31.3.11

ФЗ об электронной подписи принят в 3-м чтении

Итак, ФЗ "Об электронной подписи" принят ГосДумой в третьем чтении, а вчера прошел и Совет Федерации. Описание основных моментов тут, а краткий анализ, сделанный Александром Бондаренко тут.

30.3.11

Отношение к ИБ в США и России

Находясь в США видишь разницу в отношении к ИБ с Россией. У нас это удел специализированных журналов и выставок, а там ИБ рекламируют для широкой аудитории и не видят в этом ничего зазорного. В аэропорту Лос-Анджелеса или Сан-Хосе висит реклама средств борьбы с угрозами для e-mail. На 101-м шоссе висит неоновая и манящая реклама ИБ-вендоров. Аналогичную ситуацию я наблюдал и в Лондоне.

А у нас? Из всех игроков рынка такой способ донесения информации о себе "активно" использует только Касперский, вывешевия по дороге в московские аэропорты рекламу о себе. Еще и ESET рекламировал себя раньше на заправках а сейчас осваивает радиоэфир. Вот и все ;-(

А потом мы удивляемся, почему о прошедшем годе безопасного Интернета никто ничего не слышал. Как в анекдоте о неуловимом Джо...

- Posted using my iPhone

29.3.11

Зачем Ethernet в самолете?

Летел сегодня в США Аэрофлотом. Новый 330-й. И на каждом кресле 2 порта - USB и Ethernet. С USB я еще могу понять - зарядка и все такое. Но зачем в самолете Ethernet? Неужели общение по сети - это такая востребованная штука? Но ее можно реализовать и по иному. Например, в Emirates можно просто общаться между местами с помощью сервиса а-ля SMS. Но сеть-то зачем? Доступ в Интернет? Не уверен, что в эконом-классе это востребовано... На обратном пути попробую подключиться.




ЗЫ. А вообще, вспоминая историю с А380, в котором случайно внутренняя сеть управления самолетом и пассажирская сеть не были разделены, полеты на ИТ-совместимых самолетах доверия не вызывает ;-(

- Posted using my iPhone

Облачная безопасность RISSPA

3 недели назад в офисе Cisco проходил семинар RISSPA, посвященный облачной безопасности и открытию российского отделения Cloud Security Alliance. Отличный фоторепортаж с мероприятия тут. Там же выложены презентации и ссылка на запись Cisco Webex.


- Posted using my iPhone

25.3.11

Длина ключа: какой ей быть?

Интересный анализ опубликован у нас на сайте. В нем проводится исследование того, какие длины ключей для каких криптоалгоритмов являются адекватными на сегодняшний день и на ближайшие 3-4 года. Конечно про ГОСТ там ни слова, но все равно интересно. Хотя хочу заметить, что для большинства приложений DESа по-прежнему хватает за глаза ибо ломать криптографию в лоб мало кому нужно и захочется.

Жаль, что ФСБ такого публичного анализа не имеет.

- Posted using my iPhone

McAfee покупает Sentrigo

23 марта McAfee, являющаяся частью Intel, объявила о желании купить частную компанию Sentrigo, которая предлагает полный спектр защитных технологий для СУБД - анализ защищенности, мониторинг активности, виртуальные патчинг и т.д. Детали сделки не разглашаются.

24.3.11

Защищенный мобильный офис

Во второй день CSO Forum должно было быть мое второе выступление, посвященное защищенному мобильному офису. Так получилось, что у меня было другое выступление и я попросил Мишу Кадера выступить вместо меня. По его словам на последний доклад (а он был именно последним) осталось всего около 20-ти человек и то, многие спали ;-( Поэтому презентацию увидели не все участники CSO Forum. Дабы устранить эту несправедливость, выкладываю ее тут.


ЗЫ. Вообще CSO Forum в этом году мне категорически не понравился ;-(

23.3.11

Безопасность социальных сетей

Сегодня у меня должно было быть выступление на Call Center Forum 2011 с докладом по безопасности социальных сетей. Выступить не удастся по причине участия в другом мероприятии, но презентацию выкладываю.

22.3.11

Контроль электронной почты создает одни проблемы

Доклад Generation Gmail Report, представленный компанией Mimecast, показал, что компании должны предоставлять гибкие возможности использования электронной почты своим сотрудникам, если они хотят избежать утечки таких данных.

В отчете сказано, что сотрудники отделов IT ведут бесполезную борьбу в попытках удержать пользователей от ненадлежащего использования e-mail только с помощью политик ограничения. Было выявлено, что сотрудники хотят использовать корпоративную электронную почту так же свободно, как и личную. Если они не могут работать так, как они привыкли, в корпоративной среде, они учатся обходить запреты, тем самым создавая угрозу системе безопасности компании.

79% людей отправляют рабочую почту со своих личных ящиков, при этом 1 из 5 опрошенных делает это постоянно. В отчете предлагается не только изменить подход к решению проблемы, меняя политики ограничения на политику наделения полномочиями, но и применять технологические решения для повышения безопасности и уменьшения желания сотрудников «обойти» правила.

Основные результаты исследования сводятся к следующему:

- 66% сотрудников констатируют факт, что электронная почта остается их любимым средством связи и общения;

- 40% говорят, что если бы у них на работе был безлимитный почтовый ящик, они бы скорее всего не пересылали рабочую почту на свои личные адреса;

- всего половина опрошенных подтверждает, что в их компании действует политика использования корпоративной почты, 29% отрицают это, а каждый шестой (17%) не знает о ней;

- 40% респондентов уверены, что корпоративная политика использования e-mail должна быть улучшена.

Исследование было проведено компанией Loudhouse по заказу Mimecast с помощью более чем 2400 он-лайн интервью среди пользователей email в Великобритании (1,080 интервью), США (805), Канады (272) и Южной Африки (300).

21.3.11

Мое выступление на CSO Forum

 Сегодня в 10.40 я выступаю на CSO Forum с презентацией "Что на повестке дня директора ИБ на ближайшие 2 года?"

16.3.11

Интересные цифры

Согласно статистике Frost & Sullivan в мире в прошлом году насчитывалось около 2.28 миллионов специалистов по ИБ (к 2015-му их должно быть 4.2 миллиона).

Если разделить это число количество узлов в Интернет и число жителей Земли, то получится, что один специалист по ИБ обслуживает 359 узлов и 3029 человек. О как!

15.3.11

Новый сертификат ФСБ на модуль шифрования Cisco

С радостью сообщаю, что модуль NME-RVPN (в исполнении МСМ) для маршрутизаторов ISR и ISR G2 28-го февраля получил новый сертификат ФСБ. Если раньше модуль был сертифицирован по классу защиты КС1, то сейчас уровень защиты повышен до КС2. Основное изменение касается банков, которым стандартом Банка России было предписано применение VPN-решение классом не ниже КС2. Теперь и модуль NME-RVPN и VPN-решение на базе Cisco UCS C-200 сертифицированы по классу КС2.

10.3.11

Индекс заражения всего мира

В 2009-м году Cisco разработала еще один индекс - Cisco Global ARMS Race Index, созданный по аналогии со шкалой Рихтера по измерению силы землетрясений. Его задача показать уровень заражения сайтов по всему миру вредоносным ПО, управляемым злоумышленниками. В практической деятельности отдельных компаний он малоприменим, но зато полезен в контексте ежегодной оценки тенденций в области угроз ИБ.Вычисляется этот рейтинг, основываясь на размерах текущих ботнетов, общем числе Интернет-соединений, уровне заражения домашних и рабочих компьютеров, уровне спама и т.п.

В 2009-м году индекс был равен 7.2, в прошлом - 6.8. Однако, усилия по ИБ не пропадают даром, что не может не радовать.

ЗЫ. С нами связян и еще индекс безопасности - Adaptive Security Index. Его разработала компания Capgemini при помощи Cisco. Его задача продемонстрировать баланс безопасностью, затратами и возвратом инвестиций для отдельного предприятия. Но, видимо, это ноу-хау Capgemini, т.к. никаких открытых источников по этой наработке я не нашел.

9.3.11

Бостонская матрица киберпреступников

Есть такая штука как "бостонская матрица" или "матрица BCG" (BCG - Boston Consulting Group), которая применяется в анализе актуальности продуктов/сервисов в бизнесе компании.На основе этой идее эксперты Cisco разработали CROI (Cybercrime ROI) - модель оценки наиболее актуальных с точки зрения прибыльности и распространенности методов, используемых злоумышленниками в своей деятельности.


Не новость, но достаточно интересно, - в "звезды" попали Web-уязвимости, вредоносные программы для кражи данных, а также методы легализации (вывода) финансов, полученных в результате несанкционнированных действий. Прибыль для злоумышленников достаточно высока, но требует от них постоянных инвестиций в поддержание высоких темпов роста.

С "дойными коровами" в целом все понятно - денег дают немало, а инвестиций почти не требуют. Интересен квадрат "собак", в который попали атаци на социальные сети (как самостоятельный источник проблем), DDoS и фишинг. Этот квадрат характеризуется низкой рентабельностью, низкими темпами роста и требованием постоянного контроля со стороны преступников. В бизнесе от продуктов, находящихся в этой области, рекомендуют избавляться. Если аналогичная ситуация действует и в мире киберпреступности, то эти угрозы будут терять свою актуальность в ближайшее время.

Квадрат "потенции" ("темные лошадки", "трудные дети" и т.п.) говорит о том, что атаки на мобильные устройства и IP-телефонию пока не получили широкого распространения, но имеют высокие темпы роста, что в перспективе может сделать их "звездами" (или "собаками"). Насчет телефонии я бы предположил, что вероятность перехода в статус "собак" выше, чем в статус "звезд". Очень уж неочевидна бизнес-модель и способы зарабатывания денег на этой технологии мошенниками. А вот с мобильными устройствами ситуация обратная - их становится все больше, средств защиты в достаточном количестве пока нет, информация на устройствах представляет интерес. Так что мобильные угрозы могут стать вскоре "звездами" и уже сейчас стоит изучать эту область рынка ИБ.

8.3.11

Запущен сайт АРСИБ

Об АРСИБ я уже как-то писал и вот запущен сайт этой ассоциации - www.aciso.ru. Не буду подробно расписывать, что там есть - просто посмотрите и сами принимайте решение. Из интересного - клуб ветеранов ИБ ;-)

5.3.11

Голые пароли

Я уже не раз обращался к теме повышения осведомленности пользователей в вопросах ИБ и теме правильного выбора паролей. И вот интересный вариант реализации данной задачи - http://www.nakedpassword.com/ Разработчики из недавно созданной компании Platform45 создали плагин, который достаточно добавить на любой сайт и при вводе пароля пользователи будут визуально видеть сложность своего пароля ;-) Чем сложнее пароль, тем больше одежды снимает девушка по имени Салли ;-)

4.3.11

Моя презентация с IDC

Завершу эту неделю, прошедшую под знаком Cisco, презентацией, которую я делал на IDC IT Security Roadshow. Кто-то говорит, что я запугал слушателей особенностями действующего законодательства по ввозу криптографии, ее сертификации и т.д. Я считаю, что скорее я открыл глаза ;-)


3.3.11

Google покупает Zynamics

1-го марта компания Zynamics из Германии объявила, что ее покупает Google. Причем именно так - не Google объявил, а Zynamics. На сайте Гугла информации об этой покупки нет (!). Ни финансовых деталей, ничего... по всем вопросам просят образаться в PR-службу Google. Сама Zynamics занимается разработкой софта для анализа ПО и бинарников с точки зрения ИБ - поиск уязвимостей, malware и т.д.

Слайдкаст про западные VPN

Объединив пост вчерашний, понедельничный и от 27 мая 2010 года, был рожден короткий слайдкаст (презентация со звуковым сопровождением). Собственно он повторяет все, что было уже написано, но представлен в иной форме, которая многим удобнее, чем чтение длинных документов и постов в блогах.



Также данный ролик выложен на "Facebook" и "ВКонтакте".

ЗЫ. Следующим в трилогии будет выложен ролик по нашему совместному решению с С-Терра СиЭсПи – модулю NME-RVPN и VPN на UCS C-200, а финальная часть будет посвящена преимуществам данного решения перед конкурентами. Но эти ролики тут я уже выкладывать не буду, чтобы не превращать блог в рекламную площадку Cisco.

ЗЗЫ. В моих планах подготовка слайдкастов на тему «Какие законодательные акты требуют применения сертифицированных VPN-решений?».

ЗЗЗЫ. Это -мой первый опыт подготовки слайдкаста. Конечно, большая разница, - говорить один на один с микрофоном или перед аудиторией. Совершенно разные ощущения и эмоции. Перед аудиторией жжешь, а перед микрофоном как-то суховато получается ;-(

2.3.11

Импорт продукции с функцией шифрования

Те, кто читал документ, опубликованный в понедельник, задавали мне вопрос (хотя он задается уже не первый год), а в чем проблема с ввозом западных VPN-продуктов в Россию и почему встраивание туда сертифицированной СКЗИ не решает проблему? Отвечаю - законодательство по использованию СКЗИ и по ввозу СКЗИ - это суть две разные вещи. То, что можно по одному законодательству автоматически не означает разрешение в рамках второго законодательства. И касается это не только (а в последнее время уже и не столько) оборудования Cisco, сколько вообще любого иностранного вендора (американского, канадского, французского, китайского и т.д.), который ввозит продукцию с функциями шифрования в Россию. Для ответов на этот вопрос в Cisco и был подготовлен прилагаемый FAQ.

FAQ по импорту продукции с функциями шифрования                                                            

ЗЫ. Для тех кому лень регистрироваться на Scribd, могут скачать документ на bankir.ru.

1.3.11

Интересный вариант действий оператора ПДн

Сын захотел подписаться на выпуски детской энциклопедии. Читаю купон и поражаюсь тому, как операторы ПДн стали использовать ФЗ-152. Фраза первая: "Ващи персональные данные будут храниться в архиве". Этой фразой оператор уходит из под действия ФЗ. Правда, непонятно, как он будет работать с архивом, если каждые 2 недели должен присылать мне новый выпуск, а значит должен использовать мои ПДн?

Фраза вторая - "Внесение изменений в персональные данные или отзыв таковых производится письменно или по телефону не менее чем за 180 дней до даты прекращения обработки данных". Непонятно зачем этот пункт нужен, если предыдущей фразой оператор ПДн "вывел" себя из под действия ФЗ-152. Но фраза про 180 дней - это нечто ;-)

ЗЫ. В эту аферу вступать не стал ;-)

Универсальная карта победила ФСБ

В августе я уже писал про универсальную электронную карту (УЭК), которая была построена на западном чипе и на западной криптографии. Я предположил, что ФСБ придется поступиться принципами и дать зеленый свет этому проекту, несмотря на все последствия такого решения. За прошедшие полгода однако шла внутриведомственная борьба за то, на базе каких технологий будет построена эта карта. ФСБ стояла за чип отечественной разработки, как и за отечественную криптографию. Совсем недавно, на магнитогорской конференции по банковской ИБ г-н Баранов (8-й Центр ФСБ) заявлял, что "ходют тут всякие и продвигают западные чипы" и "непонятно еще какие-там есть закладки".

И вот вчера Президент Медведев высказался по этому поводу достаточно однозначно. Позволю себе процитировать несколько интересных пассажей:
  • "...в короткие сроки завершить разработку нормативно-правовой базы. Все эти документы должны быть приняты к лету. Считайте, что это моё поручение Правительству. Речь идёт о законе об электронной цифровой подписи". Значит есть надежда, что, несмотря на пессимизм Баранова, высказанный в Магнитогорске, закон об ЭЦП все-таки доработают и примут.
  • "Сразу хочу сказать, что мы должны действовать достаточно быстро, а не ориентироваться на создание тех или иных продуктов внутри страны". Иными словами, давайте использовать лучшие мировые технологии, а не пытаться изобретать велосипед.
  • "Конечно, необходимо предпринять усилия по защите личной информации от возможного распространения и нецелевого использования. Хотя надо признаться, что вся эта информация у нас в огромном количестве циркулирует в Глобальной сети, и пока эффективных способов её защиты государством не найдено. Поэтому сама по себе защита этой информации не должна быть препятствием к принятию решения о выпуске этих карт. Хотел бы, чтобы это поняли все, включая ведомства, которые за это отвечают". А вот это прямой выпад в сторону ФСБ, которая препятствовала внедрению УЭК на базе международных стандартов и технологий.
  • "Ещё одна тема, о которой я частично уже сказал: очевидно, что чип, который используется в карте для хранения персональных данных и содержащий средства защиты этих персональных данных, должен быть сертифицирован. Для этого потребуется время. Я считаю, что эту работу по сертификации нужно продолжать, но это не должно остановить общий процесс. Здесь должно быть два параллельных трека: создание собственно самой социальной карты и создание чипа, который может использоваться. Будет ли это чисто российский чип или это будут какие-то совмещённые возможности, думаю, что это, в конечном счёте, не столь важно". Т.е. безопасность безопасностью, но во-первых, она не должна мешать внедрению УЭК, а во-вторых, сертифицировать надо будет зарубежный чип, а не отечественный (про зарубежный чип в тексте на сайте пока нет, но на видео этот пассаж есть - мол, сейчас надо запускать проект на западном чипе. А вот когда будет готов отечественный чип, то можно будет подумать и о перевыпуске карт).
Если этот проект действительно пойдет так, как предполагается, то он потянет за собой много других проектов и будет их "ломать под себя". Например, если на УЭК будет западная криптография (хотя в теории на него можно будет поставить приложение, работающее с ГОСТами) и с УЭК можно будет осуществлять доступ к порталу госуслуг, а также получать доступ к различным информационным системам (например, к медучреждениям и т.д.), то на стороне этих самых систем, порталов и т.п. также придется разрешать западную криптографию. И это становится очень интересным...