Кибербезопасность "утопающих" дело рук самих "утопающих"

Как-то в Фейсбуке, устав от совершенно дурацкой рекламы, я задался целью настроить показ рекламы таким образом, чтобы получить хоть какую-то пользу. Но результат оказался нулевым -  это как борьба с ветряными мельницами. Зато мне стали показывать мошенническую рекламу, которая крутилась вокруг трех тем:

• "платформа Дурова", которая помогает за день заработать столько, сколько за месяц,
• Сбербанк, который платит деньги за прохождение опросов,
• выплаты от государства "по закону".

Масштаб такого мошенничества в ФБ, конечно, поражает. За три недели под сотню показов и все совершенно разные, но эксплуатирующую вполне конкретную тему - мы поможем быстро заработать или получить много денег.

Самое неприятное, что в отличие от фишинговых сайтов и сайтов клонов, которые можно выявлять и блокировать, на ФБ это сделать сложно, - вы не знаете, что скрывается за мошенническим сообщением (и не можете внести их в черные списки, даже если у вас есть домашнее решение для защиты), а сам ФБ не борется с такими постами. Возможно, есть какие-то плагины для браузера для борьбы с этим?

Фейсбук, к сожалению, не особо реагирует на уведомления о мошеннической рекламе. То ли люлей (или людей) им не хватает, то ли они осознанно не удаляют скам, касающийся платформы Дурова, которая конкурирует с их Libra. Но пока все мои запросы к ним остаются без какой-либо реакции :-( И никто из регуляторов или правоохранительных органов этим тоже не занимается, оставляя обычных пользователей один на один с мошенниками.

Вторым неприятным "открытием" стал видеокамеры, а точнее продажа или предоставление доступа к этим камерам всем желающим. И ладно если бы они были на объектах КИИ - пусть этим ФСТЭК с ФСБ занимаются - рядовым гражданам напрямую ничего не грозит. Но открытых камер полно в квартирах, офисах, загородных домах, медицинских центрах, детских садах. И увидеть там можно совершенно разные вещи - от сексуальной жизни квартирантов или хозяев дома до медицинских процедур, от стриптиза до переодеваний, от ковыряний в носу до поведения интересующих людей.

Эти данные продаются или их можно найти самостоятельно с помощью специализированных поисковиков. Предлагаются даже специальные программы, которые сканируют Интернет и пытаются подбирать пароли к камерам. В данном случае, виноваты в этом сами пользователи, которые забывают поменять заданные на камерах по умолчанию пароли или ставят легко угадываемые пароли. Но можно ли винить их в этом? Лишь отчасти. А вот соцсети могли бы более пристально следить за этим, выявляя группы, каналы и чаты, в которых идет бойкая торговля (и недорого) доступа к камерам и архивам с них. А это прямое вторжение в личную жизнь, что подпадает под действие Уголовного Кодекса. Но с этим никто не борется и правоохранительные органы как-то несильно заморачиваются по этому поводу :-(

А самое неприятное, что не совсем понятно, как взрослые, а именно на 99% являются заинтересованной стороной, узнают, что им надо делать для повышения своей безопасности? Инструкции к купленным камерам на этом акцент не делают. Курсы? Так их нет (почти) и в любом случае еще надо подумать, чтобы на них пойти. Общая культура ИБ в стране? Так ее тоже  нет и регуляторам в целом наплевать на нее (попытка создать Основы госполитики в области формирования культуры в России провалилась).

Наконец, третья тема, которая показывает нежелание или неумение правоохранительных органов бороться с ней - телефонный терроризм. У меня старшего сына на прошлой неделе трижды эвакуировали из школы. Младшую дочь - один раз. И судя по комментариям в Фейсбуке, с этой проблемой сталкиваются многие родители. Да, Минкомсвязь и ЦБ вроде договорились о том, чтобы бороться с подменой CallerID для защиты от мошеннических звонков. Но что делать в случае с телефонным терроризмом? Кто будет защищать детей и их родителей? Вопрос риторический, но напрямую касающийся кибербезопасности.

Если сложить эти три кейса вместе, то получается, что огромный пласт пользователей у нас абсолютно не защищен от современных киберугроз, которых, в условиях цифровой трансформации, становится все больше. Бежать куда-то? Некуда. Заявление направить? Некому, да и результат предсказуем. Самому научиться? Где? Отказаться от Интернет и гаджетов? Уже невозможно. Тупик...

Подробнее…

ИБ-перевертыш или влияние культуры на ИБ (презентация)

В пятницу на BIS Summit я рассказывал про влияние культуры на ИБ, презентацию откуда и выкладываю.

ИБ-перевертыш или влияние культуры на ИБ from Aleksey Lukatskiy

В рамках презентации показывал видео, которое нельзя залить на SlideShare, но можно увидеть на Youtube (только в презентации я чуть обрезал запись с 4-х минут до одной):

Подробнее…

Кибербезопасность в повседневной жизни (презентация)

Как-то летом... Нет, я не заглядывал в чужой сад и было это не на рассвете. Но летом. Пригласили меня в одну уважаемую организацию прочитать лекцию для рядовых сотрудников о том, как обезопасить себя в Интернет от различного вида угроз: от подглядывания, от подсматривания, от кражи учеток и паролей, от кражи денег, от перехвата почты, от блокирования телефона и много чего другого.

Я все тянул с выкладыванием этой презентации, думал найду время, чтобы записать по ней видео, а не просто голые слайды выкладывать. С июля так и не нашел - много командировок и подготовки к ним. Возможно выкрою время все-таки или буду кусками записывать. А пока все-таки выкладываю презентацию.

Информационная безопасность в повседневной жизни from Aleksey Lukatskiy

Подробнее…

Глаза хакера и взлом любой компании за 1 час

На днях прошел Security Day компании CTI, где мне посчастливилось поучаствовать. Я не так часто пишу о таких мероприятиях; только если увидел что-то интересное. А тут оно было. Запоминающихся событий было несколько - и дело не только в месте проведения и устроенной дегустации виски. И не только в том, что одна из презентацией показывалась по майндкарте, а не PowerPoint. И не только в презентации о моделировании угроз для современной винокурни, на которой разгорелась живая дискуссия с девушкой, представлявшей разные сорта виски, рассказавшей о том, как надо их дегустировать и заявившей, что максимум, что угрожает винокурне - это провалившаяся от снега крыша, которая может привести к повреждению бочек и разливу ценного напитка.

Мне понравилась идея Максима Лукина, руководителя направления ИБ CTI, который начал свое выступление с того, что предложил любому участнику семинара "взломать" его компанию за время проведения мероприятия. Тому, кто не побоится назвать имя своей компании для проведения теста на проникновения, был предложен приз в виде бутылки хорошего виски. Что характерно, нашлась только одна компания, представитель которой не побоялся предложить себя в качестве подопытного кролика. Для чистоты эксперимента было названо только имя компании (по понятным причинам я его называть не буду) и специалисты CTI приступили к работе. Спустя всего час с небольшим они вышли с участниками на связь по Cisco Webex и продемонстрировали первые результаты:

• в Интернет была найдена информация о компании и отдельных ее сотрудниках
• сотрудники CTI связались с сотрудницей компании, представившись потенциальным клиентом
• сотруднице прислали запароленный архив с документами якобы для анализа и последующего заключения договора
• в архиве находились не самые свежие (4-5-тидневной выдержки) вредоносы, на которые ругнулся антивирус ESET Nod32
• "клиент" пообещал прислать новый "небитый" файл, что и сделал спустя несколько минут, запаковав за это время малварь так, чтобы Nod32 ее не распознал
• сотрудница компании-жертвы запустила файл, который и заразил ее компьютер
• часть случайно собранных на жестком диске файлов была слита на Яндекс.Диск в качестве демонстрации.

На все ушло около часа, что поразило (как мне показалось) аудиторию, которая и не подозревала, что осуществить проникновение так легко и что имеющиеся технические средства не сильно помогли от социального инжиниринга и целенаправленно подготовленной угрозы (хоть и на базе не самого свежего вредоноса).

Тут стоит сделать оговорку - таким образом могут взломать любую компанию. И чем она крупнее и чем чаще в ней ротация кадров, тем это будет проще. Никакие тренинги и программы повышения осведомленности не сработают, если навыки ИБ у человека не записаны "на подкорку" и не закреплены несколькими тренировками. А при частой ротации сотрудники просто не успевают усвоить полученные навыки, поэтому и допускают ошибки, которые сложно компенсировать техническими защитными мерами. Тут нужен комплекс мер, о чем не стоит забывать.

Ну и в заключении моя презентация с семинара, которая перекликается с тем, что демонстрировали вживую коллеги из CTI.

Болевые точки корпоративной сети: взгляд не со стороны службы ИБ from Aleksey Lukatskiy

В презентации было три видео - отправка фальшивого e-mail от имени главы Сбербанка, ЦБ или налоговой, установка аппаратной закладки для IP-телефона с последующим перехватов всего корпоративного трафика и создание фальшивой точки доступа и перехват с расшифрованием беспроводного трафика. Из них у меня пока выложено только одно - про фальшивые почтовые сообщения.



В целом же моя презентация могла бы быть озвучена в виде трехминутного ролика, который я в свое время готовил для одной из заметок:

Подробнее…

О ИБ-блогерстве (по результатам #phdays)

В первый день PHDays пригласили меня поучаствовать в секции, на которой блогеры и журналисты, пищушие по ИБ, делились своими секретами и отвечали на вопросы модератора (Алексея Качалина) и аудитории. Вообще дискуссия получилась интересной, но я не буду ее пересказывать, поделюсь своим личным взглядом на это непростое дело. Тем более, что в мае блогу стукнуло уже 9 лет и можно уже подводить некоторые промежуточные итоги.

Цели блогера

Если посмотреть на мою первоначальную идею, то я хотел просто делиться своими мыслями и зарисовками, невыросшими в отдельные статьи. Да-да, именно так. К моменту начала ведения блога у меня в багаже уже было 4 книги (одна на английском) и пара сотен статей в различных изданиях. Блог для меня являлся по сути еще одной площадкой, где я мог писать с большей регулярностью и частотой, чем в книгах или ежемесячных журналах.

На панели у коллег звучали и другие цели ведения блога:

• Нести светлое, доброе, вечное. Хорошая цель, но достаточно быстро пропадает. Особенно когда понимаешь, что ведение блога - это труд и труд серьезный. Вы должны писать регулярно, лучше несколько раз в неделю, чтобы у вас сформировалась своя аудитория (а иначе кому нести доброе и светлое). Без этого, блог обречен на прозябание, а его автор на безвестность. Не видя отдачи и хотя бы обычного человеческого спасибо, желание писать пропадает.
• Систематизация прочитанного и своих знаний. Не верю в эту цель. Я ее тоже когда-то преследовал, но при увеличении числа заметок в блоге, найти в них что-то становится невозможным. Даже с учетом использования тегов. Меня всегда удивляло, почему встроенный в Blogspot поиск хуже поиска Google, хотя Blogspot принадлежит Google и было бы логично сделать там нормальный поиск. Не работает.
• Слава. Без комментариев, но цель популярная. При ее достижении автор бросает блог. Известность уходит, автор вновь берется за перо. И так по кругу.
• Аккредитация как СМИ и бесплатная жрачка на мероприятиях. Есть у нас в отрасли люди, которые ведут блог именно для этого. Платить деньги за мероприятия они не хотят, вот и аккредитуются как СМИ. При этом адекватного обзора посещенного ими мероприятия добиться почти не удается. Либо они вообще ничего не напишут, либо польют мероприятие говном.

Монетизация блога

Вариант с заработком денег явно у блогеров не звучал, но иногда такая мысль проскальзывала. Могу сказать по собственному опыту - заработать на блоге можно. На рекламе в нем. Мне примерно раз-два в квартал приходят предложения "посотрудничать" и чтобы я написал о том или ином решении. Были примеры, когда мне предлагали абонентскую плату - около 100 тысяч рублей в месяц - за упоминания имени и решений одной компании в моих заметках. Во всех случаях я отказался - моя зарплата позволяет мне не гоняться за деньгами и быть независимым. О ком и о чем хочу, о том и пишу. В этом есть свои преимущества.

Вопрос с платным контентом звучал на секции, но абсолютное большинство коллег считает, что в России заработать на контенте нельзя. Мол, не любят у нас платить за информацию. Я не согласен с такой позицией. Но об этом я напишу отдельно; может быть завтра.

Отдача от блога

Что блогер получает в виде отдачи?

• Деньги. Тут мы понимаем, что это возможно, но при соблюдении ряда условий. В любом случае зарабатывать на блоге при наличии основной работы почти нельзя (а у нас все блогеры имеют основную работу, которая отнимает все силы и время).
• Слава. Да, безусловно. Как минимум, известность (в том числе и отрицательную) автор получает. А уж как он ее использует - это его дело. Кто-то получает приглашения на мероприятия, кто-то таким образом хочет найти "более лучшую" работу. Кто-то ходит на мероприятия бесплатно. Кого-то обожают девушки. Все это следствия славы. 
• Авторитет. Если автор блога пишет что-то действительно полезное, то к его мнению начинают прислушиваться, приглашать для решения различных вопросов (например, к регуляторам). Но для этого надо писать что-то интересное и практическое, применимое в повседневной жизни безопасника. 
• Доступ к новым знаниям, недоступным в обычной жизни. Есть и такая форма отдачи. Вам начинают кулуарно рассказывать разные интересные истории, присылать интересные документы, приглашать на закрытые мероприятия и совещания. Потом это можно использовать в своей работе, в том числе и над блогом. Получается этакий замкнутый цикл - "блог дает доступ к знаниям, которые делают блог более интересным, что дает доступ к новым знаниям...".

Аудитория блога

Сегодня, 100% ИБ-блогов у нас ориентировано на специалистов. Специалисты пишут для таких же как они. Отсюда ограниченность аудитории, которая по разным оценкам разнится от 10 тысяч (по версии Андрея Прозорова) до 200 тысяч (по версии Илья Шабанова) человек. Контент для "домохозяек", которым тоже безусловно важен и интересен контент по ИБ, у нас не пишет никто. Кто-то может мне возразить, что это потому, что домохозяйкам ИБ не нужна. Это не так. Контроль посещаемых детьми сайтов и групп в социальных сетях, защита домашней коллекции фоточек, защита от угона учетки iCloud или почтовых учетных записей, выбор правильного пароля на домашний компьютер и смартфон... Тем много, но про них мало кто целенаправленно пишет ибо трудное это занятие. Гораздо труднее, чем писать для специалистов. Ни жаргон использовать нельзя, ни сложносочиненные предложения. Нужно простым языком и по делу, а это сложно. Особенно в течение долгого времени.

Тематика блога

Если не писать для домохозяек, то что у нас остается? Да все тоже самое - тем море. Можно фокусироваться на чем-то одном, можно писать о текущих проектах на работе, можно идти широким фронтом, охватывая большой пласт тем. Лично я иду по последнему сценарию. За 25 лет в ИБ мне довелось поработать и разработчиком СКЗИ, и аудитором ИБ, и продавцом СрЗИ, и маркетологом, и админом, и постановщиком ТЗ для защиты Web-сайтов, и консультантом, и внедренцем. Много чего было. Поэтому мне удается пропускать широкий круг тем по ИБ через призму собственного опыта.

На секции был задан вопрос о самоцензуре. Он непрост; очень непрост. Дело в том, что в отличие от журналистов, защищенных законом "О СМИ" и своей редакцией, блогер не защищен никем. Я после ряда своих заметок не раз ходил под увольнением (еще будучи в Информзащите, когда никаких социальных сетей и блогов не было, а все ограничивалось эхами в FIDO), некоторые регуляторы меня не любят, некоторые мягко запугивают, интеграторы угрожали судом за якобы клевету... И все это забесплатно :-) А тут еще и 275-я статья УК РФ нависает. Так что в отличие от журналистов, которые могут сослаться на "неназванные источники" и писать даже про конфиденциальные документы, я такой роскоши себе позволить не могу - многое становящееся мне известным, так и остается во мне. Самоцензура у блогера должна быть.

Ключевые факторы успеха блогера

Позволю себе сформулировать некоторые факторы успеха, которые на мой взгляд позволяют блогеру достигнуть всех перечисленных выше видов отдачи (даже если вы их и не жаждете они придут сами):

• Ни дня без строчки. Это девиз любого писателя, а блогер по сути и есть писатель. Невозможно писать интересно и хорошим языком, не тренируясь ежедневно. Это тяжело, но дает свои плоды. А умение правильно и красиво говорить и писать полезно по-любому.
• Икигай. Это, пожалуй, основной фактор успеха. Кто-то переводит этот японский термин как "смысл жизни", кто-то как "здоровая страсть". Мне нравится графическая иллюстрация этого термина. То, что вы любите, то, что нужно людям, то, в чем вы сильны, и то, за что вам платят (или вы получаете отдачу). Совпадение этих 4-х составляющих и есть икигай. У меня наложился еще и пятый элемент - ИБ была моей специализацией в институте. 

Вообще икигай - это то, что объясняет все, если бы надо было описать успех любого блога одним словом. Можно не ставить перед собой целей, можно не думать об отдаче, можно не заниматься продвижением блога (я никогда этим целенаправленно не занимался) и все равно быть успешным блогером. Только потому, что занимаешься любимым делом.

В качестве заключения

Задача блогера трудна, но важна. Если он живет не тем, чтобы критиковать всё и всех, а в его заметках есть что-то полезное, то блог будет процветать. Удобнее ли сидеть в соцсетях, чем вести блог? Не уверен. Более того, даже считаю это неверной стратегией. Социальные сети - это инструмент для сиюминутных радостей, совершенно неприспособленный для сохранения и поиска информации. Я даже у себя в Twitter или Facebook не могу найти что-то нужное, но что я писал хотя бы месяц назад. А уж в соцсети у других коллег...

Сегодня блог начинать сложнее, чем раньше. Когда ты первый, тебе проще. Последышей всегда будут сравнивать. Им будет сложнее выделиться. Они должны быть либо на голову круче, либо писать очень хорошо, либо поливать говном всех, либо подавать контент нестандартным образом. Это если, конечно, они хотят выделиться. Если такой задачи не стоит и человек просто пишет то, о чем ему интересно, то, в чем он разбирается, и язык у него подвешен, то своего он добьется по любому. Главное, не опускать руки.

Если вам интересно посмотреть всю секцию, то посмотреть ее можно тут.

ЗЫ. На самом деле есть еще один вид отдачи, который я специально не упомянул в списке выше. Это обычное человеческое "спасибо". На том же PHDays мне несколько человек сказали, что учились на моем блоге и курсах Яндекса, так как больше ничего стоящего у них не было и в ВУЗе адекватных знаний им не дали. Это приятно, что ни говори.

Подробнее…

Геймификация в информационной безопасности

Геймификация в ИБ... Насколько возможно вообще скрестить такие, казалось бы несовместимые вещи? Если вспоминать вчерашние высказывания Франклина и Конфуция, то это не только вполне реализуемо, но и может дать очень хорошие плоды. В 2009-м году я уже писал статью про нестандартный маркетинг в области ИБ и в качестве нескольких примеров приводил именно игры, которые позволяли с одной стороны развлечься, а с другой - в игровой форме донести нужную информацию или продвинуть какую-то идею или продукт. И вот еще парочка свежих примеров.

Например, ИБ-игрушка Security Parashoot, которая является не просто "стрелялкой" или "арканоидом", а позволяет легко донести правильные вещи в области парольной политики на предприятии, лучших практик, техник атак, защиты узлов, юридических вопросов и др. А набор баллов добавляет в игру соревновательность и желание набрать как можно больше очков. Такая игра может быть внедрена как один из элементов программы повышения осведомленности рядовых сотрудников.

Игра Security Parashoot - http://game.inverra.com

Другой пример - известная игра "Phishing Phil", которая была разработана при Университете Карнеги Меллона. Задача игры - научить пользователей распознавать фишинговые ссылки. Первая версия игры свободно доступна в Интернете, а вот ее навороченный вариант вошел в состав коммерческой платформы для обучения вопросам ИБ, разработанной компанией Wombat Security.

Игра Phishing Phil

Кстати, Wombat Security, - не единственная компания, которая специализируется на новых технологиях обучения вопросам ИБ. Есть еще одна компания, специализирующаяся в области геймификации ИБ - Apozy.

Пример более стратегической игры - Net Invaders. Кто играл на iOS или Android в Tower Defense (я часто коротал в нее время; особенно в самолетах), тот знает, что в этой игре задача защитить башню от стремящейся к ней врагов, выставляя различные виды оружия на их пути. Неправильный выбор оружия приводит к тому, что враги проникают в башню и захватывают ее.

Игра Net Invaders

В Net Invaders таже идея, только вместо башен надо защитить ЦОД, офис и мобильное рабочее место, а вместо пушек, скорострельных луков и "морозилок" нужно использовать средства защиты - МСЭ, средства борьбы с вредоносным кодом и т.п. Эта игра уже больше рассчитана на изучение различных инструментов защиты в зависимости от исходящей угрозы. Полученные баллы можно потратить на новую защиту или подключение облачных сервисов Threat Intelligence.

Игра Net Invaders

Что дают такие игры? Немало. Мотивацию, обучение, укрепление команды (для командных игр), стимуляцию развиваться, лояльность, изменение поведения... Все это то, что обычно так не просто получить в рамках традиционного обучения вопросам ИБ.

Приведенные выше примеры интересны, но есть и свои "Олимпы" в этой области. Например, инновационная игра CyberCIEGE для изучения концепций сетевой и компьютерной безопасности. По сути это комбинация SimCity и ИБ. Вы симулируете реальную жизнь - покупаете железо и софт, конфигурируете его, продаете, следите за бюджетом. А ваши пользователи при этом совершают ошибки, попадают на удочку хакеров... Ваша задача - защитить свою виртуальную компанию от различных "кибер-напастей". В игре присутствуют различные заранее подготовленные сценарии, которые облегчают вашу игру и позволяют тренировать те или иные навыки в области ИБ.

Игра CyberCIEGE

Почему это работает? Причин много. От банальных "прикольно", "что-то новое" до "мне нравится соревнование", "люблю challenge", "мне нужна мотивация". У каждого человека своя причина, но результат один - вовлеченность с последующим получением нового знания и нового опыта. Именно поэтому, по версии Gartner, свыше 70% глобальных компаний из Топ2000, должны уже иметь хотя бы одно приложение-игру.

"Парашют", "Фил", "Захватчики сети"... Это интересно, но это не командные игры. Они рассчитаны на одиночек, которые будут играть по своим мотивам. В корпоративной же среде, особенно когда сотрудников много, нужны немного иные методы стимулирования работников играть, играть и еще раз играть. У нас в Cisco выделили несколько таких стимулов, которые заставляют сотрудников стремиться играть и выигрывать:

• переход на новые уровни
• строка достижений
• награды
• виртуальная валюта
• репутация
• таблицы лидеров
• доска почета.

Когда все вокруг видят, что ты "крут", то это стимулирует тебя поддерживать свой уровень, а других "догнать и перегнать". Именно этот принцип позволил нам обучить свыше 20 тысяч инженеров и разработчиков Cisco по вопросам информационной безопасности. Данная программа, получившая название "Cisco Security Ninja", позволила быстро внедрить процесс безопасного программирования в жизненный цикл разработки ПО Cisco (CSDL). Для этого было создано виртуальное додзё, то есть место для проведения тренировок и аттестаций в области ИБ.

Додзё безопасности Cisco

Додзё - это японский термин, используемый в боевых искусствах Японии, в том числе при подготовке ниндзя. Как и в настоящих боевых искусствах, каждый прошедший определенную программу обучения и сдавший экзамен, получает "пояс" (их пять), который олицетворяет статус сотрудника. Этот статус можно продемонстрировать по-разному - получить соответствующий бейдж, включить в подпись e-mail соответствующую иконку, включить иконку в корпоративный справочник и т.п.

Но я не буду сейчас глубоко погружаться в программу Cisco Security Ninja. Во-первых, заметка носит обзорный характер, а, во-вторых, я планирую более подробно написать про нашу программу геймификации вопросов ИБ - там есть, чему поучиться. А пока...

GAME OVER!!!

Подробнее…

ИТ-Диалог: электронная личность чиновника - мониторинг и защита

Третьим запомнившимся практичным выступлением на ИТ-Диалоге для меня стал доклад Дмитрия Едомского - заместителя директора по безопасности ГАУ Республики Коми "Центр информационных технологий", который рассказывал о таком понятии, как электронная личность чиновника и о том, какие "следы" оставляет чиновник в Интернете - в соцсетях, блогах, Твиттере, в публикациях, на почтовых серверах, в Интернет-магазинах и иных торговых площадках и даже на игровых серверах.

Видя регулярные сливы Шалтай-Болтая о наших чиновниках, взломы их электронной почты, понимаешь, что вопросы обеспечения безопасности электронной личности важны как никогда. Наверное, поэтому во многих ведомствах запрещено чиновникам иметь учетные записи в социальных сетях, а ФСБ регулярно рассылает письма с предупреждениями о рисках использования публичных, особенно, иностранных почтовых сервисов (хотя ломают преимущественно отечественные). Но чиновники считают, что если они зарегистрируются в социальной сети под псевдонимом, то это снимет все проблемы. Не снимет!

Дмитрий Едомский привел несколько примеров угроз электронной личности. Тут и ситуации, когда чиновники, якобы уехавшие в командировку, публикуют фотографии из Доминиканы. И публикации членами семьи чиновника своих роскошных подарков, машин и собственности. И обвинения чиновников в плагиате их публикаций в Интернет. И многое другое.

После рассмотрения интересных сценариев, Дмитрий перешел к вопросам информационной безопасности электронной личности чиновника.

Самое интересное, что данный вопрос информационной безопасности государственных мужей никак не отражен в нормативной базе. Ведь электронная личность чиновника не относится ни к защищаемой информации, ни к государственным информационным системам. Отделы защиты информации этому вопросу внимания почти не уделяют. А ведь именно через него можно заручиться поддержкой руководства своего госоргана или муниципалитета и показать роль ИБ в понятных терминах и проблемах. Именно этот вариант повышения осведомленности, не требуя денежных средств (достаточно регулярных рассылок и пары тренингов), позволит вовлечь руководство в процесс ИБ и позволит получить безопаснику внимание к себе и своим задачам.

На этом я завершу свой рассказ про прошедшей на прошлой неделе ИТ-Диалог, который в этот раз стал еще более практическим, чем в прошлом. Интересные доклады, интересные темы, интересные выступающие. Совершенно не зря потраченное время. Спасибо организаторам в лице комитета по информатизации Санкт-Петербурга и журнала "ИТ-Менеджер" за отличное мероприятие.

Подробнее…

ИТ-Диалог: опыт автоматизации рутинных задач безопасника в Санкт-Петербурге

Продолжаю рассказ про секцию "Россия защищенная" на ИТ-Диалоге. Теперь расскажу о докладах представителей трех регионов - Санкт-Петербурга, Республики Коми и Хабаровского края. Хотя, скорее, это были не доклады, а обмен опытом. Каждое из выступление мне запомнилось особо. Например, выступление Андрея Лихолетова из комитета по информатизации Санкт-Петербурга, который рассказывал об их опыте автоматизации рутинных задач безопасника.

Понятно, что эффективной работе служб и специалистов ИБ, особенно в крупных организациях, мешает большое количество рутинных и неавтоматизированных задач, среди которых Андрей Лихолетов выделил 5 ключевых:

• Сбор и анализ данных, о текущем состоянии защиты информации, поиск и анализ закономерностей, подготовка стандартных отчетов

Пример одной из множества анкет/опросника по ИБ

• Отслеживание контрольных сроков событий, исполнения поручений
• Повышение уровня осведомленности уполномоченных лиц
• Централизованное хранение и актуализация документов в области защиты информации
• Аудит.

При нехватке времени и людей и большом количестве рутинных задач, без их автоматизации не обойтись. Именно про опыт питерского комитета по информатизации и был интересный доклад. Не найдя на рынке удовлетворяющего требованиям продукта, в отделе защиты информации комитета было принято решение о заказной разработке данного решения, что и было сделано. В частности, для решения первой задачи разработанная система (а она решает все пять озвученных рутинных задачи) позволяет:

• формировать отчетность (плановую и внеплановую)
• формировать показатели, характеризующие уровень соответствия принимаемых в организации мерах по обеспечению безопасности информации принятым требованиям по защите информации
• анализ динамики изменения показателей
• «вечное» хранение исходных данных.

Второй важной задачей является контроль сроков. В феврале я уже писал про то, каким я вижу автоматизированный календарь безопасника. А в Питере он уже создан. В частности он позволяет отслеживать:

• сроки окончания лицензий организаций
• сроки действия сертификатов на СрЗИ
• сроки действия аттестатов соответствия;
• сроки повышения квалификации безопасников
• сроки контрольных мероприятий (аудита)
• сроки исполнения поручений
• другие контрольные точки, например, по объектам, имеющим "срок годности, в частности по поручения.  

Отдельно решается задача хранения разных версий разных нормативных и правовых документов. Эта же подсистема позволяет хранить и конструкторскую/эксплуатационную документацию ко всем информационным системам Санкт-Петербурга, а также проводить контроль знаний по законодательству в области ИБ.

За счет визуализации и контроля состояния всех объектов защиты Санкт-Петербурга удается также 

• Информировать уполномоченных лиц об угрозах безопасности информации
• Информировать уполномоченных лиц о правилах эксплуатации системы защиты информации информационной системы и отдельных средств защиты информации
• Своевременно информировать лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе.

Задача аудита также автоматизирована, вплоть до подготовки отчетных документов и автоматической постановки задач ответственным об устранении выявленных нарушений.

Если все автоматизировать, что же тогда остается безопасникам? Не стоит ли их сократить? Нет! Как справедливо было замечено, безопасник часто погружается в рутину и у него не остается времени и сил на решение реальных задач, ради которых он и приходил на работу. В частности остаются нерешенными и заброшенными "творческие" задачи, которые откладываются на потом:

• моделирование угроз, анализ уязвимостей и рисков,
• оценка эффективности систем защиты информации,
• обеспечение непрерывности работы СЗИ,
• анализ инцидентов ИБ,
• обеспечение ИБ при взаимодействии с третьими сторонами,
• планирование и развитие СЗИ и т.д.

На меня доклад Андрея Лихолетова произвел впечатление, если честно. Это действительно круто - взять и заказать разработку для автоматизации собственных рутинных задач, чтобы можно было сконцентрироваться на главном. И ведь в госорганах таких рутинных задач, вытекающих часто из существующей нормативной базы, очень много. В Санкт-Петербурге смогли эту проблему решить очень эффективно, на мой взгляд.

ЗЫ. Кстати, именно Андрей Лихолетов привел крылатую фразу про ИБ, которая "как ПВО - и сама не летает, и другим не дает" :-)

Подробнее…

Как в культурной столице говорили про культуру ИБ

На прошлой неделе я (вместе с Рустемом Хайретдиновым) модерировал секцию по информационной безопасности на питерском форуме "ИТ-Диалог 2014", организованном Комитетом по информатизации и связи Санкт-Петербруга и журналом IT Manager (за что им огромное спасибо). Ну а поскольку мероприятие получилось очень интересным, то и рассказать про него надо отдельно.

И дело тут не столько в месте проведения и культурной программе. Они были на высоте. Не каждый день удается ночевать в президентском номере (весь комплекс готовился к встрече президентов G20), а ужинать в Константиновском дворце, находящиеся под охраной ФСО :-)

Интерес представляла именно деловая программа секции "Россия защищенная", на которой были представлены доклады и от регуляторов (ФСТЭК и Роскомнадзор), и от государственных органов, которые делились своими наболевшими вопросами и опытом их решения. Началась секция с выступления местного Роскомнадзора (Дмитрий Иванов). Хоть и без презентации, но живенько были описаны типовые ошибки, допускаемые государевыми операторами ПДн в СЗФО:

• Неназначение лица, ответственного за обработку ПДн
• Отсутствие внутреннего контроля за порядком обработки ПДн
• Нет типовых форм согласия на обработку ПДн
• Не утвержден список должностей, допущенных к обработке ПДн
• Не утвержден порядка доступа в помещения, в которых ведется обработка ПДн
• Не утверждена политика в отношении обработки ПДн
• После последнего уведомления РКН внесены изменения в обработку ПДн, о которых не послано повторное уведомление.

При этом соотношение обращений граждан в отношении нарушения их прав субъектов ПДн не в пользу коммерческих компаний - против них было 917 обращений в 2013-2014-м году, а против госорганов всего 7. Соответственно нарушений у коммерсантов было за этот период найдено 200, а у госов - 14. Предписаний соответственно 32 и 3.

Вторым выступал представитель ФСТЭК (Михаил Щитников). Он очень неплохо описал 17-й приказ, используя также неплохую презентацию. Наиболее интересно, на мой взгляд, было послушать его в отношении ряда возникающих вопросов. Что такое ГИС? Является ли ИС бухгалтерии ГИС? Попадают ли бюджетные учреждения или ФГУПы под действие 17-го приказа и под контроль ФСТЭК? 

Очень интересным было выступление Сергея Кучина, министра ИТ и связи Нижегородской области. Сергей, непонаслышке сталкивающийся с требованиями различных регуляторов и пытающийся увязать из с необходимостью внедрения современных ИТ, поднимал непростые вопросы. Например, как импортозамещение влияет на обязательства России, вступившей в ВТО? Хочу отметить, что этот вопрос вообще никогда до Сергея не поднимал на моей памяти. А ведь он очень непрост. Ведь запрет закупки иностранных технологий противоречит требованиям ВТО. Другой вопрос был более традиционен, но не менее важен - квалификация специалистов по ИБ и их достаточно число. Зарплаты государственных служащих не могут конкурировать с коммерческими организациями и надо что-то делать. В качестве варианта Сергей предложил ввести специальный коэффициент для расчета зарплаты. Правда, сами госорганы на это идут с трудом и нужна внешняя рекомендация. Идеально, если бы ФСТЭК могла такую рекомендацию подготовить - она бы помогла многим государственным и муниципальным специалистам по ИБ.

Еще одним вариантом решения кадрового вопроса могли бы стать обучающие курсы. Причем как онлайн (и тут ФСТЭК могла бы стать инициатором подготовки таких курсов, которые могли бы давать базу для профильных и непрофильных специалистов), так и очные. Мне очень понравилась инициатива Правительства Хабаровского края, которое с помощью АИС провело глубокое обучение своих специалистов по широкому кругу вопросов, связанных с ИБ.

Еще один поднятый Сергеем Кучиным вопрос давно известен представителям госорганов, вынужденных применять для своей работы нестыкующиеся между собой СКЗИ разных производителей - для СМЭВ, для внутренного электронного документооборота, для иных задач. И хотя такие продукты как "Континент", Застава, VipNet, С-Терра реализуют один и тот же алгоритм шифрования, единого протокола, который бы позволил им взаимодействовать друг с другом, они не используют. А значит госорганам приходится ставить такие железки в ряд, тратя бюджетные средства на ненужные танцы с бубном, в попытке заставить работать отечественные СКЗИ вместе.

Также мне запомнились выступления Андрея Лихолетова (Санкт-Петербург) и Дмитрия Едомского (Коми), которые, не сговариваясь, подняли очень непростую тему культуры ИБ на государственных предприятиях. Оба представляли именно сторону заказчиков и поэтому их выступления были очень неожиданными. Никакой техники, никаких рассказов о законодательстве... Но может быть оно и закономерно. Все-таки Питер - это культурная столица и где, если не в ней говорить о культуре ИБ.

Задал тон Андрей Лихолетов, который начал с основ формирования культуры ИБ, рассказал о том, что препятствует повышению культуры ИБ и т.п. Особенно интересно, что сейчас Совет Безопасности рассматривает документ по этой же тематике - "Основы государственной политики в области формирования культуры информационной безопасности". Становится очевидно, что только техническими мерами (да еще и преимущественно иностранного происхождения) защищенности государственных ИС не достичь. А в условиях низкой зарплаты и высокой текучки кадров эта задача становится и вовсе неподъемной. Поэтому так важно работать с людьми, снижать вероятность реализации угроз через человеческий фактор, включать рядовых сотрудников в процесс обеспечения ИБ.

Тему продолжил Дмитрий Едомский, который рассказал о том, как в Республике Коми внедряются мероприятия по повышению культуры ИБ. При этом рассказ изобиловал интересными практическими примерами.

Решение возникающих проблем с низким уровнем культуры ИБ обеспечивается на разных уровнях и разными методами - организационными и техническими.

Помимо упомянутых выступлений были также доклады и экспертов - от Microsoft, Positive Technologies, Лаборатории Касперского и Digital Security. Выступал и я, как представитель генерального партнера форума. Рассказывал о том, как иностранные ИТ-компании могут повысить уровень доверия к своей продукции в России (на примере Cisco).



ЗЫ. Завершал сессию Рустем с презентацией о том, как объединить усилия отрасли и всех ее игроков. Ей я посвящу отдельную заметку.

Подробнее…

Где основы госполитики по культуре?

На протяжении последнего года в России при Совете Безопасности разрабатывался очень интересный и полезный документ под скромным названием "Основы государственной политики по формированию культуры информационной безопасности", задачей которого должна была стать стратегия по созданию у российских граждан, начиная с детсадовского возраста и заканчивая пожилыми людьми, культуры безопасного поведения при использовании информационных технологий, Интернет-серфинга, электронных платежей и т.п. Документ был неплохо написан и по нему, лично у меня, оставался только один вопрос - найдутся ли ресурсы и ответственные за его реализацию. В конце июля 2013-го года основная работа была завершена и в августе его должны были обсуждать на высокой комиссии. И вот с тех пор про этот документ ни слуху ни духу.

А после очередного теракта в Волгограде, ситуации вокруг безопасности в Сочи и антитеррористических законопроектов (тут и тут) я задумался, насколько вообще реально появление такого документа в России? Ведь у нас нет культуры безопасности у граждан. Не только информационной, а вообще. У нас совершенно иная доктрина в стране. На первом, и похоже единственном месте у нас безопасность государства. Про безопасность общества и граждан у нас думают мало или совсем не думают. Об этом лишний раз говорит, что результаты работы группы академика Рыжова у нас так и нашли своего применения. Они не прошли во времена перестройки в 90-м году, они не проходят и сейчас. Спецслужбы совсем не думают про граждан - у них свои интересы, отличные от общепринятых и общепонятных. Силовики защищают не граждан и не общество, а государство, читай, режим. Поэтому, закрыть, запретить, отказать, заблокировать... это нормально. Помогать, развивать, стимулировать, советовать... это непривычно, непонятно, обойдутся, нецелесообразно. Поэтому и документ, который рассказывает, как повысить компетенцию граждан в вопросах безопасности, у нас невозможен. А если и возможен, то нереализуем на практике (это не значит, что его не надо выпускать).

В США подход иной - там проводятся ежегодный месячник по информационной безопасности. Там выпускаются методички для граждан. Там немало сайтов для "чайников". Да вообще серия книг "для чайников" (for dummies) родилась именно там. Там есть Интернет-курсы для граждан. Да много, что там есть. А все почему? Разве там нет террористической угрозы? Есть! Там нет коррупции или собственных интересов спецслужб? Есть! Там нет олигархической верхушки, оккупировавшей властные структуры? Есть! Но там не забывают думать и о своих избирателях - рядовых гражданах, помогая им (по мере возможности) в различных областях, среди которых и информационная безопасность.

Но есть гораздо лучше пример формирования культуры безопасности. Это Израиль. В Израиле культура безопасности национальна. В условиях постоянной угрозы израильтяне впитывают тему безопасности с молоком матери. И государство немало делает для того, чтобы мероприятия по формированию культуры не превращались в рутину "для галочки". Отсюда очень высокий уровень безопасности (в разных сферах) в этом небольшом и недавно появившемся государстве.

В России такого нет. Поэтому и основ государственной политики у нас нет. А если такой документ появится (он, безусловно, нужен), то возникнет вопрос ответственности за его реализацию. Кто будет курировать вопросы в нем указанные? Совет Безопасности? Врядли. ФСБ? В текущей ситуации невероятно. Минкультуры или Рособразование? А там некому! ФСТЭК? Нет у них полномочий для этого. Минкомсвязь? Так у ИТ-министра приоритеты совсем другие.

Вот и получается, что культуры ИБ у нас как не было так и нет :-(

Подробнее…