31.12.14

Новогоднее обращение Алексея Лукацкого

Уважаемые коллеги, друзья, соратники, читатели блога! С наступающим (а кого-то уже и с наступившим) Новым годом! Пусть он будет безопасным!!! Ура!!!


За сим откланиваюсь и прощаюсь! До встреч в новом году, который будет непростым, но интересным и насыщенным! Всех благ!

ЗЫ. Посмотрел запись - получилось как0то депрессивно :-( Звиняйте, если что. Будем исправляться :-) Но уже в новом, 2015-м году овцы!

ЗЗЫ. Кстати! Если верить гороскопам, то в политическом и финансовом отношении год будет близок к катастрофе... Но все будет спасено и равновесие восстановится потихоньку, независимо от некоторого отсутствия благоразумия и компетентности.

ЗЗЗЫ. А еще есть "овечья" фирма, специализирующая в области ИБ - Wall of Sheep :-)


Предсказания иностранных ИБ-вендоров на 2015 год

Вчера я прошелся по основным прогнозам 2015-го года, сделанными отечественными специалистами и компаниями, занимающимися информационной безопасностью. Сегодня, как я и обещал, я пройдусь по прогнозам, которые делают иностранные компании. Но я решил не мешать всех в одну кучу, а разбить предсказания на две части - сделанные производителями средств защиты и независимыми экспертами, порталами и изданиями. Сегодня поговорим о трендах, которые видятся именно зарубежным разработчикам (McAfee, Websense, Palo Alto, Sophos и т.п.), а точнее:

Явным лидером, с почти двукратным отрывом, является безопасность Всеобъемлющего Интернета (Internet of Everything) или, как его часто еще называют, Интернета вещей (Internet of Things). А вот среди отечественных прогнозов эта тема занимает всего лишь третье место (наряду с другими тенденциями, разделившими с ней место). Но оно и понятно - у нас даже тема защиты АСУ ТП (а это тоже часто IoT) только-только выходит на первый план, а уж про остальные направления Интернета вещей и говорить не приходится. Поэтому Россия в этом плане немного отстает от западных стран.

Второе место делят сразу три прогноза:

  • Безопасность мобильного доступа и BYOD. У нас этот тренд также занимал второе место. Пожалуй, это тот редкий случай, когда прогнозы российских и иностранных экспертов совпали.
  • Рост угрозы со стороны программ-вымогателей (ransomware). Криптолокеры будут развиваться и расширяться на новые платформы. Эксперты предполагают, что помимо угрозы уничтожения зашифрованных данных в случае отказа от оплаты, злоумышленники начнут использовать угрозу придания гласности зашифрованных данных.
  • Использование уязвимостей в решениях open source и открытых протоколах и библиотеках. POODLE, Shellshock, Heartbleed... Кто дальше? 
На третьем месте у иностранных производителей всего 2 прогноза - связанный с последним выше трендом рост внимания к теме безопасности программного обеспечения (сканирование, SDLC и т.п.), а также безопасность облачных вычислений.

Завершают список самых популярных прогнозов тройка, состоящая из:
  • роста Интернет-мошенничества и атак на мобильные платежные системы
  • роста прессинга со стороны регуляторов в отношении защиты данных (это, оказывается, проблема не только наша, но и общемировая)
  • роста угроз со стороны государств и спецслужб. 

Если сравнить прогнозы россиян и иностранцев, то картина выглядит следующим образом:


Как мы видим, общего не так уж и много, а значит надо внимательно смотреть на то, что вам предлагают иностранные компании, интересны которых могут быть отличными от ваших, а значит и предлагаемые ими решения, могут отличаться от ваших потребностей.

У нас еще остается анализ прогнозов независимых экспертов, компаний и изданий, но его я оставлю уже на послепраздничные дни. Врядли кто-то готов изучать эти прогнозы завтра, в первый день нового года. Я не уверен, что и эту-то заметку кто-то читает :-)

ЗЫ. Последнее обновление от 13-го января 2015-го года

30.12.14

Отечественные предсказания в области ИБ на 2015 год

Конец года... Принято делать прогнозы и предсказания (в зависимости от уровня обоснованности). Я свои сделал на онлайн-семинаре для BISA. Но так как я не являюсь истиной в последней инстанции, то для оценки реальности того, что в действительности может произойти, я решил проанализировать прогнозы, которые делались в России в области ИБ на 2015-й год. К моему удивлению я нашел не так уж и много таких источников. Как правило, у нас перепечатывают иностранные источники - IDC, Gartner, Trend Micro, McAfee и т.п. Но есть немного и отечественных "ИБ-пророков":
Надо понимать, что некоторые прогнозы либо написаны второпях и поэтому неполны, либо отражают направление деятельности компании, в которой работает "пророк". Поэтому сложно приводить всех к единому знаменателю. Но все-таки... Явными лидерами среди прогнозов (в количественном выражении) являются следующие:

1-е место:
  • Рост числа целенаправленных угроз (APT). Явный лидер
2-е место
  • Рост внимания к безопасности критических инфраструктур
  • Рост внимания к безопасности мобильного доступа (BYOD)
  • Закручивание гаек в Интернет
  • Импортозамещение и курс на цифровой суверенитет
  • Развитие направления DLP, особенно для облаков и мобильных устройств
  • Рост числа Интернет-мошенничества
3-е место
  • Атаки на банкоматы, PoS-терминалы, киоски оплаты
  • Борьба с угрозами со стороны иностранных государств (пост-Сноуденовская эра)
  • Запрет хранения ПДн россиян за границей
  • ИБ виртуализации
  • ИБ облачных вычислений
  • ИБ Всеобъемлющего Интернета (Интернета вещей)
  • Милитаризация темы информационной безопасности (кибервойны, Военная доктрина и т.п.)
  • Экономический кризис и, как следствие, отказ от ряда проектов по ИБ, развитие финансовых схем продажи ИБ, повышение эффективности уже приобретенных продуктов и сервисов по ИБ, рост интереса к ИБ на open source, рост числа внутренних нарушений, сокращение бюджетов на ИБ
  • Рост интереса к сервисам расследования ИБ и появление центров реагирования на инциденты (CSIRT).
Понятно, что это не все, что нам грозит. Таже тема compliance в области ПДн, рост числа проверок, безопасность НПС/НСПК и т.п. Они не набрали более одного голоса (моего), но это не значит, что эти темы не будут в фокусе в грядущем году. Просто не хватило достаточного количества экспертов.

Западных прогнозов гораздо больше - они делаются как производителями средств защиты, так и отдельными экспертами, изданиями и порталами. Я постарался свести все найденное в два списка, анализ которого выложу уже завтра. Заранее отмечу, что иностранцы гораздо более активны и разнообразны в этом плане - я насчитал около сотни разных прогнозов.

Зарубежные вендорские прогнозы:

Зарубежные "независимые" прогнозы:
ЗЫ. Последнее обновление: 13-го января 2015 года

29.12.14

Новая Военная доктрина РФ в контексте информационной безопасности

Президент Путин утвердил новую Военную доктрину Российской Федерации, которая была обновлена под влиянием происходящих в последнее время вокруг России событий. Не берясь за полный анализ того, что написано в этом доктринальном документе, хочу тезисно обратить внимание на моменты, относящиеся к теме информационной безопасности.
  1. Традиционные для нас угрозы ИБ Доктрина относит к понятию "военная опасность", четко отделив их от понятия "военная угроза". Согласно Доктрине "военная опасность" - это "состояние межгосударственных или внутригосударственных отношений, характеризуемое совокупностью факторов, способных при определенных условиях привести к возникновению военной угрозы", а "военная угроза" - это "состояние межгосударственных или внутригосударственных отношений, характеризуемое реальной возможностью возникновения военного конфликта между противостоящими сторонами, высокой степенью готовности какого-либо государства (группы государств), сепаратистских (террористических) организаций к применению военной силы (вооруженному насилию)". Иными словами, традиционные угрозы ИБ сами по себе не могут быть военной угрозой, а всего лишь сопутствуют их проявлению. Но есть и исключение, которое только подтверждает, что тема спецопераций в киберпространстве не до конца проработана была при подготовке нынешней Военной доктрины.
  2. Угрозы ИБ могут быть отнесены к военным угрозам, если они воспрепятствуют "работе систем государственного и военного управления Российской Федерации, нарушение функционирования ее стратегических ядерных сил, систем предупреждения о ракетном нападении, контроля космического пространства, объектов хранения ядерных боеприпасов, атомной энергетики, атомной, химической, фармацевтической и медицинской промышленности и других потенциально опасных объектов". Тут мы опять наталкиваемся на классическую проблему с терминологией в области критически важных (потенциально опасных) объектов. Почему воспрепятствование работе систем фармацевтической промышленности представляет военную угрозу, а воспрепятствование системам управления транспортом (что для России с ее территориями, через которые надо во время военных конфликтов или войн перебрасывать войска, технику, продовольствие, является более чем актуальным) нет? На мой взгляд причиной этого является неразбериха в терминологии, которая до сих пор не устаканилась. Критический важный объект, стратегически важный объект, стратегический объект, объект, имеющий стратегическое значение, важный объект, важный государственный объект, объект жизнеобеспечения, особо важный объект, специальный объект, режимный объект, потенциально опасный объект... Вот только небольшая часть схожих терминов. На кого из них распространяется Военная доктрина?.. Хотя с другой стороны приводить терминологию в области критических инфраструктур - та еще работенка. Ее не стали даже делать, когда готовили законопроект о безопасности критических инфраструктур.
  3. Военные опасности делятся на внешние и внутренние. К первым в киберпространстве относятся  "использование информационных и коммуникационных технологий в военно-политических целях для осуществления действий, противоречащих международному праву, направленных против суверенитета, политической независимости, территориальной целостности государств и представляющих угрозу международному миру, безопасности, глобальной и региональной стабильности". В данном случае можно отметить схожесть (что неудивительно) позиции с основами государственной политики в области международной информационной безопасности.
  4. К внутренним опасностям, связанным с киберпространством, относится "деятельность, направленная на дезорганизацию функционирования информационной инфраструктуры Российской Федерации".
  5. Одной из черт военного конфликта (а это понятие выше военной угрозы), является
    • применение среди прочего и информационных мер невоенного характера
    • воздействие на противника в глобальном информационном пространстве
    • централизация и автоматизация управления войсками и оружием с помощью АСУВ и АСУО.
  6. Ядерному оружию внимание в Доктрине тоже уделено, но как инструменту сдерживания региональных и крупномасштабных войн. Я, если честно, в такие войны не очен верю именно по причине наличия у многих сторон ядерного потенциала. Поэтому несложно предположить, что роль кибервойн или правильнее спецопераций в информационном пространстве будет только возрастать.
  7. Как и документ, описывающий усилия МинОбороны РФ в области кибербезопасности, Доктрина постулирует принцип ненападения, а сдерживания и предотвращения военных конфликтов. 
  8. Среди основных задач, направленных на сдерживание и предотвращение военных конфликтов "нашей" теме уделено почетное последнее место - "создание условий, обеспечивающих снижение риска использования информационных и коммуникационных технологий в военно-политических целях для осуществления действий, противоречащих международному праву, направленных против суверенитета, политической независимости, территориальной целостности государств и представляющих угрозу международному миру, безопасности, глобальной и региональной стабильности". Вполне могу допустить, что изначально этого пункта и вовсе не было, так как никто не подумал о том, как бороться с угрозами ИБ, просто продекларировав их опасность. Думаю, что первоначально с ними предполагали бороться общими фразами, которыми так изобилуют другие доктринальные документы, - партнерство в рамках ОДКБ и БРИКС, миротворчество под эгидой ООН, прогнозирование и т.п. На то, что изначально этого пункта не было, меня наталкивает и то, что в Доктрине очень много говорится о соблюдении международного права и международных договоров, а в области ИБ (или точнее МИБ) у нас с этим большая проблема. До сих пор никаких международных норм ИБ так и не было разработано и, особенно в условиях нарастания геополитического конфликта США и России, врядли в ближайшее время стоит ждать прорыва в этой области. Да и постоянная отсылка к географическим границам РФ или ее союзников тоже говорит о том, что про спецоперации в информационном пространстве (против нас или нами) никто серьезно не думал.
  9. Интересно, что среди задач Вооруженных сил, других войск и органов в мирное время тема информационной безопасности не упоминается вовсе. Такое впечатление, что авторы документа и не знали, что могут делать военные в области ИБ в мирное время. Это вам не портянки шить, и не стволы пушек до блеска драить :-) По идее стоило бы сделать отсыл к Доктрине ИБ и основам госполитики в области МИБ, но почему-то про это забыли.
  10. А вот среди задач военной организации "совершенствование системы информационной безопасности Вооруженных Сил, других войск и органов" названо явно. Это же является и основной задачей при строительстве и развитии Вооруженных Сил, других войск и органов.
  11. "Материальность" Доктрины проявляется во всем. Авторы привыкли (оно и понятно), что во время военных конфликтов речь всегда идет о чем-то материальном. Атака производится на материальный объект. Оружие - это тоже, что-то материальное. Ущерб тоже имеет вполне себе материальную природу. Поэтому в Доктрину очень сложно вписывается информационная составляющая. Иногда даже кажется, что в уже готовый "материалистичный" текст добавили несколько кибер-пунктов. Например, есть в Доктрине раздел "Задачи оснащения Вооруженных Сил, других войск и органов вооружением, военной и специальной техникой" в нем пункт "развитие сил и средств информационного противоборства". Но программное обеспечение, которое зачастую и является основном инструментом информационного противоборства (если не рассматривать тему РЭБ), с трудом может быть описано понятием "военная и спецтехника". При этом интересно, что в контексте средств информационного противоборства говорится только об их развитии, а применительно к другим видам оружия - еще и о создании. Толи у нас уже средства информационного противоборства созданы и их надо только развивать, толи авторы опять же взяли готовую заготовку и вставили ее в текст, не думая о сути.
  12. В разделе про развитие оборонно-промышленного комплекса про силы и средства информационного противоборства ни слова. Откуда же их тогда брать? С гражданского рынка?
  13. В части международного сотрудничества повторяется неоднократно звучавший в других документах тезис о развитии "диалога с заинтересованными государствами о национальных подходах к противодействию военным опасностям и военным угрозам, возникающим в связи с масштабным использованием информационных и коммуникационных технологий в военно-политических целях".
Вот такой документ. Он еще раз подтверждает мысль, которую я как-то озвучивал и описывал - человек, родившийся и обучавшийся во всяких Академиях Генштаба или Высшей школы КГБ во времена, когда компьютеры описывались только в фантастических романах или в переводах зарубежной литературы в закрытых библиотеках, не способен адекватно оценивать ни угрозы ИБ, ни то, как с ними бороться. По одной простой причине - его этому не учили, а сам он с этим не сталкивался. И чем старше он становится (а в СовБезе и Генштабе никого из поколения "Интернет" нет), тем меньше шансов на то, что он сможет переориентироваться. Это как если всю жизнь бороться с иностранными техническими разведками и защищать государственную тайну. Даже если тебе дали задание разработать меры защиты для персональных данных или коммерческой тайны, то все равно у тебя получится только СТР и все. Вот с Военной доктриной таже проблема :-(

26.12.14

Информационная безопасность 2015 в картинах Васи Ложкина

Позавчера для ассоциации BISA проводил онлайн-семинар с анализом тенденций, которые нас ждут в 2015-м году в России с точки зрения информационной безопасности. В качестве иллюстраций использовал картины Васи Ложкина. Получилось немного депрессивно, но зато честно :-) Текущая экономическая, социальная, политическая и геополитическая ситуация не дает особых надежд на позитив в целом, но по отдельности, каждый специалист и каждая компания могут извлечь из каждой тенденции свои уроки и даже попробовать их использовать во благо.



Помимо вышеприведенной презентации велась и запись, ссылку на которую тоже прилагаю. По итогам презентации была небольшая сессия вопросов и ответов, на которой было озвучено несколько тем, которые не вошли в презентацию. Возможно я на ее базе сделаю расширенную версию, но разбитую на несколько блоков, которые и буду выкладывать с озвучкой в блоге уже в январе. 

25.12.14

Становится понятно, за что будет наказывать РКН операторов ПДн

Многострадальный законопроект по штрафам за нарушение правил обработки персональных данных наконец-то был внесен Правительством в Государственную думу. Произошло это вчера. Давайте посмотрим, чем отличается то, о чем я уже писал в январе, с нынешним законопроектом. Подготавливала его

Законопроектом предусматривается полное изменение статьи 13.11 КоАП, которая теперь вместо абстрактного "нарушения порядка обработки" оперирует вполне конкретными 8-vm. составами правонарушения, в соответствии с которыми и устанавливается административная ответственность. К этим нарушениям относятся:
  1. Обработка ПДн с нарушением требований, установленных законодательством РФ  о персональных данных, к составу сведений, включаемых в согласие в письменной форме субъекта ПДн.
  2. Обработка ПДн без согласия субъекта ПДн и в отсутствие предусмотренных законодательством РФ  о персональных данных иных условий обработки.
  3. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также ПДн о судимости в случаях, не предусмотренных законодательством РФ о персональных данных.
  4. Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПДн, и сведениям о реализуемых требованиях к защите ПДн.
  5. Невыполнение оператором обязанности по предоставлению субъекту ПДн  информации, касающейся обработки его персональных данных.
  6. Невыполнение оператором в сроки, установленные законодательством РФ  о ПДн, требования субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн  об уточнении ПДн, их блокировании или уничтожении в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
  7. Невыполнение оператором при обработке ПДн без использования средств автоматизации обязанностей по соблюдению условий, обеспечивающих в соответствии с законодательством РФ о ПДн  сохранность ПДн  при хранении материальных носителей ПДн и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПДн, их уничтожение, изменение, блокирование, копирование, предоставление, распространение, иные неправомерные действия в отношении ПДн, при отсутствии признаков уголовно наказуемого деяния.
  8. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ о ПДн обязанности по обезличиванию персональных данных, а равно несоблюдение установленных требований и методов по обезличиванию персональных данных.
Свел указанные правонарушения в таблицу с указанием штрафов по ним (убрав физлиц и индивидуальных предпринимателей) и добавив нормы законодательства, за нарушение которых и вводятся новые штрафы.



Сразу хочу отметить, что 8-й пункт возможно исчезнет из финального текста закона. Все-таки вводили его еще тогда, когда в 211-м Постановлении Правительства обезличивание было обязательным. Сейчас это не так и поэтому данный пункт большого смысла не имеет.

Законопроектом предлагается также внести изменения в КоАП, касающиеся наделения Роскомнадзора полномочиями по возбуждению дел об административных правонарушениях законодательства Российской Федерации о персональных данных. Если раньше по статье 13.11 дела возбуждались прокуратурой, то теперь РКН получит долгожданные полномочия и, вероятнее всего, активно будем ими пользоваться.

Что в итоге? Да, штрафы возрастают. Они могут суммироваться, поэтому для юрлица кумулятивная сумма штрафа может достигать 565 тысяч рублей, что на существенно больше предыдущих 10 тысяч. Да, теперь сам РКН может направлять материалы в суд, не дожидаясь когда сотрудники прокуратуры в трехмесячный срок рассмотрят полученные от РКН материалы и направят в суд. Т.е. число дел, доводимых до суда, возрастет. Да, по-прежнему остаются иные статьи КоАП, которые могут быть применены к нарушителям. Но есть и позитивные моменты.

Теперь у РКН есть четкий список правонарушений, которые повлекут за собой наказание в виде штрафа. Никакой отсебятины, никаких расширительных трактовок. Операторам тоже становится понятно, за что их будут наказывать и что будут копать в первую очередь. Да, 8 составов правонарушений - это немало. Но зато теперь понятно, на чем стоит концентрироваться в первую очередь. А это очень хорошо.

22.12.14

Обезличивание как способ "разрешения" проблемы с 242-ФЗ

Тема с запретом хранения ПДн россиян за границей уже малость поднадоела и надо ее прекращать (до начала правоприменения так уж точно). Поэтому хочу просто наметить несколько идей, на которые не распространяется действие ФЗ-242 в части хранения ПДн зарубежом.

Идея №1. Как можно говорить о гражданстве субъекта ПДн, если его об этом нигде не спрашивают, сам он не жалуется, а по заголовку IP-пакета еще не научились определять, какой герб на паспорте у его владельца. Правда, есть и другая проблема - РКН это мало волнует; особенно если есть "заказ" или не хватает "галок" :-(

Идея №2. Архивирование ПДн. Выполнение норм ФЗ-125 об архивном деле позволяет вывести архивные данные из под действия ФЗ-152, о чем прямо в законе и написано. Ну а архивировав ПДн, мы можем передавать их куда угодно и хранить где угодно.

Идея №3. Обезличивание ПДн. Это наиболее перспективная идея, на мой взгляд. По мнению самого РКН обезличивание приводит к тому, что персональные данные перестают быть таковыми.  А раз они перестают быть персональными, то и из под действия ФЗ-152/242 выпадают. А значит хранить их можно также где угодно, в т.ч. и за пределами РФ. И все в пределах закона. А обезличивать можно согласно приказу №996 самого РКН, который устанавливает критерии "хороших" методов обезличивания. Что характерно, 996-й приказ не ограничивает самих методов - вы можете придумать их самостоятельно, основываясь на критериях, предложенных самим РКН.



Идея №4. Она банальна и не нова - знайте законодательство, на котором базируется ваша деятельность. Обработка ПДн для достижения цели, предусмотренных законом или для осуществления и выполнения возложенных законодательством Российской Федерации на оператора ПДн функций, полномочий и обязанностей, как раз и является еще одним исключением, когда можно хранить ПДн россиян за границей. Тут не так все очевидно, но тоже можно "поиграться".

Полный ответ Минкомсвязи по поводу 242-ФЗ

Меня затерроризировали просьбами выложить текст ответа Минкомсвязи по поводу действия ФЗ-242. Выкладываю... В комментах к предыдущим заметкам задавался риторический вопрос: "А зачем тогда вообще принимали 242-ФЗ, если его можно не исполнять?" Я бы хотел еще раз отметить, что ФЗ-242 посвящен не только запрету хранения ПДн россиян за границей. Он состоит из 3-х частей:

  1. Поправки в 149-ФЗ, определяющие порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства о ПДн. Наиболее объемная статья ФЗ-242.
  2. Поправки в 152-ФЗ, определяющие "запрет" на хранение ПДн россиян за границей.
  3. Поправки в 294-ФЗ, определяющие исключение вопросов надзора за ПДн и обработкой информацией в Интернет из 294-ФЗ.

Вот именно последняя поправка и является наиболее опасной на мой взгляд, так как после ее вступления в силу РКН уже не будет должен согласовать свои плановые и внеплановые проверки с прокуратурой, не будет ограничен 20-тью днями, не будет ограничен одной плановой проверкой раз в три года и т.п.

Но вернемся к запрету хранения ПДн. Насколько позицией Минкомсвязи можно пользоваться? Хочу отметить, что на фоне ответа Администрации Президента в сторону Ассоциации европейского бизнеса ответ Минкомсвязи не является истиной в последней инстанции, как бы не хотелось так считать. И даже при условии, что речь идет о органе исполнительной власти, определяющем государственную политику в области обработки ПДн. Все-таки Администрация Президента есть администрация самого Гаранта Конституции.

Второй комментарий касается предпоследнего абзаца данного ответа. Минкомсвязь правильно отмечает, что они не уполномочены (как и РКН, как и Администрация Президента) трактовать и толковать законодательство и высказывают только свое мнение. Кстати, в ответе РКН, который я приводил ранее, нет этой приписки - Роскомнадзор, не стесняясь, трактует законодательство, считая свою позицию истиной в последней инстанции.

Поэтому остается только самостоятельно взвешивать все риски для операторов ПДн и ждать правоприменительной практики, о чем и написал в своем ответе МИД.






18.12.14

Ответ Минкомсвязи по поводу реализации 242-ФЗ: окончание триптиха

Вчера Государственная дума, как обычно, в спешном порядке приняла сразу в двух чтениях законопроект о переносе срока вступления в силу запрета на хранение ПДн россиян за границей. Теперь этот срока наступает 1-го сентября 2015-го года, т.е. на год раньше запланированного. Попутно с 1-го сентября 2015-го года наступает и срок, когда РКН выходит из под действия ФЗ-294 о защите прав юридических лиц при осуществлении государственного контроля (надхора). И поскольку питавшие меня надежды на то, что депутаты все-таки одумаются и им хотя бы кто-нибудь озвучит несуразность запрета (а как мы помним, госорганам, которых закон напрямую затрагивает, пофигу), не оправдались, то пора рассмотреть ответ Минкомсвязи на заданные мной в сентябре вопросы.

Первый сделанный Минкомсвязью тезис звучит так: субъект имеет право передавать ПДн кому угодно, в т.ч. и иностранным госорганам, юрлицам, организациям и физлицам, как находящимся на территории РФ, так и находящимся за ее пределами.


Второй вывод органа исполнительной власти, уполномоченного определять государственную политику в области защиты прав субъектов ПДн, звучит также обнадеживающе - отечественный оператор ПДн вправе поручить обработку ПДн иностранному оператору ПДн.


Минкомсвязь закономерно считает, что ИСПДн может быть распределенной и часть ее элементов может находиться за пределами РФ.


Минкомсвязь не считает невозможным применять дублирующие базы данных, находящихся на территории РФ (или за ее территорией).


Дальше Минкомсвязь подтверждает тезим представителя РКН о том, что ФЗ-152 действует только на территории Российской Федерации, а Конвенция имеет приоритет над ФЗ-152. При этом наказать иностранное юридическое лицо, якобы "нарушившее" положения ФЗ-152, но за пределами РФ, нельзя.


И, наконец, финальным аккордом Минкомсвязь является подтверждение известного принципа "закон обратной силы не имеет" и что на правоотношения с иностранными лицами, ведущими базы данных ПДн, оформленные до вступления в силу ФЗ-242 (т.е. до 1-го сентября 2015-го года), положения ФЗ-242 не распространяются.


Надо признать, что ответ Минкомсвязи из всех полученных от разных ФОИВов, включая и Роскомнадзор, мне понравился больше всего. И не только потому, что он разрешает обработку ПДн за пределами РФ при наличии согласия субъекта и соблюдении требования по обеспечению безопасности ПДн, но и потому что ответ Минкомсвязи опирается на действующее законодательство и все разъяснения ссылаются на нормы законодательства - Конституции, Гражданского Кодекса, ФЗ-152, ФЗ-242 и т.п. А учитывая, что именно Минкомсвязь у нас является главенствующим органом исполнительной власти, определяющим государственную политику в области ПДн, этот факт придает ответу регулятора еще больший вес, чем ответам всех остальных регуляторов вместе взятых.

17.12.14

Что мне ответили госорганы на запрос о запрете хранения ПДн россиян за границей?

Вчера я обещал рассказать о том, что мне ответили органы исполнительной власти относительно моего запроса о том, как быть, если ФЗ-242 вступит в силу и тем более, если законопроект о переносе срока на 1-е января 2015-го года депутаты все-таки примут. Надо признать, что ответы почти от всех госорганов были ожидаемые :-)

Большинство госорганов признает, что не обладает полномочиями по коммеентированию федерального законодательства. Меня всегда удивляло, как эти госорганы могут работать по этим законам и исполнять их, если они не могут их комментировать? Вопрос, конечно, риторический. На мое удивление, но большинство госорганов, которые, по идее, должны быть знакомы с иерархией органов власти и зонами ответственности каждого из них (хотя бы на уровне знания положений о службах и министерствах), не знали, что государственной политикой в сфере персональных данных у нас занимается Минкомсвязь, а не Роскомнадзор, являющийся подчиненным Минкомсвязи ведомством.

Ответ Миназдравсоцразвития
С другой стороны, я не помню, чтобы Минкомсвязь публично когда-то заявлял о своем главенстве в этой сфере. Это повелось еще со времен Щеголева, который имел очень смутное представление о том, что такое ФЗ-152 и какие отношения он регулирует. Нынешний молодой министр подхватил эту же болезнь и за все время своего управления отраслью ни разу не высказался по данному вопросу и не выступил с инициативой по изменению ФЗ-152. Исключение, пожалуй, составили последние месяцы, когда политическая ситуация заставила министра регулярно делать заявления по поводу угрозы со стороны иностранных спецслужб и необходимости защитить права россиян при использовании зарубежных Интернет-ресурсов. Наверное, именно ввиду полной безвольности в этом вопросе, многие запрошенные мной госорганы направляли меня в Роскомнадзор, а не в Минкомсвязь.

Ответ Минобрнауки
Хотя были и исключения из данного правила...

Ответ Ростуризма
Понравился мне ответ Росавиации, которая правильно мне "указала", что ФЗ-242 вступает в силу только в сентябре 2016-го года, а комментировать потуги депутатов, которые могут еще и не произвести на свет ничего кроме пшика, солидный госорган не будет.

Ответ Росавиации
Аналогичный ответ мне пришел по почте и от Министерства иностранных дел, которое ответило, что тема персональных данных в России находится в ведении Минкомсвязи и что правоприменительная практика по ФЗ-242 отсутствует ввиду его невступления в силу. Комментировать ненаступившее будущее МИД тоже не захотел.

Среди пришедших ответов был и документ от Роскомнадзора. И хотя я его не запрашивал ни о чем, подозревая об ответе (да и отсутствие ответа на мой запрос будучи членом Консультативного Совета РКН говорил сам за себя), мой запрос был переправлен рядом госорганов именно Роскомнадзору и ему пришлось мне отвечать. Правда, целую страницу своего ответа (из двух) РКН посвятил разъяснению того, что является жалобой, заявление, предложением гражданина при общении с государством. В моем запросе г-жа Приезжева (а ответ был подписан именно ею) не углядела ни заявления, ни предложения, ни жалобы, ни ущемления моих прав (и это действительно так).

Что касается ответа по существу, то РКН посчитал, что:

  1. Упомянутый мной "по сути" запрет на трансграничную передачу ПДн не соответствует действительности, т.к. ФЗ-242 не трогает 12-ю статью ФЗ-152, посвященную как раз трансграничной передаче. Формально г-жа Приезжева права, а вступать со мной в полемику по поводу того, как работает Интернет и как можно передавать что-то за пределы РФ без хранения "там", представитель Роскомнадзора не захотела (Роман Валерьевич Шередин был гораздо более открытым в этом плане и готов был дискутировать, соглашаться или нет). 
  2. В невозможности бронировать гостиницы, лечиться зарубежом, учиться в иностранных ВУЗах, посещать зарубежные мероприятия г-жа Приезжева также никаких ограничений прав граждан не усмотрела. Видимо чиновники живут по каким-то своим законам и не регистрируются нигде при посещении иностранных государств, включая и сопредельных соседей по ШОС, ОДКБ и СНГ.
  3. На мой вопрос о дублирующих базах ПДн, Роскомнадзор ответил, что такого понятия, как "дублирующая база данных" законодательство не содержит, а посему и ответить они не могут.
  4. Конфликта ФЗ-242 и Евроконвенции г-жа Приезжева также не углядела, так как по ее мнению, ФЗ-242 не вносит изменений в статью 12 ФЗ-152, который регулирует вопросы трансграничной передачи ПДн.
Однако было во всем ответе Роскомнадзора и одно здравое зерно. Заключалось оно в том, что ФЗ-152 действует только на территории РФ и таким образом обработка ПДн, которая ведется за пределами РФ, регулируется нормативными актами тех стран, в которых эта обработка и осуществляется.

Ответ Роскомнадзора
Но и это еще не все, наиболее интересным среди всех ответов мне показалось письмо из Минкомсвязи, о котором я расскажу уже завтра.

16.12.14

Как я писал письма в госорганы по поводу 242-ФЗ о запрете хранения ПДн россиян за границей

В сентябре 2014-го года российские депутаты, спустя всего месяц с момента принятия 242-ФЗ, который сразу же был окрещен законом о запрете хранения персональных данных россиян заграницей, одумались и решили перенесии срок, установленный первоначальное версией закона с 1-го сентября 2016-го года... на 1 января 2015-го. Быстро пройдя первое чтение, а за ним и второе, депутаты получили сигнал сверху охолониться и на время умерили свою прыть в части принятия законопроекта №596277-6 "О внесении изменения в статью 4 Федерального закона "О внесении изменений в отельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" в 3-м чтении.

К этому моменту уже стал известен в широких кругах запрос Ассоциации европейского бизнеса, направленный сразу нескольким регуляторам, включая Роскомнадзор и Администрацию Президента. В своем запросе АЕБ спрашивала будет ли законной обработка ПДн россиян за границей, если в РФ будут находиться дублирующие БД, если эти данные направлены зарубеж самими субъектами или операторами ПДн на законных основаниях, или если эти данные передаются зарубеж на основании международных договоров? Ответ по существу был дан только Администрацией Президента и на все вопросы, если кратко сформулировать пространные ответы, был дан ответ "нет".

Опираясь на полученные ответы, приведенные в СМИ, я сформировал свои вопросы:
  1. Возможно ли хранить персональные данные граждан Российской Федерации за ее пределами при условии наличия дублирующей (копии) базы данных персональных данных на территории Российской Федерации, либо обработка персональных данных на территории другого государства в принципе запрещена?
  2. Возможна ли обработка персональных данных российских граждан на территории стран ЕвразЭС или стран, обеспечивающих адекватную защиту прав субъектов персональных данных в терминах 12-й статьи Закона?
  3. Применяется ли закон экстерриториально и должны ли те лица, в том числе и нерезиденты РФ, которым операторы или непосредственно сами субъекты персональных данных передают свои персональные данные на законных основаниях, также обрабатывать полученные персональные данные на территории Российской Федерации?
  4. Ратификация Российской Федерацией Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных (160-ФЗ от 19.12.2005) приводит к конфликту между Законом и Конвенцией, так как согласно последней сторона Конвенции не должна запрещать трансграничные потоки персональных данных, идущие на территорию другой стороны. Следует ли в данной ситуации следовать положениям Закона или положениям ратифицированной Конвенции, которая, согласно ст.4 Закона имеет бОльшую юридическую силу?
  5. Распространяется ли Закон на персональные данные российских граждан, которые были переданы за пределы Российской Федерации на законных основаниях, до вступления в силу Закона.
Памятуя ответ РКН и Администрации Президента, я не стал направлять свой вопрос им, сосредоточившись на других органах исполнительной власти. В частности я направил свой запрос в МИД России, Минобрнауки, Рособразование, Минюст, Минздравсоцразвития, Ростуризм, Росавиацию, Минтранс, Правительство России, Президенту России и Минкомсвязи.

В МИД, Минюст, Минкомсвязь, Правительство и Президенту я направил список вопросов выше, а остальным госорганам модифицированные вопросы, исходя из сферы их деятельности и с учетом особенностей обработки ПДн за границей:

  • Использование авиационного, морского, железнодорожного и автомобильного транспорта (например, бронирование авиабилетов или аренда автомобиля)
  • Образование (например, обучение в иностранном ВУЗе)
  • Лечение (например, получение медицинской помощи в иностранном медицинском учреждении, в том числе и во время отдыха)
  • Отдых (например, оформление путевок на отдых на иностранных курортах)
  • Осуществление покупок (например, приобретение товаров в Интернет-магазинах)
  • Бронирование гостиниц и транспорта
  • Посещение мероприятий, включая официальные.

30 сентября мои запросы были направлены. А о том, какие ответы я получил, я напишу уже завтра...

11.12.14

Cisco покупает Neohapsis, а Belden покупает Tripwire

Вчера произошло два знаменательных на рынке поглощений ИБ события. Во-первых, Cisco купила частную американскую компанию Neohapsis, известную своими сервисами по ИБ для компаний Fortune 500. В России данная компания известна скорее своими исследованиями и разработанными инструментами для различных задач по безопасности. Размер сделки не сообщается.

Вторым событием стала приобретение за 710 миллионов долларов компанией Belden компании Tripwire. Обе компании мало знакомы российским потребителям, но широко известны в мировой индустрии ИБ. Belden известна на рынке индустриальных решений и, в частности, ей принадлежит бренд Tofino Security - производитель индустриальных межсетевых экранов, которые поставляются в том числе и в Россию. Ну а Tripwire - это вообще ветеран рынка ИБ, начавший свой путь с системы контроля целостности, а сейчас предлагающий и системы управления конфигурацией, и системы анализа защищенности, и системы анализа журналов регистрации.

3.12.14

Intel покупает PasswordBox

1 декабря компания Intel объявила о приобретении канадской компании PasswordBox, известной своим менеджером паролей. Детали сделки не разглашаются.

Вслед за Alcatel-Lucent компания Juniper также прощается с продуктами по ИБ

В 2011-м году компания Alcatel-Lucent приняла решение об оптимизации своей стратегии и продуктовой линейки, что повлекло за собой продажу своего бизнеса безопасности французской Thales. Я об этом писал в ноябре этого года. И вот аналогичное решение приняла другая телекоммуникационная компания - Juniper.

В июле 2014 Juniper уже продала свой бизнес мобильной безопасности и вот пришел черед другим продуктовым линейкам по ИБ. Представитель Juniper заявил, что разработка таких линеек как FireFly Host, WebApp Secure и DDoS Secure будет прекращена (останется только поддержка). Судя по комментариям, с остальными ИБ-продуктами тоже не все просто - вендор признает, что конкурировать с Cisco, Check Point и другими компаниями им сложно.

1.12.14

Отдаю идею разработчикам DLP

Одна из распространенных проблем при внедрении DLP-решений - непонимание того, что мы хотим контролировать. У безопасников свой взгляд на то, чему надо учить DLP, у бизнеса свой. Хотя понятие "взгляда" тут тоже разное. Безопасник имеет утвержденный перечень сведений конфиденциального характера, но не имеет детального списка конкретных шаблонов, которые надо контролировать; хотя бы и ключевых слов. А бизнес знает, что надо контролировать, но не горит желанием общаться с безопасниками. Как можно решить такую проблему? Родилась идея, которую DLP-вендоры могут попробовать реализовать у себя в решениях. Ну или ее можно сделать на базе любого портала, а потом уже "ручками" вносить в DLP-систему.

Портал самообслуживания! Идея лежит на поверхности - дать владельцам защищаемой информации возможность самим указывать, что надо контролировать и защищать. У нас такая же идея реализована в системе Cisco Identity Service Engine (ISE) для самостоятельного заведения личных мобильных устройств сотрудников. Чтобы не нагружать ИТ-департамент, сотрудники (которым позволено иметь мобильные устройство) самостоятельно заводят информацию о них на портале самообслуживания. И также самостоятельно сообщают, если устройство украдено или утеряно.

Портал самообслуживания Cisco ISE

Вот такая же идея может быть реализована и для DLP-систем. Бизнес-пользователи могут самостоятельно загружать на портал файлы с важной информацией, а система может снимать с них отпечатки и использовать в дальнейшей работе. Можно и ключевые слова также вносить в словарь DLP.

Вот как-то так... А может уже такое кем-то реализовано, а я давно отстал от жизни?

28.11.14

Еще одна оценка рынка ИБ индустриальных систем

До недавнего времени существовало три более менее адекватных отчета по анализу рынка безопасности индустриальных систем:
  • "Industrial Control Systems Security. SCADA Security, Industrial Control Networks, Human-Machine Interfaces, Device Controllers, and SCADA Telecommunications: Market Issues, Best Practices, and Global Forecasts" от Pike Research
  • "Industrial Control Systems (ICS) Security Market - Global Advancements, Market Forecast and Analysis (2013 - 2018)" от Markets and markets
  • "ICS Cyber Security Solutions" от ARC Advisory Group.
И вот новый отчет - "IoT and Industrial Control System Security. Annual Worldwide and Regional Market Size and Forecasts: 2014" от Infonetics Research. Новый игрок на рынке аналитики безопасности индустриальных решений.

Отчет вызвал у меня неоднозначное отношение. Лишний раз убеждаюсь, что тема индустриальной ИБ нова для многих - и для производителей, и для регуляторов, и для потребителей и для аналитиков. Иначе чем еще можно объяснить такие серьезные отличия в оценках рынка?

В отчете ARC в 2018-м году объем рынка должен составлять 3,7 миллиарда долларов с почти 14% ежегодного роста. В отчете Markets and markets при 8-мипроцентном росте объем рынка в том же 2018-м составит 10 с небольшим миллиардов долларов. А в отчете Infonetics размер рынка в 2018-м году составит каких-то без малого 700 миллионов долларов; при этом ежегодный рост составляет 66%. По обоим показателям ошибка на порядок - в одном случае в меньшую сторону, в другом - в большую.

Начинаешь копать глубже и понимаешь, что аналитики Infonetics вообще мало понимают в предмете анализа. Североамериканскую электроэнергетическую корпорацию (NERC) они упорно именуют NERTом, а вместо IoT часто пишут IOS (налицо выпуск документа в спешке). Основным потребителем решений по индустриальной безопасности они считают нефтегаз, хотя на самом деле это электроэнергетика (электроэнергетика и Smart Grid в отчете вообще не анализируется). Вся безопасность по версии Infonetics - это распределенные МСЭ. Активно упоминается применение виртуальных машин для развертывания средств защиты на контроллерах и иных элементах индустриальной сети.

А прогноз развития рынка у Infonetics и вовсе по уникальной методике производится. Они вполне закономерно заявляют, что рынок новый и поэтому адекватных цифр по продажам в этот сегмент найти сложно. Но дальше они проделывают трюк, который я так и не понял. Они как-то аппроксимируют общее число проданных в мире МСЭ, деля его на примерное число индустриальных устройств, и выводят число индустриальных МСЭ, которое и приравнивают к общему рынку индустриальной ИБ.

А еще аналитики Infonetics  (а точнее всего один аналитик) каким-то непостижимым мне образом посчитали, что рынок индустриальной ИБ и рынок телекома развиваются по одинаковым законам. Поэтому не понимая тенденций развития первого рынка, они применили тенденции рынка второго, уже хорошо знакомого Infonetics (они по нему отчеты давно выпускают). А дальше второй фокус, который я не понял. Взяв из операторского бизнеса такое понятие как ARPU (average revenue per user, средняя выручка в пересчете на абонента) Infonetics как-то увязал его со стоимостью, масштабом и типом МСЭ, переименовали в average revenue per unit (откуда они берут выручку на устройство?), после чего на выходе родилась цифра рынка индустриальных МСЭ, которая удивительным образом совпала с цифрой из предыдущего абзаца. Видимо это убедило аналитиков, что они на верном пути и отчет был представлен миру.

ЗЫ. Вступил в переписку с автором отчета и утвердился в мнении, что они только-только влезли в эту тему по просьбе своих клиентов и поэтому им еще пахать и пахать в ней.

27.11.14

Куда глядят российские ИБ-стартапы?

Продолжу тему отечественных стартапов по ИБ. Сегодня, в условиях непростой геополитической ситуации, когда многие компании начинают смотреть в сторону импортозамещения и искать аналоги используемых у себя зарубежных решений их отечественными копиями, ИБ-стартапы могут получить неплохой толчок к развитию. С учетом одного "но". Стартап должен быть ориентирован на работу в России.

Бытует мнение, что стартап обычно создается, чтобы продаться крупной компании. Возможно. Это неплохо. Получить деньги за свой труд - вполне нормальная бизнес-стратегия. И не так уж и важно, откуда эти деньги пришли - из зарубежа или из России. Хорошо, конечно, если они имеют отечественное происхождение. А что если нет? Для создателей стартапа это не так уж и важно. Деньги не пахнут, как говорится. Но вот в контексте информационной безопасности в условиях импортозамещения это может иметь значение.

Во-первых, грядущий выход нормативного акта определяющий, что считать отечественным, а что нет. Продажа стартапа на Запад или получение иностранных инвестиций в обмен на контрольный пакет акций могут превратить изначально отечественное решение из спасения в угрозу (хотя мы прекрасно понимаем, что продукт при этом остался тем же, а может быть даже стал лучше).

Во-вторых, существует риск, что отечественный стартап может перейти под контроль спецслужб. Например, в начале года Palo Alto купила небольшую американскую Morta Security, имеющую отношение к Агентству национальной безопасности и Министерству Обороны США. Но ведь возможна и обратная ситуация?! Опять же, для стартапа - это и нехорошо и неплохо. А вот для цифрового суверенитета все не так просто.

Вообще-то, и первый и второй сценарий не является чем-то уж совсем плохим. С точки зрения бизнеса у них вообще нет никакой окраски. Один человек захотел продать, другой купить. Все нормально. Только вот для апологетов "исконно русских" решений по ИБ стоит подумать, а что делать, если владелец продукта решил заработать на своем детище (вполне нормальное и адекватное желание)? Готовы ли апологеты к такому повороту событий? Может быть сразу стоит искать только стартапы, ориентированные на работу в России (в надежде, что со временем они не пойдут на Запад за инвестициями)? А может быть ИБ-стартапам запретить смотреть "на сторону"?

Поучаствовав в конкурсе Сколково iSecurity могу выделить несколько критериев, которые помогают понять устремления владельцев/авторов ИБ-стартапа. Некоторые участники прямо писали в своих заявках, что они ориентированы на западный рынок, сравнивали себя с западными аналогами, и даже уже подали патентные заявки в США, как наиболее привлекательном рынке сбыта.

Краткое сравнение стартапов, ориентированных на Запад и на Россию

Неужели стартап, смотрящий на Запад, это плохо? Ни в коем случае! Мне хотелось показать немного иное. Сегодня, в условиях непростой экономической ситуации ждать серьезной помощи и инвестиций от государства в ИБ-стартапы не приходится. Тот же победитель конкурса iSecurity получил "от государства" 5 миллионов рублей, а частная Runa Capital в него же инвестировала не менее 500 тысяч долларов, что по нынешнему курсу составляет свыше 20 миллионов долларов. А ведь есть много компаний, которые не выигрывают конкурсов и могут рассчитывать только на себя. Им приходится искать инвесторов везде, в том числе и заграницей. Ругать их за это было бы неправильно. Не считать российскими - тоже.

Вообще, разговоры о отечественности или неотечественности софта/железа в современных реалиях - это утопия. Про это неплохо написал гендиректор Acronis Сергей Белоусов. По его мнению, попытка Минкомсвязи ввести критерии обрекут отечественную отрасль ИТ и ИБ на прозябание, а то и загнивание. В условиях глобализации, когда все используют ресурсы (финансовые, человеческие, интеллектуальные) всех, нельзя ограничить развитие компании/продукта только одной страной. А если кто-то хочет это сделать, он должен вкладывать туда колоссальные ресурсы и обеспечивать разработчиков госзаказом. Вот тогда можно будет рассчитывать, что ИБ-стартапы будут "исконно русскими" и не будут смотреть на Запад, создавая дополнительные угрозы ИБ.

26.11.14

Видео моего выступления на BIS Summit 2014

О! Наткнулся на видеозапись моего выступления с прошедшего в сентябре BIS Summit 2014, где я вещал про финансовое измерение ИБ.



Организаторам еще раз спасибо за отличное мероприятие и то, что дали возможность участникам (и тем, кто не смог) и по окончании знаменательного события вернуться к наиболее интересным докладам и запомнившимся выступлениям (они выложены на сайте конференции).

Краткий анализ результатов конкурса стартапов по ИБ iSecurity

Этой осенью проходил конкурс стартапов по ИБ iSecurity, организованный фондом "Сколково", и в жюри которого мне довелось поучаствовать. Как написано на сайте проекта, "iSecurity - конкурс инновационных проектов по теме информационной безопасности представляющий победителю грантовое финансирование и менторскую поддержку лучших профессионалов отрасли".

Сначала я хотел посвятить каждому проекту по отдельной заметке, но оказалось, что это сделать непросто, т.к. фонд Сколково не мог мне дать право рассказывать об участниках без их согласия. А опрашивать несколько десятков инициаторов проектов - хотят они или нет, чтобы я про них написал (не всегда хорошее), мне было лень, если честно. В итоге имена участников так и останутся за кадром, а я поделюсь общим впечатлением от участия в жюри конкурса.

Сразу отмечу, что оценщик из меня плохой и я уже писал, почему :-) Поэтому, наверное, победа в конкурсе компании Wallarm была закономерна. При уже готовом и продаваемом продукте несложно было правильно его описать и получить если не максимальное, то большое количество баллов по большинству критериев оценки, среди которых:

  1. Достаточность предоставленной информации о проекте 
  2. Соответствие тематике Конкурсного отбора
  3. Потребительские свойства разрабатываемого в рамках проекта продукта
  4. Научно-техническая инновационность проекта
  5. Вероятность достижения заявленных показателей проекта с учетом требований настоящего Положения
  6. Перспективы коммерциализации проекта при достижении заявленных показателей
  7. Команда поекта

Несоответствовал тематике только один стартап, предложивший какую-то новую схему переработки рисовой лузги и соломы, с получением золы с содержанием диоксида кремния :-) Может быть оно и имеет отношение к безопасности, но явно не к информационной. Но, когда я читал эту заявку, взбодрила она сильно :-) Остальные же конкурсанты предлагали проекты по тематике ИБ. Я позволил себе разбить их по направлениям и получилась вот такая картина:

Представленные проекты стартапов по направлениям
Не вдаваясь в детали по каждому наименованию могу только отметить, что в проекте участвовали компании, которые предлагали как традиционные, так и облачные решения в области безопасности. Например, SaaS-сервис по защите сайтов (остальные предложения в этом сегменты были традиционными WAFами), облачный сканер исходных кодов (и это не Appercut :-), облачная система анализа рисков.

Анахронизмом, на мой взгляд, выглядел проект по защите от копирования (с конца 90-х я про такие решения для защиты ПО и не слышал уже давно), проект по защите ПДн (тема до сих пор "горячая", но явно не для стартапа) и 5 проектов от одной компании по защите от утечек по техническим каналам. Не могу сказать, что последняя тема неактуальна, но явно имеет очень узкое применение даже в России, не говоря уже о проникновении на мировую арену. Именно поэтому я этим проектам снизил оценки по показателям 3, 4 и 6.

Были проекты, безусловно, очень интересные, но имеющие малые шансы на то, чтобы получить хоть какое-то практическое применение. Например, стартап по гомоморфному шифрованию. В условиях засилья ГОСТа 28147-89 и нежелания ФСБ хоть как-то развивать рынок криптографии в России, этот проект обречен. Поэтому по 6-му показателю у этого проекта была самая низкая оценка.

В сегмент идентификации и аутентификации я включил разнородные проекты - и голосовую аутентификацию, и систему идентификации пользовательских устройств, и традиционную систему идентификации/аутентификации, но для определенной сферы применения. В остальном разбиение на сегменты не должно вызывать вопросов.

Теперь несколько слов о том, как были представлены проекты. Ряд проектов еще не вышел за рамки изучения своей рыночной ниши и поэтому их авторы могли много чего сказать и написать в заявке о своих конкурентах (и как новый продукт их порвет), но мало что могли сказать о своем продукте, кроме как описать главную идею. Хотя некоторые даже идею не могли грамотно сформулировать - приходилось продираться через сложные формулировки с растеканием по древу. Наверное, именно поэтому, многие проекты у меня получили низкую оценку. Я так и не смог понять, за счет чего какой-нибудь WAF или антивирус должен "порвать" текущих игроков рынка. Поэтому и снизил оценки по показателям 3, 5 и 6.

С победителем iSecurity ситуация была иная - было представлено достаточно информации по всем направлениям. Справедливости ради надо признать, что Wallarm - опытный участник различных инвестиционных конкурсов. Например, год назад в них уже была инвестирована крупная сумма от Runa Capital.

Кстати, очень многие участники конкурса iSecurity были нацелены на зарубежные рынки. А некоторые и вовсе изначально на них и планировали работать. Иначе как объяснить, что у ряда проектов не было русскоязычного сайта, но зато был англоязычный ресурс? У того же победителя конкурса iSecurity, компании Wallarm, нет сайта на русском языке. Аналогичная ситуация и с некоторыми другими стартами, которые, к сожалению, не видят перспектив на российском рынке.

Я не раз уже писал, что стартап - это не только техническая идея, но и бизнес вокруг нее. Его тоже почти не наблюдалось. Многие проекты были представлены аспирантами или преподавателями ВУЗов и поэтому описаны сухим научным языком, в котором не было ни малейшего намека на то, как из красивых формул или алгоритмов извлекать деньги. В таких случаях я мог поставить высокую оценку по 7-му показателю, но низкие по показателям 3, 5 и 6.

В итоге победу одержал Wallarm, который почти по каждому показателю превосходил других игроков. Исключая быть может 4-й критерий - инновационность. Нельзя сказать, что Web Application Firewall'ов на рынке не представлено. Но учитывая последние геополитические изменения Wallarm имеет вполне неплохие шансы на то, чтобы завоевать российский рынок (если, конечно, захочет ориентироваться на Россию). Правда, ему придется конкурировать с другими отечественными решениями, например, PT Application Firewall или Tempesta FW. Правда, и Tempesta тоже, похоже, ориентирована на иностранцев - русскоязычного сайта я у них не нашел.

В следующем году конкурс iSecurity пройдет вновь. По крайней мере такие планы были озвучены организаторами. Будущим участникам могу только посоветовать чуть больше внимания уделять подготовке материалов. Это поможет увеличить шансы на победу. 

25.11.14

Danaher сказал своему активу по борьбе с DDoS "Да на..."

13 октября малоизвестная американская корпорация Danaher, работающая в области технологий для здравоохранения, продала свои коммуникационные активы другой американской компании NetScout. Среди проданных компаний, корпорация с таким привычным русскому уху именем, оказался и хорошо всем известный своими Anti-DDoS-решениями Arbor Networks. За Arbor, а также Tektronix и Fluke, NetScout отдал 62,5 миллиона своих акций, что на момент объявления сделки составляло около 2-х с половиной миллиардов долларов.

Впечатление от Cisco Connect Moscow 2014

Писать про собственное мероприятие может получиться и не объективно, но я постараюсь. Тем более, что я присутствовал на нем скорее как один из участников, чем организатор, и поэтому надеюсь, что смогу описать данное событие непредвзято. Да и писать я буду не обо всем, что происходило на Cisco Connect Moscow 2014, а только о запомнившихся мне моментах. Тем более, что я регулярно описываю всякие мероприятия и "фишки" с них.

Как театр начинается с вешалки, так любое мероприятие начинается с регистрации. Как спикер я получал свой бейдж на отдельной стойке, но за три дня (а я был в разное время - и утром, и вечером) не вспомню ситуации, чтобы на стойках были толпы.

Стойки регистрации

Исключение составлял, пожалуй, гардероб, в который по окончании дня стояли очередь за одеждой аж со второго этажа Центра международной торговли (ЦМТ). Правда, и очередь шла очень живо, и наличие бесплатного Wi-Fi, предоставленного Вымпелкомом, помогало скоротать время. Кстати, с туалетами проблем тоже не было :-)

Регистрация. Гардероб находится сзади и слева
Очень порадовала отдельная зона отдыха Cisco Social Media Studio. Мягкие пуфики бывают на многих конференциях, а вот отдельная зона для селфи :-), разнообразные игрушки, позволяющие отвлечься, и кофе (!!!) - это редкость. Особенно бесплатное кофе. В принципе, на Cisco Connect регулярно проходили кофе-брейки, на которых можно было выпить кофе и съесть что-нибудь калорийное, но у меня обычно времени не хватало, чтобы успеть в перерыв зайти и налить что-то. Мини-кофейня спасала неоднократно.

Зона отдыха Cisco Social Media Studio
В зоне Cisco Social Media Studio, можно было отдыхая оставаться на связи, т.к. на экран проецировались различные анонсы, сообщения из Твиттера и другая полезная информация. Кстати, о развлечениях. Их было немало. Что-то организовала сама Cisco...

Набор игрушек немаленький


...что-то предлагали партнеры. Например, УЦ Микротест проводил регулярные стрельбы из лука, совмещенные с конкурсами на знание ИТ.


Вот эту трехмерную реальность я так и не попробовал. Но в последнее время всякие 3D-штучки становятся популярными на ИТ/ИБ-тусовках. Например, на осенней конференции Аста74 в Челябинске был представлен 3D-принтер, который печатал объемные бюстики участников конференции :-)


Забавно выглядели и ходящие по залам фигуры сервера Cisco UCS и крокодила (от Крока). Собственно, никакой полезной нагрузки они не несли, но фотографировались с ними все постоянно :-) А за фотки с Croc'одилом Крок еще и призы давал в виде психоделических фоторамочек.


Плюевый сервер Cisco UCS
Кстати, видя крокодила, я все время задавался вопросом из серии "а как матросы на подводной лодке обходятся без женщин?" В данном случае мой вопрос звучал "а как он ходил в туалет?" :-) Так я и не смог на него найти ответ, а спросить постеснялся :-)

Крокодил Гена от Крока

Народа на мероприятии было много - толи превысили мы 3-хтысячный рубеж, толи подошли к нему вплотную. Но дело даже не в этом. Мы в очередной раз подтвердили тот факт, что интересное мероприятие вполне может собирать толпы народа, даже если оно платное. По сути, последние годы мы опровергаем распространившееся среди некоторых организаторов заблуждение, что в России на платные мероприятия не ходят. Ходят! Но только мероприятие должно соответствовать.

Главный холл. Встречи и кофе-брейки 
На фотографиях можно обратить внимание выдержанное в едином стиле мероприятие. Оно в этом году было посвящено "Всеобъемлющему Интернету" и об этом напоминало многое, даже ступени лестницы :-) Пустячок, но именно из них складывается общее впечатление от посещения мероприятия.

Ступени брендированной лестницы
На первом этаже была устроена демо-зона, разбитая на блоки - безопасности, беспроводка, центры обработки данных и т.п.

Выставочная и демонстрационная зона, а также зона обеда 

На стендах не только организовывались встречи и обсуждения, но и проводились короткие презентации по темам, которые не "доросли" еще до освещения в главных залах, но при этом достаточно часто вызывают вопросы "а как это сделать". Вот такие экспресс-презентации на стендах и проходили.

Дмитрий Казаков рассказывает о решении Cisco ISE для контроля мобильными устройствами
На европейских и американских Cisco Live в прежние времена проводились так называеме "Сетевые клиники", на которых можно было задать вопрос экспертам и получить развернутый ответ, вплоть до отрисовки дизайнов и схем подключения. Было такое в этот раз и на Cisco Connect. Для этого использовался флипчарт.

Андрей Москвитин рассказывает об особенностях внедрения Cisco FirePOWER
Демонстрации тоже были. Для облегчения на стене у каждого стенда висела схема организованной мини-сети с установленными решениями. На стенде безопасности было 10 таких решений.

Карта демо по безопасности

Что обычно очень плохо воспринимается на таких презентациях, организованных в больших и шумных помещениях? Ничего не слышно! На Cisco Connect было учтено и это. Посмотрите - у Дмитрия Казакова микрофон-гарнитура, в которую он говорит. Посетителям стенда выдавали наушники-гарнитуры, которые позволяли докладчики не срывать голос, а слушателям - нормально слышать все, что говорят, несмотря на окружающий гул. Очень интересная фишка - я такую мало где видел раньше (хотя и такого масштаба мероприятий не так уж и много проводится).

Гарнитура позволяет не срывать голос / нормально слушать во время мини-докладов на стендах

Кстати, обратите внимание на стену стенда слева. Там наклеены "лайки", которые позволяют оценить участников стенда - ответы на вопросы, мини-презентации и т.п. Очень интересный вариант, отражающий интерес к той или иной теме и умение "владельцев" стенда эту тему правильно донести. Хочется отметить, что стенд по безопасности Cisco собрал наибольшее среди всех остальных стендов число лайков (их даже пытались по-дружески "воровать" "спонсоры" других стендов Cisco Connect Russia 2014).

Стена... лайков по окончании первого дня
Кстати, об оценках. В прошлые года оценка докладов производилась "по старинке" - через бумажные анкеты. Обработка нескольких сотен тысяч анкет (5 потоков, 8 докладов, 3 дня, 2 с лишним тысячи человек) занимала время и немалое; обычно 2-3 недели. В этом году на Cisco Connect было сделано свое приложение, которое позволяло оценить тему доклада и мастерство докладчика. Это позволяет произвести выбор лучших докладов и спикеров гораздо быстрее - за считанные минуты. Бумажная анкета была и в этот раз, но с ее помощью оценивали мероприятие в целом.

Оценка спикеров велась и в социальных сетях. Вообще, Cisco Connect Russia 2014 очень активно сопровождалась в Facebook и Twitter (возможно и в ВКонтакте, но я им не пользуюсь). Постоянные напоминания о ближайших докладах, проводимых конкурсах и другие объявления помогали быть в курсе происходящего.

Очень интересная затея - "Виртуальный день". Он проводился онлайн за день до Cisco Connect. Авторизованные учебные центры Cisco организовалы часовые презентации на различные темы - из 9-ти докладов, 4 было посвящено безопасности. С записями докладов уже можно ознакомиться.

Один из распространенных вопросов, который обычно задается после конференций - "А запись будет?". Для платных мероприятий это всегда больной вопрос. Выложишь все записи - никто не будет платить и приходить. Не выложишь - будут обижаться. Поэтому обычно используется промежуточный вариант - выкладываются некоторые избранные записи. На Cisco Connect пошли немного иным путем. Каждый день велась онлайн-трансляция избранного потока. В третий день конференции им оказался поток по информационной безопасности (до этого были ЦОДы и SDN). Но это не просто была однонаправленная трансляция - с помощью системы Cisco Webex слушатели могли задавать вопросы и эксперты Cisco отвечали на них. Была организована обратная связь в реальном времени. По отзывам онлайн-участников это было круто. С записанными трансляциями можно ознакомиться и после мероприятия.

Еще одной "фишкой", о которой я хотел рассказать, стал "паспорт делегата". Эта брошюрка поначалу показалась мне обычным блокнотом для записей, но все оказалось гораздо интереснее. Помимо просто полезной информации о самом мероприятии (время работы, доступ к Wi-Fi, ссылка на мобильное приложение, схема выставки и мест для кофе-брейков и туалетов, расписание докладов, информация об онлайн-трансляции, сведения для командированных посетителей)...


...в паспорте содержались отрывные "лайки" для оценки работы демо-зон, отрывные талоны на питание.

Информация о питании и талоны на него

...а также информация о конкурсе Connect the Unconnected. Идея проста - из имеющихся отрывных пиктограмм надо было "создать" свою личную карту Всеобъемлющего Интернета. Что-то вроде такой:

Пример проекта по Всеобъемлющему Интернету

В заключение стоит сказать и о мобильном приложении, которое позволяет сформировать в личном кабинете собственную программу интересных докладов (она же могла быть составлена и на сайте мероприятия), посмотреть биографии докладчиков и схему залов, получать различные оповещения, а также голосовать за доклады.

Мобильное приложение Cisco Connect Moscow 2014
Вот, наверное, и все, что мне хотелось рассказать о Cisco Connect Moscow 2014. Получилось много, а все потому, что куча разных фишек, которые стоят того, чтобы про них написать. Каждая по отдельности они, быть может, и встречаются на других мероприятиях, но так чтобы все вместе? Я такого не встречал. Разумеется, все эти "прибамбасы" стоят денег и отчасти именно они и составляют львиную долю стоимости участия. Но, как мне кажется, оно того стоит. Именно из таких, не всегда видимых "мелочей", и складывается впечатление. Именно они и помогают провести 3 дня почти в центре Москвы с пользой; и при этом не устать от обилия информации (все-таки 7-8 параллельных потоков).

ЗЫ. Еще на Cisco Connect Moscow 2014 был классный магазинчик с продукцией с символикой Cisco - кружки, футболки, толстовки, рубашки, флаги...

Cisco Shop