30.4.13

CA покупает Layer 7 Technologies

Про Интернет вещей (Internet of Things) я уже как-то писал (в контексте позиции 8-го Центра ФСБ) и, наверное, стоит больше уделить этой теме внимания - ведь за ней будущее. А пока сделка в этой области. CA Technologies неделю назад подписала соглашение о покупке Layer 7 Technologies, специализирующейся на управлении и защите программных интерфейсов (API), имеющих в будущем, в мире Интернета вещей, огромнейшее значение. Как обычно детали сделки не разглашаются.

И опять про персональные данные

Вообще тема персональных данных начинает уже становится притчей во языцех. Не успел Минюст утвердить приказ Роскомнадзора с перечнем "адекватных" стран, как в субботу Совет Федерации наконец-то принял законопроект №217355-4, провисевший в Госдуме свыше 7 лет. Этот законопроект "О внесении изменений в некоторые законодательные акты РФ в связи с принятием ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных", внес поправки в следующие федеральные законы:
  • ФЗ «Об образовании»
  • ФЗ «О прокуратуре»
  • ФЗ «Об оперативно-розыскной деятельности»
  • ФЗ «Об актах гражданского состояния»
  • ФЗ «О негосударственных пенсионных фондах»
  • ФЗ «О государственной дактилоскопической регистрации»
  • ФЗ «О государственной социальной помощи»
  • ФЗ «О государственном банке данных о детях, оставшихся без попечения родителей»
  • Трудовой Кодекс
  • ФЗ «Об обязательном страховании гражданской ответственности владельцев транспортных средств»
  • Гражданский процессуальный кодекс Российской Федерации
  • ФЗ «О системе государственной службы»
  • ФЗ «О связи»
  • ФЗ «О лотереях»
  • ФЗ «О государственной гражданской службе»
  • ФЗ «О муниципальной службе»
  • ФЗ «Об образовании в Российской Федерации».
17 законов теперь обновлены и некоторым образом гармонизированы с действующей редакцией ФЗ-152. Все меньше препятствий становится по сдаче ратификационной грамоты в Совет Европы и все быстрее приближается тот миг, когда Европа будет нас считать странов с адекватной защитой прав субъектов персональных данных.

Однако, на фоне такой радости, не могу не сказать, что принятие указанного законопроекта (думаю, что и Президент подпишет вскорости) не даст нам долгого веселья. Ведь нас ждет очередная волна изменений законодательства по персональным данным; причем изменений местами кардинальных. Я не буду говорить об активностях при Совете Федерации и Минюсте, в рамках которых ведутся вполне конкретные обсуждения о неработоспособности отдельных положений действующего ФЗ-152 и о необходимости внесения в него точечных изменений. Эта тема не так близка и не так прогнозируема, как другие две.

Я уже писал про реформу европейского законодательства по персональным данным и появление на свет проекта двух новых директив по персданным - одна основная, вторая -  направленная на выработку специальных норм обработки и трансграничной передачи ПДн в рамках правоохранительной деятельности и борьбы с терроризмом. Принятие данных директив, особенно первой, направлено на учет последних изменений, особенно в области электронных коммуникаций, произошедших в области обработки ПДн. И вот тут возникает первый вопрос - как Россия отреагирует на данные нормативные акты?

Второй вопрос гораздо более интересен. Тихой сапой и совсем незаметно для многих российских специалистов (я и сам упустил это из виду) подкрались изменения в саму Евроконвенцию. Да-да, не в Директивы, а именно в Евроконвенцию. Нельзя сказать, что изменения значительны, но сам факт достаточно интересный. Особенно в контексте процедуры принятия международных договоров в России. Что это за собой повлечет? Не станет ли это препятствием или стопором для принятия иных подзаконных нормативных актов?.. Время покажет...

26.4.13

Списки адекватных стран в России и Европе сильно отличаются

Событие, которого ждали, произошло - Минюст зарегистрировал приказ Роскомнадзора "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных". Сюрприза не произошло и финальный вариант не отличается от приведенного мной в декабре прошлого года.


Хочу отметить, что от европейского перечня "адекватных стран" наш сильно отличается. У европейцев в него входят Андорра, Аргентина, Австралия, Канада, Швейцария, Фарерские о-ва, о-в Гернси, Израиль, о-в Мэн, о-в Джерси, США (в части передачи ПДн авиапассажиров и в рамках программы Safe Harbor) и Уругвай. Пересекаемся мы только по Аргентине, Австралии, Канаде и Швейцарии.

25.4.13

Почему у нас все так, а не иначе?!..

Вчера я выступал на Высших курсах ИТ-директоров, где моей задачей было донести до ИТ-директоров проблематику информационной безопасности без глубокого погружения в технические подробности, а лучше и вовсе без них. Да и рассказывать про то, как защищать современные ИТ (облака, мобильность, унифицированные коммуникации и т.п.) я тоже не планировал. Я хотел обрисовать представителям мира ИТ сложившуюся в стране ситуацию с информационной безопасностью, показать причины ее возникновения, указать на подводные камни и наметить пути решения. Поэтому получилась вот такая поверхностная презентация...



Очевидно, что за полтора часа было сложно подробно рассказать обо всем, что наболело и что могло заинтересовать ИТ-директоров. Но мне показалось, что своей цели я достиг. Предсказуемо большее число вопросов вызвали вопросы сертификации средств защиты информации и ввоза и использования шифровальных средств - для многих открылся новый мир; мир ФСТЭК и ФСБ ;-)

Более подробно данную тему я попробую раскрыть в мае и июне на курсах MBA в Школе ИТ-менеджмента при РАНХиГС, где я буду читать две дисциплины:
  • законодательство в области информационной безопасности (16 часов)
  • измерения эффективности информационной безопасности (16 часов).

24.4.13

Атаки 3-го поколения. Кто должен с ними бороться?!

Ночью я написал про взлом Twitter агентства Associated Press в результате которого пострадал не только Белый Дом США, но и краткосрочно весь финансовый рынок (индекс Доу Джонса обвалился на 150 пунктов; 3-хминутные потери составили 140 миддиардов долларов). Что интересного в этом событии, которое мало повлияло на российский рынок? В том, что оно в очередной раз поставило на повестку дня вопрос об атаках третьего поколения.

В своей книге "Обнаружение атак" еще в 2000-м году я писал про эти атаки, приводя пример получения и последующей рассылки фальшивого пресс-релиза новостным агентством. В этом пресс-релизе говорилось об увольнении генерального директора одной компании, от имени которой и рассылался пресс-релиз. Новостное агентство разослало эту "новость", не проверив ее, и рынок быстро отреагировал на это событие, обвалив акции компании-жертвы. Во вчерашнем примере с сообщением о взрывах в Белом Доме и ранении Обамы ситуация была аналогичная. Ни Белый Дом, ни Dow Jones никак не могли повлиять на данную атаку. Схематично она выглядти так:



Тут врядли могли бы как-то помочь специалисты по ИБ компании, попавшей в мишень злоумышленников. А вот пример более понятный и более привычный - создание фишингового сайта.




Бороться с таким примером атаки третьего поколения можно только путем постоянного мониторинга Интернет в поисках фальшивых сайтов, а также своевременная отработка сообщения от пользователей, которые нередко сообщают о появлении в сети фишинговых атак.

Но что делать, когда злоумышленники не просто создают фальшивый сайт, а атакуют инфраструктуру оператора связи, внося изменения в таблицу маршрутизации трафика и перенаправляя весь трафик на подставной сайт или просто блокируя доступ к ресурсам жертвы.



А можно попробовать атаковать и DNS-сервера, таким образом "перехватив" трафик к ресурсам жертвы на себя.


Никакие межсетевые экраны или системы предотвращения вторжений, установленные на периметре сети или на мобильных устройствах пользователей, не помогут. Не помогут и DLP-решения, и VPN-шлюзы, и сканеры безопасности. Ведь атака осуществляется на инфраструктуру третьего лица, которого с жертвой могут вообще не связывать никакие правоотношения и требовать от него выполнения каких бы то ни было защитных мер невозможно.

Что делать? Во-первых, понимать, что такие атаки существуют и они могут быть реализованы в любой момент. Более того, по мере нарастания защитного потенциала в корпоративной среде, злоумышленники будут все чаще обращаться именно к такому виду атак. Во-вторых, необходимо лищний раз проверить договора с операторами связи на предмет учета в них вопросов информационной безопасности поддерживающей вас инфраструктуры. не зря Банк России и Минкомсвязь сейчас вновь подняли вопрос о базовом уровне защищенности операторов связи. В-третьих, необходим регулярный мониторинг фишинговых сайтов (Банк России не зря прописал это требование в 382-). В-четвертых, очень важно иметь выстроенный процесс управления инцидентами. Как говорится, если вас взломали, это еще не значит, что вам нельзя помочь.Своевременное реагирование позволяет быстро оправиться от последствий инцидента и даже полностью их устранить. Ну и наконец, необходимо выработать процедуру общения с внешним миром в случае реализации описанных атак третьего поколения, которая может быть как частью процесса управления инцидентами, так и самостоятельным процессом, находящимся под управлением службы PR, а может быть и службы безопасности предприятия.

Сила 71 символа!

Вчера вечером взломали Twitter агентства Associated Press (AP) и разместили краткий твит о двух взрывах в Белом Доме США и ранении Президента США Барака Обамы. Взломанный твит выглядел вот так.


Учитывая серьезность новости ретвитили ее многие (видно, что не менее 3000 человек). Новость быстро разошлась по Интернет, что спровоцировало обрушение индекса Доу Джонса. И кто-то этим не преминул воспользоваться (обратите внимание на всплекс объема продаж и покупок в момент падения индекса).



Простой, но очень понятный пример связи безопасности и бизнеса (можно даже попробовать прикинуть финансовую составляющую данного взлома). Один недостаток у этой демонстрации - неуправляемая она и непрогнозируемая. Заранее не предскажешь, что произойдет, если взломают чей-то Твиттер или от имени какой-то компании начнут рассылать сообщения о смене генерального директора (примеры в российской практике были) или в социальных сетях и на форумах начнут появляться сообщения о том, что у того или иного банка проблемы и надо срочно снимать деньги со счетов, чтобы не потерять их (такие примеры в России тоже были).

И кто должен бороться с такими угрозами? И угрозы ли это с точки зрения информационной безопасности?

23.4.13

Что общего между социальным паразитизмом, секусуальной распущенностью и ИБ?

И вновь настал черед поделиться новинками в области нормативного регулирования вопросов ИБ (слишком уж много их в последнее время, новинок этих):
  1. 13 апреля было подписано Распоряжение Правительства №602-р "О внесении в Госдуму законопроекта, направленного на соблюдение должностными и юридическими лицами требований по защите информации". Проектом этого федерального закона предусматривается дополнение статьи 13.12 КоАП новыми частями 6 и 7, в соответствии с которыми устанавливается административная ответственность за нарушение требований о защите информации.
  2. 15 апреля было подписано Распоряжение Правительства №611-р "Об утверждении перечня нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи Российской Федерации". Таких нарушений всего 9, а проверять их будет Роскомнадзор.
  3. Депутат Михеев порадовал своим законопроектом №262496-6 "О внесении изменений в отдельные законодательные акты Российской Федерации в части упорядочивания распространения информационной продукции". Этот депутат предложил дополнить закон о средствах массовой информации следующей новацией: "Не допускается использование средств массовой информации в целях совершения уголовно наказуемых деяний, для разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну, для распространения материалов, содержащих публичные призывы к осуществлению террористической деятельности или публично оправдывающих терроризм, других экстремистских материалов, а также материалов, пропагандирующих порнографию, культ насилия и жестокости, эгоизм, социальный паразитизм, сексуальную распущенность, легкомысленное и (или) неуважительное отношение к сексуальным функциям и (или) реализации сексуальных функций, несоблюдение ценностей, закрепленных в Конституции Российской Федерации, и материалов, содержащих нецензурную брань". Впервые в нормативной практике ИБ поставлена в один ряд с социальным паразитизмом и неуважительным отношением к сексуальным функциям ;-)
  4. Ну и немного новостей Роскомнадзора. На прошлой неделе прошло заседание Консультативного Совета РКН по вопросам защиты прав субъектов ПДн. На заседании было озвучено, что проект приказа по обезличиванию находится на финишной прямой и чуть ли не 29-го апреля его должны зарегистрировать в МинЮсте. Законопроект по увеличению штрафов, а также проект Постановления Правительства по надзору подвисли в коридорах власти, а проект приказа со списком адекватных стран должны рассматривать в МинЮсте в самое ближайшее время. Законопроект о внесении изменений в законодательство в связи с принятием ФЗ-152 наконец-то сдвинулся с мертвой точки и должен быть принять в самое ближайшее время. Аккурат вчера его внесли на рассмотрение Госдумой.

19.4.13

Ток-шоу по информационной безопасности критически важных объектов

Вчера поздно вечером закончился первый день Форума директоров по ИБ. Сегодня у меня по плану посещение заседания Консультативного совета при Роскомнадзоре и встреча рабочей группы Совета Федерации. В обоих случах будем обсуждать ФЗ-152 и его изменения. Поэтому сил писать что-то нет. Выложу видео ;-)

Это видео с "ток-шоу" по безопасности критически важных объектов, который вел Олег Седов. Запись длинная - аж полтора часа. Шла в прямом эфире на нижегородском телевидении по канаду "Время Н". Получилось неплохо на мой взгляд ;-)



А это отдельное интервью, также для нижегородского телевидения "Время Н" и прошедшего 16-18 апреля ИТ-форума 2020 "Взгляд в будущее".

18.4.13

Что будет определять развитие ИБ в России в ближайшее время?!

Так сложилось, что вчера я выступал на форуме ИТ-директоров в Нижнем Новгороде и рассказывал про безопасность, а сегодня я выступаю на форуме ИБ-директоров и рассказываю про ИТ ;-) На форуме директоров по информационной безопасности я выступаю традиционно и в пленарном заседании делюсь видением различных тенденций, которые влияют на информационную безопасность в России. Я уже рассказывал про изменение роли директора по ИБ, про изменения в законодательстве и т.п. И вот сегодня пришла пора поговорить о том, как изменения в ИТ, которые приходят в Россию, могут повлиять на ближайшее будущее безопасников.

С этой целью я и подготовил ИТшную презентацию, которую и читаю в данный момент времения (к сожалению анимация не показывается):



Но также хочу напомнить, что на деятельность безопасника влияют не только ИТ, но и другие тенденции. Например, тенденции в области угроз и поведения пользователей, применяющих информационные технологии. Про это у меня тоже есть презентация:



А еще, конечно же, нельзя забывать про изменение законодательства, которое меняется очень активно - месяца не проходит, чтобы я не вносил изменения в свою презентацию по ключевым изменениям отечественной нормативной базы по информационной безопасности. Выкладываю самую последнюю ее версию:



Вот такая картина...

16.4.13

У американцев будет свой ЦИБ ФСБ ;-)

В прошлом году ФСТЭК начала работу над законопроектом, который вносит изменения в 149-ФЗ в части расширения требований по защите госорганов и критически важных объектов. Американцы тоже решили обновить свой закон по этой тематике - FISMA (Federal Information Security Amendment Act). Пройдя основные согласования новый законопроект ушел в Белый дом и ожидается, что в ближайшее время он будет подписан.

В декабре я уже писал, как выстраивается система защиты государственных информационных систем в США. Интересно, что же такого придумали американцы по сравнению с тем, что у них уже было сделано. Изменений немало:
  1. В каждом госоргане вводится обязательная должность CISO (руководителя ИБ, который отвечает за обучение и повышение осведомленности сотрудников, за разработку и внедрение новых политик, за реагирование на инциденты, за compliance, за взаимодействие с NIST в части участия в совместной разработке стандартов по ИБ, за ежегодный аудит, за регулярную отправку (до 1 марта календарного года) отчетов о соответствии требованиям ИБ в Конгресс США.
  2. Создается новая структура - Федеральный центр реагирования на инциденты ИБ, который должен помогать госорганам в расследовании и реагировании на инциденты (некий аналог нашего ЦИБ ФСБ, но более открытый).
  3. Установление обязанности обмениваться информацией по ИБ (в частности о новых угрозах) между госорганами и частными компаниями.
  4. Основное изменение коснулось парадигмы, которая у нас называется аттестацией ;-) У американцев до недавнего времени был похожий подход, когда их проверяли по некоторому чеклисту, базирующемуся на защитных мерах из NIST SP800-53А. Но судя по публикуемым регулярно отчетам Счетной палаты это не так эффективно как хотелось бы. В отличие от механизма непрерывного мониторинга уровня защищенности, который дает свои плоды. Особенно учитывая, что за 6 лет, с 2006 года, число инцидентов в госорганах США увеличилось на 782%. Тут никакой статический чеклист не поможет - нужен непрерывный процесс.
  5. Госорганам разрешено самостоятельно принимать решения о выборе средств защиты и явно фиксируется, что решения, разработанные частными компаниями, гораздо лучше справляются с современными и динамичными угрозами (кстати, мы 16 мая про такие угрозы и способы борьбы с ними и будем рассказывать). Кто знаком с американским рынком средств защиты знает, что у них есть такое понятие - COTS (Commercial Off-The-Shelf), т.е. продукты, которые могут быть использованы в госорганах, но при этом активно продаются и на коммерческом рынке. Эти решения альтернативны собственным разработкам государства или финансируемым по госконтракту средствам защиты и позволяют существенно сэкономить и снизить TCO. Однако по мнению Министерства национальной безопасности, такие решения несли с собой угрозу, связанную с рисками в цепочке поставок, о которых я уже писал. И вот смена парадигмы - США признают, что коммерческие продукты лучше борются с угрозами, чем спонсируемые государством точечные разработки..
  6. Рекомендуется активнее использовать средства анализа защищенности и тесты на проникновение (Red Team).
  7. Законопроект распространяется на госорганы, Минобороны и ЦРУ, но информационные системы последних двух ведомств выделяются в отдельную категорию - "системы национальной безопасности" со своей спецификой.
  8. Провозглашается риск-ориентированный подход, базирующийся на ряде критериев, включая уровень (гриф) защищаемой информации, ущерб и экономическую целесообразность.
  9. Появляется обязанность сообщать об инцидентах в течение 24 часов (не позднее 48) в федеральный центр реагирования на инциденты.
  10. Каждый госорган обязан разработать собственную программу по ИБ (а не просто многостраничную концепцию, которую обычно ставят на полку и никогда к ней не прикасаются).
  11. Помимо защиты информационных систем, необходимо обеспечивать непрерывность и бесперебойность их функционирования (аналогичные требования появились и в 17-м приказе ФСТЭК по защите госорганов).

Если бы меня спросили, в чем ключевое отличие нынешней редакции FISMA от предыдущей, то я бы мог ответить одной  фразой - "смена акцента в сторону большей динамичности; угроз, защитных мер, процессов защиты, реагирования на инциденты". В условиях изменяющих угроз и сдвига акцента на "кибер"-составляющую в национальной безопасности США, новый законопроект появился как нельзя кстати и к месту.

15.4.13

Новый сегмент рынка информационной безопасности

Что мы чаще всего видим, когда выходим на улицу кроме людей? Различные транспорпортные средства, преимущественно колесные. Причем эти транспортные средства могут быть как личными, так и находящимися в собственности юридических лиц и индивидуальных предпринимателей. Последних по статистике Минтранса и МВД в России было зарегистрировано 0.9 миллиона автобусов, еще два десятка тысяч других видов транспорта, перевозящего пассажиров и несколько сотен тысяч грузовых автомобилей, находящихся в собственности юридических лиц и индивидуальных предпринимателей. Очень нехилый парк колесных транспортных средств, на который распространяются обязательные требования Постановления Правительства от 23 ноября 2012 г. № 1213 "О требованиях к тахографам, категориях и видах оснащаемых ими транспортных средств, порядке оснащения транспортных средств тахографами, правил их использования, обслуживания и контроля их работы" и разработанного во его исполнение приказа Минтранса от 13 февраля 2013 года №36 "Об утверждении требований к тахографам, устанавливаемым на транспортные средства, категорий и видов транспортных средств, оснащаемых тахографами, правил использования, обслуживания и контроля работы тахографов, установленных на транспортные средства". Вступил в силу этот приказ 1 апреля 2013 года.

Согласнозаконодательству на указанные выше транспортные средства должны быть установлены тахографы, т.е. контрольные бортовые регистрирующие приборы, предназначенные для контроля и регистрации таких параметров как: скорость движения, пробег автомобиля, периоды труда и отдыха экипажа. Требования же к тахографам и установлены 36-м приказом Минтранса. Одним из обязательных элементов тахографа является "программно-аппаратное шифровальное (криптографическое) средство (блок СКЗИ тахографа), реализующее алгоритмы криптографического преобразования информации и обеспечивающее:
  • аутентификацию;
  • регистрацию информации в некорректируемом виде в защищенной памяти (защищенный архив блока СКЗИ тахографа);
  • хранение информации ограниченного доступа, используемой для создания электронной подписи и проверки электронной подписи (ключевой информации), и аутентифицирующей информации;
  • преобразование сигналов глобальных навигационных спутниковых систем ГЛОНАСС и GPS (ГНСС) в данные о текущем времени и о координатах местоположения транспортного средства в некорректируемом виде". 
Помимо тахографа к нему должны прилагаться еще и карты водителя, контролера, мастерской и эксплуатирующего транспортное средство предприятия. Эти карты "обеспечивают идентификацию и аутентификацию с использованием шифровальных (криптографических) средств, а также хранение данных о деятельности" заинтересованных лиц. Согласно приказу данные карты "являются защищенной от подделок полиграфической продукцией", следовательно их разработчики подчиняются ПП-965 от 24 сентября 2012 года и должны получить лицензию на указанный вид деятельности. Одним из условий получения такой лицензии является применение средств защиты, прошедших оценку соответствия.

Дополнительным требованием к разработчикам карт, описанным в приказе Минтранса, является "разработка и производство карты осуществляется с соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом ФСБ России от 9 февраля 2005 г. № 66". Аналогичная отсылка к ПКЗ-2005 cуществует и для разработки СКЗИ тахографа, а также для проведения их тематических исследований. Производство, распространение и техническое обслуживание блоков СКЗИ тахографа и карт осуществляются также в соответствии с ПКЗ-2005, т.е. лицензиатами ФСБ.

Указанные карты также должны соответствовать "требованиям к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, утвержденным постановлением Правительства Российской Федерации от 8 июля 2008 г. № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".

Также "система разграничения доступа к данным карты соответствуют требованиям по защите информации, установленным постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Также на тахограф возлагается задача обеспечения "целостности и достоверности информации, регистрируемой в памяти тахографа в некорректируемом виде, на основе применения квалифицированной электронной подписи, а также возможность гарантированного выявления ее корректировки или фальсификации по результатам проверки информации, зарегистрированной в памяти тахографа". А "создание и выдача квалифицированных сертификатов блоков СКЗИ тахографа и карт осуществляется с учетом требований, предусмотренных Федеральным законом от 6 апреля 2011 г. № 63 «Об электронной подписи» и нормативными правовыми актами, регулирующими создание и выдачу квалифицированных сертификатов", т.е. теми же приказами ФСБ.

"Выпуск и аннулирование выпущенных квалифицированных сертификатов блоков СКЗИ тахографа и карт осуществляет удостоверяющий центр, аккредитованный в установленном порядке", а "создание ключей квалифицированной электронной подписи блока СКЗИ тахографа и карт осуществляется с применением средств, соответствующих требованиям" ПКЗ-2005.

Иными словами мы получили с 1-го апреля (а привести все транспортные средства надо в соответствие до 2015-го года) новый и очень немаленький сегмент рынка СКЗИ, включая ЭП. Мы получили новый сегмент рынка для удостоверяющих центров. Мы получили новых лицензиатов ФСБ по части шифрования. Причем такими лицензиатами должны стать не только разработчики и мастерские, выпускающие и обслуживание тахографы и карты, но и все транспортные предприятия. Ведь информация с тахографа может (при наличии в его составе связного модуля) передавать по открытым каналам связи GSM/GPRS. А если вспомнить выступление г-на Ковалева из ЦЛС ФСБ на Рускрипто, то по его мнению передача защищаемой информации по открытым каналам связи не может быть отнесена к собственным нуждам предприятия и требует лицензирования в соответствии с ПП-313. Иными словами, каждый автобусный парк или владелец газели (включая и индивидуальных предпринимателей) должен получить лицензию ФСБ! Мы получили новых клиентов для учебных центров, готовящих по программам обучения, согласованным с ФСБ.

И это будет почище Фауста Гёте, как говорилось в известном фильме Гайдая ;-) Рынок получается немаленький. Я не нашел данных за 2012 год, но в 2008-м году в России пассажирискими перевозками занимались около 14 тысям предприятий всех отраслей экономики и около 62 тысяч индивидуальных предпринимателей. А так как каждое из них должно поставить на свой транспорт по тахометру с вытекающими отсюда требованиями по лицензированию и обучению, то можно себе представить рост рынка. Ни с каким рынком лицензиатов ФСТЭК/ФСБ не сравнить...

12.4.13

6 аксиом безопасника или опять о реалиях нашей жизни

Недавно прилетел с Урала, успел написать статью и сил писать что-то в блог нет ;-( Но коль скоро я взял за привычку публиковать какие-то заметки каждый рабочий день (за редким исключением), то сегодня опубликую что-нибудь ненапряжное ;-) Стащил у коллег заметку и перескажу ее своими словами с добавлением отсебятины ;-) Речь идет об аксиомах, о которых надо знать любому практикующему безопаснику и, особенно, выпускнику ИБ-специальности.

1. Инциденты будут происходит. План реагирования на инциденты должен начинаться не со слов "если произошел инцидент", а со слов "когда произошле инцидент". Свести к нулю число инцидентов на предприятии невозможно, да и не нужно никому. Безопасность нужна не ради безопасности и не ради достижения эфемерного показателя абсолютной защищенности. Это злоумышленнику достаточно найти всего один канал проникновения или обнаружить один вектор атаки на вас. Вам же нужно идентифицировать и защищать все каналы. Это задача неподъемная и очень дорогостоящая. Полностью исключить риск невозможно, но можно посчитать некоторые риски приемлемыми и принять их как данность, некоторые переложить на чужие плечи, а вот с оставшимися уже что-то делать.Хорошо спланированный процесс реагирования на инциденты поможет быстро идентифицировать скомпрометрированную систему и нивелировать последствия инцидента. Лучше это сделать заранее, а не пытаться что-то придумать во время происходящего инцидента - хаотические метания из стороны в сторону обойдутся гораздо дороже.

2. Системы будут взламываться. О проактивности в области ИБ говорят много и давно, но так сложилось, что ИБ, несмотря на все потуги, остается дисциплиной реактивной. Мы ставим патчи на уже обнаруженные уязвимости. Мы обновляем базы сигнатур как ответ на уже разработанные вредоносные программы и атаки. Мы разрабатываем правила на межсетевых экранах уже после внедрения новых приложений. Это надо учитывать, занимаясь не только отражением атак, но и расследованием их последствий.

3. Приложения должны быть работоспособными и защищенными одновременно. Если вы не работаете в компании, торгующей средствами защиты, то скорее всего ваша организация больше заинтересована в продвижении/достижении своих деловых интересов, а не в финансировании службы информационной безопасности. Нефтяная компания будет искать нефтянников, архитектурное бюро архитекторов, строительная компания строителей, банк финансистов. Тратить на это деньги гораздо проще и понятнее для бизнеса, чем финансирование такой туманной темы, как безопасность нематериальных активов. Информационная безопасность - это всегда компромиссы. Старые приложения лучше выбросить или переписать заново, чтобы прикрыть все те дыры, которые там есть. Но никто этого не будет делать, если старое (legacy) приложение выполняет поставленную перед ним задачу. Не пытайтесь достичь идеала там, где он недостижим или затраты на его достижение несоизмеримы с выгодами от этого достижения.

4. Люди будут стараться обойти все запреты. Если вы считаете, что что-то не произойдет никогда, это произойдет в самое ближайшее время. В области ИБ есть тоже свои законы Мерфи (я их написал еще в 2003-м году). Если что-то может пойти не так, оно пойдет не так. Никогда не надо недооценивать пользователей. Они люди творческие и пытливые. Вы не сможете (хотя попытаться стоит) спланировать и спрогнозировать все возможные ситуации и сценарии поведения пользователей в случаях, когда система защиты мешает им сделать что-то, что они хотят. Но и закрывать глаза на наличие пользователей нельзя - они часть защищаемой системы. Изучайте поведенческую психологию.

5. Вам нужно быть экспертом в том, чего вы раньше не видели. Вы не можете знать все! Вы не можете быть экспертом во всех технологиях, протоколах, приложениях и оборудовании, которые используются у вас на предприятии. Но этого и не требуется. Как ни парадоксально, но базовые идеи и подходы в области ИБ не меняются уже больше 40 лет. Аутентификация, сегментация, регистрация, разграничение доступа, ролевое управление... Все это было тогда, есть сейчас и будет завтра. Все это применяется почти в неизменном виде в IP, iSCSI, Fiber Channel. Все это применяется в обычных сетях, виртуализованных, в сетях хранения данных, в облаках. Вам, как правило, достаточно знать принципы, а дальше Google в помощь. Не пытайтесь познать все и не ждите, что наступит момент, когда вы скажете себе: "Теперь я знаю все в области ИБ!" Как только наступит такой момент, уходите на пенсию.

6. Законодательство меняется постоянно (это уже от меня лично). В программировании есть такая техника - аджайл (agile), которая исходить из того, что ТЗ меняется постоянно и зафиксировать его в неизменном виде с момента выставления требований и до момента сдачи работы невозможно. В области ИБ-законодательства ситуация аналогичная. Нормативные акты постоянно меняются, выходят новые, отменяют старые... Ждать, что вот-вот все устаканится и можно будет, наконец-то, следовать букве закона и сделать все правильно, не стоит. Этого можно ждать всю жизнь и не дождаться. Внедряйте agile-методологию в security compliance!

Ваша задача - свести риск к приемлемому для бизнеса значению. В этом состоит ключевая идея ИБ, а не в достижении/реализации мало кому понятной триады "конфиденциальность - целостность - доступность", которую сложно монетизировать и вообще представить в численных показателях.

ЗЫ. Ну и вот это тоже можно почитать в пятницу ;-)

11.4.13

Тройка новых поглощений на рынке информационной безопасности

Калифорнийская компания Proofpoint, Inc., известная на Западе своими облачными решениями по безопасности, 9 апреля объявила о приобретении европейского провайдера SaaS-услуг по защите электронной почты Mail Distiller Ltd. По заявлению руководства Proofpoint этот шаг позволит компании расширить ареал своего "обитания" и найти новых заказчиков и партнеров для продажи своих облачных услуг. Детали сделки, как всегда, не разглашаются.

Кстати, обратили ли вы внимание (если тема M&A вам интересна, конечно), что многие последния поглощения на ниве безопасности делаются в Европе? Американцы скупают европейские компании по причине их дешевизны на фоне кризиса.

Вы помните, как в мае 2011-го года VMware купила компанию Shavlik, известную на Западе своими облачными решениями по управлению ИТ и ИБ в компаниях малого и среднего бизнеса, а также решениями по управлению патчами, антивирусом, управлению конфигурациями и т.д.? Наверное не помните. Зато 9-го апреля VMware продала эти решения LANDesk'у. Детали сделки... как обычно не разглашаются.

Ну и наконец, 22 марта Fortinet анонсировала приобретение частной американской компании Coyote Point Systems, Inc., предлагающей на американском рынке балансировщики нагрузки. Детали сделки... ну вы сами догадались ;-)

Регулятор оффлайн

Многие, наверное, читали или слышали про нововведения в 99-ФЗ "О лицензировании отдельных видов деятельности", посвященные возможности подачи документом на получение лицензий в электронном виде. Не знаю, много ли лиц прошли эту процедуру, но я подумал, что эта здравая идея (коль скоро у нас власти заявляют о работающих СМЭВ, портале госуслуг и, вообще, информатизации всей страны) может быть развита и дальше, особенно в области действия "наших" традиционных регуляторов - ФСТЭК и ФСБ; причем последней в первую очередь.

О чем идет речь? Ну, во-первых, коль скоро у нас ФСБ (а именно 8-й центр) активно занимается темой защиты персональных данных, то неплохо было бы привести и свой сайт в полном соответствие с законом и своими же методическими документами. А то получается забавная ситуация, которая неплохо описана у Михаила Брауде-Золотарева. Ее можно описать перефразированными словами Оруэлла из "Скотного двора" "все операторы ПДн равны, но некоторые равнее других". И эти некоторые - это госорганы, которых фиг заставишь выполнять обязанности по защите прав граждан, как субъектов персональных данных. Я про это уже писал. Про реальные действия основного защитника прав субъектов ПДн также написано немало. Так что то самая простейшая тема по защите ПДн при обращении в госорган нашими регуляторами реализуется из рук вон плохо (чего уж ждать от тех, кто в этой теме только гость).

Вторая тема связана с сертификатами на средства защиты, выдаваемые ФСБ и ФСТЭК. Ну чего проще - выкладывать на сайт регулятора не только выписки из сертификатов (кому выдан и на что), но и сканы самих сертификатов соответствия, а также контрольные суммы сертифицированных продуктов, номера голограмм и серийные номера сертифицированных изделий. Ведь в чем одна из проблем, которая возникает у потребителя средств защиты - удостовериться, что ему продают сертифицированный экземпляр. А он сейчас проверить этого не может до момента покупки. А в процессе эксплуатации, когда обновления на средства защиты ставятся пачками, он тем более уже не в состоянии ответить на вопрос: "Установленное обновление сертифицировано или нет?" А ведь без этого потребитель рискует попасть на нарушение статьи 13.12 КоАП об использовании несертифицированных СЗИ (аккурат сегодня будет обсуждать законопроект об увеличении штрафов по этой статье).

Да и целостность самого реестра сертификатов, который то в формате Excel, то в формате PDF, неплохо бы удостоверять чем-то похожим на электронную подпись, хотя бы и простую. А можно и вовсе пофантазировать и представить, что и сами сертификаты у нас выдаются в электронном виде и потребителю не приходится ждать неделю, две, пять, пока "Почта России" не доставит сертификат и сопутствующие документы.

ФСТЭК сейчас планирует менять положение о сертификации средств защиты информации и вводить дифференцированный режим в зависимости от типа обновления (сигнатуры атак и вирусов, патчи для уязвимостей, обновление, не влияющее на функциональность защиты и т.д.). И вот тут в полный рост встанет задача оперативного доведения до потребителя информации о том, что средство защиты, обновленное после установки патча, по-прежнему обладает сертификатом ФСТЭК, который был перевыписан тогда-то и контрольные суммы в сопутствующих документах такие-то. Если ждать, когда традиционным путем сертификат из ФСТЭК попадет в испытательную лабораторию, потом производителю, потом поставщику, а потом и потребителю, то пройти может много времени. А если в этот момент придет проверка или начнется аттестация?..

Что у нас дальше можно автоматизировать? Ну в идеале было бы неплохо автоматизировать взаимодействие с гражданами. Но не просто путем выдачи сообщения после нажатия кнопки "Отправить" в незащищенной Web-форме, а путем присваивания уникального номера моему запросу и возможности отслеживания его состояния с возможностью эскалации начальству, если какое-либо звено тормозит и не выдерживает установленные сроки ответа. Это была бы вершина автоматизации наших регуляторов, которым по статусу положено быть впереди всех остальных по части информатизации (может быть, исключая Минкомсвязи и его подведомственные структуры).

Но увы... Регулятор у нас по-прежнему оффлайн и зеленый свет зажжется, видимо, не скоро.

ЗЫ. Можно рассматривать этот пост как пожелания регуляторам; и не только ФСБ и ФСТЭК ;-)

10.4.13

Новости законодательства по ИБ

За последние несколько дней прошло несколько различных совещаний и встреч в части нормативного регулирования вопросов обеспечения информационной безопасности. А так как информации достаточно много, то держа ее в себе, боюсь что-то забыть. Поэтому выплесну все на страницы блога в той или иной степени глубины и детальности.

Начну с традиционной темы - персональных данных. И хотя многие операторы ПДн уже забили болт на эту тему, работа по ней ведется активная. Например, приказ Роскомнадзора со списком адекватных стран ушел на регистрацию в Минюст. Правда, учитывая оперативность этого органа, ждать скоро принятия этого приказа не стоит ;-) Кстати о Минюсте - на днях он организует встречу экспертов по части мониторинга правоприменительной практики по ФЗ-152. Да и сам закон претерпевает некоторые изменения - при Совете Федерации функционирует рабочая группа, которая обсуждает поправки в действующие нормы. Не могу сказать, что поправок много - есть среди них как концептуальные (например, в части термина "персональные данные"), так и технические. По срокам доработки этих поправок и внесения законопроекта в Госдуму говорить еще рано.

Второе направление регулирование традиционно захватывает Банк России, который готовит целый набор новых документов по ИБ. Во-первых, это новая редакция 382-П и 2831-У. В первом из них изменений не так много и касаются они преимущественно требований по хранению информации о действиях клиентов в течении определенного периода времени и предоставления этой информации по запросу правоохранительных органов. Это "старая" тема, которая перекочевала из проекта поправок в 262-П в сторону 382-П. Пожалуй, ради нее эпопея с внесением изменений в 382-П и затевалась, т.к. других существенных норм в нем не появилось. Проект уже согласован внутри ЦБ, прошлел согласование с ФСТЭК и находится на согласовании с ФСБ. Так что предлагаемые в него сообществом правки так и остались на бумаге - их, надеюсь, учтут в следующей версии 382-П. А вот 2831-У по отчетности меняется достаточно сильно - информация, предоставляемая в ЦБ, лучше систематизирована (правда, ее станет и существенно больше).

Другая тема, озвученная ГУБЗИ в Магнитогорске, - разработка единого пространства доверия с операторами связи, чья инфраструктура используется при оказании услуг по переводу денежных средств (как минимум, ДБО). Тут Минкомсвязь совместно с Банком России  решило вернуться к теме "Базового уровня информационной безопасности операторов связи" (он же рекомендации ITU-T X.sbno) и сделать именно эти требования (с некоторыми доработками) условием подключения (выбора) банков к инфраструктуре оператора связи. При этом Банком России будут разработаны рекомендации по выбору именно тех операторов, которые прошли процедуру добровольной сертификации на соответствие "базовому уровню".В рамках такой сертификации проверяются следующие требования:
  • к снижению рисков;
  • к разработке приложений;
  • к методам защиты;
  • к системе обнаружения спама;
  • к техническим и организационным мерам;
  • к системам обнаружения и предупреждения атак;
  • к передаче и хранению информации;
  • к действиям при утрате баз данных;
  • к предупреждению пользователей об угрозах;
  • к политике безопасности оператора связи;
  • к разграничению ответственности;
  • к должностным инструкциям;
  • к лицензиям и сертификатам;
  • к доступу к коммуникационному оборудованию;
  • к правилам доступа;
  • к обновлению программного обеспечения;
  • к использованию антиспуффинговых \ антифишинговых фильтров;
  • к использованию антивирусного программного обеспечения;
  • к действиям над сообщениями, зараженными вредоносным кодом;
  • к серверу электронной почты;
  • к использованию средств защиты от атак типа "отказ в обслуживании";
  • к журналам регистрации событий информационной безопасности;
  • к журналам регистрации действий персонала;
  • к фильтрации трафика по запросу клиента;
  • к процессам взаимодействия с пользователями.
Но и это не все, чем нас порадует Банк России в скором времени. Им подготовлен проект Указания "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных", который на этой неделе будет обсуждаться экспертным сообществом. Пожалуй, это будет первая отраслевая модель угроз ПДн, разработанная во исполнение действующей редакции ФЗ-152.

Ну и совсем вдогонку ЦБшной тематике. В рамках ПК1 ТК 122 по стандартизации вопросов ИБ для финансовых организаций на прошлой неделе был намечен план на 2013-й год, в котором (он сейчас утверждается) зафиксирован ряд документов, которые будут разрабатываться и выпускаться под эгидой ДРР и ГУБЗИ. О большиснтве из них уже говорилось в Магнитогорске.

Ну и совсем последний документ, который сейчас зреет в недрах наших властных структур - "Основные направления государственной политики в области формирования у граждан культуры информационной безопасности". Сейчас он проходит экспертизу экспертным сообществом после чего будет доступен для широкой публики, которая сможет предложить свои мысли и предложения по его доработке. Это также должно произойти в обозримом будущем.

Вот такой небольшой перечень последних изменений в нормативной базе, которая готовится поразить отечественную отрасль ИБ в самое ближайшее время. Это помимо 17-го и 21-го приказов ФСТЭК, находящихся на регистрации в Минюсте и разрабатываемого проекта приказа ФСБ по защите персональных данных. Меньше месяца назад я делал обзор планируемых изменений в области регулирования ИБ и такой скачок вперед... Жизнь российского специалиста по ИБ становится все чудесатее и чудесатее ;-)

9.4.13

Стоит ли публиковать информацию о защищенности госорганов, КВО и военных объектов РФ?

Одной из идей, прозвучавших на заседании Совета Федерации при обсуждении Стратегии кибербезопасности Российской Федерации стало предложение государственным органам публично предоставлять ежегодную отчетность о киберпреступлениях против госорганов, о подготовленности госорганов к обеспечению кибербезопасности, о защите критически важных объектов. Я не помню, кто выступил инициатором этого предложения, но воспринято оно было многими в штыки. Противники высказывали идею, что такая публикация послужит снижению уровня защищенности российских госорганов и откроет ворота для иностранных хакеров.

Спор этот бесконечный и я не буду в него вступать. Но хотелось бы сослаться на последних два американских отчета, которые демонстрируют, как можно, не раскрывая государственных тайн, показать проблему и наметить шаги для ее устранения. Первый отчет "Resilient Military Systems and the Advanced Cyber Threat" посвящен не самой высокой защищенности американских военных информационных систем. Я про этот отчет уже писал недавно и не буду повторяться. Второй отчет также свежий (февраль 2013-го года) - "CYBERSECURITY. National Strategy, Roles, and Responsibilities Need to Be Better Defined and More Effectively Implemented". Выпущен он американской Счетной палатой (она у них там активно проводит также и аудит безопасности госорганов) и посвящен анализу уровня защищенности американских госорганов и критически важных объектов.

Без погружения в детали, этот отчет указывает на критические места в системе кибербезопасности госорганов и КВО США:
  • Число инцидентов ИБ в госорганах США растет (с 2006 года рост составил 782%).
  • Оставляет желать лучшего система оценки рисков и мониторинга ИБ. Только треть крупнейших госорганов США внедрили у себя практику управления рисками в соответствие с FISMA (в 2011-м году этот показатель был выше на 50%).
  • Острота проблемы обмена информацией об инцидентах с ИБ хоть и снизилась, но все равно остается.
  • Отсутствуют четкие и измеримые планы обучения и повышения осведомленности чиновников и работников КВО в части информационной безопасности.
  • Законодательная обязанность госорганов заниматься исследованиями в области ИБ (у нас о таком только мечтать) реализуется из рук вон плохо.
  • Плохо реализовано международное сотрудничество в области совместной борьбы с угрозами в информационном пространстве.
  • И т.д.
Ничего сверхсекретного в этой информации нет, но она показывает налогоплательщикам (а в США все-таки их мнение иногда учитывают), как государство защищает свой суверенитет от преступных посягательств и как защищаются данные американских граждан. Посмотрев данный отчет становится понятным, DDoS-атаки для американских госорганов и КВО неактуальны (0% в 2012-м году), в отличие от неавторизованного доступа (17%), вредоносного кода (18%) и неправильного использования информационных активов (20%).

Этот отчет показывает нам усилия американского правительства в области эволюции подходов по защите США от кибернападений.




Из этого отчета мы узнаем, насколько активно госорганы внедряют защитные меры, предусмотренные FISMA (аналог нашего 149-ФЗ применительно к госорганам), FIPS-200 и SP800-53 (аналог нашего 17-го приказа ФСТЭК или СТР-К). И картина меняется от госоргана к госоргану. Где-то уровень реализация приближается к 100%, а где-то и выше 0 не поднялся. Это, кстати, хороший пример того, что стоило бы реализовать ФСТЭК или ФСБ или Совету Безопасности по части мониторинга уровня ИБ в стране.


И дальше по тексту еще много чего написано, в деталях и с примерами. В этом госоргане так-то обстоит дело, а в этом - так-то. Если бы я был американским гражданином и налогоплательщиком, мне бы было понятно, с какими проблемами сталкиваются американские чиновники в области кибербезопасности. А им в свою очередь понятно, что есть такой независимый орган, как Счетная палата, которая выявит все плохое и расскажет об этом (не раскрывая госсекретов) гражданам. А это, в свою очередь, должно стимулировать американские госорганы делать что-то правильное для повышения своего уровня защищенности.

Правда, боюсь, что у нас эта идея все-таки не пройдет. А если и пройдет, то на такие отчеты сразу навесят какой-нибудь гриф, например, "не для прочтения вслух", и будем мы в неведении относительно реального уровня защищенности, а всю информацию будем получать из вот таких вот мастер-классов.

8.4.13

Почему ваша защита неэффективна, несмотря на миллионные инвестиции в ИБ?

Все достаточно просто (ну или почти просто). Если окинуть взглядом то, что реально защищает большинство и чем изобилует большинство конференций, то мы увидим, что приоритет №1 для всех - защита периметра. Межсетевые экраны, системы предотвращения вторжения, защищенные маршрутизаторы, anti-DDoS, VPN, внешние пентесты, сегментация сетей, контролируемая зона и т.п. Все это, безусловно, необходимо, но уже явно недостаточно. Прошло то время, когда атаки концентрировались на этом уровне - злоумышленники пошли дальше, а безопасники пока нет. Причина проста - их либо не пускают дальше, либо они сами боятся сделать шаг вперед, т.к. предпочитают защищать то, что умеют (а защитить периметр "просто"), а не то, что надо.

Следующий уровень - это защита инфраструктуры. Внутренней локальной сети. Именно из-за недостатков разграничения доступа внутри сети происходят утечки данных, попытки НСД, вирусные эпидемии и другие проблемы. Но мало кто из безопасников пытается изменить ход событий. Я знаю немало организаций, входящих в Топ1 ;-) в своих отраслях (а то и в Топ5 в России), в которых до сих пор внутреняя сеть плоская - никакой сегментации, никаких VLAN, ничего... Проблема в одной части сети не локализуется, а мгновенно распространяется по всему предприятию в рамках, как минимум, центрального региона России, а иногда и за его пределы уходит. И это проблема; очень серьезная проблема. Я уже не говорю про виртуализацию, которая требует похожих, но все же своих механизмов защиты. А еще есть сети хранения данных (SAN)... Да мало ли чего еще есть. Индустриальные системы, кстати, сюда же относятся. Очень уж много неизвестных протоколов и способов взаимодействия там ходит. Да и ответственность за работоспособность выше.
Что у нас идет после инфраструктуры и на что пока внимание безопасников не легло? Приложения. ERP, CRM, SCM, Unified Collaboration, Telepresence, HRM, АБС, ДБО... Да мало ли этих приложений в разных компаниях. И как они защищаются? Где проекты по защите унифицированных коммуникаций - IP-телефонии, видеоконференцсвязи и Telepresence? Максимум, навесят на операционную систему какую-нибудь СЗИ от НСД. А причина та же - мало кто понимает, как эти приложения работают с точки зрения ИБ. Это ж вам не межсетевой экран Cisco ASA поставить и не систему предотвращения вторжений Cisco IPS внедрить - тут совершенно иной уровень компетений нужен. Не то, чтобы его нельзя было получить (даже в России). Просто на это надо выделить время, деньги, иметь желание и доступ к приложениям. Если со вторым и третьим еще как-то можно справиться, то первого обычно катастрофически не хватает, а с четвертым вообще швах. Если к инфраструктуре безопасников еще могут пустить, то уж к приложениям... Редкость большая. Особенно в отсутствие стандартов и лучших практик по настройке приложений с точки зрения безопасности. Дыры в них искать умеют многие, а вот разработать что-то действительно полезное для реального безопасника, увы... Из российских компаний

Но и это еще не все. По сути, все что мы рассмотрели до этого, - это обеспечение доступности систем, обрабатывающих конфиденциальную информацию. Но защищать-то мы должны не только и не столько информационные системы, сколько именно информацию. Парадоксальная ситуация - все учебники, все регуляторы нам уши прожжужали про защиту конфиденциальной информации (и даже лицензию на нее выдают), но о реальной защите информации они не говорят вообще. Ведь если посмотреть на большинство рекомендуемых защитных мер, регуляторы твердят про защиту систем, а не обрабатываемой ими информации. Даже ФСБ, которая наиболее близка к теме защиты информации, все же говорит об обеспечении защиты каналов связи или файлов, без привязки к их содержимому. Есть у меня канал связи, объединяющий два офиса. Будь добр шифруй - ходят там обычные персданные или специальные категории персданных, ходит там конфиденциальная информация или гостайна, используется текстовый чат или видеоконференцсвязь.

Мы много говорим о конфиденциальности и целостности информации, но мало кто обеспечивает их на практике. Т.е. либо все, либо ничего. Либо шифруем все, либо ничего. Мы почти никак не учитываем содержимое и тип защищаемой информации. МСЭ, IPS, антивирусы, шифраторы... это все хорошо. Но где активное продвижение и внедрение DLP, DRM, NAC/ISE, IdM? Эпизодические проекты есть. Эпизодическое упоминание в нормативных актах (пожалуй, только в последних приказах ФСТЭК по ПДн и ГИС этии вопросам уделяется больше внимания, чем раньше) тоже. Но серьезного внимания пока, увы, не хватает.

Инвестируя только в одну часть, мы не получаем целого.Защищая периметр, мы сталкиваемся с проблемами на уровне приложений. Защищая приложения, мы попадаем на инциденты из-за недостатков в ИБ инфраструктуры. А защищая инфраструктуру, у нас утекают беззащитные данные. Нужно комплексное решение задачи. Только тогда вложенные миллионы рублей или долларов дадут свой эффект.

Пора уже переходить от защиты периметра вглубь - к инфраструктуре, и наверх - к приложениям. А там и до самих данных недалеко. Хотя их защищать сложнее всего. В итоге мы получим следующий картину движения и развития в области информационной безопасности.


ЗЫ. Я сознательно опустил самый первый вопрос, на который надо ответить, прежде чем мы начнем что-то защищать, - ЗАЧЕМ нам надо это что-то защищать. Во-первых, это аксиома. А во-вторых, я планирую посвятить этому отдельный пост.

5.4.13

Почему атакуют объекты ТЭК?

Сегодня очень часто говорят о потенциальных киберугрозах для объектов ТЭК, об их низкой защищенности к направленным атакам, к возможному проигрышу в будущей кибервойне. Правда, на практике ситуация обстоит немного иначе. Если выделить 3 основных группы киберугроз - военно-политические, криминальные и террористические, то как это ни странно, но атаки 1-го и 3-го типа сейчас практически не встречаются в реальной жизни. Если не рассматривать случай со Stuxnet, то примеров использования кибероружия против объектов ТЭК больше-то и нет. Применения виртуального оружия террористами (если не рассматривать гипотезу его применения в событиях 11 сентября) тоже пока не подтверждается. Но угрозы-то есть - о них часто говорят на различных мероприятиях и приводят в различных книжках и статьях.

Может быть речь идет о банальных компьютерных преступлениях с целью промышленного шпионажа? Или саботаж собственных сотрудников объектов ТЭК, чьи действия приводят к нанесению ущерба. Есть ли факты, подтверждающие данные факты? Да. Например, вот так выглядят хронология сделок, осуществленных Китаем на поприще приобретения различных объектов ТЭК по всему миру.


А вот так выглядит картинка, если на нее наложить хронологию киберкампаний Shady RAT и Night Dragon, направленные на объекты ТЭК в Казахстане, США, Греции и на Тайване (из опубликованных сведений). Источники этих атак находились в Китае, т.е. в стране - потенциальном покупателе атакованных активов. Эксперты имеют все основания считать, что Китай атаковал данные объекты с целью сбора интересующей их информациее экономического характера, способной помочь принять решение о покупке и определении правильной цены.


Аналогичные атаки осуществлялись в начале 2000-х годов на объекты атомной энергетики в Индии и Пакистане. Цель была простая - собрать сведения о состоянии атомной энергетики сопредельных государств.

Помимо промышленного шпионажа могут быть и другие причины криминального характера. Например, саботаж со стороны сотрудников. Примеры тоже есть - АЭС в Брэдвеле, Игналинская АЭС в Прибалтике и др.

Но это же неинтересно ;-) Тут нет никакой глобальности, нет военно-политической составляющей, нет кибероружия - обычные атаки, только направленные на специфические отрасли экономики. И методы противодействия таким угрозам известны - ничего нового в них нет.

Значит ли это, что кибервойны - это миф и к ним не надо готовиться. Нет, не значит. Просто прежде чем громко кричать о киберугрозе по другую сторону океана и начинающихся кибервойнах, стоит сесть и подумать. А может причина осуществляемой атаки носит сугубо приземленный характер и искать в ней "военно-политический" след не стоит? Может шумиха вокруг кибероружия кому-то выгодна? Как и якобы существующее ядерное или химическое оружие у террористов или исламских государств? Может быть разговоры о кибервойных имеют совершенно иную подоплеку? Может быть просто реализовать известные не одного десятилетие защитные меры технического и организационного плана и не выдумывать велосипед? Кто знает...

4.4.13

Профилактика или расследование преступлений в информационном пространстве?

Вспоминая иногда детство, обращает на себя внимание, что раньше милиция часто посещала школы с целью рассказа о том "что такое хорошо и что такое плохо", проводила различные разъяснительные беседы и вообще государство активно занималась профилактикой различных нехороших явлений. На уровне подсознания вбито в голову, что надо мыть руки перед едой, не ходить на красный свет, не выбрасывать хлеб и т.д. Такая профилактика облегчает решение многих вопросов и снижает нагрузку на соответствующие структуры, призванные бороться с негативными явлениями в нашей жизни.

Аналогичная ситуация должна быть и в области компьютерных преступлений и других нарушений в Интернет (реклама суицида, реклама наркотиков, детская порнография, кибербуллинг и т.д.). Все эти вопросы должны решаться по трем направлениям - профилактика, расследование и наказание. Причем одинаково важны все три задачи. Без профилактики число преступлений и нарушений будет слишком велико и правоохранительные органы не справятся с нагрузкой. Без расследования особо одиозные элементы будут оставаться необнаруженными. А без наказания нарушители будут и дальше совершать противоправные действия, не боясь преследования.

Но если с расследованием и наказанием у нас худо-будно дела обстоят хоть как-то, то на профилактику у нас все забивают. Забивают в ФСБ, забивают в МВД, забивают в Минобразовании, забивают в Минсвязи и Роскомнадзоре. Какие-то отдельные активности может быть и осуществляются, но носят они нецелостный и даже хаотичный характер. Если же брать тот же Роскомнадзор, который наделен полномочиями блокировать сайты с материалами, нарушающими права детей, то тут ситуация и вовсе патовая. Иногда складывается впечатление, что Роскомнадзор "банит" просто неугодные властям сайты, а не те, которые должен по закону.

Ведь достаточно воспользоваться "темным Интернетом" (Dark Web), чтобы понять, что все то, от чего якобы защищают наши правоохранители, лежит в свободном доступе и каждый желающий может получить все, что захочет. Заказать человека? Пожалуйста.


 Покупка оружия? Пожалуйста.



Наркотики? Пожалуйста. А у нас правоохранители и суды по-прежнему работают по принципу "дайте мне IP-адрес и мы его заблокируем". А то, что злоумышленник через час уже сидит на другом IP- или даже DNS-адресе никого не волнует (а в "темном Интернете" вообще иная адресация). А если и волнует, то начинается новая процедура блокирования, которая может затянуться на дни, а то и месяцы, в течение которых злоумышленники продолжают и дальше жить своей противоправной жизнью.


Что делать? Заниматься профилактикой. На разных уровнях. Не зря в США проходят регулярные месячники информационной безопасности среди широких слоев населения (а не только среди компаний, занимающихся ИБ, как в России в прошлом году). Активно задействуются СМИ и Интернет-ресурсы. Проводится обучение в ВУЗах и колледжах. Программы повышения осведомленности в вопросах ИБ активно поддерживаются государством. Вообще профилактика - это задача ГОСУДАРСТВА и никого иного. Именно оно должно вкладываться в это направление, если не хочет, чтобы его граждане, ведомства и бизнес попали в рабство компьютерных преступников.

Первый шаги в этом направлении сделаны. Начата работа над Стратегией кибербезопасности, в которой говорится и о повышении осведомленности, и о включении образования по ИБ в неспециализированные специальности и школы, и ряд других инициатив. Также по инициативе СовБеза готовятся "Основные направления государственной политики в области формирования у граждан культуры информационной безопасности". Главное, чтобы дело не только сдвинулось с мертвой точки, но и пошло дальше декларативных заявлений в упомянутых документах. Все-таки на практике реализовывать то, что там написано, непросто и требует ресурсов - финансовых, временных и людских.

3.4.13

О коллективной работе над нормативными документами по защите информации

Так сложилось, что мне в последнее время довелось и доводится участвовать в работе над проектами различных нормативных актов по информационной безопасности:
  • документы ФСТЭК по персональным данным, государственным информационным системам и т.д.
  • документы ПК1 ТК122 по стандартизации финансовой безопасности
  • Стратегия кибербезопасности Российской Федерации
  • проекты РАЭК
  • проекты Роскомнадзора
  • проекты НП НП
  • документы Банка России
  • и т.п.
Форма моего участия в таких работах различная - от разработки требований до экспертизы готовых документов. И вот какие впечатления от всех этих работы у меня сложились:
  1.  У проекта должен быть четкий владелец, который должен обладать всей полнотой власти и принятия решения о включении или невключении в нормативный акт предложений участников. Как не парадоксально, но у одного из описанных выше проектов это требование не выполняется - инициаторы заявили, что они только модерируют процесс и собирают разные мнения, вставляемые в разрабатываемый документ. В итоге сейчас получается винегрет, т.к. у участников процесса разное видение и самой темы, описываемый в проекте нормативного акта, и результата всей работы.
  2. У проекта должна быть заранее определенная цель, понятная всем участникам. Чтобы не было ситуации, когда цель меняется по ходу или ее вообще нет, а инициаторы проекта решили либо просто попиариться, либо не до конца сами понимают во что ввязываются.
  3. Все участники проекта должны использовать единую терминологию, чтобы не тратить время на обсуждение сути терминов "кибербезопасность", "информационная безопасность", "защита информации", "платежная система", "международная платежная система", "машинный носитель персональных данных" и т.п. Решить эту задачу можно либо использованием заранее созданного глоссария или предварительным созданием такого глоссария. Он полезег и работа по созданию глоссария точно впустую не пропадет.
  4. Определите Scope. Это классика управления проектами, но и про нее тоже часто забывают, затевая разработку документа с неочерченными границами. Например, стратегия кибербезопасности. Что входит в это понятие? Военно-политические угрозы? Террористические? Или только криминальные? Или планируемый в ПК1 ТК122 документ по лучшим практикам в области защиты информации при осуществлении денежных переводов. Очевидно, что форм безналичных расчетов в рамках НПС существует масса - платежные поручения, инкассо, чеки, электронные денежные переводы и т.п. И форм электронных средств платежа тоже немало. Я не говорю про то, что даже в самом Банке России (и его территориальных учреждениях) до конца не определились, что же такое электронное средство платежа. Кто-то к ним относит ДБО, кто-то нет. Кто-то относит к электронным переводам Western Union, а кто-то нет.
  5. Не пользуйтесь Почтой России для коммуникаций с участниками. Аккурат недавно со мной произошел такой случае. 6 февраля (!) Минюст выслал мне приглашение поучаствовать в мониторинге правоприменительной практики по ФЗ-152. Получил я это приглашение 1-го апреля - вот такая шутка от стратегического объекта для России под названием "Почта России".
  6. Всегда отвечайте! Отвечать "ваши предложения получены" - это правило хорошего тона при переписке. Все-таки e-mail, часто используемая для связи участников проекта, - это канал негарантированной доставки сообщений, а СЭД или онлайн-порталы совместной работы (например, Битрикс24 или Мегаплан из отечественных) мало где применяется. Еще лучше, когда на каждое присланное предложение поступает ответ - принято или нет. Если нет, то почему. Гдавное подойти к этому не формально. А то помню я, как ФСБ отвечало на многие предложения по внесению изменений в проект ПП-1119, - "считаем нецелесообразным".
  7. Не забывайте про регуляторов! Да, так тоже бывает. Далеко не все проекты нормативных актов или концепций/стратегий готовятся по инициативе ФСТЭК или ФСБ (как минимум). Но они тоже игроки на поле отечественной ИБ и если про них забыли (случайно или намеренно), то они могут и обидеться. А это значит, что документ не пустят дальше и зарубять его на корню (даже если идея документа здравая и могла бы быть поддержана регуляторами). Таких примеров тоже полно. Проект Постановления Правительства по надзору в сфере ПДн, методичка ДИСа по защите ДБО, стратегия кибербезопасности и т.п.
  8. Не раздувайте штат экспертов. В психологии есть правило "7 плюс-минус 2". Именно столько экспертов должно быть в группе по разработке или экспертизе документов. Принимать предложения можно от кого угодно (наверное) и для этого даже есть идеи в некоторых проектах запускать целые краудсорсинговые платформы. Но вот анализировать их и принимать или отсекать (с учетом пункта 6) должна небольшая группа, которая гораздо эффективнее решает многие вопросы, чем скопища на 15-20-40 человек. Это и быстрее и консенсус находится лучше. Если же выслушивать каждого из 30 человек, то на заседания и обсуждения уходят часы вместо минут.

Нельзя сказать, что я открыл Америку. Но т.к. на одни и те же грабли я (и коллеги) наступают уже не раз, то решил поделиться своим мнением. Вдруг организаторы услышат и воспользуются ;-) По проектам, в которых я участвую (участвовал) могу сказать, что не было ни одного, который учитывал бы сразу все рекомендации. И это несмотря на то, что всем этим организаторам честь и хвала за приглашение внешних экспертов к работе. Но учет описанных выше 8-ми пунктов сделал бы работу продуктивней и плодотворней.

ЗЫ. Кстати, опасаться, что при анонсировании проекта по разработке нормативного акта, набежит толпа экспертов, желающих поучаствовать в процессе, не стоит. Я не видел еще ни разу, чтобы такие толпы собирались (хотя регулярно эксперты ругают регуляторов за их закрытость и непривлечение экспертного сообщества). У кого-то времени нет. Кто-то смысла не видит. Кто-то не готов очно на совещаниях присутствовать (никто еще не освоил унифицированные коммуникации для обсуждения вопросов). Кто-то только для понту включается в рабочую группу, но ни фига не делает, а еще хуже когда просто критикует, не предлагая ничего взамен. Кто-то бесплатно не работает. Причин много, но результат один - экспертов, которые готовы реально заниматься такой работой на общественных началах (а почти всегда эти работы безвозмездные) очень и очень мало.

2.4.13

Систематизация методов аутентификации

Проглядывал материалы RSA и увидел у них неплохо систематизированную информацию по методам аутентификации - решил стащить и перевести на русский. Первая табличка просто сравнивает существующие методы аутентификации по различным параметрам. Какого-то лидера среди них - выбирается нужный в конкретной ситуации. По поводу предпоследнего метода - у RSA он называется "composite authentication" - это по сути набор факторов, по которым часто аутентифицируют Интернет-пользователей - совокупность IP-адреса, типа браузера, cookie и т.д. Кстати, именно этот метод будет прописан в новой редакции 382-П для проверки подлинности клиентов ДБО.


Вторая таблица систематизирует методы аутентификации по 4 признакам - субъект знает что-то, имеет что-то, обладает чем-то или делает что-то. И для каждого из признаков приведены свои примеры аутентификации.


Собственно ничего нового в этих таблицах нет, но систематизировано неплохо - этим и понравилось.

А еще польза от такой систематизации в том, что она позволяет выбрать метод для реализации 21-го или 17-го приказов ФСТЭК по защите ПДн или государственных информационных систем. Если вспомнить набор защитных мер, то они описаны достаточно высокоуровнево и не ограничивают вас в выборе конкретной реализации. Например, ИАФ.1 "Идентификация и аутентификация пользователей, являющихся работниками оператора" или ИАФ.6 "Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)". А какой метод аутентификации выбрать? Как раз две вышеупомянутые таблички и помогают сделать такой выбор.

О востребованности молодых ИБ-специалистов

Что-то вдруг вспомнилось на тему невостребованности молодых ИТ/ИБ-специалистов, о которой говорят эти самые молодые специалисты, обосновывая свой переход по ту сторону баррикад или просто несогласие с текущим положением дел. Когда я учился в институте (что характерно по теме защиты информации), я тоже хотел много денюжков (дело-то молодое) и тоже не мог найти для себя работу по специальности. К слову сказать, в начале 90-х специалисты по защите информации были востребованы гораздо меньше, чем сейчас, и основной акцент при защите информации делался на поисках жучков и т.п. аспектах защиты коммерческой тайны. Но жить-то хотелось - и шмотье себе покупать, и ездить куда-нибудь, и в кафешку завалиться, ну и вообще... Вполне себе понятные желания молодежи. И это при том, что стипендия у меня была одна из самых больших в России (специальность "Прикладная математика" получала стипендию в 75 рублей; у остальных АСУшных специальностей она была 55 рублей в месяц). Но не хватало ;-)

И тогда пошел я зарабатывать туда, где платили деньги. Не забывая про учебу и самообразование по теме ИБ, которые и позволили мне потом устроиться сначала в крупный ритейл, потом в банк, а затем уже и в "Информзащиту". И подрабатывал я вечерами и ночами (днем-то учеба) в совершенно неИБшных местах - уборщиком в метро, грузчиком в магазине, грузчиком на сортировочной станции, перемотчиком моторов...

Собственно к чему этот философский ночной пост?.. К тому, что времена не меняются. Никто интересную высокооплачиваемую работу по специальности на блюдечке не принесет (если не по блату). Ее надо заслужить. Заслужить, впахивая, сначала админом где-нибудь на подхвате. А потом уже, если стремишься к чему-то другому, получить и что-то другое. И никак иначе. Ждать, что после института, не имея никакого практического опыта, ты будешь сразу получать 70-90 тысяч рублей (а такие запросы в Москве я вижу постоянно от вчерашних студентов), не приходится. Нужно заслужить и доказывать, что ты заслуживаешь. Постоянно доказывать. На месте останавливаться нельзя. Когда-то, лет 12-13 назад я спорил со своим руководителем о том, что начальство должно само видеть перспективных работников и оценивать их по заслугам. Ни фига, не должно. В идеале оно может и так, но на практике никто никому ничего не должен. Заслужи сам, требуй или шантажируй (тут уж каждый сам выбирает путь).

Но... Главное. Надо обладать знаниями. Это первое. Надо уметь эти знания применять на практике. Это второе. Надо уметь работать в коллективе. Это третье. Не надо считать себя умнее других. Это четвертое. Провалив один и пунктов - успеха не будет. И молодой (а может уже и немолодой) специалист обречен на прозябание, на недооцененность (или переоцененность) со всеми вытекающими последствиями...

ЗЫ. Вообще пост бессмысленный ;-) На чужих ошибках мало кто учится. Так что ситуацию он не изменит, но если кто-то один и задумается, то уже не зря писал.

1.4.13

Международный опыт создания глобальных систем обнаружения и предотвращения вторжений (презентация РусКрипто)

В четверг на РусКрипто делал также доклад на тему "Международный опыт создания глобальных систем обнаружения и предотвращения вторжений". Выкладываю презентацию.



Также выкладываю презентацию Олега Демидова (ПИР-Центр), который рассказывал о том, как строится система информационного противоборства в Минобороны США.