31.12.2016

С наступающим Новым годом!

Я все думал, писать или не писать, эту, финальную в уходящем году, заметку. Вроде бы и впечатлениями от прошедшего года поделился, и прогнозы сформулировал. Что еще надо? На видеопоздравление, как в прошлом году, меня в этот раз не хватило - слишком насыщенным был конец года и времени на запись и монтаж не осталось. Но все-таки просто так я не оставлю блог и сформулирую нечто, что можно назвать поздравлением и личным подведением итогов.

Несмотря на пожелание самому себе поменьше ездить в командировки, я не смог его исполнить - перелетов было много, что в итоге и привело к попаданию в ноябре в больницу. Это 12 лет назад, когда я пришел в Cisco, я мог спокойно выдерживать по 8 перелетов каждый месяц в течение года и чувствовал себя бодрядчком. Сегодня уже все по-другому. Здоровье уже не то, что 20, и даже 10 лет назад. Начинаешь ценить жизнь во всех ее проявлениях и особенно время, проводимое с семьей. Как правильно было где-то сказано, для работы есть вся жизнь, а детство детей бывает только один раз и упускать это время неправильно. Как бы мне не нравилось то, чем я занимаюсь и то, что можно было бы назвать японским "икигай".

Поэтому в новом году буду более пристально смотреть на то, куда и зачем я буду летать. Все мероприятия не посетишь и всем всего не расскажешь. Три года назад я сформулировал для себя критерии посещения мероприятий по ИБ и я им следовал, но теперь буду более пристально смотреть на все приглашения.

Уходящий год был насыщенным и на мероприятия, и на новые впечатления, и на новые знания. Особо отметить хотел бы последнее. Учиться никогда не поздно, а в нашей профессии - это просто одно из условий выживания. Надеюсь, что продолжу это делать и в следующем году - уже составил для себя список и курсов, и мероприятий, и областей знаний, которые хочу изучить глубже и более подробно.

Продолжу общественную деятельность в виде участия в рязличных рабочих группах, занимающихся разработкой или экспертизой нормативных документов. Вспоминаю давний спор с покойным Володей Гайковичем на тему участия в рабочих группах ФСТЭК по разработке 17/21-го приказов. Он тогда удивлялся, почему эксперты вообще тратят свое личное время на работу, которая мало кем будет оценена. Отрасль все равно найдет, за что ругать новые документы. Регуляторы считают это само собой разумеющимся. А есть еще и организации, которым платят за то, что эксперты рабочих групп делают бесплатно ради того, чтобы сделать мир лучше, как бы пафосно это не звучало. Поэтому полученная благодарность от Совета Безопасности для меня была удивительна (особенно после того, что я про них писал) и ценна. Достаточно часто участвуя в различных рабочих группах по экспертизе или разработке НПА по ИБ, могу сказать, что это большая редкость, когда тебя так благодарят за проделанную работу. Спасибо на словах могут сказать, а вот что-то большее?.. Этого по большому счету и не припомню, кроме благодарности министра внутренних дел и диплома Ассоциации российских банков.


Завершу работу над книгой (если получится, то над двумя), которая началась достаточно давно, но все не могу выкроить время для финального редактирования. Все время думаю, как я мог найти время на то, чтобы в 2001-м году выпустить "Обнаружение атак"?.. :-) Но в этом году все-таки закрою для себя этот вопрос. Надеюсь, новая книга будет не только интересной, но и полезной для читателя. Пока не буду раскрывать тему, скоро все станет известно.

Геополитические разборки докатились и до меня. Все чаще стали обвинять в работе на американское правительство и в продажности потенциальному врагу. Ну что тут сказать?.. Опускаться на уровень оппонентов, утверждающих это, значит проиграть им, а доказывать что они не правы?.. Зачем? Я уже вышел из того возраста, когда должен кому-то что-то доказывать. Я занимаюсь любимым делом и продолжу им заниматься, несмотря на пустые заявления ряда людей, с которыми иногда даже и не знаком лично.

Неприятно удивила реакция людей, которых я считал, если не друзьями, то близкими товарищами. Сначала тебя без объяснения причин банят в Фейсбуке, потом там же поливают грязью, потом просятся в друзья, а потом опять банят. Не понимаю я такого поведения. Если что-то не нравится, то скажи прямо (пусть и не в лицо, но хотя бы в чате). Ну да ладно. Переживем и это.

Но что-то я все о своем, да о своем. Пора перейти и к пожеланиям. Пусть новый год будет безопасным! Во всех смыслах. Пусть у нас у всех будет безопасное будущее. Пусть наши дети и родители будут защищены и здоровы. Пусть наше собственное здоровье будет позволять нам делать все, что мы задумали. Пусть наша работа будет интересной и полезной для окружающих, а они в свою очередь ценят наш труд! Пусть геополитические баталии не выйдут за пределы разговоров, а лучше и на этом уровне сойдут на нет. Пусть сложностей и неопределенностей будет поменьше (все-таки 2017 - число простое). Пусть у нас всегда будет оставаться время на изучение чего-то нового. И пусть мы не будем забывать помогать ближним - словом или делом. С наступающим Новым годом! Счастья всем! До встреч в новом году!

27.12.2016

Прогнозы на год крадущегося лиса (если вы патриот) или огненного петуха (если вы китаефил)

По традиции решил поделиться своими прогнозами на грядущий год, который будет годом крадущегося лиса по славянскому, или годом огненного петуха по китайскому календарю. Но сначала вспомним, что я прогнозировал на этот год и что из этого сбылось:
  • Деятельность Интернет-советника - сбылось
  • Сворачивание политических свобод и прав граждан - сбылось
  • Активность по законопроекту по безопасности критической инфраструктуры - не сбылось
  • Доктрина ИБ - сбылось
  • Гособлако - 50/50
  • Административная реформа - 50/50
  • Усиление требование по ИБ в финансовых учреждениях - сбылось
  • Развитие ГосСОПКИ - сбылось
  • Новые требования 8-го Центра по СКЗИ - сбылось
  • Развитие импортозапрещения и отсутствие российских инноваций - сбылось
  • Обвинения России в кибератаках - сбылось
  • Внедрение китайских продуктов в отечественную информатизацию госорганов - сбылось
  • Блокчейн - сбылось
  • Нестабильность рынка - 50/50.

10 из 14 сбылось, одно не сбылось, остальные сбылись/не сбылись частично.

Попробую спрогнозировать ключевые изменения в 2017-м году, добавив к вышеприведенному списку (это ведь долгоиграющие тенденции) кое-что новое. Если углубляться в технические прогнозы, то я их описывал в презентации, которую готовил для одной очень крупной организации совсем недавно, а некоторые законодательные тренды я описал в статье для "ИТ-менеджер". Поэтому попробую коротко описать, что нас ждет и что не было описано по упомянутым ссылкам:
  1. Локализация ПДн. Роскомнадзор последние пару лет малость поумерил пыл в части персональных данных, сосредоточившись на ограничениях в Интернет. И только в конце года Роскомнадзор решил показать свою силу, заблокировав LinkedIn на территории России за нарушение ФЗ-242 о локализации ПДн россиян. Думаю, что в следующем году (если не будет серьезных геополитических подвижек) Роскомнадзор проведет еще несколько публичных "порок" (предположу, что Google будет одним из первых в списке).
  2. GDPR. Это тоже про персданные, но про европейские правила, которые были приняты в 2016-м году и которые вступят в силу с 2018-го года. С одной стороны Россия является стороной Европейской конвенции, во исполнение которой и выработана новая Директива (GDPR), с другой - мы не обязаны выполнять требования самой Директивы, она распространяется только на страны Европы. С третьей стороны, еще только когда начиналась в 2012-м году тема с GDPR, прежнее руководство Роскомнадзора заявляло о том, что ФЗ-152 будет гармонизироваться с новыми европейскими правилами. Текущее руководство РКН пока не высказывалось на эту тему. Может быть ждут сигнала? А может готовят поправки в тишине?
  3. Туманные перспективы ФСТЭК. Еще некоторое время назад я был достаточно оптимистичен относительно методологической и нормотворческой деятельности ФСТЭК, но после повышения Виталия Лютикова прогнозировать уже что-то сложно. В принципе есть надежда на выпуск РД по ОС и СУБД, а также принятие новой редакции 17-го приказа (если поправки в ФЗ-149 примут). По остальным документам делать прогнозы больше не буду - их принятие уже переносилось несколько раз.
  4. Критическая инфраструктура. Тут речь не только о законопроекте по безопасности КИИ, но и о законопроекте, который ужесточит требования к сетям связи и, например, потребует от владельцев статических адресов и автономных систем регистрировать их в специальном реестре. По части же законопроекта по безопасности КИИ подождем - думаю по результатам 2-го чтения наступит ясность, в каком направлении будет двигаться данная тема. Но даже если законопроект примут оперативно (к весне 2017-го года), то на принятие всех остальных запланированных НПА уйдет еще не меньше года и какая-то конкретная деятельность начнется только в 2018-м году.
  5. Отсутствие инноваций у отечественных разработчиков. И хотелось бы сделать иной вывод, но пока чего-то интересного у нас нет :-( По крайней мере по сравнению с выставкой RSA или InfoSecurity Europe и на фоне активного импортозамещения, которое развивается в отсутствии того, чем можно замещать иностранные средства защиты.
  6. Трамп. Вот это реально сложно предсказуемая тенденция, которая может повернуться к нам любой стороной. Вроде как Трамп благосклонно относится к Путину и России и 2017-й год может ознаменоваться отменой санкций (как минимум со стороны США, а затем и, возможно, Европы, Австралии и Японии). С другой стороны Президент США не является такой уж и самостоятельной фигурой - за ним стоят влиятельные круги, которые могут и не захотеть отмены ограничений, введенных против России. С третьей стороны, Трамп совершенно непредсказуем в своих действиях, чтобы что-то прогнозировать :-)
  7. Обвинения хакеров. Ими будут опрадывать любые провалы в экономике, внутренней и внешней политике. Обвинять, вероятнее всего, будут хакеров российских. И основные обвинения будут идти со стороны Европы, которую ждут новые выборы. Некоторые "эксперты" после победы Трампа предсказывали, что американцы забудут про атаки со стороны российских хакеров и переключатся вновь на китайцев, но увы и ах, все не только осталось по-прежнему, но активность обвинителей даже возросла. Думаю, что после инаугурации Трампа ситуация чуть поутихнет в части российской атрибуции, но США будут еще долго припоминать "русский" след в своих выборах.
  8. Рост активности программ-вымогателей. Он будет продолжаться. Все :-)
  9. Рост TTD. Это комплексный тренд, который включает в себе и появление новых видов угроз, и их усложнение, и снижение квалификации и числа специалистов по ИБ, и рост желающих примкнуть к "темной стороне", и отсутствие нормальной интеграции между разрозненными средствами защиты. Все это приводит к увеличению времени обнаружения (Time-to-Detect) вредоносной активности.
  10. От Internet of Things к Internet of Threats. А это давно предсказанное следствие (я про него еще 2-3 года назад писал) "гонки вооружений" на рынке Интернета вещей, когда производители в погоне за долей рынка выпускают абсолютно незащищенные и уязвимые устройства, наполняющие Интернет и приводящие к росту числа атак на них и через них.
  11. Принцип Питера. Рост безграмотных заявлений от чиновников или бизнесменов, дорвавшихся до власти, будет расти. Но тут уж ничего не поделаешь. Интернет и кибербезопасность становятся важной частью нашей жизни; поэтому число желающих присосаться к этой теме будет только возрастать.
  12. Влияние Сбербанка. Видя как Сбербанк "пылесосит" кадры на рынке ИБ в России и какие планы озвучивает его руководство, могу предположить, что (если Грефа не переманят на роль премьер-министра под новые президентские выборы) "зеленый банк" еще заявит о себе в 2017-м году различными интересными инициативами, которые повлияют как минимум на финансовую отрасль, а возможно и на смежные сферы.
  13. Обязательная сертификация средств защиты. Об этом заявляют многие регуляторы. ФСБ на этой позиции стоит с момента возникновения темы сертификации СКЗИ. ФСТЭК первоначально ее тоже придерживалась, потом пошла на попятную (для коммерческих структур), но сейчас требования вновь усиливаются. И даже ЦБ, который всегда отстаивал позицию, что банки могут не использовать сертифицированные средства защиты недавно (в декабре) попробовал внести эту норму в новый ГОСТ с базовыми требованиями по защите информации, который придет на смену СТО БР ИББС. Вроде как пока удалось отстоять стандартную формулировку про "средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании". Но тенденция настораживает; особенно в условиях нехватки достаточного количества испытательных лабораторий, специалистов и квалификации у них для проведения проверок в рамках изменяющегося законодательства по сертификации, которое не очень сильно продвинулось вперед с начала 90-х годов, когда оно и появилось.
  14. Ужесточение требований по ИБ со стороны государства. А это общая тенденция, которая наметилась еще в 2014-м году и которая продолжается и по сей день и, думаю, не замедлится в 2017-м году.
Думаю на числе 14 я остановлюсь. Возможно, что-то и осталось за рамками заметки, но это те тенденции, которые вижу именно я, и которые приходят в голову, если не сильно задумываться и не заниматься высасыванием из пальца.  Посмотрим, что из этого сбудется в год крадущегося лиса.

26.12.2016

Список НПА по ИБ, принятых в 2016-м году

Решил свести в одну заметку все основные нормативно-правовые акты, которые были приняты в России в уходящем году, а также составить список НПА, которые стали известны в качестве проектов, вероятность принятия которых в 2017-м году очень высока. Итак, вот что было принято в этом году:
  1. С 1-го января вступил в силу так называемый "закон о забвении" или официально Федеральный закон от 13 июля 2015 г. N 264-ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и статьи 29 и 402 Гражданского процессуального кодекса Российской Федерации". С этим законом вообще странная ситуация - такая норма уже заложена в закон о персданных и КоАП. Правда сумма штрафов там смешная была, в отличие от дополняющего закон о забвении Федерального закона от 30 декабря 2015 г. N 439-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях", который устанавливает ответственность за данный вид нарушения в размере до 100 тысяч рублей.
  2. В последний день 2015-го года была утверждена новая Стратегия национальной безопасности. В Стратегии говорится и про киберугрозы, но не могу сказать, что много. Материал в этой части изложен несистемно - основное внимание уделяется традиционным угрозам.
  3. Постановление Правительства №399 от 6 мая 2016-го года "Об организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса", которое утверждает соответствующие правила организации повышения квалификации. 
  4. В июле 2015-го года был принят новый закон №162-ФЗ "О стандартизации в Российской Федерации". Этот закон вступил в силу 29-го сентября 2015-го года, но в полной мере он заработал с 1-го июля 2016-го года. Именно с этой даты стала действовать статья 6-я, которая определяет, что ГОСТы в области защиты информации могут быть обязательными к применению, чем первым, скорее всего, воспользуется Банк России, который свой СТО БР ИББС уже переводит в статус ГОСТа и, согласно заседанию ТК122 в конце декабря 2016-го года, планируется, что это произойдет уже в 2017-м году. Хотя в такую оперативность я не верю - обычно с момента внесения текста стандарта в Ростехрегулирование до его принятия проходит не менее года-двух. Так что по моей оценке СТО БР ИББС (в модифицированном варианте) станет обязательным в 2018-м году.
  5. В июне было подписано Постановление Правительства РФ от 15.06.2016 №541 "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности", которое вступает в силу 17 июня 2017-го года и которое вносит изменения в правила лицензирования деятельности по технической защите конфиденциальной информации и по разработке средства защиты конфиденциальной информации.
  6. В марте Минюст утвердил долгожданное Указание Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных".
  7. Также в марте Минюст утвердил и другое Указание Банка России №3893-У от 11.12.2015 "О порядке направления запросов и получения информации из Центрального каталога кредитных историй посредством обращения в кредитную организацию". В 4-м приложении к нему утвержден порядок использования СКЗИ при обмене электронными сообщениями между ЦБ и кредитными организациями в целях направления запросов и получения информации из Центрального каталога кредитных историй. Приложение 5 к этому Указанию определяет порядок обеспечения ИБ при использовании СКЗИ. 
  8. Банк России ввел в действие с 1-го мая 2016 года новые рекомендации по стандартизации, посвященные выявлению и предотвращению утечек информации (РС БР ИББС-2.9-2016).
  9. В декабре Банка России принял новый стандарт по сбору и анализу технических данных при реагировании на инциденты (СТО БР ИББС-1.3-2016), которые вступают с 1-го января 2017-го года.
  10. В июле был принят нашумевший законопроект Яровой (Федеральный закон от 6 июля 2016 г. №374-ФЗ "О внесении изменений в Федеральный закон "О противодействии терроризму" и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности" и Федеральный закон от 6 июля 2016 г. №375-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности"), который ввел новые правила к операторам связи в части хранении всех данных по всем пользователям на территории России в течение длительного периода времени. Помимо этого он установил невыполнимые требования к передаче ключей шифрования для мессенджеров спецслужбам России.
  11. Президент в течение года выпустил несколько поручений, касающихся ИБ:
    • по итогам форума "Интернет экономика" - там много всего - импортозамещение, Интернет вещей, образование, мониторинг информационных угроз (до сих пор непонятно, что это такое), "личные данные" (хрень, которую до сих пор разгребают эксперты), шифрование данных (следствием этого стал в т.ч. и "закон Яровой")  
    • об обеспечении разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования (нужно завершить к 1-му декабря 2017 года)
    • по вопросам отдельных мер государственного регулирования в сфере противодействия терроризму и обеспечения общественной безопасности - ответственность за несертифицированные средства шифрования, порядок сертификации средств шифрования в Интернет, передача ключей шифрования в ФСБ. Ответ ФСБ не заставил себя долго ждать.
    • о преимущественном использовании госорганами единой инфраструктуры электронного правительства.
  12. PCI Council 28 апреля принял новую версию стандарта PCI DSS 3.2, которая вступила в силу с 1-го ноября 2016-го года.
  13. ФСБ России 23.03.2016 утвердила два новых административных регламента - №182 "Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению лицензионного контроля деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)" и №185 "Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению лицензионного контроля деятельности по разработке и производству средств защиты конфиденциальной информации".
  14. ТК26 (читаем 8-й Центр ФСБ) выпустил давно обещанный документ с принципами разработки и модернизации шифровальных (криптографических) средств защиты информации.
  15. Приказом ФСТЭК России от 9 февраля 2016 г. №9 были утверждены Требования к межсетевым экранам, которые вступают в силу с 1 декабря 2016 г.
  16. Банк России выпустил Положение от 24.08.2016 №552-П "Положение о требованиях к защите информации в платежной системе Банка России". Несколько раз подступался к этому документу, но все как-то неполучается сформулировать свои мысли по нему. Думаю, до конца года все-таки допишу заметку про него.
  17. 5 декабря Президент подписал новую Доктрину информационной безопасности России, которой я еще посвящу отдельную заметку (документ этот непростой - с бухты барахты о нем писать не хочется).
  18. Федеральная служба охраны утвердила приказ от 7 сентября 2016 г. №443 г. Москва "Об утверждении Положения о российском государственном сегменте информационно-телекоммуникационной сети "Интернет", в котором, среди прочего требуется подключение RSNet к ГосСОПКЕ.
  19. Постановление Правительства от 13 августа 2016 года №789 установило порядок использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме с помощью мобильного телефона, смартфона, планшета и порядок передачи результатов оказания государственных и муниципальных услуг в электронном виде третьим лицам.
Список появившихся, но пока непринятых нормативных актов тоже немаленький:
  1. Правительство, как и обещало, внесло в Госдуму законопроект "О внесении изменений в федеральные законы в части наделения федерального органа исполнительной власти полномочием по установлению порядка осуществления государственного контроля за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных".
  2. Банк России начал процедуру рассмотрения новых рекомендаций по стандартизации "Квалификационные требования к специалистам по информационной безопасности организаций кредитно-финансовой сферы Российской Федерации", а также по аутсорсингу ИБ, включая и предоставление услуг по ИБ из облаков.
  3. Также Банк России начал и практически завершил разработку ГОСТа "Базовый состав организационных и технических мер защиты информации", на который будут ссылаться многие из положений и указаний Банка России.
  4. Неожиданно в Госдуму был внесен законопроект "О безопасности критических информационных инфраструктур", который, если будет принят в текущей редакции (а такая вероятность есть, так как авторы законопроекта на встрече с экспертами не высказали энтузиазма и желания вносить поправки), сильно ограничит конкуренцию в этой сфере и отбросит сегмент ИБ КИИ назад. Помимо него были внесены еще два законопроекта - "О внесении изменений в законодательные акты РоссийскойФедерациивсвязиспринятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" и "О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".
  5. Начата работа на проектом Стратегии развития информационного общества Российской Федерации на 2017 - 2030 годы, в которой есть фрагменты и про критическую инфраструктуру.
  6. Минкомсвязь подготовил проект приказа "О внесении изменений в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 № 346", который уточняет процедуру исключения оператора ПДн из соответствующего реестра операторов ПДн.
  7. Министерство связи и массовых коммуникаций РФ опубликовало проект постановления правительства «О внесении изменений в Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».
  8. Минкомсвязь выложило проект Указа Президента "О создании и функционировании специального сегмента системы межведомственного электронного взаимодействия в целях обеспечения обмена между органами власти, государственными внебюджетными фондами и организациями информацией, доступ к которой ограничен", суть которого понятна из названия.
  9. ЦБ подготовил проект требований к работе сайтов страховщиков и Российского союза автостраховщиков (РСА), направленных на обеспечение бесперебойности работы при продажах электронных полисов ОСАГО.
  10. поправки в закон о связи
  11. Проект федерального закона "О внесении изменений в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации" в части расширения сферы действия требований ФСТЭК не только на ГИС, а также обязательность уведомления ФСБ и ФСТЭК об инцидентах ИБ. За принятием законопроекта последует и принятие новой редакции 17-го приказа ФСТЭК.
  12. Законопроект "О мерах по обеспечению информационной безопасности Российской Федерации", похоже, так и не взлетит. 
  13. Законопроект "О внесении изменений в Федеральный закон "О связи", наделяющий российский сегмент Интернет статусом критической инфраструктуры, вызвал большое количество споров и, думаю, подвергнется критике еще не раз.
  14. И напоследок 4 проекта Постановлений Правительства под "закон Яровой" - тут, тут, тут и тут.
Вот так выглядит картина основного нормотворчества по информационной безопасности в уходящем году.

22.12.2016

Топ 5 международных событий по ИБ уходящего года

Чтобы закрыть с топовыми событиями прошлого года, позволю себе составить мою пятерку зарубежных событий по ИБ, которые мне запомнились больше всего. Я не стал включать в список утечку миллиарда учетных записей Yahoo или возможную кражу кибероружия у АНБ. Это либо проходное событие (мало ли у кого утекали учетки), либо облеченное большим количеством слухов и непроверенной информации. Гораздо ближе мне следующие события:

  • Ситуация с обвинениями России в совершении кибератак на все, что движется американскиеи  европейские компании и организации стала событием №1, которое повлекло за собой и множество связанных тем - атрибуцию угроз и Threat Intelligence. Несмотря на отдельные заявления, что выбор Трампа поставит точку в обвинениях России, ситуация только ухудшилась, - никакого переключения на Китай не произошло, а частота и серьезность обвинений русских хакеров "в погонах" только возросли. Лично для меня эта ситуация, которая длилась в течение целого года, стала катализатором для изучения темы атрибуции атак, которая пока очень и очень далека от своего логического завершения. А с атрибуцией нарушителей тесно связана и тема Threat Intelligence, которая все активнее начинает набирать обороты, в том числе и у российских организаций. 
  • Международная повестка, связанная с темой кибербезопасности, тоже не стоит на месте и в уходящем году произошло немало событий, которые может не столь явно видны в России, но при этом оказывают свое влияние на происходящее в мире. В январе 2017-го года должно выйти новое Таллиннское руководство второй версии, которое должно вновь поднять вопрос о возможности отвечать обычными вооружениями на кибератаки.
  • Увеличение числа атак на промышленные системы и IoT, а также первые DDOS-атаки через инфраструктуру IoT пока еще не сделали эту сферу проблемой №1 для специалистов по ИБ, но все к тому идет. Современные пользовательские Интернет-вещи абсолютно не защищены и могут быть использованы злоумышленниками как плацдарм для реализации массированных атак на узлы в Интернете. А системы промышленной автоматизации давно перестали быть изолированными от внешнего мира и, как следствие,  стали чаще попадать в прицел хакеров, которые нахоят различные лазейки для атак на системы управления транспортом, объектами ТЭК, ЖКХ и т.п.
  • Рост активности шифровальщиков с одной стороны не является чем-то уникальным, с другой - их активность только растет, что обуславливает и рост числа атак, связанных с DNS-протоколом и фишингом, которые используются в более чем 90% всех современных атак. В любом случае, программы-вымогатели будут продолжать "радовать" компании по всему миру и в следующем году, а не только в этом.
  • Атаки на SWIFT я бы тоже включил в Топ 5 событий, так как раньше, этот инструмент перевода денежных средств не часто попадал в прицел злоумышленников. Но в этом году это произошло как минимум раза три и в следущем году ситуация врядли будет лучше. Хакеры прочувствовали "вкус крови" и останавливаться на достигнутом не будут.

Вот такие две пятерки событий по ИБ, которыми мне запомнился уходящий год. У кого-то эти события будут иными. Оно и понятно, все специалисты по разному оценивают происходящее, исходя из своей сферы интересов и кругозора. У меня происходящее оказалось таким.

Топ 5 отечественных событий по ИБ года уходящего

Конец года. Принято подводить некоторые итоги. Попробую и я их подвести, собрав воедино Топ5 событий, которые мне запомнились в прошлом году. Причем будут эти события таковы, что два из них я врядли бы озвучил где-нибудь, кроме своего блога. Ставить этим событиям рейтинг я не буду - у каждого из них своя специфика, своя история и свои последствия. Поэтому будет просто список того, что запомнилось именно мне в 2016-м году:

  • Декабрьские НПА как кульминация законотворческой деятельности в 2016-м году и ужесточение ИБ как результат последовательной политики российских властей за последнее время. Доктрина ИБ, законопроект по безопасности КИИ, проект Стратегии развития информационного общества, Положение 552-П Банка России, поправки в трехглавый ФЗ-149, поправки в закон "О связи" и ряд других инициатив, которые еще только витают в воздухе и о которых мы узнаем уже в год огненного петуха по китайскому календарю или в год крадущегося лиса по славянскому. Этому событию я не поставлю ни плюс, ни минус, так как оно по-разному может трактоваться разными заинтересованными сторонами.
  • А вот событием с явным знаком минус для меня стало повышение Виталия Сергеевича Лютикова (хотя для него это, наверное, не так) до должности заместителя директора ФСТЭК. На мой взгляд это и обусловило замедление законотворческой деятельности регулятора и сдвиг сроков подготовки многих обещанных ранее нормативных актов. Подъем по краьерной лестнице у чиновников обычно сопряжен с ростом бюрократии и уменьшением реальной работы. Увы, но это негативное событие для отрасли ИБ :-(
  • И вновь о роли личности в истории. Уход из жизни Алексея Сергеевича Кузьмина еще скажется на том, как будет развиваться вторая регулирующая ИБ-ветвь в России. Сильно погружаться в детали смысла нет, но думаю, что все и так всё понимают.
  • Зато с позитивной стороны могу оценить роль Сбербанка в области кибербезопасности и те усилия, которые Герман Греф предпринимает в этой сфере, задавая тон и многим другим российским организациям, которые хотят быть похожими на "большой зеленый банк". Если Грефа вдруг не призовут в Правительство на должность премьер-министра, то Сбер может еще много чего сделать, чтобы его потом брали в качестве примера и "best practices". С другой стороны, уходящий год мне запомнился как пылесос кадров тремя компаниями - Сбером (и Бизоном), ЛК и Позитивом. Эти три компании собрали, по-моему, всех специалистов с рынка, обнажив в очередной раз проблему существенной нехватки специалистов не то, чтобы с точки зрения квалификации, но и с точки зрения банального их количества.
  • Ну а замыкает пятерку ("last but not least" как говорят англичане) отсутствие коренных сдвигов у отечественных разработчиков и все более активное проявление принципа Питера у некоторых руководителей отечественных ИБ-игроков, дорвавшихся до властных коридоров. Это удивительно, но серьезных прорывов у нас в индустрии за прошедшие 3 года с момента начала обострения геополитической ситуации у нас так и не произошло. Возможно я слишком глубоко погружен в западный рынок ИБ и мне есть с чем сравнивать (особенно после посещения RSAC), но какого-то движения вперед я не вижу :-( Новых продуктов почти нет; даже копий с западных. Новых технологий и исследований тоже. А вот попытка оседлать антиамериканскую риторику видна невооруженным глазом. Отрасли это не помогает, но попытка присосаться к изоляционистскому бюджету налицо.

Вот такие пять событий, которые мне запомнились в 2016-м году. "Пакет Яровой" или закон "О стандартизации", делающий ГОСТы обязательными, не столь значимы, так как их последствия мы увидим только в следующем году и даже позже. Можно было бы включить в список еще геймификацию ИБ и более активное обсуждение "экономических" вопросов ИБ, но, возможно, я выдаю желаемое за действительное и эти две темы просто отражают мои текущие интересы в ИБ.

21.12.2016

Почему в России нет своего SANS?

SANS (SysAdmin, Audit, Network and Security) - это некоммерческая американская организация, которая была организована в 1989-м году с целью обучения специалистов по кибербезопасности. Сегодня SANS представляет из себя крупнейший обучающий и сертификационный центр в этой области. Помимо традиционного очного обучения SANS (а курсов у SANS свыше 400 и проводятся они в 90 городах по всему миру) также экспериментирует и с другими форматами:

  • С середины 90-х SANS начинает проводить конференции по совершенно различным темам - от традиционных технических (например, по безопасности промышленных систем или расследованию инцидентов) до прикладных (например, безопасность здравоохранения). Практически всегда эти конференции совмещаются с выездными тренингами. Я участвовал в таком мероприятии-тренинге, посвященном промышленной ИБ, в Амстердаме.
  • В 1999-м году SANS запустил систему собственной сертификации GIAC, которая включает сегодня пару десятков различных программ оценки квалификации специалистов.
  • С 2006-го года SANS предлагает виртуальное обучение в асинхронном (SANS onDemand) и синхронном (SANS vLive) форматах. Я пробовал первый вариант, который подразумевает обычный записанный вебинар с возможностью задания вопросов инструктору по e-mail.
  • В 2006-м году был организован технологический институт SANS, который вошел в систему высшего образования США. 
  • Параллельно своим платным мероприятиям и тренингам, SANS проводит и регулярные бесплатные вебкасты, задача которых сформировать сообщество специалистов по ИБ вокруг SANS. Число таких вебкастов очень велико - в 2016-м их было свыше 200 и часть из них проводится инструкторами SANS, а часть спонсируется компаниями-вендорами для продвижения своих подходов и решений (но явной рекламы там мало - все завуалированно).

Помимо обучения SANS также ведет и большую исследовательскую работу, но не она является предметом обсуждения сегодяншней заметки. Мне интересно, почему в России нет своего SANS? Ведь по сути, SANS не делает ничего сверхестественного и невозможного. Они нанимают инструкторов, которых сводят с учащимися, и предоставляют им платформу для "встреч". Студенты платят деньги, инструктора получают гонорары, SANS имеет процент со всего этого. Для увеличения аудитории используются различные форматы - обучение на выезде и онлайн, а также конференции. В год по всему миру 12000 человек проходят обучение в SANS. Для тех, кто не может решится, практически ежедневно проводятся бесплатные вебкасты на совершенно разные темы, где участники могут составит представление о том, стоит ли платить свои деньги за более продвинутое и более глубокое обучение.

И почему тот же эффект нельзя повторить в России и, например, странах СНГ, где еще не забыли русский язык? Регулярно проводя roadshow по безопасности в Cisco, или участвуя в том же региональном "Коде информационной безопасности", я вижу постоянный интерес со стороны немосковских специалистов по ИБ, которые не избалованы вниманием и редко посещают что-то интересное. И они даже готовы платить за обучение, если это нечто интересное и полезное. В конце концов речь не идет об одной тысяче долларов в день, которые платятся за мероприятия SANS или менее известных учебных центров за пределами России. Стоимость обучения в России обычно ниже на порядок и это может сделать вполне реальной попытку повторить SANS, но в русском варианте. Вот только пока никто этого не делает :-( А жаль.

ЗЫ. Из интересного: SANS проводит регулярные соревнования между своими инструкторами, а также при поиске новых тренеров. В прошлом году из 90 кандидатов прошло только 5.

20.12.2016

Список мероприятий по ИБ в России на 2017-й год

По традиции выкладываю список отечественных мероприятий по ИБ на 2017-й год. Пока в нем только то, что я нашел из событий, чьи планы уже известны и опубликованы в Интернет. Все прошлые тезисы и правила внесения в таблицу остаются в силе - повторять их не буду.



ЗЫ. Будут дополнения - пишите в комментариях или мне лично (организаторы мои контакты обычно знают :-)

Мой личный Топ5 мероприятий по ИБ в 2016-м году

Близится конец декабря и каких-то новых мероприятий по ИБ уже не предвидится. Можно и не которые итоги подвести. Попробую составить свой личный рейтинг мероприятий, в которых мне довелось поучаствовать. Это будет именно личный список, основанный на моих впечатлениях, а не независимая оценка, как в списке мероприятий, который будет опубликован сегодня позднее. Итак мой Топ5 мероприятий выглядит так:
  • На первом месте закономерно находится RSA Conference, которую я посетил в феврале и которой я посвятил несколько заметок (тут, тут, тут, тут и тут). Для меня это сейчас мероприятие №1 в мире ИБ и с точки зрения конференционной, и с точки зрения выставочной части. А уж с точки зрения контента и подавно. Идей после нее много разных я записал. И хотя там тоже есть свои косяки, все-таки это то, к чему стоит стремиться организаторам отечественных мероприятий.
  • Второе место я вновь отдам иностранному мероприятию - это наша внутренняя Cisco SecCon, которая не знакому широкому кругу специалистов по ИБ и не блещет крутыми фишками, схожими с RSAC или InfoSecurity Europe. Но я туда езжу за контентом, который сложно найти еще где-то. Совсем разные точки зрения на ИБ от представителей разных подразделений Cisco - внутренняя ИБ, сервисное подразделение, разработчики, ИТ, логисты (supply chain) и т.д. Расширяет кругозор и по-новому смотришь на то, что потом выливается в конкретные продукты или сервисы... Мне кажется любой серьезный вендор по ИБ должен проводить схожие мероприятия, чтобы сотрудники не варились в собственном соку, а смотрели шире и немного со стороны на свою деятельность и деятельность коллег.
  • Про отечественный SOC Forum я уже писал не раз (тут, тут, тут, тут и тут) и вновь повторюсь - фокусировка на конкретной теме сделала мероприятие очень и очень интересным с точки зрения контента. По тому, сколько о теме мероприятия можно написать заметок, можно судить о том, насколько оно интересное. Да и с точки зрения продвижения мероприятия в Интернет тоже было интересно следить и видеть, как обычные и по сути бесплатные способы раскрутки дали свой эффект.
  • Московский CISO Forum также вошел в мою пятерку мероприятий, которые мне понравились. И причина схожа с той, по которой я выбрал SOC Forum - фокусировка не на технических темах, а на более высокоуровневых, которые могут быть интересны именно руководителям ИБ. Да, пока еще сложно сравнить CISO Forum и с потоком C-Suite на RSAC, и с Gartner Security Summit, но начало положено и перспективы у мероприятия самые радужные. Особенно, если и CISO со стороны заказчиков готовы будут выступать. Главное не скатиться в сборник рекламных докладов, но тут вроде у форума все нормально и число докладов от заказчиков превышает выступления вендоров.
  • Пятерку замыкают сразу два мероприятия - РусКриптоУральский форум. И связано это не столько с контентом, сколько с местом проведения. Мне нравится и "Солнечный", и "Юбилейный", где можно просто хорошо отдохнуть от московской суеты. Природа, свежий воздух, общение, спортивные мероприятия... Контент тоже местами интересный, но скорее с точки зрения позиции регулятора (8-й Центр ФСБ и ЦБ соответственно). 

Я не включил в список InfoSecurity Europe, потому что это не то мероприятие, на которое стоит ехать ради знаний. Посмотреть на различные решения в области ИБ? Да, можно. Но поездка ради этого в Лондон слишком дорого обходится - та же RSA Expo выйдет чуть ли не дешевле (если не учитывать конференцию). То есть это мероприятие стоит рассматривать либо тем, кто хочет выйти на западный рынок, либо для маркетологов, ищущих новых идей для продвижения продуктов своих компаний. Новых и полезных знаний лично я там не получил, хотя отдельные идеи записывал. По этой же причине я не стал включать серию региональных мероприятий "Код информационной безопаности". Если в самом своем начале это было свежо и интересно, то сейчас мероприятие превратилось в доклады одних и тех же спонсоров, которые и не меняются почти из года в год (и спонсоры, и доклады). Становится предсказуемо. По сути "Код ИБ" - это региональная DLP Russia в самом ее начале :-) Хотя для региональных специалистов по ИБ может быть и интересно при отсутствии других мероприятий в своем городе. C ITSF ситуация непростая - я люблю ездить в Казань в конце мая-начале июня и мне (да и не только мне) там всегда устраивают отличный прием. ICL КПО ВС проводит хорошее мероприятие, но все-таки оно ориентировано на вендоров, с которыми работает ICL. Там офигенная культурная и спортивная программа, но контент там все-таки заточен под продвижение конкретных продуктов и решений, исключая отдельные вкрапления экспертных докладов, которых становится больше, но пока все-таки недостаточно.

По другим мероприятиям мне сказать особо и нечего - они либо совсем неинтересные, либо я не посещал их, либо был наскоком, чтобы сформулировать четкое мнение. В следующем году ситуация похоже останется прежней - я пока не видел планов сделать что-то отличное от классической модели "спонсор платит - он и заказывает музыку, а слушатели пусть бесплатно слушают рекламу". Может быть в начале года что-то и изменится. Хотелось бы надеяться...

19.12.2016

Как я преподавал в МГУ

На прошлой неделе у меня закончилось обучение в МГУ. Нет, я не вернулся на институтскую скамью спустя 20 с лишним лет после окончания своей альма-матер. Просто я преподавал в Высшей школе бизнеса МГУ, куда меня пригласили прочитать курс "Управление информационной безопасностью" для студентов 2 курса магистратуры, то есть 6-го курса (в прежней, дореформенной версии), учащихся по специальности "ИТ-менеджмент".

Мне было выделено 24 академических часа, то есть 6 лекций (18 астрономических часов), которые я разделил следующим образом:
  • Лекция 1. Что такое ИБ? История ИБ в России. Кто должен заниматься ИБ? Структура службы ИБ на предприятии. Экономика - как один из драйверов развития ИБ.
  • Лекция 2. Угрозы ИБ. Психология восприятия риска. Kill Chain. Модель угроз и нарушителя.
  • Лекция 3. Технологии ИБ. Международные и российские подходы. Архитектура ИБ.
  • Лекция 4. Законодательство по ИБ в России.
  • Лекция 5. Процессы и управление ИБ. ISO 27xxx. Цикл Бойда. Cyber Security Governance. Подход Банка России. 
  • Лекция 6. Измерение ИБ. Психология ИБ. Внутренний маркетинг. Теория организации и ИБ.
Потом оказалось, что последняя лекция должна была быть выделена под зачет и программу пришлось ужимать в 5 лекций, что я и сделал. Учитывая направленность программы ВШБ МГУ, я отказался от того, чтобы читать "чистую технику" - защитные меры ФСТЭК, требования ФСБ, положения ЦБ. Я ограничился их обзором, а сконцентрировался именно на менеджерских темах, которые должны заложить основу понимания ИБ именно с точки зрения бизнеса, не забывая при этом и про традиционный взгляд на ИБ с точки зрения угроз и нормативки.

С одной стороны - преподавать в МГУ было моей мечтой еще с давних времен, когда я "опозорился" на ВМК рассказывая о технологиях обнаружения атак, а студенты меня "валили" вопросами теории вероятностей, матстатом и ошибками первого и второго рода :-) И вот пришел мой черед "глумиться" :-) Шучу. По сути это оказался мой первый опыт обучения не матерых дяденек и тетенек, которые уже не первый год работают по направлению ИБ и которые повышают свою квалификацию. Студенты, молодые юноши и девушки, которые в свои 20 с небольшим лет пытаются изучать то, что может быть им никогда и не пригодится в жизни (из моих однокурсников мало кто пошел по специальности работать). Интересный опыт оказался. Я преклоняю голову перед преподавателями, которые делают это на постоянной основе!

Учить тех, кому возможно все равно, - это тяжело. Я преподавал после работы, с 7-ми до 10-ти вечера, и могу сказать, что те, кто делает это постоянно - просто герои, энтузиасты своего дела. Одно дело читать тем, кто осознанно идет на обучение в учебные центры, и совсем другое дело пытаться заинтересовать студентов. И хотя в обоих случаях обучение идет не на свои (либо на деньги работодателя, либо на деньги родителей), разница все-таки ощутима.

Еще я был в шоке от бюрократии :-) Подготовить учебный план - это тот еще квест. Хорошо что я попал в госпиталь и был лишен этого счасться, сразу перейдя к обучению после выхода из больничной палаты. Учитывая не самую высокую зарплату (преподавателям же платят почасовую ставку и время подготовки, которое может быть на порядок длиннее самой лекции, не засчитывается), я преподавателей ВУЗов стал ценить еще больше (разумеется, если они не рассматривают свою работу как провинность и не просиживают просто штаны). Кстати, когда я читал лекции по программе MBA (тоже вечерами или в выходные дни) в РАНХиГС меня удивляло, почему преподаватель получает так мало денег. Люди платят по 150-300 тысяч, а зарплата преподавателя невысока. А тут, посетив Cyber Day в Сколково, я вспомнил Илью Пономарева, который за 10 лекций в Сколково получил 750 тысяч долларов. Почему он может получать такие деньги, а преподаватель по ИБ - нет? Странно, очень странно :-)

Но вернемся к обучению в МГУ (хотя некоторые мои коллеги считают, что это профанация и настоящей ИБ учат только 2-3 ВУЗа в стране, а в МГУ только 2-3 факультета и ВШБ МГУ в их списке не числится и не может, так как это детский сад). Когда я узнал о зачете, я на некоторео время впал в ступор. То ли поставить зачет всем автоматом, следуя принципу "чем меньше студент знает, тем больше у меня перспектив, как у специалиста", то ли поглумиться над студентами, как они надо мной 20 лет назад? В любом случае вопрос о том, как принимать зачет, ставил меня в тупик. Я даже старших товарищей об этом спрашивал. Потом мне пришла в голову банальная идея - дам бизнес-кейс и пусть решают. В качестве примера взял сам факультет, который проводит обучение по программам бакалавриата и магистратуры, MBA и Executive MBA, и предложил 18-ти своим студентам билеты с 18-тью вопросами:

  1. Перечислите стейкхолдеров ИБ для ВШБ МГУ?
  2. Перечислите угрозы ИБ для сайта ВШБ МГУ
  3. Что является объектом защиты в ВШБ МГУ?
  4. Какие особенности ИБ в ВШБ МГУ по сравнению с предприятием, на котором вы работаете (если работаете)?
  5. Кто представляет угрозу для ВШБ МГУ?
  6. Каковы могут быть бизнес-последствия в результате взлома сайта ВШБ МГУ?
  7. Какое законодательство по ИБ может распространяться на ВШБ МГУ?
  8. Ректор ВШБ МГУ отказывается инвестировать в ИБ. Что вы ему возразите?
  9. Какие доводы вы будете использовать, чтобы заручиться поддержкой руководителя международных программ ВШБ МГУ при получении инвестиций на ИБ?
  10. Как вы думаете, легко ли будет в ВШБ МГУ внедрить процессный, формализованный подход по ИБ? Обоснуйте
  11. Какие потребности в ИБ могут быть у ВШБ МГУ?
  12. В какой ИБ заинтересованы студенты ВШБ МГУ?
  13. Служба ИБ ВШБ МГУ не смогла защитить персональные данные студентов и они утекли в Интернет. Какие действия надо предпринять в первую очередь и почему?
  14. Проведите SWOT-экспресс-анализ ИБ в ВШБ МГУ.
  15. Что проще, посчитать отдачу от инвестиций в ИБ в ВШБ МГУ или оценить удовлетворенность студентов от уровня ИБ в ВШБ МГУ? Обоснуйте свой вывод.
  16. Вы встретили декана ВШБ МГУ в лифте главного корпуса МГУ. У вас есть 1 минута, чтобы объяснить ему, почему ему важно подумать об ИБ в ВШБ МГУ.
  17. Сайт ВШБ МГУ взломали. Ваши действия?
  18. Каковы могут быть бизнес-последствия в результате утечки списка студентов и выпускников ВШБ МГУ?
Никакой техники (почти) - все в рамках рассмотренных в курсе тем. Получил в итоге очень интересные письменные ответы, которые все вместе и после небольшой доработки представляют собой полную картину ИБ в ВШБ МГУ с точки зрения бизнеса. Если бы я устраивался на работу в ВШБ МГУ в качестве CISO, то у меня была бы уже готовая программа выстраивания взаимоотношений с бизнесом и обоснования перед ним необходимости инвестиций в ИБ.

Надо признать, что студенты, если не считать некоторой безалаберности, нежелания думать и надежды проскочить на халяву, справились со своими заданиями. Хотелось бы думать, что это моя заслуга :-) Могу предположить, что если студенты, плохо знакомые с ИБ и бизнесом, смогли ответить на поставленные вопросы, то и матерые безопасники смогли бы. И это в пух и прах разбивает тезис о том, что ИБ нельзя рассматривать как бизнес-функцию, а только как торговлю страхом.

Вот такой интересный эксперимент, который позволил мне не только получить новый опыт, но и привел к обновлению материалов по описанной выше тематике, сжатых в небольшие презентации (200 слайдов на лекцию - это же немного :-)

15.12.2016

Поправки в ФЗ-149. Чего от них ждать?

Правительство наконец-то внесло в Госдуму долгожданный законопроект с поправками в трехглавый ФЗ-149. Об этом законопроекте впервые упомянул Виталий Лютиков на конференции ФСТЭК в феврале этого года. Основных идей у этого законопроекта было две - распространить его действие не только на ГИС и обязать госорганы информировать ФСТЭК и ФСБ об инцидентах ИБ.

В проекте, выложенном на общественное обсуждение, первый пункт звучал следующим образом: "информация, обладателями которой являются государственные органы или государственные корпорации". Однако в варианте, который ушел в Госдуму, фраза про госкорпорации исчезла. Предсказуемо. Все-таки Ростех, Росатом, Роснано, АСВ, Олимпстрой, Внешэкономбанк и Фонд содействия развитию ЖКХ не очень горели желанием попасть под обязательную регуляторику ФСТЭК. Но и без этого, поправка все равно расширяет сферу полномочий регулятора, который теперь сможет требовать и от многих коммерческих структур, допущенных к госзаказам и другим работам по заданию госорганов, выполнять свой 17-й приказ. Как минимум, будет поставлена точка в вопросе, должны ли ФГУПы, ГУПы и МУПы выполнять требования 17-го приказа или нет. В остальном законопроект несильно изменился по сравнению с весенней версией - обязательное информирование об инцидентах осталось (его порядок пока не определен).

В качестве обоснования для внесения поправок в ФЗ-149 Правительство указало, что существует проблема с определением того, что такое "государственная информационная система". Но вместо того, чтобы в терминах к ФЗ-149 это понятие и ввести, они решили просто расширить круг субъектов, на которых распространяется действие закона, добавив в качестве условия исполнения новых норм не только наличие ГИС (как бы ее не определяли), но и обработку информацию, которая принадлежит госорганам. А это значит, что те, кто не относил ИС бухгалтерии или кадров в госах к ГИС не угадали и теперь им придется пересмотреть свой подход (а также бюджет). В своем видео я советовал все системы относить к ГИС, чтобы не иметь разночтений с регулятором (а он изначально любую ИС в госоргане считал ГИС), но многие со мной не соглашались, не желая загонять себя в прокрустово ложе аттестации. Теперь же ответ становится однозначным (если, конечно, законопроект примут).

Вообще к госам в последнее время усилилось внимание со стороны государства, которое уже не первый раз устанавливает все новые и новые требования по защите информации. И это не последнее, что еще ждет представителей органов власти разных уровней.

ЗЫ. Кстати, банки, работающие с ГИС ГМП (а их 601) тоже попадают под требования 17-го приказа...

13.12.2016

Законопроект по безопасности КИИ. Всем срочно получать лицензию на гостайну

А я продолжаю тему внесеннего на прошлой неделе законопроекта "О безопасности критических информационных инфраструктур", который мой безудержный интерес, открывающимися все новыми и новыми подробностями и потаенными смыслами и междустрочиями.

Помимо изменения терминологии, изменились и критерии категорирования объектов КИИ - вместо семи их теперь пять:
  • критерий социальной значимости
  • критерий политической значимости
  • критерий экономической значимости
  • критерий экологической значимости
  • критерий значимости для обеспечения обороноспособности, безопасности государства и правопорядка
  • критерий значимости в части реализации управленческой функции
  • критерий значимости в части предоставления значительного объема государственных услуг.
Но сильно радоваться не придется - по сути последние дву пункта вошли в состав первых двух. Гораздо важнее, какие конкретно критерии и их показатели будут предложены и приняты правительством? Где будет проходить отсечка? По миллиону рублей финансового ущерба как в однои из прошлых вариантов? Или все-таки авторы одумаются и корпоративные лоббисты смогут поднять планку, выводя себя из под удара. Все-таки попадание в категорию критических инфраструктур банков хоть и было ожидаемым, но все равно были надежды на лучшее. Все-таки банки у нас и так зарегулированы по самое не балуйся. Если уж и вносить их в список критических, то отдать регулирование ими под ЦБ (как это сделано с сетями связи), который и так имеет много требований (и будет еще) для своих "подопечных".

Удивило отсутствие в списке регулируемых не только отрасли водоснабжения и гидротехнических сооружений, но и пищевой промышленности, которая и в США, и в Европе отнесена к категории критических. Тем более, что и кейсы уже были и их немало, когда то производство остановится, то в рецептуру подмешается какая-то гадость, то доза консерванта будет превышена на порядок. И это хорошо еще, что из холодильных установок нет выбросов аммиака и его попадания в неудачную розу ветров с накрытием какого-либо населенного пункта.

А вот непопадание ИТ-отрасли, которая числится в числе критических и в Европе, и в США, вполне закономерно. Нет отрасли, нет и критичности. Ну не относить же на полном серьезе к регулируемым отрасль, которая никак не влияет ни на экономику, ни на национальную безопасность.

Из интересных наблюдений, которые у меня возникли еще в прошлый раз. Почему 8-й Центр реагирует на инциденты, а последствия устраняет от атак? Разве у инцидентов нет последствий? Но это классическая проблема терминологии, на которую я обращал внимание еще в рабочей группе СовБеза, которая готовила поправки в Доктрину ИБ. Также интересным мне показался факт, что ФСТЭК (а именно она станет ФОИВом в области безопасности КИИ) будет поставлять данные в ГосСОПКУ. Интересно какие? Из банка данных угроз и уязвимостей?

Из текущей версии законопроекта убрали два пункта:
  • Про незамедлительное восстановление функционирование объекта КИИ (убрали слово "незамедлительное" и это правильно). И это правильно.
  • Требование по оценке защищенности с помощью аккредитованных компаний, имеющих лицензию на работу с гостайной. Функция оценки защищенности осталась только у ФСБ, а сама эта информация отнесена к гостайне. Но... тут вновь у меня возникают терминологические вопросы. У ФСБ осталась функция оценки защищенности КИИ от атак или вообще любая оценка защищенности? Если первое, то пусть с ним. А вот если второе... Как тогда проводить аудиты объектов КИИ, сканировать их на уязвимости?.. 

Но, пожалуй, самое опасное в новом законопроект скрывается не в основном законопроекте, а в том, который вносит поправки в законодательные акты и, в частности, в законодательство по государственной тайне. Согласно предложениям информация о мерах по обеспечению безопасности объектов КИИ будет относиться к гостайне. И это будет полный пушной зверек. Когда производитель средств защиты продает средство защиты субъекту КИИ, он, хошь - не хошь, но становится обладателем информации о мерах по обеспечению ИБ. Когда интегратор внедряет систему защиты у субъекта КИИ, он также становится обладателем этой бесценной информации. Да и сам владелец КИИ является носителем этой информации, которую авторы решили отнести к гостайне. И что у нас получается? Любой кто захочет работать с субъектам КИИ будет обязан получать (если еще не получил) лицензию на гостайну. Да и сам субъект КИИ должен будет ее получить. А если посмотреть на список тех, кто попадает под понятие "объект КИИ", то картина и вовсе нерадужная становится. Вот такая засада ждет всех, кто захочет заняться этой темой. Многие ли захотят? Уж не знаю. Либо это недосмотр, либо сознательное сокращение числа игроков на этом рынке. Зато сведения в сведения в ГосСОПКЕ относятся к информации ограниченного доступа. Что это значит, пока непонятно. Никакой ответственности за ее разглашение не предусмотрено.

Чтоже касается ответственности, то третий законопроект в пакете, внесенном Правительством,  касается именно уголовного преследования за 5 составов преступления, среди которого наказание за разработку и распространение вредоносного кода для КИИ (почему нельзя включить это в ст.273?), а также наказание за неправомерный доступ к информации в КИИ. Но тема с нарушением функционирования КИИ почему-то обойдена вниманием, хотя обеспечение доступности и непрерывного функционирования технологического процесса в КИИ является приоритетной.

ЗЫ. Согласно законопроекта Президент определеяет "основные направления государственной политики в области обеспечения безопасности критической инфраструктуры Российской Федерации". Значит ли это, что, по аналогии с другими совбезовскими "основами госполитики" у нас еще один документ должен появиться уровня госполитики и он не будет совпадать с основами госполитики в области защиты АСУ ТП?..

ЗЗЫ. А еще я не увидел очень важной вещи в пакете законопроектов, а точнее вопросов гармонизации законодательства по ИБ с законодательством по промышленной безопасности, безопасности гидротехнических сооружений, безопасности транспорта и других видов безопасности, упомянутых у нас в различных законах. Сейчас представляется замечательная возможность увязать все эти элементы воедино и сложить пазл. Я про это писал поти 4 года назад, но видимо не судьба...

12.12.2016

Законопроект по безопасности критической инфраструктуры. Проблемы терминологии

На днях Правительство внесло в Госдуму законопроект "О безопасности критической информационной инфраструктуры Российской Федерации", что было для меня достаточно неожиданно. Видимо звезды повернулись так, что было принято решение все-таки законопроект внести и, возможно, принять. Я еще отдельно напишу про этот законопроект, а сейчас мне хотелось бы обратиться к анализу терминологии, которая вызывает у меня очень большие вопросы. Такое впечатление, что авторы законопроекта сами до конца не понимают, что они хотят регулировать и как это все будет соотноситься с уже принятыми нормативными актами.

Например, возьмем простой термин "ГосСОПКА. Вроде бы система уже есть и работает. И нормативка по ней существует, а с термином какая-то неразбериха. Я взял три документа и сравнил их между собой. Основы госполитики в области обеспечения безопасности АСУ ТП были приняты еще в 2012-м году и там под ГосСОПКОЙ понимается "структура". В законопроекте по безопасности критической инфраструктуры 2013/2014-го годов это уже "система", а сейчас это "комплекс". Метания может быть и объяснимы, но как можно в принимаемом нормативном акте использовать термин, отличный от уже принятого? Авторы законопроекта по КИИ не знакомы с основами госполитики, который писался в СовБезе?


А вот так выглядит термин "АСУ ТП" в уже принятом приказе №31 ФСТЭК, принятых основах госполитики по защите АСУ ТП и в законопроекте по КИИ. Ну ладно между ФСБ и ФСТЭК классическая межведомственная борьба идет. Но почему не взять термин из основ госполитики? Не понимаю.

А что у нас с термином "критическая информационная инфраструктура"? Да, все верно. Тоже самое. В трех разных редакциях законопроекта (2013-го, 2014-го и 2016-го годов) используется разная трактовка. В первом варианте говорится только об АСУ ТП и обеспечивающих их взаимодействие телекоммуникационных сетей. Спустя год (этот вариант не публиковался) авторы решили привязаться к ущербу, существенно расширив круг лиц, попадающих под понятие КИИ (даже обычный муниципалитет попадал). В финальной версии законопроекта, внесенной в Госдуму в начале декабря, определение возвращается к каноническому (защита АСУ ТП), но расширяется за счет сетей электросвязи.


А кто у нас попадает под понятие "объекта КИИ"? В законопроекте зафиксировано 13 отраслей, которые могут иметь такие критические инфраструктуры. В ДСПшных документах ФСТЭК по КСИИ и в утвержденной СовБезом "Системе признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий" было еще 6 сегментов, исключенных из последней редакции законопроекта. Если правоохранительные органы, МЧС и общегосударственные кадастры и БД могут быть отнесены к госорганам, системы спецназначения и системы управления потенциально опасными объектами размазаны по всем отраслям, то исключение темы водоснабжения и гидротехнических сооружений, а также телерадиовещания мне не совсем понятно. Тем более, что те же гидротехнические сооружения явно включены в область действия 31-го приказа.


У этого списка критических инфраструктур есть интересная особенность. Если для большинства систем уже есть разработанные требования ФСТЭК (приказ №31 и приказ №17), то для здравоохранения, кредитно-финансовой сферы и отрасли связи требований пока нет. Для операторов связи требованиями, вероятно, станут уже имеющиеся требования Минкомсвязи, а вот ситуация с медицинскими и финансовыми системами будет очень интересной.

У иностранцев список критических инфраструктур немного иной. Например, в США и Европе к критическим также отнесены пищевая промышленность и отрасль ИТ. Общее правило отнесения отрасли/сектора/объекта к критическим достаточно простое - необходимо иметь значительное влияние на население, экономику или национальную безопасность. При этом критериями "критичность" являются количество, время или качество.


В целом хочется отметить либо явную спешку, в которой вносился законопроект (даже несмотря на четырехлетнюю предшествующую историю), либо авторы сознательно забили на уже принятые нормативные акты и решили перекроить все, что было сделано до этого. Есть, конечно, и третья версия, но ее я озвучивать не хочу. Возможно в финальной версии законопроекта ситуация изменится к лучшему и мы получим все-таки гармонизированную с другими НПА терминологию.

05.12.2016

Официальное сообщение Алексея Лукацкого по поводу возможной дестабилизации финансовой системы РФ

Федеральная служба безопасности РФ выпустила сообщение о том, что получена информация о подготовке иностранными спецслужбами масштабных кибератак, целью которых является дестабилизация финансовой системы РФ, включая деятельность ряда крупнейших российских банков. Ожидается, что кибернападения будут сопровождаться массовыми рассылками SMS-сообщений и публикациями провокационного характера в социальных сетях (в отношении кризиса кредитно-финансовой системы России, банкротства и отзыва лицензий у ведущих банков).

Я считаю, что данные в Интернете редкие рекомендации не имеют никакого отношения к действительности, так как исходят из привычной парадигмы "банк может быть атакован хакером, цель которого украсть деньги". В данном случае речь идет о совершенно иной мотивации у тех, кто стоит за планируемыми атаками, и хищения средств, скорее всего, не предвидится. Также малореализуемы и неконкретные рекомендации банкам по присоединению к ГосСОПКЕ, обращению в FinCERT, чтению отраслевых стандартов или реализации правил разработки безопасных приложений. Если вы этого не делали раньше, то сейчас уже поздно. Более того, когда федеральный орган исполнительной власти, уполномоченный в области национальной безопасности страны, публикует свою новость перед выходными и у целевой аудитории остается меньше суток на принятие каких-либо мер, то рекомендации должны быть очень конкретными и понятными.

Читая очень неконкретное сообщение ФСБ я бы предположил, что речь может идти о трех типах атак:
  • Распределенные атаки "отказ в обслуживании" (DDOS) на финансовые учреждения
  • Рассылка клиентам по SMS
  • Публикации в социальных сетях и форумах, рассчитанные на широкий круг лиц.
Мишенью для данной угрозы являются клиенты финансовых учреждений и сами кредитные организации. При этом, учитывая, что такую новость в обязательном порядке повторят, сопровождая не всегда удачными и верными комментариями (надо же быстро выпустить "горячую новость" раньше других - тут не до проверки и не до сбора качественных экспертных мнений) еще и СМИ, то я бы их тоже выделил в качестве целевой аудитории для выработки рекомендаций.

И, наконец, рекомендации должны учитывать не только вектор угрозы, но и описывать мероприятия, которые должны быть сделаны ДО реализации атаки, ВО ВРЕМЯ и ПОСЛЕ. Все-таки российские банки сталкиваются с такой угрозой уже не первый раз и поэтому можно сформулировать и некоторые best practices, которые позволят эффективно бороться и тем, кто с этим сталкивался, и тем, кто с этим еще не сталкивался.

В итоге получается вот такой вот "куб рекомендаций", где каждый из 27-ми блоков содержит свой совет по тому, как себя вести той или иной целевой аудитории в определенные моменты времени.



Причем эти рекомендации будут совершенно разноплановыми и как повторять то, что уже написано в том же СТОБР или 382-П (но более простым языком), так и быть совсем новыми (для тех же СМИ или клиентов, которым ни ЦБ, ни тем более ФСБ не уделяют пока должного внимания). В последнем случае очень не хватает "Основ госполитики в области формирования культуры ИБ", которые готовились в Совете Безопасности несколько лет назад.

Какие советы могут попасть в такой список? Не претендуя на полноту и охват, я бы включил следующие (советы СМИ давать не буду - все равно не следуют):
  • для банков:
    • до:
      • подготовить соответствующий пресс-релиз для клиентов, акционеров, СМИ (в случае если атака окажется успешной и на какое-то время инфраструктура банка окажется недоступной)
      • предварительно разослать клиентам SMS и e-mail с описанием ситуации и просьбой не паниковать раньше времени, а также указанием номеров и адресов, с которых могут приходить официальные сообщения банка по SMS и электронной почте
      • убедиться в способности своего Call Center работать при пиковых нагрузках и возможно увеличить на время число телефонных линий
      • провести краткое обучение персонала (операционистов и Call Center) для умения правильно отвечать на запросы клиентов
      • подготовить памятку для персонала с возможными вопросами клиентов и ответами на них (FAQ)
      • настроить сетевое оборудование для отражения базовых атак
      • проверить наличие резервного подключения в Интернет
      • зарезервировать ликвидность на непредвиденный случай (вот такой вариант, на мой взгляд, излишен)
      • взаимодействовать с FinCERT для получения рекомендаций от отраслевого регулятора
      • проверить настройки системы (систем) мониторинга ИБ и сети для обнаружения первых признаков DDoS-атак на банк
    • во время
      • не паниковать и не делать опрометчивых поступков
      • при первых признаках подключить услугу по отражению DDOS (по возможности)
      • сообщить в FinCERT (независимо от вашего подключения к нему)
    • после (не забывайте извлекать уроки из атак - это бывает не всегда)
      • подключиться к FinCERT (если вы этого еще не сделали) - это просто и бесплатно
      • проработать подключение услуги по отражению DDOS или приобрести оборудование для отражения DDOS и обучить персонал по работе с ним
      • проработать подключение услуги по мониторингу репутации в Интернет или приобрести соответствующее ПО и обучить персонал по работе с ним
      • быть готовым в следующий раз выполнить все, что написано в секции "до"
      • сформулировать и следовать стратегии общения с внешним миром, если атака против вас оказалась успешной
      • собрать цифровые доказательства атак на вас (номера телефонов из SMS, логи средств защиты с IP-адресами атакующих, иные артефакты) и передать их в FinCERT и, возможно, в правоохранительные органы (ЦБ скоро должен выпустить новую РС по сбору доказательств, где будут даны конкретные рекомендации по процедуре и инструментарию для решения этой задачи)
  • для клиентов
    • не паниковать и не поддаваться на провокации в соцсетях и SMS
    • заранее узнать контакты своего банка и способы, которые банк официально использует для коммуникаций с клиентами
    • не планировать серьезные покупки на день атаки (чтобы не было больно пролететь из-за недоступности платежного сервиса).

А вот уже по не столь публичным каналам (FinCERT или ГосСОПКУ, работающую с банками через корпоративные центры) можно рассылать соответствующие IOCи с IP-адресами и номерами автономных систем той же BlazingFast для использования их в системах и сервисах защиты.

А надо ли читать отраслевые стандарты, внедрять SDLC в процесс разработки, читать методические рекомендации и т.п.? Надо, только не во время атаки, когда заниматься самообразованием уже поздно. Тут уместно вспомнить заметки про цикл Бойда и несовершенство PDCA, которые я написал больше полугода назад. Цикл Бойда помогает во время атаки (что нам сейчас и надо), а PDCA - до нее, когда надо выстроить систему ИБ на предприятии. Стандарты, SDLC, методички, политики, выстраивание взаимодействия с SOCами... это все в области размеренного PDCA, а не петли Бойда.

В заключение хочу повторить то, что я писал полгода назад о том, что регуляторам стоит поменять отношение к PR своей деятельности. И вот новый пример того, как не стоит сообщать всей стране о киберугрозах, заставляя всю страну в панике додумывать, что же имела ввиду ФСБ. В прошлый раз не очень удачный PR по свершившемуся кибер-преступлению, а в этот - по еще не начавшемуся. Кстати, на сайте МВД или ЦБ ни слова об этой угрозе. И если с МВД еще можно это как-то объяснить, то молчание сайта финансового регулятора выглядит странно :-(

ЗЫ. Интересно, что не все поставщики услуг отражения DDOS позволяет легко подключиться к своему сервису и не используют ту возможность, которую им предоставила ФСБ со своей страшилкой. Например, тот же Qrator заявляет о подключении всего за 20 минут и описывает процедуру, а вот у ЛК на сайте только маркетинговое описание услуги и нет кнопки "Я под атакой! Помогите!". Читать во время атаки листовки будут не все :-)

ЗЗЫ. А вот интересная реакция ЦБ на последние события с хищениями средств - массовые проверки и обязательная сертификация ДБО по требованиям безопасности.

02.12.2016

Онлайн-варианты ИБ-игры KIPS от Лаборатории Касперского

Прошлый четверг был не только рыбным днем; он был насыщен и событиями по безопасности, среди которых я бы отметил опубликования Cisco пресс-релиза о получении сертификата на отсутствие НДВ, конференцию AntiFraud Russia, где я читал презентацию по модели угроз биометрическим системам, и выступление Президента, где он призвал снижать барьеры для компаний в области ИБ (правда его же распоряжение об ужесточении лицензионного контроля немного противоречит словам из Послания). Но было и еще одно событие, которому я и хотел посвятить эту заметку. Речь о кибермундиале, то есть чемпионате по онлайн-игре Kaspersky Industrial Protection Simulation, о которой я писал год назад и которая тогда была преимущественно "бумажной".


В прошлый раз я высказал идею, что было бы замечательно, если бы игра стала целиком онлайн и вот свершилось. Коллеги из Лаборатории Касперского пригласили меня поучаствовать в чемпионате, в котором приняло участие около 400 команд из разных регионов мира. Поэтому чемпионат разделили на 3 блока, проходящие в разные временные отрезки. Учитывая AntiFraud, я попал только на североамериканский чемпионат, где участвовало 40 команд.

Я не ставил перед собой задачи выиграть - мне было интересно, что получилось из бумажного варианта, который я видел больше года назад. С точки зрения описанной мной в прошлый раз стратегии не поменялось ничего и повторять ее я не буду. Игровое поле тоже мало претерпело изменений - по сути автоматизировали процесс выбора карточек на каждом ходе с последующим автоматическим подсчетом очков, что и позволило целиком перейти в онлайн.


Так как речь шла о чемпионате, где необходима было обеспечить звуковое сопровождение игры, отсчет времени, комментарии и т.п., то ЛК использовала для этого наш Webex, через который был проведен предварительный тренинг по использованию игры, а после чемпионата - проведен анализ игры и даны рекомендации по отдельным шагам игроков. Этот момент был очень ценен, так как действительно позволяет не просто "поиграл и забыл", но и получить обратную связь и понять, что было правильно, а что нет.


Иногда у меня вызывало вопросы то, как принимается решение внутри движка и почему то или иное мое действие приводит к тем или иным результатам. Такое недоумение было и в бумажной версии. По сути игра жестко запрограммирована в соответствие с видением экспертов ЛК, что, допускаю, может вступать в противоречие с мнением других экспертов. Но все равно, вариативность и зависимость между действиями, сделанными на разных ходах, была неплохой.


Меры защиты были не только технические, но и организационные. Была учтена связь ИБ и ИТ, а также необходимость привлечения внешних компаний (пентестеров и аутсорсеров), а также обращения в правоохранительные органы :-) Достаточно интересно оказалось, что некоторые карточки не приводили к желаемому результату и похоже (хотя могу и ошибаться) были сделаны для отвлечения внимания. Например, произошедший денежный перевод не тому получателю нельзя было отозвать (так как его уже провели), хотя карточка с такой мерой была предусмотрена :-)


Интересно, что сценарий игры подразумевал не просто борьбу с угрозами, а еще и необходимость учитывать бизнес-задачи. Например, неустраненная уязвимость Интернет-магазина могла привести к его блокированию со стороны провайдера Интернет, а обновление всех компьютеров - к потере времени сотрудников и снижению доходов компании. Целью игры было не побороть все угрозы, а обеспечить максимальный доход в условиях ограниченного бюджета и времени. На фоне ограничения времения на каждый ход, которое еще и снижалось на каждой новой итерации, это заставляло думать очень быстро.


Новые защитные меры появлялись не сразу, а по мере хода игры, что также добавляло некоторой непредсказуемости результата. Продумываешь один сценарий, а тебя сбивают с толку новыми карточками, да еще и настойчиво рекомендуют их применить "а то будет плохо...".


В итоге, я занял 28-е место из 40 и получил массу удовольствия. Будь это не первая игра и не надо мне было бы параллельно заниматься с детьми, я бы более внимательно отнесся к заданиям и моей реакции. Может быть и результаты были бы тогда повыше. Во время чемпионата в нашем регионе (EMEA), победитель достиг миллиона с небольшим (максимальное значение было 1.100.000).


А теперь несколько слов о том, чего бы мне хотелось увидеть в следующей версии:

  • Возможность участия вне чемпионата. Думаю, что она и так есть, просто чемпионат был способом привлечь внимание к этой игре и сервисам ЛК по повышению осведомленности. В такой игре (вне чемпионата) не нужно звуковое сопровождение, но... нужно реализовывать другие задачи, среди которых:
    • анализ проведенной игры (сейчас он был через Webex, а хотелось бы увидеть его по итогам игры с возможностью его сохранения в личном кабинете и последующем обращении к нему для изучения)
    • отдельно выгружаемый/сохраняемый лог/история действий
  • Увеличение числа защитных мер.
  • Наличие конструктора для создания собственных систем защиты и собственных сценариев. Это очень крутая возможность и я понимаю, что сделать ее не так уж и просто. Это необходимо не только научиться описывать систему защиты, но и связать все защитные меры с угрозами и "оцифровать" их влияние. Эта задача в общем малорешаема, так как у нас бесконечное число угроз, но вот для игры это сделать можно, взяв хотя бы за основу привязку к Kill Chain. Такая возможность могла бы продаваться в рамках Premium-пакета для корпоративных заказчиков, которые таким образом могли бы в игровой форме выстраивать свои системы защиты и моделировать угрозы и свои ответные действия.
  • Личный кабинет. Если рассматривать игру как долгоиграющий проект, направленный на повышение осведомленности, то надо где-то накапливать свою статистику и иметь возможность видеть динамику.
  • Кибермундиаль был ограничен по времени и числу ходов, а хотелось бы иметь более расширенный вариант. И чтобы время можно было делать больше или меньше. И бюджет задавать самому (да и не только CapEx на реализацию карточек, но OpEx на их обслуживание с течением времени). И чтобы число ходов было неограничено пятью.
  • Отдельной функцией могла бы стать возможность анализировать действия других игроков и команд. Особенно если рассматривать это как инструмент для холдингов и групп компаний, которые имеют головную и подчиненные ИБ.
  •  Предусмотреть влияние регуляторики и внезапные проверки регуляторов, которые могут помешать работе служб ИБ (а уж если реализовать изъятие серверов со стороны МВД...) :-)
  • Хотелось бы иметь возможность высказать несогласие с оценкой хода со стороны игры. Все мы люди и всем нам свойственно ошибаться. Коллективный разум может найти ошибки, которые пропущены разработчиками игры.
  • Наконец, можно было бы реализовать возможность играть и на стороне темной силы :-) Все-таки у нас немало компаний, которые имеют и собственные Red Team, и занимаются моделированием угроз. Им было бы полезно, как мне кажется, выступать за команду нападающих и проверять на прочность не реальные, а виртуальные бастионы.
  • Ну и учитывая разные целевые аудитории для данной игры (я, например, выступал в одиночку и как частное лицо, а многие другие команды состояли из нескольких участников и представляли компании), можно было бы предложить к данной игре разные пакеты и уровни поддержки - для индивидуальных пользователей, для ВУЗов, для среднего бизнеса, для крупных корпоративных заказчиков. А производителям средств защиты еще и product placement можно предлагать (шутка).


Вот такая интересная игра, которая может стать еще лучше. Поддержка разных языков и ориентация на разные вертикалы (финансы, ритейл, промышленность, госы и т.п.) позволит данной игре стать значительным событием в мире ИБ и классным инструментом для повышения осведомленности по вопросам ИБ. Да и как средство анализа этот инструмент очень недурен при правильном подходе. Этакий аналог KSN :-)