29.9.07

Безопасность электронных платежей

Достаточно интересно наблюдать за тем, как растет интерес к мобильным платежам. Сегодня я выступал на конференции "e-5: e-banking, e-trading, e-insurance, e-commerce, e-funding" (http://e-5.abcforum.ru/). Рассказывал про стратегию защиты онлайн-транзакций. Через пару недель мне выступать на форуме "e-Payment 2007: электронные платежи в России" (http://www.globalforumfactory.com/ePay). Тема - про безопасность клиентов электронных платежей, Identity, защиту от краж ID и т.д.

В мае с разницой в один день я выступал на ИТАР-ТАССовском семинаре "Зазвонит ли мобильник звонкой монетой?" в рамках выставки "e-Finance Russia" и еще на конференции "Мобильная коммерция и платежи" (http://www.infor-media.ru/informedia-russia/client/index.aspx?id=conference&sub=introduction&confID=255). На них я рассказывал про безопасность мобильных платежей.

4 конференции за 5 месяцев... что лишний раз говорит о том, что эта тема все больше и больше набирает обороты. Только вот с безопасностью там не все так хорошо. Вопросы, которые мне обычно задают на таких конференциях и семинарах лишний раз демонстрируют это ;-(

28.9.07

Воскрешение страхования информационных рисков

Выступал сегодня (еще сегодня ;-) на конференции "e-5: e-banking, e-trading, e-insurance, e-commerce, e-funding" (http://e-5.abcforum.ru/). Вещал про стратегию защиты онлайн-транзакций. А после мены выступал представитель Ингостраха с темой страхования информационных рисков. Я уж думал, что она совсем загнулась, а тут опять. Причем в рассказе Ингосстраха прозвучало несколько занятных вещей, о которых я и хотел бы рассказать.

1. Под страхованием информационных рисков страховая компания воспринимает защиту, в основном, материальных активов - оборудования, ПО, баз данных и т.д. Страхуются они... или по балансовой стоимости или по некоему лимиту, например, на восстановление информации. Отсюда, кстати, вытекает отказ от страхования нелицензионного софта.

2. На вопрос, а как страховать утечку базы, когда сама СУБД не пострадала, но нанесен ущерб репутации, есть снижение курсовой стоимости акций или был отказ от каких-либо контрактов вследствие такой утечки. Во всех этих случаях Ингострах отказывается страховать информационные риски. Либо пытается их перевести в совершенно иные риски.

3. Сюрвей, как и расследование наступления страхового случая проводится иностранными компаниями. Это сильно отличается от того, что говорилось еще 3-4 года назад. Тогда в качестве сюрвейеров выбирались российские специализированные ИБ-компании. Что меня удивило, так это срок проведения сюрвея - 2-3 дня. Причем его проводить один человек и только путем устных бесед с руководителями ключевых отделов. Как за это время можно оценить риски, мне не совсем понятно. Также возникает вопрос с подтверждением страхового случая. В ОСАГО - это делает МВД, в медстраховке - поликлиника или больница. В ИБ это по идее должен делать уполномоченный госорган, которого у нас пока нет (и не факт, что появится в обозримом будущем). Что касается компании, которая принимает решение о наступлении страхового случая, то она должна удовлетворять все стороны.

Вот собственно и все. С таким подходом этот рынок будет о-о-о-чень долго развиваться. Особенно учитывая отношение страховых компаний. На вопрос представителю Ингостраха, а не планируют ли они выходить на правительство с инициативой развития этого сегмента, страховая компания ответила, что нет ;-( Какой тогда смысл выступать и рассказывать про такой страховой продукт мне не совсем понятно?

ЗЫ. Ни одного страхового случая в истории Ингостраха так и не наступило по данным его предстаителя.

InfoSecurity Russia 2007

Собственно написать меня это и именно сейчас сподвигло 2 факта: участие в InfoSecurity Russia 2007 и пост ArcanoiD'а в своем ЖЖ (http://arkanoid.livejournal.com/184921.html) про посещение им этой выставки. Он, правда, стал развивать тему аудита; я же хочу поговорить именно о выставке. Разделить рассказ хочу на 2 части: про организацию и про контент.

Организация... Уже четвертый год выставка, совмещенная с конференией проходит в России... и все 4 года я сталкиваюсь с жуткими накладками в организации процесса. В прошлом году мы из-за этого и не участвовали, надеясь, что организаторы извлекут уроки. Извлекли, что называется... Не буду говорить про негатив со стороны тех, кто строит стенды на выставке, коснусь только нас. Мы не стали в этом году строить стенд, а организовать собственное мероприятие в рамках InfoSecurity, справедливо полагая, что это будет дешевле (и так оно и оказалось) и эффективнее (слушать будут только нас и мы готовы будем отвечать за контент). Отсутствие стенда решили компенсировать установкой двух рекламных стендов на двух входах и раздачей программы нашего мероприятия при регистрации. Ну и конечно собственные приглашения через http://my.cisco.ru и новостную рассылку. В итоге стенд повесили только у одного входа. На вопрос "Какого...?" организаторы заявили, как в советские времени: "Мы заключили договор с ЭкспоЦентром. У нас есть все бумаги. Они должны были все сделать. Мы не виноваты". Программу ни одни из моих знакомых, бывших на выставке, так и не получил ;-( Про остальные накладки в виде сломавшегося проектора, отсутстия микрофонов, отсутствия бейджа и т.д. я даже упоминать не буду. Апогеем можно считать отказ охраны пропустить на выставку г-на Матюхина (глава Росинформтехнологий, бывший глава ФАПСИ). Причина проста - он не зарегистрировался ;-)

Вторая составляющая - контент... Ну что тут сказать. Если не считать, про снятые без предупреждения доклады, ничего нового, кроме того, что я уже писал в http://lukatsky.blogspot.com/2007/08/blog-post_1921.html, сказать мне нечего ;-( На выставке тоже ничего нового не было. Ну если не считать полного ребрендинга Positive Technologies и выступления Диалог-Науки в новом качестве - интегратора безопасности, а не просто поставщика Dr.Web.

ЗЫ. Честно говоря, желание участвовать в InfoSecurity следующем году у меня пропало напрочь ;-(

ISO 27001 в России: модно и бессмысленно

Ну вот Cnews и опубликовал мое очередное творение на тему ISO 27001. Заранее хочу предупредить, что данная статья писалась не как критика самого стандарта. Он хорош и правилен. Вопрос только в его применимости в России. Причем правильной применимости. Не ставя под сомнение его нужность, просто хочу выделить некоторые "болевые точки", на которые надо обращать внимание при его внедрении или при желании его внедрить. Повторяя заключение к статье: "Несмотря на достаточно длинную историю, стандарт ISO 27001 пока так и не превратился в России из отвлеченной теории в успешную практику. Необходимо время. Для потребителей. Для консультантов. Для регуляторов. А пока… Не хотелось бы столкнуться с ситуацией, когда управление ИБ (и сертификация этого процесса) у нас будет осуществляться формально, как в большинстве случаев с ISO 9001:2000. Это дискредитирует саму идею сертификации безопасности".

Читать: http://www.cnews.ru/reviews/index.shtml?2007/09/28/268177

24.9.07

Мисс Безопасность 2007

И вот настал момент очередного конкурса "Мисс Безопасность 2007". Желающие могут оценить претенденток, заявить свои кандидатуры, ну и вообще... порадовать глаз. Сайт - http://miss.securityday.ru/

ЗЫ. Хотя претендентки к безопасности имеют опосредованное отношение. Например, вот, что входит в послужной список одной из кандидаток (синтаксис и орфография сохранены):
1. Организация делового ужина в одном из ресторанов Нью-Йорка находящийся на крыше небоскреба.
2. Организация корпоративной недели отдыха на Н. Зеландии.
3. Самая красивая снегурочка для детей компании на протяжении ни одного года.

20.9.07

Троян на сайте издательства

Опасно стало ходить по Интернету. Недавно на сайте ЛАН Крипто сидел троянец. У меня его и антивирус и Cisco Security Agent засек. Сайт именитой компании по безопасности, а все же... Сегодня тоже инцидентик. Ищу издательство для своей новой книжки (таки решил ее дописать ;-) Прошелся по сайтам издательств. И вот на одном (издательство "Бином") меня попытались подцепить на крючок. Троянец решил поселиться на моей машинке. Что интересно антивирус его не отловил ;-( Сработал только Cisco Security Agent. Лишний раз убеждаюсь, что сигнатурный подход становится все менее и менее эффективным.

Средство против спама рекламируется с помощью спама

Уже не раз я в разных выступлениях говорил о том, что в предверие вступления России в ВТО к нам ринутся все больше новых игроков рынка ИБ. Если раньше в России были представлены в-основном крупные производители, то сейчас начинается второй приход, уже из мелких игроков информационной безопасности. И вот сейчас, перед выставкой InfoSecurity Russia 2007, число таких попыток только возрастает.

Что характерно, эти компании очень легко вычисляются. Во-первых, они используют не всегда красивые методы для достижения своей цели. А во-вторых, они не знакомы с русским языком ;-)

Например, сегодня я получил спам от одной компании, которая предлагает решения по защите... от спама ;-) Безусловно интересный способ продвижения своей продукции. А уж русский язык в присланном сообщении просто поражает:
- ...до получения содержания сообщения
- ...контролирует осуществление политики серфинга
- ...дополнительный уровень проверки оптимизирует потребление трафика и снижает ответственность
- ... во всех аспектах электронной почты
- ...самоподдерживаемое решение.

Учитывая рост числа таких компаний в Европе и США, можно предположить, что скоро в Россию хлынет целый поток таких "лидеров в обеспечении безопасности", предлагающих свои "уникальные всесторонние решения".

18.9.07

Barracuda покупает NetContinuum

В последнем обзоре Cnews по безопасности (http://www.cnews.ru/reviews/free/security2007/articles/it_giant.shtml) я писал о слияних и поглощениях в области безопасности. После этого произошло слияние Sourcefire и ClamAV, IBM и Princeton Softech, Novell и Senforce, Patchlink и SecureWave. И вот очередной пример консолидации рынка безопасности. Теперь в области Web-безопасности, что более чем актуально в эпоху Web 2.0, о которой говорят все кому не лень.

Компания Barracuda, известная своим решением по Web-фильтрации, купила компанию NetContinuum, разработавшую Web Application Firewall, ориентированный на отражение атак Cross-Site Scripting, SQL Injection и т.п. Приобретение произошло в середине июля, но до сего момента не анонсировалось широкой общественности.

Продукт, продаваемый теперь под торговой маркой Barracuda, будет называться Web App Controller и будет стоить от 30 до 50 тысяч долларов.

17.9.07

О безопасности бизнеса среди тайских красот...

Учебный центр НТЦ Корпорации ЮНИ пригласил меня почитать на выездном семинаре курс по безопасности бизнеса. Курс предназначен в первую очередь руководителям служб ИБ и IT и рассматривает вопросы построения систем информационной безопасности, наилучшим образом отвечающих требованиям бизнеса компании. В рамках курса рассматриваются методики построения систем ИБ с учетом реальных требований бизнеса компании, технологии измерения эффективности этих систем и подходы к их дальнейшему развитию и бюджетированию.

Место проведения - Бангкок-Паттайя (Тайланд).
Время проведения - 17-25 ноября.

Все детали тут - http://www.ntc.ru/news/news_thailand.htm

Куды бечь, когда узнал о проблемах с безопасностью?

Опубликовал на SecurityLab очередную статью про рекомендации Vulnerability Disclosure Working Group в части создания на каждом сайте раздела /security, который является демонстрацией компанией или организацией своего стремления защитить своих клиентов и свои активы от различных посягательств.

Адрес статьи- http://www.securitylab.ru/contest/302888.php

11.9.07

О западных стандартах и методиках

В последнее время все чаще и чаще слышим восторженные слова и дифирамбы в адрес ISO 27001, ISO 17799, ISO 15408 и т.д. Мы восхищенно вникаем в западные методики, восхищенно внимаем западным «оракулам», усваиваем западный сленг и иностранные словечки (один только «файрвол» чего стоит), стремимся за западными сертификатами, не задумываясь над простым вопросом: «А оно нам надо?»

Мы стали часто смотреть на Запад. Будто бы там все хорошо, все правильно, все ОК. У Запада действительно стоит многому поучиться и многое перенять. Но с умом, адаптируя к нашему менталитету, культуре, уровню зрелости. А мы берем все и, не меняя, пытаемся прививать. Но так нельзя. Обратимся к безопасности. Да, США на несколько корпусов ушли вперед и все, что прогрессивного есть в информационной безопасности (исключая может быть криптографию), взято именно от них. Но взято как-то неумно и неумело. Вспомним наши РД, появившиеся в далеком 1992 году и ставшие Библией для большинства российских специалистов по защите информации. А ведь эти РД были калькой с более ранней «Оранжевой книги», входящей в состав «Радужной серии». Однако, взяв за основу неплохой документ, наши пути разделились. В США «Радужная серия» разрослась до нескольких десятков книг по различным аспектам информационной безопасности, а потом ей на смену и вовсе пришли «Общие критерии», которые сейчас уже известны в своей третьей (пусть и нефинальной) редакции. У нас же РД (их меньше 10-ти) в неизменном виде известны до сих пор. Дальше больше.

Помимо классических РД мы стали применять и «Общие критерии» (ГОСТ Р ИСО/МЭК 15408), хотя в список стран, признающих выданные в других государствах сертификаты, мы так и не вошли. Более того. Несмотря на аутентичный перевод, наша версия «Общих критериев» официально не признана другими странами. Мы все ищем, что же плохого в «Общих критериях». Именно это прозвучало на одной из конференции из уст представителя Совета Безопасности РФ. С этим стандартом вообще ситуация непонятная. По нему уже сертифицируют, а вот что делать со «старыми» РД непонятно. Четкого ответа от ФСТЭК, по какому из двух направлений – РД или «Общие критерии» - нам двигаться вперед, до сих пор нет. Вот и вынуждены производители сертифицировать свои продукты дважды – по обоим документам – по старому, но всем известному, и по новому, но не всем понятному.

А теперь обратимся к международным стандартам ISO 27001 и 17799. Мы их приняли в России достаточно «быстро» – в 2007 году. Только вот принятые версии этих стандартов давно уже устарели. В России принята версия 2000 года, а весь мир работает по версии 2005 года. Опять хотели как лучше, а получилось…

Нельзя забывать, что многие западные методики появились в нужное время и в нужном месте. И если их превозносят в мире, это не значит, что они могут быть легко применимы в России. У нас немного иная история отрасли безопасности, иные специалисты, иные регуляторы, иные законы, иной уровень зрелости. Почти все у нас, за исключением продуктов, иное. Мы же, не оглядываясь на наш опыт, стараемся внедрять западные «best practices» (вот еще одно часто используемое западное словосочетание). И очень редко, когда успешно. А все потому, что мы не готовы к ним. Не зря все эксперты по ITIL признают, что ITIL – это лучшие ЗАПАДНЫЕ практики и их нельзя безоговорочно применять у нас – эффект может быть совершенно противоположным. Да и в предисловии к самому ITIL прямо написано, что эти рекомендации – не догма. Мы же всегда уходим в крайность и начинаем их навязывать… и на законодательном уровне тоже.

Возьмем, к примеру, большинство стандартов управления процессом ИБ. В самом их начале прямо сказано, что эффективный результат будет достигнут только тогда, когда безопасность получит поддержку на уровне руководства компании. А многие ли могут похвастаться этом в своих организациях? Но это почему-то не мешает нам внедрять ISO 27001 и другие стандарты.

Интегрироваться в западный мир надо. Но обдуманно. Главное не потерять себя. Брать полезное и отбрасывать наносное, ненужное и вредное. Надо научиться уважать себя и жить своим умом. Не все, конечно, надо начинать с нуля. Надо просто воспользоваться теми граблями, на которые уже наступил Запад и, вовремя их обойдя, сделать шаг вперед. Самостоятельно.

8.9.07

Что Госдума нам готовит?..

Последние несколько дней все средства массовой информации много говорят о том, что предвыборная гонка перешла в свою завершающую фазу – у четвертого созыва Государственной Думы (ГД) началась последняя, осенняя сессия. За оставшиеся 3 месяца Госдума должна принять ряд законов, которые по мнению депутатов являются самыми важными для нашей страны. Относится ли к приоритету №1 информационная безопасность? Давайте посмотрим.

Итак, заходим на официальный сайт ГД в раздел «Приоритетные направления законопроектной работы Государственной Думы в период осенней сессии 2007 года» (http://www.duma.gov.ru/index.jsp?t=plan/indexp.html). И что же мы видим? Из нескольких десятков законодательных инициатив только одна может быть отнесена к теме защиты информации. Федеральный закон «О служебной тайне», внесенный в Госдуму Комитетов по безопасности еще три года назад (в декабре 2004 года), был рассмотрен Советом Госдумы только в апреле прошлого года, а его рассмотрение в ГД запланировано на ноябрь 2007 года. Все, больше никаких законопроектов, исключая внесение изменений в законодательные акты РФ в связи с принятием ФЗ «О служебной тайне» и ФЗ «О коммерческой тайне». Относить такой проект, как разработка специального технического регламента «О безопасности устройств для развлечений», к вопросам информационной безопасности было бы не совсем правильно.

С чем может быть связана такая плачевная ситуация в области законодательства? На мой взгляд, причина проста и она хорошо иллюстрируется басней Крылова «Лебедь, рак и щука» или «Квартет». Иными словами у нас в Госдуме нет единого «владельца» темы «информационная безопасность». За нее отвечает целых три комитета – по информационной политике, по безопасности и комитет по энергетике, транспорту и связи. В положении о каждом из этих трех комитетов четко указано, что именно он отвечает за информационную безопасность. Однако хоть какую-то законодательную активность проявляет только одна структура – Комитет по безопасности; он же отвечает и за деятельность таких значимых для нашей отрасли структур, как ФСТЭК и ФСБ.

Когда за решение какого-то вопроса отвечает несколько человек, значит, за него не отвечает никто. И деятельность названных трех комитетов только подтверждает это. Комитету по энергетике, транспорту и связи хватает своих проблем в первых двух составляющих его названия. Что касается третьего элемента, то в этой сессии руки дошли только до финансовых вопросов, связанных с отраслью связи. У Комитета по информационной политике другие проблемы – свобода слова, право на получение и распространение информации, Интернет и т.п. Видимо поэтому, следуя классической поговорке о сапожнике без сапог, сайт этого комитета последний раз обновлялся в 2004 году.

Комитет по безопасности в первую очередь ориентируется в своей работе на борьбу с терроризмом, госбезопасность и иные аналогичные по масштабу вопросы. Именно так и появился в программе Госдумы появился законопроект «О служебной тайне». А ведь срок его внесения в Госдуму датирован еще 2004-м годом. И только под влиянием последних утечек из государственных и окологосударственных предприятий и организаций, ситуация сдвинулась с мертвой точки (хотя данный законопроект планировалось включить еще в весеннюю сессию 2006 года). С текстом проекта этого закона можно ознакомиться на сайте соответствующего комитета (http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=124871-4&12). Там же можно ознакомиться и с финансово-экономическим обоснованием этого федерального закона. По мнению депутатов, реализация требований закона «О служебной тайне» не потребует вообще никаких средств из бюджета и все бремя финансирования ляжет на организации, которые должны соблюдать тайну своей деятельности. Данный проект интересен тем, что он очень сильно усложняет жизнь большинству организаций, решивших ввести у себя режим (а это любое юридическое или физическое лицо) служебной тайны. Во-первых, для защиты этого вида тайны необходимо использовать только сертифицированные средства защиты, а во-вторых, подключение информационных систем, содержащих служебную тайну, к Интернет попросту запрещен. К слову сказать, изменений в Уголовном Кодексе в связи с принятием этого закона не планируется (http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=124861-4&12).

Вторым по счету, но не менее интересным, является законопроект «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры» (http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=340741-4&12). Он «нашумел» некоторое время назад, в связи с попыткой запретить использование зарубежного ПО в стратегических сферах России – телекоммуникации, банки, энергетика, оборонка и т.д. К счастью, данный проект был «завернут» как Правовым управлением Госдумы, так и Правительством РФ из-за его недостаточной проработанности. Однако сам проект пока не снят и, судя по сайту Комитета по безопасности, находится на рассмотрении. Возможно к нему вновь вернутся, когда возникнет такая необходимость.

Что же мы имеем? Почти ничего. Кроме законопроекта «О служебной тайне» каких-либо иных проектов, связанных с ИБ, у этого созыва Госдумы больше нет. А, учитывая начало предвыборной борьбы, сложно надеяться, что список будет пересмотрен. Если только у нас не появится очередной нацпроект, который заставит депутатов пересмотреть свои планы на законотворчество.