29.3.13

Анализ качества ПО: международный опыт (презентация с РусКрипто)

Вчера на РусКрипто делал презентацию по обеспечению качества ПО с точки зрения ИБ и международного опыта. Учитывая выделенных 12 минут на доклад, особо много не писал - скорее пробежался по опыту ведущих ИТ-компаний, занимающихся данной задачей.



28.3.13

Тенденции рынка ИБ с 2008 по 2013 годы

Сегодня у меня 2 выступления на РусКрипто - на секции по глобальным системам противодействия компьютерным атакам и на секции по анализу кода. Времени писать что-то не было, поэтому решил разместить 6 картинок, иллюстрирующих ежегодные тенденции в области ИБ, о которых говорилось на последней RSA Conference. Нельзя сказать, что этот анализ является репрезентативным на 100%. Но если уж рассматривать RSA Conference, как зеркало мировой ИБ-индустрии, на которой представляются ключевые тенденции, а производители представляют все свои новинки, то представленный анализ интересен сам по себе.

2008 год
 2009 год
 2010 год
 2011 год
 2012 год
 2013 год

Каких-то практических выводов из этих "яиц" не сделаешь, но вот организаторам конференций по ИБ есть над чем подумать ;-)

27.3.13

Что нас ждет с точки зрения персональных данных в ближайшее время?!

Сегодня на одном закрытом мероприятии читаю презентацию по ключевым планируемым изменениям в области законодательства о персональных данных. Но сама презентация ничего секретного не содержит, поэтому выкладываю.



26.3.13

Почему пентесты все равно не помогут или зачем в ИБ нужна поведенческая психология?!

В среде некоторых специалистов по ИБ до сих пор бытует мнение, что информационная безопасность - это прежде всего технологии и именно от них зависит уровень защищенности современного предприятия; мол, именно техника первична, а все остальное вторично. В этом плане хотелось бы напомнить классический тезис о том, что безопасность системы равна безопасности самого слабого звена. А им является пресловутый человеческий фактор. Какие бы не были замки, достаточно оставить ключ под ковриком, и вся безопасность пойдет коту под хвост. Почему же пользователи оставляют ключи под ковриком? Ответ на это дает поведенческая психология (технарям-апологетам дальше можно не читать - ничего для них интересного не будет).

Возьмем простой пример. Уж сколько лет все и везде твердят о том, что надо выбирать правильные пароли. Но почему-то эффекта все эти возвания не возымели. Sony, LinkedIn, да мало ли еще примеров массовых утечек учетных записей... Почему? Традиционные лекции по ИБ не скажут об этом. А психологи скажут и говорят. Они приводят результаты очень частых экспериментов, в которых испытуемым предлагают выбор "доллар сейчас или три доллара послезавтра". Почему-то абсолютное большинство делает невыгодный выбор в пользу одного доллара, но сейчас (в России есть классная пословица "лучше синица в руках, чем журавль в небе"). Психологи отмечают, что люди предпочитают ближайшие небольшие преимущества  долгосрочным выгодам. Лучше быстро выбрать простой пароль, чем тратить усилия на создание пароля сложного. Особенно когда человека раньше не ломали.

Специалисты любят приводить хорошую аналогию. Представьте, что в квартале от вашего дома установлен знак "Уступи дорогу" и вы регулярно выполняете предписания этого знака. Но в какой-то момент времени вы, остановившись перед знаком, убеждаетесь, что машин вокруг нет и вы можете не останавливаться перед знаком. Так происходит один день. Потом второй и вновь ничего не происходит. Потом третий и вновь ничего. И так две недели, пять, десять. Бдительность людей засыпает... до часа Х. И с паролями та же ситуация. И с резервным копированием. И с приобретением антивируса. А потом мы начинаем кусать локти и думать "ну как же так". Винить тут себя не в чем, на самом деле. Это психология.И она же подсказывает, что "истории из жизни других" также не сильно помогают улучшить ситуацию - ведь мы часто думаем "с нами-то этого не случится" (это так называемое предубеждение оптимизма). Отдельные индивидуумы делают себе пометку "позже". Позже изменю пароль на более строгий. Позже куплю антивирус. Позже протестирую возможность восстановления в системе резервного копирования. Позже прочитаю эту статью. Но почему-то "позже" никогда не наступает.

Что же делать? Еще больше говорить о частоте смены и качестве паролей? Не поможет. Нужны иные механизмы. Что рекомендуют эксперты? Во-первых, давать людям больше информации о последствиях их выбора. Если я буду знать, что некачественный пароль сегодня может привести к несанкционированному доступу ко всей моей переписке в будущем, я более осмотрительно буду выбирать пароль по сравнению с ситуацией, когда система проверки качества паролей на сайте просто говорит, что мой пароль средней надежности.

Во-вторых, безопасность по умолчанию. Почему бы, например, сразу не показывать такие примеры надежных паролей "76GhbxbyDs,hfnm54#", чтобы у пользователей по умолчанию закладывалось в голову "как правильно"?

В-третьих, удобство использования. Про него я уже писал не раз. Упрощенно один из принципов создания защищенных систем, предложенный еще в 1975-м году гласит: "Стройте систему защиты таким образом, чтобы она не заставляла пользователя делать лишние, нетипичные для него действия". Человеческий мозг не привык запоминать что-то; особенно текстовое. В отличие от графической информации. Поэтому система графических паролей более эффективна, чем символьных. Но почему последние все еще так распространены? Все просто. Изначально такие системы создавались для облегчения жизни компьютеру, а не человеку. Технологии менялись, а инертность человеческого мозга нет. Поэтому даже в новых системах мы используем то, что привычно и проще реализовать, а не то, что обеспечит бОльшую защищенность (а многие эксперты по ИБ и не думают о поведенческой психологии).

Ну и наконец, стимулирование. Оно тоже может способствовать повышению уровня защищенности предприятия или отдельного гражданина. Например, почему бы оператору связи (заинтересованному в росте уровня защищенности своих абонентов) не давать скидку на месячное подключение, если абонент включит дополнительные настройки системы защиты. А какой-либо сайт может дать скидку на свои товары и услуги, если пользователь докажет, что он купил менеджер паролей или систему персональной защиты ПК? Затраты отсутствуют; потери минимальны, а выгода налицо.

Можно ли и в России внедрять такие механизмы? Да, почему нет? Например, включить соответствующие тезисы в разрабатываемые сейчас Советом Безопасности "Основные направления государственной политики в области формирования у граждан культуры информационной безопасности".

ЗЫ. Это краткий пересказ с моими добавками статьи "Why It Pays to Submit to Hackers".

25.3.13

1 сентября в отрасли ИБ может наступить коллапс...

1-го сентября в России начинается учебный год. Каждый год. Образовательные учреждения, готовящие специалистов по информационной безопасности, исключением не являются и каждый год они открывают свои двери будущим или уже состоявшимся специалистам, желающим повысить свою квалификацию по той или ной теме. Образование в области ИБ в России, как известно, делится на два больших направления - высшее профессиональное и дополнительное профессиональное (обычно послевузовское). Так уж сложилось, что первое есть не у всех - в России тему ИБ преподают не так давно, а классификаторы дисциплин по ИБ менялись раза три и сам черт уже ногу в них сломит.

Дополнительное профессиональное образование привычней, а временами является единственной возможностью заполучить корочку, которая нужна при получении лицензий ФСТЭК, ФСБ или иным образом доказать квалификацию по ИБ. Повышение квалификации, профессиональная переподготовка... Не так уж и важно. Важно другое - с 1-го сентября 2013 года может вступить в силу новый приказ Министерства образования "Об утверждении Порядка разработки дополнительных профессиональных программ в области информационной безопасности" (сейчас существует его проект). В этом проекте, а также в ФЗ от 29 декабря 2012 года №273-ФЗ "О образовании в Российской Федерации", во исполнение ст.76.8 которого разработан проект приказа Минобраза, очень много интересных особенностей.

Одна из самых примечательных - отмена документов государственного образца о дополнительном профессиональном образовании. И тут возникает первый вопрос. Как после 1-го сентября 2013 года, а именно тогда вступает в силу ФЗ-273, выполнять требования ПП-313 или ПП-79 о предоставлении копий "документов государственного образца (дипломов, аттестатов, свидетельств) об образовании, о переподготовке, повышении квалификации по направлению "Информационная безопасность" в соответствии с Общероссийским классификатором специальностей"? Ведь без этого нельзя будет получить лицензию ФСБ или ФСТЭК. А без лицензии ФСБ дело попахивает 171-й статьей УК РФ (незаконное предпринимательство), которую активно применяли ФСБ вместе с УБЭП прошлым летом и осенью. Кстати, госдуарственная аккредитация программ дополнительного профессионального образования по новому ФЗ-273 также не осуществляется. А это по мнению ФАС запрещает выдавать документы государственного образца о прохождении обучения. Причем проблема эта двусторонняя - и тех, кто захочет получить, и тех, кто выдает лицензии.

 Вопрос №2 вытекает из п.11 проекта приказа. В нем буквально написано следующее: "Организация, по инициативе которой осуществляется дополнительное профессиональное образование, должна иметь лицензию на соответствующий вид деятельности в области защиты информации, предусмотренному для выпускника данной образовательной программы". Иными словами, если я хочу обучить людей, то у меня должна быть лицензия ФСТЭК или ФСБ. Парадокс. Чтобы обучить работника для получения лицензии у меня уже должна быть лицензия - без нее нельзя обучить работника.

Вопрос №3 не так чтобы очень уж актуален, но все же. Как по прилагаемому порядку пройти обучение частному лицу? Меня больше всего волнуют первые два вопроса. И кто на них будет отвечать? А главное, в курсе ли ФСТЭК и ФСБ разрабатываемого проекта приказа Министерства образования? Или ждем 1-го сентября, наступает коллапс, а потом уже будем думать, как из него выпутаться?...

PS. Учитывая как наше родное МинОбразования занимается образованием, я бы сильно поторопился пройти обучение до 1-го сентября. А то потом могут быть большие проблемы.

21.3.13

Tripwire покупает nCircle

Одна из старейших компаний на мировом рынке ИБ, американская Tripwire, известная изначально своими решениями по контролю целостности, а потом вышедшая в ряд новых сегментов (управление конфигурацией, обнаружение атак, расследования инцидентов, анализ защищенности и т.д.), покупает также американскую nCircle, активино работающую в сегменте управления информационными рисками. Детали сделки не разглашаются.

Презентация по 21-му приказу ФСТЭК по ПДн

В пятницу на вебинаре RISSPA рассказывал о новом приказе ФСТЭК по ПДн. Выкладываю презентацию:



Презентация с аудиосопровождением доступна по ссылке на Webex.

Хотелось бы ответить на 3 вопроса, которые возникли в ходе мероприятия, на 2 из которых я не смог сразу ответить, а на 1 хоть и ответил, но все равно потом задавались наводящие вопросы. Итак, по порядку:
  1. Где в приказе говорится про средства борьбы со спамом? Это ОЦЛ.4 (стр.53 презентации).
  2. Где в приказе говорится про DLP-решения? Это ОЦЛ.5 (стр.53 презентации).
  3. Куда попадают муниципальные органы? Под действие 21-го или 17-го приказа ФСТЭК? Под действие 17-го приказа для государственных информационных систем.

20.3.13

Базель II все-таки становится обязательным для банков?!

Не так чтобы активно и публично, но в законодательство "О банках и банковской деятельности" вносятся свои коррективы. Одним из последних событий, стало появление на сайте Правительства России его поправок к законопроекту "О внесении изменений в федеральные законы "О банках и банковской деятельности" и "О Центральном банке Российской Федерации (Банке России)". Они достаточно объемны, но к нашей тематике относятся следующие изменения:
  • Кредитная организация, банковская группа и банковский холдинг обязаны будут ежеквартально публиковать информацию о принимаемых рисках, процедурах их оценки, управления рисками.
  • На Совет директоров кредитной организации возлагается обязанность по применению банковских методик управления рисками и моделей количественной оценки рисков, включая оценку активов.
  • Кредитная организация (головная кредитная организация банковской группы) обязана соблюдать установленные Банком России требования к системам управления рисками и капиталом, внутреннего контроля кредитных организаций, в банковских группах (это новая статья 111-2).
  • Кредитная организация обязана создавать резервы на покрытие различных рисков.
  • Наконец-то фиксируется правило, что кредитная организация имеет право передавать банковскую тайну зарубеж, в свою головную контору, но "при условии обеспечения последними уровня защиты (соблюдения конфиденциальности) предоставляемой информации не меньшего, чем уровень защиты (соблюдения конфиденциальности) предоставляемой информации, предусмотренный законодательством Российской Федерации".
  • Уточняются случаи передачи Банком России банковской тайны  иностранным центральным банкам или органам надзора.
  • Полномочия на установление требований к системе управления рисками и оценку ее качества возлагаются на Банк России. Он же "устанавливает требования к банковским методикам управления рисками и моделям количественной оценки рисков, в том числе к качеству используемых в этих моделях данных, применяемым кредитными организациями, в банковских группах для целей оценки активов, расчёта норматива достаточности собственных средств (капитала) и иных обязательных нормативов".
Вот так тихой сапой у нас могут сделать обязательными требования Базельского комитета по управлению рисками и резервированию капиталом на их покрытие. От качества управления этими рисками (включая и операционные) будет зависеть сумма, резервируемая кредитной организацией, т.е. исключаемая из операционной деятельности (трогать ее ни-ни). Хорошо управляешь рисками - резерв ниже, плохо - резерв выше, а следовательно меньше возможностей для маневра.

К рискам, методику управления которых сделает обязательной Банк России, относится и операционный риск, который определяется как риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. Сюда попадают и риски ИТ и ИБ.

У Банка России уже были документы по управлению этими рисками (346-П, 70-Т, 76-Т,  96-Т), но нельзя сказать, что банки активно занимались оценкой операционных рисков. Если же предполагаемый законопроект примут, то у ЦБ появится гораздо больше рычагов давления на подведомственные организации. При этом банки находятся пока в чуть лучшем положении, т.к. те же небанковские кредитные организации (как участники НПС) уже обязаны жить по правилам Банка России. Это вытекает из ст.62.1 закона "О Центральном Банке" и Указания от 25.06.2012 №2840-У "О требованиях к управлению операционным риском небанковскими кредитными организациями, имеющими право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций". Согласно последнему документу отсутствие или несовершенство системы защиты - это один из операционных рисков.

Нельзя сказать, что планируемые изменения касаются только ИБ. Но теперь внимание к управлению рисками ИБ будет чуть выше (если законопроект примут), а у служб ИБ появится чуть больше перспектив по донесению до руководства своей организации важности тематики ИБ - все-таки резервирование до 15% капитала на покрытие рисков - это большой удар по финансовым показателям кредитной организации. Да и возможности наказания у ЦБ по новому законопроекту расширяются.

19.3.13

Обновление программы курса по персданным

Новые изменения в версиях 4.8, 4.9, 5.0 и 5.1 курса по персданным (оказалось, что давно не выкладывал обновления программы):
  • Законодательство
    • Законопроект о штрафах за нарушение ФЗ-152
    • Законопроект Аксакова по внесению изменений в ФЗ о банках и ГК РФ в части ПДн
    • Постановление Правительства №940 об отраслевых моделях угроз
    • Постановление Правительства №1119 по уровням защищенности и требованиям по безопасности
    • Проект Постановления Правительства по надзору в сфере обработки ПДн
    • Проект методических рекомендаций РКН по обезличиванию
    • Приказ ФСТЭК по ПДн №21 от 18.02.2013
    • Проект приказа ФСБ по ПДн
    • Проект приказа РКН со списком адекватных стран
  • Различные сценарии обработки ПДн 
    • Обновление раздела про национальную принадлежность
    • Обновление раздела про расовую принадлежность
    • Уточнения и добавления в части обработки сведений о судимости
    • Уточнение про биометрию
    • Уточнение о трансграничной передаче
    • Обработка ПДн при корпоративном управлении (ПДн акционеров)
    • Обработка ПДн соискателей
    • Обработка ПДн в кадровом резерве
    • Обработка ПДн уволенных работников
    • Передача ПДн работников третьим лицам
    • Опубликование ПДн работников в Интернет
    • Обработка ПДн ближайших родственников работников
    • Обработка спецкатегорий ПДн работников
    • Обработка ПДн при пропускном режиме работников
    • Брокерское обслуживание и ПДн
    • Индивидуальные предприниматели, юрлица, акционеры в контексте 129-ФЗ «О государственной регистрации юрлиц и ИП»
  • Позиция РКН
    • Позиция РКН по поводу обработку регистрационных данных на сайтах
    • Позиция РКН по поводу биометрических ПДн
    • Позиция РКН по поводу обработки ПДн работников организации и госслужащих
  • Контроль и надзор
    • О правомочности РКН и ФСТЭК проводить проверки технических мер коммерческих организаций
    • План проверок РКН по Москве на 2013 год
  • О лицензировании деятельности
    • Нужна ли лицензия ФСТЭК обработчикам ПДн?
    • Налоговая и отсутствие лицензии ФСТЭК или ФСБ
  • Об оценке соответствия средств защиты
    • Об оценке соответствия
    • Старые сертификаты на СЗИ и ПП-1119
  • Разное
    • Будущее СТО БР ИББС в контексте обработки ПДн (новая версия "письма шести", новая отраслевая модель угроз, новый СТО БР ИББС)
    • Обеспечение конфиденциальности на сайтах госорганов
    • Согласие «галочкой»
    • Договора в электронной форме
    • Переработан раздел по классификации ИСПДн
    • Ответ Минпромторга про СКЗИ
    • Сравнение четверокнижия, приказа 58 и нового приказа ФСТЭК по ПДн
    • Место ответственного за обработку ПДн в оргштатной структуре

18.3.13

Возможен ли в России цифровой суверенитет

В последнее время в определенных кругах очень часто  звучит такой термин как "цифровой суверенитет России", т.е. самостоятельность и независимость в сфере информационно-коммуникационных технологий (ИКТ). Быть суверенным государством - это право решать контролировать свои внутренние дела и оно ни у кого не вызывает вопросов (исключая отдельные случаи международного вмешательства). Наряду с государственным суверенитетом существует еще и национальный, т.е. право нации на самоопределение. Но имеет ли право на жизнь термин "цифровой суверенитет"? Считаю, что нет. Тому есть несколько причин.

Начнем с того, что даже государственный суверенитет - не такое уж незыблемое право. Достаточно вспомнить про Евросоюз, в котором государства Европы отказались от части своих прав в пользу наднациональных органов - Европарламент, Европейский суд, Евробанк, Европол и т.д. Постоянно упоминаемая глобализация размывает суверенитет многих государств и эта тенденция только нарастает. Но если понятие суверенитет пошатнулось в области государственного управления, то может и  в области ИКТ не все так очевидно, как говорят многие государственные чиновники и сотрудники спецслужб.

Что же включает в себя понятие "цифровой суверенитет"? Четкого определения нет, но судя по последним тенденциям к нему можно отнести:
  • собственная поисковая система
  • собственные социальные сети
  • собственная операционная система (программная платформа) и ПО под нее
  • собственная микроэлектроника
  • собственное сетевое оборудование
  • собственный национальный сегмент Интернет
  • собственная платежная система
  • собственные средства защиты
  • собственные криптографические алгоритмы и протоколы
  • собственная навигационная система.
"Собственная" - это не разработанная в России и не располагаемая в России. Это управляемая по приказу российских властей и так как хотят российские власти. Например, сервисы Google явно не относятся к собственным российским. Но к ним не относятся и ресурсы Яндекса, чьи акции котируются на NASDAQ, а управляющая компания официально зарегистрирована в Голландии. Или та же Лаборатория Касперского. Ее штаб-квартира в Москве, а управляющая компания зарегистрирована в Лондоне. Плохо ли это? Нет. Плохо ли что эти компании не подчиняются властям РФ? На мой взгляд хорошо. Но вернемся к составляющим цифрового суверенитета.

Есть ли у нас своя собственная поисковая система? Нет. Яндекс не меняет результаты поисковой выдачи по первому приказу из Кремля. Разумеется, результат работы поискового алгоритма не всегда нас устраивает (да и SEO-специалисты не дремлют), но и цензуры в поисковой системе, разработанная в России, пока нет. Тоже можно сказать и про Mail.ru и Рамблер. Можно ли как-то заставить частную компанию танцевать под дудку властей? В теории да. На практике тоже. Только вот результат будет предсказуемым - от Яндекса отвернутся пользователи и перейдут на тот же Google или Bing (если их не прикроют в России, желая получить цифровой суверенитет). О создании государственной поисковой системы заявлялось уже не раз, но вот результатов что-то не видно. Да и не верю я в то, что из под палки можно сделать что-то действительно популярное.

Собственные социальные сети. Их тоже нет. Одноклассники малоприменимы для координации усилий больших сообществ (да и не используются для этого). А вот руководство "ВКонтакте" всегда отметало любые попытки государства вмешаться в его политику. Они даже ушли на домен .com с .ru (собственно как и на зарубежный хостинг), чтобы не быть подвластными российским властям. Создавать социальные сети наши власти тоже пытались, заявляя о соцсети для чиновников. Но это еще смешнее, чем запрещать госслужащим пользоваться Twitter'ом ;-)

Собственная операционная система - разговоров много. Толку нет. Все, что пытаются создавать, делают на базе какого-либо из ядер Linux (а то и вовсе меняют заголовки и копирайты, оставляя все остальное "как было"). Чтобы заставить всех перейти на собственную ОС нужно выполнить два условия:
  • Создать такой же набор ПО, что и у той же Windows или MacOS (а с этим у нас большие проблемы). Именно такой же, а не текстовый редактор с редактором таблиц.
  • Переучить (мотивировать на переобучение) пользователей. А это еще более трудная задача, чем разработать свое ПО.
Но главный вопрос, зачем? Как собственная ОС влияет на суверенитет? Никак. Несколько лет назад в ИНСОР представители ФСБ заявили, что им все равно - имеют они дело с исходными кодами или с их отсутствием при анализе защищенности ПО. На сложность и трудоемкость анализа наличие исходников никак не влияет. Я уже не говорю про то, что, чтобы говорить о действительно защищенном ПО, надо иметь возможность не только разрабатывать, но и собирать (компилировать) его под контролем. А много ли у нас сертифицированных трансляторов/компиляторов? А многие ли разработчики их используют?

Но допустим у нас создадут все-таки свою ОС или национальную программную платформу и десятки и сотни тысяч программ для нее. А на аппаратуре-то чьей они будут работать? У нас почти вся микроэлектроника иностранного происхождения. Т.е. и тут суверенитетом у нас не пахнет. Можно конечно все иностранное запретить или ввести запреты на их ввоз, но своего-то у нас пока нет, чтобы обеспечить адекватную замену.

Что у нас там дальше? Сетевое оборудование? Тоже отсутствует в достаточном количестве. Как-то меня по работе попросили сравнить маршрутизаторы Cisco с какой-то отечественной поделкой. Сравнил. Дело даже не в функциональных характеристиках. И не в том, что отечественная продукция собиралась на Тайване. Отечественный производитель хвастался тем, что его мощности позволяют выпускать до 3-х тысяч устройств в год. Это даже не смешно - достаточно просто вспомнить, что у нас даже государственные заказчики обладают сетями, состоящими из деесятков тысяч узлов и подсетей. Какие там 3 тысяч устройств в год?.. Это хорошо если 1-2% от реальной потребности.

Своя платежная система? Пытались уже как-то это сделать, когда инициировали законопроект по национальной системе платежных карт (НСПК). Ничем затея не закончилась. Даже УЭК сдулся, а у нас остался ФЗ-161 "О национальной платежной системе", который не запрещает работать в России Visa и MasterCard, а просто устанавливает определенные правила игры.

Собственный Интернет?.. Популярная тема. После арабских весен об этом говорят постоянно. Правда, по проведенным недавно исследованиям влияние Интернет на развитие политического кризиса в стране сильно преувеличено. Согласно исследованиям почти во всех арабских странах, сменивших режим, социальные сети и электронные коммуникации не были причиной выхода людей на улицы и проведения забастовок и массовых манифестаций. Но власти все равно считают Интернет - угрозой для их существования и пытаются всеми правдами и неправдами сделать Рунет подконтрольным. Можно ли это? Опыт Китая подсказывает, что это вполне разрешимая задача. Правда, опыт реализации ФЗ-139 в России показывает, что у нас такой опыт дает сбои. От запрещенного контента наши чиновники защитить кого бы то ни было не могут, а вот помешать нормально пользоваться Интернет-ресурсами вполне. Попытка же создания подконтрольного Интернет может привести к тому, что люди, не имеющие возможность пользоваться Yuotube, Skype, Facebook, VK и т.д. выйдут на улицы...

Что у нас остается? Свои средства защиты и своя криптография? Ну про средства защиты можно говорить долго, но пока разработчики не будут учитывать потребности потребителя, а не государства, ни о какой конкуренции с западными игроками рынка ИБ и речи идти не может. не случайно не менее 70% (а то и выше) всех средств защиты в России имеет иностранное происхождение. А оставшиеся российские разработчики либо собирают свою продукцию на Тайване, либо используют китайские и непроверенные комплектующие, либо работают на недоверенной аппаратной платформе (что опять ставит под сомнение идею цифрового суверенитета).

Вот криптография у нас действительно своя. Никому за пределами России ненужная. И никак нестыкуемая с западными решениями в области электронной коммерции, электронного документооборота, Интернет-коммуникаций. Установленные законодательством требования по криптографическому суверенитету в России так ведь ни к чему не привели. Потребитель все равно использует западную криптографию, потому что она дешевле удобнее и функциональнее. Контролировать использование несуверенной криптографии у регулятора нет ресурсов. А в чем тогда смысл запретов? Иметь Дамоклов меч?

За что не возьми, не получается у нас цифровой суверенитет ;-( Может он нам и не нужен? Конечно же нужен. Но не совсем такой, каким его рисуют себе чиновники и силовики. Во-первых, нужно четко провести грань между областями, где можно применять все, что угодно, и областями, где требуется суверенитет. Например, в США, в Западной Европе, во многих других странах грань проведена четкая. На одной стороне находится государство с его ресурсами и системами, а на другой - граждане и бизнес, которые могут применять то, что им хочется. Это их риски и они сами пусть их оценивают. На стыке находится тема критически важных объектов, находящихся в частных руках (во многих странах, включая Россию их немало). Тут требуется влияние государства, а не просто желание владельцев бизнеса. Такой подход позволит не есть слона целиком, а сфокусироваться на наиболее важных для национальной безопасности вопросах.

Но что делать, если даже для такой небольшой части как государственные информационные ресурсы в России не хватает собственных решений? Опять же не надо рубить с плеча - нужен поэтапный подход, принятый, например, в Китае, где идет постепенное замещение зарубежных технологий национальными. Именно постепенное. Сначала создай свое (правда, у китайцев "создай" часто меняется на "укради", но это мы оставим за пределами данного поста) - потом убирай чужое. Можно пойти и как в США - чужое можно, но под пристальным контролем и после всесторонней проверки.

И, наконец, последнее. Попытаться реализовать последние два пункта (ограничение области применения суверенитета и постепенное замещение зарубехных технологий собственными разработками) возможно только в условиях перехода от голословных утверждений к четкой, поэтапной стратегии, за которой стоят конкретные задачи, сроки и ресурсы. Без этого все заявления о цифровом суверенитете останутся не более чем демагогией. А местами такие заявления будут только вредить. Например, когда власти будут запрещать применение каких-либо технологий, не предложив альтернативы или переходного периода по постепенному замещению.


ЗЫ. Кстати, во многих международных документах по ИКТ упоминается не термин "цифровой суверенитет", а термин "сетевая нейтральность".

15.3.13

Моя презентация с конференции "Безопасность КВО ТЭК"

Вчера прошла конференция "Безопасность в КВО ТЭК", организованная АИС. Хорошее мероприятие - новое на российском рынке ИБ. Потому и интерес вызвало со стороны отрасли - аудитория в зале сидела интересная - действительно те, кто отвечает за безопасность, в т.ч. и индустриальных систем. Меня просили сделать краткий доклад на тему стандартов Североамериканской электрический корпорации (NERC) по информационной безопасности критических инфраструктур (CIP). Но я чуть расширил тему, рассмотрев общие вопросы ИБ в американской электроэнергетике.



На самом деле, тема не такая уж и ненужная - в России немало организаций, в отсутствии актуальных российских документов, следуют требованиям NERC CIP (исключая аудит, конечно). Кто-то смотрит на документы NIST. Ну а так как мы (я имею ввиду Cisco) участвуем в разработке NIST'овских стандартов по ИБ, а также знаем и отечественную нормативку, то можем смотреть на проблему с двух сторон ;-)

В целом же могу заметить, что моя заметка от 5 сентября по-прежнему актуальна ;-) Я не могу считать себя большим специалистом-практиком по ИБ в индустриальных системах, но даже здравый смысл (не говоря уже о тоннах изученных материалов) подсказывает, что продвигать ИБ в ТЭК также как это делается для банков или персданных нельзя. Это совершенно разные области. Как с точки зрения технологической, так и с точки зрения "продажной". Ну нельзя предлагать свою универсальную ОС и говорить, что она решит все проблемы с недоверенной средой (а железо под и прикладная часть надо?). И классические услуги по аудиту просто так не предложить. И заявить, что выкиньте все иностранное (АСУ ТП, сенсоры, контроллеры и т.д.) и вкладывайте деньги в НИОКР по разработке отечественных решений тоже не сработает.

Я уже не говорю про то, что это при продаже защиты ПДн интегратор не несет никакой ответственности, т.к. там рисков неправильной реализации как таковых нет. В индустриальных системах МСЭ или сканер безопасности, нарушившие работу системы управления технологическими процессам, могут стать причиной многих человеческих жертв, экологической катастрофы или просто экономических убытков на миллиарды рублей. А готов ли интегратор отвечать за предлагаемые решения? Далеко не у всех вообще такой вопрос возникает - многие привыкли продавать свои продукты и услуги "as is" и рынку только еще предстоить учесть всю специфику работы в сегменте критически важных объектов.

А вообще все докладчики (кроме меня) были оптимистами в отношении ИБ в КВО ;-)

14.3.13

Что нас ждет в части нормативки по ИБ в ближайшие 9 месяцев

Вчера я выступал на IDC IT Security Roadshow, куда меня пригласили рассказать о том, что ждет российских специалистов по ИБ в обозримое будущее. Т.к. времени было немного (всего 25 минут), то пришлось ужиматься и коснуться только наиболее важных и касающихся большинства специалистов тем - ПДн, НПС, государственные информационные системы и КВО.



Кстати, если вам интересно узнать, что же написано в финальной версии приказа ФСТЭК по персданным, утвержденном 18 февраля этого года, то у вас есть шанс услышать это в эту пятницу. В 11 утра по московскому времени для RISSPA я делаю вебинар по этому приказу. Вебинар пройдет с помощью системы Webex (требуется предварительная регистрация).

13.3.13

Кому нужно ломать приложения для мобильного банкинга? Никому!

Не смог не запостить еще и сюда ;-) Идет в LinkedIn дискуссия. Одна из многих. Местами жаркая. Обсуждаем, как водится, технический подход к ИБ и бизнес-подход. Доходит дело до отчета Digital Security о безопасности приложений для мобильного банкинга. И Илья Медведовский делает такое заявление: "Что касается мобилок, то в самих мобильных банкингах масса проблем и их актуальность на практике мне очевидна. Сидя в чужой WiFi сети, делаешь перевод Васе, а деньги уходят Пети и всего делов - и никакой конопли не нужно :). И никакого тут FUDа впомине нет. Потому что мобильный банкинг набирает ход по полной и при этом пока абсолютно дырявый на практике. И надо помочь обратить на это внимание."

К технической стороне отчета у меня претензий нет; да и не может быть - я же бумажный безопасник. Но в дискуссии мы дисскутируем на тему, насколько бизнесу важны технические вопросы, уязвимости, демонстрации взломов и т.д. Я считаю, что в массе своей нафиг не нужны, а уж в отношении приложений для мобильного банкинга тем более. И поскольку мой тезис надо как-то обосновать, пришлось потратить 15 минут на подготовку аргументированного ответа. Не хочется его терять - поэтому и копирую сюда (чуть причесав).

Итак. Возможность сделать что-то, еще не означает, что это будут делать. Это проблема всех исследователей дыр. Наличие дыры не означает ее использование на практике. В ряде случаев ее вообще можно не закрывать, т.к. этот риск можно либо принять (технарям это бывает сложно понять), либо переложить на чужие плечи, например, застраховав. А может быть и такая ситуация, что хакерам вообще наплевать на найденную кем-то дыру. И происходить это может по разным причинам. Нафиг не надо, есть варианты проще, есть варианты выгоднее...

В случае с мобильными клиентами ДБО применимы все три случая. Попробую это показать в цифрах. Во-первых, надо развенчать мнение, что мобильный банкинг - это наше все и у него большое будущее. Как показало исследование рынка ДБО, проведенное AnalyticResearchGroup, мобильный банкинг в России встречается крайне редко. И то преимущественно в крупных городах. В регионах, по мнению специалистов АnalyticResearchGroup, даже кризис не подтолкнул жителей небольших городов к использованию дистанционных банковских услуг; обычных, не говоря уже о мобильных. При этом три четверти россиян не только не пользуются мобильным и интернет-банкингом, но даже не знают о существовании таких услуг. Об этом свидетельствуют результаты опроса, проведенного Фондом «Общественное мнение» (ФОМ). Постоянными пользователями услуг мобильного банкинга является всего 3% россиян. Но это же может быть именно те 3%, которым принадлежат все богатства страны?! Может. Поэтому посмотрим на распространенность мобильного банкинга применительно к объемам денежных средств, которые там циркулируют.

Работающие на российском рынке кредитные организации ориентированы, в большей степени, на корпоративный рынок. Только 30,4% из них используют системы дистанционного обслуживания физических лиц. Системы типа мобильный банк установлены только в 6,8% банков. Почему? Потому, что деньги в мобильном банкинге смешные. Всего 8.1 млрд. рублей в 2012-м году по данным J’son & Partners Consulting. Это все деньги. Из них доля денежных переводов составляет всего 30%. Т.е. на денежные переводы, о перехвате и подмене которых указывается в отчете, как основной угрозе, приходится всего 2.7 млрд.рублей. К слову, объем рынка электронных платежных систем в России в 2012-м году по оценкам J’son & Partners Consulting составляет 1811 млрд.рублей. Т.е. мобильные переводы денежных средств - это всего 0.14%. Ну если взять все платежи через мобильный банкинг (т.е. + оплата услуг и товаров), то получится около 0.45%. Это в рамках статистической погрешности ;-) И не надо забывать, что электронные платежные системы - это тоже копейки в общем объеме денежных переводов.

Я не смог быстро найти в открытом доступе объем банковских платежей, совершенных юридическими лицами с использованием платежных поручений, переданных в банк электронным способом, за 2012-й год. Нашел только за 1-е полугодие 2010 года. Это значение превысило 101 трлн руб. (из них 51 трлн руб. - платежи со счетов, обслуживаемых через системы интернет-банкинга). Я не буду прикидывать, сколько этот объем составлял в 2012-м году. Допустим столько же (хотя по всем оценкам он должен быть больше). Но сделаем допущение, что столько же, т.е. 200 триллионов рублей в год. А дальше посмотрим, какова доля мобильного банкинга на фоне переводов денежных средств юрлицами через системы ДБО. 0.0013%!

Доля мобильного банкинга (а им пользуются только физики) в объеме рынка ДБО для юриков - 0.0013%! И после этого кто-то будет рассказывать о значительной угрозе мобильных приложений? Какой смысл ломать физика через мобильный телефон, когда ломая юрика можно получить на порядок-другой больше денег? Я не понимаю. Только гики будут ломать таким образом физиков со смартфонами, гоняясь за их копейками. "Нормальная" киберпреступность, входящая в состав оргпреступности, будут работать по-крупному - т.е. на рынке ДБО для юридических лиц. И эта тенденция еще долго не будет переломлена.

Т.е. число мобильных платежей будет очевидно расти. И расти оно может быть даже быстрее, чем объемы средств, переводимых через ДБО для юриков. Но беря соотношение денег в обоих сегментах злоумышленнику по всем законам выгоднее ломать юридических лиц. Тем более, что если примут 9-ю статью ФЗ-161 в нынешней редакции и внесут поправки в ГК РФ, то мошенникам даже ломать ничего не надо - достаточно просто заявить в банк, что платеж проведен не по распоряжению клиента и банк должен будет вернуть деньги. И зачем при таком "узаконенном мошенничестве" заниматься поиском дыр и их использованием, получая дополнительные риски по ст.272 УК РФ? Никакого резона.

Вот и получается, что не умаляя технических достоинств отчета Digital Security, даже с точки зрения злоумышленников ломать приложения мобильного банкинга смысла нет. Разумеется в массовом порядке (если взломать конкретного человека, то ему будет очень неприятно). А если это угроза незначительная, то зачем вкладываться в ее нейтрализацию? Этого не будет делать разработчик ДБО (если ему на навяжут эти требования), этого не будет делать банк-покупатель таких решений (бизнес там копеечный и запускается, как правило, ради имиджа, а не заработка).

Резюмируя: с точки зрения технической тема интересная и с ней можно попробовать даже выступить на каком-нибудь Blackhat. С точки зрения бизнеса тема не стоит и выеденного яйца и в ближайшие годы ситуация не изменится. В этом и есть разница в подходах к ИБ с точки зрения технического и бизнес-взглядов.

12.3.13

Америка не готова к кибервойне

Именно такой вывод делают американские эксперты, в течение 18 месяцев изучившие возможности американского МинОбороны в части возможностей противодействия киберугрозам. Но обо всем по порядку.

В январе был опубликован частично рассекреченный отчет "Resilient Military Systems and the Advanced Cyber Threat" (скачать), в котором группа экспертов, проводившая исследование американских способности по отражению кибератак, сделала вывод, что несмотря на все усилия спецслужб США, гарантировать удачное отражение атак со стороны потенциального противника (а мы помним, что под ним американцы считают Китай и Россию, причем Россия вызывает у них даже большие опасения, чем Китай) невозможно и в стратегию кибербезопасности необходимо обязательно включать элементы устрашения и возможность применения традиционных вооружений (атомные бомбардировщики и подводные лодки) в ответ на киберагрессию.

Основное "обвинение" со стороны экспертов в адрес американского киберкоммандования предсказуемо и заключается в фрагментации усилий и ресурсов, направленных на защиту американских военных информационных систем в рамках информационного противоборства. Эксперты делают даже более громкие заявления, что Америка не готова бороться с киберугрозами (что уж тогда говорить про Россию). Вторая претензия, указанная в отчете, ориентация действующих документов на атаки верхнего, стратегического уровня (закладки в аппаратуре и скоординированные атаки вроде Red October) и полная забывчивость в отношении атак нижнего уровня и APT. Третья претензия заключается в построении военных информационных систем на базе незащищенных архитектур с применением непроверенных компонентов иностранного происхождения. Четвертая проблема связана с отсутствием адекватной стратегии американской разведки, направленной на сбор информации об источниках угрозы, существенно меньшей, чем отдельное государство. Речь идет об отдельных хакерах и группировках, о которых американские спецслужбы просто не знают, т.к. всю жизнь боролись с государственными противниками.

В результате любая успешная стратегия кибербезопасности и информационного противоборства должна включать в себя элементы традиционного сдерживания, включая и применение ядерного потенциала. Кстати, насчет ядерного потенциала... Эксперты в отчете рекомендуют регулярно проводить анализ защищенности ядерных объектов с точки зрения информационной безопасности, не доверяя только традиционным методам физической защиты и контртеррористической защищенности.В качестве рекомендации по защите от атак нижнего уровня отчет содержит совет концентрироваться не столько на безопасности систем, сколько на их устойчивости. При этом речь идет об отдельном стандарте обеспечения устойчивости, который должен поддерживаться военными информационными системами.

По крупному, отчет содержит 7 рекомендаций с указанием примерных сроков их реализации и стоимостными оценками. И каждая из 7 рекомендаций подробно рассмотрена и описана в 150-тистраничном



ЗЫ. Кстати, идея отвечать на кибероружение традиционными вооружениями не нова - США ее уже пытались продвигать в ООН пару лет назад.

ЗЗЫ. А пока суть да дело, Северная Корея отказалась от выполнения всех ранее подписанных с Южной Кореей соглашений о взаимном ненападении.

11.3.13

Обновление программы курса по защите информации в НПС

Обновил программу курса по НПС. В текущей версии 1.7 добавлены следующие темы:
  • Новая форма отчетности 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт» и порядок составления и представления отчетности по форме 0409258
  • Новости регулирования от ГУБЗИ и ДРР (по итогам Магнитогорского форума)
  • Уточненные планы развития СТО БР ИББС на 2013 год
  • Краткие результаты по собранной 203-й отчетности
  • Письмо №34-Т по безопасности банкоматов
  • Письмо №172-Т о рекомендациях по вопросам применения статьи 9 ФЗ-161
  • Новости регулирования про ст.9 ФЗ-161
  • Оценка соответствия АБС по требованиям ИБ
  • Мнение ЦБ об электронных денежных средствах.

Очередные размышления о лицензировании деятельности по ТЗКИ

Перечитывая в очередной раз ПП-1119 наткнулся на один абзац, который заставил меня в очередной раз задуматься о лицензировании деятельности по ТЗКИ. Хотя, казалось бы, после опубликования в прошлом году позиции ФСТЭК ситуация стала предельно понятной - лицензия на ТЗКИ нужна только в трех случаях:
  • организация извлекает прибыль из деятельности по ТЗКИ
  • деятельность по ТЗКИ прописана в уставных документах организации (в первую очередь, для некоммерческих)
  • защита конфиденциальной информации в явной форме поручена ее обладателем организации (именно ТЗКИ, а не обработка информации, которая должна защищаться по действующему законодательству).
Из этой триады можно сделать простой вывод - большинству операторов ПДн не требуется получать лицензию ФСТЭК на ТЗКИ. А вот что у нас с обработчиками? По идее ситуация ни чем не отличается. Но только на первой взгляд.

Если посмотреть на часть 3 статьи 6 ФЗ-152, то в ней содержится норма включать в поручение оператора требование обеспечивать безопасность персональных данных при их обработке, а также указать требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ-152. В п.3 требований ПП-1119 также говорится, что "договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе".

И вот тут возникает вопрос. Если по договору оператор в явной форме поручает обработчику защищать персональные данные, т.е. конфиденциальную информацию, то не значит ли это, что обработчикам (курьерским службам, кейтеринговым компаниям, операторам связи, логистическим компаниям, call-центрам, туристическим компаниям и т.д.) потребуется лицензия ФСТЭК на деятельность по ТЗКИ?

Должно ли оператора волновать отсутствие у обработчика лицензии ФСТЭК? По идее нет. Но вспомните мой пост о том, что налоговая имеет основания признать сделку между заказчиком и поставщиком услуг по защите недействительной, базируя свое решение на ст.173 ГК РФ.

Картина вновь становится запутанной...

7.3.13

О дуализме Центробанка в контексте банковской ИБ

Пока ехал вчера в метро с курсов по НПС, думал о дуализме роли Банка России в области информационной безопасности банковской среды. С одной стороны ЦБ нередко закручивает гайки в части установления требований по ИБ. "Хорошим" примером этого является п.2.13.1 положения 382-П Банка России, согласно которому кредитная организация обязана ежемесячно направлять оператору платежной системы информацию об инцидентах ИБ. Ну должна и должна, в чем проблема-то? А в том, что кредитная организация должна слать такие отчеты ежемесячному КАЖДОМУ оператору платежной системы, членом которой он является. Хочет, например, банк предоставить своим клиентам возможность переводить деньга через CONTACT, MIGOM, ЮНИСТРИМ, Анелик, WebMoney, Western Union, Яндекс.Деньги, пожалуйста. Только вот и об инцидентах надо будет сообщать оператору каждой из этих платежных систем. Ежемесячно ;-( Не очень-то удобно. Особенно в условиях нехватки персонала. Получается, что все усилия и так немногочисленных сотрудников службы ИБ будут сосредоточены на подготовке и отправке ежемесячной отчетности, а не на обеспечении реальной безопасности банковских систем. Но это одна сторона медали. Есть и другая.

На что часто жалуются банковские службы ИБ (да и не только они)? На нехватку ресурсов на обеспечение ИБ. А почему их не хватает? Не дают. А почему не дают? Потому что безопасники не могут показать деньги. Я про это аккурат в понедельник писал. Отдельные Ибоши (это в FB термин такой случайно родился ;-) твердили, что я теоретик и не понимаю реалий, что оценить ущерб в деньгах невозможно и что этого никто не делает, и т.д. И вот появляется новая форма отчетности 0409258 об инцидентах с платежными картами, где в явной форме надо ежемесячно указывать количество и сумму несанкционированных операций по картам; причем по разным срезам. По 203-й форме ЦБ также планирует, о чем говорилось в Магнитогорске, ввести графу по похищенным или намеченных к хищению денежных средств.

Что нам дают эти нововведения? То, чего так ждут службы ИБ, до конца и не подозревая об этом. Показ денег! Вот он ущерб от деятельности мошенников, хакеров и иных протиправных личностей! Причем по разным срезам и помесячно. И тут же информация по инцидентам, которая так нужна для оценки вероятности нанесения ущерба. Опять же вероятность для каждого инцидента своя с распределением по времени года. И ведь все эти данные не притянутые за уши, и не взятые с потолка, и никто их не копипастил из статистических отчетов консультантов. Реальные цифры по конкретному банку. Одним выстрелом сразу двух зайцев.

Вот и получается, что с одной стороны ЦБ навязывает новые формы отчетности, сильно бюрократизируя ИБ, а с другой это позволяет сделать то, что так нужно банковским безопасникам. Нужно, конечно, не только им, но в других отраслях нет такого регулятора ;-) Дуализм, однако. И не знаешь, хорошо это или плохо... Каждый выбирает для себя.

6.3.13

Банк России обратил пристальное внимание на безопасность платежных карт

Про перевод стандарта PCI DSS под эгидой Банка России я уже писал (перевод осуществляется АБИСС). Это важная новость, последствия которой российским банкам еще предстоит познать.

Но Банк России не стоит на месте и в конце прошлого года выпускает новое Указание 2926-У от 03.12.2013 «О внесении изменений в Указание Банка России от 12 ноября 2009 года № 2332-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации» которым вводит новые формы отчетности. Среди них и форма отчетности 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт» и порядок составления и представления отчетности по форме 0409258.

Согласно этой новой отчетности банковские и небанковские кредитные организации обязаны будут с различной периодичностью сообщать о несанкционированных операциях, совершенных на территории и за пределами территории РФ с использованием платежных карт, эмитированных кредитной организацией, а также о несанкционированных операциях, совершенные на территории РФ с использованием платежных карт, эмитированных за пределами территории РФ.

При этом Банк России интересуют все инциденты с платежными картами - совершенные в организациях торговли (по сути магазинах и ресторанах), в пунктах выдачи наличных, в банкоматах и платежных терминалах, а также посредством Интернет и абонентских устройств мобильной связи.

Спустя квартал, 1-го марта Банк России выпускает письмо №34-Т "О рекомендациях по повышению уровня безопасности банкоматов и платежных терминалов", содержащее рекомендации по информационной и, в меньшей степени, физической безопасности банкоматов и платежных терминалов, которые являются одними из самых распространенных устройств, через которые "проходят" платежные карты. В 3-хстраничном письме, в частности, говорится о том, что должны быть реализованы следующие защитные меры:
  • Классификация мест установки по степени риска, в т.ч. и подвергнуться воздействию вредоносного кода, а также совершения несанкционированных операций
  • Пересмотр классификации по мере развития технологий атак
  • Оснащение специальным ПО для выявления и предотвращения атак
  • Регулярный контроль действия обслуживающих организаций
  • Использование систем удаленного мониторинга состояния банкомата или терминала
  • 2 видеокамеры и хранение видеозаписей не менее 60 дней
  • Наличие антискиммингового оборудования
  • Обнаружение, фиксация атак и их попыток и информирование о них заинтересованных участников рынка розничных платежных услуг и Банка России
  • Анализ и выявление уязвимостей после атак или попыток их совершения
  • Совершенствование системы защиты
  • Обмен информацией с другими кредитными организациями
  • Размещение на устройстве рекомендаций по защите PIN
  • + требования по физической безопасности банкоматов и платежных терминалов.
Все? Нет, не все. Как говорилось в Магнитогорске,  сейчас готовится новая редакция указания 2831-У по отчетности по вопросам защиты информации при осуществлении переводов денежных средств и в ней немало внимания будет уделено защите банкоматов и платежных терминалов с подробной детализацией места и условий возникновения инцидента. Эта отчетность дополнит сведения, предусмотренные упомянутой выше формой 0409258.

ЗЫ. Так что банкам стоит уже сейчас готовиться к усилению внимания со стороны отраслевого регулятора, который обратил внимание и на платежные карты, соответствующие электронные средства платежа и устройства, использующие платежные карты и ЭСП, с ними связанные.

5.3.13

Об анализе качества кода системно и архитектурно

К теме анализа качества кода я уже обращался неоднократно и буду и дальше эту тему поднимать. Но все это эпизодические вкрапления, несвязанные в единое целое. Как должен выглядеть процесс создания качественного кода у разработчика или у потребителя, имеющего собственное подразделение по разработке? Картинка достаточно "проста" ;-)

Она отражает все необходимые аспекты, которые надо учитывать при разработке качественного, надежного и безопасного кода. Тут и вопросы архитектуры и дизайна (включая и инструменты по моделированию атак), и требования к разработке (включая шаблоны /паттерны/ атак и уязвимостей), и требования к написанию кода, и вопросы управления проектом по созданию ПО, и вопросы приобретения стороннего ПО, проведения обучения персонала, создания бизнес-кейсов, и вопросы тестирования и анализа кода (включая столь любимые многими пентесты). Учтено все ;-)

В оригинале эта картинка является интерактивной - каждый ее элемент является ссылкой на подробное и детальное описание, содержащее лучшие практики, полезные сведения или инструменты, решающие ту или иную задачу в части повышения качества ПО. Оригинал расположен на одном из лучших сайтов по данной тематике - "Build Security In", запущенном и поддерживаемом Министерством национальной безопасности США (DHS). Там есть все - статьи, инструментарий, курсы, книги, ссылки, рекомендации и т.д. Является хорошей отправной точкой для погружения в тему повышения качества ПО с точки зрения ИБ.

Но это, разумеется, не все ресурсы, которые могут помочь в освоении описываемой темы. Еще одной классикой является сайт института Карнеги-Меллона, который одним из первых обратился к этой теме в контексте ИБ (аккурат в 1988-м году после эпидемии червя Морриса). Сегодня этот сайт содержит немалое количество полезных ресурсов по теме - подкасты, видео, тренинги, книги и т.д.

Еще одним ресурсом послужит Software Assurance Marketplace (SWAMP) - ресурс, помогающий разработчикам open source понять как правильно разрабатывать и, самое важное, тестировать свои приложения; особенно критические. SWAMP является хорошим примером государственно-частного партнерства, которого так не хватает в России. Может быть Digital Security, которая так часто заявляет о своей лидирующей и пионерской роли в части анализа качества ПО, перестать флеймить и возглавит такую публичную инициативу, создав схожий ресурс (но на русском языке)? Это поможет всем, а заодно и покажет, что Digital Security может не только болтать, пытаясь ужаться в 140 символов твита, но и реально что-то делает на благо России, о которой так пафосно говорит ее генеральный директор? Больших усилий по созданию первой версии такого ресурса (как аггрегатора ссылок и "советов бывалых") там не потребуется.

Наконец, последним интересным ресурсом по теме анализа качества ПО является специализированный портал МинОбороны США - Cyber Security and Information Systems Information Analysis Center. Сразу предупрежу, что на нем не так много открытой информации - много чего доступно только для представителей государственных и военных структур США. Но и того, что выложено в открытый доступ достаточно для понимания тех усилий, которые МинОбороны США прикладывают для решения поставленной задачи. Особенно мне нравится их картинка, отражающая структуру нормативных актов, связанных с ИБ и качеством ПО.


Всего 4 ресурса! Но какая кладезь полезной информации скрыта на них...

4.3.13

Писателям сплойтов посвящается...

В последнее время очень много говорится об ответственности бизнеса за надежность своей ИТ-инфраструктуры и ее безопасность. Мол, найдена уязвимость на сайте, надо срочно устранять, а то ай-яй-яй, какие последствия наступят! КАКИЕ? Это первый вопрос, который задает бизнес. При это любые глубокомысленные заявления о репутации, о серьезности ущерба, о важности последствий, фразы "ну вы же все понимаете" ни к чему не приводят. Бизнес не понимает. Не потому, что он дурак, а потому что он понимает только вопрос денег (утрирую немножко, конечно). Покажите, во сколько выльется мне наличие дыры на сайте? В деньгах покажите! Нет прямого ущерба? Покажите косвенный. Не можете посчитать? Тогда идите и учите, как считать, не отнимайте время. Но как же?.. А риски... Риски? Какие риски? У бизнеса есть более значимые риски, чем уязвимость на сайте с отсутствующим ущербом (если не посчитан, значит отсутствует). Валютные риски, риски ликвидности, рычночные риски, страновые риски, инфляционные риски, процентные риски, кредитные и оборотные риски... Операционные риски и их подмножество - риски информационной безопасности - в бизнесе занимают не такое важное место, как об этом думают (если вообще думают) безопасники.

Потом искатели дыр на сайте начинают ныть о том, что их не ценят и они никому не нужны. Выходов отсюда два. Либо безопасник-технарь понимает ограниченность своего взгляда на мир и меняет его, начиная воспринимать гораздо большую палитру красок в мире ИБ. Либо безопасник-технарь решается продемонстрировать на практике реальность своих заявлений о серьезности последствий от использования уязвимости на сайте. В лучшем случае его прогоняют вон; в худшем - он идет по этапу (и возможно даже не по 272-й статье). Отдельные феномены умудряются всю жизнь прожить с мнением, что их никто не понимает и не ценит, а уж они-то самые крутые в мире безопасники. Правда, с этим своим мнением они никому не нужны - семьи у них обычно не бывает, работу они либо не имеют, либо меняют слишком часто из-за своей неуживчивости. В России это может закончиться традиционно - алкоголизм или наркомания. Но вернемся к ответственности бизнеса.

Допустим безопасник-технарь совершил чудо и смог продемонстрировать ущерб от дыры на сайте в деньгах. Допустим он выбрал правильную методику, понятную бизнесу и принятую им. Допустим. Но возникает вторая часть утверждения "ай-яй-яй, какие последствия наступят". Речь идет о слове "наступят". Коль скоро мы говорим об угрозах или рисках, то одним из элементов этих понятий (помимо последствий или ущерба) является вероятность. Бизнес хочет видеть вероятность реализации риска использования уязвимости на сайте. А ее нет! В принципе нет! Точнее есть какие-нибудь отчеты E&Y, KPMG, CSI, OWASP; в них приводится статистика по использованию уязвимостей. Но это как средняя температура по больнице. Любой бизнес спросит: "А я-то тут причем? Почему у меня должна быть такая же вероятность? Может быть у меня и вовсе такого риска не наступит?" И ответить тут будет нечего - потому что мало кто тратит время на нормальный подсчет значения вероятности. Хотя методов немало.

К счастью, вероятность наступления негативного события хоть и важна, но не так, как размер ущерба, т.е. то, с чего я начал пост. И хотя в теории считается, что знать вероятность и размер ущерба одинаково важно, на практике это не так. Даниил Бернулли в 1738 году опубликовал в "Комментариях Санкт-Петербургской Академии" описание так называемого метода полезности денег (он же Санкт-Петербургский парадокс) согласно которому в процессе принятия решения люди уделяют больше внимания размеру последствий разных исходов, нежели их вероятности. Т.е. мы вновь возвращаемся к оценке последствий в терминах, понятных бизнесу, т.е. деньгах.

Кто-то говорит, что управление рисками - это фуфло. Кто-то активно продвигает эту тему. Я уже не раз высказывал свое мнение по этому вопросу (интересная дискуссия от 2008-го года на эту тему). Если при оценке рисков эксперты оперируют качественным показателями, то это профанация. Если применяются соответствующие методы, основанные на правильных моделях и исходных данных, то оценка рисков имеет право на жизнь. Правда, для этого, как говорил Эйнштейн, надо подняться над уровнем, на котором возникла проблема. Надо оперировать финансовыми показателями и финансовыми моделями - тогда и оценка рисков будет адекватной.

Резюмировать можно просто: ПОКАЖИ ДЕНЬГИ, прежде чем обвинять бизнес в тупости и непонимании безопасности. Бизнес также считает тупым безопасника, который не понимает потребностей бизнес и не умеет с ним разговаривать на понятном бизнесу языке. В конце концов, именно бизнес платит зарплату или оплачивает договора. Стоит иногда прислушиваться к мнению бизнеса, а не тупо навязывать свое.

ЗЫ. Как показывает дискуссия в Twitter демонстрация value (в деньгах) пока не находит понимания у безопасников-технарей. Разрыв сохраняется. Безопасность остается в загоне.

ЗЗЫ. Вот еще одно доказательство тем, кто считает, что взлом компании (очень громкий взлом) как-то влияет на бизнес. Кстати, руководитель безопасности этой компании был назван CSO года ;-)