27.4.15

Что было на RSA для тех, кто там не был или куда катится ИБ-мир?

В прошлом году я уже проводил блиц-анализ того, что рассказывалось на RSA Conference 2014 - ключевом мероприятии в отрасли ИБ в мире, которое задает тон на ближайший год. В прошедшую пятницу завершилась очередная  конференция RSA и можно повторить экспресс-анализ происходящего там. Разумеется это поверхностная оценка, которая строится на анализе встречаемости слов в программе мероприятия. Вот, что получается, если загнать программу в специализированный сервис, предварительно убрав из текста время, даты и место проведения мероприятия.



Смотря на картинку, можно сделать вывод, что на первое место вышла тема песочниц, которая и в прошлом году превалировала среди докладов. Но это не так. Просто организаторы RSAC решили обыграть ИБ-термины P2P и "песочница" в форматах организации мероприятий. Поэтому смело удаляем их из текста.
Слово "security" на конференции по безопасности, очевидно, является самым распространенным и поэтому его тоже надо убирать.
Но и в данном варианте слишком много слов-паразитов или слов, которые сбивают с толку, например, crowdsourced, которое не имеет отношения к ИБ, а скорее к очередному формату проведения мероприятия. Удаляем.
Опять вылезают слова-паразиты - cyber, building, information, world, technology... Они излишни для поставленной задачи. Удаляем и их. Итог у нас следующий:
Если исходить из предположения, что чаще всего используемые в программе мероприятия слова и определяют тренды в ИБ, то у нас они следующие:

  • Облака
  • Аналитика в области ИБ
  • Управление идентификацией
  • Сетевая безопасность
  • Интернет вещей и, в частности, безопасность автомобилей
  • Угрозы
  • Реагирование на инциденты
  • Индустриальная ИБ (ИБ АСУ ТП).
ЗЫ. Кстати, презентации с RSA Conference уже выложили. 300+ отборных материалов с тенденциями в области ИБ.



23.4.15

Инфосистемы Джет выделяет ИБ в новую компанию - Solar Security

Ну и дабы закончить сегодня день темой "консолидации", вспомним про недавнее событие на рынке ИБ, но уже на российском - известный интегратор "Инфосистемы Джет" 21-го апреля объявил о выделении части своего ИБ-бизнеса (разработка и услуги аутсорсинга) в отдельную компанию Solar Security. Оценивать данное событие сейчас трудно - поэтому просто констатирую сей факт. И, конечно, желаю коллегам удачи в это замечательное для развития ИБ время.


General Dynamics продает Fidelis Cybersecurity

Американский оборонный поставщик General Dynamics, купив в 2012-м году компанию Fidelis Cybersecurity, 14-го апреля заявил о том, что продает этот бизнес инвестиционному фонду Marlin Equity Partners (из принадлежащих им 85 компаний я знаю только Arcserve и Phoenix /производитель BIOSов/). Мотивация - желание сконцентрироваться на своем основном бизнесе в области оборонки. Несмотря на то, что за 3 года оборот Fidelis внутри GD удвоился, последняя все-таки решила избавиться от этого актива. Размер сделки не сообщается.

Raytheon покупает Websense

Полтора года назад я написал заметку о том, что к 2023-му году мировой рынок кибербезопасности будет совсем не таким, как сейчас; его захватят совершенно непривычные нам игроки, преимущественно из сектора мировой (американской) оборонки - Lockheed Martin, Booz Allen Hamilton, Boeing, Raytheon и др. И вот постепенно названные игроки начинают проявлять себя. В прошлом году Lockheed Martin купил Industrial Defender, а на днях, 20-го апреля один из основных поставщиков американской армии - Raytheon объявила о приобретении компании Websense, выделении своего подразделения Cyber Products, и интеграции обеих составных частей в рамках новой компании.

Ракета Патриот, разработанная Raytheon, - новое средство борьбы с APT :-)
Прошло меньше двух лет, как инвестиционный фонд Vista Equite купил Websense за почти 1 миллиард долларов. И вот Websense выделяют в совместное с Raytheon предприятие, в которой Vista Equite вкладывает 335 миллионов долларов и 1,6 миллиарда вкладывает Raytheon (всего последний тратит на эту сделку около 1,9 миллиардов). Судя по всему Raytheon хочет усилить свое присутствие за пределами США (у Websense 50% бизнеса за пределами США), а также выйти за рамки имиджа "поставщика для армии и разведки" и поставлять решения по кибербезопасности в гражданский и государственный сектора, в которых присутствовал Websense. При этом представители Raytheon все как один заявляют, что они привнесут в решения Websense технологии мирового уровня, которые были разработаны Raytheon'ом для американской оборонки и разведки.

Для Raytheon это не первая сделка в области ИБ. В ноябре 2014-го года за 420 миллионов Raytheon купил Blackbird Technologies, неизвестную у нас компанию, занимавшуюся технологиями слежки и кибербезопасности. В 2011-м Raytheon купил еще одного игрока в области кибербезопасности - неизвестного у нас американского военного контрактора Pireworks, который ранее спонсировался DARPA по ряду ИБ-проектов.

В России решения Websense были достаточно известны и данная сделка ставит на повестку дня несколько вопросов, ответы на которые должны появиться по мере становления новой объединенной компании:

  • Какой будет стратегия американского оборонной компании в России, учитывая текущую геополитическую ситуацию?
  • Как отнесутся заказчики к продукту, который производит компания, активно работающая с американской разведкой?
  • Будет ли ребрендинг компании и, если да, что будет с сертификатами ФСТЭК, которые выданы на другое название?

ЗЫ. А Raytheon, кстати, в январе уже заявлял о своей агрессивной политике поглощений на рынке кибербезопасности.

20.4.15

Что Банк России и российские банки думают про безопасность мобильных платежей?

На прошлой неделе в прессе началась шумиха о заражении мобильных устройств под управлением Android 350 тысяч клиентов российских банков и нанесенном им ущербе в 50 миллионов рублей. В итоге в прошлую среду Банк России опубликовал у себя на сайте сообщение "О несанкционированных операциях, совершенных с использованием устройств мобильной связи". Произошло это спустя месяц с момента вступления в силу новой редакции положения Банка России 382-П, устанавливающего требования по защите информации при осуществлении денежных переводов, в т.ч. и мобильных.

В 382-П вопросам безопасности мобильного банкинга, как самостоятельной задаче, внимания почти не уделено, что и понятно. Все-таки мобильный банкинг с точки зрения защиты отличается от обычного только способом получения клиента ДБО - через магазин приложений Apple, Google или Microsoft. Вся остальная обработка, реализуемая на стороне банка, идентична Интернет-банкингу и другим формам денежных переводов от физлиц. Кроме того, клиенты не входят в сферу регулирования ни Банка России, ни иных регуляторов. Поэтому ни ФЗ-161 о Национальной платежной системе, ни ПП-584 о защите информации в платежных системах, ни 382-П не распространяются на клиентов и не требуют от них ничего в контексте обеспечения информационной безопасности.

Поэтому Банк России, продолжая свою традицию, начатую письмами Банка России 120-Т от 02.10.2009 и 154-Т от 22.11.2010 и распространяющихся на банковские карты, решил вновь выпустить некоторую памятку для клиентов, но уже как пользователей мобильного банкинга, а не платежных карт. Эта памятка содержит в себе 8 простых и при этом здравых рекомендаций:

  • установить на устройство мобильной связи антивирусное программное обеспечение с регулярно обновляемыми базами
  • не переходить по ссылкам, приходящим из недостоверных источников, в том числе на известные сайты
  • своевременно уведомлять кредитную организацию о смене номера телефона мобильной связи, который клиент предоставил кредитной организации для получения услуги «мобильный банкинг», в том числе, на который происходит информирование об операциях по счету клиента
  • не скачивать на устройство мобильной связи приложения из непроверенных источников
  • не передавать устройство мобильной связи и платежную карту для использования третьим лицам, в том числе родственникам
  • не сообщать третьим лицам, в том числе сотрудникам кредитной организации, ПИН-код платежной карты и контрольный код, указанный на оборотной стороне платежной карте (СVV/CVC-код1 ), пароли от «Клиент-банка», одноразовые коды подтверждения
  • при наличии подозрения, что такие данные стали известны третьему лицу, необходимо сообщить об этом кредитной организации по контактным данным, указанным на ее официальном сайте
  • в случае обнаружения списания денежных средств необходимо в сроки, установленные законодательством РФ, обратиться в кредитную организацию или к оператору связи (если произошло списание денежных средств, предоставленных оператору связи в качестве оплаты услуг связи, в том числе перечисление денежных средств на «короткие номера»).
У меня, по сути, претензия только к последней рекомендации, а точнее к "срокам, установленным законодательством РФ". Где они установлены и почему нельзя было просто указать конкретное значение?

Я бы хотел посмотреть на данное событие (шумиха и документ ЦБ) с двух точек зрения. Первая касается экономики. Отдельные "эксперты" в очередной раз заявили о том, что вот он, наступающий апокалипсис мобильных платежей и надо срочно всем банкам бежать и заказывать услуги анализа защищенности мобильных приложений и вообще отдельным экспертам тяжело в одиночку сдерживать натиск хакеров всего мира и пора бы всем уже проснуться. Я хочу вновь вернуться к своей заметке двухлетней давности.

Сейчас тема экономической оценки эффективности вновь на коне и если смотреть на деятельность служб ИБ не с точки зрения торговли страхом, а с точки зрения банальной оценки выгод и затрат, то необходимость борьбы с мобильными банковскими угрозами не такая уж и очевидная (если не сказать больше). Ситуация с общим состоянием мобильных платежей не сильно изменилась по сравнению с описанной 2 года назад (соотношение осталось таким же).  И если мы посмотрим на текущий кейс, то картина следующая - 350 тысяч пострадавших и 50 миллионов рублей, о которых говорят журналисты. Делим одно значение на другое и получаем 142 рубля потерь на одного клиента. СТО СОРОК ДВА рубля! Ответьте себе на вопрос - вы будете что-то делать из-за такого ущерба? Вы поставите себе на смартфон антивирус? К слову сказать, тот же антивирус Касперского для Android стоит в год 300 рублей. Чтобы его окупить со мной должно случиться не менее трех аналогичных инцидентов в год. 

Правда по данному инциденту необходимо сделать несколько оговорок:
  • Если верить тому, что число пострадавших именно таково, то данный инцидент малоинтересен для клиентов банков - ущерба для них нет и заморачиваться этим не стоит (я бы не стал точно). Если число реальных пострадавших меньше и значение 350 тысяч выбрано для показа "сурьезности", то в этом случае потери на одного клиента будут больше. Но насколько?
  • Если посмотреть на инцидент с точки зрения банка, то тут все зависит от числа пострадавших банков. Если он один, то стоит задуматься о том, что существует риск, что 350 тысяч жертв обратится за возвратом своих незаконно списанных средств (пользуясь 9-й статьей ФЗ-161). И тогда 50 миллионов - это потери одного банка. Это может заставить задуматься. Но в статье говорится о нескольких банков и в этом случае надо считать реальные потери для каждого банка (с учетом практики обращений клиентов по 9-й статье).
  • Чтобы делать вывод о серьезности проблемы в общероссийском масштабе нужна общая статистика об инцидентах с мобильными платежами и объеме похищенных или готовящихся к хищению средств. К сожалению Департамент НПС Банка России до сих пор так и не опубликовал статистику по собранным по 203-й форме отчетности инцидентам. Последняя опубликованная статистика датирована первым полугодием 2013-го года.
Отсюда вывод с точки зрения экономики ИБ - каким бы страшным не казался данный инцидент (или как бы не запугивали отдельные представители отрасли), с точки зрения экономической целесообразности борьба с этой проблемой не такая уж и очевидная в настоящий момент.

Есть и вторая точки зрения. Это compliance (три драйвера "продаж" ИБ - страх, compliance и экономика). В 382-П у нас есть пункт 2.7.5, согласно которому, при обнаружении вредоносного кода участники платежной системы должны обменяться информацией о вредоносе. Банки должны сообщить оператору платежной системы, а он, в свою очередь, остальным участникам платежной системы. В п.2.12.3 также есть требование о необходимости обязательного уведомления клиентов о рисках несанкционированного доступа к защищаемой информации и мерах по их снижению. И вот тут возникает закономерный вопрос - а должны ли были банки уведомлять своих клиентов о данной угрозе? И в какой форме? И с какой периодичностью? Один раз при заключении договора? При каждом инциденте? Или еще как-то? Такой вопрос, кстати, возникал при подготовке еще второй редакции 382-П, но по ряду причин его так и не рассмотрели. Поэтому сейчас я бы рассматривал публикацию на сайте Банка России как пример того, как можно это сделать.

Впечатления от межотраслевого форума директоров по ИБ

В пятницу завершился очередной Межотраслевой форум директоров по безопасности, на котором я делал небольшое выступление про регуляторику, "подменяя" регуляторов. По традиции хотел бы поделиться некоторыми впечатлениями о мероприятии.

Начну с того, что это действительно межотраслевой форум, собравший специалистов из разных отраслей. Причем выступали представители не только традиционных банков, ТЭК, телекоммуникации и ритейла, как это часто бывает. Были логистические компании (и не одна), фармацевтика (правда, западные Novartis и BAYER), парфюмерия и косметика, металлургия, авиапромышленность, проектные организации. Такой спектр позволяет взглянуть на ИБ с разных сторон.


Кризис, безусловно, сказался на мероприятии - участников было меньше, чем в прошлом году. Возможно, конечно, что многие решили посмотреть прямую линию с Президентом, которая была в этот день. Но зато место проведения было выбрано очень достойное - отель Метрополь в центре Москвы.


Чем мне еще нравится межотраслевой форум - так это отсутствием выступающих спонсоров с невнятными или рекламными докладами. Безусловно они присутствуют, куда ж без них, но их очень мало. Интересных докладов, особенно от директоров и менеджеров по ИБ гораздо больше. На самые разные темы. Про коммерческую тайну...

Доклад Сергея Гусева из Северстали про защиту коммерческой тайны
про перенос персональных данных в облака и внешние ЦОДы...

Доклад Михаила Емельянникова

про управление рисками...

Доклад Федора Курносова из Эльдорадо

про экономику ИБ...

Доклад Дмитрий Мананникова из СПСПР-Экспресс
про взаимодействие с ИБ-компаниями и вообще про непростую жизнь иностранных/глобальных компаний в России...

Доклад Юлии Суслиной из Новартис
Вообще интересных докладов было много; про все в одной заметке и не расскажешь. Ждем презентаций... Но помимо выступлений на межотраслевом форуме было просто замечательное и живое общение в кулуарах. Как всегда, большинство новостей узнаешь именно в них :-)

С Алексеем Волковым :-)
Ну и конечно нельзя не упомянуть про некоторые фишки форума. Во-первых, это регистрация. Мне на почту за пару дней до начала пришла напоминалка с моим личным номером, который позволил мне пройти в ускоренном режиме получить бейдж. У стола регистрации стоял мобильный киоск, в котором можно было ввести свой номер и оперативно получить бейдж и набор материалов. Это как регистрация на самолет, когда не надо толпиться у стойки регистрации и посадочный талон печатается самостоятельно.

И во-вторых, мобильное приложение. Удобство такого софтинки я приметил еще в Магнитогорске, когда у тебя в смартфоне не только своя персонализированная программа и информация о спикерах, но и возможность ставить оценки и сразу видеть общий результат. Скоро мероприятие по ИБ без своего мобильного приложения будет восприниматься как неинновационное :-)



Резюмируя, хочу отметить, что я получил от мероприятия то, что хотел. Встречи со старыми друзьями, живое общение и несколько интересных мне докладов. И я увидел несколько новых лиц среди спикеров, что позволит в будущем разбавить надоевшие многим лица одних и тех же выступающих (эту проблему я слышал уже неоднократно на нескольких последних мероприятиях), которые не всегда меняют свои презентации и выступления.

 ЗЫ. А еще в Метрополе офигенный потолок :-)

17.4.15

Alert Logic покупает Critical Watch

Пропустил эту новость. Alert Logic, провайдер Security-as-a-Service услуг, 6 января объявил о приобретении также американской Critical Watch, занимающейся анализом защищенности и аудитом конфигураций ПО и железа с точки зрения безопасности. Детали сделки не разглашаются.

О чем могли бы рассказать регуляторы по ИБ, если бы они пришли на форум директоров по ИБ?

Вчера прошел первый день межотраслевого форума директоров по ИБ, на котором я должен был модерировать секцию по законодательству, на которое были приглашены представители всех ключевых регуляторов - ФСТЭК, ЦБ, Роскомнадзор, 8-й Центр ФСБ, ЦИБ ФСБ и других. К сожалению, высокая занятость не позволила им присутствовать, так что пришлось по сути отдуваться мне за них всех, рассказывая, что они запланировали на ближайшие полтора-два года.

Не могу сказать, что в презентации есть что-то уникальное, чего бы я раньше не упоминал в заметках на блоге. Просто я все это скомпилировал в единую презентацию, которая местами, повторяет то, что я читал в Магнитогорске (весь форум за 15 минут), а также впечатления и заметки с конференции ФСТЭК в феврале этого года.

Вот презентация:


Что бывает, когда пароль показывают в ТВ-сюжете и не только

Прочел вчера статью про 5 случаев, когда случайная публикация конфиденциальной информации в СМИ послужила причиной последующих проблем. Решил взять оттуда то, что представляет интерес (фотографии документов с ПДн - это не так интересно и тем более не редко :-) и добавить то, что туда не попало.

Итак, первый пример известен. Во время очередной фотосессии принца Уильяма во время его службы в Афганистане, журналисты случайно засняли листок, висящий на стене и содержаний логин/пароль к одной систем Королевских военно-воздушных сил.


Еще один случай также имеет британские корни. Бывший главный антитеррорист Великобритании потерял свое место после того, как выйдя из автомобиля с пачкой документов, был заснят вездесущими журналистами, которые позже определили, что наверху лежал документ с планом, разработанным для срыва попытки взрыва бомбы боевиками Аль-Кайеды.


Следующий пример вообще анекдотичен. Генеральный директор компании по ИБ не придумал ничего умнее, чем использовать в рекламной кампании по борьбе с утечками персональных данных... свои собственные ПДн, а точнее номер социального страхования, который и был использован ворами, получившими кредит в 500 долларов по данному SSN.


На днях были взломаны учетные записи социальных сетей французской телекомпании TV5 Monde. Произошло это после того, как по ТВ показали интвервью с одним из репортеров TV5 Monde, который снялся на фоне рабочего стола одного из сотрудников телекомпании, на котором внимательные хакеры углядели логин и пароль от Twitter, Instagram и YouTube телеканала TV5 Monde. Результат не заставил себя долго ждать.


Позже оказалось, что эта телекомпания "отличилась" дважды - в другом репортаже был обнаружен еще один пароль от телесети TV5 Monde.


Вот такие интересные примеры несоблюдения требований здравого смысла и безопасности ради пиара и маркетинга :-)

16.4.15

Как обосновать затраты на информационную безопасность?

Вчера я вернулся из Нижнего Новгорода, с замечательного ИТ-Форума 2020, где проводил мастер-класс на ставшую в последнее время популярной тему "Как обосновать затраты на информационную безопасность?" Вообще я люблю ездить в Нижний - там как-то спокойнее, чем в Москве, но не менее живо с точки зрения аудитории и интереса к теме информационной безопасности. Вот и в этот раз зал был полон, хотя параллельно в рамках форума проходило еще несколько семинаров и выступлений (а уж пирожки в кафе, говорят, были просто обалденные и не отпускали от себя никого).

Однако надо признать, что до конца досидели не все. Все-таки эта тема относительно нова для многих и взять и сходу ее применять на практике не так уж и просто. В отличие от темы законодательства, про которую почему-то меня после мастер-класса и спрашивали :-) Предположу, что уходили, возможно, представители муниципальных и государственных организаций, которым не все из предложенных вариантов и кейсов подходят. Все-таки коммерческому предприятию тут проще развернуться. Именно в контексте финансовой оценки ИБ. Оно зарабатывает деньги и всегда можно попытаться оценить вклад ИБ в достижение финансовых показателей предприятия. А у госов и муниципалов сфера гораздо уже - денег они не зарабатывают и финансы, в основном, можно применять в контексте оценки простоев персонала, зарплата которого и так невысока. В конечном итоге, при прочих равных, финансовая  оценка ИБ на коммерческом и государственном предприятии дает разные результаты. Видимо, поэтому, не дождавшись откровения и универсального рецепта, некоторые слушатели стали покидать мастер-класс. Но их было не так много :-)



Хотел бы сказать спасибо Правительству Нижегородской области за приглашение и возможность выступить. Из всего большого количества российских регионов тему развития ИТ и ИБ нижегородцы драйвят как немногие. Я помню еще выступления по приглашению хабаровского, питерского и московского ИТ-министерств. Но нижегородцы, по-моему, самые "старые" - их ИТ-Форум проводится уже в 8-й раз.

14.4.15

C какой периодичностью проводить аудит индустриальных сетей?

Тут в одном проекте возник вопрос, а как частно надо проводить аудит индустриальных сетей на предмет безопасности? Пробежавшись по стандартам и лучшим практикам была составлен следующий (неполный) список:

  • В NIST SP 800-82 “Guide to Industrial Control Systems (ICS) Security” требуется проводить инвентаризацию сети с целью идентификации всех активов с периодичностью не менее 1 раза в год
  • В стандарте IEC 62443-2-1 (пришел на смену ISA SP 99) говорится о ежегодном тестировании планов обеспечения непрерывности
  • Стандарт NERC CIP-005 Electronic Security Perimeter (пункт R4) требует не менее одного раза в год проводить поиск уязвимостей в критических активах. Аналогичное требование установлено в пункте R8 стандарта CIP-007 “Cyber Security – Systems Security Management”
  • Пункт C.3.1.1 стандарта США по безопасности атомных электростанций RG 5.71 требует ежегодного аудита ИБ
  • В Guidance for Addressing Cyber Security in the Chemical Industry требуется ежегодный пересмотр планов, например, обеспечения непрерывности, которые в свою очередь требуют аудита
  • Национальный центр кибербезопасности Великобритании NCSC требует ежегодной инвентаризации сетевых соединений и проведения пентестов
  • Ежегодный аудит требуется в "Control Systems Cyber Security Guidelines for the Natural Gas Pipeline Industry”
  • Ежегодный аудит требуется в “Security Guidelines for the Petroleum Industry”
  • Согласно ISO/TR 29001 "Petroleum, petrochemical and natural gas industries — Sector-specific quality management systems — Requirements for product and service supply organizations” внутренний аудит требуется не менее одного раза в год
  • Согласно "Pipeline Security Guidelines” аудит и пересмотр ИБ должен проводиться один раз в год
  • Согласно требованиям CPNI (Центр защиты критичной инфраструктуры Великобритании) “GOOD PRACTICE GUIDE. PROCESS CONTROL AND SCADA SECURITY” пересмотр планов по ИБ и аудит должны проводить ежегодно.


Вот такой перечень получился для разных отраслей, в которых применяются АСУ ТП. Где-то это требование (как в NERC CIP), где-то рекомендация. Но почти все сходятся во мнении, что аудит/оценка/пересмотр/инвентаризация/пентест должны быть ежегодными (не реже).

10.4.15

От Доктрины ИБ к стратегии кибербезопасности и обратно

Итак, продолжим. Вчера мы поговорили о проекте Конвенции по обеспечении международной ИБ для стран БРИКС. Сегодня поговорим о новой Доктрине ИБ, о которой сообщил Совет Безопасности, и о проекте нового закона, о котором написал позавчера "Коммерсант".

О том, что Доктрину достали с полки и начали переписывать стало известно еще в 2013-м году. Именно тогда в Совете Федерации была начата работа над Стратегией кибербезопасности. Собственно идея-то и состояла в том, чтобы актуализировать Доктрину и сделать документ, более соответствующий и современным угрозам и современной геополитической ситуации (правда, тогда еще Крым не присоединился к России путем народного волеизъявления). К концу 2013-го года две трети работ по Стратегии были завершены и она была представлена на Парламентских слушаниях. К сожалению, 8-й Центр ФСБ забраковал эту инициативу, а чуть позже и ее главный инициатор, сенатор Руслан Гаттаров, покинул Совет Федерации, став заместителем губернатора Челябинской области. В отсутствие инициатора и в виду противодействия со стороны ФСБ и Совета Безопасности (а он тоже высказывал свои сомнения в необходимости Стратегии) работы по Стратегии кибербезопасности были свернуты.



Но это не значит, что Доктрину не нужно было менять. Поэтому в Совете Безопасности стали негласно готовиться к внесению поправок в документ 2000-го года. Как это часто бывает в таких вопросах, публично заявлять о начале работ над чем-то принято уже в самом конце :-) Поэтому могу предположить, что работы находятся на финишной прямой и относительно скоро мы все увидим этот документ, готовящийся в строжайшей секретности.

Секретность, кстати, при подготовке данного документа была лишней. И хотя со мной многие не согласятся (и мы уже дискутировали на эту тему), но все-таки я считаю, что в подготовку документа, тем более устанавливающего правила игры на годы вперед, должны быть вовлечены специалисты совершенного различного профиля и из разных организаций и ведомств. У меня перед глазами пример последних 3-х приказов ФСТЭК и их сравнение с СТР-К и первым четверокнижием по ПДн. Небо и земля. Да, приглашение внешних экспертов - это непростая задача и пускание на самотек (как это, к сожалению, было с основами госполитики по вопросам формирования культуры ИБ в РФ) ни к чему хорошему не приведет. Поэтому я еще 2 года назад сформулировал правила коллективной работы над документами по ИБ.

Упомянутые в новости СовБеза ключевые положения новой Доктрины - это ни о чем. Все тоже самое постулировалось и в предыдущей редакции. Там также говорили о необходимости развития своих технологий, повышения их конкурентоспособности и т.п. А вообще история продвижения темы защиты национальных интересов в информационной сфере началась задолго до текущей геополитической ситуации. Еще в 1992-м году учеными РАН и российских НИИ была подготовлена "Концепция развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России”. Примерно в тоже время Гостехкомиссией России, позже переименованной в ФСТЭК России, был подготовлен проект Концепции защиты информации в системах обработки информации. Оба эти документа уже тогда предлагали развивать и стимулировать отечественных разработчиков в области информационной безопасности, видя растущую угрозу со стороны ряда государств дальнего зарубежья.

Пока еще действующая Доктрина информационной безопасности тоже не обошла вниманием этот вопрос, постулировав необходимость развития отечественных информационных технологий и средств защиты информации, а также сертификацию продукции иностранного происхождения, как гарантию ее соответствия требованиям по безопасности и, в ряде случаев, отсутствия в ней недокументированных возможностей. По сути сейчас мы вновь поднимаем на флаг тезис “Поддержим отечественного производителя”, не предлагая пока никаких конкретных и практических шагов для этого.

Как и 15 лет назад, так и сейчас, остается открытым вопрос о месте Доктрины в иерархии нормативных актов. Она не является федеральным законом и ее положения не обязательны к исполнению. Поэтому, без работы над целой структурой нормативно-правовых актов, которые бы уточняли и развивали положения Доктрины, курс на импортозамещение и обеспечение гарантий при использовании технологий, не имеющих отечественных аналогов, так и не выйдет за набор красивых лозунгов.

Возможно ситуация сдвинется с мертвой точки. По крайней мере сделан первый шаг в этом направлении - в Госдуме приступили к разработке законопроекта "О мерах по обеспечению информационной безопасности Российской Федерации" (кстати, в 2008-м году уже был принят до сих пор действующий одноименный Указ Президента №351, в который последние изменения вносились в июле 2014-го года). Автор проекта, член думского комитета по экономической политике Александр Потапов (почему не комитет по безопасности выступил иницииатором?) предлагает узаконить импортозамещение программного обеспечения, по сути повторив тоже, о чем говорит проект Постановления Правительства, подготовленный Минкомсвязью, но на уровне федерального закона и включив в него вопросы информационной безопасности.

Правда, пока это даже не законопроект, а проект законопроекта, в котором 10 пунктов (защитных мер), которые должны лечь в основу законопроекта. Помимо идеи импортозамещения, в тексте говорится и о резервном Интернет, и о проведении различных исследований, и ряде других "обеспечительных" мер. Но документ очень и очень сырой.

В 2006-м году, был уже один законопроект, который готовился под тем же соусом. В пояснительной записке к нему говорилось, что "программное обеспечение для обработки информации, в том числе составляющей государственную и служебную тайну, в большинстве случаев приобретается у случайных поставщиков и, соответственно, проверку на наличие недекларированных возможностей не проходит, поэтому его применение создает условия для неконтролируемого воздействия на объекты информационной и телекоммуникационной инфраструктуры, где оно установлено". Законопроект "Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры" должен быть снизить риски использования такого ПО (депутаты-авторы преимущественно говорили о продукции Microsoft) и повысить защищенность критической информационной инфраструктуры России. Этот, так и не рассмотренный даже в первом чтении законопроект, был не в пример лучше того, который готовится сейчас. У него была четкая сфера действия, четкий набор мероприятий, раздел про ответственность за несоблюдение и т.п. Но, к сожалению, он так и не был принят. И вот, спустя почти 10 лет, мы вновь возвращаемся к этой теме, но в гораздо худшем по реализации варианте :-(

Но даже если предположить, что депутаты (и приближенные эксперты) разработают и примут упомянутый законопроект, то этого недостаточно для реализации положений Доктрины ИБ (не только новой, но и старой). Ее должен дополнять план мероприятий и разработки нормативно-правовых актов, направленных на реализацию положений Доктрины ИБ. И кто-то должен быть ответственным за реализацию этого плана (как и за срыв сроков этой реализации). Только вот кандидатов на эту роль я не вижу :-( Учитывая ту неразбериху в ответственных за вопросы ИБ в России, учитывая отсутствие координации между ними, учитывая подковерные игры и конфликты даже между подразделениями в одном регуляторе, ждать чего-то стоящего пока не приходится :-( А единый орган исполнительной власти, уполномоченный по всем вопросам информационной безопасности, о котором говорилось в предложениях академиков РАН еще в 1992-м году, так и не создан и, похоже не будет.

Кадр из диафильма "Лебедь, рак и щука"
Главное, чтобы поздно не было...


9.4.15

Singtel покупает Trustwave

7 апреля сингапурская телекоммуникационная компания Singtel (не припомню когда бы сингапурцы кого-нибудь покупали на рынке ИБ) объявила о намерении приобрести частную чикагскую компанию Trustwave за 810 миллионов долларов. Причина проста - Singtel хочет усилить свое предложение Managed Security Services на растущем азиатском рынке. Решения Trustwave в России практически неизвестны ввиду специфичности рынка Managed Security Service. До момента своего приобретения Trustwave сама вела очень агрессивную политику поглощения скупив за последние 5 лет 6 компаний - M86 Security, Mirage Networks, Breach Security, BitArmor, Vericept и Application Security.

В международной ИБ грядет передел

7 апреля стало известно сразу о трех достаточно важных событиях в области информационной безопасности, которые могут иметь далеко идущие последствия и которые, по сути, продолжают историю, ставшей публичной в прошлом году после проведения первых в России киберучений:
  • На RIGF объявили о подготовке проекта конвенции по информационной безопасности для стран-участниц БРИКС.
  • Совет безопасности объявил о начале подготовки новой редакции Доктрины информационной безопасности.
  • В недрах Госдумы готовится проект законопроекта "О мерах по обеспечению информационной безопасности в РФ".
Попробуем разобраться в каждом из этих событий в отдельности и вместе взятых.

Итак проект Конвенции. О ней говорили достаточно давно и то, что она будет принята, у меня сомнений нет. Российские официальные лица потратили немало усилий, чтобы это подписание состоялось уже в этом году (вот только один из примеров). Известно даже, что представлять ее будут в Уфе, на саммитах БРИКС и ШОС, в июле 2015-го года. И хотя между странами БРИКС были определенные разногласия, которые, например, не позволили подписать соглашение о сотрудничестве в сфере международной ИБ между Россией и Китаем в ноябре прошлого года, думаю, сейчас ситуация будет совсем иной. Страны, которые населяет около 1 миллиарда Интернет-пользователей, хотят подорвать монополию США на доминирование в этой сфере, а также в сфере Интернет. 


Тут необходимо сделать сноску. Международная ИБ - это не совсем тоже самое, что привычная нам информационная безопасность. Это скорее свод вопросов, касающихся цифрового суверенитета, управления Интернетом, международного сотрудничества и т.п. Россия в 2013-м году уже приняла локальный документ на эту тему, а еще раньше пыталась провести через ООН проект Конвенции об обеспечении МИБ. Но, как это часто бывает в последнее время, палки нам в колеса вставляли США и проект Конвенции был благополучно, если и не забыт, то убран под сукно ООН. Но Россия свой документ не забыла и продолжала его методически продвигать в среде своих партнеров по различным альянсам и союзам (ШОС, СНГ, БРИКС, ОДКБ и т.п.).

В частности за последнее время Россией были предприняты следующие шаги и инициативы:
  • Неудачная попытка 2011-го года о принятии в ООН правил поведения в области обеспечения МИБ от имени ШОС привела к тому, что в 2014-м году была подписана Душанбинская декларация глав государств-членов ШОС о международной ИБ, после которой в январе 2015-го года обновленная версия правил была внесена в качестве официального документа ООН.
  • Предприняты шаги по подписанию соглашения в области международной ИБ между Россией и Китаем. Само соглашение в прошлом ноябре подписано не было и его подписание перенесли на первую половину 2015-го года.
  • 11 июля 2014 года подписано соглашение между Правительством Российской Федерации и Правительством Республики Куба о сотрудничестве в области обеспечения международной информационной безопасности (вступило в силу 2 января 2015 года).
  • В 2014-м году предприняты шаги по гармонизации законодательства по информационной безопасности в странах ОДКБ. Также в 2014-м году был подписан документ о создании центра противодействия кибербугрозам в рамках ОДКБ. Аналогичный центр в рамках СНГ, о создании которого говорят уже больше пяти лет, пока так и не заработал. А вообще работы по ИБ в рамках ОДКБ начаты были еще раньше. Кстати, в 2014-м году для парламентской ассамблеи ОДКБ был разработан и опубликован интересный словарь-справочник по ИБ.
  • 25 декабря 2013-го года подписано соглашение между Правительством Российской Федерации и Правительством Республики Беларусь о сотрудничестве в области обеспечения международной информационной безопасности.
  • В ноябре 2013-го года, в развитие Концепции было подписано соглашение о сотрудничестве государств – участников Содружества Независимых Государств в сфере обеспечения информационной безопасности.
  • Подписание в 2013-м году соглашения о мерах доверия в киберпространстве с США.
  • Подписание в 2012-м году соглашения о сотрудничестве государств - участников содружества независимых государств в области обеспечения информационной безопасности, а также ряд иных инициатив.
  • Разработка проекта "Правил поведения в области обеспечения МИБ", распространенного от имени государств-членов ШОС в ходе 66-й сессии Генеральной Ассамблеи ООН в 2011 г.
  • Подписание Соглашения между Правительством Российской Федерации и Правительством Федеративной Республики Бразилии о сотрудничестве в области обеспечения международной информационной и коммуникационной безопасности.
  • Подписание 16 июня 2009-го года соглашения (вступило в силу в 2011-м году) между правительствами государств-членов ШОС о сотрудничестве в области обеспечения международной информационной безопасности (текст).
  • Подписание в 2008-м году Концепции сотрудничества государств – участников Содружества Независимых Государств в сфере обеспечения информационной безопасности.
Такая активность по части СНГ, ШОС и ОДКБ, а также заявляемый российскими властями курс на усиление сотрудничества и с другими блоками заставляет нас сделать простой вывод - Россия будет усиливать свою активность в части МИБ и в рамках БРИКС. Заключенное соглашение с Бразилией, начало работ с Китаем, заявление руководителей Совета Безопасности о том, что БРИКС - это один из приоритетов внешней политики России, а также заявления сделанные по результатов саммитов БРИКС на о.Хайнань в 2011-м году и в Дурбане (ЮАР) в 2013-м году, все  это свидетельствует о том, что упомянутая выше конвенция, о которой должны заявить в Уфе, будет принята и Россия будет активно содействовать реализации ее принципов. Если уж не получилось в рамках всей ООН, то в рамках хотя бы 5-ти государств должно получиться. Конечно, если Китай не будет вставлять палки в колеса...



ЗЫ. Что-то длинный пост получился из обычного заявления, сделанного на RIGF :-) Поэтому рассказ о двух остальных событиях я продолжу завтра.

7.4.15

Почему в Интернете вещей так плохо с безопасностью (презентация)

На недавно прошедшей конференции "Интернет вещей" я делал доклад о безопасности IoT, а точнее о том, почему с безопасностью в этом новомодном явлении не так хорошо, как хотелось бы. Основной посыл был простой - при большом количестве стандартов и отсутствии четкого направления развития Интернета вещей, а также большом количестве различных применений и приложений IoT, говорить о его безопасности пока рано. ИБ IoT - это, в лучшем случае, частное решение задачи в отдельных случаях.




Технологические тенденции, влияющие на информационную безопасность (презентация)

Для одного из мероприятий, я готовил презентацию по технологическим тенденциям, которые влияют на информационную безопасность. Выкладываю...




6.4.15

Check Point покупает Lacoon Mobile Security

2-го апреля, компания Check Point объявила о приобретении израильской же Lacoon Mobile Security, которая занимается, как видно из названия, мобильной безопасностью. Детали сделки не раскрываются.

Что общего между ИБ и счастьем? Как измерить неизмеримое?

8 лет назад, когда только запускался этот блог и я придумал ему название "Бизнес без опасность", я хотел в первую очередь писать именно об измерениях информационной безопасности с точки зрения финансов. Но так сложилось, что 8 лет назад эта тема еще не была такой актуальной, а потом мое внимание захватила тема законодательства. Но сейчас наступила активная пора для возвращения к измерениям информационной безопасности в различных ее проявлениях. За последнее время было немало статей написано по данному вопросу, проведено курсов и мастер-классов, организовано выступлений. И вот новый анонс. 15 апреля меня пригласили на нижегородский ИТ-Форум 2020 выступить с темой оценкой эффективности информационной безопасности.


Необходимо отметить, что сейчас, особенно в регионах, наступает непростая экономическая ситуация, которую многие называют кризисом. Что же делать руководству предприятия, которое пытается в условиях нестабильности и будущей неопределенности сократить затраты или изменить их структуру? Под нож пойдут те, кто считается непрофильным для предприятия активом, незарабатывающим денег, а только их тратящих. К сожалению, информационная безопасность – одно из таких направлений, наряду с ИТ или маркетингом. Но деятельность маркетинга видна (хоть и непонятно какая из двух половин маркетингового бюджета приносит пользу). Деятельность ИТ тоже очевидна – а как тогда ходить в Интернет, кто будет менять картриджи в принтере, как почистить место на диске, как побороть медленно работающий Excel?

И только деятельность безопасников вызывает скорее негативную реакцию, чем понимание. Кто читает чужую переписку? Безопасники. Кто заставляет по 20-30 раз на дню вводить пароль в разные системы? Безопасники. Кто настроит скринсейверы таким образом, что они включаются уже через минуту неактивности? Безопасники. Из-за кого медленно работает компьютер и Интернет? Из-за безопасников с их «дурацкими» средствами защиты. Согласитесь, что это правда. Именно так и думает большинство о деятельности большинства безопасников, а точнее о ее видимой стороне.

Чтобы руководство и пользователи предприятия перестали думать об информационной безопасности как о затратном и мешающем подразделении, необходимо уметь показывать свой вклад в общее дело предприятия. Причем неважно, является оно коммерческим и направленным на извлечение прибыли, или государственным или муниципальным и направленным на оказание государственных и муниципальных услуг. Показывать его можно в рублевом выражении (это идеальный вариант) или иных формах, приемлемых для руководства предприятия. Именно об этом и пойдет речь в Нижнем Новгороде.

А причем тут счастье, о котором говорится в заголовке? На самом деле, между ИБ и счастьем очень много общего. Считается, что и безопасность и счастье сложно, а то и вовсе невозможно измерить. Однако это не так; совсем не так. И мастер-класс в Нижнем мы начнем именно с ответа на этот простой вопрос: "Как измерить счастье?" Я попробую показать, что это не так сложно и стоит только задуматься, как ситуация сразу прояснится и станет понятно, из чего состоит счастье каждого из нас, в чем оно измеряется, как меняется ощущение счастья с течением времени и т.п. А уж потом, мы перейдем к более сложной теме - измерению информационной безопасности. Да-да, безопасность измерять чуть сложнее, чем обычное человеческое счастье. Почему? Про это мы тоже поговорим в Нижнем Новгороде.

В прошлом году у меня тоже был запланирован мастер-класс в Нижнем Новгороде. Но по ряду причин я тогда не смог приехать и меня "подменял" Андрей Прозоров. В этот раз я надеюсь, что смогу добраться до ИТ-Форума. Я люблю приезжать в Нижний в апреле - я в Форуме участвую уже не первый раз и мне нравится размах мероприятия; и по количеству участников и по охвату рассматриваемых. Я там выступал и по теме BYOD, и по АСУ ТП, и по облакам. Почти все животрепещущие темы в области информационной безопасности находят свое отражение в программе ИТ-Форума. Что на самом деле неудивительно - нижегородское Министерство информационных технологий и, в частности, сам министр Сергей Кучин, очень серьезно относятся к этой теме и постоянно отслеживают все, что в ней происходит. Это, кстати, не так уж и часто происходит, когда министр по ИТ понимает, что происходит в ИБ. Вот пример одного из докладов Сергея Кучина по данному вопросу (есть и видео) - высвечены реальные проблемы, с которыми сталкиваются многие госорганы и муниципальные предприятия при решении вопросов ИБ. Так что тема ИБ на нижегородском форуме - не дань моде.

ЗЫ. Первоначально предполагалось, что мастер-класс будет ориентирован только на муниципальные предприятия Нижегородской области, но потом мы с организаторами решили, что тема может быть интересна и более широкой аудитории. Поэтому рассматривать будем разные варианты оценке эффективности ИБ - и с точки зрения государственного или муниципального учреждения, и с точки зрения бизнеса, направленного на зарабатывание денег.

ЗЗЫ. Мероприятие пройдет в зале Бетанкура с 13.00 о 16.00.

2.4.15

Ностальгия по обнаружению атак или куда продвинулась российская наука ИБ за 15 лет

Много лет назад, в 2000-м году, я написал свою первую книжку "Обнаружение атак". Да и вообще в те годы я достаточно активно занимался этой тематикой. С тех пор я регулярно отслеживаю последние веяния в этой области. И вот вчера, проглядывая материалы РусКрипто 2015 я наткнулся на СПИИРАНовской доклад "Построение нейросетевой и иммуноклеточной системы обнаружения вторжений", который описывал отечественное исследование, в котором ставились следующие задачи:

  • Создание гибридной схемы обнаружения и классификации сетевых атак
  • Программная реализация нейросетевого и иммуноклеточного модулей для обнаружения атак
  • Сравнение предложенных подходов по критерию эффективности распознавания атак.
Дай, думаю, изучу, куда ушла отечественная мысль за 15 лет? Изучил :-( 

Авторы, сделав традиционный вывод, что сигнатурные системы обнаружения атак неэффективны и нужно применять адаптивные методы, решили пойти проторенным путем, которым разные исследовали ходят уже лет 20 с лишним. Они решили применить для целей обнаружения атак нейросети и карты Кохонена. Ну допустим. Хотя за 20 лет ни одной коммерчески успешной системы, построенное на этих принципах, так и не появилось. Почему-то все системы до сих пор строятся именно на базе сигнатурных (или модифицированных) методов и большинство их создателей стараются снизить время между обнаружением атаки и разработки сигнатуры для нее.

Адаптивные методы тоже применяются, но для упрощения и повышения скорости работы они обычно используют анализ поведения приложений/процессов/файлов в песочнице. А дальше идет сравнение, насколько собранные параметры выпадают в заранее заданные пороговые значения. Работают данные методы неплохо, хотя зависимость от человеческого фактора велика и многие исследования ведутся именно в направлении автоматизации ряда задач (мы даже для этого купили за последнее время пару компаний - Cognitive Security и ThreatGRID).

В исследовании СПИИРАН, на которое, кстати, и денег было выделено по разным грантам, почему-то использовались устаревшие и совершенно неприемлемые в современных реалиях данные.


Почему используются тестовые данные 90-х годов? Почему нельзя взять Wireshark или TCPdump и записать реальный сетевой трафик, который и пускать на вход нейросети? Почему нельзя использовать тот же Metasploit вместо сканера SATAN 90-го года?


Это нетрудно - займет всего несколько часов работы любого сниффера. Ну или несколько дней, если хочется получить более репрезентативную выборку. На это даже бюджетных денег особо не надо. А вот результат должен стать гораздо более интересным и приближенным к реальности. Правда, врядли он будет близким к 99,95% (TP - показатель обнаружения, FP - показатель ложных срабатываний), как в таблице.


Поддержка научных исследований в области ИБ, о которых так много говорилось на РусКрипто, это конечно классно, но все-таки исследования должны быть более релевантными, как мне кажется. Особенно за бюджетные деньги.

Отечественное решение по криптографии для защиты АСУ ТП

Постепенно выкладываются материалы прошедшей РусКрипто 2015. Просматривая доклады, наткнулся на интересную презентацию компании "Инсайд РУС" - "Проблемы обеспечения информационной безопасности в системах промышленной автоматизации". Из доклада это было не совсем понятно, но судя по всему речь шла в том числе и об электроэнергетике, а иначе как объяснить появление там термина "Smart Grid". Хотя проблемы, описанные в докладе, одинаковы для многих отраслей, в которых используются АСУ ТП.



Я уже не раз писал, что одной из пока нерешенных проблем в ИБ АСУ ТП, является обеспечение целостности и конфиденциальности (если предположить, что их нужно все-таки обеспечивать). И вот в докладе "Инсайд РУС" и предлагалось решение этой задачи. По сути была разработана СКЗИ на базе отечественных ГОСТов, которая позволяла реализовывать отечественные криптоалгоритмы в системах промышленной автоматизации.


Ну, думаю, свершилось. Наконец-то. Смогли эффективно реализовать ГОСТы в железе, да еще и с учетом специфики протоколов АСУ ТП, где одно из ключевых требование - низкие задержки (особенно в электроэнергетике). Но потом посмотрел слайд с оценкой результатов работы представленного решения и понял, что до радости пока далеко.


В АСУ ТП важна не скорость передачи данных, а приспособленность к небольшим размерам пакетов (в несколько бит) и отсутствие задержек. А про то, при каких длинах пакетов измерялись вышеприведенные значения, не сказано.

Допустим, у нас есть подстанция, которая передает данные в размере нескольких бит, по каналу 56 Кбит/сек с требованием по задержкам (по стандартам электроэнергетики) 10 в минус 6-ой. И вот как при таких исходных данных, повсеместных в России, будет работать предлагаемое решение? Никак. Ибо такие условия наши ГОСТы по криптографии вообще не в состоянии учитывать :-(  К счастью, и требований по криптографической защите в АСУ ТП пока нет.