28.6.16

Хочу попросить прощения

Папа Римский извинился перед геями.
Сербский Президент Тадич извинился перед хорватами.
Турецкий Президент Эрдоган извинился перед Россией.

Ну и я извинись перед читателями за планируемое двухнедельное молчание в связи с отбытием в плановый отпуск. Потом вернусь и жахну - куча заметок ждет своего часа.

27.6.16

Intel планирует продать свой бизнес кибербезопасности

По данным агентства Bloomberg, ссылающегося на Financial Times, компания Intel ведет переговоры о продаже своего подразделения решений по кибербезопасности. Прошло всего несколько месяцев после продажи Stonesoft и закрытия ряда направлений по информационной безопасности, как очередное решение об избавлении от активов ИБ. Произошло то, что и предполагалось с самого начала. Еще в момент покупки Intel говорила, что для нее важны технологии McAfee, которые можно встроить на уровне процессоров и внедрять в активно растущее направление Интернета вещей. Из этого анонса уже можно было сделать вывод, что чисто сетевые решения для компании будут на вторых ролях. Но 5 лет они продержались в компании. И вот закономерный "развод".

24.6.16

Впечатления от использования средств защиты бесконтактных платежных карт

Многие видели в начале года новость о том, что в московском метро появились мошенники со считывателями бесконтактных платежных карт PayWave от Visa или PayPass от MasterCard, которые могут дистанционного снимать с карт деньги в сумме до 1000 рублей за раз. Нельзя сказать, что такая схема мошенничества стала популярной, все-таки большого всплеска новостей об этом пока в СМИ не просочилось. Но проблема есть проблема, тем более для людей с профессиональной паранойей :-) Я ее тоже решал и вот некоторые результаты.

Чехол для защиты бесконтактных карт

Вариантов решения этой задачи несколько:

  1. Отказаться от таких карт в пользу традиционного пластика (для этого необходимо об этом заявить в своем банке при перевыпуске карты).
  2. Застраховать транзакции по своей карте.
  3. Обертывать карточки фольгой :-)
  4. Использовать бумажники/кошельки с экранированными кармашками.
  5. Использовать специальные средства для экранирования карт в процессе их ношения.
Первый вариант не рассматриваю - все-таки бесконтактная оплата небольших покупок очень удобна во многих случаях. Второй вариант я использую активно, но пока страховых случаев не наступало ни разу и поделиться своим опытом в данной части не могу. Третий вариант дешев и сердит, но требует регулярной закупки фольги, которая при постоянном использовании будет рваться (проверено). Ну и выглядит несолидно.

Четвертый и пятый варианты я начал пробовать еще несколько лет назад и регулярно пытаюсь потестировать какие-то новые варианты экранирования карт в процессе ношения. Одним из первых у меня появился обычный бумажник с рядом экранированных кармашков для пластиковых карт. Данный вариант мне не очень нравился - все-таки бумажник - это вещь специфическая и покупается по принципу "нравится/не нравится". Я так и не смог найти на рынке бумажник, который бы мне нравился и который бы имел экранированные кармашки.
Экранированный кошелек только для карт 
Экранированный кошелек для всего
Пятый вариант тоже оказался далек от идеала. Когда карта всего одна, то можно воспользоваться вот таким чехлом, которые часто даже на выставках в качестве сувенирки раздают (этот я на PHDays получил). Для одной карты решение вполне достойное, но только для одной. Когда их несколько, а у меня их, например, 5, такие чехлы становится неудобно носить, так как бумажник из-за них разбухает, а если носить отдельно от бумажника, то они постоянно забываются в разных местах.



При большом количестве карт можно использовать вот такие металлические "коробочки" с отделениями для нескольких карт. Опять же этот вариант (один из последних в моей коллекции) я получил на выставке RSA, то есть бесплатно. Но и у него есть недостаток - он не вмещается в бумажник и его надо тоже носить отдельно, что неудобно, так как получается два денежных "хранилища" - для купюр и для карт.



В качестве резюме - удобство страдает у всех средств экранирования, которые я пользовал. Остается либо вариант с отказом от бесконтактных карт, либо долгий поиск понравившегося бумажника с соответствующими экранированными отсеками для хранения карт. Как резервный вариант можно рассмотреть страхование транзакций, которое не защитит от кражи денег, но поможет их вернуть (в теории).


Грядет обязательная сертификации специалистов по ИБ в финансовых организациях

Продолжая начатую в прошлой заметке для портала Bankir.ru тему кадров в банковской информационной безопасности (ИБ), хотел бы посмотреть на нее с другой стороны, а точнее, с позиции Банка России, который тему повышения квалификации специалистов по ИБ взял под свой особый контроль. Впервые об этом упомянули на Уральском форуме по ИБ банков и руководство ГУБиЗИ подтвердило это. 

Грядет обязательная сертификация специалистов по ИБ в финансовых организациях... (продолжение на портале Bankir.ru)

23.6.16

Про "закладку" в чипах Intel...

Несколько последних дней активно обсуждается технология Intel ME, которая рассматривается как потенциальная закладка на аппаратном уровне, которая позволяет сделать с компьютером или иным устройством многое; даже то, чего не подозревает владелец компьютера.

Не вдаваясь в детали, хочу просто дать ссылку на свою заметку, которую я написал 8 лет назад и которая касалась как раз защиты на уровне процессоров Intel, AMD, Эльбрус. В этой статье я приводил ссылку на исследование, которое проводилось по заказу АНБ в рамках программы Trusted Product Evaluation Program (TPEP) в начале 90-х годов. В частности, анализировалась архитектура процессоров Intel x86 и оказалось, что в них существует множество недокументированных каналов и узлов, скрытые каналы, а также необъяснимые изъяны и дефекты в механизмах защиты. Все эти проблемы «помогают» обойти вышележащие программные системы защиты, к какому бы высокому уровню безопасности они не относились. Все бы «ничего», но эти дефекты, число которых в некоторых версиях процессоров достигало нескольких десятков, не наследовались от семейства к семейству.

Началось все еще в Intel 8086, затем перешло в Intel 80286, 80386, 80486 и даже в Intel Pentium. Исследователи нашли их даже в Intel’овских клонах, произведенных AMD, Cyrix и другими компаниями. По сути, исследователи Олин Сайберт, Филлип Поррас и Роберт Линделл, которые в 1995 году сделали на конференции IEEE доклад «An Analysis of the Intel 80x86 Security Architecture and Implementations», признали, что все эти недокументированные возможности представляют собой отдельный сопроцессор, который делает неизвестно что, но незримо всегда присутствует в любом процессоре x86-й архитектуры.

Соревновательный дух в обеспечении ИБ в госорганах

Понимаю, что сама по себе постановка вопроса, вынесенная в заголовок, звучит достаточно странно, и многие до сих пор считают, что у нас госорганы занимаются ИБ только для "галочки" и только "когда припрет", но бывают и исключения. И вот для таких случаев данная заметка будет интересной. Хотя ровно та же идея может быть реализована и в любом другом случае, например, в финансовой организации, внедряющей 382-П или СТО БР ИББС, или на критической инфраструктуре, внедряющей приказ ФСТЭК №31 или IEC 62443.

Идея проста - на базе радарной (лепестковой) диаграммы, предложенной позавчера, оценивать подразделения госоргана, его филиалы и даже отдельных руководителей и сравнивать их между собой. Это может выглядеть вот так:


Может быть и вот такой вариант - использовать вместе радарной диаграммы гистограмму. Суть от этого не меняется.


Я не раз обращался к теме геймификации в ИБ и данная заметка говорит о том же, но применительно к оценке соответствия требованиям по безопасности. Это трансляция известной, но не очень популярной услуги security benchmark, которую предлагают некоторые компании "большой четверки" аудиторов. Обладая большой базой проведенной аудитов они могут сравнивать схожие компании по различным параметрам и выдавать вердикт - лучше обратившийся заказчик выглядит на фоне других (без конкретных имен) или хуже. Если лучше, то это способ возгордиться собой и повесить на грудь бляху тому, кто помог в достижении такого результата. Если хуже, то есть куда стремиться - ориентир дается вполне себе четкий.

В предлагаемом мной варианте аналогичный метод используется для сравнения подразделений одного предприятия между собой. Если данные диаграммы/гистограммы "вывешивать" на каких-либо досках объявлений или на внутреннем портале, то можно сделать их достоянием гласности, мотивируя подразделения быть лучше (если у них, конечно, такая мотивация есть). Взяв же за основу вчерашние и позавчерашние размышления, можно развить эту идею "ИБ-соревнований" и на всю страну. Но это уже отдельная тема...

22.6.16

Vista Equity покупает Ping Identity

1-го июня инвестиционный фонд Vista Equity Partners (в 2013-м купивший Websense и продавший его спустя два года Raytheon'у) приобрел компанию Ping Identity, известную своими решениями в сегменте Identity & Access Management (IAM). Стоимость сделки не разглашается, но оценивается в 600 миллионов долларов.

Dell продает бизнес ИБ: Credant, SonicWALL, SecureWorks прощай... Что с RSA?

Позавчера компания Dell достигла соглашения с частной инвестиционной фирмой Francisco Partners и хедж-фондом Elliott Management Corporation, о продаже своего подразделения Dell Software Group, которое, среди прочего, занималось и информационной безопасностью, продвигая решения ранее приобретенных Dell ИБ/ИТ-компаний - Qwest и SonicWALL. Помимо SonicWALL в портфель Dell Software Group также входили и другие решения по ИБ:

  • Cloud Access Manager
  • Password Manager
  • Defender
  • Enterprise SSO
  • Identity Manager
  • Privileged Access Suite
  • Privileged Password Manager 
  • Privileged Session Manager
  • Privileged Manager
  • Change Auditor
  • Security Explorer
  • И др.

Стоимость проданного подразделения оценивается Reuters в 2 миллиардов долларов США. При этом за Qwest и SonicWALL вместе взятых Dell в свое время (4 года назад - в 2012-м) заплатила свыше 3,5 миллиардов. Аналитики считают, что таким образом Dell пытается очень оперативно найти средства для финансирования объявленной в конце прошлого года сделки по покупке EMC за 67 (!) миллиардов долларов. Теперь, чтобы расплатиться с кредиторами, Dell вынуждена распродавать свои активы и видно, что ИБ не находится в защитной от продажи зоне.

Ранее Dell уже объявила о продаже за 3 миллиарда своего подразделения ИТ-сервисов, а также выставила в апреле этого года на продажу купленную в 2011-м году ИБ-компанию SecureWorks, что позволило привлечь 112 миллионов долларов. Неясна судьба купленной в том же 2012-м году Dell компании Credant, занимающейся защитой данных, но предполагаю, что ее ждет тоже незавидная судьба :-( Dell планирует также продать Documentum за 6 миллиардов...

На фоне такой распродажи ранее купленных ИБ-активов меня сильно интересует судьба подразделения RSA Security, которое также было куплено Dell'ом вместе с EMC. Но время покажет...

Пример самооценки для госоргана (в продолжение вчерашней заметки)

Вчера, после заметки про вариант использования ГОСТ Р ИСО/МЭК 15504 для оценки соответствия требованиям 17-го приказа, в ФБ и в блоге возникла небольшая дискуссия, которая заключалась в том, что либо 15504 не применим к 17-му приказу, так как он не описывает процессов, либо применим, но я слишком упростил его для восприятия :-) Придется пояснить что же я имел ввиду.

Но прежде отвечу на общее замечание, что все, что я предложил, госорганам не нужно и инициатива вообще наказуема. Это так. Поэтому в самом начале я и написал, что это имеет смысл только там, где госорган занимается ИБ не для галочки и не для compliance, а для реальной безопасности. И потом... никто же не требует показывать данные результаты самооценки при проверках регулятора - достаточно их иметь для собственного понимания текущего состояния и того, куда можно и нужно развиваться.

Что касается второго замечания о том, что для госоргана не может быть разных уровней соответствия и он обязан выполнить все и сразу, опять же повторю то, что уже написал. Госорган может реализовывать не только базовый уровень с усилением, но и адаптированный, то есть расширенный уровень защищенности своих информационных систем. И госпредприятие как раз может двигаться от базового уровня до адаптированного. Не стоит рассматривать базовый уровень как максимальный, пятый. И это если не рассматривать вариант с возможность исключать защитные меры из базового уровня, о чем я уже писал ранее и повторяться не буду.

Но вернемся к конкретному примеру. Итак, как я и написал, ГОСТ 15504 можно использовать двояко. Я вчера написал "можно взять эту модель без изменения (если рассматривать каждый из блоков защитных мер как процесс), а можно попробовать и упростить (правда, в ущерб качеству)". Первый вариант простой и сложный одновременно. Простой потому что не надо выдумывать свои атрибуты для оценки процессов и условия переходов между ними. Сложность заключается в том, что даже сама ФСТЭК не рассматривает явно защитные меры как процесс ИБ. Например, защитная мера, описанная в УПД.12 "Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки". В методичке по мерам защиты в ГИС эта мера описана более подробно, но в обоих случаях совершенно непонятно, речь идет о технологии (например, мандатное разграничение доступа), механизме (например, Oracle Label Security), законченном продукте защиты (например, Cisco Identity Service Engine) или целом процессе по управлению метками безопасности. Трактовать текущие формулировки можно по-разному, но чаще всего как процесс защитные меры из 17-го приказа все-таки не воспринимают.

Но и запрета на такую трактовку нет. Просто сами регуляторы, особенно на местах, не готовы к такой трактовке. Ведь это потребует от них пересмотра вообще всей идеологии, к которой они привыкли в ФСТЭК. Не смотря на инициацию перевода и гармонизации ISO 2700x в виде соответствующего ГОСТ, а также отсыл к нему в том же 17-м приказе, к процессному, то есть непрерывному обеспечению ИБ у нас еще в госорганах не привыкли и все по-прежнему живут от аттестации до аттестации.

Если все же рассмотреть УПД.12 как процесс, то как у нас будут выглядеть 6 уровней оценки, которые найдут свое отражение в радарной диаграмме:
  • Уровень 0. Управление метками не реализовано вовсе.
  • Уровень 1. Управление метками реализовано в том или иной виде - для файлов, для сетевого трафика, для записей СУБД или еще для какого-либо объекта защиты. Тут важен сам факт реализации, а не то, как это сделано и каких практических результатов мы достигли. По сути у нас никак не прогнозируется достижение поставленных целей и какими усилиями эти цели могут быть достигнуты.
  • Уровень 2. Мы не только реализовали простановку меток на защищаемую информацию, но и регулярно отслеживаем его состояние - соответствие целям (мы вообще понимаем, зачем нам метки?); мониторинг процесса (а у нас метки сохраняются на протяжении всего процесса обработки или хранения информации?); определены ответственные за данный процесс и разграничена ответственность между ними; ответственные понимают свои полномочия в рамках простановки меток безопасности; понятно, от чего зависит та или иная метка; процесс документирован и т.п. 
  • Уровень 3. Процесс выполняется по всей организации (а не только в рамках какого-либо подразделения, сегмента или ИТ-решения), в соответствии с общими правилами "для всех" и мы получаем ожидаемые результаты, которые на предыдущих этапах могли наступить или не наступить. При этом персонал, обеспечивающий управление метками безопасности квалифицирован, что подтверждается соответствующим образованием, навыками и опытом.
  • Уровень 4. Процесс управления метками становится предказуемым, то есть измеримым и контролируемым, что и является ключевым отличием от предыдущего этапа. Метрики у данного процесса могут быть разными, например, время простановки и время проверки метки безопасности. Можно вообще выйти за рамки классических меток на файлы или иные порции информации и рассмотреть нечто схожее с Xerox Printed Memory, то есть "физическую" метку, которую можно измерять по числу меток выпущенных и внедренных за единицу времени.
  • Уровень 5. Процесс постоянно совершенствуется исходя из изменяющихся целей предприятия.
Но понятно, что такой подход достаточно сложен в реализации. Поэтому я предложил в предыдущей заметке второй вариант, когда мы берем саму идею ГОСТ 15504 и упрощаем ее для нашей конкретной задачи. Мы можем это сделать, так как это не требование регулятора, показывать ему оценку мы не обязаны, и поэтому настраиваем ее сугубо для своих нужд. Если нас такая модификация устраивает, то почему бы и нет?

Итак, для каждой защитной меры можно взять следующие 6 градаций, которые применительно к той же защитной мере УПД.12 могут выглядеть следующим образом:

  • Уровень 0. Управление метками безопасности не реализовано вовсе. Можно сколь угодно говорить о том, что госорган обязан реализовывать то, что написано в 17-м приказе, но практика говорит о другом. Нет денег - нет защиты. К тому же, не забываем, что я могу предложенную модель использовать для оценки текущего уровня защищенности и выработки пути движения к базовому уровню по 17-му приказу. В этом случае нулевой уровень имеет право на существование.
  • Уровень 1. Управление метками, как защитная мера, есть (и может быть даже как-то задокументирована), но централизованного управления нет. Например, я могу вручную проставлять метки для каждого файла в операционной системе. Например, файл с 17-м приказом ФСТЭК у мена на лэптопе у меня имеет разные метки и я могу добавлять туда и свои собственные метки.
  • Уровень 2. Появляется централизованное управление с помощью специализированных решений, например, какое либо решение класса IRM или DLP. Тот же упомянутый выше Cisco ISE - это пример именно централизованной системы управления метками безопасности (Security Group Tag, SGT) для сетевого трафика, который в противном случае можно "метить" с помощью  тегов VLAN.
  • Уровень 3. Мы не просто централизованно управляем системой управления метками безопасности, но и обеспечиваем непрерывный мониторинг защитной меры - наличие меток на объектах или у субъектов защиты, обработка меток инфраструктурой и т.п. В случае появления каких-то сбоев мы оперативно реагируем на них, но без соблюдения четкого SLA.
  • Уровень 4. На этом уровне мы определяем метрики измерение эффективности защитной меры, например, время присвоения метки объекту/субъекту защиты, время реагирования в случае сбоя, время простановки меток, число меток определенного типа/уровня конфиденциальности и т.п. 
  • Уровень 5. Наконец, на высшем уровне мы оптимизируем данную защитную меру, превращая ее в управляемый, контролируемый, прогнозируемый процесс.
Второй вариант гораздо проще реализовать и он укладывается в действующую модель трактовки 17-го приказа как обычного набора защитных мер, которые могут отличаться уровнем и качеством реализации. Это как отечественные криптошлюзы и зарубежные VPN-продукты - реализуют одну и ту же защитную меры, но совершенно по-разному.

И так, по каждой из защитных мер, для которых надо разработать свою градацию перехода от уровня к уровню, взяв описанный выше подход. Идеально, конечно, если это сделать сам регулятор, предложив единую систему самооценки, но пока ему не до этого.

21.6.16

Самооценка по ИБ для госоргана: что взять за основу?

В комментариях к предыдущей заметке прозвучал вопрос о том, откуда брать значения по пятибальной шкале для каждого лепестка? На самом деле шкала там шестибалльная; есть еще значение 0. Но не так это и важно, просто данная шкала является общепризнанной в различных моделях зрелости (CMMI, COBIT, ITIL, ISO 15504 и других). На самом деле шкала может быть и трех-, и четырех-, и даже десятибалльной.

Нужна такая шкала для объективной оценки определенных параметров, которая позволяет оценивать и сравнивать себя с кем-либо или чем-либо, опираясь на единую методологию. Ну а если мы говорим об объективности, то лучше использовать некоторую методологию, которая бы уже стала стандартом де-факто, в том числе и в России. Поэтому я бы взял за основу стандарт ГОСТ Р ИСО/МЭК 15504 "Оценка процессов" из 5-ти частей, который и позволяет оценивать процессы, в том числе и по информационной безопасности по унифицированной методологии. Данный стандарт устанавливает требования к процессу оценки, к оценщикам, к инструментам и т.п.


ГОСТ Р ИСО/МЭК 15504 определяет шесть уровней для каждого процесса:
  • Неполный процесс (уровень 0)
  • Осуществленный процесс (уровень 1) 
  • Управляемый процесс (уровень 2)
  • Установленный (уровень 3)
  • Предсказуемый (уровень 4)
  • Оптимизирующий (уровень 5)

Данные шесть уровней характеризуются девятью атрибутами (атрибут осуществления процесса, управления осуществлением, определения процесса, измерения процесса, развертывания процесса и т.п.), каждый из которых характеризуется определенным рейтингом, который принимает одно из 4-х значений:
  • Не достигнут (Н) - 0-15% достижения желаемого уровня.
  • Частично достигнут (Ч) - >15-50% достижения желаемого уровня.
  • В основном достигнут (В) - >50-85% достижения желаемого уровня.
  • Полностью достигнут (П) - >85-100% достижения желаемого уровня.
Переход с уровня на уровень возможен при достижения атрибутами процесса одного из установленных значений. В ГОСТе 15504 это описано следующей табличкой:


В случае с 17-м приказом можно взять эту модель без изменения (если рассматривать каждый из блоков защитных мер как процесс), а можно попробовать и упростить (правда, в ущерб качеству). Например, для каждого блока защитных мер можно взять за основу несколько атрибутов:
  • наличие защитной меры
  • управление защитной мерой
  • документирование защитной меры
  • измерение эффективности защитной меры
  • непрерывный контроль защитной меры
  • оптимизация защитной меры.
Что дает такая модель? Унификацию подходов к оценке защитных мер, независимо от того, планируется ли в организации аттестация или нет, и независимо от того, какая система подлежит оценке. Это универсальный подход, который можно применить и в рамках одной организации или группы организаций, и даже в рамках всей страны, если такая идеология будет описана ФСТЭК и принята в качестве нормативного документа. А такая "глобализация" дает возможность проводить оценку соответствия государственных ресурсов требованиям по ИБ в масштабах всей страны - то, чего нам так не хватает.

Учитывая, что ФСТЭК любит использовать в своей работе уже готовые стандарты (27001, 15408, 18045 и т.п.) и ссылаться на них в своих приказах, переход к данной идее не потребует серьезных усилий по разработке соответствующего НПА. И смены идеологии это также не потребует - просто появится еще одна форма оценки соответствия, а точнее самооценки. Если такой опыт будет признан успешным, то можно внедрить эту же идеологию и в процесс аттестации, установив единые критерии для внутренней и внешней оценки ГИС/МИС требованиям по безопасности, а это в свою очередь уберет неразбериху в процессе аттестации, которая пока носит очень субъективный характер.

Но, конечно, все эти мысли насчет признания такого подхода ФСТЭК носят пока чисто гипотетический характер. Не стоит рассматривать это как путь, по которому регулятор уже двинулся вперед. Нет... Это не более, чем мои размышления, которые пока можно реализовывать своими силами и не нарушая никаких нормативов ФСТЭК или иных регулирующих органов по ИБ.

PS. В одной из следующих заметок попробую показать на примере вариант расчета.

20.6.16

17-й приказ на радаре

Если вспомнить дебаты в 2013-м году относительно 17-го, да и 21-го, приказа ФСТЭК, то основной претензией к нему была сложность документа, которая станет/стала препятствием для внедрения новых требований ФСТЭК в государственных и муниципальных структурах. Решить эту проблему можно было бы уменьшением числа защитных мероприятий и упрощением алгоритма выбора защитных мер, а то и вовсе вернуться к всем привычному, но неадекватному реалиям СТР-К. Но понятно, что это не вариант, особенно в условиях роста атак на государственные ресурсы.

Вторым путем решения проблемы является упрощение процесса внедрения. И хотя я по-прежнему склоняюсь к тому, что 17-й приказ - отличный документ с точки зрения набора защитных мер и свободы выбора защитных мер, я признаю, что этому документу регулятора не хватает "обвязки", которая бы позволила не только быстрее и проще внедрять требования приказа в реальную жизнь, но и установила бы единый механизм самооценки соответствия. Ведь сегодня кроме аттестации, то есть внешнего аудита, никаких иных вариантов у организации проверить себя, нет. Вот и приходится ждать аттестаторов, которые могут (а если они представители старой школы, то и имеют) свой взгляд на то, что написано в 17-м приказе.

Самооценка же позволяет проводить свою оценку в любой момент времени, намечать пути улучшения, сравнивать себя с прошлыми значениями, оценивать разрыв между текущим и желаемым уровнем защищенности информационных систем и, даже, проводить сравнения с другими подразделениями или филиалами, внося соревновательный дух в процесс выполнения требований по защите информации. А если к достижению определенного уровня привязать еще и систему мотивации сотрудников, то 17-й приказ из скучного чтива превратится в полезный инструмент повышения уровня защищенности государства.

Однако, ничего сложного в решении этой задачи нет. Можно взять и применить обычную радарную (она лепестковая) диаграмму, в качестве лепестков которой взять блоки защитных мер из 17-го (а также 21-го или 31-го) приказа. Если все защитные меры выполнены, то диаграмма будет выглядеть следующим образом.


Это идеальный и недостижимый уровень оценки соответствия. Мы прекрасно понимаем, что в реальности такого не бывает и не будет никогда. Более того, когда после долгих лет выполнения СТР-К я открываю 17-й приказ, то я понимаю, что на пути достижения задачи его реализации, меня ждет еще немало препятствий. И чтобы понять, на какие направления мне бросить свои усилия, я должен оценить свой текущий уровень выполнения 17-го приказа. У одного из заказчиков у меня получилась вот такая "птица". По СТР-Кшным направлениям все было более или менее неплохо, а вот по остальным блокам защитных мер, "новых" для СТР-К и для государственного органа, ситуация была далека от идеальной.


Это хорошая стартовая точка для выстраивания процесса улучшения системы защиты до, как минимум, базового, а может быть и до адаптированного и улучшенного уровня защищенности, который определяется в процессе установления целей системы защиты на краткосрочную, среднесрочную и, возможно, долгосрочную перспективу. Например, у того же заказчика, был выбран следующий уровень защищенности к концу 2016-го года (отмечен оранжевым). Для удобства на радарной диаграмме показано сравнение с текущим уровнем и понятно, на какие направления надо бросить свои усилия и какие защитные блоки нужно реализовывать.


Скоро должна быть выпущена новая редакция 17-го приказа, в которой добавятся 9 новых блоков защитных мер и будет уделено большое внимание вопросу непрерывного совершенствования уровня безопасности за счет постоянного анализа защищенности и поиска/устранения найденных уязвимостей. Пока ФСТЭК не планировала менять подходы к оценке соответствия и добавлять к аттестации еще и самооценку. Однако, даже если регулятор и не обратит внимания на эту возможность (а она будет полезной тем, для кого выполнение 17-го приказа - это не "галочное" мероприятие), то никто не мешает сделать это самостоятельно. Запретов на это нет, а для распределенных организаций такой инструмент будет очень полезным, но про это в следующей заметке.

17.6.16

Повышение квалификации специалиста по ИБ в госорганах

Не станет преувеличением утверждение, что технологии злоумышленников, информационные и безопасности развиваются очень динамично и необходимо регулярно обновлять свои знания в этой сфере. Да и для построения архитектуры ИБ необходимо иметь определенный набор знаний и квалификаций. Поэтому неслучайно, что в последнее время сразу два регулятора в области ИБ (ФСТЭК и Банк России) выпустили ряд нормативных актов и рекомендаций по повышению квалификации специалистов по защите информации. Подходу Банка России я посвящу отдельную заметку, а сейчас хотелось коснуться документов ФСТЭК.

Первым документом стало Постановление Правительства №399 от 6 мая 2016-го года "Об организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса", которое утверждает соответствующие правила организации повышения квалификации. Это постановление небольшое и по сути просто обращает внимание на необходимость регулярного повышения квалификации в области ИБ в соответствие с примерными программами переподготовки, утвержденными ФСТЭК.

Но выпущено данное Постановление очень вовремя. Только в Поволжском федеральном округе, как свидетельствует секретарь Совета Безопасности г-н Патрушев в 2015-м году было совершено около 190 миллионов кибератак, из которых более 80% приходилось на государственные органы. Понятно, что цифра 190 миллионов (это 520 тысяч атак в день, то есть 360 атак в минуту) представляет собой статистику какой-нибудь IDSки или ГосСОПКИ, которая каждый чих или пинг засчитывает за атаку. Но сам факт роста числа атак, в т.ч. и на госорганы сомнений не вызывает.

А кто занимается ИБ в госорганах? Полпред Президента в ПФО Михаил Бабич заявил, что "В региональных органах исполнительной власти и органах местного самоуправления (в ПФО - примечание мое) защиту информации обеспечивают 1672 специалиста, из них лишь 26% предусмотрены штатным расписанием, и только 6% имеют профильное образование". Профильное образование только у 6%!!! Поэтому вполне логично, что безопасники должны повышать свою квалификацию, чему и посвящено ПП-399.

1-го июня ФСТЭК разместила у себя на сайте информационное сообщение по данному вопросу, а также выписку из перечня примерных программ профессиональной переподготовки и повышения квалификации специалистов в области противодействия иностранным техническим разведкам и технической защиты информации, разработанных ФСТЭК России. На сайте ФСТЭК выложен и регулярно обновляется перечень организаций, осуществляющих образовательную деятельность, имеющих дополнительные профессиональные программы в области информационной безопасности, согласованные с ФСТЭК. Таких организаций свыше 130.


У упомянутого ПП-399 только один недостаток - оно не очень конкретное. Требования увеличить штаты по ИБ нет. Требование выделить финансирования на ИБ и повышение квалификации тоже нет. Как сказал Бабич на соверщании СовБеза: "Кроме того, для большинства государственных информационных систем в 2014-2015 годах мероприятия по их созданию, модернизации и эксплуатации профинансированы немногим более чем на 50% от запланированных средств, а финансирование защиты информации проводится по остаточному принципу". Так что при всей своей нужности и полезности, новое Постановление Правительства сродни известному высказыванию премьер-министра, который и подписал ПП-399 - "Денег нет, но вы держитесь".

16.6.16

А ваш блог защищен?

А продолжу-ка я тему блогерства, подумал я, и продолжил. Навеял мне эту заметку репортаж о деле ростовского блогера, которую в начале года взломали неизвестные лица (и делали это трижды) и разместили в блоге информацию, порочащую неких московских адвокатов, которые и подали в суд на блогера (суд состоится 30 июня). От блогера, а также от владельцев нескольких иных ресурсов, также разместивших порочащие репутацию сведения, требуют 150 тысяч рублей. Аналогичный случай был и в 2014-м году, во время конфликта России и Украины, когда в аккаунте одного солдата в одной из социальных сетей была якобы размещена информация об артиллерийском обстреле Украины с территории России.

Но написать я бы хотел не о об этом деле, а о том, насколько защищен блог, который ведется или создается кем-либо? Ведь о чем обычно думает создатель блога? Какую площадку или CMS выбрать и какой шаблон использовать? Вот, пожалуй, и все. О безопасности блога не думает почти никто (даже среди безопасников) исходя из мысли, что если площадка чужая (тот же Blogspot), то она якобы уже защищена от различных кибер-посягательств. Однако то, о чем мы привыкли говорить с высоких трибун, советовать заказчикам или применять в своих компаниях, не так уж и часто применяется в собственной личной жизни. Кто-нибудь составлял модель угроз для своего блога?

Сходу я могу набросать несколько вариантов атак на личный блог:
  • перехват пароля владельца блога, например, через фальшивую точку доступа или троянца на домашнем компьютере,
  • подбор пароля владельца блога,
  • устаревшая и уязвимая версия CMS или платформы для блога,
  • уязвимости в темах оформления,
  • уязвимости в плагинах.

Это небольшой, но основной список того, как можно атаковать сайт. Дальше фантазия злоумышленника может расцвести буйным цветом - от подмены текста на страницах или размещения лживой или порочащей кого-то информации до размещения вредоносного кода, занимающегося заражением посетителей или рассылкой спама или DDoS-атаками.

А чего делать, чтобы обезопасить свой блог от взлома? Советы будут просты и банальны, но действенны:
  • выбирайте надежные пароли
  • регулярно меняйте пароли
  • проверьте свой компьютер на вредоносный код
  • не используйте незащищенные соединения при работе в Интернет
  • выбирайте надежного хостера и, очень желательно, выделенный IP для своего блога
  • выбирайте последнюю версию CMS или блогерской платформы и следите за ее регулярным обновлением
  • избегайте неизвестных или непопулярных плагинов и тем оформления - ориентируйтесь на официальные библиотеки и отзывы/рейтинги пользователей
  • уточните у хостера (если площадка не своя), фиксирует ли он адреса и время, с которых осуществляется доступ к сайту и предоставляет ли он такую информацию пользователям (а если у вас иностранный хостер, то на каком языке он ее предоставляет)
  • делайте резервные копии блога и проверяйте возможность их восстановления
  • почитайте про механизмы защиты своей CMS/блогерской платформы и попробуйте их реализовать на практике (в зависимости от площадки/CMS они будут разные). Например, можно запретить изменения конфигурационного файла, а также ограничить число попыток аутентификации на сайте для пользователей.
  • проверяйте статус безопасности своего сайта через Google Safe Browsing Site Status,  Senderbase или Sucuri
Google Safe Browsing Site Status
Sucuri Website Malware and Security Scanner
  • используйте специальные плагины для защиты своего блога, которые позволяют, как минимум, отслеживать любые изменения на сайте и сообщать вам о них.
Вот как-то так... В свое время именно этот вопрос отвернул меня от создания собственного сайта в сторону блога на площадке Google. Не готов я был ежедневно отслеживать свой сайт, мониторить его безопасность, реагировать на инциденты и выполнять другие важные задачи. 

Как выход Великобритании из Евросоюза повлияет на мировой рынок ИБ?

Никак не повлияет. Забейте и расслабьтесь ;-)


15.6.16

Fortinet покупает AccelOps

Американская Fortinet, ставшая активно спамить мою домашнюю почту в последнее время, объявила 7-го июня о приобретении американской же компании AccelOps, занимающейся системами сетевого мониторинга и анализа. Сумма сделки - около 30 миллионов долларов.

Об экспортопригодных решениях по ИБ на InfoSecurity Europe 2016

Я не патриот отечественной ИТ/ИБ-индустрии, хотя и проработал несколько лет программистом СКЗИ в одном из московских ящиков, а потом 8 лет оттрубил в Информзащите, разрабатывавшей российские средства защиты информации. Так сложилось, что очень плотно мне приходилось сталкиваться только с теми отечественными решениями, которые ваялись под требования регулятора (ФСТЭК или ФСБ) и за пределы России никуда не выходили. Так уж сложилось.

Но я и не против отечественных ИБ-решений, как это иногда может показаться тем, кто читает мои негативные опусы про реестр отечественного ПО. Я противник идеи импортозамещения, которая так по-дурацки реализуется в нашем государстве. Именно по-дурацки, что признает и сам министр связи и массовых коммуникаций, который на днях, на конференции по импортозамещению ЦИПР в Иннополисе дословно заявил: "Что касается поддержки государства, я считаю, что она недостаточна. С одной стороны, мы всегда слышим разные истории как мы поддерживаем экспорт, и, возможно, у нас есть примеры успешных контрактов с точки зрения экспорта традиционных товаров. С точки зрения поддержки информационных технологий, я считаю, государство не сделало ничего".

В свое время у Минкомсвязи проскакивали красивые фразы о том, что пора уже прекратить в хвост и в гриву эксплуатировать термин "импортозамещение" и начать говорить об экспортопригодности. Но дальше слов дело не пошло. Никаких шагов по стимулированию российской ИТ/ИБ-отрасли никто не сделал, кроме, может быть, реестра с непонятной целью и страховых льгот для ИТ-компаний. Ни о какой поддержке экспортопригодных решений по ИБ или ИТ пока речи не идет, о чем и признал в своем казанском детище министр Никифоров.

Иллюстрация Васи Ложкина
Но заметка вообще-то не об этом. А то опять начнут некоторые ИТ-патриоты говорить об очередной попытке дискредитации идеи реестра отечественного ПО. Я бы хотел поговорить о реальных примерах экспортопригодных ИБ-решений. Но не обо всех (примеры Лаборатории Касперского, Positive Technologies, Infowatch вроде как известны), а о некоторых из них, которые были представлены на лондонской InfoSecurity Europe совсем недавно.

Таких компаний было 11:

  1. Tempesta Technologies с Tempesta FW, выскопроизводительной платформой для создания решений по защите от DDoS и Web Application Firewall;
  2. MobilityLab с WorksPad, защищенной мобильной рабочей средой для руководителей бизнеса;
  3. Entensys с мультифункциональной платформой UserGate UTM для защиты сетей крупных организаций;
  4. Group IB с инновационной системой защиты онлайн-платежей Bot-Trek Secure Bank;
  5. R-Vision с автоматизированной системой контроля и мониторинга информации для крупного бизнеса;
  6. Stakhanovets с системой контроля активности сотрудников в рабочее время;
  7. SearchInform с DLP-системой для крупного бизнеса;
  8. Topview с NetPolice.Info, сервисом родительского контроля нового поколения;
  9. InfoWatch Lab с интеллектуальной системой мониторинга и анализа интернета;
  10. Echelon Innovations с AppСhecker, аудитор качества и безопасности программного кода;
  11. Webkontrol с системой защиты цифрового контента.

И пока вся прогрессивная общественность обсуждала новость о том, что США пожаловались в ВТО на введенное в России импортозамещение, а в Иннополисе в очередной раз говорили о невозможности быстрого импортозамещения, россияне, поддержанные фондом Сколково, покоряли чопорных англичан.

Стенд Сколково на InfoSecurity Europe 2016
Стенд Сколково был небольшим, но это не помешало всем 11-ти российским компаниям, часть которых даже не присутствует в реестре отечественного ПО, представить свои решения для европейской публики.

На мое удивление на выставке не было Лаборатории Касперского, которая в прошлые годы была представлена, но решения ЛК "светились" на стенде одного из их английских дистрибьюторов, а сам глава ЛК грозил всем пальцем со страниц газеты, активно распространяемой во время мероприятия.


Но все-таки говорить об экспортопригодности и поддержке отечественных ИТ/ИБ-игроков можно с оговоркой. Все-таки наших в Лондон вывезло не государство, а фонд Сколково, который давал гранты и хочет отбить вложенные деньги. И ему все равно, откуда эти деньги придут, - из России или из Европы. Рынок за пределами РФ гораздо больше и поэтому шансов скорее отбить деньги выше. Конечно при условии соответствующей поддержки и развития, с которыми на InfoSecurity Europe сложилось не все удачно (первый блин оказался с комочками).

Во-первых, стенд Сколково поставили на втором этаже, до которого добираются обычно самые стойкие посетители. Все-таки основные игроки концентрируются на первом этаже (возможно именно поэтому Microsoft ушла с выставки, продержавшись только один день). С другой стороны стенд Сколково поставили рядом с мужским туалетом, а значит хотя бы один раз в день, но участники выставки пройдут мимо отечественных игроков ИБ.

Во-вторых, на презентациях некоторых наших компаний были огрехи с терминологией и вообще английским языком. Например, аббревиатура IM, которая расшифровывается в мире как Instant Messenger, а наши за ней скрывали Incident Management, или IR, которая нашими раскрывалась как Information Risk, а на Западе ее привыкли воспринимать как Incident Response. Вообще мне сложно сформулировать, что было не так с языком в презентациях резидентов Сколково, но как человек, который уже 12 лет крутится в преимущественно англоязычной терминологии и текстах это бросалось в глаза. С одной стороны и явных ляпов нет, а с другой видно, что тексты писались не настоящими англичанами/американцами, а просто переведены с русского языка.

Сюда же можно отнести и проблему с неймингом. Допустим продукты компании Echelon Innovations. У большинства иностранцев-безопасников первая ассоциация со словом Echelon - это глобальная система слежки за гражданами всего мира, созданная американцами. Не самая лучшая, как мне кажется, ассоциация для компании.


Со "Стахановцем" ситуация еще хуже. Мало того, что это слово четырехсложное слово произнести сложно (это вам не двухсложная фамилия американского R'n'B музыканта Ленни Кравица), так его еще и фиг объяснишь. Я даже не уверен, что мой ребенок поймет, кто такой Стаханов и почему он ставил свои "рекорды", а уж иностранцу с его менталитетом и культурой - тем более. Ну не принято у иностранцев впахивать как "стахановец". И "пятилетка за три года" - это тоже не про них. Сложно будет с таким именем на Западе.


Последняя из проблем, на которой я бы хотел остановиться, - отсутствие русских имен в каталоге выставке. ПОЛНОЕ ОТСУТСТВИЕ. Узнать о том, что на InfoSecurity Europe стоят "русские" нельзя. В каталоге есть только фонд Сколково, в описании которого не перечислены те 11 экспортопригодных ИБ-игроков, которым Сколково выдал гранты и которых вывез в Лондон. И в мобильном приложении россиян нет. Узнать о них можно только посетив 2-й этаж в течение 3-х дней выставки; после полный информационный провал. В тоже время, информация по участникам павильонов США, Франции или Испании в каталоге есть. Возможно это связано с условиями для отдельных экспонентов (как Фонд Сколково) и для их объединений (как павильоны некоторых стран). Кстати, раньше, еще до санкций и импортозапрещения у России был свой стенд на InfoSecurity Europe.

"Русский" павильон на InfoSecurity Europe 2005
Еще было интересно встретить на выставке немало россиян. Но что характерно, встречал я преимущественно представителей госкомпаний и компаний с государственным участием (специально не буду называть имен). Это тем более странно, что многие из них либо уже не имеют возможности, либо в самое ближайшее время не смогут приобретать иностранные ИТ/ИБ-решения.

В целом хочу отметить, что участие российских компаний на международных выставках - это хороший знак. Только так можно прочувствовать, что такое настоящая конкуренция, а не ее ограничение, как происходить с реестром отечественного ПО. У компаний, выходящих на мировой рынок, есть возможность, набив шишки, не только опередить своих менее проворных коллег по цеху, но и получить в перспективе (с определенными оговорками, конечно) доступ к рынку, неограниченному только Россией и не живущему только за счет запретов. А это в любом случае хорошо. Стоит надеяться, что в следующем году наших на InfoSecurity Europe, а может и на RSA Conference, будет больше и то, о чем так упоительно "пел" в свое время наш министр информатизации наконец-то случится.

14.6.16

Symantec покупает Blue Coat

12 июня компания Symantec объявила о приобретении компании Blue Coat за 4,65 милларда долларов. На фоне происходящего в компании (разделение на части, уход гендиректора) данная покупка, да еще и за такие деньги, выглядит немного странновато. Ну да ладно, считать чужие деньги - занятие неблагодарное. Посмотрим, что получится из этого слияния и как быстро Blue Coat вольется в Symantec.

Кто стучится в дверь ко мне или как профессиональная паранойя выцепляет ботов в соцсетях?

5 лет назад я выступал на одном из мероприятий с темой по безопасности социальных сетей, в которой, среди прочего, упоминал о риске фальшивых учетных записей, через которые злоумышленники могут атаковать ничего не подозревающих пользователей. В прошлом году на ITSF я выступал с рассказом о взломе одной нефтяной компании Ближнего Востока, один из векторов атаки на которую как раз был связан с социальными сетями. Оператор ночной смены технологического сегмента был взломан именно через "друга" в социальной сети, который выслал "интересный" файл, и установивший контроль над компьютером в технологическом сегменте.

Доверие... Будь оно не ладно. Как часто мы привыкли доверять тому, что видим в Интернете? Как часто мы доверяем тому, что нам присылают якобы доверенные люди? А как часто мы доверяем самим адресатам, с которыми нас что-то связывает (соцсети, адресная книга, подписчики в блоге...)? Непраздные вопросы, которые все чаще и чаще выходят на повестку дня. Мы слишком доверчивы и свое доверие к людям мира физического переносим в мир виртуальный.

Вот недавний пример. "Постучалась в друзья" в Facebook девушка по имени Алена Голубева. Подозрения учетная запись девушки не вызывает - ничего криминального там нет; как и чего-то подозрительного. Судя по отсутствию записей и наличию только нескольких фотографий учетка создана совсем недавно.


В друзьях у нее много моих коллег, что вызывает еще большее доверие к девушке ("не может же столько людей ошибаться").


Но девушка поступила нестандартно - сразу вступила в переписку, что и выдало ее с головой. Не знаю как у вас, но человек который стучится в друзья если и начинает общаться, то обычно просит ответить на запрос "дружбы" положительно или сразу задает какой-либо вопрос по работе. Обычно же запрос в друзья не сопровождается никаким сообщением в чате. Тут же диалог выглядел совершенно "нечеловеческим" и никак не связанным с моими наводящими вопросами.


Такое впечатление, что общается бот. Ну а дальше включается профессиональная паранойя и я "пробиваю" ее фото в сервисе FindFace.


Оказывается, что это и не Алена даже, а то ли Татьяна, то ли Василина, живущая то ли в Краснодаре, то ли в Могилеве.


И это только по одной "пробитой" фотографии. По другим нестыковок и ссылок на другие учетные записи еще больше.


Но не единственный пример. В начале года у меня в комментариях в Facebook появилась еще одна девушка, комментирующая и репостящая мои сообщения по ИБ. Профиль в Facebook говорит, что она работает инженером службы поддержки Cisco в Амстердаме. Ну, в амстердамском офисе Cisco много русскоязычных коллег работает - ничего подозрительного.

Правда, LinkedIn услужливо подсовывает мне в "знакомства" ту же девушку, но уже числящуюся менеджером службы работы с персоналом в французском офисе Cisco. Блестящая карьера, которая, в принципе, хоть и нестандартна, но вполне возможна - есть у нас в компании схожие примеры, когда инженеры уходят в нетехнические подразделения. Правда, тут оказалось, что работа совмещается и человек одновременно числится в двух разных ролях в двух разных офисах. А это даже в нашей компании, позволяющей работать удаленно, невозможно. 
Проверка через корпоративный справочник и через коллег в обоих офисах показала, что такой девушки в нашей компании нет. Ну а проверка по FindFace вывила, что такая фотография принадлежит еще нескольким девушкам (Яна, Галина, Карина...).


Ну и что, спросите вы. Ну попросилась несуществующая девушка (или не девушка) в друзья. Ну и что? Ну не принимай ее предложение дружбы или заблокируй ее. Или попросту не принимай от нее никаких "подарков", файлов, ссылок и т.п. Логично, но... Тут впору вспомнить мою презентацию по open source, которую я рассказывал на последнем, десятом ITSF. Посмотрите на слайды 12-15. Там говорится о принципе "тысячи глаз", который часто упоминается апологетами open source. Мол, десятки и сотни тысяч человек не могут ошибаться и если они используют какие-тоисходники, то можно смело их тоже использовать - все дыры там найдены и вычищены. Но история с Heartbleed показала, что это не так. В случае с фальшивой учетной записью ситуация аналогичная. Кто-то ведь может и поверить человеку, у которого в друзьях столько безопасников. Ведь кто-то может посчитать, что эту учетку уж кто-то да проверил и раз человек с ней дружит, то и мне можно ей доверять. А это прямой путь к компрометации и взлому.

И вновь вспомню свою недавнюю презентацию про взлом компании за один час. Именно с разведки и установления доверительных отношений с будущей жертвой или друзьями жертвы и  начинается большинство атак. А значит надо более осмотрительно относиться к тому, кто стучится в друзья и с кем стоит вступать в "дружеские" отношения. Кстати, Алена Голубева, с которой началась эта заметка, находится в друзьях только у коллег-безопасников мужеского полу :-) Диалог с ней напомнил фильм "Хоттабыч" и диалог Хоттабыча и Кисы :-)



ЗЫ. На таком фоне так и не реализовавшася идея депутатов заставить соцсети проверять подлинность своих пользователей выглядит не так уж и глупо...

ЗЗЫ. А вообще концепция "доверия" в ИБ в последнее время все чаще и чаще дает сбой...

Впечатления от InfoSecurity Europe

На прошлой неделе закончилась выставка InfoSecurity Europe 2016, считающаяся знаковым мероприятием по ИБ в Старом Свете. Первый раз эту выставку я посетил в 2005-м году и посещал ее почти каждый год в течение лет пяти-шести. Потом был пятилетний перерыв и я вновь попал на лондонский InfoSec только в этом году. А учитывая посещенную в феврале-марте RSA Conference я могу сравнивать не только саму InfoSecurity в исторической перспективе, но и сравнивать крупнейшее американское и европейское мероприятия по ИБ.

Первый день выставки
Надо сразу сказать, что европейская InfoSecurity считается, и называет саму себя, выставкой. Это важно! Это именно выставка достижений ИБ-хозяйства, которая живет за счет своих около 400 экспонентов; регистрация участников на нее бесплатная. Поэтому сравнивать InfoSecurity Europe можно только с выставкой RSA, а нее одноименной конференцией.


Это выставка, а не как RSAC - иная модель. Живут за счет экспонентов - остальным бесплатный вход. Сравнивать можно только InfoSecurity и RSA Expo, но не с RSA Conference. Отсюда следует простой и банальный вывод - ждать от InfoSecurity качественного контента не приходится. Да, он там был, но это скорее было исключение из правила. Деловая программа была насыщена, но увы, чего-то стоящего подчерпнуть из нее не удалось. Во-первых, сами доклады были очень короткими - 15-25 минут. Только нескольким докладам удалось приблизиться к границе в 60 минут. Были еще и 2-3-хчасовые мастер-классы, но их было мало и попасть на них было просто нереально. Вместительность залов была очень небольшой. Даже для keynote зал вмещал 150-200 человек (на том же RSA он вмещал несколько тысяч человек), а обычные доклады проводились в залах на 50-70 человек. Большинство докладов носило явный рекламный характер.



Поэтому я рекомендую тем, кто планирует в следующем году посетить InfoSecurity, не ждать от нее интересной деловой части - она там просто невозможна в нынешней бизнес-модели. Выступают те же, кто и на стендах стоит. Интересным и независимым спикерам не платят (даже переезд не оплачивают). Есть еще, конечно, доклады на стендах экспонентов, но тут тоже надо понимать, что они носят пусть и не явный, но рекламный характер.

Доклад на стенде одной из компаний про взлом автомобиля
На стенде Cisco выступления шли каждые полчаса в течение всех трех дней
А вот то, за чем стоит ехать на InfoSecurity Europe, так это за изучением продуктовых и технологических тенденций. Для этого лучше места в Европе не найти - на Infosec собираются "сливки" европейского рынка ИБ. И хотя происхождение немалого количества экспонентов является английским, на выставке были представлены и мировые гранды, а также компании из Испании, Франции, Израиля, России и других государств Европы, имеющих на выставке свои стенды (про российское представительство я напишу отдельную заметку).


Немного удивила компания Microsoft, которая имела ну очень маленький стенд на втором этаже выставке (а на 2-м этаже обычно размещают новичков), который уже на второй день оказался в весьма плачевном виде (даже логотип компании удалили). Не знаю причины такого решения, но выглядело это странно.


По традиции я проанализировал список участников и составил перечень самых популярных категорий, в которых были выставлены участники InfoSecurity Europe. Как и в случае с RSAC у меня сложилось впечатление, что экспоненты сами указывали категории, в которых они хотели присутствовать. Например, мне не совсем понятно, чем отличаются категории "облачная безопасность" и "SaaS" или "DLP" и "утечки данных" (в оригинале "data breach")? Для меня оказалось неожиданным явный отрыв темы безопасности Wi-Fi. То ли это ошибка составителей каталога выставки, то ли еще какая-то причина. В остальном все более или менее очевидно - никаких сюрпризов я не увидел и от RSA отличий немного. Пожалуй, что явно выделена тема PCI DSS, которая на RSA такого внимания не заслужила.


Аутсайдеры тоже не вызывают у меня больших вопросов., хотя они и отличаются от аналогичного перечня для RSA. Но тут скорее вопрос к списку категорий, которые не совпадали для InfoSecurity и RSA.


Правда, анализировать тенденции можно и удаленно. Можно и мою заметку почитать и просто каталог участников скачать с сайта и пролистать. Пообщаться с коллегами, конечно, не удастся. Как и задать вопросы представителям компаний-производителей.


Организация мероприятия была на высоте, что и неудивительно. В этом месте InfoSecurity проходит уже не первый, не третий и даже не восьмой год. Процедура уже налажена. С туалетами проблем нет, мест для питания полно, очередей на регистрации нет, транспортная доступность. Правда, в этот раз не было книжного магазина, в котором в прошлые годы продавали книжки по ИБ со скидкой. Жаль, меня этот магазин раньше сильно выручал. Wi-Fi тоже подкачал. Точек было много - нормальной ни одной.


Единственный вариант - цепляться через сомнительную точку доступа, на которую у меня ругался Cisco AnyConnect и не давал цепляться к ней. Единственное, что спасало, - LTE.


Теперь стоило бы обратиться к фишкам выставки, но новых на самом деле и не было. Я уже обо всех них писал применительно к другим мероприятиям и тому же RSAC. Уже по традиции у мероприятия есть свое мобильное приложение, которое позволяет сделать все, что нужно - сформировать свое собственное расписание, получить информацию об экспонентах и спикерах, вступить в контакт с другими участниками (если они были зарегистрированы в приложении).


Организаторы интересно выкручивались из ситуации, которая часто встречается и на российских выставках, на которых под доклады выгораживают пластиковыми перегородками "помещение" с отсутствующей акустикой и постоянные объявления в зале заглушают выступления докладчиков и мешают слушателям. На InfoSecurity Europe для борьбы с плохим звуком выдавали наушники.


Из сувенирки могу отметить закрывашки окна камеры в ноутбуках. После публикации недавних исследований о возможности "подглядывать" за владельцами уязвимых компьютеров, о том, как защититься от этого, стали писать и говорить многие. Производители сувенирки быстро подсуетились и стали выпускать соответствующие решения. Они недороги и поэтому экспоненты раздавали их направо и налево. Я только за один день набрал штук девять разных "защитных устройств".


Было даже "решение" для смартфона. Простое до безобразия, но не думаю, что оно станет популярным. Это набор обычных одноразовых наклеек :-)


Мне понравился и еще один полезный сувенир - нано-салфетка для протирки очков, выполняющую и определенную функцию повышения осведомленности.


Из наблюдений: достаточно популярна была тема супергероев и комиксов, которую эксплуатировали многие компании. Ее стали применять и в России, но, как мне кажется, зря. У нас культура иная. Всяческие "Superman" и "Hero" нам чужды, не говоря уже о "Человеках-пауках", "роботах" и тому подобных персонажах. Но на Западе они являются уже частью многолетней истории и поэтому их использование вполне обоснованно и воспринимается нормально.


Набирает популярность sketchnoting, то есть зарисовывание основных мыслей из презентаций. Например, у Tripwire к концу третьего дня весь стенд был заставлен вот такими плакатами, каждый из которых был посвящен одной из тем, прочитанных в течение трех дней.


Кто-то из участников в качестве шутки и в преддверии дня рождения кумира Великобритании запустил по стендам "королеву", которая ходила, улыбалась, здоровалась и делала все, что обычно делает королева в глазах обывателя. Бабуля была очень похожа на свой оригинал и многие даже всерьез восприняли ее за настоящего английского монарха, уделившего время такой важной теме как кибербезопасность.


Но если приход королевы был шуточным, то вот правительство Ее Величества на выставке присутствовал вполне реальное. На стенде HM Government (Her Majestic Government) рассказывалось о роли государства в регулировании рынка кибербезопасности и об усилиях регуляторов в этой области.


Вспоминая свои первые посещения InfoSecurity десятилетней давности, могу отметить, что я не заметил особой разницы. Посмотрите на снимок ниже. На одной его части фотография, которую я делал неделю назад, на другой - фото с InfoSecurity Europe 2005. Вы видите разницу? Я нет.


Все помещение Olympia занято, везде толпится народ, везде активности. А значит этот формат, несмотря на критику в адрес выставки, востребован и будет таковым еще долгое время. Все-таки европейский рынок является достаточно лакомым куском для многих ИБ-игроков и они будут по-прежнему выставляться на InfoSecurity Europe.