2 государевых модели угроз, авторы которых забили болт на требования ФСТЭК

Вчера я наткнулся на модель угроз и нарушителя безопасности информации, обрабатываемой в программно-техническом комплексе дистанционного электронного голосования (ДЭГ). И хотя это всего лишь выписка, она все равно дает пищу для размышлений. В частности, беглый просмотр этого документа вызвал у меня следующие вопросы:

• Где модель нарушителя? Предположу, что это в неопубликованной части, но что-то по тексту это не прослеживается. Либо модели нарушителя не было вообще, либо на сайте выборов опубликовали не просто выписку, а отдельно написанный документ для публичного ознакомления. Походя указано, что администраторы могут иметь деструктивные наклонности и негативно повлиять на инфраструктуру ДЭГ и поэтому для борьбы с этим предлагается использовать... СКЗИ (как связаны СКЗИ и возможность противодействия деструктивным действия администраторов, я не знаю).
• Меня немного удивило заявление, что в ДЭГ не обрабатываются специальная категория персональных данных о политических взглядах. При выборах в Госдуму и при волеизъявлении в пользу той или иной политической партии ДЭГ не обрабатывает данных о политических взглядах? Смелое заявление, отображающее стремление занизить уровень защищенности ИСПДн. Но рассчитано явно на людей, плохо соображающих или тех, с кем есть договоренность. С другой стороны, РКН модель не согласовывает, а ФСТЭКу в целом все равно, какой там уровень защищенности ИСПДн, если класс защищенности ГИС 1-й. 
• Также, видимо, в целях снижения уровня защищенности ИСПДн в ДЭГ признаны неактуальными недокументированные возможности (читай, закладки) на уровне ОС и приложений. Я склонен был бы согласиться с таким выводом, если бы речь шла о ИСПДн какой-либо noname-компании, но система для государственных выборов?.. Но тогда возникает вопрос, зачем там СКЗИ класса КА, которое как раз от таких угроз среди прочего и защищает? 
• Кстати, о криптографии. А где угрозы по этой части? В выписке написано, что модель разрабатывалась в соответствие с 676-м Постановлением Правительства, но в нем есть требование согласования модели не только с ФСТЭК, но и (а не или) с ФСБ, которой все равно, что написано в БДУ, но которая требует, чтобы были указаны угрозы именно по части СКЗИ. Но их в опубликованной выписке нет. Видимо, в закрытой части.  
• А что есть в открытой, так это упоминание необходимости применения СКЗИ при общении с  избирателем и СКЗИ это должно быть класса КС1. Но как это сделать, если у избирателя нет браузера "Спутник" или он работает с мобильного устройства? По тексту допускается применение шифрования RSA (написано, что это даже согласовано), но вот зачем тогда упоминается КС1? Кстати, меня покоробило упоминание RSA в контексте шифрования данных. Обычно с помощью RSA шифруется только сеансовый ключ, а уж сам сеанс защищается симметричной криптографией, включенной в протокол TLS. Ну да оставим это на совести тех, кто писал часть по криптографии - она вообще очень куцая в выписке.
• В выписке перечислен чуть ли не весь банк данных угроз, признанных актуальными для ДЭГ, но я не нашел в модели, описывающей угрозы для системы на базе блокчейна, угроз для собственно самого блокчейна. Они признаны неактуальными? 
• В одной из своих презентаций, я рассказывал о том, как была взломана три года назад компания British Airways. Одной из высказанных версий назывался взлом не самого сайта авиакомпании, а кеширующих серверов CDN, которые не контролировались самой BA. Так вот в описании модели угроз ДЭГ также говорится об использовании CDN, но ни слова о том, что эти распределенные сервера входят в контур защиты ДЭГ и что для них рассматривались угрозы. Возможно технология взаимодействия с избирателями никак не завязана на CDN и угрозы ему признаны неактуальными, "а что, мля, если да", как пелось в известной песне Слепакова? 
• В приложении А в выписке отображена архитектура ДЭГ. Если она верна, то компоненты всей системы работают через VPN, а Интернет используется только на получение данных от избирателей. То есть, если верить опубликованной схеме, у членов избирательных комиссий нет прямого выхода в Интернет для того, чтобы посерфить в свободное от мониторинга голосования время. И это правильно. Но тогда зачем в списке актуальных угроз фишинг и фарминг? А откуда взялась угроза внедрения ВПО через рекламу (члены электронных избирательных комиссий рекламу смотрят)? А угрозы внедрения ВПО при посещении зараженных сайтов? Угроза хищения информации из cookies? Зачем рассматривать угрозы, которых по идее быть вообще не должно на рабочих местах людей, ответственных за голосование? 

Но основной вопрос, который у меня возник после прочтения этой выписки, связан не с упомянутыми выше темами. Вопрос в другом. В феврале этого года ФСТЭК утвердила методику оценки угроз, которая является обязательной для всех ГИС (а система дистанционного электронного голосования относится к ним). В этом нормативном документе описана и структура модели угроз, которая должна быть, и ряд обязательных элементов, среди которых сценарии реализации угроз. Но где они в выписке? Они судя по всему отсутствуют и в закрытой части. ПОЧЕМУ?

Почему владельцы государственной информационной системы забили болт на требования регулятора по ИБ? И если такое сделано публично, то почему остальные госорганы не должны сделать тоже самое? И почему субъекты КИИ, операторы ИСПДн и АСУ ТП не должны следовать той же логике?

Но возможно ФСТЭК не согласовала эту модель угроз или ей приказали сверху не чинить препятствие системе честных выборов, где россияне, все как один, должны в очередной раз поддержать партию власти. Но как тогда воспринимать модель угроз для интеллектуальных систем учета электроэнергии, письмо об утверждении которой в июне этого года была разослано от имени министре энергетики г-на Шульгинова? В письме написано, что эта модель разработана Минэнерго совместно с ФСБ, ФСТЭК и Минцифры. Но как? Как ФСТЭК могла согласовать эту модель, если она нарушает требования самой же ФСТЭК, выпущенных 5 месяцами раньше? Опять кто-то ровнее других? Опять одним можно, а другим нельзя?

Если честно такая политика ФСТЭК в отношении своих требований немного смущает и удивляет. То есть сначала выпускается документ, в отношении понятности которого (чтобы не говорили представители компании-лицензиата, участвовавшие в его разработке) с самого начала были вопросы его реализуемости. Потом оказывается, что один из ключевых элементов процесса моделирования (БДУ) не совместим с новой методикой, но при этом обязателен к использованию. Но ФСТЭК молчит и не публикует никаких информационных писем на этот счет, разъясняющих свою позицию. Зато представители ФСТЭК участвуют в мероприятиях коммерческих компаний и комментируют (как сотрудники регулятора или как частные лица?) свой же документ. А теперь еще и сам документ вроде как необязательно выполнять, коль скоро две государственных структуры публично это демонстрируют. Доверие к регулятору в такой ситуации явно не растет :-(

Платить вымогателям или нет?

На очередном мероприятии, где я выступал с рассказом о стратегии борьбы с шифровальщиками, и поднял тему об оплате выкупа вымогателям, завязалась дискуссия, в которой я отстаивал точку зрения, что оплата выкупа - это бизнес-решение, а мои оппоненты, сплошь одни безопасники, защищали противоположную точку зрения, что платить вымогателям нельзя, тем самым мы стимулируем их на совершение еще больших преступлений. И поскольку такие дискуссии завязываются достаточно часто, я попробую сформулировать свои тезисы в виде заметки, чтобы потом просто давать всем ссылку :-)

Для начала стоит определится с простым тезисом - хорошо выстроенная система резервного копирования обойдется дешевле выкупа в большинстве случаев. Как-то несколько лет назад, на Ramsomware Summit в Сан-Франциско, почти все эксперты по ИБ, не сговариваясь, утверждали, что единственным эффективным способом борьбы с шифровальщиками является резервное копирование (вопрос шифрования или уничтожения резервных копий оставим в стороне). Но сейчас не об этом. Допустим такой системы нет и мы все-таки столкнулись с шифровальщиком и распространяющая его группировка требует выкуп. Платить или нет? Кстати, на том же саммите представитель ФБР допускал возможность оплаты выкупа, что уже говорит о многом. В своих бюллетенях ФБР повторяет эту мысль.

Если следовать набившей оскомину идее, что ИБ должна говорить с бизнесом на его языке и быть вообще бизнес-ориентированной, то и проблему выплаты выкупа надо рассматривать как проблему бизнеса и приравнивать ее к "платить за переход к облакам или нет", "платить за кофе или нет", "поднять зарплату или нет", "открыть новый офис или нет". Я не призываю всегда платить вымогателям, но прекрасно осознаю, что это вполне реальная опция. Особенно если отбросить банальности и эмоции. Если бы шифровальшик зашифровал фотографии моих детей с самого их рождения и у меня не было бы резервной копии, то мой ответ на вопрос "Заплачу ли я?" вполне мог бы быть положительным. Если такой ответ рассматриваете как возможный и вы (наряду с другими опциями), то при ответе на стоящий в заголовке заметки вопрос нам надо будет ответить на ряд сопутствующих вопросов, а именно:

1. Уверены ли мы, что нам пришлют ключи для расшифрования? Бывает так, что не присылают. Да, неприятно. Но это как вы инвестировали в запуск нового продукта, а он провалился в продаже и не окупился. Это бизнес - деятельность на свой страх и риск. Правда, в случае с шифровальщиками лучше все-таки проконсультироваться со специалистами по ИБ, которые могут иметь статистику по случаям отказа от отправки ключей шифрования для тех или иных шифровальщиков.
2. Уверены ли мы, что ключи шифрования помогут и в реализации шифрования нет ошибок? Для этого надо побепокоиться о пробниках, которые многие группы присылают для демонстрации своих "добрых намерений".
3. Какие из пострадавших систем требуют скорейшего восстановления и за какие из них нам надо заплатить выкуп (да-да, в процессе переговоров, вы можете поторговаться и определиться не только с суммой выплаты, но и с набором возвращенных данных)? Например, если атака накрыла финансовые системы за неделю до сдачи финансовой отчетности, то сможет ли финансовый департамент выполнять свои обязанности? У вас вообще есть альтернативные процедуры и процессы на случай простоя/остановки ваших вычислительных систем? 
4. Как быстро вам нужно восстановить доступ? В истории с Colonial Pipeline жертва заплатила выкуп не потому, что у нее не было резервной копии, а потому что процесс восстановления из нее шел очень медленно. И это, кстати, ставит перед нами другой вопрос - а мы вообще тестируем систему восстановление из резервных копий или делаем это только после успешной атаки шифровальщика? Да, тестирование восстановления - это процесс недешевый, но все равно он обойдется дешевле выкупа. Хорошей метрикой для оценки состояния в этой области будет "% систем, для которых за прошедший год было проведено тестирование восстановления из резервной копии".
5. Есть ли что-то в зашифрованных и утекших данных (а шифровальщики часто выкачивают все данные для последующего шантажа жертв), чтобы мы не хотели делать достоянием гласности? Может быть у нас есть все бэкапы, но мы не хотим, чтобы кто-то узнал о наших секретах - двойной бухгалтерии, "грязном белье", ноу-хау, списках клиентов и условиях работы с ними и т.п.
6. Не будет ли данная оплата рассматриваться как финансирование терроризма или экстремизма, а для госорганов - как нецелевое расходование средства? В России скорее всего нет (я надеюсь), но лучше уточнить у юристов и финансистов этот вопрос.
7. Кто будет договариваться и как платить? Есть ли у вас криптовалютный кошелек (если вы будете платить сами) или за вас будет платить специально нанятая компания или даже страховая? Ответ на вторую часть вопроса зависит от того, насколько для вас критична публичность? Не надо ли вам вносить это в публичную отчетность? Не находится ли получатель денежных средств под санкциями (актуально для дочек американских компаний)?

На картинке выше EY преставил свое видение процесса, позволяющего вам лучше подготовиться к выплате выкупа. Хотя мне кажется он не полным и я бы добавил в него несколько дополнительных элементов/вопросов из блок-схемы Cisco Talos.

В любом случае я хочу вновь повторить свой тезис. Выплата выкупа - это вопрос, который решает бизнес в конкретной ситуации и опираясь на всю полноту имеющейся информации. Решит бороться с последствиями и вручную восстанавливать данные, как мэр Балтимора в мае 2019-го года, который отказался заплатить 76 тысяч долларов вымогателям и в итоге восстановление всех городских систем обошлось бюджету в 18,2 миллиона долларов, так тому и быть. Решит обратиться к страховой компании (если раньше был застрахован), отлично. Решит заплатить? Ну что ж. Это тоже возможная опция, которую нельзя сбрасывать со счетов. И она может оказаться наименее затратной из всех. Американская Атланта  в марте 2018-го года столкнулась с SamSam и, отказавшись заплатить 51 тысячу выкупа, потратила на восстановление своей инфраструктуры 17 миллионов. Взвешивать все "за" и "против" бизнесу, а безопасность должна беспристрастно подготовить все необходимые данные для принятия решения. 

ЗЫ. "А я буду настаивать, что платить выкуп ни в коем случае нельзя", - продолжаете стоять на своем вы. Но, стоя на своем, помните, что бизнес может задать встречный и вполне закономерный вопрос: "А как ИБ допустила, что шифровальщик натворил таких дел?". Поэтому стоять на своем может быть больно :-)