30.3.15

Исторические циклы Шпенглера и информационная безопасность

В пятницу в одном из постов на Facebook я упомянул теорию исторических циклов Шпенглера о том, что история развивается не последовательно, а циклами. К сожалению, предыдущие циклы мало чему учат новые поколения и они вновь наступают на те же грабли, что и их предшественники.

Упомянув про Шпенглера, вспомнилось мне, что и в области информационной безопасности цикличность имеет место быть. Вот, например, одна ситуация 17-18-тилетней давности. Я тогда работал в Информзащите и мы только начали выводить на российский рынок решения ISS по обнаружению атак и анализу защищенности. В один из погожих осенних деньков мы стояли на стенде на выставке "Интернетком" и к нам подбежал молодой и, как потом оказалось, очень амбициозный паренек. Сначала он носился по стенду, а потом заявил нам "Ваша система обнаружения вторжений - полная фигня. А я вот придумал технологию на базе нейронных сетей, которая идеальна и лишена всех недостатков присущих сигнатурным системам. Ну и что, что ваша система - лидер рынка? Я скоро всех порву!". Текст, разумеется, недословный - все-таки с 97-го - 98-го года прошло немало лет, но близкий по смыслу и интонации. Не найдя у нас поддержки, паренек убежал, а спустя некоторое время просился к нам на работу :-) Позже он стал генеральным директором одного из российских интеграторов по ИБ, а его "технология" так и осталась на уровне плохо работающего продукта, который не завоевал даже нескольких процентов рыночной доли в России.

Спустя несколько лет, в 2004-м году, на выставке InfoSecurity Russia, к нам на стенд, я уже работал в Cisco, пришел молодой паренек и заявил примерно следующее: "Ваш Cisco Security Agent, использующий несигнатурные методы обнаружения атак, полный отстой. Зато вот я придумал классную технологию HIPS - купите ее у меня, продам недорого!" Мы пытались объяснить этому, безусловно грамотному технарю, что так "слона не продать". Нельзя ругать (да еще и публично) того, кому ты пытаешься впарить себя, свою технологию, свои продукты. Итог предсказуем. Технология так и не была никому продана (а попытки были продать ее не только Cisco) и ее автор создал компанию, которая уже более десяти лет пытается продавать продукт на ее основе. Также не очень успешно. Ну а молодой человек, предсказуемо, стал генеральным директором этой компании по ИБ.

Российский рынок ИБ становился более зрелым, а вот "молодые пареньки" при этом не переводились. Шпенглер был прав :-) Совсем недавно к нам обратился... Кто бы вы думали? Точно! Вихрастый азартный мальчуган Генеральный директор одной из российских ИБ-компаний :-) И предложил он интегрировать его решение с технологиями Cisco, благо API, которые позволяют это сделать у нас немало. Ну ладно, дело полезное. Я всегда был за кооперацию отечественных и зарубежных решений. Но... спустя некоторое время этот генеральный директор стал публично поливать Cisco грязью, обвиняя наши решения в низкой защищенности, работе на спецслужбы и т.п. Ну а про предложение стать спонсором их ИБ-мероприятия я промолчу. Три практически идентичных истории, которых разделяют циклы в 8-10 лет.

Спрашивается, вот какого рожна ты гадишь тому, к кому пришел с целью сотрудничества? Ведь это совершенно банальная и лежащая на поверхности мысль - не порть отношений с теми, кто тебе может помочь и к кому ты пришел сам. А если тебе неприятно с ними общаться, что ж ты к ним приходишь за деньгами? Понятно, что деньги не пахнут. Понятно, что в условиях кризиса становится тяжело выживать. Понятно, что не найдя покупателя на свои технологии и продукты (а это было во всех трех случаях), надо пытаться получить хоть какую-то помощь от более крупного игрока рынка. Но зачем пилить сук, за который ты пытаешься зацепиться?

Сложно сказать, какая судьба ждет этого генерального директора и его компанию, но следуя теории исторических циклов Шпенглера, можно предположить, что ситуация повторится, и как и в двух предыдущих случаях лидером эта компания на нашем рынке явно не станет (как и не является им до сих пор).

Как меня забанили за демотиваторы про 8-й Центр ФСБ

Помнится, когда в прошлом году я опубликовал на Хабре, в нашем корпоративном блоге, заметку про то, как технически можно реализовать контроль доступа в Wi-Fi по паспорту, моя карма была опущена ниже нуля. Как мне потом объяснили, такая заметка была негативно воспринята пользователями, которые, не вчитываясь в технические детали, посчитали, что сама идея доступа к хотспотам по паспорту несет негативный оттенок, как и те, кто про нее пишет.

И вот на днях очередной удар :-) Захожу на сайт, где я иногда делаю демотиваторы и вижу надпись:


За что? Что за фигня? Как можно за такой невинный демотиватор баннить? Ведь большинству специалистов по информационной безопасности, которые сталкиваются с деятельностью 8-го Центра ФСБ, эти персонажи знакомы. Но, видимо, пользователи сайта, где этот демотиватор делался, далеки и от изображенных на демотиваторе людей, и от темы, которому он был посвящен.


Кстати, сделанный в предверии РусКрипто 2015 на том же сайте другой демотиватор такой реакции и бана не вызвал. А ведь он примерно такой же, что и предыдущий. Разве что Зигмунда Фрейда все узнают на фотографии и считают, что написано что-то реально смешное. Хотя надо признать, что я до создания этого демотиватора и не знал, как выглядит Фрейд :-)


И вот этот демотиватор на том же сайте тоже не вызвал бана:


Чем я так неугодил аудитории сайта с демотиватором про руководство 8-го Центра ФСБ? Или это ФСБ меня забанило за этот демотиватор? Конспирологическая версия :-)

В итоге, видимо, вернусь к иностранным сайтам демотиваторов - на них нет никакой оценки картинок. А если и есть, то иностранцам не понять нашего юмора и языка, что дает надежду, что в бан я там не попаду :-)



Только стилистика там немного иная - не используется черный квадрат Малевича и поэтому картинки менее привычны (как мне кажется):


А этот я делал на днях, в предверии 1-го апреля, когда в России должна в полную силу заработать национальная система платежных карт (НСПК). Кстати, на российском бы сайте этот вероятно тоже бы забанили - ни тема многим непонятна, ни изображенные на картинке лица.


Демотиваторы, кстати, интересный инструмент для маркетинга. Мы его перед РусКрипто использовали и, отчасти, именно за счет демотиваторов подхлестнули интерес к панельной дискуссии по импортозамещению, собравшей полный зал.

25.3.15

Впечатления от РусКрипто

В последнее время меня все чаще стали приглашать не столько выступать, сколько вести какие-либо мероприятия по ИБ. Понемногу превращаюсь в шоумена, а это интересный опыт. Он позволяет немного по-другому взглянуть на то, во что обычно превращаются мероприятия по информационной безопасности. В роли ведущего удается реализовать многие вещи, которые сложно сделать будучи обычным спикером. Тут и возможность высказаться, и задать правильные вопросы участникам и в зал, и возможность подвести итоги, а не просто сказать спасибо и разойтись. В общем интересная роль при правильном ее применении :-)

И вот, аккурат на следующий день после ведения двух круглых столов на IDC IT Security Roadshow, я выбрался на РусКрипто 2015, где мне досталась непростая тема - формирование отечественной отрасли ИБ, которую мы начали с набившей всем оскомину темы про импортозамещение.

Битва начинается. Остаться должен только один!

Кто следил в Twitter или Facebook за тегом #РусКрипто2015, тот помнит многочисленные "жабы" и демотиваторы, которым сопровождалась прелюдия к основной битве, которая должна была состояться 19-го марта. Вот только один из них :-)


Разогрев аудитории прошел нормально и на время баталии зал был полон. Сама же баталия и ее итог (на мой взгляд) были предсказуемы. На сегодняшний день импортозаместителям нечего сказать конкретного по теме импортозамещения. Законодательных требований нет (пока нет), государство не помогает, конкурировать нормально с иностранными решениями невозможно, элементной базы своей нет, но локальные разработчики либо нагнетают ("а вдруг отключат?.."), либо выдавливают патриотическую слезу (ездя по прежнему на иностранных авто, пользуясь иностранной бытовой техникой, питаясь преимущественно иностранными продуктами и отдыхая за пределами РФ).

Тема плавно перетекла в Facebook, где набрала еще 200 с лишним комментариев, а также продолжилась еще в двух тредах, связанных с ней. На мой непросвещенный взгляд у нас слишком активно все погрузились в тему полного импортозамещения, забыв про несколько моментов:
  • При отсутствии своей элементной базы, говорить о национальной безопасности, импортозамещении, суверенитете бессмысленно.
  • Говорить об экспортопригодности (а этот термин тоже звучал на РусКрипто) в условиях запрета применения в России иностранного софта вообще затея странная. Ответ иностранцев будет симметричный и ни о какой экспортопригодности и говорить не придется. Достаточно посмотреть, что уже началось, чтобы понять, что иностранцы (преимущественно из Нового Света) молчать не будут. "Банный скандал" с Касперским - это только первая ласточка. И куда тогда продавать свою экспортопригодную ИТ-продукцию? В Китай? Там своего добра навалом. В Белоруссию, Казахстан, Таджикистан?.. Вполне возможно.
  • Импортозамещение - это не замена американского или европейского на китайское или корейское. Импорт - это все, что за пределами РФ производится. Что, в китайской продукции нет закладок? Что, РФ уверена, что Китай не "кинет" или не начнет извлекать выгоду в свою, а не российскую пользу?
  • У нас отсутствует полный спектр замещаемого ПО и железа. Вот если бы он был, тогда разговоры о замене имели бы смысл. Но что делать, когда альтернативы нет, а требование не использовать (если вдруг оно появится) есть? В одной из крупных огосударствленных компаний я видел список того, что может быть заменено отечественными аналогами и что не может. Соотношение 12% против 88% не в пользу отечественного.
  • Упоминать "а что если отключат" можно (и даже правильно), но лично я верю в это с трудом. На то есть одна банальная причина. Если посмотреть на действия США по установлению мирового господства, то они следуют обычно одной из трех стратегий - завоевать, купить и "мягкая сила". Первые две в отношении России не работают и остается только подсаживать Россию на иглу - культуры, технологий, автомобилей, продуктов питания и т.п. Это и есть "мягкая сила". Ну и кто в такой ситуации будет отключать страну, потеряв последнюю возможность установления мало-мальски значимого контроля? Не логично это.
  • Если мы говорим о цифровом суверенитете, т.е. полном импортозамещении, то в условиях, когда свое нельзя продавать на Запад, нельзя использовать западное тут, своих аналогов нет, развивать локальный рынок можно только серьезными государственными вливаниями. Их нет, как и намеков на них. Пока одни разговоры... но не о помощи для своих, а о запрете для чужих. И как тогда развиваться отечественному?
  • Да много чего еще можно привести в качестве доводов не совсем правильно выбранной и звучащей политики импортозамещения. Но повторять 200+ комментариев из Facebook не хочется :-)
На мой взгляд, если уж и говорить о полном импортозамещении, то стоило взглянуть на китайский опыт (хотя многие эксперты говорят, что мы уже опоздали) - сначала создать аналоги, а потом уже замещать импортное. Можно было бы использовать и американский опыт, который заключается не в запрете применения чужого, а в оценке его соответствия определенным требованиям, в т.ч. и требованиям безопасности. У нас же, однако, почему-то все импортозаместители отметают напрочь такую форму обеспечения доверия, как оценка соответствия в форме сертификации по требованиям ФСТЭК/ФСБ. Регуляторов она не смущает, а вот импортозаместителей, которые сами далеко не всегда способны ее пройти, она не устраивает.

Однако здравые идеи рождаются и во коридорах власти. За день до круглого стола по импортозамещению на РусКрипто вице-премьер России Дмитрий Рогозин заявил: "Представьте себе, что перед нами поставлена задача полностью заменить электронно-компонентную базу для всей промышленности. Коллеги, это несерьезно. Это даже американцы не могут себе позволить, при том, что их экономика в десять раз больше нашей". Далее он заметил, что нужна кооперация. Вот за кооперацию ратую и я.

На мой взгляд государство должно четко разграничить сферы, где нужно применять только отечественные технологии, а где можно применять (после соответствующей проверки) и те, которые разработаны за пределами РФ. Я об этом даже писал недавно. А российским разработчикам, которые дальше форков или использования open source под своей торговой маркой пойти пока не могут, я бы посоветовал найти себе нишу, в которой можно очень неплохо паразитировать существовать. С ходу могу придумать три:
  • Оценка соответствия, а точнее автоматизация непростой задачи оценки соответствия объекта защиты требованиям по безопасности. В текущих условиях такие решения могут быть очень и очень востребованными не только регуляторами, но и корпоративными заказчиками, которые хотели бы удостовериться в надежности приобретаемого решения.
  • Средства контроля доступа к настройкам импортных средств защиты или объектов инфраструктуры. Такие решения уже создаются в России, например, SafeRoute или ЭФРОС.
  • Средства профилирования и нормализации сетевого трафика, которые могут быть установлены в прозрачном режиме перед средством защиты или сетевым устройством и контролировать сетевой трафик на предмет "команд на отключение".
Все упомянутые решения позволят не только сосуществовать отечественным и иностранным решениям на рынке, но и реально дополнять друг друга с точки зрения повышения защищенности отечественных корпоративных и ведомственных сетей. Более того, мне кажется, что данные решения будут востребованы сами по себе, без их государственной поддержки и серьезных денежных вливаний (не это ли основная причина шумихи вокруг импортозамещения).

Ну а что касается итогов дискуссии на РусКрипто, то тут судить об итогах не мне. Хотя мне показалось, что участникам со стороны импортозаместителей стоило чуть лучше подготовиться :-) Экспромт он хорошо, когда заранее подготовлен :-) Но шоу удалось, хотя ни к какому финальному решению мы так и не пришли. 




Как и в случае с IDC, я не был на других докладах (в первый день я был у IDC, а во второй с утра готовился к панельной дискуссии, а после нее почти ничего и не осталось "на послушать") и сказать о них мне нечего. Но аудитории, судя по отзывам, все понравилось - и научная часть, и "бизнесовая". Организация, регистрация, заселение, проживание, питание, спортивная и культурная программа... все на уровне. Коллегам из АИС респект. Родилась даже аналогия: "Проведение мероприятий сродни организации ИБ - пока не случится сбоя, не заметишь". Я никаких сбоев не заметил за все 4 дня, что был на РусКрипто. Поэтому гадостей писать не буду (их не было), а колоссальная закулисная работа, которая была проделана организаторами, осталась незамеченной, как и все, что хорошо организовано и идет "как по маслу".

ЗЫ. Предвосхищая вопрос, почему в этом заголовке я пишу про "впечатления", а в заметке про IDC упомянул "follow-up", сразу отвечаю - на иностранной мове правильнее follow-up, а на импортозаместительной - "впечатления" :-)

ЗЗЫ. Да, кстати, тема импортозамещения может получить новое развитие. Под нее можно замечательно списывать любой косяк и раздолбайство. Вот, например, импортные станки за Уралом вдруг стали нули печатать на мониторе и выпускать брак. Аж сама ФСБ занялась вопросом. Теперь можно срыв сроков сдачи космодрома Восточный списать на иностранное оборудование, которое вдруг начало сбоить. Кража миллиардов при строительстве керченского моста тоже можно списать на иностранное оборудование. Да мало ли, что можно теперь будет списать на происки врагов, действующих не своими руками, а через завезенное в Россию многие десятилетия назад оборудование.

24.3.15

СОПИЛКА? СОПИПКА? Нет, СОПКА!

Когда недавно многие издания разразились статьями на тему "ФСБ займется хакерами" я стойко пытался промолчать, не желая влезать в эту тему, но... не удержался :-) Поводом для статей послужила публикация выписки из Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, которая была утверждена Президентом Российской Федерации 12 декабря 2014 г. (на сайте ФСБ и на сайте Совета Безопасности).

На заднем плане сопки Кольского полуострова (снимал в 2008-м году)
Почему-то данный документ, датированный концом 2014-го года, преподносят как нечто совершенно новое и ранее неизвестное. А с чего вдруг? Если мы посмотрим на "Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации", то увидим, что уже там говорится о "силах обнаружения и предупреждения компьютерных атак - уполномоченных подразделениях федерального органа исполнительной власти в области обеспечения безопасности, федеральных органов исполнительной власти, осуществляющих деятельность в области обеспечения безопасности, государственного надзора и контроля, управления деятельностью критически важных объектов и иных элементов критической информационной инфраструктуры, а также физические лица и специально выделенные сотрудники организаций, осуществляющих эксплуатацию автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры на правах собственности либо на иных законных основаниях, принимающие участие в обнаружении и предупреждении компьютерных атак на критическую информационную инфраструктуру, мониторинге уровня ее реальной защищенности и ликвидации последствий компьютерных инцидентов на основании законодательства Российской Федерации". А ведь это 2012-й год!

Спустя полгода упоминание СОПКА мы находим в Указе Президента №31с "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ". А еще про нее говорит законопроект "О безопасности критических информационных инфраструктур". О самой системе специалистам было известно еще раньше, до 2012-го года уж точно. Хотя публично ФСБ о ней заявила (по крайней мере мне известно только об одном случае) только в Магнитогорске, на форуме "Информационная безопасность банков" (доклад делал представитель ФСБ). И тут журналисты открывают Америку :-)

Меня в данном документе СовБеза удивляет немного иное. Почему документ появляется спустя два года с момента принятия Указа 31с? По идее столь концептуальный документ должен был появиться если не одновременно с 31-м указом, то уж точно недалеко от него по времени. Но нет... Спустя два года. А ведь согласно Указу Президента, ФСБ обязана была разработать и более детальные требования, а именно:
  • методику обнаружения компьютерных атак на информационные системы и информационно-телекоммуникационные сети государственных органов и по согласованию с их владельцами - на иные информационные системы и информационно-телекоммуникационные сети
  • порядок обмена информацией между федеральными органами исполнительной власти о компьютерных инцидентах, связанных с функционированием информационных ресурсов Российской Федерации
  • методические рекомендации по организации защиты критической информационной инфраструктуры Российской Федерации от компьютерных атак
  • порядок обмена информацией между федеральными органами исполнительной власти и уполномоченными органами иностранных государств (международными организациями) о компьютерных инцидентах, связанных с функционированием информационных ресурсов.
И где? Если они еще будут разрабатываться, то как-то уж очень небыстро. А если они входят в закрытую часть концепции, то это уж совсем нелогично. А ведь согласно выписке из концепции должен быть разработан еще ряд документов (помимо уже упомянутых два года назад и до сих пор не разработанных):
  • порядок осуществления деятельности субъектов СОПКИ в области обнаружения, предупреждения и ликвидации последствий компьютерных атак
  • порядок и периодичность проведения мероприятий по оценке степени защищенности критической информационной инфраструктуры Российской Федерации от компьютерных атак.

Такая "оперативность" по выпуску основополагающих документов лично меня смущает. Я мог бы объяснить это традиционной секретностью, так привычной 8-му Центру. Но документов реально еще нет. И если бы СОПКА была сугубо внутренним делом 8-го Центра, то и пусть с ним. Но ведь данная система должна внедряться на широком круге объектов - государственных и критически важных. И тут без нормальной методологической базы не обойтись - не та тема.

Очень уж похожа ситуация на принятие 378-го приказа ФСБ по защите персональных данных. О нем впервые заговорили еще в 2011-м году, задолго до появления 21-го приказа ФСТЭК. Но вышел он спустя 3 (!) года с момента появления первого проекта. При этом суть приказа мало чем отличается от первой редакции. Но если с 378-м приказом такая скорость нормотворчества была только на руку многим операторам, то в контексте обнаружения атак действовать надо гораздо оперативнее. А вот с этим у 8-го Центра явно некоторые проблемы.

ЗЫ. Главное, чтобы такой опыт "оперативности" (во всех смыслах) не распространился и на FinCERT, который, как мы услышали в Магнитогорске, будет очень тесно завязан с СОПКОЙ и на техническом и на организационном уровне.

ЗЗЫ. Не удержался :-)


23.3.15

Follow-up конференции IDC IT Security Roadshow

18 марта в Москве прошла конференция IDC IT Security Roadshow, которая совпала по датам с РусКрипто, но это не помешало первой собрать полный зал в "Radisson Славянская" (вторая тоже не пустовала, но об этом в следующей заметке). Мне довелось отвечать за две панельных дискуссии, посвященных целенаправленным атакам и информационной безопасности АСУ ТП. Помимо модерации я также был ответственен и за приглашение участников. Поэтому сразу хотел бы сказать спасибо Илье Борисову, Дмитрию Мананникову, Петру Павлову и Льву Шумскому, а также Олегу Кузьмину, который был одним из спонсоров, но при этом очень органично вписался в секцию по АСУ ТП и практически не занимался рекламой своих услуг, что мне и другим участникам очень импонировало.

Первая тема, по APT, у меня изначально вызывала опасения ввиду ее заезженности. Но большое число спонсоров, которые про нее говорили, все-таки привели меня к мысли, что попробовать стоит. Но в качестве участников приглашать не тех, кто что-то предлагает в этой области, а тех, кто это потребляет, т.е. заказчиков. Причем из разных отраслей - финансы, логистика и инжиниринг нефтехимических и химических производств. И вот тут собственно и началась нормальная дискуссия, в результате которой выяснилось вот что:

  • Мало кто до конца понимает, что такое APT. Это разработанный под конкретного заказчика вредоносный код (с этим никто не сталкивался)? Это код, разработанный под конкретное приложение или платформу (у банков такое бывает)? Это направленный на конкретную организацию фишинговый спам (такие примеры были)? Или это вообще "банальный" социальный инжиниринг? В зависимости от ответа на основной вопрос и ответ о столкновении с APT мог быть разным.
  • Все потребители сходятся во мнении, что продавцы антиAPT-решений впаривают свои продукты, а многие интеграторы и рады их втюхать. По сути тема APT сегодня, это как DLP, SIEM, SDLC в прежние годы. Фетиш, за которым не всегда есть что-то реальное. В следующем году будет еще что-нибудь.
  • Никто не помогает выстроить процессы ИБ на предприятии. Аутсорсинг борьбы с APT тоже никто не предлагает. Приходится делать все самостоятельно. В этом вопросе участники тоже разделились во мнении, хотя и не сильно, - от "хотели бы передать, но не нашли адекватных предложений" до "в России отсутствуют компании, способные оказывать услуги по аутсорсингу ИБ". 
  • Многие заказчики слишком сильно уповают на технические решения, забывая или просто не занимаясь процессами и работой с людьми. Из классических 3-х "P" (product, process, people) упор делается только на первую. При этом работа с людьми (обучение и повышение осведомленности) могла бы снять львиную долю проблем с APT.
  • На вопрос о том, какие решения используют участники дискуссии, ответы разнились от "никаких специальных не применяем" до "тестировали разные, отечественные и зарубежные, финально пока не решили".
  • Доверенных контрагентов и партнеров, а также поставщиков ИТ-решений в качестве потенциальных источников для APT никто не рассматривает. Вообще геополитику никто из участников (что понятно, видя представленные ими отрасли и компании) всерьез не рассматривает в контексте ИБ.

Вторая панельная дискуссия оказалась более жаркой. Тон ей задал Олег Кузьмин, который осветил основные проблемы в области ИБ АСУ ТП. Ну и посколько Олег "отдувался" за интеграторов, то его посыл был в целом понятен - надо заниматься темой ИБ АСУ ТП (как на уровне техники, процессов, так и на уровне законодательства), пока не бабахнуло. А вот дальше коллеги, реально занимающиеся проектированием и эксплуатацией индустриальных систем в нефтехимической и пищевой промышленностях высказали ярое сопротивление вмешательству агрессивной ИБ в свою сферу деятельности. Разумеется, они не были против ИБ как таковой, но вполне обоснованно показали, что:

  1. ИБ в АСУ ТП сейчас играет совсем не первую скрипку и в первую очередь надо разбираться с человеческим фактором и плохим программированием АСУ ТП, а не целевыми атаками на них.
  2. Многие интеграторы и поставщики услуг излишне нагнетают ситуацию вокруг ИБ АСУ ТП, продавая "страх", а не решение реальных и более насущных проблем. Взлом через токовую петлю - это конечно круто, но включенный дымоуловитель при отключенных задвижках, забирающих воздух с улицы, в реальной ситуации привел к схлопыванию здания (к счастью никто не пострадал).
  3. Ущерб от аммиачных паров, которые при неудачной розе ветров могут накрыть город (а холодильники на пищевом производстве обычно располагаются в черте города) может быть очень серьезным, а реализовать его можно и без атак на АСУ ТП, тупо открутив вентиль, который находится где-нибудь за пределами контролируемой зоны. Т.е. обычная физическая безопасность может оказаться гораздо более важной составляющей системы безопасности индустриального предприятия, чем всяческие однонаправленные МСЭ и пентесты, выводящие из строя промышленные контроллеры.
  4. Многие интеграторы лезут на промышленные объекты, совершенно не понимая их специфики и не будучи готовыми брать на себя ответственность, как это делают проектировщики, сдающие объекты Ростехнадзору. Т.е. запугать готовы все. Что-то втюхать готовы все. А вот после внесения изменения в проект АСУ ТП нести его в Ростехнадзор для повторного согласования или нести ответственность за сбои в результате "работы" предложенной системы защиты, не готов никто. Это и смущает многих потребителей с той стороны - они видят пока пустобрехов, торгующих страхом, не готовых отвечать за свои слова и дела.
  5. 31-й приказ - это реально хороший пример, когда регулятор не полез "немытыми руками" копошиться в незнакомом для себя "теле", а все взвесил и продумал, пригласив попутно еще и специалистов отрасли. Поэтому специалисты положительно оценили 31-й приказ ФСТЭК по защите АСУ ТП.
  6. Геополитические угрозы реально мало кто рассматривает. И в контексте всяческих Stuxnet'ов (есть более простые способы нанесения ущерба), и в контексте поставки оборудования и софта с закладками (опять же - все можно сделать проще), и в контексте удаленного доступа к АСУ ТП из-за пределов РФ. Кстати, все понимают риски последнего, но АСУТПшникам это удобно (а значит и бизнесу) и поэтому удаленный доступ имеет место на многих объектах в России (где-то защищенный, где-то уязвимый).
  7. С реальными инцидентами ИБ пока в России мало кто сталкивался. Гораздо чаще проблемы происходят по иным причинам. 
  8. Многие говорили о неразберихе в терминологии (КВО, опасный объект, потенциально опасный объект и т.п.), об отсутствии единого координатора вопросов ИБ индустриальных объектов и об отсутствии связки ИБ с промышленной безопасностью. Все то приводит к нестыковкам в законодательствам, в требованиях регуляторов и т.п.

Тема АСУ ТП получила и серьезное продолжение, начавшееся со статьи Валерия Васильева в PCWeek/RU. После нее в Facebook, в закрытой группе по безопасности АСУ ТП началась большая перепалка торговцев страхом с теми, кто реально работает на промышленных объектах или проектирует их. Свыше 150 комментариев... Это показывает тот интерес к теме, которая сейчас активно обсуждается и вполне может стать хитом 2015-го года (особенно если в первой половине года примут законопроект о безопасности КИИ).

Вот такой краткий обзор прошедшей IDC IT Security Roadshow в Москве. Организация была, как всегда, на высоте - регистрация, место проведения, кофе-брейки, питание... На других докладах, кроме Cisco, не был - сказать ничего о них не могу. Но модерируемые мной панельные дискуссии мне понравились. Не было набивших оскомину рекламных докладов. Не было согласных со всем и сразу. Была практика, была дискуссия, были советы вендорам и интеграторам от потребителей, были вопросы из зала... Все то, что отличает хорошее мероприятие от скучных заседаний, на которых "надо присутствовать". Число участников, оставшихся до самого конца (хотя тема АСУ ТП, которая и была последней, не всем была актуальна) показывает, что эти две панельные дискуссии удались.

ЗЫ. Материалы с конференции уже выложены (доступ только участникам).

ЗЗЫ. Очень интересную фишку придумали организаторы - на экране высвечивался номер для отправки SMS и сообщений WhatsApp, а модератору выдавали планшет, на который и приходили все вопросы. Очень удобная вещь оказалась (что не отменяет наличие микрофона в зале) для тех, кто не хочет светиться или боится спрашивать "глупости". Организаторам советую взять на вооружение.

ЗЗЗЫ. Сам себя не похвалишь - никто не похвалит :-)

17.3.15

Ревизия законодательства по информационной безопасности (выдержки)

На днях в МГУ прошла конференция по информационной безопасности, на которой заместитель председателя правительства России Дмитрий Рогозин поручил создать совет по кибербезопасности при Военно-промышленной комиссии, а также межведомственную рабочую группу по информационной защите. Я не знаю, чем данный совет по кибербезопасности будет отличаться от совета по информационному противоборству при той же ВПК, о создании которого Рогозин заявлял два года назад, меня в новости от 10 марта 2015-го года заинтересовала реплика Рогозина, который «поручил создать совет по кибербезопасности в рамках Военно-промышленной комиссии и на площадке этого совета провести инвентаризацию всего нормативного и законодательного поля, гармонизировать законодательство и перейти к выработке содержательных, а не декларативных, законодательно-нормативных актов, которые позволят обеспечить необходимое законодательное регулирование по вопросам информационной безопасности».

Я тут поднял из недр электронной почты одно из своих писем, которые направлялись нашим регуляторам, и решил выложить его в блог. Это одна из идей, которая была рождена как размышления на тему изменения законодательства в области оценки соответствия средств защиты информации.

Безопасность продукта определяется не страной его происхождения (об уязвимостях в программном обеспечении известно и в отношении китайского, и американского, и европейского, и российского происхождения), а выстроенным процессом безопасной разработки и устранения обнаруженных проблем. Это то, на что обращают внимание в последнее время ФСТЭК и Банк России и о чем они говорят на последних публичных и не очень мероприятиях. Убедиться же в качестве ПО с точки зрения безопасности можно с помощью механизма оценки соответствия, предусмотренной законом “О техническом регулировании”. Вопрос только в форме этой оценки соответствия.

Согласно закону о техническом регулировании существует 7 форм оценки соответствия, включая добровольную и обязательную сертификацию. Особенности оценки соответствия согласно требованиям закона устанавливает либо Президент, либо Правительство своими нормативно-правовыми актами. Таких актов немало (по моей оценке – около 40). Если кратко подытожить требования этих актов, то для государственных органов обязательной является оценка соответствия в форме обязательной сертификации по требованиям безопасности (они установлены ФСТЭК и (или) ФСБ). Для ряда структур ВПК обязательной является оценка соответствия в форме обязательной сертификации по требованиям безопасности, установленным Министерством Обороны. Коммерческие предприятия, общественные организации и физические лица вправе самостоятельно выбирать форму оценки соответствия (в ряде случаев требований к оценке соответствия не устанавливается вовсе).

Учитывая, что законодательство по сертификации по требованиям безопасности разрабатывалось в начале 90-х годов и только для государственной тайны; учитывая, что с тех пор это законодательство практически не претерпело изменений (и ФСТЭК, и ФСБ, и МинОбороны оперируют Постановлением Правительства 95-го года); учитывая изменившуюся ситуацию и в области информатизации и в области геополитики, я бы предложил следующие изменения, которые на мой взгляд могут решить существующую неразбериху:
  1. Классифицировать все организации в зависимости от обрабатываемой ими информации (гостайна и все остальные), формы собственности и критичности для экономики, национальной безопасности и обороноспособности страны.
    • С точки зрения деления на гостайну и информацию конфиденциального характера (хотя тут терминология так и не устоялась) сейчас законодательство неплохо проработано. Для защиты сведений, составляющих гостайну, средства защиты должны быть в обязательном порядке сертифицированы по требованиям ФСТЭК или ФСБ (в зависимости от области компетенции), включая и предоставление исходных кодов программного обеспечения для проверки на отсутствие недекларированных возможностей (закладок).
    • С точки зрения собственности я бы разделил всех на организации, обрабатывающие информацию, собственником которой является государство (сюда попадут и ФОИВы, и региональные ОИВы, и ФГУПы, и казенные учреждения и т.п.), и все остальные организации, включая общественные и коммерческие.
    • С точки зрения критичности я бы разделил всех на критически важные объекты (тем более, что сейчас в Правительстве рассматривается законопроект “О безопасности критических информационных инфраструктур”) и остальные. Правда в этом случае термин "КВО" потребует определенных уточнений.
  2. После классификации у нас получается трехмерный куб, где в качестве измерений используется “тип информации”, “тип собственности” и “критичность организации”. У каждого из измерений будет два значения, рассмотренных выше. Таким образом у нас получается куб с 8 возможными значениями - требованиями по оценке соответствия (на самом деле их будет меньше):
    • Например, если речь идет об обработке гостайны, то требуется максимальный уровень сертификации, включая проверку на отсутствие недекларированных возможностей.
    • Если речь идет о государственных организациях или критически важных объектах (независимо от формы собственности последних), которые не обрабатывают гостайну, то для них требуется обычная сертификация по требованиям ФСТЭК или ФСБ.
    • Если речь идет обо всех остальных организациях (коммерческих или общественных), которые не обрабатывают гостайну и не являются критически важными объектами, то к ним никаких обязательных требований не предъявляется и они самостоятельно оценивают свои риски и принимают решение о форме оценки соответствия. 
Такой подход наконец-то позволит расставить все точки над “i” и ответить на вопрос, кому надо, а кому нет использовать сертифицированные средства защиты. Это позволит стимулировать западные компании раскрывать исходные коды своего ПО в России (сейчас, ввиду неочевидности этих требований, это непростой процесс). Это позволит снизить финансовую нагрузку на коммерческие организации, которые согласно Гражданского Кодекса сами принимают решение о своих рисках и ведут деятельность на свой страх и риск. Наконец, это позволит гармонизировать законодательство по информационной безопасности, которое не менялось уже скоро как 20 лет.

Также можно добавить и еще один критерий в список рассматриваемых – степень сотрудничества производителей ПО и железа с российскими регуляторами в области ИБ. Ведь немало западных компаний никак не замешано в упоминаемых в последнее время скандалах с уязвимостями. Также как и по большинству китайских компаний известны откровенные случаи кибершпионажа в пользу Китая в виде установки закладок в свою продукцию. Есть и российские игроки ИТ-рынка, которые не готовы ничего делать для соответствия требованиям по кибербезопасности. Поэтому разделять компании надо не по принципу их происхождения, а по степени их готовности раскрыть свои секреты перед нашими регуляторами в области информационной безопасности (разумеется, при соблюдении ряда требования по сохранности интеллектуальной собственности).

Есть те, кто не готов это делать совсем. Таким не давать никаких преференций. Есть те, кто готов заниматься сертификацией своей продукции по требованиям безопасности, но пока не готов раскрывать исходные коды, так как это требует не только внутренних согласований в части раскрытия интеллектуальной собственности, но и решения на международном уровне, так как согласно Васенаарским соглашениям о контроле технологий двойного назначения передача исходных кодов может потребовать определенных непростых процедур на высоком государственном уровне. И наконец третий тип компаний, которые пошли и на раскрытие исходных кодов и на производство на территории России. Таким компаниям давать максимум преференций, так как они не представляют угрозы с точки зрения информационной безопасности.

Разумеется, все это имеет отношение именно к информационной безопасности, а не политике импортозамещения, которая не имеет ничего общего с требованиями национальной безопасности (хотя часто эти два понятия - "национальная безопасность" и "импортозамещение" часто смешиваются и подменяются).

Вот такие мысли только по одному из направлений нашего законодательства в области ИБ.

16.3.15

ZeroFOX покупает Vulnr

Малоизвестная американская компания ZeroFOX, занимающаяся рисками социальных сетей, приобрела другую малоизвестную американскую компанию Vulnr, которая разработала технологии, позволяющие по новому обнаруживать уязвимости (как, из описания фиг поймешь, и в Интернете я тоже не нашел). Детали сделки не разглашаются.

А ваш автомобиль защищен от кибератак?

CIO крупной металлургической компании в приподнятом настроении вышел из лифта и направился к своей Audi Q7, стоящей в дальнем углу подземного корпоративного паркинга. Сев за руль и нажав кнопку Start, он с удовольствием прислушался к медленному нарастанию  урчащего звука мотора, выдающего в железном коне чистокровную породу. Вырулив в лучах заходящего солнца на Кутузовский проспект, наш CIO втопил педаль газа в пол и меньше чем за 10 секунд стрелка спидометра проскочила отметку в 100 км/час, а еще через некоторое время стрелка прочно обосновалась на отметке в 150 км/час. Ни сигнализация эвакуируемых машин, ни шум дорожных работ не отвлекали CIO от предвкушения наступающего вечера - в компании своей любимой, с бокалом виски в руке, смотря на горящие в камине поленья... Но мечтам не суждено было сбыться. Audi Q7 внезапно и самопроизвольно стал набирать скорость. CIO попытался тормозить, но соответствующая педаль перестала реагировать на нажатия... Перед глазами CIO стали проноситься яркие события прошлой жизни, которые прервал страшный удар в ряд бетонных тумб, защищающих Триумфальную арку...

Видео об удаленном взломе автомобиля можно посмотреть здесь (его будет предварять 30-тисекундная реклама), а мою презентацию с конференции Connected Cars в прошедшую пятницу я выложил в корпоративном блоге Cisco...

В личном же блоге мне хотелось бы отметить пару моментов относительно данной темы. Во-первых, в США сейчас сенатор Эдвард Марки и Ричард Блюменталь готовят законопроект о необходимости подготовке государственного стандарта по информационной безопасности автомобилей и по его обязательному применению для защиты граждан США от кибератак, в которых в качестве мишеней выбран не компьютер пользователя и не его банковский счет, а железный конь, на котором он ездит. Прогрессивная инициатива. Нам, как мне кажется, еще очень далеко даже до мысли о том, что в России нужен такой законопроект. Если уж у нас не могут принять законопроект по безопасности критических инфраструктур, то о безопасности Интернета вещей вообще мало кто задумывается. Хотя о самом понятии наши ученые рассуждают уже вполне адекватно и даже включают его в прогноз научно-технического развития РФ до 2030 года. Но как это часто бывает с инновациями, об их безопасности начинают думать много позже появления не только первых прототипов, но и запуска серийного производства.

В конце концов, инцидентов пока в этой области у нас нет (или мы просто про них не знаем), требований регуляторов и законодателей тоже (пока мало кому в голову придет трактовать данные, хранимые в бортовом компьютере автомобиля, персональными). С другой стороны, реализация требований по безопасности увеличивает себестоимость решения и сроки выпуска его на рынок. А это чревато проигрышем в конкурентной борьбе. Отсюда закономерный вопрос - а нафига тогда заниматься автопроизводителям и их экопартнерам вопросами информационной безопасности?.. Вот поэтому в обозримом будущем в России эта тема врядли выйдет на первый план. Как и вообще тема кибербезопасности Интернета вещей. Я про нее упоминал 4 года назад, а потом спустя 2 года. А воз и ныне там. Так что остается ждать, что Автоваз пока не будет радовать россиян навороченной электроникой и компьютеризацией в своих изделиях, иностранные авто не будут доминировать на российском рынке и никто не нацелится на особо важных персон российских власти и бизнеса через их автомобили. В таких условиях и авто-ИБ не будет никому нужна.

ЗЫ. Хорошая презентация по уязвимостям и векторами атаки на автомобили была выложена 12-го марта Алексеем Синцовым.

13.3.15

Как создавалась презентация про домотканые средства защиты


Коротенькая заметка для тех, кто пропустил (в танке)...

Презентация про домотканые средства защиты является творчеством не только моим, сколько совместным. Это третий вариант составления "ИБ-рейтинга", который я описал в конце прошлого года. Это и не демократический выбор, и не результат тирании. Перед выступлением на семинаре RISC 5-го марта я составил первоначальный вариант презентации, которая дополнялась по ходу ее представления аудитории, которая и вспоминала продукты, мной упущенные.

Именно по этой причине в первоначальном проекте презентации не было решений Trustverse (хотя КУБ начинал создаваться еще тогда, когда я работал в Информзащите и когда он носил имя "Беркут"), Entensys, Indeed-ID, ALTELL, RedCheck (это, кстати, все российские компании, несмотря на свои англоязычные названия) и Системпром. Я просто с ними не сталкивался у заказчиков и поэтому просто про них не помнил. Именно аудитория семинара RISC предложила вставить их в список, что и было сделано.

Кстати, на семинаре RISC я опробовал новый формат (за что спасибо организаторам мероприятия - Марии Сидоровой, Марии Акатовой и Евгению Родыгину) - вовлечение аудитории в ход презентации :-) Начали мы с ИБ-игрищ, в которых разделили весь зал на две команды, которые и давали свои варианты ответов на заранее подготовленные вопросы "А что если?.." Получилось живенько (я думаю я еще отдельно напишу про эти игрища). А продолжили как раз в презентации про домотканые ИБ-продукты (в Facebook даже предложили использовать термин "лобковые средства защиты", видимо спутав их с "лубочными" :-) которая и создавалась коллективно.

Для тех, кто не знает, что такое "лубок" и путает его с "лобком", нашел иллюстрацию:




Русский изобразительный лубок (стилизация)


А вот уже финальный вариант (v1.1), который сейчас и выложен на SlideShare (он же отображается в блоге), я доделывал самостоятельно, прошерстив Интернет и различные рейтинги отечественных компаний в области ИБ. Так что, если кто-то в список не попал, то видимо с ним и заказчики не сталкиваются особенно, и в Интернете следы про него сложно отыскать. Но есть компании, которые я не включил в список сознательно (возможно это и неверно). Например, я целенаправленно исключал компании, которые брали коммерческий иностранный продукт (даже не open source) и на его основе выпускают свое решение или сервис.

Или, например, компания ЭЛКО. Зайдя на ее сайт, вы врядли догадаетесь, что она когда-то занималась (а может и сейчас это делает) информационной безопасностью. Статьи про туалетные кабины, ботекс в лоб, натяжные потолки для кухни, казахские баурсуки, фены и хонды с пробегом врядли ассоциируются у нас с защитой информации. И только тот, кто еще помнит, что имя ЭЛКО звучало (пусть и негромко) на рынке ИБ много лет назад пойдет чуть в глубь сайта и наткнется на межсетевой экран с системой исключения атак "ЭльФ". Боюсь, правда, что вы врядли сможете получить хоть какие-то детали по данному продукту, ведь девизом компании является "Автоматизация безнеса". Видимо какие продукты, такой и безнес :-)





И в заключение еще раз повторю мысль, которая была озвучена мной на семинаре RISC и она же включена в презентацию. На полноту и охват всего российского рынка данный экспресс-анализ не претендует. Если есть желающие, то вы можете сваять свой собственный список продуктов отечественного производства. Думаю, что чем больше мнений, тем лучше для отрасли. Ведь именно в споре и рождается истина. По крайней мере так говорят :-)




Blue Coat перепродали другому инвестиционному фонду

3 года назад, в декабре 2011-го компания Blue Coat была приобретена инвестиционным фондом Thoma Bravo за 1,3 миллиарда долларов. И вот 10 марта Blue Coat была перепродана другому инвестиционному фонду - Bain Capital. Уже за 2,4 миллиарда. Но если в портфеле Thoma Bravo  было несколько компаний по ИБ, то для Bain Capital это новый сегмент рынка. До этого Bain инвестировал в LinkedIn, BMC Software, SurveyMonkey и т.п.

Планы ФСТЭК по развитию нормативной базы в области АСУ ТП

Продолжаю делиться воспоминаниями о конференции ФСТЭК. На этот раз речь пойдет о том, что планирует сделать ФСТЭК в области регулирования вопросов защиты информации в АСУ ТП? Виталий Сергеевич Лютиков озвучил планы по разработке 4-х новых документов, которые дополнят 31-й приказ:


  • Меры защиты информации в АСУ ТП. Это будет аналог методического документа по мерам защиты в ГИС, но ориентированного на АСУ ТП (все-таки там есть и существенные отличия по ряду защитных мер).
  • Порядок выявления и устранения уязвимостей в АСУ ТП. Чтобы понять отличия в подходах по поиску дыр в корпоративных и индустриальных сетях, достаточно взглянуть на эту картинку, описывающую классический ИБшный подход, плохо применимый к АСУ ТП.
  • Методика определения угроз безопасности информации в АСУ ТП. Изначально предполагалось, что методика моделирования угроз будет единой и для ГИС, и для ИСПДн, и для АСУ ТП. Но, видимо, ФСТЭК решила, что для АСУ ТП моделирование угроз будет немного иным.
  • Порядок реагирования на инциденты, связанные с нарушением безопасности информации. 
Все документы запланированы на 2016 год. Как мне кажется это связано не только с большими планами ФСТЭК на 2015-й год по разработке/доработке 17-го приказа и кучи РД по сертификации, но и с тем, что как раз к 2016-му году Правительство РФ должно все-таки определиться с тем, что за федеральный орган исполнительной власти будет отвечать за безопасность критических информационных инфраструктур. В зависимости от этого ФСТЭК либо продолжит работу по направлению АСУ ТП, либо закроет для себя это направление, отдав его в ФСБ.

ЗЫ. Планируется еще две, последние заметки по результатам конференции ФСТЭК - про базу уязвимостей и базу угроз ФСТЭК, которые были опубликованы позавчера.

12.3.15

OpenDNS покупает BGPmon

Облачная компания по сетевой безопасности OpenDNS объявила 12-го марта о приобретении небольшой компании BGPmon, занимающейся мониторингом протокола маршрутизации BGP, часто используемого для перехвата или перенаправления трафика через подставные узлы. Детали сделки не раскрываются.

Импортозамещение в ИБ или очковтирательство?

После публикации в блоге презентации про домотканые средства защиты в Facebook были предсказуемые "наезды" со стороны различных представителей отечественных компаний, которые заявляли, что их незаслуженно забыли и не включили в список продуктов отечественного производства. Ожидаемо... Еще на семинаре RISC я высказал предложение, что каждый желающий может использовать эту презентацию так как считает нужным, добавляя и убавляя продукты по своему желанию. Так что любой производитель может сделать свой вариант этого списка. Я же хотел сегодня поговорить немного о другом, а точнее о том, как в России придумали собственную стратегию развития бизнеса, паразитирующую на open source.

Возьмем, к примеру, компанию Cisco. У нас, в стратегии развития направления по ИБ (да и не только), присутствует три способа расширения нашего продуктового портфолио:
  • Самостоятельная разработка (если позволяет время и нет жесткого прессинга со стороны заказчиков, которым нужно закрыть потребность "здесь и сейчас").
  • Приобретение компании, которая нам интересна и которая укладывается в нашу стратегию. В области ИБ мы за последние 18 лет приобрели более 25 компаний (из последних - Neohapsis, ThreatGRID, Sourcefire, IronPort, Cognitive Security, Virtuata, Meraki...), технологии и решения которых расширили нашу продуктовую линейку.
  • Партнерство с эко-партнерами, с которыми мы создаем совместные решения (например, Cisco Cyber Threat Defense с Lancope или система генерации отчетов для решений по контентной безопасности вместе с Splunk).


Разновидностью покупки компании является приобретение технологии или права на ее использование. Но в России придумали пятый путь - взять бесплатный open source продукт и продавать его за большие деньги. Наверное, самым "тиражируемым" решением является система обнаружения атак Snort IDS, распространяемая по лицензии GNU GPLv2 и Non-Commercial Use License, что позволяет применять ее в рамках некоммерческого использования. При этом некоммерческое использование распространяется на ключевой элемент - сигнатуры, разрабатываемые командой Cisco Talos и доступные только по подписке и при условии их личного использования, т.е. нераспространения. Но... это не мешает многим отечественным компаниям использовать Snort в качестве основы для своих систем обнаружения атак, которые затем продаются за большие деньги.

В 2003-м году я написал статью "Можно ли в России создать свою систему обнаружения атак?". И хотя с момента ее публикации прошло уже 12 лет ситуация почти не поменялась. Ведь IDS - это не столько движок по обнаружению атак, сколько регулярность и оперативность обновления сигнатур атак на протяжении длительного времени. А вот писать собственные сигнатуры атак в России в состоянии 2-3 компании, не больше. У большинства просто нет центров исследования угроз, в которых в круглосуточном режиме работают высококлассные эксперты, способные проводить исследования в области ИБ, и формализовать их в виде сигнатур или иных шаблонов действий злоумышленников.

Но заработать-то, особенно на фоне импортозамещения, хочется. Вот и идут некоторые российские разработчики по пути использования уже известных open source решений, на которые "навешивается" русифицированный интерфейс и которые затем продаются под собственной торговой маркой. Сигнатуры же используются общедоступные или, в отдельных случаях, закрытые, купленные по подписке за 300 долларов в год. Никакого собственного интеллекта привнести в такие решения многие российские разработчики, увы, пока не в состоянии. А даже если и возможно некоторое допиливание open source, то вопрос с нарушением лицензии все равно остается - многое ПО распространяется с дополнительными лицензиями, которые не разрешают извлекать прибыль или получать иную выгоду из продуктов, распространяемых по этой лицензии.

Что же делать потребителю в такой ситуации? Как отделить зерна от плевел и понять, что ему не втюхивают бесплатный продукт в дорогой обертке, а предлагают реальное решение задач ИБ заказчика? Если рассматривать системы обнаружения атак или сканеры безопасности (например, на базе OpenVAS), то я бы навскидку выделил бы несколько критериев оценки (специфичных именно для решений на базе open source):
  • Число собственных сигнатур/проверок по сравнению с бесплатными / купленными у кого-то.
    • Кстати, если число собственных сигнатур/проверок меньше чем в Snort, Bro, Suricata или OpenVAS/Nessus, то есть ли смысл покупать недешевую систему IDS или сканер, если в бесплатной больше сигнатур/проверок?
  • Оперативность выпуска сигнатур/проверок для новых атак/уязвимостей.
  • Наличие своего исследовательского подразделения. Надо заметить, что тут важен не только сам факт его наличия (навесить вывеску можно на что угодно), а демонстрация его работы. Обычно он выражается в виде фидов Threat Intelligence или бюллетеней с описанием обнаруженных проблем. И тут важно оценивать также длительность работы этого подразделения. А то получится, что существует оно всего неделю и весь результат его работы - это переведенный на русский язык один единственный доклад с какого-нибудь Defcon или BlackHat.
  • Гарантии устранения ошибок / уязвимостей в коде проданного решения. Сделать это в отношение open source и легко и сложно одновременно. Если это делается независимо от основной ветви развития продукта, то может сложиться ситуация, когда проданное решение уже не будет стыковаться с общепризнанным open source решением и не сможет использовать его сигнатуры или иные компоненты в случае изменения архитектуры или иных частей кода. А если разработчики проданного решения на базе open source, активно вовлечены в развитие основного кода (на базе которого они и сделали свое решение), то достаточно просмотреть форумы техподдержки, чтобы понять, насколько вовлечены отечественные разработчики в жизнь используемого ими решения.
На самом деле критериев должно быть больше. Это и финансовая стабильность поставщика, и наличие сертификатов (для определенных ситуаций), и длительность существования компании на рынке, и квалификация персонала (хотя оценивать ее непросто), и т.д. Неслучайно те же Gartner, Forrester, IDC и другие аналитические компании используют целый спектр по оценке того или иного сегмента рынка средств защиты, не ограничиваясь только функциональностью того или иного продукта, но и оценивая его производителя по куче разных показателей. Я же хотел только показать всего несколько критериев, по которым можно отделить действительно серьезного игрока рынка ИБ (пусть и использующего open source в своей основе), от фирмы-однодневки, желающей по быстрому "срубить бабла" на волне импортозамещения.

ЗЫ. Оценивать SIEM на базе open source чуть сложнее, но общие рассуждения остаются неизменными. Разработчикам стоит показать, что нового они привнесли в скачанный из Интернета OpenSOC или OSSIM.

11.3.15

Как Ростехнадзор информационную безопасность России нарушал

Есть такое понятие - структурированная система мониторинга и управления инженерными системами зданий и сооружений (СМИС). Согласно ряду нормативных требований, а точнее:

  • Приказ МЧС от 27.10.2009 №612 «О совершенствовании нормативной базы по организации систем наблюдения и контроля (мониторинга) параметров состояния зданий и сооружений и оборудования потенциально опасных объектов»
  • ГОСТ Р 22.1.12-2005 «Безопасность в ЧС. Структурированная система мониторинга и управления инженерными системами зданий и сооружений. Общие требования»
  • Различные своды правил и стандарты, например, ГОСТ «Безопасность в чрезвычайных ситуациях. Технические средства мониторинга чрезвычайных ситуаций. Структурированная система мониторинга и управления инженерными системами зданий и сооружений»
критически важные и потенциально опасные объекты должны быть оснащены в обязательном порядке структурированными системами мониторинга и управления инженерными системами зданий и сооружений, а также должна быть обеспечена автоматическая передача необходимой информации о состоянии контролируемых объектов и параметрах чрезвычайной ситуации по установленной форме в дежурную службу объекта, единую дежурно-диспетчерскую службу муниципального образования и Ростехнадзор. Это требования Министерства по чрезвычайным ситуациям (МЧС).

На первый взгляд требование логичное и полезное - за борьбу с чрезвычайными ситуациями у нас отвечает МЧС. За промышленную безопасность - Ростехнадзор. Поэтому надо иметь возможность контролировать критически важные и потенциально опасные объекты с целью своевременного предотвращения опасных ситуаций, которые могут привести к катастрофе. Но...

Как такое требование у нас выглядит с точки зрения информационной безопасности? Начнем с того, что предприятия, попадающие в перечень критически важных объектов, должны предоставить МЧС выделенный канал для подключения к своей АСУ ТП системы для осуществления мониторинга технологических процессов и процессов обеспечения функционирования оборудования предприятия! Разумеется, никаких требований к защите этого подключения и этого канала не предъявляется (не епархия МЧС это). Ответственного (читай "крайнего") за этот канал тоже нет - ответственности делится между владельцем КВО и Ростехнадзором и каждый, в случае наступления чрезвычайной ситуации, будет кивать друг на друга.

Во-вторых, СМИС, получается, дублирует существующую на предприятии систему противоаварийной защиты. Посколько и существующая на предприятии система противоаварийной автоматики и СМИС подключаются к одной и той же системе, то их взаимодействие непредсказуемо. Со всеми вытекающими.

Но самое главное. Данный обязательный канал подключения КВО к СМИС является каналом проникновения в защищенный периметр критически важного объекта.

И вот новый сюрприз. Ростехнадзором подготовлен законопроект "О внесении изменений в Федеральный закон "О промышленной безопасности опасных производственных объектов", согласно которому "организация, эксплуатирующая опасный производственный объект, обязана осуществлять дистанционный контроль технологических процессов на нем, и передачу в федеральный орган исполнительной власти в области промышленной безопасности информации о регистрации параметров, определяющих опасность технологических процессов, а также о срабатывании систем противоаварийной защиты".

Вещь эта безусловно полезная и нужная - направлена она на предотвращение чрезвычайных ситуаций. Но и про информационную безопасность забывать не стоит. А тут она вырастает в полный рост - все-таки требование дистанционного контроля технологических процессов представляет собой новый риск для тех объектов, где такого нового канала доступа Ростехнадзора раньше не было. В законопроекте стоило бы прописать соответствующие отсылки на требования по информационной безопасности при обеспечении такого контроля, которые должны быть установлены федеральным органом исполнительной власти, уполномоченным в области безопасности ключевых систем информационной инфраструктуры или в области безопасности критических информационных инфраструктур. Всего один абзац, зато появляется задел на будущее и можно будет наконец-то реализовать долгожданную связку требований по промышленной и информационной безопасности, о которой я уже как-то писал

10.3.15

3 поглощения на рынке ИБ

18 февраля Check Point купил израильскую компанию Hyperwise, занимающуюся обнаружением угроз. Детали сделки не разглашаются.

2-го марта Proofpoint объявила о приобретении Emerging Threats, известной своим решением по автоматизированному анализу угроз и сервисом Threat Intelligence. Сумма сделки - около 40 миллионов долларов кэшем и акциями. Тема Threat Intelligence сейчас модная и многие игроки рынка ИБ продолжают наращивать своей потенциал в ней, скупая мелких "собратьев". Cisco в 2012-м и 2014-м годах купила Cognitive Security и ThreatGRID, Bit9 купил Carbon Black в 2014-м, IBM в августе 13-го прикупил Trusteer, а Deloitte за месяц до этого приобрел Vigilant.

2-го же марта компания LookingGlass, известная своим решением Threat Intelligence, объявила о приобретении CloudShield, провайдера DPI-платформы. Детали сделки не разглашаются. 

О "запрете" бронирования авиабилетов с 1-го сентября

Что-то последнюю неделю СМИ активно стали писать про невозможность с 1-го сентября бронировать авиабилеты. В качестве причины называется конечно же 242-ФЗ, который запрещает хранить ПДн россиян за границей. Учитывая, что большинство российских авиакомпаний использует для бронирования американские и европейские системы бронирования Sabre, Amadeus, Galileo и т.п., то вывод напрашивается сам собой.

А теперь попробуем разобраться, как дела обстоят на самом деле? Все воздушные перевозки, если по крупному, регулируются двумя международными конвенциями - варшавской (с кучей поправок и дополнений) и чикагской (тоже с кучей поправок). Первая была подписана в 1929 году в Варшаве и регулирует она правила международных воздушных перевозок и ответственность перевозчиков. С 29-го года было принято немало поправок в Варшавскую конвенцию в виде дополнительных протоколов (Гаагская конвенция, Гвадалахарская конвенция, Монреальская конвенция и т.п.). Вторая конвенция, "чикагская", о международной гражданской авиации, была принята в 1944-м году. Она установила принципы работы гражданской авиации и определила, что для контроля исполнения положения конвенции, а также ее адаптации к новым реалиям, создается специальная международная организация, ассоциированная с ООН, - ИКАО (Организация международной гражданской авиации). Россия является стороной обеих этих конвенций.

Первая конвенция устанавливает необходимость применения авиабилетов и ряда других проездных документов, а вторая определяет ряд правил, связанных с иммиграционным, пограничным и таможенным контролем, а также контролем в контексте национальной безопасности (статьи 13, 22, 23, 29 и 37). ИКАО, как уполномоченная организация, устанавливает единые для всех правила и контролирует их исполнение. Кстати, именно ИКАО в 2005-м году утвердила новые требования к машинносчитываемым паспортам, которые с ноября 2015-го года должны стать единственным вариантом документа, удостоверяющего личность на международных перевозках (никаких старых паспортов).

При разработке указанных стандартов паспортов и проездных документов участвует и IATA (международная ассоциация воздушного транспорта), объединяющая свыше 230 авиакомпаний по всему миру. IATA установила единый формат авиабилета и информации, которая туда в обязательном порядке должна помещаться и которая используется при бронировании. Среди прочего это фамилия и имя пассажира, реквизиты документа, удостоверяющего личность, дата рождения (зависит от перевозчика), места отправления и назначения, отметки об отказе въезда в страну, информацию о льготах и т.д. Есть еще и ряд дополнительных сведений (т.н. Advance Passenger Information), которая сейчас требуется 39-тью и будет еще требоваться 32-мя странами мира. Учитывая вышеуказанные статьи чикагской конвенции, обработка этих сведений при оформлении билетов является вполне законной.

К чему этот экскурс в правила ICAO и IATA? Все просто. Упомянутые мной конвенции, ратифицированные и Россией, являются теми самыми международными договорами, о которых говорится в 242-ФЗ и которые являются одним из исключений, позволяющих хранить ПДн россиян за пределами РФ. По крайней мере такой вывод напрашивается, если посмотреть, как регулируется вопрос авиаперевозок.

А вот что касается защиты и адекватной обработки самих персональных данных различными авиакомпаниями, то на эту тему существуют рекомендации IATA RP 1774 от 2001 года, которые определяют, что можно и что нельзя делать в контексте обработки ПДн пассажиров. IATA продолжает работу над повышением качества обработки ПДн и в контексте принятия новой редакции европейской конвенции по ПДн.

Поэтому, как мне кажется, тем же авиакомпаниям не стоит опасаться нарушения ФЗ-242 - использование различных систем бронирования (GTD) вполне укладывается в рамки действующего законодательства. Разумеется, при условии соблюдения остальных норм ФЗ-152 и, в частности, 12-й статьи о трансграничной передаче. А вот разговоры о создании собственной системы бронирования (будь-то реинкарнация СИРЕНЫ или создание чего-то нового) касаются уже совершенно иной темы, которая к ФЗ-242 никакого отношения не имеет.

6.3.15

Экспресс-анализ рынка домотканных средств защиты информации

Вчера на семинаре RISC, в качестве одной из поднятых тем стал вопрос импортозамещения и как службам ИБ жить в данных условиях. Кого-то тема импортозамещения уже коснулась. Кто-то опасается, что может коснуться. Кто-то просто хочет держать в голове варианты решения в случае реализации сценария "А что если?.."

Собственно для ответа на этот вопрос и была создана данная презентация, в которой я постарался упомянуть практически все более или менее известные российские разработки в области защиты информации (за редкими исключениями, описанными в предисловии к презентации).

На полноту раскрытия темы не претендую, но думаю, что процентов 90 решений в презентации упомянуты.


5.3.15

Управление ИБ в условиях текущей неопределенности (презентация с RISC)

Вторая презентация с семинара RISC, посвященная управлению ИБ в условиях текущей неопределенности в отрасли, в экономике, в компании, в отделе...


Первая презентация с семинара RISC по актикризисной стратегии ИБ

Первая презентация с семинара RISC по антикризисной стратегии информационной безопасности. Начали мы с интерактивных ИБ-игрищ "А что если?.."


4.3.15

Новости по сертификации средств защиты информации

Продолжаю вспоминать конференцию ФСТЭК. На этот раз поговорим о выступлении Дмитрий Шевцова, который представил нововведения по части сертификации средств защиты информации. Начну с критики - любовь наших госорганов к статистике иногда затмевает смысл ее использования. Вот возьмем к примеру слайд с количеством сертифицированных средств защиты. Что он означает? Количество наименований? Количество типов? Количество копий? Количество сертификатов? А фиг знает. Аналогичный вопрос и по количеству произведенных средств защиты. Что значит произведенных? Как вообще можно сравнивать, например, число произведенных МСЭ и СЗИ от НСД?


Ну да ладно. ФСТЭК отметил в этом году перелом - число сертифицированных средств защиты отечественного производства впервые превысило число импортных средств защиты. В условиях текущей геополитической ситуации это логично; хотя разрыв мог бы расти быстрее. Особенно в условиях взятого курса на импортозамещение.


ФСТЭК видит в качестве основных направлений совершенствования системы сертификации средств защиты три темы:

  • разработка и совершенствование требований к средствами защиты информации и методических подходов к их сертификации
  • совершенствование порядка аккредитации органов по сертификации и испытаттельных лабораторий
  • совершенствование порядка сертификации средств защиты информации.

Большинство потребителей интересует в первую очередь первое направление. Оно и понятно. Наибольшее число потребителей сталкивается именно с ними и их интересует, что будет делать регулятор в ближайшее время. А будет он расширять число типов средств защиты, под которые будут "подложены" свои требования. ФСТЭК в данном случае последовательно выполняет обещанное при выпуске 17-го приказа - под каждое требование, которое может быть закрыто средством защиты, разрабатывает свой РД с требованиями к средствам защиты.


Помимо отображенных на рисунке типов средств защиты информации ФСТЭК также планирует разработать требования для:

  • средств защиты виртуализации
  • BIOS (у ФСБ есть аналогичный документ)
  • операционных систем (в свое время проекты таких профилей уже были сделаны) 
  • СУБД.
По части защиты от утечек по техническим каналам у ФСТЭК тоже большие планы. Планируется утвердить РД для:
  • Средств активной защиты информации от утечки по каналам ПЭМИН (утверждены, направлены в Минюст на регистрацию).
  • Средств виброакустической защиты информации (утверждены, направлены в Минюст на регистрацию).
  • ПЭВМ, защищенным от утечки информации по каналам ПЭМИН (2015 год).
  • Средств пассивной защиты информации от утечки по каналам ПЭМИН (2016 год).
  • Средств защиты информации от утечки за счет микрофонного эффекта (2016 год).
Те, кто занимается сертификацией, знает, что испытательные лаборатории иногда, мягко говоря, спустя рукава подходят к процессу. Поэтому ФСТЭК уже пару лет назад как запланировал выпуск типовых программ и методик сертификационных испытаний средств защиты информации. В нынешнем году это должно произойти. Кстати, американцы, проводящие сертификацию по "Общим критериям" уже пару лет также идут в этом направлении.


Еще одним направлением, которое ФСТЭК взяла на флаг, совпадает с тем, чем сейчас занимается Банк России, - повышение качества ПО. Специально для этого ФСТЭК не только выпускает ГОСТы по управлению уязвимостями (разработаны и должны быть скоро опубликованы) и ГОСТ по разработке защищенного ПО, но и анонсирует базу уязвимостей, о которой я еще напишу.

Про новые правила аккредитации испытательных лабораторий и органов по сертификации я писать не буду, а вот анонсированный на конференции ФСТЭК новый порядок и организация проведения сертификации продукции, используемой в целях защиты информации конфиденциального характера, у меня вызвал интерес. Разрабатывается он во исполнение пресловутого и уже порядком подзабытого ПП-330, с которого решили сдуть пыль. Деталей про этот новый порядок озвучено не было - видимо документ только находится на начальной стадии своей разработки.

Ну и в заключение Дмитрий Шевцов анонсировал порядок продления сертификатов ФСТЭК на средства защиты информации, у которых подходит срок окончания сертификатов. Сам порядок уже выложен на сайте регулятора.

3.3.15

Интерактивные ИБ-игрища продолжаются

В Магнитогорске, в последний, практический день, мы с организаторами (Авангард-Про и Банк России) решили немного разбавить стандартные доклады и мастер-классы чем-то новым. Выбор пал на модную тему киберучений, которые собственно и были реализованы. По идее речь идет о бизнес-игре, ориентированной не на технарей, а на руководителей по ИБ, которые далеки от всяких CTF и тому подобных "хакерских" мероприятий. В технике они уже плавают (за редким исключением), а почувствовать себя в роли нападающего хочется :-)

Команда "хакеров"
Вот для такой ситуации и предназначены "штабные учения" по кибербезопасности, в рамках которых участники, стоящие на стороне нападающих, могут попробовать "смоделировать" атаку на своих оппонентов, а последние в свою очередь должны оперативно ее "отразить". Разумеется речь не идет о чем-то глубоко проработанном - это некий блиц "вопрос-ответ", в котором моделируются различные угрозы и способы им противодействия. Масла в огонь подливает жюри, которое делало внезапные вводные - "вам пришел запрос от Банка России на подготовку 202-й формы отчетности и вы все время тратите на нее, не имея возможность участвовать в работе команды" (это вводная команда защитников) или "вы поехали на DefCon и вас задержали представители американских спецслужб, временно выведя вас из строя" (вводная для "нападавших").

И вот в таком режиме "вопрос - ответ" киберучения и проходили. Наша задача была показать широту возможных угроз для банка - от банальных атак на ДБО до очень специфических угроз, о которых мало кто думает заранее - "завершение лицензии ФСБ и приход в этот момент проверки ФСБ вместе с УБЭП", "подарок свыше 3000 рублей для руководителя ИБ банка с государственным участием" или "вендор пригласил вас в зарубежную поездку и вас обвинили в коррупции". Разумеется, за тот час, что был выделен на киберучения, все угрозы смоделировать не удалось, но мероприятие прошло весело и, судя по отзывам коллег, понравилось многим.

Первый опыт оказался не комом. Да и идей на будущее родилось немало. Одну из них мы попробуем реализовать уже 5-го марта, на втором очном мероприятии RISC в Санкт-Петербурге. В этот раз это будут ИБ-игрища "А что если?.." Идея схожая, но ориентирована эта интерактивная игра будет на борьбу с кризисом в деятельности службы ИБ.

Посмотрим, что получится в этот раз...

Магнитогорск: послевкусие

С регуляторами, выступавшими в Магнитогорске, вроде разобрались. Если вспоминать заметку месячной давности, то на 4 интересовавших меня вопроса, я получил от ЦБ исчерпывающие ответы, исключая, пожалуй, тему FinCERT. Точнее ответы-то я получил, но пока центр реагирования не заработал, судить о корректности ответов достаточно сложно. Поэтому мои ожидания от ЦБ оправдались и даже больше. От РКН и ФСТЭК я никаких откровений не ждал, поэтому просто получил удовольствие от хороших докладов "по делу". 8-й Центр ФСБ... Ну тут было все понятно заранее, поэтому ничего нового я для себя не открыл - что отрасль интересовало - на то ответов не было, а что не интересовало, то было зачтено по бумажке. Исключение, пожалуй, составляет тема отечественного HSM в НСПК. Она представляла что-то реально новое.

Организатор в лице Авангарда-Про расстарался на славу и мероприятие вышло на славу - я не вспомню ни одного косяка ни в один день - все было на уровне - организация, питание, проживание, культурная программа, трансфер... Особенно понравилось мобильное приложение, в котором можно было оценивать докладчиков, формировать свою программу, отслеживать новости мероприятия и т.п. Мне кажется за таким форматом будущее - для масштабных мероприятий мобильное приложение делать гораздо выгоднее, чем пытаться напечатать кучу макулатуры, которую все выбрасывают в первый же день. Да и интерактива у мобильного приложения больше - при правильном использовании его еще и монетизировать можно.

Организаторы в ожидании перерыва в заседании :-)

Круглые столы, которых было много и которые позволяли уйти от набивших оскомину рекламных докладов, полностью соответствовали идее. Но я лишний раз убедился, что в круглом столе самый важный человек - модератор. Если он не пускает все на самотек, то мероприятие получается на славу - оно живет, пульсирует, вызывает реакцию у аудиторию и живую дискуссию.

Круглый стол про взаимодействие интеграторов, заказчиков и вендоров (интегратор не пришел)

Такое бывает не так часто, к сожалению, на мероприятиях по ИБ. Либо модератор не в теме, либо он пускает все на самотек, либо перетягивает одеяло на себя и превращает круглый стол в монолог и восхваление себя. Найти золотую середину непросто. В Магнитогорске где-то удалось это сделать, а где-то нет. Но как бы то ни было народ сидел на круглых столах и слушал; и даже без пива как в прошлом году :-) А значит формат мероприятия всем понравился - народ изголодался по живой дискуссии и общению.

Вечерний круглый стол по импортозамещению
Спонсоры в этом году не донимали, а может я просто уже привык к ним :-) Но лишний раз глаза они не мозолили, выстроившись либо на заднем ряду в зале, либо по периметру холла перед залом заседаний.


При этом некоторые из них доказали тот факт, что только правильная подготовка может помочь выделиться на фоне остальных участников и привлечь внимание к своему стенду. Тот же Positive Technologies устраивал прикольные бега роботараканов :-) А Инфотекс пошел по пути импортозамещения в традиционной для русской зимы теме и дегустации чисто русских напитков :-)

От французской бурды к русском импортозамещению

Как-то отмечать доклады я бы не хотел - с презентациями можно ознакомиться на сайте мероприятия. Не потому что ничего не было интересного - просто интересного как раз было немало, но пересказывать бессмысленно, а записей видео все равно нет. Но, как и предполагалось, наиболее интересны были доклады представителей банков - оно и понятно, они делились практикой, которая всегда интересна. Доклады вендоров и интеграторов, которые реально были интересны, можно пересчитать по пальцам одной руки. Все-таки в следующем году надо их в отдельный зал трансгрессировать, отдав основной полностью под доклады банков или прошедшие жесткий контроль программного комитета :-)

Вот как-то так :-)

ЗЫ. Меня спросили на копии блока на securitylab.ru, где взять книги, которые я упоминал в прошлый раз? Отвечаю - не знаю. Как и предполагалось, они оказались эксклюзивными и пока нигде больше я их не видел.