24.8.21

2 государевых модели угроз, авторы которых забили болт на требования ФСТЭК

Вчера я наткнулся на модель угроз и нарушителя безопасности информации, обрабатываемой в программно-техническом комплексе дистанционного электронного голосования (ДЭГ). И хотя это всего лишь выписка, она все равно дает пищу для размышлений. В частности, беглый просмотр этого документа вызвал у меня следующие вопросы:

  • Где модель нарушителя? Предположу, что это в неопубликованной части, но что-то по тексту это не прослеживается. Либо модели нарушителя не было вообще, либо на сайте выборов опубликовали не просто выписку, а отдельно написанный документ для публичного ознакомления. Походя указано, что администраторы могут иметь деструктивные наклонности и негативно повлиять на инфраструктуру ДЭГ и поэтому для борьбы с этим предлагается использовать... СКЗИ (как связаны СКЗИ и возможность противодействия деструктивным действия администраторов, я не знаю).
  • Меня немного удивило заявление, что в ДЭГ не обрабатываются специальная категория персональных данных о политических взглядах. При выборах в Госдуму и при волеизъявлении в пользу той или иной политической партии ДЭГ не обрабатывает данных о политических взглядах? Смелое заявление, отображающее стремление занизить уровень защищенности ИСПДн. Но рассчитано явно на людей, плохо соображающих или тех, с кем есть договоренность. С другой стороны, РКН модель не согласовывает, а ФСТЭКу в целом все равно, какой там уровень защищенности ИСПДн, если класс защищенности ГИС 1-й. 
  • Также, видимо, в целях снижения уровня защищенности ИСПДн в ДЭГ признаны неактуальными недокументированные возможности (читай, закладки) на уровне ОС и приложений. Я склонен был бы согласиться с таким выводом, если бы речь шла о ИСПДн какой-либо noname-компании, но система для государственных выборов?.. Но тогда возникает вопрос, зачем там СКЗИ класса КА, которое как раз от таких угроз среди прочего и защищает? 
  • Кстати, о криптографии. А где угрозы по этой части? В выписке написано, что модель разрабатывалась в соответствие с 676-м Постановлением Правительства, но в нем есть требование согласования модели не только с ФСТЭК, но и (а не или) с ФСБ, которой все равно, что написано в БДУ, но которая требует, чтобы были указаны угрозы именно по части СКЗИ. Но их в опубликованной выписке нет. Видимо, в закрытой части.  
  • А что есть в открытой, так это упоминание необходимости применения СКЗИ при общении с  избирателем и СКЗИ это должно быть класса КС1. Но как это сделать, если у избирателя нет браузера "Спутник" или он работает с мобильного устройства? По тексту допускается применение шифрования RSA (написано, что это даже согласовано), но вот зачем тогда упоминается КС1? Кстати, меня покоробило упоминание RSA в контексте шифрования данных. Обычно с помощью RSA шифруется только сеансовый ключ, а уж сам сеанс защищается симметричной криптографией, включенной в протокол TLS. Ну да оставим это на совести тех, кто писал часть по криптографии - она вообще очень куцая в выписке.
  • В выписке перечислен чуть ли не весь банк данных угроз, признанных актуальными для ДЭГ, но я не нашел в модели, описывающей угрозы для системы на базе блокчейна, угроз для собственно самого блокчейна. Они признаны неактуальными? 
  • В одной из своих презентаций, я рассказывал о том, как была взломана три года назад компания British Airways. Одной из высказанных версий назывался взлом не самого сайта авиакомпании, а кеширующих серверов CDN, которые не контролировались самой BA. Так вот в описании модели угроз ДЭГ также говорится об использовании CDN, но ни слова о том, что эти распределенные сервера входят в контур защиты ДЭГ и что для них рассматривались угрозы. Возможно технология взаимодействия с избирателями никак не завязана на CDN и угрозы ему признаны неактуальными, "а что, мля, если да", как пелось в известной песне Слепакова? 
  • В приложении А в выписке отображена архитектура ДЭГ. Если она верна, то компоненты всей системы работают через VPN, а Интернет используется только на получение данных от избирателей. То есть, если верить опубликованной схеме, у членов избирательных комиссий нет прямого выхода в Интернет для того, чтобы посерфить в свободное от мониторинга голосования время. И это правильно. Но тогда зачем в списке актуальных угроз фишинг и фарминг? А откуда взялась угроза внедрения ВПО через рекламу (члены электронных избирательных комиссий рекламу смотрят)? А угрозы внедрения ВПО при посещении зараженных сайтов? Угроза хищения информации из cookies? Зачем рассматривать угрозы, которых по идее быть вообще не должно на рабочих местах людей, ответственных за голосование? 
Но основной вопрос, который у меня возник после прочтения этой выписки, связан не с упомянутыми выше темами. Вопрос в другом. В феврале этого года ФСТЭК утвердила методику оценки угроз, которая является обязательной для всех ГИС (а система дистанционного электронного голосования относится к ним). В этом нормативном документе описана и структура модели угроз, которая должна быть, и ряд обязательных элементов, среди которых сценарии реализации угроз. Но где они в выписке? Они судя по всему отсутствуют и в закрытой части. ПОЧЕМУ?


Почему владельцы государственной информационной системы забили болт на требования регулятора по ИБ? И если такое сделано публично, то почему остальные госорганы не должны сделать тоже самое? И почему субъекты КИИ, операторы ИСПДн и АСУ ТП не должны следовать той же логике?

Но возможно ФСТЭК не согласовала эту модель угроз или ей приказали сверху не чинить препятствие системе честных выборов, где россияне, все как один, должны в очередной раз поддержать партию власти. Но как тогда воспринимать модель угроз для интеллектуальных систем учета электроэнергии, письмо об утверждении которой в июне этого года была разослано от имени министре энергетики г-на Шульгинова? В письме написано, что эта модель разработана Минэнерго совместно с ФСБ, ФСТЭК и Минцифры. Но как? Как ФСТЭК могла согласовать эту модель, если она нарушает требования самой же ФСТЭК, выпущенных 5 месяцами раньше? Опять кто-то ровнее других? Опять одним можно, а другим нельзя?

Если честно такая политика ФСТЭК в отношении своих требований немного смущает и удивляет. То есть сначала выпускается документ, в отношении понятности которого (чтобы не говорили представители компании-лицензиата, участвовавшие в его разработке) с самого начала были вопросы его реализуемости. Потом оказывается, что один из ключевых элементов процесса моделирования (БДУ) не совместим с новой методикой, но при этом обязателен к использованию. Но ФСТЭК молчит и не публикует никаких информационных писем на этот счет, разъясняющих свою позицию. Зато представители ФСТЭК участвуют в мероприятиях коммерческих компаний и комментируют (как сотрудники регулятора или как частные лица?) свой же документ. А теперь еще и сам документ вроде как необязательно выполнять, коль скоро две государственных структуры публично это демонстрируют. Доверие к регулятору в такой ситуации явно не растет :-(

5 коммент.:

Unknown комментирует...

Меня немного удивило заявление, что в ДЭГ не обрабатываются специальная категория персональных данных о политических взглядах. При выборах в Госдуму и при волеизъявлении в пользу той или иной политической партии ДЭГ не обрабатывает данных о политических взглядах? Смелое заявление, отображающее стремление занизить уровень защищенности ИСПДн. Но рассчитано явно на людей, плохо соображающих или тех, с кем есть договоренность. С другой стороны, РКН модель не согласовывает, а ФСТЭКу в целом все равно, какой там уровень защищенности ИСПДн, если класс защищенности ГИС 1-й.
--
не менее смелое заявление, Алексей, учитывая, что к моменту обработки этих данных проведена анонимизация плюс сами эти данные обрабатываются исключительно в зашифрованном виде )))

Target комментирует...

Не имеет большого смысла оценивать выполнение требований к защите информации, если ДЭГ не обеспечивает конституционное право граждан РФ на тайное голосование, потому что не предусмотрен (читай запрещен) механизм анонимизации. Меры защиты может быть (а может и не быть) защищают ДЭГ от несанкционированных действий хакеров и прочих внешних нарушителей. Но как они защитят права граждан РФ от санкционированных действий владельца ДЭГ и ее заказчика, если те захотят составить список граждан, которые "правильно" или "не правильно" голосовали? Это пример того, что первое в защите информации не меры защиты, а адекватная политика разграничения доступа к информации, которую эти меры должны реализовать. Видел кто-нибудь адекватную ПРД или хотя бы методику ее разработки в организации, государстве? Правильно было указано, что имеются двойные стандарты при выполнении требований к защите информации. Необходимо добавить - и двойные стандарты при соблюдении интересов граждан в области защиты информации, т.е. в ПРД. Почему-то интересы государства явно имеют приоритет перед интересами гражданского общества в этой области. Как в условиях "цифрового тоталитаризма" обеспечить доверие граждан и бизнеса к "цифровой среде"? Как говорил, возможно, разработчик Энигмы: "Хоть шифруй, хоть не шифруй, все равно получишь ... свой крест железный".

Алексей Лукацкий комментирует...

Unknown: какая разница, в каком виде они обрабатываются? Если бы РКН в свое время не зассал признать шифрование механизмом обезличивания, вопросов бы и не было, но он отказался это делать. Но даже в этом случае, факт обработки политических взглядов налицо и никакой анонимизации там не может быть, так как тогда непонятно, как вообще учитывать голос избирателя, если даже неизвестно, что это за избиратель. Ну а возможность отложенного голосования говорит, что никакой анонимизации там нет. Иначе нельзя будет поменять свой голос

Алексей Лукацкий комментирует...

Target: ну тайна голосования там примерно такая же, как и в обычном голосовании. Как и ПРД - в очном голосовании, как мы неоднократно видели на видео, тоже есть и вбросы и остальные фокусы с голосами. Приватный блокчейн в данном случае ничем не хуже и не лучше

Putri Adiratnaa комментирует...
Этот комментарий был удален администратором блога.