисты перед законом - согласие субъекта есть. Или передача данных в ФНС, ФМС, ФОМС и т.п. Обязаны передавать? Обязаны. Вот и передавайте без обеспечения конфиденциальности ;-)

Но если все-таки и согласия у нас нет, и законных оснований тоже. Остается только шифрование? Опять нет. Требование не допускать распространения может быть достигнуто разными способами. Например, передачей ПДн в контролируемой зоне. Или передачей ПДн в среде, в которой перехват данных признан в результате экспертной оценки неактуальной угрозой. Или заключением договора с оператором связи на обеспечение конфиденциальности (перекладывание рисков на чужие плечи). И только в последнюю очередь речь идет о шифровании ПДн. А если вспомнить про связку "шифрование - обезличивание", то и вовсе весело становится ;-)