28.10.13

Google Glass: новая угроза безопасности?!

Проходил я тут давеча тренинг по безопасности Интернета вещей и, хотя у нас это устройство не рассматривалось, задумался о том, как изменится картина безопасности после активного распространения в мире очков Google Glass или аналогичных. Да, данное устройство полезно для путешественников или для фиксации тренингов и публичных выступлений. "Акынам" Интернета тоже будет прикольно. Но вот с точки зрения безопасности устройство задает много вопросов, на которые пока нет ответов; ну или мало кто серьезно об этом задумывался.

Фиксация огромных объемов конфиденциальной информации, включая и различные переговоры и телеконференции, изучение расположения защищаемого объекта, подсматривание набираемого PIN-кода или передаваемой кассиру платежной карты... Google Glass в этом смысле гораздо более опасная штука, чем даже смартфон или флешка, которые на некоторых предприятиях могут изымать. Очки не особенно и изымешь - тут может такой вой подняться, что организация против людей с плохим зрением. А если туда добавить еще и толику ЛГБТ составляющей.... :-)

Кстати, с безопасностью и самих очков тоже не все так радужно, а они имеют доступ ко многим ресурсам под учетной записью своего владельца. Кража очков может дорого обойтись любителю инноваций. Да даже если до кражи и не дойдет, то низкий уровень защищенности и подключение к публичному хотспоту может превратить очкарика-интеллигента в секретное оружие хакеров. Шутки шутками, но готовиться к данной проблеме (или, если хотите, угрозе) стоит уже сейчас. Как минимум, надо быть готовым и оценивать риск от этих новых устройств.  Как и от любых других высокотехнологичных устройств, находящихся в корпоративной или ведомственной сети. Игровые приставки, принтеры, видеокамеры, кофеварки, электрочайники, утюги... Да-да, утюги и электрочайники. На днях пробежала новость о том, что в партии китайских утюгов находится модуль, который через незащищенный Wi-Fi может распространять вирусы и спам. Факт пока неподтвержденный, но и ничего сверхъестественного  я в нем не вижу.

Что делать? Что делать, что делать... Все тоже самое. Модель угроз, политики, повышение осведомленности, контроль доступа... Ничего нового не придумано. Главное, что надо сделать, так это четко прописать в политиках и довести до сотрудников и посетителей, можно ли пользоваться такого рода устройствами на территории организации. Если да, то на всей территории или только в зонах гостевого доступа (да и то с оговорками)? Остальные рекомендации идентичны стратегии BYOD (Bring Your Own Device). Стоит подумать и такой проблеме, как, что отвечать, если вас обвинят в противодействии незрячим людям? Непростой вопрос и однозначного ответа не имеющий, как и вообще стык ИБ и поведения людей.

22.10.13

Всевидящее око ОРД или почему Сноуден приехал в Россию

Последние три дня ознаменовались небывалым всплеском темы оперативно-разыскных мероприятий и появления проектов новых нормативных документов по этой тематике. Не могу сказать, что эта тема впрямую касается вопросов информационной безопасности (если не рассматривать ее с государственной точки зрения и в контексте определения из Доктрины ИБ), но поскольку ее последние часы активно муссируют, помуссирую и я. Начну с ретроспективы.

Давным-давно, в 96-м году в России была введена система прослушивания телефонных переговоров (СОРМ-1). Цель как всегда была благая - борьба с терроризмом и экстремизмом, а также обеспечение национальной безопасности. Задачу свою система худо-бедно, но как-то решала и операторы связи, которые были обязаны у себя за свой счет внедрять соответствующее оборудование и предоставлять к нему доступ сотрудникам правоохранительных органов. Время шло, стал активно развиваться Интернет и спецслужбам понадобился доступ к информации о сетевых соединениях, а не только о телефонных. Ну почему АНБ и ЦРУ можно (а после разоблачений Сноудена мы все знаем, что можно), а ФСБ нельзя? Непорядок. Мы же тоже великая держава и тоже в целях борьбы с противоправными элементами должны иметь право немножко нарушить Конституцию с ее правом на тайну переписку, тайну личной жизни и т.п. Но интересы гражданина у нас в данном случае нервно курят в сторонке, так как интересы государства гораздо важнее. Но ни закон об ОРД не позволяет просто и безболезненно получать доступ к информации, циркулирующей в Интернет, ни СОРМ-1 эту задачу не решает. Что надо сделать? Правильно, внести поправки в закон об ОРД и разработать требования СОРМ-2.

Эта работа началась в конце 90-х и в 98- году появился проект приказа "Технические требования к СОРМ (средствам оперативно-розыскных мероприятий) на сетях документальной электросвязи", разработанного специалистами Госкомсвязи, ФСБ, ЦНИИС и Главсвязьнадзора. В 2000-м году на базе этого проекта родился приказ Минсвязи России от 25.07.2000 № 130 "О порядке внедрения технических средств по обеспечению оперативно-розыскных мероприятий на сетях телефонной, подвижной и беспроводной связи и персонального радиовызова общего пользования", один из пунктов которого, прямо нарушающий Конституцию, был отменен Верховным судом РФ.

Позже, в 2005-м году появилось пресловутое 538-е Постановление Правительства "Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность", которое вновь вернулось к варианту 2000-го года и также не требовало санкции суда на нарушение тайны переписки. И хотя некоторые эксперты говорят, что этого и не надо, т.к. данное Постановление разработано во исполнение ФЗ об ОРД, отсутствие ссылки "по решению суда" позволило (и до сих пор позволяет) достаточно вольно трактовать полномочия спецслужб в регионах России. Именно во исполнение этого 538-го Постановления и разработаны были все последующие приказы Минкомсвязи. И хотя шумиха поднялась только сегодня, многие эксперты правы - по сути новый проект приказа Минкомсвязи всего лишь утверждает де-юрэ практику, сложившуюся де-факто за последние 8 лет.

В 2008-м году был издан очередной приказ Минкомсвязи "Об утверждении требований к сетям электросвязи при проведении оперативно-разыскных мероприятий". И если раньше основной задачей СОРМ было передавать информацию о соединениях, а не об их содержании, то со временем ситуация стала меняться. Спустя еще 3 года Минкомсвязь уточнил требования 538-го Постановления в виде своих новых приказов:

  • 174-й приказ от 11.07.2011 "Об утверждении Правил применения оборудования систем коммутации, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий. Часть I. Правила применения оборудования оконечно-транзитных узлов связи сетей подвижной радиотелефонной связи, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий"
  • 268-й приказ от 19.11.2012 "Об утверждении Правил применения оборудования систем коммутации, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий. Часть II. Правила применения оборудования транзитных, оконечно-транзитных и оконечных узлов связи сети фиксированной телефонной связи, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий".
Но это так сказать предыстория. В марте 2013-го года на сайте Минкомсвязи появился проект нового приказа - "Об утверждении Правил применения оборудования систем коммутации, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий. Часть III. Правила применения оборудования коммутации и маршрутизации пакетов информации сетей передачи данных, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий". Именно об этом проекте и говорят сегодня СМИ, напуская тумана и величественно заявляя "приказ секретный, но у нас в редакции он есть". Ничего секретного в нем нет, как и концептуальных новаций. ФСБ через Минкомсвязь планомерно закрывает все возможные способы сетевого взаимодействия, разрабатывая для них свою часть СОРМ-2. Единственное, что ФСБ Минкомсвязь начинает требовать хранить данные в течение некоторого интервала времени. Пока он небольшой (всего 12 часов), но лиха беда начало.

Но и это еще не все. 17-го октября Правительство России направило в Госдуму законопроект "О внесении изменений в Федеральный закон "Об оперативно-розыскной деятельности" и статью 13 Федерального закона "О федеральной службе безопасности" (в части совершенствования законодательства в сфере обеспечения информационной безопасности)". Законопроект, получивший номер №361795-6, гениален в своей простоте. В нем всего 2 статьи, которые в закон об ОРД добавляют в качестве оснований для проведения оперативно-разыскных мероприятий вопросы связанные с информационной безопасностью и наделяют соответствующими полномочиями ФСБ России.

В качестве заключения еще пару новостей. Первая касается желания Банка России, а точнее его его службы по финансовым рынкам, получить доступ к материалам ОРД. Законопроекта пока в публичном доступе я не нашел, но о нем официально (если верить "Коммерсантъ") заявляет сам Банк России. Так что число спецслужб у нас возрастет, а число тайн станет еще меньше. И последняя новость касается слухов о наличии проекта требований, устанавливающих обязанность хостинговых компаний предоставлять доступ спецслужб в рамках ОРД к информации, хранимой и обрабатываемой на хостинговых площадках. Еще я слышал вариант, что речь может идти не просто о хостерах, но и о владельцах сайтов, но это, как мне кажется, малореально. Последнюю новость не могу не опровергнуть, не подтвердить. Просто слух...

Если посмотреть на эту картину целиком, то окажется, что инициативы АНБ в части PRISM, XKeyScore и других секретных программ, не кажутся уже чем-то сверхествественным. Это нормальное желание спецслужбы (именно для спецслужбы оно нормальное) контролировать все и вся в государственных интересах, которые "немного" не стыкуются с интересами гражданина и его правом на тайну переписки и тайну личной жизни. Возможно Сноуден осел в России неслучайно и тут он тоже хочет стать разоблачителем; уже отечественных спецслужб?.. Кто знает :-)

18.10.13

Как автоматизировать измерение ИБ в масштабах предприятия

В апреле на РусКрипто я делал доклад о глобальных системах обнаружения и предотвращения вторжения. Тогда, в контексте появления 31-го Указа Президента о национальной системе обнаружение, предотвращения и реагирования на атаки, эта тема была актуальна. Сейчас эта тема становится очень модной и в области корпоративной ИБ. Как собирать информацию с разрозненных источников информации, анализировать ее, коррелировать и представлять в виде, понятном бизнесу.

Для этой задачи можно использовать системы мониторинга различных событий:

Консоль управления Cisco Cyber Threat Defense
Консоль управления Cisco ISE
Но такие системы дают хоть и важную, но все-таки низкоуровневую информацию об эффективности каких-то технологических процессов (контроль доступа, неуспешные попытки аутентификации, инвентаризация подключаемых к сети узлов, число атак или утечек информации и т.п.). Это важно, но ничего не говорит о том, насколько это связано с задачами предприятия в целом и службы ИБ в частности. Тут нужна система немного иного масштаба, которая бы могла показывать информацию не только технологическую, но и о состоянии процессов ИБ, оргмерах, уровне зрелости и т.д. Как например, делается на некоторых критически важных объектах в отношении инцидентов с физической/контртеррористической защищенностью.

Система AlertEnterprise
Можно ли для этой задачи настроить  SIEM? Теоретически, при наличии мощного API для написания коннекторов... Можно. Но все-таки задача SIEM - немного иная. Она собирает и анализирует технологическую информацию. Нужны решения по бизнес-аналитике, заточенные под ИБ. Есть ли такие системы? Да, есть. Причем как отечественной разработки, так и зарубежной. Я не буду подробно рассматривать каждую из них (все-таки это сугубо индивидуальная тема и каждый вкладывает в такую систему свой взгляд, свой опыт и свое понимание эффективности ИБ). Я просто приведу список, который вы сможете проанализировать уже сами:

  • SecurityVision от компании АйТи
  • Jet InView от Инфосистемы Джет  
  • BitSight Platform от BitSightTechnologies
  • Tripwire Data Mart от Tripwire
  • Tripwire Benchmarking от Tripwire. Вот с этой системой я работал еще когда она принадлежала ClearPoint Metrics. Потом ее купила nCircle, а затем уже и Tripwire.


Правильное использование таких Security BI систем позволит собрать все данные от разнородных систем и процессов на единой платформе и работать с ними уже по своему усмотрению. После внедрения в такие решения можно даже загнать то, что сложно автоматизировать - оценку процессов повышения осведомленности, проведение регулярных встреч с руководством, сравнение разных отделов с точки зрения ИБ и т.п.

Правда, надо заметить, что внедрение таких систем - это уже из разряда высшего пилотажа. Ведь это даже не SIEM, которая требует наличие установленных везде источников данных в виде МСЭ, IPS, антивирусов, сканеров безопасности. Это система будет покруче, т.к. помимо данных от SIEM (или напрямую от сенсоров средств защиты) она получает и другие, "процессные" и "организационные" данные. А значит, что процессы должны быть выстроены или, как минимум, начато их построение.

ЗЫ. Кстати, у BitSight есть интересная услуга/продукт - BitSight SecurityRating, которая позволяет сравнивать схожие компании по уровню ИБ. В свое время такая услуга (Security Benchmarking) была у KPMG и если не вдаваться в суть идеи (она на самом деле не так уж и реализуема), то многие руководители хотят знать, как они соотносятся с другими аналогичными компаниями и конкурентами. По сути, это самая высшая метрика, когда компании сравниваются друг с другом (выше может быть только сравнение государств, но до этого пока никто не додумался).

Портал BitSight SecurityRating

16.10.13

Сколько людей надо для собственного SOC и CSIRT?

Тема реагирования на инциденты сегодня является не просто модной, и не только описанной в нормативных актах, но и важной с практической точки зрения. Несмотря на внедряемые меры защиты и непрекращающуюся гонку вооружений, число инцидентов не снижается, а растет. Вдаваться в причины этого явления я не буду, я думаю стоит поговорить о другом - что делать, если инцидент произошел? Реагировать! Именно этому посвящен мой курс и выложенная презентация. В них приводится немало полезной и практической информации о том, как выстраивать процесс управления инцидентами. И одним из безусловно важных вопросов этого процесса является: "Сколько человек необходимо иметь в корпоративном SOC/CSIRT?"

Если посмотреть на презентацию курса, то в ней есть следующие цифры:
  • 1 полностью загруженный «технический» сотрудник CSIRT может отработать 1 новый «усредненный» инцидент в день и 20 открытых и уже расследуемых инцидентов. Учитывайте, что это именно аналитик, который занимается обработкой инцидентов в течение 8-мичасового рабочего дня. Если аналитики должны работать в режиме 24х7, то вам понадобится не менее 3-х человек (без резерва на время болезни).
  • При реализации всего двух сервисов CSIRT (уведомления об инцидентах и обработка инцидентов) требуется задействовать 4-х человек.
  • При реализации полного спектра активностей только в рабочее время понадобится уже 6-8 человек, а в режиме 24х7 - уже 12 полностью загруженных сотрудников.
Не стоит думать, что CSIRT завалена огромным количеством инцидентов. Я не буду вдаваться в терминологические споры о том, что такое "инцидент", но по статистике CERT/CC 38% существующих CSIRT обрабатывают 1-3 новых инцидента ИБ в день. Еще 18% управляют 4-8-мью инцидентами в день. 18% готовы отработать более 15 инцидентов в день, а оставшиеся 10% - не более одного инцидента в неделю.

Немало людей. Вряд ли кто-то способен содержать такие службы у себя в штате. Но... есть и положительный момент. SOC и CSIRT - это не одно и тоже. SOC - это по сути витрина CSIRT, которая позволяет собирать и визуализировать данные от разнородных средств защиты и сетевого оборудования. От эффективности работы SOC зависит, сколько инцидентов будет спущено на CSIRT и насколько загружены будут аналитики группы реагирования на инциденты.

В более менее крупной организации с разветвленной ИТ-инфраструктурой в день от различных источников может поступать миллионы и даже миллиарды событий. Представьте, что у вас всего 100 ПК (я даже не говорю о сетевом оборудовании). Каждый ПК генерит одно событие в секунду (не важно какое). В день набегает 8 640 000 событий. А если приплюсовать маршрутизаторы, коммутаторы и точки доступа? "Сырых данных" действительно будет очень много. Отсечь просто события от событий ИБ должны помочь технологии SIEM или Threat Defense. Они же могут помочь скоррелировать события из разных источников и показать нарушения политики ИБ, разведку перед атакой, уязвимости и т.п. Таких событий должно быть уже несколько сотен тысяч в месяц. Добавляя контекстную информацию и собственноручно написанные правила можно сократить число нарушений до нескольких тысяч в месяц. И наконец оператор SOC должен иметь дело с десятком-других событий в месяц, которые являются подтвержденными инцидентами, требующими дальнейшего расследования и передачи в CSIRT. При хорошо настроенной системе сбора, анализа, корреляции и отсеивания информации для эффективного управления SOC достаточно одного квалифицированного человека. Не забыв про 8-мичасовую рабочую смену окажется, что SOC, контролирующий из центра всю корпоративную инфраструктуру, может быть обслужен от 1-го до 3-х человек.

Поэтому SOC - это вполне подъемная задача для многих компаний. Но если вы не готовы строить такую систему, то что делать? События ИБ надо же как-то собирать, анализировать и принимать решения. Можно поручить эту работу "SOC'у на доверии", т.е. отдать эту функцию на аутсорсинг. Не могу сказать, что в России эта услуга популярна, но и предложения не единичны. В частности я знаю о двух таких услугах от Инфосистемы Джет и Step Logic. C реагированием ситуация похуже. Остается либо выстраивать процесс самостоятельно, либо привлекать внешние силы. Из небольшого множества CERTов в России, коммерческие услуги предлагает, пожалуй, что только CERT-GIB от Group-IB. Возможно в России в ближайшее время появится еще парочку CERTов. А пока решать вопрос реагирования на инциденты приходится самостоятельно...

ЗЫ. Кстати, посмотрите на результаты опроса на тему "Что бывает после инцидента ИБ?"

15.10.13

Капитан Очевидность сообщает

Постулирую очевидную вещь - на каждую тему существует несколько точек зрения и каждая из них будет правильной! Информационная безопасность и ее подмножества не исключение. Можно сколь угодно долго говорить, что запрет на использование несертифицированной криптографии - это плохо, но это точно зрения потребителя (и то не каждого) и вендора (преимущественно зарубежного). Для регулятора в лице ФСБ криптография может быть только сертифицированной и даже если они сами на своем GOV-CERT применяют PGP, то это еще ничего не значит. Для российского производителя криптография может быть тоже только сертифицированной. Иную он не может делать (лицензия не разрешает); да и без бумажки он никому не нужен, т.к. конкурировать с бесплатными VPN в сетевом оборудовании или МСЭ он не в состоянии. Интегратору тоже сертифицированная выгоднее - она тупо дороже бесплатной.

И так по каждому направлению, особенно в части трактовок требований нормативных актов регуляторов или законодателей. Достаточно вспомнить тему "оценки соответствия", "биометрических ПДн", "лицензирование деятельности по ТЗКИ", "собственные нужды" и т.п. Даже при однозначной на первой взгляд трактовке всегда найдется кто-то, кто предложит свой вариант толкования того или иного требования. Не то, чтобы это новость, но про это часто забывают, рассуждая о чем-либо.


ЗЫ. Ну и если забраться совсем высоко, то хочу лишний раз напомнить, что понятия "интересы государства", "интересы общества", "интересы бизнеса" и "интересы гражданина" не равнозначны и даже малость противоположны друг другу. Не стоит думать, что государство (даже если убрать личную заинтересованность отдельных его радетелей) заботится о гражданах так, как того хотели бы граждане. И бизнес глядит на помощь государства совсем не так, как эту помощь видит государство. Нет единых для всех интересов, нет и единой точки зрения. Истины и правды, кстати, тоже нет :-)

14.10.13

Хакеры голубые, хакеры розовые, хакеры зеленые...

Вы думали, что тему хакеров-геев забыта? Ан нет. Никто не забыт и ничто не забыто. Но к хакерам-голубым (и розовым из Фемен) добавились хакеры-зеленые, которые после инцидентам с судном Гринписа "Арктик Санрайз" начнут донимать Россию всеми правдами и неправдами. Вот об этом среди прочего другого мы и говорили на круглом столе по информационной безопасности крупных спортивных мероприятий, который я модерировал на Инфобез-Экспо.

Сначала я описал объект защиты, т.е. современный спортивный объект с точки зрения применяемых на нем информационных технологий.


ИТ на современных спортивных объектах from Cisco Russia&CIS

Затем Олег Кузьмин (АйТеко) рассказал об основных угрозах ИБ в ходе проведения массовых спортивных мероприятий и их последствиях. Презентация изобиловала большим количеством примеров из практики, в т.ч. и с последнего Чемпионата мира по легкой атлетики, проходившего в Москве.



презентация спорт инфобез2013 from Oleg Kuzmim

Третий рассказ был посвящен репутационным рискам ИБ применительно к сочинской зимней Олимпиаде. Доклад был подготовлен Игорем Елисеевым (АИС), для которого это стало одновременно и дебютом за последние годы отсутствия презентационной практики. Игорь справился на 5, а мы узнали о высокоуровневой модели угроз, разработанной по просьбе Совета Федерации.


Infobez olimp2014 from Игорь Елисеев

Ну и, наконец, завершал спортивную секция снова я с рассказом о том, как строилась защита Олимпиады и какие уроки были из нее извлечены в контексте ИБ. Я не стал приумывать что-то новое, а рассказал презентацию, уже прочитанную в Сочи на ИнфоБЕРЕГе. Я подумал, что это тот случай, когда стоит повторить уже прочитанный материал и я не ошибся. По окончании мероприятия я пообщался с некоторыми специалистами, имеющими прямое отношение как к самой Олимпиаде, так и к ИТ/ИБ будущих спортивных мероприятий, которые планируется проводить в России.

И хотя этот круглый стол собрал в 3-4 раза меньше людей, чем секция по безопасности Интернета вещей, практического выхлопа от нее будет больше. Я надеюсь, что удастся повлиять на то, как реально будет защищаться ИТ-инфраструктура Сочи 2014.

11.10.13

Интернет вещей как новый объект защиты

Классика ИБ - "знай себя", т.е. изучи объект защиты, а потом уже строй систему обеспечения ИБ вокруг него. И если традиционные корпоративные сети изучены неплохо, то стали появляться объекты, которые мы не знаем как защищать или какие требования к их защите предъявить. А все потому что мы не потратили некоторое время, чтобы понять, что это за новый объект и с чем его едят.

Одним из таких "объектов" является Интернет вещей, о котором я рассказывал на прошедшем Инфобез-Экспо. Несмотря на некоторый юмор, который сопровождал круглый стол (на тему взлома вибраторов и унитазов народ шел более охотно чем на взлом системы управления парковкой на "Connected Boulevard" в Ницце), посвященный Всеобъемлющему Интернету, это очень серьезная тема, которая в самое ближайшее время встанет на повестке дня не только рядовых граждан, но и общества, бизнеса и государства. И готовиться к этому нужно уже сейчас; особенно в части выработки требований к такого рода объектам, к которым нельзя применить текущие подходы и концепции, заложенные в нормативной базе наших регуляторов.


Кстати, аналогичный вопрос касается и защиты, например, мобильных технологий на критически важных объектах. Сейчас тема КВО будет активно подниматься на флаг и прежде чем идти с ним вперед, стоит оглянуться назад и посмотреть, как и для чего применяется мобильность на КВО. Это позволит не только понять, но и предложить адекватные защитные меры.

10.10.13

По итогам Инфобеза или куда дели девушку с пронзительными голубыми глазами

Инфобез-Экспо закончился; по крайней мере для меня. Сейчас я нахожусь в Казани на конференции "Код информационной безопасности" и поэтому могу уже сделать некоторые выводы по итогам Инфобеза. Скажу сразу, что как я и предполагал выставочная часть этого мероприятия не выдерживает никакой критики. Мало стендов, оформление ужасное, отсутствие раздевалок, питания нет... Продолжать этот список можно долго и смысла, наверное, нет. Каждый, кто был на Инфобезе, пришел должен был прийти к аналогичным выводам.

А вот про конференционную составляющую пару слов скажу - претензий к ней у меня почти и нет. 25-го сентября, по итогам посещения InfoSecurity Russia, я написал небольшую заметку с рекомендациями организаторам событий по ИБ. Ну что сказать - все, что там было написано, на Инфобезе было реализовано (!). Все! Wi-Fi был (я, правда, не успел воспользоваться - сидел на хорошем 3G). Презентер (вибрирующий) был. Девочки, следящие за таймингом были - они даже подходили и спрашивали, за сколько время до конца секции вам показать табличку? Микрофоны  для слушателей были (при небольших залах одного было достаточно); для спикеров - тоже были. На столах в каждом зале лежала программа и спикерская (где можно было посидеть и выпить кофе с бутербродами) тоже была.

Что было не сделано? Еда для участников. Это прокол, но скорее не к организаторам конференции, а вообще к месту проведения и организаторам всего мероприятия в целом. В Экспо-Центре с этим всегда было сложно. В остальном нареканий по организационной части не было.

С контентом все было... офигенно :-) Ничего не могу сказать за первый и последний дни, но во второй день я получил истинное удовольствие. И дело даже не в том, что у меня было два круглых стола (на InfoSecurity Russia их тоже было два). Этот Инфобез был, пожалуй, первым мероприятием, на котором была реальная конкуренция между ведущими. Я, Волков, Медведовский вели круглые параллельно в одно и тоже время... Я, Хайретдинов и Емельянников двумя часами ранее также параллельно вели свои мероприятия... Жуткая конкуренция. Я не представляю себя на месте посетителей :-) А уж какая реклама была за день до этого в социальных сетях... Любо-дорого было смотреть :-)

Могу сказать "спасибо" Наталье Селиной, которая смогла в непростой ситуации вытянуть конференцию. Вот она, героиня Инфобеза :-)

Наталья Селина

С InfoSecurity Russia, к сожалению, у меня связаны не самые лучшие воспоминания - я их уже описывал неоднократно. И ведь свои замечания я озвучивал неоднократно - неужели было так трудно учесть их в работе? Возможно это связано было с тем, что организатор конференционной части  InfoSecurity, Анастасия Мухина, летом покинула Гротек, перейдя в "РБК Деньги".

Анастасия Мухина - девушка с пронзительными голубыми глазами
Все может быть - не берусь предсказывать. По окончании прошлогодней выставки я Анастасии описывал идеи по развитию конференции. Потом ранней весной повторил это (правда, уже не Насте). И летом на сборище экспертов эта тема проскальзывала - безрезультатно :-(

Ну что ж, каждый для себя сделает выводы сам. Я бы на месте организаторов давно бы забил на выставку и ушел в конференционный бизнес. И мороки меньше и маржа может быть выше (если правильно все делать). Уж сейчас Инфобез врядли дает большие доходы с выставки - пара десятков стендов, из которых половина информационных спонсоров, т.е. бесплатных... В чем смысл? Кто-то сказал, что какая отрасль, такая и выставка. Не могу согласиться - конференционная часть показала, что можно делать очень хорошо. Главное не упустить этот шанс и, пользуясь накопленным опытом, в следующем году "взорвать" Россию супер-пупер-мега Инфобезом... но без выставки :-) 

9.10.13

Козьма Прутков об информационной безопасности

Раз пошла такая пьянка, продолжу тему мероприятий по ИБ. Казалось бы очевидная вещь - про нее еще Козьма Прутков писал. Нельзя объять необъятное. Но организаторы упорно пытаются это сделать, впихивая невпихуемое в невпихуемый формат. Спрашивается, на что рассчитывают организаторы московских или питерских или иных мероприятий (исключая, пожалуй, выездные)  включая в одну программу тему электронной подписи, кибервойны, международной ИБ, безопасности банков, безопасности АСУ ТП, электронного документооборота и т.д. и т.п.? Каждая из этих тем стоит того, чтобы ей посвятить целую конференцию, но вмещать все в одну программу (а то и в один день), выделяя на каждую тему по 1-2 часа? За это время даже разогреться не успеешь... Это в начале 2000-х годов, когда деревья были большими, трава зеленой, небо голубым, а вода мокрой, аудитория была не избалована конференциями и "ела" все, что ей давали. Сейчас пришло насыщение и пора дифференцироваться, выбирая одну, максимум две (но смежных) темы и посвятить им все мероприятия.

И будет эффект. И аудитория будет профильная, и дискуссии интересные, и отзывы положительные. Вот только несколько примеров таких профильных и фокусных мероприятий:
  • Магнитогорская банковская конференция по ИБ
  • ИБ КВО ТЭК
  • PKI Forum
  • PHDays
  • ZeroNights
  • Безопасность в Национальной платежной системе
  • AntiFraud
  • DLP Russia
  • Enterprise Mobile Security Forum.
Каждое из них посвящено какой-то одной теме и этим и интересно. Там почти не бывает тем, выпадающих за рамки названия. Это приводит нужную аудиторию и их ожидания оказываются удовлетворенными полностью. С мероприятиями "все обо всем" такого не бывает. Поэтому и Инфобез и InfoSecurity обречены в нынешнем формате. В дни InfoSecurity не раз видел в Twitter вопросы: "Стоит ехать или нет?" и ответы: "Ради одного-двух докладов не стоит". И это действительно так. Докладов море, а что-то реально выбрать не удается - слишком расфокусированная программа и тратить весь день (а добраться по Москве до места проведения не так уж и просто) ради парочки 20-тиминутных докладов никто не хочет (особенно на фоне все остального что и как там творится).

Но как же РусКрипто или ИнфоБЕРЕГ? Это тоже мероприятия, не посвященные какой-то одной теме. А я специально выделил выше, что выездные мероприятия обычно выпадают из общей картины. На выездное мероприятие часто едут не за контентом - а за общением. За пределами города, когда вы не поедете вечером через пробки домой, совершенно иная атмосфера. Там есть "кулуары" и "тусовка" - то, чего так не хватает столичным, массовым и проходным событиям в мире ИБ. И в этом и есть ценность выездных мероприятий.

Но неужели конференции "все обо всем" не могут существовать? Могут. Если не брать в расчет вопросы организации (еда, Wi-Fi и т.п.), а обратиться только к контенту, то существование такого формата возможно в одном случае - конференция должна быть заточена под конкретную целевую аудиторию. Не для всех скопом, а конкретно под кого-то. Под студентов, под руководителей служб ИБ, под админов межсетевых экранов, под сотрудников конкретного ведомства, под защитников коммерческой тайны... То есть фокусировка важна и тут, но уже по аудитории, а не тематике.

Резюмируя: организаторы - фокусируйтесь и не пытайтесь объять необъятное!


8.10.13

2 модерируемых мной круглых стола на Инфобезе

Завтра я буду вести два круглых столах в рамках Инфобез-Экспо. Первый посвящен безопасности Интернета вещей (Всеобъемлющего Интернета) - понятию очень интересному. Как в смысле академического интереса к этому вопросу, так и в смысле практического - Интернет вещей - это то, что либо уже сейчас, либо в ближайшем будущем будет пронизывать все - телевизоры, холодильники, часы, унитазы, климатические датчики, "умные" автомобили, браслеты осужденных, RFID-метки на кроссовках спортсменов, тахографы на инкассатроских броневиках, кардиостимуляторы... Действительно все! Поэтому вопросы безопасности Интернета вещей - это не персональные данные, почти никому не наносящие ущерба, и не законодательство об электронной подписи, которое все никак не гармонизируют не только с Европой, но и между регуляторами внутри России. Это то, что может коснуться каждого в самом ближайшем будущем.

Вторая тема врядли коснется многих - речь на круглом столе пойдет об информационной безопасности Олимпиады, а точнее крупных спортивных мероприятий. Врядли многие россияне посетят сие мероприятие. А те, кто посетят, надеюсь, не столкнутся с проявлениями киберугроз в той или иной степени (там и без этого угроз немало - постоянное отключение электричества, наводнения, ветер, тушащий факелы, близость Северного Кавказа, геи, террористы...). Но сама тема более чем интересна. В первую очередь тем, что она ни разу еще не освещалась в России (первой попыткой стала моя презентация в Сочи на ИнфоБЕРЕГ). А во вторую - она показывает совершенно иную ИБ, непривычную. Критически важный объект, который посещает огромное количеств людей в сжатые сроки; плюс серьезнейшие репутационные риски. Никакие персданные, электронная подпись, госуслуги, МИБ не сравнятся с этой темой, если она "стрельнет", чего не хотелось бы (радует, что у нас такие мероприятия проводятся нечасто).

Если на InfoSecurity темы модерируемых мной столов были мне предложены, то тут я выбирал сам. Докладчиков приглашал тоже сам. И вот тут возникла интересная коллизия. Объявив в Твиттер и блоге (а это около 5 с половиной тысяч читателей) о приглашении выступить, на данные круглые столы отозвалось всего два человека - Илья Медведовский (Digital Security) и Дима Евтеев (независимый эксперт). Причем оба заинтересовались только темой Интернета вещей. Поэтому программа круглого стола по безопасности Всеобъемлющего Интернета сформиролась практически сразу же и выглядит следующим образом (9-е октября, конференц-зал №2, 12.30-14.00):
  1. Я делаю вводное вступление с кратким обзором понятия "Интернет вещей" и тенденций в этой области, включая и российские проекты.
  2. Затем  будет доклад Digital Security про атаки на трекинговые системы.
  3. Потом будет доклад Дмитрия Евтеева про взлом бытовых приборов, которые есть у каждого из нас дома.
  4. Завершу круглый стол я небольшим рассказом о состоянии дел в области безопасности Интернета вещей и вопросов ее стандартизации.
Со вторым круглым столом ситуация оказалась сложнее. Почему-то в России никто не хочет говорить о том, как будет/может/должна строиться система информационной безопасности такого мероприятия как Олимпиада в Сочи или чемпионат мира по футболу в 2018-м году или прошедшая Универсиада в Казани. Про защиту атомных электростанций известно больше, чем про ИБ крупных спортивных событий. И ведь ладно бы, если бы про эту тему не было кому рассказывать. Так ведь есть. Но никто не хочет. То ли стесняются, то ли опасаются, то ли стыдно рассказывать о том, как все это сделано (если сделано). Поэтому желающих выступить на круглом столе не было до последнего и он оказался под угрозой срыва. Но невероятными усилиями нам удалось собрать кворум и в настоящий момент программа круглого стола по ИБ крупных спортивных мероприятий выглядит следующим образом (9-е октября, конференц-зал №3, 14.30 - 16.00):
  1. Я делаю вводное вступление с кратким рассказом об ИТ-инфраструктуре современного спортивного объекта.
  2. Затем доклад об основных угрозах крупным спортивным мероприятиям и их последствиях сделает Олег Кузьмин (АйТеко).
  3. О важности репутационных рисков ИБ для Олимпиады расскажет Игорь Елисеев (АИС).
  4. Завершу снова я с рассказом о том, как строились системы защиты последних Олимпиад (Ванкувер, Пекин, Лондон).
Если вам интересны любая из этих тем, то приходите 9-го октября в 12.30 на безопасность Интернета вещей (конференц-зал №2) и в 14.30 на безопасность Олимпиады (конференц-зал №3). Кстати, если вам интересно посмотреть, кто все-таки стал победителем нашумевшей награды Security Awards, то вы можете переждать время до церемонии награждения акурат на моем круглом столе по Олимпиаде. Вручение наград начнется через 20 минут после его окончания :-)

ЗЫ. Место проведения выставки-конференции - ЦВК "Экспо-Центр". Проезд до м.Выставочная. Оттуда пару минут до входа в 7-й павильон (учтите, что вам может потребоваться время на прохождение регистрации). С парковкой дела обстоят средне - в окрестностях всегда можно найти где припарковаться; а за деньги тем более. Но на метро, как мне кажется, будет проще.


7.10.13

Что объединяет семинары по ИБ и проституцию?

Ехал я вчера с CIO Congress'а "Болдинская осень" и зашел в машине разговор о современных ИТ и ИБ мероприятиях. А неделей ранее, после InfoSecurity Russia, эта тема всплыла в Facebook. Все сходятся во мнении, что российские мероприятия по информационной безопасности (ИТ оставим в стороне) не просто стагнируют, а катятся в тартарары. Почему так? Неужели никто не хочет присутствовать на качественных мероприятиях? Неужели организаторы не хотят из года в год получать отличных спонсоров, приходящих за правильной аудиторией? Неужели спикеры не хотят срывать овации и говорить перед полными залами? Все хотят, но почему-то не получается... Почему?

Про организаторов я уже писал неоднократно - повторяться не буду. Для них большинство мероприятий проходные и спикеры проходные - как женщины легкого поведения, которых используют один раз и переходят к другой. Есть звезды, которые привлекают внимание, и зачастую на них и приходит аудитория. Иногда их используют втемную, как свадебных генералов. Иногда они сами потакают этому. И вот тут кроется вторая проблема российских мероприятий - спикеры. Да-да, это именно спикеры, которые читают одни и те же свои доклады по несколько раз в год, не меняя даже шапки слайдов. Именно спикеры соглашаются, чтобы их имя вписали в программу, а потом не приходят на мероприятие (хотя и заранее знают, что не придут). Это спикеры приезжают за 5-10 минут до доклада и уезжают сразу после него, лишая возможности посетителей поговорить. А зачастую именно ради этого "поговорить" и приходят на конференцию. Десятый раз слушать рекламу об очередной революционной и инновационной системе отражения и нейтрализации целенаправленных атак, работающей на всех уровнях эталонной модели, включая нулевой, уже никто не хочет, воспринимая это как данность или выходя в зал, чтобы там встретить собеседника, с которым можно обсудить наболевшее. И этот собеседник, выбегает из зала и набегу отвечает: "Давайте потом, я спешу" :-( Это именно спикеры выдают аудитории очевидные и прописные истины, считая, что кроме них до азбуки никто не додумался. Это спикеры соглашаются выступать у проштрафившихся организаторов и второй раз и третий, продолжая эту бесконечную историю. Но вина есть не только у спикеров...

Пожалуй, самый главный виновник - это аудитория большинства мероприятий! Да, как это ни странно. Кто продолжает ходить на говеные мероприятия, тем самым давая понять организаторам, что можно и дальше продолжать в том же духе? Кто стесняется высказать правду о мероприятии в анкете или в Интернете? Кто выбивает командировки на столичные "раскрученные" конференции?

Но ведь другого у нас нет? У нас нет RSA Conference. У нас нет Forrester Security Summit. У нас нет Gartner Security Symposium. У нас даже лондонской InfoSecurity нет (если вы там не были, то поверьте, что лондонская и московская InfoSecurity - это небо и земля). Да нет. А почему? А потому что в описанных условиях такие конференции не появятся. Ведь все всех устраивает.

Что можно сделать? В первую очередь сделать мероприятия платными. Именно так. Почему-то бытует мнение, что на платные конференции народ в России не ходит. А почему он не ходит? А потому он не готов платить свои или даже корпоративные деньги за всякую фигню? Нет, не готов. Но только поэтому, а не потому что платить не привыкли. Когда несколько лет назад мы из бесплатной CiscoExpo делали платную, мы тоже думали, что посетители не пойдут и их число снизится. Ан нет, не снизилось. Людей стало даже больше и большинство платило деньги за участие. Деньги небольшие, но и это уже большой шаг. А за участие в мероприятиях Gartner, Forrester, Burton (до ее покупки) посетители платили по 1-2 тысячи долларов, евро или фунтов. И даже если принять в расчет разницу в зарплатах (а с Москвой она и не такая значительная), то все равно получается колоссальная разница с Россией. Люди платят! За хороший контент! Не прописные истины (хотя и они встречаются) и не рекламу (хотя нередко выступают представители спонсоров). Плата дисциплинирует посетителей - они приходят с конкретной целью и готовы за свои деньги требовать лучшего. Сейчас многие считают: "А что я хочу, если я не плачу ни за что?" Но это же не повод слушать всякую чушь!

Плата должна быть и для спикеров. Но плата им, а не с них. Кто-то читает хорошо всегда, кто-то на проходных мероприятиях расслабляется. Плата же дисциплинирует и мотивирует. Получив оплату за свой труд, человек скорее всего не будет читать прописные истины (если он хороший спикер). Плата поможет и организаторам делать более качественные мероприятия. Иными словами плата нужна всем, чтобы мероприятие стало лучше и кто-то должен сделать первый шаг в этом направлении.

Есть ли у платы минусы? Да, конечно. Отсеется немалое количество слушателей, которые не готовы или не могут платить. Но при этом какие-то бесплатные мероприятия все равно останутся, в т.ч. и онлайн. Сужение же аудитории позволит сделать мероприятия более сфокусированными и конкретными - без попыток рассказать всем обо всем, без учета целевой аудитории. Лучше конференция на 50 человек, которым действительно интересно, чем на 500, которые приезжают пожрать на халяву и набрать эротических календариков на стендах спонсоров.

Не знаю, повлияет ли очередной выплеск откровений на ситуацию на рынке мероприятий по ИБ? Еще пару лет назад я бы сказал, что нет. Сегодня я постоянно слышу негативные отзывы о многих мероприятиях, проводимых в России. В какой-то момент чаша терпения должна переполниться и либо аудитория начнет голосовать ногами, либо нормальные спикеры перестанут ходить на провальные мероприятия. Я, например, зарекся посещать мероприятия компании "Форт-Росс". Это абсолютно непрофессиональная компания, нарушающая все мыслимые этические и законодательные нормы (ну как можно продавать за деньги базу контактов участников?) и не держащие своего слова. Я удивляюсь, как они еще собирают мероприятия (правда, судя по последним их конференциям на них покупаются только регионалы, не знающие об их репутации). Я скорее всего больше не буду участвовать в InfoSecurity Russia. Я такое решение принял еще в прошлом году, но в этом меня убедили, что ситуация будет совершенно иной. Не получилось - лучше мероприятие не стало :-( Второй раз я врядли куплюсь на эту удочку. Инфобез... посмотрим на неделе, когда она будет проходить. И хотя я там веду два круглых стола (по безопасности Интернета вещей и крупных спортивных мероприятий), я пока настроен достаточно пессимистично.

4.10.13

Опубликован проект приказа ФСБ по защите персональных данных

Вчера появился проект приказа ФСБ "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

Что интересного в этом документе? Я бы выделил несколько моментов:

  1. Даны разъяснения (имеющие характер обязательных) положений ПП-1119. Например, что такое "организация режима обеспечения безопасности помещений", "сохранность персональных данных", "электронный журнал сообщений" и т.п.
  2. Средства криптографической защиты персональных данных могут быть ТОЛЬКО сертифицированными. И это, пожалуй, самая большая засада, которая только возможна. При условии, что для огромного числа сценариев обработки ПДн сертифицированных СКЗИ попросту нет. Я еще три с лишним года назад об этом писал. Как эта коллизия будет разрешаться я даже и не знаю. Точнее знаю - стандартным методом 8-го Центра - "в частном порядке" :-(
  3. По моему скромному мнению 8-й Центр сознательно или несознательно, но ограничил применение для защиты ПДн СКЗИ классом КС3 (!) и выше. Почему я так считаю? Все просто. Если вы считаете, что потенциальный нарушитель может получить доступ к средствам вычислительной техники, на которых установлены СКЗИ, то будьте добры применять СКЗИ не ниже КС3.
  4. Хотя если вдуматься чуть глубже, то вы обязаны будете применять СКЗИ класса КВ1, если вы опасаетесь, что нарушитель может привлечь специалистов, имеющих опыт разработки и анализа СКЗИ. А сейчас нет ограничений на таких специалистов - вот у меня такой опыт есть - я с 92-го по 95-й годы разрабатывал СКЗИ в одном из московских "ящиков". А сейчас с этим ситуация и подавно стала легче - криптографию преподают в 100 с лишним ВУЗах России.
  5. СКЗИ КВ2 применяются, когда могут быть использованы недекларированные возможности в прикладном ПО или у нарушителя есть исходные коды прикладного ПО. Прощай open source ибо наличие исходников сразу повышает класс сертификации до почти недосягаемых высот (в России СКЗИ, сертифицированных по КВ2, раз-два и обчелся). 
  6. Вы уже догадались, что СКЗИ КА1 применяются, когда могут быть использованы недекларированные возможности в системном ПО. И вновь забор для open source операционных систем, распространенных в России. Недокументированных возможностей там может быть выше крыши.
  7. Все помещения, в которых ведется обработка ПДн, должны по окончании рабочего дня не просто закрываться, а опечатываться (!). Это минимум требований для 4-го уровня защищенности. На 1-м уровне от вас потребуют на первых и последних этажах зданий установки решеток или ставень (!). Я могу понять, как такое требование выполнить к зданию ФСБ на Лубянке, но к той же "Стекляшке" на Ярцевской это требование уже неприменимо. А ведь современные бизнес-центры вообще не используют конструкций, к которым можно было бы прикрутить решетки или ставни (достаточно посмотреть на Москва-Сити).
  8. Все носители персональных данных должна учитываться поэкземплярно (!). Все без исключения. Если у ФСТЭК в 21-м приказе речь шла только о машинных носителях, то в 8-м Центре решили под одну гребенку еще и бумажные носители отнести и все остальные.
Здание ФСБ на Ярцевской
Революции не произошло. Год назад я уже примерно говорил о том, к чему стоит готовиться с точки зрения применения сертифицированных СКЗИ, и вот мои слова подтвердились.

Документ достаточно сложен в изучении - очень много не относящейся к делу информации. Например, подробное описание на 4 страницах случаев, когда нужно применять СКЗИ, сертифицированные по классу КС1. Чуть меньше текста для КС2 и т.д. Я бы все это сократил и поставил бы четко - для этого уровня защищенности и типа ИСПДн КС1, для этого - КС2, для этого - КВ и т.д. Хотя вынужден повториться - случаев, когда сертифицированной криптографии нет, вагон и маленькая тележка. И даже ФСБ сама не соблюдает свои же требования. Про другие госорганы я и не говорю даже.

Ну ладно о грустном. Что можно и нужно сделать? Во-первых, самостоятельно проанализировать текст проекта приказа и направить в ФСБ свои мысли и КОНКРЕТНЫЕ предложения по изменению нормативно-правового акта. Подчеркиваю - конкретные! Слова "все плохо" рассматриваться не будут. До 18-го октября можно свои мотивированные отзывы направлять по адресу: pdn@fsb.ru.

Во-вторых, в соответствие с ПП-1119 именно оператор ПДн определяет актуальность типов угроз. Я повторю то, что писал год назад - я считаю угрозы НДВ неактуальными в области ПДн. Не невозможными в теории, а неактуальными на практике. Хотите считать по другому? Ваше право. Не хотите заставлять интеграторов и консультантов переделывать сданные вам проекты с актуальными 1-м и 2-м типами угроз? Ваше право. Тогда вперед - за покупкой СКЗИ классов КВ и КА. На сайте ЦЛСиЗГТ ФСБ вы найдете список сертифицированных СКЗИ. Основная масса продуктов имеет сертификаты на классы не выше КС1-КС2. Кому-то повезло с КС3. КВ и тем более КА - единицы. А вот цена обратно пропорциональна числу сертифицированных изделий и пусть вас не смущает, если вам предложат средство шифрования за 10 и более тысяч долларов (за один экземпляр СКЗИ) :-(

В-третьих... А больше и не надо ничего. Если все мы не сможем убедить 8-й Центр изменить приказ (а надежды, если честно, маловато), то даже с актуальными угрозами 3-го типа, уйти от сертифицированных СКЗИ нам не удастся, а если учесть п.3 этой заметки, то должны они быть не ниже КС3.

ЗЫ. Лишний раз убеждаюсь, что между интересами государства, общества/бизнеса и гражданина лежит огромная пропасть. ФСБ работает во имя интересов государства и об остальном они просто не думают. А жаль :-(

3.10.13

Установлены правила информирования об атаках на объекты ТЭК

2 октября премьер-министр Медведев после случая с "пиратским нападением" судна GreenPeace "Арктик Санрайз" на платформу "Приразломная" в Печорском море. Спецсназ ФСБ доблестно захватил активистов-экологов, а суд выдал санкцию на их арест. Но интересно не это, а то, что после этого Правительство выпустило Постановление от 2 октября 2013 года №861 "Об утверждении Правил информирования субъектами топливно-энергетического комплекса об угрозах совершения или совершении актов незаконного вмешательства на объектах топливно-энергетического комплекса". В нем приведен перечень угроз, относящихся к сфере действия ПП-861. На последнем, седьмом месте находится "угроза технического воздействия - несанкционированные действия техническими способами в отношении систем электропитания, управления или защиты технологических процессов (включая дистанционное) объекта в целях вывода их из строя, а также хищение секретной или конфиденциальной информации, использование которой может облегчить организацию несанкционированных действий в отношении объекта".

И дело не в том, что Правительству лучше было бы заняться защитой пенсионных накоплений граждан. И не в том, что термин "конфиденциальная информация" давно не существует и вместо него в законодательстве используется термин "информация ограниченного доступа" или "информация, в отношении которой установлено требование конфиденциальности". Дело совсем в другом.

Постановление устанавливает процедуру информирования об угрозах, включая и угрозы ИБ, не одного, не двух и даже не трех регуляторов; а целых четырех! Это МВД, ФСБ, МЧС и МинЭнерго! Забыли упомянуть ФСТЭК, т.к. по законопроекту ФСБ по безопасности критических информационных инфраструктур за безопасность критически важных объектов низкой и средней опасности (а так и незапущенная платформа "Приразломная" врядли относится к высокой степени опасности) отвечает именно ФСТЭК. Или Правительство не знало о законопроекте ФСБ (допускаю), или подразумевается, что за управление инцидентами ИБ на КВО и объектах ТЭК ФСТЭК не будет отвечать ни при каких условиях.

Информирование осуществляется незамедлительно (не позднее суток) с момента обнаружения угрозы или акта вмешательства или с момента получения субъектом ТЭК информации (в т.ч. и анонимной) об угрозе. Кто-нибудь думал как это требование применить в отношении угроз ИБ? Сообщать в МВД, МЧС, ФСБ и МинЭнерго о каждом вирусе, попавшем в поле зрения объекта ТЭК? Или о каждом сообщении Anonymous о планируемой атаке? Замечательный DDoS на 4-х регуляторов может получиться. Но пойдем дальше.

Указанные уведомления регуляторов осуществляются с помощью телефонной или радиосвязи, электронным способом или на бумажном носителе. В последнем случае писать можно только синей или черной ручкой, печатными буквами, на русском языке и не допускать помарок!

Радует форма уведомления - 17 пунктов при наличии угрозы и 10 - при наличии анонимного сообщения о ней. Без автоматизации подготовки данной формы заполнять ее при каждой вирусной атаке или сканировании сети замучаешься. Отдельного внимания стоят сами пункты, ответы на которые надо давать - о численности, о тактике действия нападающих :-)

Мы семимильными шагами идем в сторону ОБЯЗАТЕЛЬНОГО информирования об инцидентах информационной безопасности отечественных регуляторов. Сначала это было Указание Банка России 2831-У с его 203-й формой отчетности. Теперь вот ПП-861. Планируются аналогичные нормы и в части обязательного уведомления регулятора о фактах утечки персональных данных субъектов ПДн.

Готовимся! Внедряем процедуры управления инцидентами! Автоматизируем процесс заполнения форм! Жизнь становится все чудесатее и чудесатее :-) 

2.10.13

Как Вы яхту назовете... или о нейминге в области ИБ

Отниму немного хлеба у Алексея Комарова, но поговорю о маркетинге информационной безопасности, а точнее об одной его составляющей - нейминге или выборе названий для своего продукта. В области информационной безопасности существует три больших направления, отражающих подходы к маркетингу ИБ. Первый я бы назвал "военным". Он присущ производителям, ориентированным на продажу своих решений военным, которые достаточно строги к названиям продуктов и (или) стараются скрывать все и вся и от всех. Вот вы можете сказать, что скрывается за названием М506, АПМДЗ или ФПСУ? С ходу и не определишь.

Второй подход более традиционный для маркетинга и заключается в выборе "говорящих" имен для средств защиты; зачастую имен собственных. В этом сценарии названия обычно делятся на подвиды - из которых однозначно вытекает предназначение продукта (например, Traffic Monitor или ERPScan) и которые просто красиво звучат (например, MaxPatrol или Континент). Но чаще всего выбирается третий вариант наименования продукта - самый банальный и местами скучный. К типу продукта (например, Firewall, IPS или Antivirus) добавляется имя производителя (например, Cisco или Kaspersky), а иногда и номер версии или модели (например, 2013 или 4500). В итоге получается скромно и практично (Kaspersky Antivirus 2013, Cisco IPS 4300, S-Terra CSP VPN Gate и т.п.). Часто в названии продукта скрывается аббревиатура - ASA (adaptive security appliance), IPS (intrusion prevention system), NGFW (next generation firewall), ISE (identity service engine), AVP (antivirus pro).

Очень редко, когда название продукта настолько удачное, что запоминается сразу. У каждого такие примеры, наверное, свои. У меня в памяти сразу всплывает ЗАСТАВА. Очень удачно выбранное на мой взгляд название для системы периметровой защиты. Других примеров с ходу наверное и не припомню, если не брать различные "Щиты", "Брони", "Панцири"...

Почему в массе своей продукты имеют скучные и даже обезличенные имена? Все просто. Чем проще имя, тем меньше шансов, что название продукты будет плохо читаться на разных языках мира. Разумеется, это имеет смысл только для компаний либо международных, либо планирующих выход на международный рынок. В этом случае очень важно оценить звучание имени в стране предполагаемых продаж. И не просто звучание (по этой причине на Западе продаются не труднопроизносимые и трудонаписуемые "Жигули", которые еще и ассоциируются с "жиголо", а Lada), а перевод имени на локальный язык. Наверное поэтому в России никогда не будет пользоваться популярностью моющее средство Antikal (в отличие от слабительного Dristal или туалетной бумаги Serla), пиво Gavno, минеральная вода Debil, детское питание Bledina, холодильники Ebano, яйца Super Huevo, шоколадки Huesitos, спреи Pedik... И вы врядли когда-нибудь посетите (если только не разок, чтобы сфоткаться на фоне вывески) ресторан Pedrini или Fuk Mi. Маркетологи могут приводить сотни примеров из сегмента B2C, где такие ляпы наиболее чреваты.

Именно поэтому в крупных международных компаниях работают целые отделы или выделенные сотрудники, занимающиеся "звучанием" продуктов. И в ряде случаев широко известные в мире имена приходится менять в той или иной стране. Так, например, известный случай, когда Mitsubishi Pajero поменяли на Montero т.к. в Испании pajero означает оскорбительное прозвище геев. В Испании и Chevrolet Nova не имело успеха, потому что No Va по-испански означает "не движется". Последний пример из автомаркетинга - только в России известен Chevrolet Aveo - в других странах это Daewoo Kalos.

Но все это примеры для ритейла. На рынке корпоративных продаж (B2B) это не столь большая проблема, но тоже может повлиять на уровень заработков производителя. Почти в любом классическом учебнике маркетинга говорится о важности правильного выбора названия продукта или компании. Неудачное имя может если не совсем поставить крест на продвижении продукта, то существенно снизить объемы его продаж, напрочь закрепив в голове потребителя неблагозвучное или смешное имя. В области безопасности таких примеров не так уж и много, но и они есть. Например, врядли производителю системы защиты "Щит" стоит выходить с этим именем на рынок англоязычных стран, т.к. это имя на английском будет созвучно с "Shit", т.е. дерьмо. С отходами жизнедеятельности человека связан и обратный пример. У компании Palo Alto операционная система называется PanOS, что на русском языке звучит схоже с "Щитом" на английском, т.е. "понос". Не самое удачное название для продукта в любой категории, не только в отрасли ИБ.

Есть ли примеры, изменения названий своих продуктов в области ИБ из-за возможных сложностей с переводом и восприятием? Я знаю о двух из них (может быть есть и еще). Первый связан с продукцией Cisco, а точнее с модулем шифрования NME-RVPN, который разрабатывался специально для России (это был первый случай в истории Cisco, когда специально для локального рынка создавался отдельный продукт). Рабочее название этого модуля было Stoli. Как вы думаете почему? Все просто. Для иностранцев Россия ассоциируется с несколькими известными словами - "Горбачев", "перестройка", "водка", "матрешка", "бабушка". А что обычно везут в подарок иностранцам из России или одаривают их по приезду сюда? Правильно, это водка :-) А самая известная в мире водка из России (СССР) - это "Столичная". Отсюда и было выбрано первое название для VPN-модуля, который совместно с компанией С-Терра СиЭсПи был сертифицирован в ФСБ. Но по понятным причинам, оптимизм американских коллег не разделяли в российском офисе и в итоге было выбрано нейтральное NME-RVPN.

Второй пример, когда российская компания выходила на рынок другой страны. Например, Лаборатория Касперского с одноименным антивирусом вынуждена была в Китае поменять название своего продукта на Ка-ба. Вот как об этом говорил Евгений Касперский: "Мы выяснили, что в чем−то рынки обеих стран похожи: порой звучание зарубежных торговых марок вызывает как у нас, так и у китайцев ассоциации, о которых не догадываются маркетологи в штаб−квартирах транснациональных компаний. Так что имейте в виду: скорее всего, вам придется изменить название своего бренда или продукта, адаптировав его к "китайскому уху".

С правильным выбором названия компании или продукта связан и еще два нюанса. Первый - когда у продукта/компании есть двойник в другой стране. Например, Алексей Раевский, генеральный директор Zecurion, так объяснял смену названия с SecurIT на Zecurion - "При выходе на международный рынок мы не могли пользоваться таким очевидным названием, как SecurIT, — оно уже было занято. Так был разработан бренд Zecurion". По этой же причине, как я понимаю, питерская Digital Security в мире известна как ERPScan.

Второй и, пожалуй, последний, нюанс с именованием в области ИБ - стоит или нет давать продукту или компании свое имя. Примеров тут тоже немало (Нортон, Касперский, Данилов, Макафи...). Такой нарциссизм может быть как выигрышной стратегией, так и вести к неудачам. А что если владелец (даже бывший) компании, давший свое имя и ей и ее продуктам, попадет в тюрьму или с его именем будут связаны какие-то черные и неблаговидные делишки? Как это может сказаться на продажах? Вспомните историю с обвинением Джона Макафи в убийстве и в шпионаже...

Резюмируя эту заметку, которая оказалась длиннее, чем я ожидал, могу только заметить, что маркетинг в области ИБ и, в частности, выбор правильного имени продукта или компании - это очень непростая и очень важная задача. Вспоминая известный мультфильм про капитана Врунгеля: "Как вы яхту назовете, так она и поплывет". Не пренебрегайте этим вопросом при продвижении своей продукции в России или на Западе, не доводите до диареи :-) Это может сыграть дурную шутку в какой-то момент.

1.10.13

F5 покупает Versafe

17 сентября компания F5 анонсировала приобретение израильской компании Versafe, поставщика решений по борьбе с вредоносным кодом, мошенничеством и фишингом в Web-среде. Детали сделки не разглашаются.

Надо ли покупать полупальто или парафраз о сертификации межсетевых экранов

Сошлись на небе звезды и совпало сразу несколько событий. Я выбирал себе полупальто, один вендор разослал несоответствующее действительности письмо относительно решений Cisco, и Женя Родыгин опубликовал материал про сертификацию средств защиты. Поэтому решил объединить эти три события вместе, что и привело к рождению этой заметки.

С полупальто ситуация забавная произошла. Пришел в магазин, нашел продавца и состоялся у нас с ним такой диалог:
- Полупальто есть?
- Есть! Но может быть вам пальто нужно?
- Нет, мне нужно полупальто. Пальто длинное и я буду его низ о машину постоянно пачкать.
- Вам какое полупальто?
- Под погоду! Теплое! Чтоб задницу прикрывал! И не промокал сразу! И не бабское. И чтобы выглядело солидным. И материал, чтобы качественный. И вообще...
- Хорошо, подождите.

Приносит. Смотрю я на ЭТО изделие из какой-то тонкой синтетики, которое и мой "комок нервов"-то врядли прикроет и спрашиваю: "Это что? Полупальто?" Продавец ничтоже сумняшеся - "Да!" (Почти как в старом фильме "Верные друзья" - "Износу нет" :-) Я ему: "Ну какое это полупальто? Это третьпальто!" Он говорит: "Вы не правы. Вот и на ценнике написано, что это полупальто"... В итоге непродолжительной дискуссии продавец был послан, полупальто так и не куплено, но зато теперь и заметку можно написать :-)

Перейдем к нашим баранам. Есть такое защитное средство, как межсетевой экран. В принципе многие даже понимают, что он делает. Вроде как он является преградой между защищенной и незащищенной сетями, и путем фильтрации трафика он пропускает то, что можно, и не пускает то, что нельзя. Это в теории. На практике все обстоит немного иначе. Межсетевым экраном себя назвать может кто угодно. Хоть полупальто назовите межсетевым экраном. Или на заборе напишите "межсетевой экран". И в принципе нет ничего плохого в том, что кто-то как-то назвал что-то. Ну назвал и назвал. Если потребителя устраивает функционал этого синтетического "полупальто", то почему бы и нет. Главное же, чтобы потребитель был доволен. Но это с полупальто так (на самом деле и там тоже не так, но это уже лирика). В информационной безопасности все немного иначе.

Есть требования нормативных актов, устанавливающих обязательные требования по используемым средствам защиты. Например, ПП-584 о защите информации в платежных системах. Или приказ №17/21 ФСТЭК. Или требования ПП-424 и разработанных во его исполнение приказов 104 Минкомсвязи и 416/489 ФСТЭК/ФСБ. Везде говорится о межсетевых экранах, как средствах защиты, необходимых для отражения тех или иных угроз. Но что такое межсетевой экран с точки зрения регулятора? Это не то, что я захотел назвать "межсетевым экраном", а то, что соответствует определениям, данным в РД ФСТЭК или РД ФСБ. Можно долго спорить, правильный это подход или нет, закрывают ли РД регуляторов современные возможности защитных продуктов или нет, но факт остается фактом. В текущей ситуации сертифицировать средство защиты будут по этим документам и если оно пройдет все испытания, то его смело можно называть межсетевым экраном и на него будет выдан соответствущий сертификат. Не соответствуешь требованиям, как не крутись, но с позиции регулятора ты не межсетевой экран (как бы ты себя не бил пяткой в грудь и не писал в своих рекламных материалах "межсетевой экран", добавляя к нему различные эпитеты - "прикладной", "следующего поколения" и и т.п.).

К чему это я? К тому, что если какой-либо нормативный акт говорит об обязанности иметь в наличии межсетевой экран, то он должен быть таким, как это понимали авторы нормативного акта, а не разработчик. И если в какой-либо отрасли установлены требования по сертификации средств защиты (а это госорганы, критически важные объекты и еще много кто), то межсетевой экран должен иметь сертификат соответствия РД ФСТЭК (или ФСБ) на МЕЖСЕТЕВЫЕ ЭКРАНЫ. Не на отсутствие НДВ, не на СВТ, не на возможность применения в АС/ИСПДн/ИС какого-либо класса. А именно на соответствие РД по межсетевым экранам.

Но что делать производителю, который продает свой продукт как межсетевой экран, но не может сертифицировать его по требованиям российских РД. Например, по причине отсутствия функции фильтрации на сетевом и транспортном уровне. Да-да, бывают и такие "межсетевые экраны", концентрирующиеся только на прикладном уровне. Это безусловно важно, но явно недостаточно для построения комплексной периметровой защиты. Такой производитель пытается сертифицировать свою поделку хоть как-то, например, на отсутствие НДВ. Это неплохо. Только вот межсетевым экраном в терминах регуляторов это продукт не делает. И при инспекционной проверке (или аттестации) этот вопрос обязательно всплывет. Производитель-то уже давно умыл руки - он свой продукт продал. Партнер тоже деньги получил. А заказчик, поверив рекламе "межсетевого экрана" и сертификату на НДВ, сталкивается с суровой правдой жизни. Используемый им продукт может и неплох, но не соответствует тому, что ему надо было изначально.

У данного правила есть два исключения. Первое. В той или иной отрасли не требуется обязательная сертификация средств защиты или заказчик сознательно идет на принятие риска несоответствия. Нет вопросов. Нет так нет. Второе. Продукт сертифицировался по ТУ, в которых перечислены требования из руководящих документов, которые должны быть реализованы в контексте управления информационными потоками или разграничения/сегментации сетей. В этом случае тоже возможно, что сам продукт не имеет сертификата как межсетевой экран, но в процессе его проверки необходимый функционал проверялся. Правда, ФСТЭК не очень любит в последнее время такую сертификацию. В остальных случаях, сертификат соответствия РД на МСЭ вынь да положь.

Какое резюме из всего этого длинного поста про ненастоящее полупальто? Во-первых, не доверяйте слепо производителям средств защиты. Их цели не всегда совпадают с вашими. Во-вторых, западные вендоры, даже и лидеры каких-то магических квадратов, не всегда понимают специфики российского рынка и пытаются идти сюда со своим, как правило, американским опытом. А он тут не применим. Лидер там и лидер тут - это две большие разницы. В-третьих, РД ФСТЭК на МСЭ давно устарел и его пора менять. Могу сказать, что ФСТЭК планирует это делать в 2014-м году. Но сейчас он есть и уйти от него нельзя - надо выполнять. В-четвертых, авторам нормативных актов лучше избегать использования терминов, содержание которых или очень быстро устаревает, или очень быстро меняется. Лучше уж заменить термин "межсетевой экран" на "управление информационными потоками" (ФСТЭК так и планирует делать). В-пятых, если уж вам не повезло и от вас требуется именно межсетевой экран, то смотрите на то, на что выдан сертификат. Отвечать-то вам, а не производителю или поставщику. И, наконец, разберитесь, хотя бы немного, в особенностях отечественной системы сертификации (если уж ФСТЭК не проводит таких обучающих семинаров, то хотя бы самостоятельно сделайте это).

ЗЫ. Аналогичные рассуждения применимы и к другим типам средств защиты.