31.10.12

Терминальный доступ и ПДн

Был вчера на мероприятие московского клуба ИТ-директоров 4CIO с рассказом про безопасность мобильного доступа. После выступления возникла вдруг тема терминального доступа к ПДн, который якобы решает все проблемы с доступом к персональным данным с мобильного устройства. Мол, ПДн не передаются на мобильное устройство, а значит и защищать его не надо. Давайте разбираться. Вот схематическое изображение доступа с мобильного устройства к серверу, где хранятся ПДн.



Я физически нахожусь в кафе, а ПДн хранятся физически на сервере в головном офисе в Москве. Я решил получить доступ к этим ПДн и запустил терминальную сессию. RDP или какое-либо терминальное приложение от VMware, Citrix. На экране у меня отобразились ПДн. Вот откуда бытует мнение, что данные не передаются при терминальном доступе? А как они у меня отображаются на экране? Святым Духом? Да, они у меня не хранятся на мобильном устройстве. Что есть, то есть. Вопросы снятия копий экрана я не рассматриваю, как и перехват трафика в канале. Допустим неактуальные для меня эти угрозы. Но на экране-то все равно я данные вижу. А значит, что в рамках терминальной сессии ПДн передаются от сервера к мобильному устройству. А значит их надо защищать на протяжении всего канала?!

Кто может опровергнуть рассуждения и доказать, что данные не передаются и на мобильное устройство не попадают, а значит защищать ни его, ни доступ к нему не надо?

30.10.12

Райдер спикера по безопасности

На LinkedIn, благодяря Рустему Хайретдинову, открыл топик на тему, что должен включать в себя райдер спикера по безопасности. Вопросы финансового вознаграждения оставляем за кадром - у каждого свои запросы, а вот некий минимум того, что организаторы должны обеспечить для нормального выступления составить удалось. Итак, коллективным трудом родился следующий список.

Техническая часть:
  • Ноутбук с Microsoft Windows или возможность подключения собственного. Пока только на Yandex another Conference столкнулся с тем, что все ноутбуки были маковские - очень было неожиданно ;-)
  • В случае использования ноутбука организаторов наличие на нем PowerPoint 2010 (не младше). Тут опять же исхожу из собственного опыта. Кому-то и 2003 достаточно, а кто-то и в PDF готов показывать. Но при наличии анимации, изначально сделанной в PowerPoint, переносить ее куда-то еще бывает сложновато. А при показе в Office для MacOS могут быть косяки.
  • Петличный микрофон (этот пункт скорее писал под себя, т.к. не люблю трибуны, стоечные микрофоны и микрофоны в руке - они либо сковывают артикуляцию, либо движение, либо вообще мешают ;-)
  • Презентатор с новыми батарейками.
  • Wi-Fi (если нужна демонстрация какого-либо сайта) или кабель для более требовательной к полосе и задержкам демонстрации. При этом канал для спикера должен быть отдельным от Интернет для аудитории.
  • Достаточное освещение.
  • Вентиляция или кондиционер (летом) и отопление (зимой) для поддержания комфортной температуры в помещении. А то было как-то давно у меня выступление в зале без отопления - люди сидели в пуховиках (в Тюмени дело было).
  • Современный мультимедийный проектор - очевидно, но не всем ;-) Должен поддерживать нормальное разрешение экрана. Проектор должен быть укомплектован необходимыми переходниками, как минимум, для Mac и iPad.
  • Звуковые колонки (при условии звуковых эффектов в презентации).
  • Экран, а не просто белая стенка для показа изображения с проектора.
  • Экраны, дублирующие презентацию для спикера, чтобы можно было свободно ходить по сцене и видеть слайды (в больших помещениях).
  • Флип-чарт или доска со свежими фломастерами и тряпкой/губкой для стирания.
  • Программа мероприятия с указанием, кто выступал ДО спикера и будет выступать ПОСЛЕ (и с какими темами).

Бытовая (хозяйственная) часть:
  • Бутилированная вода и чистые стаканы. Бутылку и стакан после предыдущего докладчика необходимо менять либо выставить одноразовые стаканы.
  • Парковка для автомобиля (при условии, что спикер добирается на автомобиле).
  • Наличие и возможность беспрепятственно пользоваться санитарно-техническими помещениями. У меня таких проблем ни разу не было, но видимо у коллег, вставивших этот пункт, проблема возникала.
  • Горячее питание для длительных семинаров и просто питание (чай, кофе, бутерброды) для коротких выступлений.
  • Неплохо на больших мероприятиях организовать отдельную комнату для спикеров с кофе и закусками/печеньками. И чтобы комната обслуживаласт в любое время, а не только во время официальных кофе-брейков, когда спикер либо занят сбрасыванием презентации, либо общением со слушателями после презентации.
  • Понятная схема проезда к месту проведения мероприятия.

Бытовая (при условии выступления за пределами места проживания спикера):
  • Номер в гостинице с Wi-Fi нормальной "толщины".
  • Авиабилет экономкласса или ж/д билет (при расстоянии до 8 часов от места проживания спикера).
  • Трансфер от аэропорта/вокзала до места проживания или проведения мероприятия.
  • Помощь в оформлении визы.
Вот такой райдер получился. Основные моменты прописали, как мне кажется. Так что пользуйтесь, если кому надо. Ну и организаторам стоит обратить внимание на списочек и быть готовым, что теперь требования докладчиков будут адекватными ;-)

UPDATE: Несколько раз уже звучали идеи насчет отслеживания времени. Либо в виде часов на стене, либо в виде презентера с таймером, либо в виде девушки, которая показывает оставшееся время. Не совсем это вопрос райдера, на мой взгляд, но добавлю, раз это так часто звучит.

29.10.12

О государственной измене

23 октября Госдума большинством голосов приняла в третьем чтении законопроект №139314 "О внесении изменений в Уголовный кодекс Российской Федерации и в статью 151 Уголовно-процессуального кодекса Российской Федерации (в части совершенствования уголовного законодательства в сфере защиты государственной тайны от преступных посягательств)".

В действующей версии Уголовного Кодекса, а точнее в ст.275 "Государственная измена", под государственной изменой подразумеваются враждебные действия, угрожающие внешней безопасности государства. Принятые депутатами поправки гласят, что теперь это "деяние, совершенное гражданином РФ, в ущерб безопасности РФ: шпионаж, выдача иностранному государству, международной либо иностранной организации или их представителям сведений, составляющих государственную тайну, доверенную лицу или ставшую известной ему по службе, работе или учебе, либо оказание финансовой, материально-технической, консультационной или иной помощи иностранному государству, международной либо иностранной организации или их представителям в деятельности, направленной против безопасности РФ, в том числе ее конституционного строя, суверенитета, территориальной и государственной целостности".

В чем разница с предыдущей трактовкой ст.275? Все просто. Теперь речь идет не только о внешней, но и о внутренней безопасности России. Теперь статья касается не только тех, кто имеет доступ к гостайне, но и тех, кто к ней его и не имел никогда. Теперь речь идет и о тех, кто оказывает какую-либо помощь иностранным и международным компаниям. Теперь речь идет еще и о ущербе конституционному строю России. Теперь статья касается не только контактов с организациями, ведущими враждебную деятельность против России, а любой иностранной организации.

Учитывая, что за данный законопроект депутаты голосовали единогласно (кроме одного голоса депутата Гудкова, не успевшего передать свой мандат другому), то в Совете Федерации сюрпризов ждать не приходится. Ну а нынешний Президент против уж тем более не будет. А вот прошлый как раз и был против и завернул этот законопроект (а он датирован 2008-м годом).

Конечно, хочется надеяться, что статью обновляли именно для того, чтобы бороться со шпионами и иными изменниками; в исконном понимании этих слов. Не хотелось бы, чтобы под госизмену пошли все несогласные, оппозиционеры и просто случайные люди, которые попадают под действие принятых поправок. А такая вероятность существует.

Например, сотрудник российской компании, являющейся частью международного холдинга, в который входят компании, осуществляющие поставки для стран НАТО. Или сотрудник компании, штаб-квартира которой расположена в США, которая, в случае победы на выборах Ромни, а не Обамы, будет считать Россию главным внешнеполитическим врагом. Или консультация чиновников Евросоюза по тем или иным вопросам (учитывая наростояющую конфронтацию ЕС и России). Все эти примеры могут трактоваться именно как государственная измена. А какая же тут угроза безопасности России? А вот тут и кроется самая неприятность. Четкого определения нет, а значит возможно выборочное толкование.

Оппозиция и правозащитники считают, что закон принят против них. Возможно. Но ведь можно посмотреть на него и с точки зрения любой компаний или предприятия, которые общаются с иностранными или международными компаниями. Например, ИТ-интегратор, который составляет спецификации на поставку ПО и железа в интересах какого-нибудь госоргана... Ну чем не угроза безопасности, если, например, поставщик железа - это окологосударстенная  китайская компания, да еще и поставляющая свои решения для китайского военного ведомства. Может таким образом наши спецслужбы хотят содействовать развитию отечественного производства средств связи и телекоммуникаций, ПО, микроэлектронной базы, о котором я уже писал?

Если быть совсем параноиком, то можно посмотреть на этот законопроект и с другой стороны. В нем  упоминается угроза конституционному строю России. Вообще конституционный строй - система социальных, экономических и политико-правовых отношений, устанавливаемых и охраняемых Конституцией. Раньше, когда статья касалась только внешней безопасности угрозой строю могло служить только внешнее вторжение или иные действия иностранных государств, направленных на свержение существующей власти. Но сейчас слово "внешняя" исчезла и угроза строю может заключаться в том числе и в нанесении вреда правам и свободам гражданина России, ведь именно права и свободы человека - есть основной предмет обеспечения и защиты конституционного строя. Иными словами, при большом желании нарушение прав обработки ПДн граждан России можно притянуть... к государственной измене. Но это я так, фантазирую...

А вот то, что интересно. Согласно заявлением одного из членов Совета Федерации Руслана Гаттарова, проект стратегии кибербезопасности России должен приравнять атаку на сайт государственного органа к захвату орагана власти. А это у нас согласено статьи 278 УК РФ - удар по конституционному строю, т.е. госизмена! Минимум 12, максимум 20 лет заключения.

Железный занавес все ниже...

24.10.12

Мое первое знакомство с криптографией

Кто знает, как зарождалась информационная безопасность в России, тот помнит, что изначально все строилось вокруг криптографии. И большинство публикаций касалось именно этой науки. В своем посте я уже писал, что первые статьи по ИБ в России были в 91-м году. На самом деле это не совсем так. Ходят слухи, что в середине-конце 80-х годов в России была переведена и издана книга Дороти Деннинг "Криптография и защита данных" 82-го года издания. Сам я этого издания не видел, хотя в закрытой библиотеке одного из ящиков, где я начинал свой путь в области ИБ, эта книга значилась в числе имеющихся (но она все время была на руках).

Поэтому писать буду про то, что видел собственными глазами ;-) Речь идет о ТИИЭР ("Труды Института Инженеров по Электротехнике и Радиоэлектронике"). Это переводное ежегодное издание одноименного американского журнала, которое переводилось и издавалось издательством "Мир" до 91-го года. Так вот в мае 1988-го года был опубликован 76-й том этого журнала, полностью посвященный защите информации. Еще ранее, в марте 79-го года, в 67-м томе была переведена и опубликована статья Диффи и Хеллмана "Защищенность и имитостойкость: введение в криптографию".

Но вернемся к 76-му тому ТИИЭР. Я его тоже читал сначала в закрытой библиотеке, а потом, уже в середине 90-х, смог скопировать в ГПНТБ. Этот малый тематический выпуск на 150 страниц, содержал статьи известнейших на тот момент (да и сейчас) специалистов по безопасности.


Из переведенных и опубликованных там статей были:
  • Введение в современную криптологию. Дж.Л.Месси. Собственно эта статья до сих пор может считаться эталонным обзором всей криптографии. В ней были освещены вопросы истории криптологии (Цезарь, Вернам, Шеннон, Диффи и Хеллман), симметричные и асимметричные шифры, теоретическая и практическая стойкость, совершенная секретность, рассеивание и перемешивание, управление ключами, блочные и поточные шифры, криптографические протоколы и т.д.
  • Стандарт шифрования данных: прошлое и будущее. М.Э.Смид, Д.К.Бранстед.
  • Первые десять лет криптографии с открытым ключом. У.Диффи. Отличный материал от основоложника криптографии с открытым ключом, в котором от первого лица рассказываются интересные истории о становлении асимметричной криптографии, о ее взлетах и падениях, примерах криптоанализа и компрометации...
  • Несостоятельность протоколов криптосистем. Дж.Х.Мур. На тот момент революционная статья, автор которой говорил, что важен не только и не столько криптоалгоритм, сколько криптопротокол, который и гарантирует, что при использовании криптосистемы (криптоалгоритма) реально достигается уровень безопасности и аутентификации, требуемый в системе. Этой теме в России очень мало посвящено внимания (по анализу многочисленных учебников и книг по криптографии).
  • Обзор методов аутентиикации информации. Г.Дж.Симмонс.
  • Как обеспечить доверие к данным, используемым для проверки соблюдения договоров. Г.Дж.Симмонс. Статья посвящена тому, как добиться того, чтобы две недоверяющие друг другу стороны, каждая из которых предполагается способной к обману, обе могли верить показаниям системы сбора данных, функция которой состоит в том, чтобы информировать другу сторону (и, может быть, третьи стороны) о том, нарушает ли первая сторона условия некоторого договора или нет. На примере соблюдения США и СССР договора о полном запрещении ядерных испытаний или на примере проверки МАГАТЭ выполнения оговоренных условий эксплуатации атомных установок.
  • Криптоанализ: обзор новейших результатов. Э.Ф.Брикелл, Э.М.Одлижко. Именно из этой статьи я узнал о различных методах криптоанализа с примерами для различных криптоалгоритмов.

Самое интересное, что все эти материалы были публичны в США и только у нас на них вешался гриф "секретно". Ведь когда-то книги с описанием криптографии в СССР приравнивались к самим шифровальным средствам; со всеми вытекающими отсюда особенностями.

23.10.12

Благодарно-неблагодарная тема защиты АСУ ТП

Выступал я тут давеча на одном мероприятии для ТЭК с рассказом о безопасности АСУ ТП (полная версия выложена тут). Выступил, но вопросов не было. То ли утро субботы сказалось (после пятничного отжига), то ли еще что. И на обратном пути, размышляя о безопасности АСУ ТП, пришла мне в голову мысль, что тема эта благодарно-неблагодарная.

Благодарна она потому, что она относительно нова, а потому интересна. Она также нестандартна, т.к. АСУ ТП отличаются от обычных информационных систем и по используемым технологиям, и по их жизненному циклу.

Но есть и множество неблагодарных вопросов. Новизна приводит к тому, что в России нет ни обучения по этой теме, ни достаточного количества литературы, ни специалистов. Т.е. у сотрудников служб ИБ просто не хватает опыта и знаний, чтобы заниматься этой, новой для них темой. Во-вторых, безопасников зачастую просто не подпускают к АСУ ТП. И по историческим причинам, и по чисто меркантильным. Вот пример от одной российской компании. Ее АСУ ТП процентов на 90 заражены Stuxnet'ом. Все все знают, но ничего не делают. Мотивация простая - приостановка АСУ ТП и связанных с ней процессов на 1-2 дня (чтобы вычистить все элементы от вредоносного кода) встанет в несколько миллиардов долларов (!). А ведь Stuxnet может и не сработать... И кто будет принимать решение об остановке системы при такой диллеме? То-то и оно...

Регуляторы тоже не сильно пока помогают в данном вопросе. А все потому, что парадигма защиты АСУ ТП отличается от традиционной, в которой нужно обеспечить в первую очередь конфиденциальность. А в АСУ ТП на первое место выходит доступность. Если же посмотреть на документы по КСИИ, то при всей их замечательности, в них тоже не избежали этого недостатка. При постулировании открытости информации в КСИИ, основные механизмы защиты направлены именно на обеспечение конфиденциальности, а не доступности или целостности.

Ну и вендоры тоже смотрят на эту тему традиционно - пытаясь просто переложить имеющийся опыт на новую область. Причем, не имея опыта защиты АСУ ТП и не общаясь с реальными их пользователями, представители вендоров называют компании, уже пострадавшие от атак на АСУ ТП идиотами, ничего не смыслящими в безопасности. Но пример выше показывает, что безопасники может и рады, но их не пускают. А уж когда вендоры просто предлагают свои продукты для установки в АСУ ТП, не удосужившись уточнить, возможно ли это в принципе (например, обычный МСЭ для нетрадиционных TCP/IP-протоколов или антивирус на PLC), это вообще...

Может поэтому на семинарах безопасники в основном молчат?.. Опыта нет, делиться пока нечем, а показывать свое незнание боятся...

Отечественные сканеры безопасности АСУ ТП

Я давно пишу про непроработанность темы безопасности АСУ ТП в России. Но это не мешает отечественным разработчикам предлагать рынку такие непростые продукты, как сканеры безопасности. Сегодня их в России два - "SCADA-аудитор" от НТЦ Станкоинформзащита и Maxpatrol от Positive Technologies.

Первый продукт не очень широко известен отечественному потребителю.Он дополняет стандартные средства поиска уязвимостей, добавляя к ним функциональность поиска уязвимостей как сетевому оборудованию и ПО в сегменте АСУ ТП, так и уязвимостей, присущих популярным в России решениям SCADA - Genesis, IGSS, RealWin, Siemens Simatic WinCC, Siemens Simatic Step7, Siemens Simatic WinCC Flexible, CoDeSys 2.X, 3.X.


Данный продукт, похоже активно использует Nmap в качестве базы для проведения сканирования, предоставляя графическую настройку для Nmap. Судя по описанию данный сканер определяет уязвимости по идентифицированным портам и сервисам и их версиям.


Наличие компонентов АСУ ТП осуществляется по поддержке протоколов (Modbus, ICCP и т.п.), известным портам для SCADA-решений и уникальных признаках АСУ ТП в общеизвестных протоколах HTTP, FTP и т.д.


По другому действует другой, более известный продукт - MaxPatrol, среди возможностей которого и сканирование АСУ ТП. Он тоже понимает различные протоколы (Modbus, DNP3, OPC и т.д.), а также умеет идентифицировать порты, присущие различным продуктам АСУ ТП.


Но он также ищет несколько десятков различных уязвимостей, присущих именно решениям АСУ ТП различных производителей - Siemens, Wonderware (Invensys) и другим.

А еще MaxPatrol анализирует конфигурации, проводит анализ соответствия текущей конфигурации эталонной и выполнять ряд других, не менее важных задач.


Другим серьезным отличием НТЦ Станкоинформзащита от Positive Technologies является наличие у последней серьезной поддержки в виде исследований вопросов безопасности АСУ ТП. Это и проведенное исследований "Безопасность SCADA в цифрах", и глубокий технический анализ различных SCADA-платформ, и различные стандарты по безопасности АСУ ТП. Например, уже выпущен стандарт для Siemens SIMATIC WinCC, а на подходе документы по Siemens TIA Portal, HMI Kiosk Mode, Wonderware Intouch HMI.

Совсем недавно Совет Безопасности выпустил свой взгляд на дорожную карту по защите АСУ ТП, а продукты для движения в этом направлении уже появляются. И продукты отечественные, а местами и сертифицированные (например, MaxPatrol в отличие от SCADA-аудитора, имеет сертификаты ФСТЭК и Газпромсерта).

22.10.12

Еще один бриллиант моей библиотеки

Иногда, в минуты отчаяния по поводу того, что происходит в области регулирования ИБ, я обращаюсь к своей библиотеке, которая уносит меня в мир грез и фантазий на тему: "Как могла бы развиваться информационная безопасность в России, если бы приняли все те документы, что разрабатывались в свое время". Про "Концепцию развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России" 92-го года выпуска я уже писал 3 года назад. Про проект системы нормативных актов ФСТЭК 2005-го года тоже писал и тоже 3 года назад.

И вот новый бриллиант, который казался мне утерянным. Это тоже проект Концепции защиты информации в системах обрработки информации (СОИ). Причем этот документ является нечто средним между Доктриной информационной безопасности и Концепцией защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, разработанной Гостехкомиссией. Если Доктрина очень высокоуровнева и ничего конкретного о защите информации не говорит, то второй документ достаточно узок и описывает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники.

А вот бриллиант из моей библиотеки достаточно конкретен и при этом высокоуровневый. Как видно из оглавления он описывает то, как должна строиться защита информации в государстве, какие нормативные акты должны быть приняты для регулирования данного вопроса, какие государственные органы должны заниматься защитой информации, что должно финансироваться государством для того, чтобы отрасль ИБ не загнила, как готовить кадры. Сразу отвечу на вопрос по поводу быка на иллюстрации. Фиг знает откуда он, как собственно и куча рукописных пометок на страницах. Они точно не мои. Есть у меня подозрения, чья это рука, но озвучивать не буду ;-)



Вернемся к документу. Я думаю его отсканировать и выложить, а пока только некоторые выдержки (тезисно). О чем же писали разработчики?
  • Описываемый в концепции ущерб связан с материальными, финансовыми, политическими, военными, экономическими потерями, снижением обороноспособности страны, нарушениями и изменениями прав и интересов государства, организаций и граждан и т.д. (в приложении даже перечислены конкретные виды ущерба).
  • Целью защиты является предотвращение или минимизация ущерба. Ну чем не подход на базе анализа рисков? И вообще, документ базируется на том, что нет ущерба от реализации угрозы и беспокоиться по ее поводу не надо.
  • Принцип неполной формализуемости, которые предполагал, что защита не может быть формализована до конца и содержание этапов защиты информации формулироваться должно только на содержательном уровне и их механическое осуществление в общем случае невозможно.
  • Осуществление непрерывного процесса защиты информации возможно лишь на базе промышленного производства средств защиты.
  • Активизация разведывательной деятельности США, появление новых стратегий и устремлений на ведение "информационной войны" против государства. Уже в 92-м году упоминались информационные войны!
  • Дифференциация степени конфиденциальности информации.
  • Рост квалификации пользователей, которые могут использовать свою квалификацию для создания вредоносного кода.
  • Система защиты информации должна строиться на 3-х уровнях иерархии - государственное управление, уровень министерства, ведомства, отрасли и уровень организации.
  • Госорган управления по защите информации должен быть один! И он должен в том числе осуществлять международное сотрудничество с другими госорганами по защите информации!
  • Разработка отраслевых требований по безопасности информации.
  • Техническая политика в области защиты информации должна строиться на базе практики (в том числе и мировой).
  • СЗИ не должны разрабатываться отдельно, а должна быть составной частью процесса разработки системы обработки информации.
  • Одним из перспективных направлений в области аутентификации считалось применение одноразовых паролей (в 92-м году), биометрии, генераторов и хранилищ паролей, диалоговых паролей (звуковых и графических).
  • СЗИ от НСД должны интегрироваться с СКУД.
  • Описаны направление стандартизации вопросов защиты информации. При этом одной из целей стандартизации является повышение качества отечественных СЗИ и их конкурентоспособности на мировом рынке.
  • Очень интересный раздел по правовому и кадровому обеспечению защиты информации
Вот такой документ... Кстати, кто его автор я тоже не знаю. От руки написано, что это проект Гостехкомиссии. Вполне допускаю. Но ходу ему так и не дали - в числе принятых документов ФСТЭК или иных регуляторов по ИБ его нет.

18.10.12

Запись моего выступления с UISGCON

Вот и запись моего выступления с UISGCON по моделированию угроз.


Aleksey Lukatskiy - How to create a correct network threat model from UISGCON8_2_1 on Vimeo.


Что такое адекватная страна по защите ПДн по версии РКН?

На последнем заседании Консультативного Совета при Роскомнадзоре членов Совета ознакомили с проектом приказа службы «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных».

Т.к. проект в Интернет не появлялся, то и я про него не писал, хотя там есть, что пообсуждать. Но вот на днях наткнулся на доклад заместителя руководителя Роскомнадзора Романа Валериевича Шередина "О проблеме защиты персональных данных", сделанный им в Гонконге. В нем приведен список критериев, по которым должна оцениваться адекватность защиты прав субъектов персональных данных на уровне государства. В числе их, РКН видит:
  • наличие национального законодательства в области персональных данных;
  • наличие механизмов защиты специальных категорий персданных и биометрических персональных данных;
  • наличие санкций и средств правовой защиты в случае нарушения норм национального законодательства в области персональных данных;
  • наличие специального уполномоченного органа или иного органа власти, на которых возложены соответствующие функции,
  • а также наличие либо отсутствие зафиксированных фактов утечек персональных данных.
Пока называть перечень стран, которые предварительно соответствуют данным критериям, не буду. Надеюсь, что указанный перечень критериев все-таки поменяют. Потому что в противном случае, все страны с развитой Интернет-инфраструктурой не попадут в список "адекватных", т.к. закон больших чисел нам говорит о том, что чем больше сайтов и пользователей в Интернет, тем больше фактов нарушения прав субъектов ПДн будет. И наоборот, чем меньше развит рынок информационных технологий, тем более "адекватной" будет страна. Так что нас может ждать список с странами типа Гондураса, Буркина-Фасо, Ганы, Анголы, Замбии и т.п. У Европы же немного иные критерии и список стран у них соответственно тоже другой.

ЗЫ. Хочу отметить, что на самом деле этот проект никто не одобрял, как это написано в новости. Критерии вызвали серьезное противление членов Совета ;-)

17.10.12

Касперская войдет в реку дважды?

Про инвестиции Натальи Касперской в немецкую антивирусную компанию G Data Software AG уже все писали - я только повторюсь для общей картины. Приобретено 16,8% акций. Планируется продвижение решений G Data Software AG в России. Как? Еще не понятно - вопрос находится в стадии решения.

Двумя неделями ранее, 2 октября израильская компания Commtouch объявила о приобретении исландского антиврусного производителя FRISK Software International. Первая известна своими антиспам-решениями, а вторая старейшим антивирусом F-PROT Antivirus, известным аж с 89-го года.

4 октября Microsoft купила американского разработчика средств мультифакторной аутентификации PhoneFactor, которая пошла по пути разработки механизмов аутентификации через телефон (мобильный или стационарный). Детали сделки не разглашаются.

В сентябре произошла еще одна покупка на антивирусно рынке - Google купил известный сервис VirusTotal. Сумма сделки также не раскрывается.

Об идентификации клиента Интернет-банка по IP и MAC-адресу

Мне казалось, что тема идентификации клиента Интернет-банка по IP- и MAC-адресу не стоит и выеденного яйца, но как-то уж активно про нее все говорят, что не высказаться было бы неправильным.

Итак, на сайте Банка России выложен проект указания о внесении изменений в Положение 262-П "Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма". Все указание заключается в единственной поправке - заставить банки идентифицировать своих клиентов еще и по IP- и MAC-адресам, посредством которых физическим лицом осуществляется доступ к банковскому счету.

Я не знаю, кому пришла в голосу столь светлая мысль. Врядли айтишника Банка России, т.к. там работают люди грамотные и они бы сразу сказали, что бессмысленно в условиях динамической IP-адресации идентифицировать физлицо, которое сегодня подключается к Интернет-банкингу из дома, завтра с работы, послезавтра из отпуска или командировки и может использовать для этого смартфон, ноутбук, стационарный компьютер, планшетник и т.п. И врядли спрашивали безопасников Банка России, которые сказали бы, что подменить IP-адрес устройства большого труда не составляет, а уж скрыться за прокси тем более. С MAC-адресом ситуация вообщения забавная - MAC-адрес клиента никогда не отразится в логах систем ДБО, т.к. он туда просто не передается. В этих логах всегда будет фигурировать MAC-адрес ближайшего к серверу ДБО маршрутизатора и, как правило, это будет маршрутизатор банка.

Иными словами, целей идентификации клиентов и выгодопроиобретателей данная инициатива не достигает, а проблем для банков создает немало. Как можно повлиять на нее? Вариантов ровно три - изнутри Банка России, снаружи и обойти вводимые ограничения. Ни первый, ни второй вариант нам недоступны. Остается третий. Поэтому предлагаю просто в досье на клиента писать в поле его IP-адреса:
  • 0.0.0.0 для IPv4
  • ::/0 для IPv6.
Это формально позволит выполнить требования Банка России и Росфинмониторинга, но при этом не наложит никаких ограничений на работу клиентов. При этом регистрировать в логах будет именно тот IP-адрес, с которого будет осуществляться в конкретный момент времени. С MAC-адресом, к сожалению, ничего сделать не удастся - надо будет прописывать просто ближайший адрес маршрутизатора ибо просить клиента назвать его - это будет очень 

16.10.12

Идеальная конференция по ИБ

На LinkedIn сейчас идет интересная дискуссиятут) на тему прошедших Инфобеза и Инфосека и каким должно быть идеальное мероприятие по информационной безопасности. Дискуссия разбилась на 2 части, а точнее на идеи о 2-х мероприятиях - для людей, принимающих решения, и для всех остальных. Очевидно, что контент, да и модель мероприятий будет совершенно разной. Оставляя первое мероприятие в стороне, хочу вкратце остановиться на втором. Посетил я их много. В основном, как докладчик, но и иногда и слушать приходилось. Поэтому сформировалось некоторое мнение (тезисно) о том, каким должно выглядеть мероприятие, которое интересно посещать.
  1. Не надо ликбеза. Это классическая проблема отечественных мероприятий. Каждый докладчик как будто читает в отрыве от других. В итоге все начинают с ликбеза, который отнимает, хорошо если половину доклада, а иногда и весь доклад. В итоге автор просто не успевает подойти к сути, как его меняет уже другой докладчик и ситуация повторяется. И так в течение всего дня. Тут нужен либо жесткий модератор, который отсекает ликбез и маркетинг, либо организаторы должны также жестко контролировать контент.
  2. Надо уметь читать презентации. Это еще одна проблема отечественных мероприятий. Хорошо, когда человек знает ЧТО говорить. Но плохо, когда он не знает КАК говорить. Еще хуже, когда он не знает ни КАК, ни ЧТО. В Интернете можно найти немало даже бесплатных курсов и рекомендаций на тему искусства презентаций. А уж платных тем более. Тот же Гандапас. Человек, который умеет говорить, это всегда интересно. А уж когда он знает, что говорить, то это вообще супер. Безопасники исторически достаточно скрытны, но время меняется - должны меняться и люди.
  3. Не надо рекламы. Еще одна проблема современных мероприятий - полно голимой рекламы. Есть изначально мероприятия, проводимые конкретным вендором, который явно заявляет, что на мероприятии будет рассказ о продуктах или услугах компании. Тут никакого диссонанса нет - слушатель заранее знает, на что он идет. Диссонанс наступает, когда слушателя завлекают интересным названием доклада, а потом тупо гонят рекламу. Хуже всего, если человек за это еще и деньги заплатил. Он не только потерял их, но и время. Того же эффекта (для докладчика) можно достичь, напросившись к заказчику в офис или просто проведя Webinar, благо платформ для этого сейчас полно.
  4. Дайте больше времени. Желание дать слово как можно большему количеству достойных докладчиков играет дурную шутку с организаторами - они ограничивают тайм-слоты 15-20 минутами и считают, что этого достаточно. Это не так! Правило "если вы не в состоянии донести свою мысль за 30 секунд пока поднимаетесь в лифте" тут не работает. Это не лифт, а перед вами не генеральный директор компании. Вы рассказываете людям, которые пришли вас послушать. И они хотят услышать не перечисление своих же проблем и тезис, что вы знаете как их решить. Они хотят услышать о решении. И рассказ о таком решении, глубокий и всесторонний, с вопросами и ответами, должен длиться явно не 20 минут. Минимум 40, а желательно и вовсе час.
  5. Окружение. Про нормальное количество туалетов, питание, Wi-Fi, указатели, места для докладчиков, места для общения, кофе-брейки и т.п. говорить не буду - это очевидно. Хотя многие организаторы до сих пор забывают реализовывать многие из этих вопросов. Особенно с беспроводным покрытием. Мы же говорим не о семинаре для животноводов, а для людей, имеющих отношение к ИТ. Многие уходят из офиса, но хотят быть на связи, читать почту, скайпиться и т.п. Отсутствие Wi-Fi - это проблема и проблема серьезная. Она заставляет слушателей покидать мероприятие раньше положенного.
  6. Аудитория. Надо четко понимать, что на ИБшные тусовки не ходят руководители. Компаний тем более. Максимум - это руководители отделов и то не всегда. Они не хотят слушать рассказы о продуктах или услугах. Их интересует совсем другое. А этого "другого" нет. В итоге организаторы рекламируют свои мероприятия, что их основная аудитория (30-35%) - это лица, принимающие решения, а на самом деле таких лиц может не быть вообще. Факт отправки приглашения директору департамента ИБ крупной компании не означает, что этот директор придет сам, а не пришлет администратора. Администратор, это, кстати, тоже неплохо. Просто организаторы говорят об одной аудитории, выступающие из опыта рассчитывают на другую, а приходят третья. В итоге все недовольны. А все потому, что нет четкой фокусировки на аудитории - пытаются охватить всех и сразу.
Вот примерно так ;-)

15.10.12

Взлом Skype?

В нашумевшей "Анатомии протеста - 2", прошедшей по НТВ, на 43-й минуте был в очередной раз продемонстрирован фрагмент записи разговоров Удальцова и Таргамадзе (политическую оценку ни участникам переговоров, если они были, ни каналу НТВ давать не буду). Самое интересное, что голос за кадром утверждал, что это был разговор по Skype. Если не рассматривать это как ошибки 1-го или 2-го рода и проанализировать сей факт по существу, то можно выделить 5 основных версий получения записи разговора по Skype:
  1. На компьютере одного из участников переговоров стоял троян, который писал все звуковые переговоры и пересылал их на некий сервер управления или просто кидал на FTP, откуда его потом забирали авторы трояна. Версия вполне допустимая, ибо по такому же принципу работают некоторые DLP-решения, заявляющие о контроле Skype. Реального контроля там конечно нет - просто идет захват голосового трафика и передача его на станцию контроля, где сидит слухач и слушает разговор в поисках ключевых слов. Тут могла быть использована похожая техника.
  2. Направленный микрофон или скрытый жучок, установленный у одного из участников. Тоже вполне реальная версия. Причем судя по качеству речи, которую дали в эфир, голос Удальцова слышится гораздо лучше, чем голос Таргамадзе. Хотя если судить по другим записям в "Анатомии протеста - 2" (включая и видео), с дикцией у Таргамадзе не все хорошо (или он по русски так просто говорит).
  3. Обычный запрос в Microsoft в рамках СОРМ. Но не тот СОРМ, который для операторов связи, а тот, который просто "по запросу". Тут, как говорится без комментариев. Если вспоминать заявления MS с полгода назад о том, что они будут сотрудничать с правоохранительными органами, ничего странного в этом нет. В России так вообще это не проблема.
  4. Запись вел один из участников, которая затем попала силовикам, передавшим ее затем журналистам. Сам передал или его заставили или украли - вопрос десятый. Интересен сам факт записи всех переговоров участниками оппозиции. Для чего? С целью сбора компромата?...
  5. Дешифрование Skype. С точки зрения информационной безопасности - это наиболее интересная версия, но и наименее реальная на мой взгляд. Это как раз тот случай, который демонстрирует, что оперативные методы получения доступа к конфиденциальной информации зачастую гораздо эффективнее термо-ректального криптоанализа или прямого дешифрования.
  6. У меня в Twitter высказали идею, что в Microsoft сидели агенты ФСБ ;-) но я в это верю слабо. По крайней мере в то, что их использовали для такой задачи. Как и в то, что в MS работают идеологически выдержанные последователи российских властей, которые проявили сознательность и сдали запись (при условии, что запись вообще ведется).
Вот такие версии. Какая из них верна - мы врядли когда-нибудь узнаем. Просто помните, что несанкционированный доступ к конфиденциальным переговорам, которые ведутся через какой-либо сервис якобы защищенных от прослушки переговоров, это не так уж и сложно. Криптография решает только одну из задач защиты информации - про остальные забывать не стоит. 

ЗЫ. Вопрос законности демонстрации видео- и аудио-записей в "Анатомии протеста - 2" оставляю за рамками поста. Я считаю, что прямое нарушение телеканалом НТВ ст.137 и ст.138 УК РФ.

Обо мне, критике и регуляторах

За последнее время многие отметили, что моя риторика в отношении регуляторов поменялась. Кто-то говорит, что я стал их хвалить, кто-то - что перестал их ругать. Пора объясниться, как говорится ;-)

Давайте вспомним, как у нас происходило взаимодействие с регуляторами последние годы. С ходу и не припомнится. Можно сказать никак. Ну иногда находило на регуляторов (точнее на одного из них, на ФСТЭК) озарение и собрав у себя лицензиатов, собирали от них мнение, куда и как развиваться. Учитывая, что многие регуляторы живут еще в середине 90-х годов, эффекта от такого общения было немного, но все-таки... И поэтому буйным цветом расцветала критика регуляторов. Это ж милое дело, высказаться по поводу очередного нормативного творения или высказывания регулятора на какой-либо конференции. Более того, эта критика привела к тому, что регуляторы практически перестали выступать на публичных мероприятиях, а если и выступают, то зачитывают доклад по бумаге и на вопросы стараются не отвечать, предлагая писать запросы. Позиция, кстати, очевидная. Поставьте себя на место регулятора. Если вас ВСЕ и ВСЕ ВРЕМЯ ругают, обвиняют в непрофессионализме и критикуют, то какой будет ваша реакция? Скорее всего такой же - уйти в тину, лечь на дно и ждать когда шумиха поутихнет. Но вернемся к теме поста.

В последнее время ситуация стала меняться. Причем коренным образом. Причины сейчас разбирать не буду - не так уж это и важно. Регуляторы стали идти на контакт. Они стали спрашивать мнения у экспертов. Они стали приглашать поучаствовать, как минимум, в экспертизе, а иногда и в разработке документов. На мой взгляд это колоссальный и позитивный сдвиг в позиции регулятора. Они понимают, что самостоятельно уже не справятся с разработкой нормативной базы в современных условиях. Слишком уж много нюансов надо учитывать из разных как технологических, так и отраслевых областей. Одному такую ношу не поднять и регуляторы стали более открытыми. Как минимум, ФСТЭК, который стал выкладывать проекты документов на сайт и ждать экспертных мнений. С ФСБ ситуация чуть хуже. Контакты, как правило, непубличны и либо идут напрямую, либо через различные ассоциации и рабочие группы. Но это тоже некоторый прогресс, который можно только приветствовать.

Вчера в FB мы спорили с коллегами, что это взаимодействие односторонне. ФСТЭК публикует у себя на сайте документ и просит отзывы, но не говорит, ни какова процедура или структура отзыва, ни какова судьба отзыва (прислушаются или нет), ни каков порядок учета предложений. Иными словами полное отсутствие диалога. Мол, вы мне несите свои предложения, а я подумаю, прислушиваться к ним или нет, включать их в документ или нет. Да еще и гарантии, что ответят, тоже нет. А раз этого ничего нет и процедура взаимодействия непонятна, то и писать отзывы нет никакого смысла - все равно все пойдет в корзину. Такова логика некоторых коллег. Кто-то опирается на предыдущий опыт общения с ФСТЭК (или иными госорганами), кто-то просто привык спорить ;-)

Что я могу сказать на это?.. Каждый делает свое дело. Я прекрасно понимаю, с какими сложностями сталкивается госорган, который 40 лет подряд был закрытым ото всех, боролся с иностранными разведками и обеспечивал защиту гостайны. Это совершенно иное мышление. И сейчас регулятор стал разворачиваться лицом к широким слоям потребителей. Да, это происходит не так быстро, как того хотелось бы. Да, пока это связь местами односторонняя. Но это и не полностью кирпичная стена как раньше. Это шаг вперед. Если сейчас по-прежнему кричать, что регуляторы застряли в 90-х, что у них однобокий взгляд, что они ничего не понимают, то этот шаг так и останется единственным.

Я прекрасно понимаю, что многие боятся, что их предложения не услышат и не реализуют. Сам прекрасно понимаю те чувства, которые возникают, когда ваши идеи (которые кажутся ВАМ здравыми и правильными) отметают. Сам проходил через это не раз. Но не останавливаться же из-за этого. Под лежачий камень вода не течет. Можно, конечно, сказать: "Я эксперт высокого класса и хочу участвовать в процессе с самого начала", "Я консультант и работаю только за деньги - даром ничего за этих дармоедов делать не буду", "Почему я должен исправлять работу лицензиатов, которым платят за эти деньги", "Почему я должен писать, не зная, примут мои идеи или нет"... Можно. Но тогда и критиковать больше никого не надо ;-)  Возьмите морковку, садитесь на трибуну и смотрите, как участвуют другие. ФСТЭК предложила написать отзывы - пишите. И тогда вы сможете смело сказать - "Да, я участвовал, но меня не услышали". Или наоборот - услышали. И тогда вы также смело можете сказать, что участвовали в улушчении ситуации с информационной безопасностью в России. И это уже будет немало для специалиста, который живет не только своей работой по трудовому договору, немало. Если же ваша позиция заключается в том, что вы делаете свою работу (на работе с 9 утра до 6 вечера), а другие (читай - ФСТЭК) пусть делают свою, то и ругать кого-то за плохой документ не стоит.

Кто-то может возразить, что документ, разработанный ФСТЭК, дескать плохой совсем и надо переписывать. Ну так напишите, что конкретно плохого и как надо. Никто сейчас не требует, чтобы был написан новый документ. Если будет много отзывов, что документ сырой и его структура неочевидна или сложна для обновления, то высока вероятность, что документ уйдет на доработку. Если же никаких отзывов не будет, то документ будет принят таким, как он есть сейчас. И винить потом будет опять же некого. Либо надо жить своей жизнью, полностью отделенной от государства и его регуляторов. Но, к сожалению, в России это малореально.

Поэтому еще раз хочу подытожить. Если вы хотите что-то изменить - взаимодействуйте. Хотите, но не видите перспектив, или не хотите (вас и так все устраивает), то контакты, указанные ФСТЭК не для вас. Но тогда и критиковать уже не стоит.

ЗЫ. Собственно по поводу МОЕЙ критики регуляторов. Она не прекратилась ;-) До идеала еще далеко. Просто сейчас, видя иногда изнутри регулятора и его проблемы, источники силы и влияния, стоящие задачи и цели (немного или много отличающиеся от наших с вами), я понимаю, что огульная критика бесперспективна и даже вредна, позитиву она не способствует и на результат (в виде хорошего и эффективного регулирования) не влияет.

ЗЗЫ. Из всех регуляторов, наиболее продуктивно удается работать с ЦБ. На втором месте (в моем личном рейтинге) сейчас ФСТЭК. На третьем - Роскомнадзор. На 4-м - ФСБ. Регуляторов, с которыми невозможно было бы наладить контакт в рейтинге нет ;-) Вопрос только в качестве контакта. Но это уже отдельная тема, которую я развивать не буду.

12.10.12

Впечатления от последних конференций по ИБ

Давно я что-то не делился впечатлениями о посещенных мной мероприятиях, но после семи прошедших за последние 4 недели конференций и семинаров все-таки решил собрать все впечатления в кучку и выплеснуть их на страницы блога.

Начну с ИнфоБЕРЕГа в Сочи. Хорошее мероприятие, хорошая подборка тем. Одна незадача - море, солнце и +27, когда в Москве около 10-ти и хмарь. Поэтому не все слушатели добирались до зала, в котором проходило мероприятие. Из интересного мне запомнились выступления Баранова из ФНС - для него после ухода из восьмерки как новый мир открылся, в котором нет места тем требованиям и преградам ФСБ, которые он сам же и возводил и разрабатывал. Было интересно послушать его критику регуляторов ;-) Также запомнилось выступление Минэнерго. Представитель ведомства ничего не сказал, но и того что сказал было немало для понимания тенденций в регулировании темы защиты АСУ ТП. На части выступлений я не был - было несколько параллельных сессий. Ну и конечно ИнфоБЕРЕГ - это всегда возможность застать уходящее лето, пообщаться с коллегами в непринужденной обстановке. А иногда многие именно ради этого и едут, не надеясь ничего нового услышать от докладчиков.

Вторым мероприятием стала конференция DLP Russia. Собственно начав с темы борьбы утечек эта конференция давно переросла свою изначальную направленность. Я вкратце уже описывал свои впечатления от DLP Russia. Сейчас хотел бы сказать, что эта конференция, пожалуй, одна из первых в России, которая сделала ставку не только на офлайн-общение, но и на онлайн. Сайт конференции оживает не только во время конференции или регистрации перед ней, а живет своей жизнью - постит заметки, дублирует блоги специалистов, публикует интвервью и видео с конференции. Это поддерживает интерес к конференции в течении длительного времени. И это отличает DLP Russia от всех остальных мероприятий.

InfoSecurity Russia 2012... Только ленивый не прошелся по этому мероприятию. Начну с позитива ;-) Когда я взглянул на программу конференции, то первая реакция была - "Как в Лондоне". Действительно, программа очень похожа - темами, компаниями, числом иностранных спикеров. Но... ни одного регулятора. В России это нонсенс. Чтобы на конференции по ИБ не выступили представители ФСТЭК, ФСБ, ЦБ, Роскомнадзора... Это за гранью. Хотя на Западе это воспринимается как раз как норма - регулятор не должен вмешиваться в бизнес (если это не ВПК). Очень понравилась конференция по защищенной мобильности, организованная НИИ СОКБ в рамках InfoSecurity. Интересная и востребованная тема, интересные докладчики, полный зал... А вот выставка подкачала. И хотя генеральный директор Гротека в последнем номере журнала Information Security написал, что выставка стала больше, круче и т.п. (по экспозиционной площади, по числу иностранных участников и еще по многим параметрам), я увидел удручающее зрелище. Мест для питания нет. Мало новых имен. Незапоминающиеся стенды. Да и место неудачное. Не с точки зрения расположения, а с точки зрения самого зала. Представьте, что в пустой ангар для самолета поставили синюю кабинку биотуалета... Вот впечатления такие же. Стенды были невысокие и они терялись на фоне высоких потолков. Серо было и не красочно. Ну и с акустикой, как обычно, проблема - в выстроенных на территории зальчиках было шумновато и выставочные анонсы заглушали докладчиков. Плюсом было то, что я хотя и не был спонсором, но организаторы со мной связались, прислали памятку докладчика, рассказали, когда и куда приехать. В этом плане все  было достойно.

На следующий день после InfoSecurity я оказался в Нижнем Новгороде на CIO Congress'е "Болдинская осень". ИТшные тусовки - это иной мир. Не только потому, что ИТ-директора далеки от вопросов безопасности, но и потому, что у них мероприятия строятся немного по-другому. Было несколько мастер-классов. Один по работе с персоналом службы ИТ (многие темы и для ИБ подошли бы). Другой - по тому, как не сгореть на работе. И тоже тема для CISO актуальная. Но вот недоросли у нас еще ИБ-мероприятия до этого. Хотя сама идея витает на поверхности. Но чтобы ее затевать нужны организации навроде CIO-клубов. А по ИБ у нас таких и нет. Была АРСИБ, но там за 2 года ничего конкретного так сделано и не было. Один маркетинг, да присоски к проводимым мероприятиям. Может после перевыборов (скоро должны пройти по Уставу) что-то изменится.

Потом была конференция "Yandex another Conference". Для меня это оказался некий новый опыт. Аудитория нецелевая - преимущественно Web-программисты или стартапы. Но были и "правильные" люди ;-) Все вместе они и составили костяк секции по ИБ, где мне довелось выступить. С точки зрения выступления все было хорошо, организация тоже. Единственное, что заставило меня задуматься - это отсутствие в Москве мест, которые могут вместить большое количество людей. На YaC было 5000 человек и нормальных площадок для такого количества, оказывается, нет ;-( Интересно, у нас на CiscoExpo может тоже скоро этот рубеж будет перейден. Где проводить?

Инфобезопасность была следующим мероприятием. Мои впечатления от InfoSecurity можно транслировать и на Инфобез ;-( Это умирающее мероприятие, если оно не поменяет в корне всю концепцию своего развития и перестанет конкурировать с InfoSecurity. Проводить мероприятия с недельной разницей, с одними спикерами, с одними темами... Кто-то умрет первым, кто-то вторым. Аудиторию туда заманивать с каждым годом все сложнее и сложнее. Причем не только экспонентов, но и простых слушателей. Они уходят с этих, казалось бы, пионеров и лидеров сегмента ИБ-мероприятий. Вытягивают оба мероприятия конкретные люди. Это ярко показал Инфобез, где я был аж целых два не полны дня. Сначала была секция по АСУ ТП, которую организовал Элвис+. Очень редко, когда в одной секции собирается ФСТЭК и ФСБ, а также представители двух заказчиков из ТЭК. Потому и зал был полный. Параллельно шла секция Сергея Рябко "История безопасности в России". По отзывам тоже был полный зал. И вот секция "Облака и государство" набрала всего 4 человека. А все потому, что объединились две нестыкуемые субстанции, которые либо эфемерны, либо не вызывают доверия. А еще если учесть, что за час до секции "Облака и государства" была другая секция по облакам, то тем более... Интересный формат организовал Михаил Емельянников - блоггер-панель, на которой сошлись известные российские блоггеры, пишущие на тему персональных данных. Народа было много; времени, как всегда, не хватило.

Днем позже я попал в Киев, на UISGCON. Читал про моделирование угроз. Мероприятие оказалось достойным. Видимо нехватка хороших мероприятий сказывается и объединившиеся соратники пытаются заполнить этот пробел. В Киеве это получилось. Особенно мне понравились выступления иностранцев - девушки из iDefense (она поразила своим знанием русского, что выяснилось случайно, уже во время ответа на вопросы), Swift, US-CERT, ФБР. Нечасто таких людей встретиim за пределами США. Да еще и рассказывающих о специфике киберпреступлений на территории бывших советских республик. Тоже была организована блоггер-панель ;-) Но в отличие от спланированного сценария, как на Инфобезе, в Киеве были просто вопросы из зала и ответы блоггеров. Этакий экспромт - я нахожу его удачным ;-)

В целом же хочу предположить, что в России формат выставок по ИБ умирает. Именно выставок. У нас нет столько новых продуктов, чтобы делать из-за них выставки. Какие-то стенды на конференциях - вполне живучая схема. Но строить конференции вокруг выставок - это утопия. Последние 2-3 года Инфобеза с Инфосеком это демонстрируют. Не могу сказать, что нельзя ничего сделать. У Инфобеза, кстати, в прошлом году, была идея сделать интерактивные стенды с реально работающими демо. Интеграция СКУД и ИБ, Wi-Fi-локализация участников выставки, рабочее место руководителя ИБ и т.д. Но не склалось. То ли денег не захотели вкладывать, то ли не нашлось, кто сможет это реализовать. А строить стенды для раздачи листовок и шоколадок или демонстрации длинноногих стендисток - это вчерашний день; этим уже не заманишь. Нужен совершенно иной формат - более интерактивный и живой, с реальными демо, с возможностью "пощупать самому".

Вот как-то так получилось. Наверное в следующем посте напишу про то, чего не хватает мероприятиям по ИБ ;-)

11.10.12

И вновь о безопасности МФУ

В 2009-м году, в книге "Мифы и заблуждения информационной безопасности" я развенчивал миф №31 "Принтеры не надо защищать". В 2011-м году я вновь вернулся к этом вопросу, рассмотрев его под прицелом аутентификации на принтерах. И вот снова... На этот раз хочется обратиться к теме безопасности принтеров под соусом оценки их соответствия требованиям безопасности. На прошедшем Инфобезе Лютиков Виталий Сергеевич заявил, что ФСТЭК постепенно отходит от сертификации по ТУ и для этого планирует выпустить новые РД. Но РД по принтерам у нас нет... А вот на загнивающем Западе есть ;-) И их можно взять за основу при разработке отечественных нормативов.

Под эгидой IEEE было выпущено 2 профиля по безопасности многофункциональных устройств в контексте "Общих критериев":
  • IEEE Std 2600.1-2009. IEEE Standard for a Protection Profile in Operational Environment A
  • IEEE Std 2600.2-2009. IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM-2008 Operational Environment B.
Первый профиль определяет требования по защите МФУ, используемых в окружении с высокими требованиями по информационной безопасности (т.н. окружение А). Второй профиль, соответственно, для менее критичного окружения (окружение B). При этом оба профиля рассчитаны на защиту принтеров, сканеров, копиров и факсов - т.е. всех тех устройств, которые очень редко попадают в прицел служб ИТ и ИБ как с точки зрения моделирования угроз для МФУ, так и с точки зрения их нейтрализации.

10.10.12

Как я все успеваю!


Запись выступления с DLP Russia 2012

Вот еще запись моего выступления; на этот раз с DLP Russia 2012. Саму презентацию я выкладывал раньше.


ЗЫ. Скоро также будут выложены записи с Yandex another Conference и UISGCON.

9.10.12

Запись блоггер-панели по ПДн

Многие уже посмотрели, наверное, эту запись блоггер-панели. Но почему бы и не повторить ;-)



ЗЫ. Спасибо Алексею Никитенко за запись.

ЗЗЫ. Прошу прощения у коллег за свое поведение, выразившееся в постоянном отвлечении на работу со смартфоном. Тем самым могло показаться, что я выразил неуважением к тем, кто выступал и слушал. Это не так. Просто я в этот день улетал в Киев и надо было решить срочные вопросы ;-( Меня оправдывает только то, что я слушал и все слышал и при необходимости подключался с комментариями. В следующий раз не допущу повтора такой ситуации.

Презентация с UISGCON по моделированию сетевых угроз

В прошлую пятницу выступал по приглашению на киевской UISGCON. Впечатлениями поделюсь позже, а пока выкладываю свою презентацию, посвященную моделированию угроз сетевой инфраструктуры.



8.10.12

Ветер перемен надул нам железный занавес?

В мае, на PHD я выступал на тему "Как выборы Президента России влияют на рынок информационной безопасности или куда движется регулирование ИБ". И вот на прошлой неделе, выступая на CIO Congress "Болдинская осень" в Нижнем Новгороде, я решил сделать продолжение этой темы, проанализировав те нормативные акты, которые были приняты с мая этого года, или которые могут быть приняты в самое ближайшее время. Получилось еще занятнее ;-)

Никакой секретной информации - почти все из моего же блога. Но когда на это смотришь растянуто во времени, выглядит это все совсем не так, как в концентрированной презентации. Выводов делать не буду - каждый их делает сам.



PS. Раздел по регулированию Интернет может хорошо дополнить исследование, опубликованное на сайте РАЭК.

5.10.12

Мои презентации с Инфобезопасности

На прошлой неделе я выступал на Инфобезопасности в трех секциях - по безопасности АСУ ТП, организованной Элвис+, по облакам и блоггер-панели, организованной Михаилом Емельянниковым. По облакам я никаких презентация не готовил, поэтому и выкладывать мне нечего. А вот по безопасности АСУ ТП и по панели презентации выкладываю.

На круглом столе по АСУ ТП я делал краткий обзор стандартов безопасности АСУ ТП и анализировал их применимость для российских реалий.



"Шпионы" не дремали и произвели запись моего выступления на секции по АСУ ТП, за что им большое спасибо. Вообще это хорошая практика - сопровождать слайды звуковым сопровождением. У меня никогда руки не доходят до слайдкастов, но может когда и решу этот вопрос.


На панели я делал краткий визуализированный и озвученный пост о сертификации средств защиты персональных данных. Надо или нет? Не буду утверждать, что ответ слушателями был получен, но по крайней мере, основные спорные моменты я осветил, а там уж каждый сам для себя будет определять - применять или нет.




Общими впечатления о прошедших в сентябре и на первой неделе октября мероприятиях я, видимо, поделюсь уже на следующей неделе. У меня таких мероприятий было аж целых 7 - ИнфоБЕРЕГ, DLP Russia, InfoSecurity Russia, Инфобезопасность, "Болдинская осень", Yandex another Conference и UISGCON, где я сейчас и нахожусь.

4.10.12

Если вас взломали, то это еще не значит, что вам нельзя помочь!

Вчера Group-IB выпустила инструкцию по реагированию на инциденты, связанные с системами дистанционного банковского обслуживания, созданную для обучения основам реагирования на случаи мошенничества в системах интернет-банкинга и нацелен на минимизацию рисков при подобных инцидентах.Мне посчастливилось быть рецензентом этого документа и поэтому я решил про него написать. Но не про сам документ, а про его область применения.

В Facebook началось активное обсуждение инструкции и практически все критические замечания скатываются к двум вещам - бизнес встанет и рекомендации слишком неконкретны и с инцидентами не позволяют бороться. Позволяю себе прокомментировать оба момента. Для начала, советую если не прослушать мой курс по управлению инцидентами (ближайшая дата - 23 ноября в Москве), то хотя бы посмотреть презентацию с этого курса. Вопросы реагирования на инциденты и сбора доказательств - это 5-я часть презентации. Но перед ней есть еще 4 части, которыми нельзя пренебрегать.

Возьмем жизненный цикл инцидента, как его Алексей Волков описал. То, о чем говорит инструкция Group-IB, - это 5-й или даже 6-й этап. Не первый, не второй и даже не 4-й. Тут поздно пить Боржоми и корить себя, что в компании не выстроена система защиты (а у многих клиентов банков - целевой аудитории инструкции - это так). Тут надо либо забить болт на возврат денег, либо идти в суд и правоохранительные органы. Но для этого надо знать, с чем идти. Инструкция и говорит про это.

Мне можно возразить, что многие вещи в инструкции не описаны. Во-первых, это не финальный пошаговый документ "взял и сделал". В введении написано, что его цель - повысить осведомленность. Во-вторых, в том же введении написано, что инструкция может выступать основой для разработки собственных документов. Очевидно, что в 37-ми страницах сложно рассказать все. Там только вопрос обесточивания (п.2 мероприятий) можно раскрыть на пару страниц. Ведь свособ обесточивания зависит от множества факторов. Например, есть у ПК ИБП или нет. А если есть, то мы говорим о ПК или лэптопе? А если лэптоп, то чей? У Lenovo, например, вытаскивание аккумуляторной батареи даже при наличии шнура питания приводит к мгновенному отключение лэптопа, а у Apple MacBook - нет. У него надо и батарею и шнур вынимать. А что делать с сетевым оборудованием? А с планшетником iPad? Кто-нибудь знает как аккумулятор у iPad вытащить? Вопросов немало. И так по многим пунктам.

Значит ли это, что документ плохой? Нет. Просто, чтобы расследовать инциденты, реагировать на них, необходимо иметь некоторую квалификацию. И получать ее надо до появления инцидентов, а не после и не во время.

Другой вопрос связан с остановкой бизнеса, которая происходит, если выполнить  все требования по отключение, копированию и т.д. Надо понимать (в презентации это есть), что существует две стратегии управления инцидентами. Одна - найти причину и устранить ее, возвратив систему в предатакованное состояние как можно скорее. Это "айтишный" подход. А есть второй подход - найти преступника и покарать его. В первом ни о каком возврате денег и речи не идет (хотя иногда на семинарах мне рассказывают о том, что в банке создается "группа на выезд" из мальчиков-шкафов, которые выбивают деньги своими методами). Во втором на возврат денег есть надежда. При условии возбуждения дела и доведения его до конца, конечно. Но инструкций по тому, как прием заявления о возбуждении дела успешным на 100% не существует ;-)

Стоило ли все эти ограничения и неопределенности описать в документе? Непростой вопрос. Стоило ли раскрыть, что расследование инцидента - это только часть процесса управления инцидентами? Тоже непростой ;-) В преамбуле написано, что документ говорит только о реагировании и ни о чем больше. Видимо не все читают введение, сразу переходя к пошаговым рекомендациям. От этого и происходит недопонимание и критика. Но это не значит, что на нее не надо реагировать. Возможно кто-то возьмется и напишет инструкцию по тому, как создать CSIRT, как обрабатывать инциденты, как эскалировать их и приоритезировать... Не исключаю, что такие документы появятся. Свято место пусто не бывает, а требования 382-П и ПП-584 в части наличия методик выявления и реагирования на инциденты никто не отменит.

Сама инструкция может загружена отсюда...

3.10.12

А у вас есть лицензия на гостайну? Нет?! Может пора задуматься?

Кто помнит эпопею с лицензированием деятельности в области шифрования, то картина выглядела примерно так. Многие годы ФСБ была сторонницей позиции, что лицензия на деятельности в области криптографии нужна всем, кто имеет хоть какое-нибудь отношение к шифровальным средствам. Будь-то разработка, распространение, обслуживание и т.д. и т.п. И выражалось это в различных официальных письмах, которые ФСБ писала на запросы разных ассоциаций и организаций. В 2011-м году ситуация поменялась - законодатели приняли ФЗ "О лицензировании отдельных видов деятельности", которые не только сделал все лицензии бессрочными, но и заменил существовавшие ранее 4 лицензии ФСБ на одну. Да еще и техобслуживание для собственных нужд стало нелицензируемым. Ситуации хуже не представишь - столь ревностно контролируемая тема утекает сквозь пальцы.

И вот регулятор делает ход конем - и в 313-м Постановлении Правительства каким-то неуловимым образом вместо одного лицензируемого вида появляется аж целых 28 (приложение 1). И ситуация становится даже хуже, чем была раньше. А если сюда приплюсовать еще и требования по квалификации персонала, то ситуация становится хуже некуда. Неслучайно на юге России уже несколько уголовных дел за отсутствие лицензий (в т.ч. и непродленных) было возбуждено.

Но поговорить я хотел сегодня о другом. А точнее о такой интересной операции, которая проводится достаточно регулярно - обновление или ремонт СКЗИ. Например, вышла новая версия ПО (сертифицированная) или надо сгоревшую сетевую карточку поменять или блок питания сгорел у VPN-шлюза и надо его сдать в ремонт. Нередкие, скажем прямо, операции. Но под какой из 28 лицензируемых видов они попадают? Разработка, изготовление, монтаж, передача, предоставление услуг?... Нет. Ремонт так и назван ремонтом (16-18 виды работ из приложения 1). С обновлением чуть сложнее. Оно может попасть как под 5-й вид (модернизация шифровальных средств), так и под работы по обслуживанию шифровальных средств, предусмотренные технической и эксплуатационной документацией для обспечения собственных нужд.

Если это последний вариант, то все просто замечательно - это вид деятельности нелицензируемый и можно им заниматься беспрепятственно. Но представим, что обновление попадает под 5-й вид деятельности. Согласно 7-го пункта ПП-313 соискатель на получение лицензии на оказание данного вида работ должен представить среди прочего "сведения о документе, подтверждающем наличие допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну".

Самое неприятное то, что четкого ответа на вопрос, к какому  виду работ относится обновление СКЗИ, нет. Регулятор молчит ;-( И если с ремонтом все понятно - лучше им самостоятельно не заниматься и отдавать на откуп лицензиатам, то что делать с обновлением пока непонятно. И если ответ на этот вопрос пойдет по не самому позитивному сценарию, то кажется мне, что это станет еще большей головной болью, чем решение вопроса с обучением в течение 500 часов...

2.10.12

Моя презентация по BYOD с конференции Яндекса

Вчера выступал на конференции Yandex another Conference (YaC 2012), в секции по безопасности. Организаторы просили что-то не очень техническое, а скорее менеджерское. Вот и сваял презентацию про внедрение BYOD в корпоративной или ведомственной среде с точки зрения безопасности. На месте поначалу возник некий диссонанс, т.к. посетители явно отличались от заявленной целевой аудитории; превалировали молодые студенты и студентки, а также программисты и Интернет-стартапы. Думал тема будет им непонятна. Ан нет. В зале народ был (хотя я начинал аж в 18.30), вопросы задавали, после доклада подходили... Организаторы (Антон, спасибо) сказали, что народ слушал внимательно, на телефоны и планшетники не отвлекался, в "Птички" не играл, по телефону не болтал. Значит не зря...



1.10.12

Логика регуляторов и Постановление Правительства №940

На днях я писал про смысл (или его отсутствие) выпуска 940-го Постановления Правительства о порядке утверждения ассоциациями операторов ПДн моделей угроз. Смысл этого Постановления не только в том, что надо выполнить требования ст.19.3 ФЗ-152. Оно показывает то, как будет развиваться дальнейшая нормативка по ПДн. Возьмем 19-ую статью. Часть первая говорит, что оператор ПДн обязан защищать ПДн. Часть 2 перечисляет меры защиты. Часть 3 накладывает на Правительство обязанность установить уровни защищенности и требования по защите. Эту задачу решают проекты Постановлений Правительства, размещенные на сайте СБ на прошлой неделе.4-я часть говорит о том, что детальный перечень требований по защите будут уточнены в готовящихся приказах ФСТЭК и ФСБ.

А вот дальше самое интересное. Сергей Викторович Вихорев обратил в комментариях внимание, что в проекте Постановления Правительства об уровнях защищенности говорится о том, что оператор ПДн определяет тип ПДн, но не их актуальность. А кто же определяет актуальность, на основании которой разрабатываются меры защиты? На этот вопрос отвечает часть 5-я и 6-я. Главную скрипку играют "федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы". А "ассоциации, союзы и иные объединения операторов" уже определяют дополнительные актуальные угрозы. Модели таких угроз согласовываются с ФСТЭК и ФСБ. Для госорганов и Банка России это обычная процедура межведомственного взаимодействия, а для ассоциаций - этот порядок и установлен в ПП-940.

Как эти модели угроз разрабатывать? Вот тут пока непонятно. Как я писал в конце июля, возможна либо разработка уже готовых моделей угроз, либо разработка методики моделирования угроз, которой будут руководствоваться, как минимум, госорганы (и иные органы, упомянутые в ст.19.5). Например, такая модель угроз может появиться у ЦБ, у Минкомсвязи (для операторов), у Минэнерго (для ТЭК), у Росатома (для атомщиков) и т.д. Хотя по Минкомсвязи уже вопрос - после предложения министра связи об упразднении Деапртамента развития информационного общества и входящего в него отдела защиты информации, возникает вопрос - а в Минкомсвязи вообще кто-нибудь останется, кто будет отвечать за регулирование ИБ? Опять же, слухи циркулируют не самые хорошие.

Различные ассоциации (НАУФОР, НАПФ, АРСИБ, РАЭК и другие) могут разработать уже свои модели дополнительных к "государственным" угрозам. Исходя из ряда опыта, могу предположить, что регуляторы пойдут по пути разработки методики, а не готовых моделей угроз. И мороки меньше, и потенциальных проблем, да и отраслевую специфику учитывать не надо.Единственное, что пока у меня вызывает вопрос, - это как заставить госорганы вырабатывать эти модели угроз? Без Постановления Правительства кто-то врядли что-то будет делать. Не таковы у нас госорганы, чтобы по собственной инициативе делать самостоятельно хоть что-то.

Контроль и надзор за исполнением требований, установленных ведомственнами приказами ФСТЭК и ФСБ осуществляют ФСТЭК и ФСБ только в отношении государственных ИСПДн. А вот с негосударственными вопрос пока открытый. Мои коллеги считают, что РКН уже сейчас наделен полномочиями проведения технических проверок. РКН считает также. У меня немного иное мнение. У ФСТЭК и ФСБ тоже ;-) Чья позиция возьмет верх пока не совсем понятно. А пока ждем методики определения актуальных угроз. Осталось не долго (если опять не вмешаются высшие силы).