31.8.17

Чего ждать от ФСТЭК, как регулятора в области безопасности КИИ?

28 августа Аркадий Дворкович подписал план-график подготовки нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, необходимых для реализации норм Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Федерального закона от 26 июля 2017 г. № 193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», утвержденным Заместителем Председателя Правительства Российской Федерации (№ 5985п-П10). А спустя всего пару дней был опубликован проект первого из пакета документов, который определяет регулятора в области безопасности КИИ, которым предсказуемо стала ФСТЭК.

Часть коллег в Фейсбуке высказала предположение, что это еще не финальное решение и возможно текст будет изменен. Возможно. Но я все-таки предполагаю, что это уже финальное решение и тому есть несколько причин. Во-первых, если бы регулятором могла стать ФСБ, то это было бы проще сделать еще на этапе подготовки законопроекта - автором же его являлась именно ФСБ. Если они тогда этого не сделали, то, возможно, они просто не хотят быть таким регулятором (им и темы ГосСОПКИ достаточно). Версия, что это может быть Минкомсвязь (все-таки мы говорим не обо всех критических инфраструктурах, а только об информационных) также существует, но в этом ведомстве просто некому заниматься этой темой и опыта у них нет. Остается только ФСТЭК, которая и безопасностью занимается, и к информационным системам имеет прямое отношение, и ключевыми системами информационной инфраструктуры (КСИИ) занималась. То есть сходятся все ключевые факторы, которые могли бы определить регулятора. Да и проект Указа Президента готовила именно ФСТЭК.

До 13-го сентября будет идти процедура общественного обсуждения, за которой последует ряд дополнительных процедур, включая согласование между ФОИВами, а затем принятие нормативно-правового акта. Произойти это должно до конца октября (вдвое оперативнее, чем это предполагалось изначально). С этого момента начнется активная работа по разработке подзаконных актов в области контроля и надзора, обеспечения безопасности значимых объектов КИИ, а также регламентация процесса ведения реестра значимых объектов КИИ. 

Самым интересным в этой тройке является разработка требований по защите. Если исходить из версии, что регулятором будет ФСТЭК, то на мой взгляд развитие событий пойдет следующим путем:
  • Приказ №31 от 2014-го года (и, возможно, от 2017-го года тоже) получит долгожданную легитимизацию и будет официально распространяться на АСУ ТП. При этом, возможно, в него внесут изменения для распространения его положений на все 13 отраслей, упомянутых в ФЗ о БКИИ, а не только на те, которые описаны в 31-м приказе.
  • Появится еще один приказ, ориентированный на отрасли, в которых нет АСУ ТП, - наука, финансовые организации, здравоохранение и т.п. Вновь предположу, что этот приказ не станет чем-то новым для специалистов и будет похож на 21-й приказ ФСТЭК. По крайней мере все последние документы ФСТЭК с перечислением мер защиты похожи друг на друга как браться-близнецы. Поэтому и новый приказ будет наследовать уже ставшие привычными за последние 4 года требования по защите информации.
Учитывая, что список требований по защите уже отработан в 17/21/31-м приказах, то врядли процесс выпуска нового приказа сильно затянется.

Я вообще бы разработал уже унифицированный набор защитных мер и утвердил его приказом, просто ссылаясь на него по мере необходимости (по аналогии с ГОСТом ЦБ и ссылками на него из положений Банка России). Ведт ФСТЭК еще предстоит готовить документ по станкам с ЧПУ, а потом, может быть, еще что-то потребуется. Поэтому проще было иметь один единственный набор, к которму можно было бы обращаться по мере необходимости и не писать новые требования.

Немного особняком стоят:
  • Перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. № 1203
  • постановление Правительства Российской Федерации, содержащее сведения, составляющие государственную тайну,
в которые должны быть внесены изменения, так как согласно принятому законодательству сведения о мерах защиты объектов КИИ относятся к государственной тайне. Но и с ними ФСТЭК не должна затягивать.

Что в итоге? В начале 2018-го года мы должны иметь необходимые нормативно-правовые акты, вызывающие наибольшее количество вопросов (наряду с постановлением Правительства с показателями значений категорирования объектов КИИ). Осталось ждать не так уж и много...

ЗЫ. Да, совсем забыл упомянуть, что с 1-го января 2018-го года вступает в силу уголовная ответственность за несоблюдение защитных мер. И хотя у нас пока нет Постановления Правительства с порядком такого надзора (его тоже должна писать ФСТЭК, как будущий регулятор в этой области), существует прокуратура, которой никакой порядок не нужен - она может прийти в любой момент после 1-го января. Утрирую немного, но формально это так.

30.8.17

Запилил канал в Telegram

Как оказалось, далеко не все пользователи имеют Twitter, предпочитая ему Telegram. Для меня это оказалось открытием; тем более, что я считал, что это совершенно разные средства коммуникаций. Twitter предназначен для получения различных оперативных новостей и возможности чтения большого количества пользователей, организаций и компаний. А Telegram - это, для меня, все-таки аналог WhatsApp, то есть обычный мессенджер для общения, но не для получения новостей. Но в реальности оказалось все не так :-)

В итоге решил запилить собственный канал в Telegram, который пока решает одну простую задачу - аккумулирует все, что пишется мной в блоге и Твитере, а также ретвитится в последнем. Может и еще что туда буду постить - по ходу посмотрю. Запустил пока в бета-режиме - экспериментирую. Если вдруг кто-то предпочитает именно  Telegram, то милости прошу.


Адрес канала - https://t.me/alukatsky

PS. Интересно, что еще до официального анонса к каналу подключилось три десятка человек. И как узнали?..

Почему коммерческие SOCи не имеют права работать с ГосСОПКОЙ

Наверное все слышали и видели, как на мероприятиях по центрам мониторинга ИБ, различные коммерческие SOCи активно эксплуатируют тему ГосСОПКИ, называя себя корпоративными ее центрами, которые с удовольствием возьмут на себя функцию мониторинга ИБ критических информационных инфраструктур. Такое желание вполне понятно - создан совершенно новый сегмент рынка ИБ, который с 1-го января 2018-го года будет развиваться семимильными шагами. Однако надо заметить, что оптимизм таких коммерческих SOCов, почему-то называющих себя корпоративными центрами ГосСОПКА, не совсем правомерен. И вина тут в том, что авторы закона "О безопасности критической информационной инфраструктуры", в пылу страсти посчитали себя умнее всех и не прислушались к мнению экспертов. И вот что получилось...

В ст.5 закона о БКИИ, посвященной ГосСОПКЕ говорится о том, что сия очень важная (без сарказма) национальная система обнаружения атак, представляет собой силы и средства... Средства мы пока оставим за рамками (хотя там тоже очень много интересного), а вот про силы сейчас и поговорим. Согласно той же статье к силам относятся:
  • подразделения и должностные лица ФСБ
  • созданный национальный координационный центр по компьютерным инцидентам (НКЦКИ), часть людей из которого, недавно перешла в Positive Technologies
  • подразделения и должностные лица субъектов КИИ.
Все! Никаких коммерческих SOCов. Такой вот парадокс. И хотя взаимоотношения между ФСБ (а точнее 8-м Центром + НКЦКИ) и коммерческими SOCами вполне тесные и дружественные, формально последние не являются и не могут являться составной частью ГосСОПКИ. И никаких методические рекомендации и даже приказы ФСБ не могут изменить этой ситуации, так как для этого нужны правовые основания, отсутствующие в ФЗ о безопасности критической инфраструктуры.

Но и это еще не все. В ст.5.5 говорится о том, что ГосСОПКА осуществляет накопление информации, которая поступает от средств ГосСОПКИ, а также от иных органов и организаций, не являющимися субъектами КИИ. Тут, вроде, все нормально. Коммерческие SOCи, а также компании, предоставляющие услуги Threat Intelligence, вполне имеют право делиться своими данными с ГосСОПКОЙ, но... передача эта односторонняя - только в сторону ГоСОПКИ. А все потому, что согласно ст.5.6 закона о БКИИ НКЦКИ осуществляет обмен информации только между субъектами КИИ или между субъектами КИИ и иностранными органами и международными организациями, занимающимися реагированием на иниденты. Российских компаний в этом списке нет! То есть ни получать, ни передавать данные об инцидентах в КИИ коммерческие SOCи не могут :-(


Я вижу только одно исключение, когда описываемые мной предприятия могут стать полноправными членами ГосСОПКИ, - они должны стать субъектами КИИ и взять на себя все те обязанности, которые накладываются на субъектов. Правда и тут нас поджидает очередной терминологический тупик. Вспомните список тех, кто может называться субъектом КИИ. Там 13 отраслей и организации, которые обеспечивают взаимодействие субъектов КИИ между собой. К этой чертовой дюжине отраслей коммерческие SOCи не относятся. Но и к последней, 14-й "отрасли" их отнести сложно, ведь они не обеспечивают взаимодействие субъектов КИИ, а только обслуживание.

Вот такая засада :-( А все от того, что одни субъекты законотворческой деятельности посчитали себя умнее всех, а другие (те, кого затрагивают нормы закона о БКИИ) не посчитали нужным активно проявить свою позицию и объяснив авторам закона всю ошибочность написанного. В итоге получается, что субъекты КИИ, которые хотели бы передать мониторинг ИБ своей инфраструктуры профессиональным игрокам рынка, обеспечивающим свои функцию в режиме 24х7, сделать это не удасться - придется создавать собственные центры мониторинга (чего многие хотели бы избежать, не имея соответствующих ресурсов) или подключаться к ведомственным центрам ГосСОПКИ. Есть и третий сценарий - собраться коммерческим SOCам (через SOC Club, например, или на грядущем SOC Forum) и сообща пробить изменения в законодательстве :-)

Понимаю, что тема дискуссионная и поэтому приглашаю желающих подисскутировать на круглый стол "SOC vs SIEM", который я веду в рамках грядущей InfoSecurity Russia 21-го сентября с 14.00 до 16.00. В круглом столе согласились принять участие:
  • Мона Архипова, директор по безопасности, WayRay
  • Александр Бабкин, начальник Ситуационного центра информационной безопасности Департамента защиты информации, Газпромбанк
  • Александр Бодрик, заместитель генерального директора по развитию бизнеса, ANGARA Professional Assistance
  • Александр Бондаренко, генеральный директор, R-Vision
  • Алексей Качалин, исполнительный директор Центра Киберзащиты, Сбербанк
  • Илья Шабанов, директор, Anti-malware.ru

ЗЫ. Но это не последний тупик, который поджидает нас с законодательством по безопасности КИИ. Их впереди еще много и я к ним еще вернусь.

Атлантические тупики (с ударением на первом слоге)
ЗЗЫ. Кстати, по ссылке вы можете найти презентацию и видеозапись с проведенного 21-го июля вебинара ”Обзор нового законодательства по безопасности критической инфраструктуры”, где я рассматриваю различные нюансы нового регулирования.

29.8.17

Эволюция отчетности по инцидентам Банка России

ЦБ выложил у себя на сайте проект указания Банка России «О внесении изменений в Указание Банка России от 9 июня 2012 года № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств», который меняет порядок отчетности по инцидентам в области ИБ, установленную в 203-й форме (202-я остается без изменений).

Основных изменений в новой форме два:
  • переход от ежемесячной к ежеквартальной и полугодовой отчетности
  • уход от подробной информации об инцидентах и сдвиг акцента в сторону указания финансовых потерь от инцидентов.
Проект Указания исключает из формы отчетности 0403203 вопросы технической реализации инцидентов защиты информации, указывающих на причины их возникновения, а также обязанность операторов по переводу денежных средств и операторов услуг платежной инфраструктуры по предоставлению сведений о технических способах реализации инцидентов защиты информации. Это не значит, что ЦБ не интересует эта информация, просто она уходит в другие формы отчетности.

Первой ласточкой стало положение 552-П, которое требует отправлять данные об инцидентах с АРМ КБР в ФинЦЕРТ в течение 3-х часов после наступления инцидента. Однако этим желание ЦБ получать оперативную информацию об инцидентах не ограничилось. В проекте новой версии 382-П указано, что участники НПС должны сообщать обо всех инцидентах ИБ в ФинЦЕРТ в порядке, установленном Банком России. Логично предположить (хотя 100%-й гарантии не дам), что ЦБ не будет изобретать велосипед и повторит вариант с 552-П, то есть будет требовать сообщать обо всех инцидентах (а не только с АРМ КБР) в течении трех часов.

Таким образом, ЦБ хочет изменить подходы к отчетности об инцидентах, заставив своих подопечных (пока только банки и операторов услуг платежной инфраструктуры и операторов платежных систем, но в перспективе не исключаю и остальные финансовые организации) пересмотреть свои системы управления инцидентами в сторону большей оперативности.

Однако, оставался вопрос с PR-составляющей (куда уж без нее). Ведь надо регулярно отчитываться о суммах похищенных или готовящихся к хищению денежных средств - журналисты любят такие показатели. Да и динамику хищений киберпреступниками знать полезно. Поэтому новая версия 203-й отчетности сфокусировалась именно на этом, а точнее на 3-х основных цифрах:
  • суммы готовящихся к хищению средств
  • суммы незаконно переведенных средств
  • суммы возвращенных средств (это новация - раньше такого не было). 
Вступает новое указание с 1-го января 2018-го года.



Однако и это еще не все. В мае в Госдуму был внесен законопроект о внесении изменений в 161-ФЗ "О национальной платежной системе", в котором среди прочего от банков требуется уведомлять ЦБ обо всех мошеннических операциях (перечень будет установлен Банком России). Тут очень много темных пятен - и в части процедуры уведомления, и в части перспектив самого законопроекта. Поэтому и говорить про него пока рано (отсюда и пунктир на иллюстрации).

ЗЫ. 258-я форма (по инцидентам с платежными картами) изменений не претерпела. Связано это с тем, что она разработана была не ГУБЗИ, которое не отвечает за ее изменение.

ЗЗЫ. По проекту новой отчетности ЦБ принимает предложения до 7-го сентября.

28.8.17

Рынок труда по ИБ ждет жестокая драка за место под солнцем. Вы к ней готовы?

Прошлые две недели прошли у меня под знаком американского флага. Мне пришлось дважды летать в Штаты (почему нельзя было остаться между командировками там и не тратить больше суток в самолете оставлю за рамками заметки) - одна командировка была связана с SOC, а вторая - с глобальным мероприятием Cisco. И если про результаты первой я еще напишу (там было много интересных мыслей и разоблачений мифов), то о второй мне хотелось бы написать именно сейчас. Пока свежи впечатления (да и разгребать почту за время отпуска и двух недельных командировок с накрывшим джетлегом не особо хочется).

Год назад я уже задавался философским вопросом: "Кому ты будешь нужен через 5 или 10 лет?" И про замену человека искусственным интеллектом тоже писал (длительные перелеты способствуют философским рассуждениям). Сейчас я хочу вновь вернуться к этому вопросу, но немного с иной точки зрения. Все мы знаем, что выпускники ВУЗов, идущие на свою первую работу, обычно хотят денег - много и сразу. Отчасти, потому что это свойственно молодости, переоценивающей свои навыки и квалификацию. Отчасти, потому что эти выпускники прочитали/услышали, что специалистов по ИБ не хватает. По разным оценкам такая нехватка составляет не менее 1 миллиона человек по всему миру. В России же не хватает по оценкам Минтруда около 50-60 тысяч специалистов по ИБ. Отсюда многие делают вывод, что в условиях дефицита можно требовать много денег. Увы... Читая новости про отсутствующий миллион специалистов по ИБ, все забывают, что речь идет о квалифицированном персонале, а не вообще о тех, кто готов называть себя ИБ-специалистом.

Такая нехватка приводит к тому, что компании (и потребители, и производители) начинают искать выход и находят его в двух направлениях:
  • автоматизация операций, которые раньше выполнял человек; причем не только рутинных
  • аутсорсинг (в том числе и ввиде перехода на облачные технологии).

Обратите внимание, больше специалистов делать никто не хочет (зато хотят запретить им выезд заграницу). Во-первых, это долго (минимум 4 года, а то и все 6, в зависимости от специальности) и рынок не готов столько ждать. Во-вторых, число ВУЗов, готовящих таких специалистов, сокращается. Если сравнить текущий список учебных заведений, входящих в УМО по ИБ, с тем, что было еще несколько лет назад, то разница составит не менее 25% и динамика эта негативная. В-третьих, уровень преподавания в ВУЗах оставляет желать лучшего (почему - это отдельная тема). Отсюда и нежелание заниматься увеличением числа выпускников и рост дефицита безопасников. Но дефицит этот будет компенсироваться не за счет людей.

Рустем Хайретдинов в Facebook последнее время не раз уже писал про замену людей роботами. И если отбросить фантастический флер, которым овеян термин "робот", то это тенденция действительно имеет место в индустрии ИБ. Машинное обучение, аналитика, автоматизация, API... Все это снижает зависимость от человека, возможности которого по борьбе с современными динамично изменяющимися угрозами сильно ограничены. Зачем нужен человек, если программа готова пропускать через себя триллионы событий ежедневно и гораздо быстрее обнаруживать в них признаки аномалий и иной несанкционированной активности, чем человек? Зачем нужен homo sapiens, которому еще и свойственно ошибаться, терять концентрацию, делать неправильные выводы? Аналитические системы и подсистемы (в различных их проявлениях) постепенно вытесняют человека, оставляя ему все меньше функций и дел.


Если посмотреть на современный рынок ИБ, то он уходит в облака и аутсорсинг. У многих продуктов появляется SaaS-версии, которые пока являются интересной, но все-таки опцией. Со временем же эта опция станет доминировать, а потом и заменит свои on-premise решения. Эта тенденция совсем не видна в России (у нас нет SaaS-решений по ИБ), но она очень хороша заметна на Западе. Классические производители программных и аппаратных решений по ИБ стали уходить в облака, предлагая своим заказчикам новые возможности по управлению ИБ. И это связано не только и не столько с желанием заработать, сколько с потребностями самих заказчиков, которые не в состоянии в круглосуточном режиме заниматься своей ИБ.

Сегодня даже межсетевые экраны уходят в облака, полностью переходя на внешнее управление. А ведь совсем недавно именно эти решения были ярким примером решений, которые всегда находятся в руках заказчика. Да, за ними пока остается функция формирования политик, но развертывание МСЭ, изменение конфигураций, обновление ПО, реагирование - все это уходит в облако, высвобождая безопасников внутри компаний. Пока их можно переключать на другие задачи, до которых раньше не доходили руки. Но что потом, когда все задачи уйдут в облако? Кому будут нужны безопасники, которые раньше кичились своей нужностью и дефицитностью? Кто будет платить им большие зарплаты? Бизнес только выигрывает от этого. Ему больше не нужно содержать штат высокооплачиваемых людей, которые не умеют говорить с бизнесом на его языке и которые занимаются непрофильной для бизнеса активностью. Поставьте себя на место финансового директора, который стоит перед дилеммой - оплатить счет на 60 тысяч долларов за новую систему аналитики в ИБ или такую же сумму выделить на фонд оплаты труда безопасника? При этом ФОТ надо выделять ежегодно (да еще и с постоянным увеличением), а оплатить счет только один раз (стоимость ежегодной поддержки будет в разы ниже).

Что, все вот так плохо? И да, и нет. Я немного сгущаю краски, беря самый пессимистичный сценарий развития событий. Да, для него есть все предпосылки, но все-таки и 100%-вероятным его считать нельзя. С другой стороны, то, что происходит на мировом рынке, говорит именно о таком исходе. Подготовить нужное количество квалифицированных людей сегодня просто невозможно - гораздо эффективнее попробовать заменить их на "роботов", что я и наблюдаю, посещая различные мероприятия (Gartner, RSA, Cisco, InfoSecurity и т.п.).

До России это все пока не докатилось и, как я уже писал, в условиях импортозамещения докатится еще не скоро (увы, надо признать, что рынок отечественных разработок по ИБ далек от своего западного коллеги и отказа от людей нам ждать не приходится). Но и расслабляться не стоит. Технологии развиваются стремительно и совсем скоро мы можем получить письмо по электронной почте от HR-робота, что в наших услугах компания больше не нуждается :-(

Есть ли у вас план на такой случай? 

Я не буду делать никаких выводов - каждый их сделает сам. Просто задумайтесь, не откладывая решение этого вопроса "на потом". Скоро на рынке труда будет жестокая драка за место под солнцем и никакие прошлые заслуги и регалии не помогут.

23.8.17

Маскировка киберпреступников под личиной партнеров ИБ/ИТ-вендоров

Так уж сложилось, что обычно процесс моделирования угроз ограничивается составлением списка внешних и внутренних нарушителей, которые пытаются через различные каналы осуществить проникновение внутрь защищаемой сети или устройства, украсть информацию или просто вывести из строя информационную систему или процесс. Для нейтрализации таких угроз предполагаемая внедрение различных защитных мер, в том числе и ИБ-продуктов. Но... не так уж и часто сами средства защиты или иные ИТ-компоненты рассматриваются как мишень для злоумышленников, через которые можно проникнуть внутрь системы. А если и рассматриваются, то в контексте наличия уязвимостей, которые надо искать путем применения различных сканеров безопасности. Но сегодня этого явно недостаточно и дело не только в пресловутых закладках от спецслужб, внедряемых в оборудование или ПО для интересующих заказчиков на этапе поставки. Я продолжаю придерживаться мнения, что это угроза сильно преувеличена. Она, безусловно, имеет ненулевую вероятность, но число тех, против кого она может быть реализована, несоизмеримо мало по сравнению с тем, как об этом пишут СМИ или отдельные безопасники-"патриоты".

Есть гораздо более вероятные сценарии. Например, на днях прошла новость о якобы обнаруженной новой угрозе, которую уже успели окрестить емким термином "Chip-in-the-Middle" ("чип посередине"), суть которой заключается в установке в мобильные устройства чипов (например, во время ремонта) с вредоносной функциональностью. На самом деле это угроза не нова и вполне предсказуема при правильном моделировании угроз в управлении цепочками поставок. Вот хорошая иллюстрация из презентации, которую я делал еще 3 года назад.


В ней описанный сценарий "chip-in-the-middle" описан наряду с другими точками приложения сил злоумышленниками. В сегодняшней заметке я бы хотел коснуться немного другого участка цепочки поставок, о котором многие специалисты по ИБ не думают, но именно через него возможно нанесение ущерба для предприятия. Речь пойдет о процессе, который на иллюстраии отмечен словом "партнеры". Да-да, именно те компании, которые и поставляют львиную долю всех ИБ-решений потребителям, и являются одной из угроз.

Реализуется эта угроза достаточно просто - злоумышленнику нужно проделать всего несколько шагов:

  1. Зарегистрироваться в качестве партнера у интересующего производителя решений по ИБ (на самом деле это касается не только ИБ-производителей, но и любого поставщика, например, ИТ). Выдавать себя лучше за регионального партнера - их проверяют (если вообще проверяют) не очень пристально.
  2. Податься на конкурс по поставке средств защиты, организованному предприятием-жертвой.
  3. Установить минимальную цену своего предложения (можно ничего не заработать, а можно даже и в минус уйти). Нередко (а у госорганов в соответствие с 44-ФЗ так почти всегда) основным критерием выбора продукта является цена (что вызывает неудовольство разных сторон, и продавцов, и покупателей) - кто дешевле, тот и выиграл.
  4. Выиграть конкурс, который, по тому же 44-ФЗ, практически невозможно отменить.
  5. Получить у производителя оборудование или ПО (нередко, для отчетности в бухгалтерии, ПО скачивается не с сайта, а поставляется на CD/флешке).
  6. Внедрить закладку в оборудование или ПО. Понятно, что в зависимости от железа или софта это может потребовать определенной квалификации, но невозможным я бы это не назвал.
  7. Осуществить поставку оборудования или ПО заказчику.
  8. Бинго!

В результате, злоумышленникам не нужно осуществлять никаких проникновений в корпоративную или ведомственную сеть - процесс установка программных или аппаратных закладок осуществляется полностью на легальных основаниях. Более того, жертва еще и сама все это будет устанавливать в своей сети, полностью доверяя своим партнерам и контрагентам. И, скорее всего, у жертвы даже подозрения не возникнет, что партнер, поставляющий продукты и сделавший прекрасное ценовое предложение, извлечет из этой истории совершенно иную выгоду, а прибыль получит позже.

К счастью, пока эта угроза не столь популярна у злоумышленников, так как требует определенных шагов, которые требуют ресурсов (временных, финансовых) больше, чем обычно. Но и невозможной эту угрозу я бы не назвал, особенно в условиях желания многих производителей расширять число партнеров, продающих их решения, и в условиях российского законодательства, предусматривающего выбор продукта не по его функциональности, а по цене.

Как бороться с этой угрозой? Направлений я с ходу могу назвать четыре:

  • Внедрение SDLC (также и применительно к железу) на стороне производителя. Тема SDLC непроста - немногие производители, особенно небольшие, особенно в России, реализуют у себя цикл безопасной разработки. Крупные игроки тоже не всегда могут похвастаться идеально выстроенными процессами. Могу привести пример нашей компании - мы в Cisco реализовывали все поэтапно (вот тут презентация и видео с конференции ФСТЭК, где про это рассказано более подробно) и контроль целостности на уровне софта (при загрузке и в процессе исполнения) и на уровне железа у нас появился по меркам компании относительно недавно.


  • Использование сервисов мониторинга целостности оборудования и ПО, предлагаемых производителем. Это большая редкость и я вот так сходу и не вспомню производителей, которые бы предлагали такие сервисы, как дополнение к своим решениям. Но это пока - думаю не за горами, когда такие услуги будут предлагаться и заказчику только останется решить, тратить на это деньги или принять соответствующие риски.


  • Использование третьей стороны, которая возьмем на себя оценку целостности поставленных решений. Частным случаем такого пути решения проблемы является сертификация на отсутствие недекларированных возможностей и проведение соответствующего тестирования (с упором на поиск именно постороннего вмешательства, а не уязвимостей, которые являются результатом деятельности разработчиков).
  • Мониторинг активности. Это традиционная деятельность любой службы ИБ или ИТ, но в контексте заметки привычные системы класса NTA (Network Traffic Analysis), EDR (Endpoint Detection & Response), UEBA (User Entity Behavior Analytics), NFT (Network Forensics Tool) и т.п. должны включать в область своего контроля еще и средства защиты (что бывает нечасто) и иные "доверенные" устройства и решения. Это не так сложно и не требует больших усилий (если технологии мониторинга аномалий на уровне софта и железа, сетевом и прикладном в компании есть) - просто надо признать такую угрозу актуальной.
ЗЫ. Когда уже заканчивал заметку пришло в голову, что в проекте методики моделирования угроз ФСТЭК, этот тип нарушителя впрямую не указан, как и сама угроза. Хотя направление размышлений задано в проекте верно.


21.8.17

Не верь глазам своим или всегда проверяйте резюме своих кандидатов

В последнее время на российском рынке труда в области ИБ не то, чтобы бум, но активно возросла. Многие специалисты уходят с прежних мест и стремятся на новые позиции, зачастую связанные с руководящими должностями. При этом рынок у нас достаточно узкий и все друг друга знают напрямую или через одно-два "рукопожатия". Тем более удивительно, что встречаются уникальные ситуации, об одной из которых я и хотел поведать.

Представьте, что ищите вы человека на руководяoe. роль и получаете солидное резюме, в котором есть вот такой фрагмент.


Согласитесь, что это просто мечта, а не кандидат. И иностранную нормативку он знает (канадская PIPEDA только немного выбивается из общей череды перечислений). И с отечественными регуляторами он на короткой ноге. Лидерские качества присутствуют в большом количестве. А про уникальные компетенции я вооще молчу - я там половины слов и не знаю даже. Раздел "Сертификаты" тоже выше всяких похвал.


 Все бы ничего, но в качестве последнего места работы у этого кандидата было написано вот что:


Поэтому логично, что коллега из компании, куда пришло это резюме, обратился ко мне за рекомендациями. Каково же было его удивление, когда я сказал, что этого кандидата я не знаю и он никогда не работал в Cisco (ни в московском офисе, ни в каком другом). Согласитесь, надо обладать определенной смелостью и, я бы даже сказал наглостью, чтобы такое писать в резюме и рассчитывать, что эта ложь прокатит. Наш мир уж очень тесен, чтобы нельзя было проверить места предыдущих работ кандидата; особенно если места топовые.

История это произошла в прошлом году и я как-то не особо стремился выносить ее на публику, если не бы схожий по сути случай, на который я наткнулся на прошлой неделе. В профиле одного из коллег на Facebook я увидел должность на предыдущем месте работы:


Никакого криминала, если не учитывать, что в эту компанию человеку помогал устраиваться я и повел он себя там не очень красиво. Завалил проект и ушел, написал об этом обычную смску, проработав около месяца. И никакого департамента там тоже не было - человек был один; и швец, и жнец, и на дуде игрец. Зато в профиле и в резюме у него теперь числится "руководитель департамента ИБ". В данном случае проверить этот факт будет сложнее - компания работает в узкой нише, которая к ИБ никакого отношения не имеет и никаких "наших" контактов там нет.

К чему я это веду? Какой-то морали особой не будет. Один раз - это случайность, а два - совпадение. Не хотелось бы столкнуться с третьим разом, когда это уже может стать закономерностью. Хотелось бы призвать коллег, ищущих работу и работников, - не портите карму ложью. Все же всплывает рано или поздно. И хотя в безопасности не может быть доверия, на человеческом уровне оно присутствует. Не стоит подрывать его стремными записями в резюме. Желание найти хорошую работу понятно (а ради красного словца, не пожалеешь и отца), но переступать определенную черту все-таки не стоит.

ЗЫ. Имен не будет (ни тут, ни в личке).

ЗЗЫ. В голове крутилась идея некоего рейтинга руководителей ИБ, но все-таки она так себе. Не все можно загнать в рейтинги и белые списки.

9.8.17

Закон по БКИИ. Терминологический тупик

В утвержденных СовБезом в 2012-м году основах госполитики в области безопасности АСУ ТП КВО дается такое определение критической информационной инфраструктуры: "критическая информационная инфраструктура Российской Федерации - совокупность автоматизированных систем управления КВО и обеспечивающих их взаимодействие информационно- телекоммуникационных сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка, нарушение (или прекращение) функционирования которых может стать причиной наступления тяжких последствий". Можно дисскутировать на тему, хорошее это определение или нет, но оно характеризуется тем, что обозначает критическую инфраструктуру как совокупность АСУ ТП и связывающих их сетей, находящихся в разных секторах экономики и имеющих значение для обороны и безопасности страны.

В утвержденной в День Победы Стратегии развития информационного общества дается иное определение: "критическая информационная инфраструктура Российской Федерации - совокупность объектов критической информационной инфраструктуры, а также сетей электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры между собой". Вроде и тут есть совокупность объектов и связывающих их сетей, но почему-то исключена привязка к назначению этих объектов, как это было сделано в определении выше. Вроде мелочь, но если посмотреть на определение объекта критической информационной инфраструктуры, то мы увидим, что именно там сделана ключевая ошибка, которая загнала авторов закона "О безопасности критической информационной инфраструктуры" в тупик, из которого уже не выбраться. Мы стали заложниками совершенно дурацкого термина, противоречащего не только здравому смыслу, но и международной практике.

В Стратегии говорится, что "объекты критической информационной инфраструктуры - информационные системы и информационно-телекоммуникационные сети государственных органов, а также информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления технологическими процессами, функционирующие в оборонной промышленности, в сфере здравоохранения, транспорта, связи, в кредитно-финансовой сфере, энергетике, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности". То есть, объект КИИ - это не то, что влияет на обороноспособность и безопасность страны, а то, что находится в определенных секторах экономики. Например, POS-терминал, стоящий в кассе столовой любого госоргана :-) Вместо того, чтобы отталкиваться от назначения инфраструктуры (системы), авторы (из 8-го Центра ФСБ) решили зачем-то оттолкнуться от отраслевой привязки. Соответственно, КИИ у нас могут быть, согласно Стратегии, только в 13 отраслях, перечисленных в определении выше. Я уже писал раньше, что мне совсем непонятна причина, по которой тоже водоснабжение или телерадиовещании выпали из контроля. То ли лобби у них сильное, то ли по ошибке их забыли включить, то ли авторы посчитали, что указанное определение покрывает и их тоже. Но увы, нет.

Самое главное, что это же определение перекочевало в закон "О безопасности критической информационной инфраструктуры", потянув за собой весь ворох проблем и задавая тон будущим проблемам - при категорировании объектов КИИ и при их защите. Точнее, в законе о БКИИ схожее определение, так как оно там формально, но все-таки отличается от Стратегии. Там идет трехуровневая связь терминов "критическая информационная инфраструктура", "объект КИИ" и "субъект КИИ". КИИ - это объекты (уже без совокупности) и сети, их связывающие. Объекты - это информационные, информационные-телекоммуникационные системы и АСУ субъектов КИИ. А вот уже в определении КИИ идет перечисление отраслей экономики (вновь без привязки к задачами создания информационных систем).


Внимательный читатель (а не внимательному я выделил все пурпурным) обратит внимание, что в двух нормативных актах, между которыми разница всего в пару месяцев, не только разные определения, но и разное их наполнение. В законе о БКИИ исчезли госорганы сами по себе, но добавилась наука и лица, обеспечивающие взаимодействие объектов КИИ. То есть госорганы вроде и есть, но только если они работают в указанных 13-ти отраслях. Например, Российская академия наук относится к субъектам КИИ, а МВД нет. А вот с Пенсионным фондом ситуация не столь однозначная. Вроде он и является кредитно-финансовым учреждением, но при этом он не относится к банковской сфере и к финансовым рынкам вроде тоже. То есть по версии Стратегии развития информационного общества ПФР - это КИИ, а по версии закона о БКИИ нет. Военные тоже выпали из понятия КИИ. То есть если их работа связана с оборонной промышленностью, они в зоне действия закона, а если они просто воюют и обеспечивают оборону страны, то нет. И если атака на деревенскую поликлинику, состоящую из главрача и медсестры, будет квалифицирована по новой статье 274.1, то атака на систему управления войсками или вооружениями - нет. Вот такой парадокс, являющийся результатом непродуманной работы с терминами и нежелания прислушиваться к мнению экспертов, которые об этом говорили, начиная с декабря 2016-го года.

Но это не все терминологические гримасы нового закона. Проблема с термином "КИИ", "объект КИИ" и "субъект КИИ" привела к еще большему разброду и шатанию в российском правовом поле. Ведь термин КИИ находится в прямом подчинении термина "критическая инфраструктура" (если следовать западной терминологии) или "критически важный объект" (если следовать российской и не вдаваться в споры о том, что у нас помимо КВО есть еще стратегические объекты, стратегически важные объекты, опасные производства и т.п.). Но наши творцы закона о БКИИ эту причино-следственную связь нарушили и сделали термин КИИ полностью независимым от объекта, на котором эта КИИ функционирует.


К чему это привело (а точнее приведет)? К тому, что будет полная *опа с категорированием. Если в идеальной ситуации (с сохранением причино-следственной связи) можно было бы сослаться на существующие методики категорирования критически важных объектов и плясать от них (а они, несмотря на их разнообразие, вполне могули бы стать точкой отсчета), то сейчас, увы, придется создавать новую методику категорирования именно объектов КИИ и прописывать в них показатели категорирования исходя из соответствующих критериев - социальной, политической, экономической, экологической и иной значимости. А это значит, что какая-нибудь гидроэлектростанция будет классифицироваться по требованиям МинЭнерго, как объект ТЭК, по требованиям к антитеррористической защищенности, по требованиям МЧС, и еще по требованиям к КИИ. Владельцы таких объектов будут только "рады"; особенно когда поймут, что эти методики используют разные подходы и результаты отнесения к категориям могут не совпадать.

И я вновь задаю риторический вопрос: "Почему в список указанных отраслей не попало водоснабжение, гидротехнические сооружение, ЖКХ и т.п.?" и не нахожу на него ответа. Мне можно возразить, что в ст.7 закона говорится о категорировании на базе критерия социальной значимости, который выражается в оценке возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения. И ЖКХ, и водоснабжение прекрасно ложатся в понятие таких объектов. Да, но... Упускается из виду описанная выше трехуровневая иерархия "КИИ - объект КИИ - субъект КИИ". Категорируется объект КИИ, но не любой, а только тот, который принадлежит субъекту КИИ (это вытекает из определений в законе). А субъект КИИ определяется принадлежностью к одной из 13-ти отраслей, в которой нет ни ЖКХ, ни водоснабжения. Ведь категорирование осуществляется сверху вниз. Сначала определяется "критическая" отрасль, а потом уже собственники предприятий в этих отраслях будут заниматься категорированием. Точка. Вот такое надругательство над здравым смыслом. Водоснабжение в единственном случае попадет под закон о БКИИ, если речь идет о гидротехнических сооружениях, связанных с энергетикой, то есть гидроэлектростанциях, частью которых являются водохранилища, которые также обеспечивают и водоснабжение. В остальных случаях, увы, шлюзы, насосные станции, водоочистка и т.п. не попадут под действие нового закона. А вот водопровод может попасть, потому что трубопроводы - это часть транспортной системы, которая включена в сферу действия закона о БКИИ.

Вот такие хитросплетения и засады с новым законом, необходимость принятия которого назрела давно, но который написан местами просто безграмотно, что еще аукнется нам в самом ближайшем будущем.

ЗЫ. Кстати, еще один интересный момент. Субъектом КИИ является только та организация, которой принадлежит на законном основании (праве собственности или аренды) информационная система или АСУ. А если у организации нет в собственности таких систем и они используются на условиях аутсорсинга?..

8.8.17

"Код ИБ. ПРОФИ": краткие впечатления

Было бы неправильно не поделиться впечатлениями от прошедшего в конце июля в Сочи "Кода ИБ. ПРОФИ", о котором я уже предварительно писал и программу которого мне довелось курировать. Мероприятие завершилось и прошло оно, на мой взгляд (пусть и местами субъективный), вполне успешно.


Все-таки у такого формата есть своя ниша и даже то, что мероприятие было платным (а у нас не любят платить за ИБ-мероприятия), позволило привлечь на него достойную аудиторию. Да, было не так много участников, но я это объясняю поздним началом привлечения слушателей и местом проведения. Сочи - хоть место и неплохое, но вырваться туда в июле "на работу" не так и просто; начальство завидует и считает, что в Сочи не работают, а отдыхают; да и отпуск уже сформирован. Но несмотря на эти сдерживающие факторы первый "Код ИБ. ПРОФИ" состоялся и даже, раскрою маленький секрет организаторов (надеюсь, это не такая уж и тайна), вышел в плюс, что у первого мероприятия бывает не так уж и часто.


Хочу поблагодарить своих коллег (Наталью Гуляеву, Рустема Хайретдинова, Дмитрия Мананникова, Алексея Качалина, Кирилла Мартыненко, Олега Кузьмина, Андрея Прозорова, Александра Дорофеева), согласившихся вырваться из прохладной Москвы в жаркий Сочи и потратить 4 дня своего драгоценного времени на то, чтобы поделиться своим опытом и практикой со слушателями. Но зато это были полноценные полуторачасовые мастер-классы, которые стали отличительной особенностью "Код ИБ. ПРОФИ" и выделило его на фоне многих мероприятий, где время выступления обычно ограничивается 20 минутами. 


С организационной точки зрения у меня никаких нареканий к мероприятию не было - все прошло на высоте. Экспо-Линк постарался не только организовать деловую часть, но и культурная программа была весьма насыщенной - регата в один день и горное трофи во второй. Могу только предполагать, что будет на следующий год, когда в Сочи пройдет очередной "Код ИБ. ПРОФИ".


Первоначально я должен был выступать с презентацией по compliance management, которую я специально готовил к мероприятию (это тоже было отличительной особенностью "Кода ИБ. ПРОФИ" - контент был представлен уникальный, ранее в таком варианте, нигде не звучащий). Не стоит думать, что я опять рассказывал про нормативные акты и тенденции принятия новых требований по ИБ. Наоборот. Я ставил перед собой задачу рассказать о том, как при таком огромном количестве НПА от разных регуляторов выстроить непрерывный процесс соответствия требованиям. Не эпизодическое изучение новых законов, стандартов или приказов, а выстраивание такой системы в организации, чтобы любой новый НПА безболезненно был внедрен и на его реализацию не надо было бы тратить множество ресурсов - финансовых, временных и людских. В презентации я привел результат анализа практически всех текущих и будущих НПА по ИБ и составил список ключевых требований, который и стоит выполнять в первую очередь.


К сожалению, у нас "отвалился" один из докладчиков, который должен был читать мастер-класс по внутреннему маркетингу ИБ. Эту тему мы плавно интегрировали в мастер-класс по культуре ИБ и повышению осведомленности, а освободившийся тайм-слот я закрыл своим могучим "мозгом", оперативно подготовив презентацию с обзором основных технологических трендов в ИБ, на которые стоит обратить внимание руководителям служб ИБ. Тут были и EDR, и CASB, и NTA, и UEBA, и системы симуляции атак, и обманные системы, и программно определяемая сегментация и т.п. В течении полутора часов попробовал рассказать о том, что из себя представляют все эти новомодные продуктовые аббревиатуры и на что обращать внимание при их выборе.


Презентации выкладывать не могу по условиям мероприятия, но доступ к ним возможен для тех, кто готов это оплатить. В стоимость такого доступа входят не только все 11 презентаций, но и видео всех докладов. Это, конечно, не заменит культурной программы, вечерних прогулок вдоль набережной и дебатов экспертов, но, как минимум, сможет прикоснуться к деловой программе и почувствовать себя участником "Код ИБ. ПРОФИ". 

4.8.17

Symantec и Nevis Networks продают часть своих бизнесов

1 августа американская Qualys анонсировала сделку по покупке части активов американской Nevis Networks, связанные с анализом сетевого трафика и планируемые к интеграции в Qualys Cloud Platform. Сумма сделки не разглашается.

2 августа американская DigiCert анонсировала покупку за 950 миллионов долларов бизнеса Web Security / PKI у компании Symantec. С одной стороны Symantec хочет сконцентрироваться на своих других направлениях бизнеса, особенно после июльских покупок Fireglass и Scycure, а с другой после скандала с сертификатами для Google и последующим решением Google об отказе от сертификатов Symantec в Chrome, сертификатный бизнес Symantec пошел на убыль.