23.08.2018

Новый закон США повлияет на сертификацию ФСТЭК

13 августа 2018 года Президент США Дональд Трамп подписал закон №115-232, также известный как H.R.5515 – John S. McCain National Defense Authorization Act for Fiscal Year 2019. В отечественной прессе он рассматривался с точки зрения увеличения американского военного бюджета, но мне бы хотелось на него взглянуть с более привычной читателям моего блога точки зрения – кибербезопасности. В этом документе, занявшем 788 страниц, среди прочего затесалась неприметная статья под номером 1655, вольный перевод с английского которой звучит примерно так: «Министерство обороны США может не использовать (читай – не приобретать) ИТ- или промышленные решения, АСУ ТП или технологии кибербезопасности, если в отношении них в течение пяти лет до принятия настоящего закона или в любой момент после принятия настоящего закона иностранные организации или государственные структуры проводили анализ исходного кода упомянутых решений, используемых или планируемых к использованию министерством обороны США».

Что означает данная статья для компаний, чей исходный код инспектировался во время сертификации по требованиям безопасности в любой стране, которая установила такие требования (например, Китай, Германия или Россия)? В самом лучшем варианте – существенное усложнение процедуры продажи таких решений министерству обороны США, поскольку в положения закона уже заложена возможность отказа. В худшем сценарии возможен полный отказ МО США от использования и приобретения таких решений, что может обернуться огромными потерями для ИТ/OT/ИБ-компаний, измеряемыми десятками и даже сотнями миллионов долларов.

Какие известные нам компании поставляют свою продукцию в американское министерство обороны (обратите внимание, что речь идет не об американских компаниях, а о тех, кто имея штаб-квартиру, например, в Германии или Израиле, поставляет свою продукцию в МО США)? Вот только небольшой перечень (в алфавитном порядке):
  • Check Point
  • Cisco
  • Dell
  • Forcepoint
  • Fortinet
  • HP
  • IBM
  • McAfee
  • Microfocus (Arcsight)
  • Microsoft
  • Palo Alto
  • Rockwell
  • SAP
  • Trend Micro
  • VMware
Как можно заметить, тут и поставщики средств информационной безопасности, и гиганты ИТ-индустрии, и разработчики промышленных решений.

Как вы думаете, что будет делать компания, которая стоит перед дилеммой – сохранить минобороны США в качестве своего клиента, отказавшись от передачи исходного кода своих продуктов другим государствам, или попробовать получить новых клиентов в новых странах, которые требуют инспекции исходников (в России – сертификации на отсутствие НДВ)? Я не берусь предсказывать и тем более предполагать за руководство именитых и упомянутых ранее компаний, но что-то мне подсказывает, что они в лучшем случае приостановят все процессы сертификации, требующие передачи исходных кодов иностранным государственным структурам или организациям, упомянутым в статье 1654 обсуждаемого в заметке закона. К ним относятся организации и структуры тех стран, которые:
  • Представляют риск кибербезопасности (читай атакуют) для критической инфраструктуры граждан и финансовых систем США или коалиционных партнеров США (это те государства и военные организации, которые вместе с США участвуют в военных операциях или помогают в них США).
  • Поддерживают лиц и государства, перечисленные в предыдущем пункте.
  • Занимаются разведкой с целью подрыва национальной безопасности США.
  • Участвуют в транснациональной организованной преступности или преступной деятельности.
  • Пытаются воздействовать на цепочки поставок, созданные в интересах американского правительства.
  • Крадут интеллектуальную собственность у правительства или граждан США.

Экспресс-анализа вышеперечисленных пунктов достаточно, чтобы понять, что к государствам, которые попадают в прицел рассматриваемого закона, относится Россия (Китай тоже, но он нас сейчас не интересует). Вспоминая, что доля России в бизнесе международных ИТ/ОТ/ИБ-компаний составляет от 0,5 до 1,5 процентов, можно предположить, что мало кто из таких компаний будет рисковать своими проектами в американском военном ведомстве ради получения сертификатов на отсутствие НДВ в ФСТЭК. В худшем случае, все проекты по сертификации будут закрыты. Промежуточным решением является приостановление всех проектов, требующих предоставления исходных кодов. Иными словами, максимальный уровень сертификации, который в обозримом будущем смогут получить и перечисленные выше, и другие компании, поставляющие свои продукты в министерство обороны США, в идеальной ситуации будет шестой (А6/Б6 для МСЭ, С6 – для СОВ и т.д.). Кто-то из иностранцев и вовсе откажется от сертификации (это уже происходит), которая с легкой руки какого-нибудь Reuters может быть подана в американском информационном пространстве как нарушение принятого закона. И журналисты, не очень разбираясь в особенностях российской сертификации, могут нечаянно подставить и российское представительство, и американскую штаб-квартиру (такие случаи уже бывали).

Что это означает для российских потребителей? Предвижу существенное сокращение числа сертифицированных по требованиям ФСТЭК иностранных средств защиты. Их и так стало мало после ужесточения требований ФСТЭК (троекратное снижение), а станет еще меньше. Максимально доступный уровень сертификации будет шестым и полное отсутствие сертификатов на отсутствие НДВ (или невысокие уровни доверия в соответствие с новыми требованиями ФСТЭК, которые придут на смену НДВ в ближайшем будущем).


А что делать? Ну, государственным заказчикам и иным организациям, обязанным по закону применять сертифицированные средства защиты 5-го или 4-го классов, я не позавидую. Они и так не в состоянии были выполнить требования 17-го приказа, потому что на отечественном рынке нет продуктов с сертификатами, которые бы закрыли все требования регулятора (я про это еще напишу отдельно). А теперь у них окно возможностей сократится еще больше (при полной нерасторопности отечественных игроков, которые не торопятся выпускать продукты на замену иностранным решениям). Всем остальным компаниям я бы посоветовал посмотреть в стороны иных форм оценки соответствия, которые разрешены законодательством, не противоречат документам ФСТЭК и позволят выбрать то, что нужно заказчику, соблюдая требования действующих нормативно-правовых актов. Про то, как это сделать и какие формы оценки соответствия являются легальными в России, я также напишу отдельно, а может быть даже и организую в ближайшие пару-тройку недель отдельный вебинар.


14.08.2018

Впечатления от проведенных киберучений

Не успел написать впечатления от "Кода ИБ. ПРОФИ" в Сочи - уехал в отпуск. Но сейчас надо исправляться, тем более что есть чем поделиться. Я уже писал о том, что в рамках сочинской конференции я буду читать мастер-класс по Threat Intelligence (материалы по не я выкладывать не буду - презентация и двухчасовое видео доступно только для участников "Кода ИБ. Профи" и купивших доступ к контенту) и проводить киберучения. Вот о последних мы и поговорим.


Когда я затевал эту идею, я хотел продолжить мастер-класс, который я читал на московском "Коде ИБ. Профи". Объединив теорию и практику, должна была получиться хорошая пара. Но уже приступив к разработке сценария я понял, что так не получится. Все-таки киберучения для руководства компании строятся немного на других принципах. Во-первых, они посвящены конкретной организации и ориентированы именно на ее болевые точки, проблемы и участников. В Сочи у нас были представители разных организаций и поэтому пришлось выдумать некую среднестатистическую компанию, на которой и отрабатывать игру. Это привело к некой искусственности и неполной примерке сценария на себя. Все-таки одно дело дмать о том, как поступить в той или иной смоделированной ситуации у себя на предприятии, и совсем другое - в несуществующей, хотя и вполне реалистичной организации.

Во-вторых, киберучения для топ-менеджмента из московского мастер-класса проводятся для руководства компании - финансового, генерального, коммерческого, ИТ- директоров и других высокопоставленных сотрудников. И проверяется их способность реагировать на те или иные смоделированные ситуации. А в Сочи у нас учения проводились для CISO и ведущих специалистов, имеющих иной опыт и знания. Поэтому сценарий пришлось немного модернизировать и делать его более приемлемым для безопасника, чем для топов (весь сценарий показать тоже не могу - он доступен только для участников "Кода ИБ. Профи").

В-третьих, времени было меньше, чем для обычных киберучений. По моему опыту они должны занимать часа 3-4, а тут у нас было всего 2 часа. И, наконец, не было соблюдено ключевое требования проведения успешных киберучений - не было проведено планирование и не были определены цели учений и текущие сложности, которые должны быть отработаны на играх. Но как бы-то ни было, киберучения прошли вполне успешно - участники по отзывам были довольны.


Но вот что мне хотелось бы отметить, так это неготовность участников к общению с бизнесом. Вообще эта тема (бизнес и ИБ) красной нитью проходит через все "Коды ИБ. Профи" и мы постоянно ее поднимаем в разных мастер-классах. Но несмотря на это стоит отметить, что пока она еще не вышла за рамки теоретических рассуждений и дискуссий; мало кто ее пытается применить на практике. Так получилось и на киберучениях. Последним кейсом, который рассматривался, стала ситуация, когда CISO приглашен на совещание руководства компании и ему надо за 5 минут доложить о том, что происходило в рамках предыдущих 8 кейсов, что это означает, какие уроки извлечены и что надо, чтобы ситуация не повторилась. И вот тут команды (а их было пять) на мой взгляд спасовали. Они стали отвечать так, как будто перед ними сидят их коллеги-безопасники - привычный сленг, привычные объяснения. Но для топов они не работают, так как никак не связаны с бизнесом.

С другой стороны в этом и заключается суть киберучений - понять слабые места текущей стратегии ИБ, выстроенных или отсутствующих процессов, своих навыков и знаний. И понять их до того, как они проявятся в реальной ситуации. Поэтому ключевым уроком киберучений должно было стать именно это понимание и как мне кажется оно у участников появилось.

В целом опыт оказался удачным и за два часа на многопоточной конференции можно устроить вполне пристойные киберучения, которые позволят участникам отвлечься от докладов и спонсорских выступлений и получить интерактив, которого часто не хватает на наших ИБ-тусовках.

13.08.2018

Imperva покупает Prevoty

Компания Imperva 26 июля подписала соглашение о приобретении за 140 миллионов долларов компании Prevoty, работающей в сегменте DevSecOps и выпускающей решения по защите приложений в процессе исполнения. 

Cisco покупает Duo Security

2 августа компания Cisco анонсировала приобретение частной компании Duo Security, являющейся лидером рынка многофакторной аутентификации и унифицированного защищенного доступа. Cisco последовательно расширяет свое портфолио, выводя свои традиционные корпоративные решения в облака. Вслед за покупкой OpenDNS (облачный Secure Internet Gateway), Observable Networks (облачный мониторинг аномалий), CloudLock (облачный анализ приложений и утечек), добавился и облачный контроль доступа (в развитие решения Cisco ISE). Стоимость сделки составила 2,35 миллиарда долларов.