Pages - Menu

Страницы

29.1.21

Задай свой вопрос ФСТЭК!

  1. Руководство ФСТЭК много говорит на конференции о нехватке или невысокой квалификации кадров. Почему ФСТЭК не проводит вебинаров для повышения осведомленности своей аудитории? 
  2. Почему ФСТЭК по примеру зарубежных регуляторов по ИБ не запишет бесплатные курсы для дистанционного самостоятельного изучения и не выложит их на свой сайт? 
  3. Если ФСТЭК в процессе надзора найдет нарушения правил эксплуатации КИИ, будет ли информация об этом передаваться следователям для возбуждения уголовного дела? 
  4. Кто будет осуществлять надзор за импортозамещением в сфере КИИ в случае принятия проектов Указа Президента и Постановления Правительства. 
  5. Когда будет обновлена БДУ ФСТЭК и в описания угроз будут включены техники, тактики и процедуры реализации угроз? 
  6. Как ФСТЭК проверяет оценку соответствия в форме испытаний или ввода в эксплуатацию?

Согласитесь, все эти вопросы вполне актуальны и достаточно часто звучат в различных Телеграм-каналах или соцсетях, когда заходит речь о ФСТЭК и когда хотелось бы получить ответ регулятора. Но это явно далеко неполный перечень того, что "болит" у специалистов по ИБ и на что могла бы дать ответа ФСТЭК.

Мне приятно сообщить, что ФСТЭК в лице ее замдиректора, Лютикова Виталия Сергеевича, готова ответить на вопросы отрасли. Ответы будут даны в рамках сессии "Диалог с регулятором" на форуме "Кибербезопасность. Наши дни", которая пройдет 17 февраля. Вы можете задать свои вопросы через специальную форму. Обратите внимание, что указывать там свои ФИО необязательно. Я прекрасно понимаю, что все равно есть опасения в раскрытии имен задавших вопросы, поэтому можете писать вопросы мне (с десяток вопросов я уже получил через различные каналы, преимущественно Telegram). Модерировать эту сессию буду я; поэтому слащавых вопросов, дифирамбов и утаивания жестких тем не будет. Но и огульно обвинять регулятора тоже не буду - важен именно конструктивный диалог. 


Поэтому еще раз подумайте и задавайте свои вопросы. Они могут быть любыми, как вы могли обратить внимание выше. Главное, чтобы они были конкретными и по делу. Тогда и ответы будут такими же.

Вопрос "Когда будет выпущена методика моделирования угроз?" можете не писать - его задали уже много раз :-)

Штабные киберучения по промышленной ИБ. Совсем скоро!

Вы знаете, что делать, если с ноутбука подрядчика, осуществляющего регламентные работы в вашей промышленной инфраструктуре, началось распространение вредоносного кода (именно так в 2003-м году пострадала атомная электростанция Дэвид-Бессе в США)? Какие первые шаги вы должны предпринять, чтобы локализовать проблему и снизить возможный ущерб от нее? А что делать, если подрядчик, подключающийся к вашему промышленному контроллеру удаленно, был скомпрометирован и через его сеть по VPN-каналу на ваше предприятие лезет китайский хакер, спонсируемый государством? Может быть вы знаете, что делать в ситуации, когда оператор ночной смены АСУ ТП, скучая от безделья, решил подключить к своему компьютеру 4G-модем и полазить по Интернет (такой кейс приключился в одной арабской стране)? А как поступить, когда инженер для облегчения задачи по снятию телеметрии с оборудования ставит в цеху точку беспроводного доступа с настройками по умолчанию (почти такой же кейс, но на одном гидротехническом сооружении, произошел в России)?

Если вы не знаете, что вы будете делать в какой-либо из пяти ситуаций, то можно прочитать какую-нибудь умную книжку или пройти на курсы по промышленной ИБ. А можно посетить штабные киберучения, где отработать навыки по описанным кейсам. Собравшись в команды, вы сможете сообща найти ответы на эти и многие другие вопросы, с которыми службам ИБ приходится сталкиваться ежедневно. Пройдя по нескольким типичным сценариям атак, вы сможете получить знания и навыки их отражения и по окончании киберучения сможете эффективно переложить их на бумагу, разработав планы реагирования, которые, среди прочего, требуются и в соответствие с законодательством о безопасности критической информационной инфраструктуры. Но самое главное, вы сможете более уверенно смотреть в завтрашний день и быть готовым к различным нештатным ситуациям.

Именно такие киберучения пройдут совсем скоро, в рамках форума "Кибербезопасность. Наши дни", который пройдет во второй половине февраля рядом с горнолыжным курортом Абзаково. Именно в этом месте проходил Уральский форум по кибербезопасности финансовых организаций, который в этом году взял паузу по причине отказа Банка России от участия в очных мероприятиях в первой половине этого года. Но свято место пусто не бывает и в хорошем месте пройдет другое мероприятие по ИБ, организуемое медиа-группе Авангард. 

Если же вы знаете, что вы будете делать в описанных выше пяти кейсах (а на киберучениях будет представлено больше разных реальных ситуаций), то отлично. Надеюсь, что и соответствующие регламенты по реагированию на них у вас подготовлены и протестированы. Это значит, что вы действительно хорошо подготовлены к инцидентам ИБ и можете эффективно реагировать на них. Значит вы сможете поделиться своим опытом с коллегами и показать, как ваша организация справляется с инцидентами, которых на промышленных предприятиях становится все больше и больше.

Вести штабные киберучения буду я. Как они будут проходить, вы можете увидеть в видео с SOC Forum 2018, где я уже проводил схожее мероприятие. А пока вы можете посмотреть прикольный ролик, который подготовили в медиа-группе Авангард как раз про эти штабные киберучения.

20.1.21

Импортозамещение КИИ: ситуация ухудшается

В мае я уже писал про проекты двух примечательных по своей значимости и некомпетентности проектов нормативных актов, которые обязывают всех субъектов КИИ перевести все свои объекты КИИ на отечественное ПО и железо. И вот на днях на портале regulations.gov.ru был выложен обновленный текст проекта Постановления Правительства "Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции". Ранее, в ноябре был выложен обновленный проект Указа Президента. Давайте посмотрим, что там изменилось?

Если тезисно, то картина получается следующая:

  • Переход на преимущественно отечественное ПО должен произойти до 1-го января 2023 года, а на отечественное железо до 1-го января 2024 года. Первоначально сроки были установлены просто дикие - 1-е января 2020-го и 2021-го годов соответственно. По итогам доработки проектов НПА сроки были сдвинуты на 2024-й и 2025-й годы, но в финальном проекте сроки были установлены в виде 2023-го и 2024 годов соответственно. На мой взгляд все варианты нереальны, но судя по всему именно последний вариант и попадет в подписываемый Указ Президента, чего ждать осталось недолго, если не вмешается Провидение.
  • Под требования попадают все объекты КИИ независимо от их категории значимости и даже обычный ломбард или сельская поликлиника должны будут перейти на преимущественно отечественные ПО и железо. Попытки сообщества и достаточно серьезных лоббистов объяснить авторам нелепость этого требования не увенчались успехом - Минцирк (или те, кто стоят за ними) заявил, что иначе все субъекты КИИ будут занижать категории своей значимости, а то и вовсе обходить категорирование стороной. Так что готовимся к повсеместному внедрению отечественного софта и оборудования.
  • Название нового проекта ПП теперь касается не только ПО или оборудования, как раньше. Вместо термина "оборудование" стали применять "телекоммуникационное оборудование и  радиоэлектронная продукция". Хотя сами требования от этого не поменялись - они и раньше покрывали телеком-железо и РЭП.
  • Требования касаются не только нового ПО и железа, но и уже установленного на объектах КИИ.
  • До 1-го июля 2021 года необходимо утвердить план перехода на преимущественно отечественное ПО и железо. А перед утверждением плана надо провести аудит используемых ИТ-активов, провести их анализ и факт присутствия в реестрах отечественного всего и вся, после чего, в случае осутствия в реестрах, направить перечень такого ПО и железа на согласование в Минцифру (для ПО) и в Минпроторг (для железа). На все про все осталось 5 с небольшим (!) месяцев. Как за это время провести хотя бы аудит имеющегося, я не представляю.
  • Интересный момент, на который стоит обратить внимание и о котором я уже как-то писал (тут и тут). Неважно, в России разработано ПО или нет. Главное, чтобы оно было в реестре. А, например, средства защиты попадают в реестр только после получения сертификата ФСТЭК или ФСБ, что приводит к интересным коллизиям, о которых мало кто говорит. Например, выпустил какой-нибудь отечественный вендор МСЭ или антивирус или криптографический шлюз, а продать в КИИ не может, так как продукт или конкретная его версия не включена в реестр из-за отсутствия (понятно, что временного) сертификата регулятора. Парадокс, но именно так это и работает. Знаю кейс, когда именитому вендору отказали во включении в реестр Минцифры именно по причине отсутствия сертификата (хотя предыдущая версия ПО в этом реестре была).
  • А что с иностранным ПО и железом? Неужели все и использовать его нельзя? Нет, все не так печально. Есть разъяснения Минцифры, в которых говорится, что можно продолжать использовать невключенное в реестры ПО и оборудование, но при условии соответствующего обоснования, которое многие уже научились писать еще лет пять назад, когда только началась политика импортозапрещения в госорганах. Теперь эта практика перейдет и к коммерческим предприятиям.

Вот такая картина у нас сейчас с импортозамещением в КИИ. Есть подозрение, что упомянутые в заметке проекты Постановления Правительства и Указа Президента уже не будут изменяться и именно в таком виде будут приняты в ближайшем будущем. Проводить через депутатов их не надо - много времени это не займет. Так что готовимся к новой реальности. И если в прошлом году это была удаленная работа, то в этом - умение составить обоснование так, чтобы объяснить регулятору, почему все остается так, как и было раньше.

12.1.21

ИБ-новости первых 10 дней года быка

Уже по традиции в первые дни после новогодних праздников я собираю новости по ИБ, которые произошли за это время в мире. В этот раз их не так и много, но все они по своему значимы.

  1. Год начался скандалом о передаче в Whatsapp данных о перемещениях первых лиц государства, их маршрутов и другой сопутствующей информации. Реакция последовала незамедлительно - начальник московского ГИБДД поплатился своей должностью. Но как мы все прекрасно понимаем это только верхушка айсберга. Передача конфиденциальной информации в мессенджерах, а Whatsapp являлся самым популярным из них, давно стала нормой - сканы паспортов, ДСПшные документы, ориентировки, графики, приказы и т.п. Все это является достоянием Whatsapp, а с недавних пор, еще и Facebook, который теперь получает все эти данные вполне официально (после последнего обновления пользовательского соглашения Whatsapp, произошедшего также на днях). Я не буду размышлять на тему национальной безопасности - для этого есть другие органы, которые этой Whatsapp-вакханалии и потакают, но вопрос мониторинга мессенджеров в рамках выстраиваемой стратегии кибербезопасности давно уже стоит ребром и его надо решать. Ну, как минимум, если мы всерьез говорим о борьбе с утечками и защите от вредоносного кода, который может попасть в компанию через бизнес-аккаунты мессенджеров. Вы, кстати, в курсе, в вашей организации используются бизнес-аккаунты Whatsapp? А как они контролируются?
  2. 29 декабря ушедшего года было подписано распоряжение о назначении замминистра Минцифры генерал-лейтенанта Белановского В.Ю., до своего назначения руководившего Службой спецсвязи и информации ФСО России. Есть разные версии происходящего, но почти все сходятся во мнении, что в условиях усиления роли цифры в современно мире и нежелания государства оставлять ее айтишникам, далеким от безопасности, Белановский может начать формировать четкую политику усиления контроля использования современных коммуникационных технологий для нужд государства (особенно после скандала с передачей конфиденциальных сведениях о маршрутах первых лиц через Whatsapp). Есть версия, что либо Белановский подомнет под себя всю тему инфобеза в Минцифре (а там уже давно полный хаос в этом вопросе), либо подготовит выделение блока "цифрового спецназа" из Минцифры и воссоздание аналога ФАПСИ, упраздненного в 2003-м году. В него может войти и спецсвязь ФСО, и блок ИБ из Минцифры, и тема электронной подписи и удостоверяющих центров, и межведомственный электронный документооборот, и ликвидируемая Россвязь с ее проектами по идентификации абонентов, и, возможно, всякие проекты, которые сейчас курирует НИИ Восход.
  3. Также 29-го декабря Президент подписал 479-ФЗ о внесении изменений в 149-ФЗ "Об информации, информационных технологиях и защите информации", который по сути можно было бы назвать законом "О Единой биометрической системе", так как почти все его содержимое касалось именно ЕБС. 44 (!) новых пункта было внесено в статью 14.1, в которой и до этого было 24 пункта про ЕБС. Итого, одна статья закона, посвященная ЕБС, теперь занимает около 20 страниц (одна статья!!!!). 
  4. Вдруг выяснилось, что масштаб инцидента, получившего название SUNBURST, оказался гораздо серьезнее, чем считали раньше и пострадало намного больше американских компаний и организаций. Ну это вроде было и так понятно и думаю, что спустя несколько недель масштаб опять увеличат и скажут, что уже все США попали под раздачу, а затем уже и все прогрессивные европейские страны.
  5. Новость про блокировку Трампа в различных соцсетях и на крупных Интернет-площадках не так сильно относится к инфобезу; особенно для России такие блокировки не являются чем-то совсем новым. Но если пойти чуть дальше и спрогнозировать развитие ситуации, то вполне возможно, что под такую раздачу могут попасть и различные российские чиновники, руководители госкомпаний, мобильные приложения и т.п. Особенно учитывая обещания Байдена ужесточить санкции против России. Поэтому стоит задуматься о том, что делать, если это все-таки произойдет? Есть ли альтернатива? И как у этих альтернатив обстоит дело с безопасностью? А если уж смотреть еще дальше, то вопрос о балканизации Интернет, о котором я пишу уже давно, становится все более актуальным.
  6. Начало года ознаменовалось новостью о том, что более 100 тысяч межсетевых экранов и VPN-шлюзов компании Zyxel содержат бэкдор. Это к разговору о том, что игроков "домашнего ИТ", к коим я отнес бы и Zoom с его проблемами с ИБ весной прошлого года, допускать до корпоративного рынка можно с очень большой оглядкой. Выпускать продукт с жестко прошитой учеткой, дающей админские права... Ну такое... 
  7. 10 лет назад я написал сравнение регуляторов с поясом верности. Кто бы мог подумать, что спустя 10 лет я вернусь к этой теме. В октябре уже проскакивала новость, что специалисты компании Pen Test Partners нашли уязвимости в поясах верности Cellmate Chastity Cage компании Quiu. И вот в новогодние праздники стало известно, что исходный код вымогателя ChastityLock, который атаковал пользователей, носящих пояса верности, подключенные к Интернет, блокируя их и лишая возможности пользователей снять с себя такие устройства, был выложен в Интернет. Очередной раз встает вопрос и о безопасности разработки, и о моделировании угроз, и о безопасности Интернета вещей.


11.1.21

Кто знает Talk в ИБ или новогодняя онлайн поИБешечка

 В прошлой заметке я отметил, что поИБешечка достаточно активно ворвалась на небосклон оффлайновых мероприятий по ИБ, но ее бессменный куратор, Лев Палей, не остановился на достигнутом и в конце прошлого года попробовал новый формат - ток-шоу по ИБ по принципу "Вечернего Урганта", в котором мне тоже довелось принимать участие. Что получилось, можно оценить на видео:


Итоги 2020-го года глазами безопасников

Подводить итоги года в конце ноября или даже в середине декабря - дело дурацкое, так как в последние дни может произойти всякое, что может запомниться и повлиять гораздо сильнее, чем все предыдущее. В ушедшем году я решил, что подводить итоги надо в последних числах декабря и что я не буду полагаться только на свое мнение, а привлеку коллективный разум, а именно читателей моего Телеграм-канала "Пост Лукацкого", который насчитывает более 3500 человек, что позволяет рассчитывать на определенную объективность в оценках. Уж точно бОльшую, чем если бы итоги подводил я один. В итоге я провел 7 мини-опросов, варианты ответов для которых подготовил я самостоятельно, а уже читатели канала делали выбор из этого шорт-листа.

Первый вопрос касался самого-самого взлома/атаки/инцидента уходящего года. Немного предсказуемо, но на первое место вышел инцидент SUNBURST, связанный с взломом многих американских компаний через внедренный вредоносный компонент в ПО управления сетями, разработанное компанией SolarWinds. Последние 2 недели декабря об этом взломе говорили все и закономерно, что он попал на первое место пьедестала. Второе место занял взлом Garmin и выкуп вымогателям 10 миллионов долларов. Тоже нашумевшая во втором полугодии история, которая и позволила этому кейсу занять второе место. Третье место занял весенний взлом Twitter-аккаунтов многих знаменитостей, в которых затем прошла реклама биткойна.


Достаточно много времени уделяя нормативке, я не мог не спросить, какой НПА 2020-го года считается читателями самым важным. Понимая, что отдать пальму первенства только одному документу нельзя (все-таки на организации действуют разные нормативные акты), я разрешил множественный выбор и... явного лидера в этот раз не нашлось. По сути, первые 4 места почти поровну поделили между собой новый приказ ФСТЭК по уровням доверия (хотя его и мало кто видел ввиду его ДСПшности), целый пакет новой нормативки Минцифры и ФСБ по электронной подписи и удостоверяющим центрам, а также обновленные приказы ФСТЭК №21 и №239. Интересно, что часть читателей обратили свое внимание на поправки в Трудовой кодекс, которые разрешают работникам на удаленке требовать от своих работодателей компенсации за использование купленных работником средств защиты информации (например, Windows или антивируса). Интересно было бы посмотреть на практику применения этих поправок...  


В ушедшем году было много так и непринятых проектов нормативных актов, которым я посвятил третий мини-опрос. Предсказуемо на первое место вышла многократно обещанная и также многократно невыпущенная методика моделирования угроз от ФСТЭК. Непринятый, к счастью, законопроект о запрете TLS 1.3, DoH/DoT, ESNI занял второе место. Удивительно, но полтора десятка законопроектов о внесении незначительных изменений в ФЗ-152 попали на третье место. Видимо, привычка :-) 


Как развитие предыдущего вопроса, я решил узнать о подписчиков канала, что, по их мнению, можно отнести к несбывшимся ожиданиям ушедшего года крысы? Методичка ФСТЭК по моделированию угроз логично опять заняла первое место. Ну ее столько раз обещали выпустить в прошлом году (на моей памяти раза три и все из уст больших чинов регулятора), что вполне закономерно, что для многих это оказалось самым несбывшимся ожиданием года и, думаю, многие попросили у Деда Мороза, чтобы ФСТЭК выполнила свои обещания в год быка. На дне открытых дверей РКН в начале года г-н Контемиров пообещал представить матрицу ПДн и наконец-то поставить точку в вопросах "Относится ли номер телефона или номер паспорта или e-mail к ПДн?". Но увы... РКН не выполнил своего обещания. И еще одно невыполненное обещание Лютикова В.С. из ФСТЭК - обещанная методика по расчету показателей критериев значимости объектов КИИ. Я не знаю, кому она нужна, при условии, что срок категорирования уже прошел, но, как видно, народ ее все-таки жаждет лицезреть. Особенно интересно видеть это замыкаюдее тройку несбывшееся ожидание на фоне последнего пункта, об отсрочке переноса сроков категорирования из-за пандемии.    


Как участнику большого количества различных мероприятий по ИБ мне было интересно узнать, какое из оффлайн- и онлайн-мероприятий по ИБ запомнилось безопасникам в 2020-м году. С точки зрения оффлайна результаты меня и удивили и подтвердили мои ожидания одновременно. Учитывая камерный формат "поИБешечки", проводимой в Москве, курируемой Львом Палеем, были удивительно ее увидеть в топе очных мероприятий. Но это говорит о том, что такого рода камерные форматы заходят сейчас лучше раскрученных мероприятий со свадебными генералами и спонсорскими докладами. Остальные мероприятия носили либо сугубо нишевый характер, либо привязку к городу, что не позволило им занять достойные места в рейтинге. А вот попадание на первое место категории "Другое" говорит о том, что были в 2020-м году мероприятия, которые запомнились безопасникам больше мной упомянутых (а я и на них-то не на всех был). 


С онлайн-мероприятиями ситуация проще. Они не имели границ по участию и их "посетить" могли специалисты из разных регионов (что и показывает почти двукратное увеличения числа голосов по сравнению с опросом по оффлайну). Первое и второе места заняли широко разрекламированные The Standoff и SOC Live. Тройку лидеров замыкает проект AM Live пот портала anti-malware.ru. Все это результаты года, который мы провели в изоляции, когда все оффлайн-мероприятия были либо запрещены, либо их проведение сопряжено с трудностями. Забавно, что 4-е место заняла категория "Другое". Интересно, что это за мероприятия? Может вендорские серии типа Cisco Club (а мы провели 16 вебинаров только с сентября по декабрь) или "Джетовские"?.. Жаль, что регуляторы у нас так и не освоили за год практику проведения вебинаров для своих "подопечных".


Я думал остановиться на этих шести опросах, но у меня остались ряд достаточно интересных наблюдений или событий, которые я посчитал достаточно значимыми, чтобы вынести их на голосование. Поэтому я провел седьмой мини-опрос, задав вопрос, на что еще обратили внимание безопасники в 2020-м году? Да, очередная порция обвинения русских хакеров заняла первое место. Это неудивительно. "Русские хакеры" - это уже прочно закрепившийся бренд, который, помимо своей прикольности, еще и жить начинает мешать, когда вы пытаетесь получить американскую визу или зайти на американский сайт (а он рубит все российские IP). На второе место безопасники поставили рост числа уголовных дел по статье 274.1, то есть за нарушение ФЗ-187 о КИИ. Полтора десятка дел только за ушедший год и демонстрация полной профнепригодности судей и следователей, которые вели и ведут эти дела. То ли еще будет в этом году? Когда я выносил вопрос о хантинге безопасников в Бизон и Солар, я не думал, что это так затронет многих. Видимо, действительно, это становится событием для тех, кого не взяли или у кого увели сотрудников :-)


Вот такие итоги ушедшего года крысы. С какими-то оценками я согласен, с какими-то нет. Но в этом и преимущество групповых опросов, которые показывают широту взглядов на происходящее, не фокусируясь только на том, что близко или хорошо знакомо мне. Небольшой процент ответов "Другое", исключая мероприятия, показывает, что мои шорт-листы в целом ухватили ключевые события отечественной отрасли ИБ.