20.01.2017

Чего не хватает российской нормативке или почему одна картинка говорит больше тысячи слов?

Во вчерашней заметке про новые требования по безопасности SWIFT я упомянул, что отечественным регуляторам не хватает умения визуализировать свои требования и свои документы, что сильно затрудняет применение их на практике. Я уже писал про сложность восприятия документов ФСТЭК (тут, тут и тут), но сегодня я решил чуть раскрыть эту тему. Правда, уже с другой точки зрения, а точнее с точки зрения формата представления документов.

Все мы знаем про три типа восприятия информации - аудиалы (восприятие на слух), визуалы (восприятие через глаза) и кинестетики (восприятие через ощущения и касания). На самом деле есть еще и очень редкий, четвертый тип - дискрет, воспринимающий информацию через цифры, четкие доводы и логическое осмысление. Но знание этих 4-х типов не сильно помогает нам ответить на вопрос, почему тексты российских регуляторов воспринимаются хуже, чем тех же американских. Ответ заключается в таком явлении как "эффект превосходства образа", то есть восприятии визуальных изображений на порядок лучше, чем восприятие текста и тем более устной речи. Даже таблицы, не говоря уже о цифрах или просто стене текста, сложны для восприятия и скучны; от них устаешь уже через пару страниц и смысл документа начинает ускользать от читателя. Спасением являются иллюстрации и изображения, поясняющие или раскрывающие смысл тех или иных положений, а также правильное использование типографики (шрифтов), цвета, визуального ряда и макета/дизайна.

Приведу несколько фактов:
  • Изображения обрабатываются в 60 000 раз быстрее текста
  • 80% людей охотнее читают текст, который сопровождается изображениями
  • В тексте читается всего 28% слов и всего 20% прочитанного остается в памяти
  • Согласно теории Саноки-Сульмана люди лучше запоминают палитры, содержащие сочетание только трех или менее цветов, чем те, в которых четыре и более цвета, а также цветовое различие между контекстом и фоном может повысить нашу способность концентрироваться на контексте. То есть черный текст на белом фоне воспринимается гораздо лучше такого же текста еще и с красным заголовком. А еще эта теория объясняют, почему большинство презентаций регуляторов такое унылое гуано - их авторы почему-то считают, что если использовать для заголовков, текста, подписей на  слайде разные кислотные цвета, то так лучше будет восприниматься.
  • Феномен бинокулярного соперничества глаз требует от нас для нормального восприятия не перегружать страницу/слайд (именно поэтому "стена текста" не читается), выделять ключевые моменты, а также использовать тематические иконки.
  • Используемый шрифт влияет на восприятие контента и на принятие решений по результатам его чтения. Поэтому рекомендуется использовать удобочитаемые шрифты, отделять текст от изображений, не накладывать изображения на текст и оставлять достаточно свободного пространства между абзацами.
  • Согласно теории Кастелано-Хендерсона восприятие контента улучшают подходящие иконки или картинки для представления данных, расположенный в правильной последовательности контент (списки и таблицы), а также использование привычных цветов для важных объектов.
Ну а дальше будет несколько примеров, по которым вы, сами для себя, может судить о том, насколько легко или тяжело воспринимать представленную информацию (возможно у меня глаз уже замылен и я привык к нашим НПА по ИБ, но российские документы бросаются в глаза мгновенно):
PCI DSS v3.0
ITU-T E.409 по реагированию на инциденты для организаций электросвязи 
Финнский стандарт по критериям аудита ИБ (KATAKRI)
Канадский "ФЗ-152" (PIPEDA) 
Французский стандарт по анализу рисков  (MEHARI)
ISF SoGP
NIST SP800-53

Указание Банка России по угрозам ПДн
FFIEC IT Examination Handbook
Приказ №17 ФСТЭК
Приказ №470 Минэкономразвития 
Приказ ФСТЭК по КСИИ
СТО БР ИББС 1.3 по сбору доказательств
Проект ГОСТ с базовым набором защитных мер для финансовых организаций
Концепция по ГосСОПКЕ
Приказ №378 ФСБ
NIST CSF v1.0
Стандарт Катара по безопасности критических инфраструктур
Понятно, что рекомендация будет простой - учитывать особенности восприятия информации при оформлении документов. Для этого можно либо ориентироваться на мировой опыт (благо его полно) и попробовать сделать самостоятельно, не забыв проверимость на "читаемость" на коллегах, либо нанять дизайнера в штат (или найти любителя дизайнов и макетов среди сотрудников), либо заплатить (что, конечно, врядли) агентствам, специализирующимся на таких вопросах.

ЗЫ. Это же касается и многих корпоративных документов по ИБ, ориентированных вроде бы на рядовых пользователей, но совершенно ими не воспринимаемых. И причина тут может быть не в том, что контент плохой, а в том, что подача его неудовлетворительна.

19.01.2017

Новые требования по кибербезопасности SWIFT

В собственный Топ 5 международных событий по ИБ прошлого года на последнее место я включил атаки на SWIFT, систему, которая раньше не часто попадала в прицел злоумышленников. И вот в конце прошлого года, в рамках программы Customer Security Programme (CSP), SWIFT выпустила документ под названием "SWIFT Customer Security Framework. Supplementary Guide", который устанавливает набор обязательных и рекомендательных защитных мер для клиентов SWIFT. Первые (обязательные) меры являются основой для защиты информации, передаваемой в рамках SWIFT (это некий аналог базового набора мер в 17-м приказе или набора защитных мероприятий в проекте нового ГОСТа Банка России), а вторые описывают лучшие практики, повышающие уровень защищенности.

Новые требования распространяются на 4 компонента:

  • уровень обмена данными
  • локальную инфраструктуру SWIFT заказчика
  • пользовательские ПК
  • пользователей.

Соединение с SWIFT, ИТ-инфраструктура и бэкофис заказчика в область действия SWIFT CSF не попадают:


При этом, что мне понравилось и чего не хватает в отечественных документах, в визуальной форме показаны типы архитектур, покрываемых требованиями, что облегчает восприятие и реализацию документа. Таких архитектур выделено 4 - от максимально возможной (архитектура А1 - полный стек технологий SWIFT) до минималистичной (архитектура B - отсутствие на стороне заказчика локальной SWIFT-инфраструктуры и наличие только пользователей и их ПК).



Для каждой из 4-х архитектур описаны требования по безопасности, которые, как я уже написал выше, делятся на обязательные и рекомендательные. Документ получился достаточно объемным - 52 страницы, содержание которого показано ниже. Приставка A после номера требования (например, 7.3А - пентесты, 6.5А - обнаружение атак, 2.7А - сканирование уязвимостей) означает рекомендательность требования (от слова "Advisory").


Описание требований лаконичное, но предельно понятное - никакого растекания мыслью по древу. Вот пример описания защитной меры "защита данных при передаче за пределы контролируемой зоны".


Несмотря на объем, все требования нового документа можно увязать с всего тремя целями:

  • защити свое окружение
  • знай и ограничь доступ
  • обнаруживай и реагируй.


Во втором квартале 2017-го года заказчики SWIFT начнут сообщать в SWIFT о своем соответствии данным требованиям (в обязательной их части), а с января 2018-го года это станет обязательной нормой - все заказчики должны будут проводить собственную оценку соответствия (SWIFT называет это знакомым словом "аттестация") и направлять ее результаты на ежегодной основе. Дополнительно SWIFT планирует случайным образом ежегодно выбирать некоторых заказчиков для проведения более глубокого их аудита внутренними или внешними аудиторами. Данное требование напоминает шаги нашего Банка России, который требует отправлять результаты оценки соответствия 202-й формы, а при необходимости проводит дополнительные надзорные мероприятия в отношении выбранных банков.

Статус соответствия требованиям будет размещаться в публичном реестре (SWIFT KYC Registry), чтобы каждый смог убедиться в надежности своих партнеров и контрагентов. По сути, это идея, которую не довел до финального завершения Банк России, который собирал результаты оценки соответствия СТО БР ИББС и хотел их публиковать на сайте. Сейчас же все ограничилось тем, что ЦБ публикует список тех, кто присоединился к СТО, без указания их уровня соответствия. Я не знаю, насколько это повышает стимулирует заказчиков выбирать более защищенные финансовые организации, но инициатива SWIFT интересная - посмотрим, что из нее получится.

Могу отметить, что документ не содержит каких-то новых требований, неизвестных заказчикам SWIFT, и ранее им невстречавшихся в других нормативных документах (том же PCI DSS или NIST CSF). Поэтому для облегчения внедрения SWIFT Customer Security Framework в конце документа содержит таблицу соответствия своих требований наиболее известным лучшим мировым практикам:


Получить данный документ может любой заказчик SWIFT - он выложен на официальном сайте, в разделе для зарегистрированных пользователей.

18.01.2017

Корпоративные тренинги по ИБ набирают популярность

Если продолжить тему корпоративных мероприятий по ИБ, то немного особняком стоят корпоративные тренинги по ИБ. С одной стороны у них те же преимущества, что у корпоративных мероприятий (основное - ориентация на нужды заказчика), а с другой - немного иной масштаб и глубина погружения. Речь идет обычно об одной теме, которая развораивается на несколько часов или даже один-два дня и раскрывается одним-двумя лекторами для группы корпоративного заказчика.

Мне в прошлом году довелось участвовать в целом ряде таких тренингов, посвященных следующим темам:
  • Законодательство по ИБ для банков
  • Управление ИБ
  • Как выстроить внутренний маркетинг ИБ?
  • Безопасность ГИС
  • Бизнес-модели в деятельности служб ИБ
  • Человеческий фактор в деятельности служб ИБ
  • Обзор подходов к Threat Intelligence
  • Персональные данные
  • Построение программы повышения осведомленности персонала
  • Разработка бизнес-кейса по ИБ
  • Как понять бизнес-приоритеты компании?
  • Как обосновать ИБ для руководства компании?
  • Управление инцидентами
  • Архитектура и стратегия ИБ
  • Теория организации в ИБ
  • Измерение ИБ
  • Моделирование угроз
  • Геймификация в ИБ
  • Выстраивание процесса борьбы с фишингом на предприятии.
От коллег я слышал про участие в тренингах по финансовой оценке ИБ, борьбе с утечками, моделированию угроз по методике Microsoft, анализу прикладного ПО с точки зрения ИБ, сбору цифровых доказательств и т.п.

Как можно заметить, темы совершенно различные, и, как правило, по ним (исключая, быть может, тему законодательства) практически нет программ обучения в отечественных учебных центрах. Связано это с тем, что учебные центры преимущественно готовят специалистов по массовым программам, интересным широкому кругу лиц. Вкладываться в программу, которая будет востребована всего одним-двумя заказчиками (даже если у них будет по полной одной-две группы), УЦ не хотят - инвестиции могут и не отбиться. Отсюда определенный образовательный вакуум, который и заполняют корпоративные тренинги.

И вновь повторю вчерашнее заключение. Данный формат ни в коем случае не отменяет традиционного обучения по ИБ и не подменяет собой обычные конференции и семинары. Но в условиях необходимости более глубокого изучения той или иной темы, интересной небольшой группе лиц одного заказчика, альтернативы корпоративным тренингам просто нет. Не случайно, многие крупные компании создают свои корпоративные университеты, где готовят сотрудников по собственным программам обучения.

ЗЫ. И, конечно же, для регионов данный тип тренингов зачастую является единственной возможностью для повышения квалификации своих сотрудников. Отправить в Москву (а большинство УЦ по ИБ сосредоточено именно в Белокаменной) даже двух человек может обойтись дороже проведения корпоративного тренинга в регионах с приглашением московского лектора (не говоря уже о местном).

17.01.2017

О корпоративных мероприятиях по ИБ

Так сложилось, что я достаточно часто пишу про различные ИБ-мероприятия - их фишки, достоинства и недостатки, а также рекомендации организаторам, которые, так уж сложилось, далеко не всегда следуют им, считая, что им, организующим 2-3 мероприятия в год, лучше знать, чем мне, участвующем ежегодно в около сотне мероприятий в разных городах и странах. Ну да ладно, история сама расставит все по своим местам. А сейчас я хотел бы упомянуть еще один формат, который стал набирать популярность в последнее время. И речь идет не о фокусных SOC Forum, PKI Forum, РусКрипто и еще парочке посвященных всего одной теме событий ИБ. Речь о закрытых корпоративных мероприятиях, в которых мне доводилось участвовать в последние месяцы неоднократно (эта презентация как раз с такого семинара).

Обычно, такие мероприятия проводятся крупными холдингами или территориально-распределенными компаниями или федеральными органами исполнительной власти, которые собирают со всех регионов своих представителей служб ИБ и доносят до них нужную, важную и полезную информацию. Обычно такие семинары/конференции длятся один или два дня, на которых первый день посвящен обзорным вещам, направленным на расширение кругозора участников, а второй уже посвящен сугубо внутренним докладам, командообразующим тренингам, деловым играм и иным способам сплочения людей.

Что дает такой формат? Преимуществ, как минимум, пять:
  • Программа, ориентированная на нужды заказчика, а не нужды спонсоров или организаторов.
  • Заказчик может "отправить" на мероприятие гораздо больше одного или двух своих сотрудников, как это часто бывает, включая и региональных людей, которые обычно на московские мероприятия не попадают.
  • Можно включить свой, часто конфиденциальный контент, который никогда не удается донести сразу до всех сотрудников.
  • Обратная связь от сотрудников, которые могут высказать руководству головной ИБ все, что они думают или, хотя бы, задать свои вопросы и вступить в дискуссию.
  • Наконец, последним в списке, но не последним по важности, будут знакомства друг с другом людей из разных регионов, которые до этого "видели" коллег только в почте.
Учитывая, что действительно хороших с точки зрения контента мероприятий у нас не так много, то популярность корпоративных мероприятий будет только расти. Это не значит, что обычные ИБ-мероприятия "для всех" потеряют свою аудиторию и свою актуальность - это два разных, мало пересекающихся мира. Конференции "для всех" направлены на удовлетворение интересов спонсоров, которым интересно лить в уши слушателей рекламу. А так как слушатели от этого уже устали, то и получается, что почти все мероприятия у нас превращаются во встречи коллег, которые общаются за чашкой чая или в кулуарах, вообще не заходя в зал, где спонсоры рекламируют свои продукты и услуги.

Исключения скорее подтверждают общее правило. В качестве такого исключения могу назвать грядущий CISO Forum, который мне чем-то напоминает мини-RSA. Сама конференция RSA - это тоже мероприятие "для всех и обо всем", но там, за счет наличия до трех десятков параллельных потоков, идущих пять дней подряд, каждый может без проблем найти себе интересный контент. Но и музыку там заказывают не спонсоры, а слушатели, которые платят за участие 2500 тысячи долларов (ну или полторы, если регистрируются существенно заранее). CISO Forum в этом году пока еще не тянет на полноценную RSAC, но на нем также планируется несколько параллельных потоков, посвященных совершенно разным темам - от трендов (футуристический поток) и технологий до хакерской тематики (offensive) и работы с людьми. То есть ровно те темы, которые попадают в прицел современного руководителя по ИБ.


В целом же практика проведения корпоративных ИБ-конференций, я думаю, продолжится и в 2017-м году их будет еще больше, чем в прошлом.

13.01.2017

Какой должна быть атрибуция кибератак?

Завершу неделю, прошедшую под знаком атрибуции киберугроз, еще одной заметкой. Если посмотреть на то, что я написал в среду и свести в таблицу, то мы увидим вот такую картину:


Получается, что одby и тот же набор фактов может трактоваться совершенно по-разному; местами даже диаметрально противоположно. А это означает, что представленные "доказательства" не могут служить для целей атрибуции, как бы того не хотелось американским официальным лицам. Вон уже и украинский след пытаются найти в Гризлигейте...

Поэтому, попробую, дистанцируясь от текущего скандала, сформулировать некие мысли о том, какой должна быть атрибуция киберугроз в современном мире. Что вообще из себя представляет атрибуция; по-крупному? Это обвинение некоего лица в совершении преступления (кибератаки во многих странах мира признаны таковыми). А раз речь идет об обвинении (к счастью, международное право для киберпространства пока вызывает множество вопросов и поэтому не работает, а то бы мы за каждый ping получали повестки в Международный трибунал), то стоит смотреть на атрибуцию именно с точки зрения уголовного права.

Сегодня атрибуция атак отличается от сбора доказательств в уголовном деле, в котором требуется точность. Неверный вывод на основе собранных доказательств и подозреваемый становится обвиняемым и может сесть в тюрьму, а то и лишиться жизни (в тех странах, где смертная казнь не отменена). Следователь, подтасовавший доказательства, может быть наказан за свои действия. В атрибуции киберугроз такого нет - никто не отвечает за свои слова, хотя обвинения звучат достаточно серьезные, а на их основе принимаются серьезные решения, например, санкции в отношении юридических или физических лиц.

О чем же нам говорит уголовное право применительно к понятию "доказательство", на котором и строится обвинение (или защита)? Во-первых, бывают (по УПК) разные виды доказательств, из которых в атрибуции кибератак могли бы найти свое применение следующие:

  • показания подозреваемого, обвиняемого, потерпевшего и свидетелей
  • заключения и показания экспертов и специалистов
  • вещественные доказательства
  • иные документы.

С допустимостью доказательств требованиям процессуального законодательства пока я вижу сложности ввиду отсутствия единства у юристов-международников относительно применения норм права к киберпространству. Да и с такими понятиями как "надлежащий источник", "правомочный субъект", "законность способа получения доказательств" и "соблюдение правил фиксации доказательств" могут быть сложности. Особенно в тех случаях, когда не хочется раскрывать свои источники и методы сбора информации, используемой в качестве доказательств. Разумеется, это все в том случае, если мы говорим о придании некой юридической значимости проведенной атрибуции для, например, дальнейшей передачи материалов в международные суды или проведения дипломатических переговоров. Если такой цели, то вопрос допустимости доказательств, конечно, не снимается, но их можно и не афишировать.

Если посмотреть на представленные в рамках Гризлигейта доказательства, то мы увидим, что с ними в рамках рассматриваемой заметки существует множество проблем. И представленные доказательства слишком относительны и их связь с предметом доказывания неочевидна. С допустимостью доказательств вообще полная беда ввиду отсутствия этих самых доказательств (исключая косвенные). Достоверность доказательств DHS и американской разведки тоже вызывает много вопросов. Прямых доказательств лично я не увидел - только косвенные, но их количество не позволяет перейти им в качество и сделать вывод о виновности России.

Получается, что сегодня никто не может доказать правдивость аналитика, проводящего атрибуцию кибератак, исключая три ситуации:
  1. "Хакера" поймали за руку в момент совершения кибератаки.
  2. "Хакер" сам признался (хотя тут тоже есть свою нюансы, когда кто-то берет на себя всю вину).
  3. Произошла утечка информации (если это не направленная дезинформация).
По сути можно говорить об атрибуции, как о регилигии. Фактов доказательства вины нет - есть только вера в это. Кто-то верит, кто-то нет; каждый выбирает для себя.

К сожалению, это говорит о том, что сегодня нормальную атрибуцию провести очень и очень непросто. Я видел не так уж и много отчетов, в которых проводилась неплохая атрибуция. Среди них анализ Лаборатории Касперского по Equation Group или анализ Airbus по Pitty Tiger Group. Очень достойные отчеты с кучей фактов и доказательств. Но даже там не сказано конкретно, кто стоит за той или иной группой. Дальше идут уже предположения. Например, что Equation Group работает на американское правительство, а Pitty Tiger Group - это не государственная группировка, но базирующая, вероятно, в Азии.

Какой же тогда должна быть атрибуция кибератак? Я бы не мудрствовал, а предложил бы применять к ней те же принципы, что и к сбору доказательств в уголовном процессе с поправкой на киберпространство. Тем более, что лучшие практики в этой области уже стали появляться. Тут можно назвать и недавно выпущенный стандарт Банка России, и материалы CERT/CC, и свободные ресурсы Интернет. Единственное, что я бы отметил особо, так это то, что проведение атрибуции, имеющей международные последствия, должно проводиться государством, а не частными компаниями, а используемые доказательства должны быть поддающимися проверке, а не голословными утверждениями или непонятно откуда взятыми данными. Если доказательства относятся к охраняемой законом тайне, то тут ситуация сложнее, что мы и видим (если рассматривать версию, что американские спецслужбы действительно что-то накопали, но не могут раскрывать своих источников) в Гризлигейте.

12.01.2017

Почему российские ИБ-компании не комментируют Гризлигейт

Ну и чтобы закончить (возможно на время) с темой Гризлигейта задамся простым вопросом. Почему ни одна российская компания не прокомментировала отчет DHS и не опровергла приведенные в нем "факты"? Новогодние праздники или нежелание попасть в черный список США?

Возьмем Mandiant (часть FireEye) или CrowdStrike, которые прямо называют Россию, как источника последних кибератак на американскую администрацию и стратегически важные американские компании и организации. Они не боятся, так как в России бизнеса или не имеют вовсе или он незначителен. Им терять особо нечего, кроме репутации в среде специалистов, которые тоже далеко не всегда подкованы в атрибуции киберугроз и доверяют мнению (не всегда верному) более именитых коллег. Но почему российские ИБ-игроки молчат?

Если все говорят, что отчет DHS - это если и не фейк, то явно невыдерживающий серьезной критики набор неподтвержденных "фактов", то почему никто не приводит серьезной аргументации? Исходные данные вроде как присутствуют - набор индикаторов компрометации от DHS. У той же Лаборатории Касперского, Dr.Web или Group-IB еще и сведения по вредоносным программам есть и их предполагаемым авторам. У отечественных операторов связи, а также отечественных Anti-DDoS-провайдеров есть (я надеюсь) понимание того, как складывается картинка с IP-трафиком с указанных в отчете DHS Интернет-адресов. У того же разработчика защитного плагина Wordfence для WordPress есть анализ того, как упомянутые DHS адреса участвуют в атаках на сайты, находящиеся под защитой Wordfence. Учитывая, что многие отечественные разработчики WAF используют модель с централизованным анализом данных об угрозах, то такие данные у них должны быть и они могли бы опровергнуть выводы США о хакерах в погонах, которые врядли будут атаковать и российские крупные и не очень компании и организации.

Исследовательские подразделения есть (заявляются) у многих отечественных ИБ-компаний, в том числе и предлагающих услуги SOC, то есть в теории имеющих опыт, как минимум, расследования инцидентов, а может быть и атрибуции киберугроз. И они тоже молчат. Почему?

Неужели все так боятся написать что-то официальное супротив позиции американских властей, которые могут помешать выйти на и так непростой для российских компаний американский рынок? Бизнес-интересы превыше всего? Ну а почему бы и нет? Вот такие размышления приходят в голову, когда смотришь на информационный фон вокруг Гризлигейта в США и в России. У них про это высказались все кому не лень, а у нас полное молчание (исключая общие фразы, что отчет DHS - полная шняга). Новый Год влияет? Лень? Или все-таки бизнес-интересы?

ЗЫ. Зато рейтинги кибервойск выпускать не боится никто. Благодарная тема. И неопасная. Ну разве что коллеги по цеху назовут это полным бредом. Зато пипл схавает, а имя автора отчета может запомниться, что в свою очередь может позитивно сказаться при выборе решений по ИБ. 

11.01.2017

А ФСТЭК все молчит...

1-го декабря вступили в силу новые правила ФСТЭК, согласно которым, все новые разрабатываемые, производимые и поставляемые межсетевые экраны должны соответствовать новым требованиям ФСТЭК, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. №9.  При этом в информационном сообщении ФСТЭК от 28 апреля 2016 г. N 240/24/1986 "Об утверждении требований к межсетевым экранам" прямо сказано, что "межсетевые экраны, установленные до 1 декабря 2016 г., могут эксплуатироваться без проведения повторной сертификации на соответствие Требованиям". Все бы ничего, но тут мы сталкиваемся с реальностью, которая далеко от того, что думали во ФСТЭК, выпуская свои требования. А реальность такова, что органы по аттестации отказываются аттестовывать системы, в которых используются МСЭ с действующим сертификатом, но выданным по старым требованиям. Мотивируют они это тем, что ввиду отсутствия четкой и явной позиции регулятора рисковать своей лицензией и правом проводить аттестации они не готовы.

Учитывая, что на момент написания этой заметки в России только один МСЭ был сертифицирован по новым требованиям, а денег на покупку новых МСЭ или сертификацию имеющихся никто в бюджет не закладывал, то ситуация складывая тупиковая. И что делать пока непонятно. Я в начале декабря звонил во ФСТЭК с просьбой прокомментировать ситуацию и мне ответили, что волноваться не надо, что соответствующее информационное сообщение готовится и скоро все наладится. Но вот прошло уже почти полтора месяца, а воз и ныне там. 

И судя по активности в социальных сетях многие госорганы и муниципалы уже начинают задавать неприятные вопросы и чуть ли не обвинять регулятора в лоббировании интересов единственного "доверенного" поставщика. Я не настолько наивен, чтобы подозревать такое, но проблема явно требует участия регулятора. И проблема не рассосется сама собой, так как есть немалое количество продуктов, которые производители не планируют повторно сертифицировать по новым требованиям, так они выпустили уже новые версии своих решений и активно продвигают их. Аттестационные компании же выжидают - либо явно отказывая клиентам в аттестации, либо предлагая выдавать аттестат со сроком действия равным сроку действия сертификата на МСЭ, что не устраивает заказчиков, которые не готовы потом повторно платить за аттестацию.

А ФСТЭК все молчит...

Почему американцы винят именно русских в кибератаках на себя?

Процесс Threat Hunting практически всегда начинается с гипотезы о наличии (или, реже, отсутствии) угрозы в анализируемых данных, которую вы, с помощью собранных или собираемых доказательств, должны подтвердить или опровергнуть. В атрибуции, то есть определении того, кто стоит за той или иной угрозой, ситуация аналогичная. Сначала мы высказываем гипотезу о том, кто стоит за той или иной кампанией или инцидентом, а потом пытается это доказать или опровергнуть. И вот если посмотреть на Гризлигейт (так, по аналогии с Уотергейтом, стали называть историю с российскими кибератаками на США), то становится понятно, почему такое разное отношение к опубликованному Министерством национальной безопасности JAR-отчету, а после и к позиции трех спецслужб США, о которых, кстати, мы даже не знаем, на какую целевую аудиторию они были рассчитаны (а это важно).


Когда я первый раз смотрел оба эти документа, то я, пропуская его через призму собственного опыта и размышлений, считал, что это полная фигня, которая ничего не доказывает. Такой вывод по результатам анализа приведенных индикаторов компрометации делается большинством, особенно российских, специалистов. И это нормально. Мы, явно или неявно, не хотим, чтобы нашу страну считали прибежищем хакеров и киберпреступников. Но что, если попробовать дистанцироваться от геополитики и посмотреть на кейс с отчетом DHS с точки зрения специалиста по расследованию инцидентов? Сначала мы должны сформулировать гипотезу, которую будем доказывать или опровергать. У американцев она могла звучать так: "Нас атаковали хакеры из России, за которыми стоит государство в лице ГРУ или ФСБ". А дальше их задача была найти подтверждение этой гипотезе.

Что в итоге легло в основу американской уверенности, что за атаками на демпартию и другие федеральные информационные системы стоят "русские"?
  1. Web shell под названием PAS Tool PHP Web Kit, разработанный в Украине и активно рекламируемый на русскоязычных хакерских форумах. С другой стороны, тот же Роберт Грэм из Errata Security пишет, что этот софт используется сотнями, если не тысячами, хакеров по всему миру.
  2. Вредоносное ПО Xagent, прочно увязываемое с русскими хакерами. Правда, найти его может любой желающий и квалифицированный специалист. Вон, ESET его получила и проанализировала.
  3. Большое количество IP-адресов, принадлежащих российскому оператору связи Yota, который еще и принадлежал бывшему заместителю министра связи, то есть лицу, приближенному к властям. Yota занимает первое место в списке операторов связи, владеющих IP-адресами из списка DHS. Из 876 адресов 44 принадлежит Yota (еще 5 Ростелекому). С другой стороны, если отбросить привязку к операторам связи, то по географической привязке именно в США находится наибольшее число задействованных в атаке "русских" IP-адресов. А 15% всех адресов и вовсе связаны с Tor, то есть любой желающий мог скрыть свою активность за этой анонимной сетью.
  4. Наибольшая активность хакеров происходила в те моменты, когда в Москве было рабочее время. Этот атрибут не упоминается в отчете DHS, но приводился в расследовании CrowdStrike и Mandiant. Я уже не раз писал, что Москва - это еще не вся Россия, а в московском часовом поясе также находится Ирак с Ираном, которые могут иметь зуб на США. Ну а в соседнем часовом поясе находится Турция, Сирия, Ливия, которые тоже не очень расположены к заокеанским "партнерам".
  5. Русскоязычные комментарии, использование сайтов с русскоязычным интерфейсом и файлы, созданные в ОС/ПО с поддержкой русского языка. Также отсутствующий в отчете DHS, но упоминаемый в других исследованиях атрибут. В мире русским языком владеет около 300 миллионов человек, что ставит его на 5-е место по распространенности в мире и на 2-е в Интернет. Родным его считают 160 миллионов человек и не только в России. Так что "русская Винда" могла стоять на компьютере не только в России. Хотя я прекрасно понимаю, что под термином "русский" американцы давно уже понимают всех выходцев из бывшего СССР, в том числе и не являющихся гражданами Российской Федерации.
  6. Они называют себя медведями, а где у нас по улицам ходят медведи и у какой страны медведь чуть ли не национальный герой? Опять все указывает на Россию, хотя те же гризли водятся только в США и нигде больше.
  7. В атаке на демпартию было использовано вредоносное ПО, которое раньше уже было связано с Россией! Зачем же мы будем перепроверять, не ошиблись ли эксперты в прошлый раз?
  8. Эти атаки выгодны именно России. Это, пожалуй, единственный довод, который увязывает "русских" хакеров и российские власти. Ну и что, что Китай раньше атаковал гораздо сильнее и имеются реальные факты и доказательства китайского шпионажа?.. 
  9. Российские СМИ в лице RT и ее главреда Маргариты Симоньян активно поддерживали Трампа во время предвыборной гонки и гнобили демократов. RT у нас канал государственный, значит российские власти поддерживали все, что делалось супротив США; А еще Хиллари Клинтон считает, что за атаками стоит сам Владимир Путин, а у нас нет сомнений в ее честности и правдивости, ведь она была госсекретарем США.
Какой вывод можно сделать по данным фактам? Могла ли Россия стоять за атаками на американские ресурсы? Могла. Стояла ли? Не факт. Кто занимался эксплуатацией IDS или SIEM знает, что у этих систем бывают ложные срабатывания и их бывает немало. Так и с указанным отчетом DHS. Четких доказательств именно "русского следа" до сих пор нет. В совокупности приведенные выше атрибуты вроде как указывают на Россию, что вероятно подтверждает изначально выдвинутую гипотезу, а точнее не опровергает ее.

Есть ли другие кандидаты на место России в данном кейсе? А зачем? США в текущих условиях других врагов (например, Китай) пока называть нет смысла. Поэтому как в мультфильме "Падал прошлогодний снег": "Кто в цари последний? Никого? Тогда я буду первым!" Вот так и с Россией. Никто не опроверг озвученную американцами версию с доказательствами в руках. Даже Россия молчит и, кроме пресс-секретаря нашего Президента и отдельных чиновников МИДа, никак не опровергает представленные факты, просто называя их бредом и измышлениями уходящей на покой администрации.

Есть и еще одна причина, почему американцы в рамках атрибуции обвиняют Россию. Она называется предвзятость. Большинство аналитиков, занимающихся атрибуцией киберугроз, это бывшие военные ВВС США или АНБ, которые во время службы также занимались атрибуцией, но немного в иной сфере. Более того, часто они рассматривали в качестве источника угроз именно Россию, как самого вероятного противника. А после того как они перешлю на гражданку и стали заниматься атрибуцией киберугроз, то... ничего не поменялось. психология восприятия рисков у них осталась той же.

Специалисты из России, которые оперируют тем же отчетом и списком индикаторов, скорее всего, начали бы с иной гипотезы - "Америку атаковали не российские хакеры". И опираясь на эту гипотезу специалисты будут искать доказательства ее правоты, что я, собственно, и попробовал вышел сделать, противопоставляя "фактам" из расследования CrowdStrike, Mandiant, DHS контраргументы. В современном Интернет найти доказательства правоты обеих сторон не сложно. Особенно если оперировать только IP-адресами и не подниматься на уровень TTP.


После выхода совместного доклада трех американских спецслужб ситуация явно не улучшилась. Там еще меньше доказательств "русского следа" и много жалоб на RT и ее главреда за то, что они якобы не любят американских демократов и, наоборот, превозносят Трампа, что, как это понятно всем умным людям, доказывает влияние России на американские выборы и работу российских хакеров. Правда, после истории с якобы имеющими доказательствами наличия химического оружия в Ираке верить на слово отчетам американской разведки уже как-то и некомильфо. Как, собственно, и в ссылки на якобы имеющиеся в секретном (третьем) докладе для узкого круга лиц, доказательства. Достаточно вспомнить истории с отравлением Литвиненко, сбитым MH17, взломом Sony Pictures, арестом Хансена или нелегалов "во главе" с Анной Чапман и т.п. делами, в которых секретность не сильно мешала выкладывать гораздо больше доказательств (пусть и местами спорных), чем в текущем деле. А ведь те кейсы имели зачастую гораздо более серьезные последствия, чем атаки на несколько серверов.

А вот если дистанцироваться от геополитики и отбросить в сторону всю эту шумиху вокруг отношений России и США, то отчет DHS вполне неплох, так как содержит немалое количество индикаторов компрометации, которые действительно характеризуют вредоносную активность (и не так важно, кто за ней стоит). Поэтому, если уж извлекать из этого кейса пользу, то путем внесения соответствующих правил в сетевые средства ИБ (те же МСЭ или IPS) или SIEM для обнаружения атак на вас.

ЗЫ. Кстати, теперь использование и Xagent и PAS будет однозначно указывать на русский след. Замечательный подарок США всему хакерскому сообществу, которое теперь может спокойно маскироваться под ГРУ или ФСБ :-)

10.01.2017

Новости ИБ за новогодние праздники (остальное)

Продолжаем начатую прошлой заметкой тему с ИБ-событиями, произошедшими за новогодние праздники. К ним, помимо Гризлигейта, я бы еще отнес:
  • 31 декабря Вашингтон-пост опубликовала статью о взломе российскими хакерами электросети в Вермонте. Потом, правда, оказалось, что взломанный компьютер не был подключен к электросети, а русский след отсутствовал, но американские СМИ успели подхватить столь лакомую идею об очередном доказательстве путинских кибератак. Это заставило Вашингтон-пост модифицировать свою статью и написать небольшое опровержение, но осадочек остался.
  • Литва сообщила о нахождении на государственных компьютерах шпионского ПО из России (доказательств не представлено).
  • Американский журналист Джейсон Леопольд и сотрудник MIT Райан Шапиро в соответствии с законом о свободе информации направили запрос американским спецслужбам с целью получить доказательства русского следа в кибератаках во время выборной кампании. Вопросы достаточно конкретные, но ответа на них пока дано не было, что может привести Леопольда и Шапиро к обращению в суд.
  • CrowdStrike опять продемонстрировали свою "экспертизу" по части атрибуции киберугроз. В конце декабря они опубликовали отчет по "артиллерийскому троянцу", который был разработан ГРУ, который сливал данные о местоположении артиллерии Вооруженных сил Украины в российское МинОбороны, благодаря чему ВСУ потеряли до 50% своей артиллерии. Исследование CrowdStrike быстро было подвергнуто критике (например, тут). Несмотря на ранние заявления о том, что троянец передавал координаты артиллерийских установок российским военным, в итоге сама CrowdStrike признает, что доказательств этому нет. И модуля GPS в трояне нет; да и сама подменяемая программа для расчета артиллерийских таблиц непонятно с какого боку привязана к Вооруженным Силам Украины (обратите внимание, на этот вопрос следует ответ, что программа размещается на украинских сайтах для распространения софта). Да и про 50% потерь уже тоже ни слова. Министерство Обороны Украины опровергло "сенсацию" от CrowdStrike.
  • За последние два месяца ушедшего високосного года Украина, по словам ее Президента, 6500 раз подвергалась кибератакам со стороны России. В ответ на данные недружественные акты Украина обновила свою Доктрину информационной безопасности, а также приняла ряд решений в части защиты своей критической инфраструктуры. Об этом было сообщено 29-го декабря на заседании Национального совета по национальной безопасности и обороне Украины.
  • В Сети появилось фото, на котором Папа Римский Франциск использует планшетник с заклеенной камерой.
  • Евразийский экономический союз (ЕАЭС) планирует создать единое цифровое пространство, в том числе и со своей собственной криптографией. 
  • В США все активнее заговорили о необходимости государственного регулирования кибербезопасности Интернета вещей. Надо сказать, что Россия тоже движется в том же направлении. Про ИБ IoT, правда, речи пока нет, но вот идея государственного контроля промышленного и консьюмерского Интернета вещей озвучивалась уже неоднократно, а в ноябре даже была создана соответствующая ассоциация.
  • Роскомнадзор стал активно блокировать анонимайзеры в сети Интернет.
  • В Сети появился шифровальщик Koolova, который возвращает доступ над зашифрованными файлами при одном условии - жертва должна прочитать две статьи по кибербезопасности. Достаточно интересная тактика, которая скорее отражает изощренное чувство юмора у автора вредоносного ПО. Ранее в декабре появился шифровальщик Popcorn Times, который присылал ключи для расшифрования, если жертва заражала еще нескольких человек, создавая тем самым пирамиду.
  • NetGear, который в последнее время часто попадает в ленты новостей с негативным окрасом от своей деятельности на ниве кибербезопасности, запустила программу Bug Bounty.
  • Опять взломали сайт ФБР.
  • НАТО будет спонсировать украинскую военную программу кибербезопасности.
  • Чехия планирует перестроить свое киберкомандование и увеличить его численность в 10 раз - с 42 до 400 человек к 2025-му году.
  • Американские военные нашли штаб-квартиру хакерского подразделения Китайской Народной Армии. Она располагалась в двух пекинских отелях.
  • В Казахстане утверждены новые требования по ИБ, обязательные для госорганов. Документ достаточно высокоуровневый и сильно отличается от отечественного 17-го приказа. НО зато там упомянуты и управление активами, и управление рисками, и контроль за правомерностью использования ПО, и обязанность проводить внешний и внутренний аудит, и требования к разработке ПО, и многое другое.
  • На 2017-й год прогнозируется около одного миллиона открытых вакансий по кибербезопасности.
  • Энергосети Турции подверглись атакам хакеров из... США, а не России.
  • Германия подозревает, что за кибератаками на ОБСЕ стоят те же хакеры, что и за последними атаками на США, то есть русские. 
  • США признали свою избирательную систему критической инфраструктурой. У нас ГАС "Выборы" таковой считалась еще с середины прошлого десятилетия.
Вот такое "очко" в виде подборки из 21 новогодних новостей. В этом году праздники прошли очень уж активно.

09.01.2017

Новости по ИБ за новогодние праздники (Гризлигейт)

По традиции выкладываю список событий, имеющих отношение к ИБ и произошедших за новогодние праздники и пару дней, им предшествующих, дабы те, кто уходил в отпуск и просто хорошо отдохнул смогли быстро понять, не пропустили ли они что-нибудь важное.

На первое место я бы поместил событие, которое даже достойно отдельной заметки. Речь идет о введенных против России очередных санкций США в ответ на якобы имевшие место хакерские атаки. В список SDN были включены 4 руководителя ГРУ, 2 уже объявленных (тут и тут) несколько лет назад в международный розыск киберпреступника (единственные "русские" в списке самых разыскиваемых киберпреступников по версии ФБР), а также ФСБ, ГРУ и три компании, оказывающих услуги (по версии США) для российских спецслужб.


Список SDN - самый жесткий из всех "черных списков США". Попасть в него означает лишиться возможности ездить в США (хотя врядли руководство ГРУ туда ездит официально), а также вести любой бизнес с американскими компаниями. Хорошо еще, что список компаний, попавших под санкции, небольшой. У нас любая хоть что-то делающая фирма в области ИБ сотрудничает со спецслужбами и выполняет для них те или иные исследования, работы и контракты. И что, теперь каждую из них обвинять в работе на спецслужбы? Ну такое могут себе позволить только люди, изучающие рынок ИБ по заголовкам желтой прессы, но не специалисты. И вообще, почему в указе Обамы были объединены дипломаты, киберпреступники, давно разыскиваемые ФБР за финансовое мошенничество, и компании, "связанные" со спецслужбами России?

В указе уходящего с поста Президента США Обамы есть ссылка на аналитический отчет JAR, в котором, якобы, представлены доказательства "русского следа". Он странный с точки зрения специалиста. В нем нет доказательств именно "русского" следа. Да, там есть некоторые хеши вредоносных программ. Да, там куча IP-адресов, с которых осуществлялись атаки (на GitHub это все есть в более читабельном варианте). Почему-то эти адреса разбросаны по всему миру (хотя и российские там тоже есть), а часть их них и вовсе принадлежит сети Tor.


Но где нормальная атрибуция? А нет ее, что вызвало закономерную реакцию большого числа ИБ-экспертов, включая и американских. Тот же самый Роберт Ли, медиа-ИБ-персона, активно комментирующая различные инциденты по ИБ, признает, что доказательств именно русского следа в отчете JAR нет. А уж Роберта сложно заподозрить в любви к России - раньше он постоянно приписывал нам атаки на украинскую энергосистему и не только. Но потом поостыл и стал более осторожен в оценках, В частности, на прошедшем 6-го января вебинаре, где он разбирал ситуацию с атаками на демпартию и отчет DHS, он высказался вполне определенно - российская атрибуция достаточно слабая.


По мне, так в отчете американских спецслужб смешаны в кучу все последние крупные или нераскрытые инциденты, которые теперь приписываются российским спецслужбам. Даже недавно мной упомянутый Havex, теперь считается "русским".


На прошедшем 5-го января заседании сенатского комитета по вооруженным силам объединенные разведсилы США прямо назвали высшее руководство России стоящим за последними кибератаками. Осталось только дождаться публикации к 20-му января более полной версии отчета, о которой уже открыто говорят официальные лица. Опубликованная 6-го января аналитическая записка демонстрирует влияние России на выборы в США и вроде как доказывает причастность нашей страны к атакам, но... Доказательств там практически нет - просто давят на логику "А кто, если не Россия?" и сильно ругаются на RT и ее главного редактора Маргариту Симоньян. Но если отложить в сторону геополитическую составляющую и посмотреть серьезно на представленные на данный момент доказательства, то мы увидим, что они все находятся в нижней части так называмой "пирамиды боли" (The Pyramid of Pain), предложенной Дэвидом Бьянко из Mandiant. Эти индикаторы (IP и хеши) проще всего обнаружить и проще все использовать.


Американские специалисты и не заморачивались особо. Кстати, у той же FireEye (а Mandiant, известная своими исследованиями "русских хакеров", была куплена FireEye три года назад) в качестве одной из сигнатур атак используется вот такая последовательность:


Могу выдвинуть версию о столь слабой проработке аналитического отчета JAR - это PR частных ИБ-компаний, желающих сделать себе имя и получить доступ к бюджетам государевых структур (а он в части кибербезопасности немалый). И первым кандидатом тут является CrowdStrike, которая одной из первых (помимо Mandiant/FireEye) стала "кричать" о русском следе и приводить доказательства, не выдерживающие серьезной критики. А потом выясняется, что CrowdStrike - одна из немногих ИБ-компаний, участвующая в комиссии по развитию кибербезопасности при Белом Доме США. Получается, что американские спецслужбы просто доверились данным CrowdStrike о "русской киберугрозе" и не стали их перепроверять, а теперь пытаются сохранить лицо? Надо заметить, что и в России есть такие компании, которые много кричат об "американской угрозе", но никаких (даже в стиле CrowdStrike) доказательств не приводят.

А еще есть версия, что таким "детским" отчетом американские спецслужбы хотят заставить своих оппонентов думать, что они ничего не могут. Это как в истории со Сноуденом, которого некоторые эксперты рассматривают как пример стратегии киберсдерживания, которую используют США. Ну и конечно же вполне возможна версия, что это просто отписка уходящей администрации, которой дали задание "сделять бяку Путину". Ну и американские официальные лица решили перед Рождеством не сильно напрягаться и сварганили нечто, что должно было выглядеть как результат усилий одних из лучших (как все думают) спецслужб мира. Чиновники разных стран одинаковы и думают, что "пипл схавает" и что на фоне патриотической риторики ("русские атакуют") свои собственные эксперты не будут придираться к мелочам. Ан нет, придрались (например, тут или тут).


В середине прошлой недели было озвучено, что опубликована была неполная версия доказательств, а их публичный вариант. Оставшиеся две версии содержат более серьезные доказательства, которые, возможно, американские спецслужбы не хотят раскрывать, боясь сдать свои источники информации и методы ее добычи. Что опять же не является чем-то странным - спецслужбы многих стран, включая и Россию, не любят светить свои методы работы. Есть западные эксперты, которые поддерживают эту версию. Они попытаются повторить ход мыслей американских спецслужб, которые на базе опубликованных индикаторов компрометации делают вывод о "русском следе". По их версии получается, что большая часть IP-адресов принадлежит российскому оператору связи Yota, который, как известно, принадлежал бывшему заместителю министра связи Денису Свердлову, что может означать близость Yota российским властям. А значит дыма без огня не бывает... Ну тоже версия, ничего не скажешь. Как и версия с французским следом (многие IP-адреса в IoC принадлежат провайдеру французскому OVH). Правда, одной из причин ухода Свердлова с гражданской службы явилось наличие у его супруги собственности во... Франции :-)

Кстати, в СМИ часто обвиняют американские спецслужбы, которые не смогли предотвратить атаки "русских" хакеров на государственные информационные системы США. Но причем тут они? Разве они занимались защитой WADA или сайта Демпартии? Нет. Как и во многих странах мира. Как и в России. Они вырабатывают требования по безопасности и они могли участвовать в расследовании. Но если у жертв не был поставлен процесс сбора данных для последующего расследования, то даже именитые спецслужбы тут ничего поделать не могли. И они также бессильны, если у пострадавших не было никакой системы защиты. На самом же деле американские спецслужбы даже в расследовании взлома Демпартии не участвовали, как утверждают ее представители, чьи сервера пострадали одними из первых. За прошедшие с момента взлома полгода со стороны спецслужб так и не возникло желания ознакомиться со взломанными серверами и ФБР/ЦРУ положились на данные CrowdStrike, которая якобы и провела расследование.

Задам риторический вопрос - почему спецслужбы не проводили такого расследования и просто обвинили Россию во взломе и вмешательстве в выборы США, за чем и последовали последние в деятельности Обамы на посту президента санкции? И почему в отчете спецслужб, в самом его начале, написано, что он выпускается по принципу "как есть" и Министерство национальной безопасности (DHS) не дает никаких гарантий относительно приведенной в отчете информации? В чем тогда ценность отчета, если за него никто не несет ответственности?

А вот что мне в отчете спецслужб понравилось, так это раздел с рекомендациями, что делать и как противостоять будущим атакам "русских" хакеров. То есть не просто "ой, ужас, ужас", а еще и конкретные первоочередные меры по нейтрализации этого ужаса для тех, кто не читал NISTовскую специальную серию публикаций по кибербезопасности.

ЗЫ. Вот тут дан неплохой взгляд на якобы русские кибератаки с точки зрения международного права.

ЗЗЫ. Остальные новогодние новости я рассмотрю в следующей заметке.

31.12.2016

С наступающим Новым годом!

Я все думал, писать или не писать, эту, финальную в уходящем году, заметку. Вроде бы и впечатлениями от прошедшего года поделился, и прогнозы сформулировал. Что еще надо? На видеопоздравление, как в прошлом году, меня в этот раз не хватило - слишком насыщенным был конец года и времени на запись и монтаж не осталось. Но все-таки просто так я не оставлю блог и сформулирую нечто, что можно назвать поздравлением и личным подведением итогов.

Несмотря на пожелание самому себе поменьше ездить в командировки, я не смог его исполнить - перелетов было много, что в итоге и привело к попаданию в ноябре в больницу. Это 12 лет назад, когда я пришел в Cisco, я мог спокойно выдерживать по 8 перелетов каждый месяц в течение года и чувствовал себя бодрядчком. Сегодня уже все по-другому. Здоровье уже не то, что 20, и даже 10 лет назад. Начинаешь ценить жизнь во всех ее проявлениях и особенно время, проводимое с семьей. Как правильно было где-то сказано, для работы есть вся жизнь, а детство детей бывает только один раз и упускать это время неправильно. Как бы мне не нравилось то, чем я занимаюсь и то, что можно было бы назвать японским "икигай".

Поэтому в новом году буду более пристально смотреть на то, куда и зачем я буду летать. Все мероприятия не посетишь и всем всего не расскажешь. Три года назад я сформулировал для себя критерии посещения мероприятий по ИБ и я им следовал, но теперь буду более пристально смотреть на все приглашения.

Уходящий год был насыщенным и на мероприятия, и на новые впечатления, и на новые знания. Особо отметить хотел бы последнее. Учиться никогда не поздно, а в нашей профессии - это просто одно из условий выживания. Надеюсь, что продолжу это делать и в следующем году - уже составил для себя список и курсов, и мероприятий, и областей знаний, которые хочу изучить глубже и более подробно.

Продолжу общественную деятельность в виде участия в рязличных рабочих группах, занимающихся разработкой или экспертизой нормативных документов. Вспоминаю давний спор с покойным Володей Гайковичем на тему участия в рабочих группах ФСТЭК по разработке 17/21-го приказов. Он тогда удивлялся, почему эксперты вообще тратят свое личное время на работу, которая мало кем будет оценена. Отрасль все равно найдет, за что ругать новые документы. Регуляторы считают это само собой разумеющимся. А есть еще и организации, которым платят за то, что эксперты рабочих групп делают бесплатно ради того, чтобы сделать мир лучше, как бы пафосно это не звучало. Поэтому полученная благодарность от Совета Безопасности для меня была удивительна (особенно после того, что я про них писал) и ценна. Достаточно часто участвуя в различных рабочих группах по экспертизе или разработке НПА по ИБ, могу сказать, что это большая редкость, когда тебя так благодарят за проделанную работу. Спасибо на словах могут сказать, а вот что-то большее?.. Этого по большому счету и не припомню, кроме благодарности министра внутренних дел и диплома Ассоциации российских банков.


Завершу работу над книгой (если получится, то над двумя), которая началась достаточно давно, но все не могу выкроить время для финального редактирования. Все время думаю, как я мог найти время на то, чтобы в 2001-м году выпустить "Обнаружение атак"?.. :-) Но в этом году все-таки закрою для себя этот вопрос. Надеюсь, новая книга будет не только интересной, но и полезной для читателя. Пока не буду раскрывать тему, скоро все станет известно.

Геополитические разборки докатились и до меня. Все чаще стали обвинять в работе на американское правительство и в продажности потенциальному врагу. Ну что тут сказать?.. Опускаться на уровень оппонентов, утверждающих это, значит проиграть им, а доказывать что они не правы?.. Зачем? Я уже вышел из того возраста, когда должен кому-то что-то доказывать. Я занимаюсь любимым делом и продолжу им заниматься, несмотря на пустые заявления ряда людей, с которыми иногда даже и не знаком лично.

Неприятно удивила реакция людей, которых я считал, если не друзьями, то близкими товарищами. Сначала тебя без объяснения причин банят в Фейсбуке, потом там же поливают грязью, потом просятся в друзья, а потом опять банят. Не понимаю я такого поведения. Если что-то не нравится, то скажи прямо (пусть и не в лицо, но хотя бы в чате). Ну да ладно. Переживем и это.

Но что-то я все о своем, да о своем. Пора перейти и к пожеланиям. Пусть новый год будет безопасным! Во всех смыслах. Пусть у нас у всех будет безопасное будущее. Пусть наши дети и родители будут защищены и здоровы. Пусть наше собственное здоровье будет позволять нам делать все, что мы задумали. Пусть наша работа будет интересной и полезной для окружающих, а они в свою очередь ценят наш труд! Пусть геополитические баталии не выйдут за пределы разговоров, а лучше и на этом уровне сойдут на нет. Пусть сложностей и неопределенностей будет поменьше (все-таки 2017 - число простое). Пусть у нас всегда будет оставаться время на изучение чего-то нового. И пусть мы не будем забывать помогать ближним - словом или делом. С наступающим Новым годом! Счастья всем! До встреч в новом году!

27.12.2016

Прогнозы на год крадущегося лиса (если вы патриот) или огненного петуха (если вы китаефил)

По традиции решил поделиться своими прогнозами на грядущий год, который будет годом крадущегося лиса по славянскому, или годом огненного петуха по китайскому календарю. Но сначала вспомним, что я прогнозировал на этот год и что из этого сбылось:
  • Деятельность Интернет-советника - сбылось
  • Сворачивание политических свобод и прав граждан - сбылось
  • Активность по законопроекту по безопасности критической инфраструктуры - не сбылось
  • Доктрина ИБ - сбылось
  • Гособлако - 50/50
  • Административная реформа - 50/50
  • Усиление требование по ИБ в финансовых учреждениях - сбылось
  • Развитие ГосСОПКИ - сбылось
  • Новые требования 8-го Центра по СКЗИ - сбылось
  • Развитие импортозапрещения и отсутствие российских инноваций - сбылось
  • Обвинения России в кибератаках - сбылось
  • Внедрение китайских продуктов в отечественную информатизацию госорганов - сбылось
  • Блокчейн - сбылось
  • Нестабильность рынка - 50/50.

10 из 14 сбылось, одно не сбылось, остальные сбылись/не сбылись частично.

Попробую спрогнозировать ключевые изменения в 2017-м году, добавив к вышеприведенному списку (это ведь долгоиграющие тенденции) кое-что новое. Если углубляться в технические прогнозы, то я их описывал в презентации, которую готовил для одной очень крупной организации совсем недавно, а некоторые законодательные тренды я описал в статье для "ИТ-менеджер". Поэтому попробую коротко описать, что нас ждет и что не было описано по упомянутым ссылкам:
  1. Локализация ПДн. Роскомнадзор последние пару лет малость поумерил пыл в части персональных данных, сосредоточившись на ограничениях в Интернет. И только в конце года Роскомнадзор решил показать свою силу, заблокировав LinkedIn на территории России за нарушение ФЗ-242 о локализации ПДн россиян. Думаю, что в следующем году (если не будет серьезных геополитических подвижек) Роскомнадзор проведет еще несколько публичных "порок" (предположу, что Google будет одним из первых в списке).
  2. GDPR. Это тоже про персданные, но про европейские правила, которые были приняты в 2016-м году и которые вступят в силу с 2018-го года. С одной стороны Россия является стороной Европейской конвенции, во исполнение которой и выработана новая Директива (GDPR), с другой - мы не обязаны выполнять требования самой Директивы, она распространяется только на страны Европы. С третьей стороны, еще только когда начиналась в 2012-м году тема с GDPR, прежнее руководство Роскомнадзора заявляло о том, что ФЗ-152 будет гармонизироваться с новыми европейскими правилами. Текущее руководство РКН пока не высказывалось на эту тему. Может быть ждут сигнала? А может готовят поправки в тишине?
  3. Туманные перспективы ФСТЭК. Еще некоторое время назад я был достаточно оптимистичен относительно методологической и нормотворческой деятельности ФСТЭК, но после повышения Виталия Лютикова прогнозировать уже что-то сложно. В принципе есть надежда на выпуск РД по ОС и СУБД, а также принятие новой редакции 17-го приказа (если поправки в ФЗ-149 примут). По остальным документам делать прогнозы больше не буду - их принятие уже переносилось несколько раз.
  4. Критическая инфраструктура. Тут речь не только о законопроекте по безопасности КИИ, но и о законопроекте, который ужесточит требования к сетям связи и, например, потребует от владельцев статических адресов и автономных систем регистрировать их в специальном реестре. По части же законопроекта по безопасности КИИ подождем - думаю по результатам 2-го чтения наступит ясность, в каком направлении будет двигаться данная тема. Но даже если законопроект примут оперативно (к весне 2017-го года), то на принятие всех остальных запланированных НПА уйдет еще не меньше года и какая-то конкретная деятельность начнется только в 2018-м году.
  5. Отсутствие инноваций у отечественных разработчиков. И хотелось бы сделать иной вывод, но пока чего-то интересного у нас нет :-( По крайней мере по сравнению с выставкой RSA или InfoSecurity Europe и на фоне активного импортозамещения, которое развивается в отсутствии того, чем можно замещать иностранные средства защиты.
  6. Трамп. Вот это реально сложно предсказуемая тенденция, которая может повернуться к нам любой стороной. Вроде как Трамп благосклонно относится к Путину и России и 2017-й год может ознаменоваться отменой санкций (как минимум со стороны США, а затем и, возможно, Европы, Австралии и Японии). С другой стороны Президент США не является такой уж и самостоятельной фигурой - за ним стоят влиятельные круги, которые могут и не захотеть отмены ограничений, введенных против России. С третьей стороны, Трамп совершенно непредсказуем в своих действиях, чтобы что-то прогнозировать :-)
  7. Обвинения хакеров. Ими будут опрадывать любые провалы в экономике, внутренней и внешней политике. Обвинять, вероятнее всего, будут хакеров российских. И основные обвинения будут идти со стороны Европы, которую ждут новые выборы. Некоторые "эксперты" после победы Трампа предсказывали, что американцы забудут про атаки со стороны российских хакеров и переключатся вновь на китайцев, но увы и ах, все не только осталось по-прежнему, но активность обвинителей даже возросла. Думаю, что после инаугурации Трампа ситуация чуть поутихнет в части российской атрибуции, но США будут еще долго припоминать "русский" след в своих выборах.
  8. Рост активности программ-вымогателей. Он будет продолжаться. Все :-)
  9. Рост TTD. Это комплексный тренд, который включает в себе и появление новых видов угроз, и их усложнение, и снижение квалификации и числа специалистов по ИБ, и рост желающих примкнуть к "темной стороне", и отсутствие нормальной интеграции между разрозненными средствами защиты. Все это приводит к увеличению времени обнаружения (Time-to-Detect) вредоносной активности.
  10. От Internet of Things к Internet of Threats. А это давно предсказанное следствие (я про него еще 2-3 года назад писал) "гонки вооружений" на рынке Интернета вещей, когда производители в погоне за долей рынка выпускают абсолютно незащищенные и уязвимые устройства, наполняющие Интернет и приводящие к росту числа атак на них и через них.
  11. Принцип Питера. Рост безграмотных заявлений от чиновников или бизнесменов, дорвавшихся до власти, будет расти. Но тут уж ничего не поделаешь. Интернет и кибербезопасность становятся важной частью нашей жизни; поэтому число желающих присосаться к этой теме будет только возрастать.
  12. Влияние Сбербанка. Видя как Сбербанк "пылесосит" кадры на рынке ИБ в России и какие планы озвучивает его руководство, могу предположить, что (если Грефа не переманят на роль премьер-министра под новые президентские выборы) "зеленый банк" еще заявит о себе в 2017-м году различными интересными инициативами, которые повлияют как минимум на финансовую отрасль, а возможно и на смежные сферы.
  13. Обязательная сертификация средств защиты. Об этом заявляют многие регуляторы. ФСБ на этой позиции стоит с момента возникновения темы сертификации СКЗИ. ФСТЭК первоначально ее тоже придерживалась, потом пошла на попятную (для коммерческих структур), но сейчас требования вновь усиливаются. И даже ЦБ, который всегда отстаивал позицию, что банки могут не использовать сертифицированные средства защиты недавно (в декабре) попробовал внести эту норму в новый ГОСТ с базовыми требованиями по защите информации, который придет на смену СТО БР ИББС. Вроде как пока удалось отстоять стандартную формулировку про "средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании". Но тенденция настораживает; особенно в условиях нехватки достаточного количества испытательных лабораторий, специалистов и квалификации у них для проведения проверок в рамках изменяющегося законодательства по сертификации, которое не очень сильно продвинулось вперед с начала 90-х годов, когда оно и появилось.
  14. Ужесточение требований по ИБ со стороны государства. А это общая тенденция, которая наметилась еще в 2014-м году и которая продолжается и по сей день и, думаю, не замедлится в 2017-м году.
Думаю на числе 14 я остановлюсь. Возможно, что-то и осталось за рамками заметки, но это те тенденции, которые вижу именно я, и которые приходят в голову, если не сильно задумываться и не заниматься высасыванием из пальца.  Посмотрим, что из этого сбудется в год крадущегося лиса.