четверг, 5 ноября 2009 г.

О мотивации и демотивации

Одна моя знакомая недавно подключилась к Интернету. То есть до того она о нем только слышала, да и не нужен ей он был. Но возможность пообщаться с друзьями дества, которых жизнь разбросала по всему земному шару - штука заманчивая. Как всегда в подобных случаях, произошел стандартный диалог.

- Послушай, год твоего рождения - не самый лучший выбор для пароля от почтового ящика.
- А что, разве моя почта может кому-то понадобиться? Зачем?

Наивно? Конечно наивно - но только когда речь идет о личной переписке. А когда подобные вопросы задает специалист по информационной безоопасности - какой эпитет использовать?

Честно говоря, я устал объяснять айтишникам, что нужно защищаться не только от вирусов, но и от внешнего проникновения. Казалось бы, соглашаются, что и с патчами у них плохо, и с конфигами файрволов не идеально, и с паролями пользователей беда. Но на эту угрозу они старательно закрывают глаза. Нарушитель, считают они, не будет заморачиваться атакой на их сеть, потому что ему это, дескать, не выгодно.

Ну что ж, давайте посмотрим, уместно ли к внешним атакам применять слово "выгода".

Мотивация

Присутствует ли в атаках меркантильный интерес? О да, еще бы. Но является ли этот мотив единственным? Давайте посмотрим на примере все того же Гонзалеса.

С мая 2006 г. Гонзалес с подельниками "выкачивают" из TJX дампы пластиковых карт и продают их через кардерский форум. Операция приносит неплохой доход - только один аплоад (40 000 000 дампов) принес ему $400 000. Вполне себе неплохой доход. И тем не менее, осенью 2007 он начинает атаку уже на следующую жертву.

Что им движет? Явно не отсутствие денег - на момент ареста только на его банковском счету было больше полутора миллионов долларов. Денег много не бывает? Так ведь опять же, не похоже. Смотрите сами: по отчету Symantec, выручка от продажи дампов составляет от 6 центов до 30 долларов за дамп. Ну, допустим, в среднем - около 10 долларов за дамп. Поставьте себя на место Гонзалеса: как бы вы распорядились сорока миллионами дампов? Я бы разбил их на сравнительно небольшие партии (тысяч по 10) и продавал по-отдельности, без ажиотажа, ориентируясь на минимальный порог в 1 доллар за дамп. Гонзалес же такими мелочами не заморачивается - он продает их разом по цене 1 цент за дамп. Сколько он недополучил? Для алчного типа - ну очень нелогичное поведение.

Собственно, на это я и хотел обратить внимания: разрабатывая модель нарушителя, мы часто оперируем критериями выгодно/невыгодно, разумно/неразумно, логично/нелогично. Но нарушитель - живой человек, со своими желаниями, эмоциями, комплексами и прочими тараканами. Разум, логика и выгода - не единственные критерии принятия решения.

Что двигает нарушителем кроме выгоды? Навскидку можно назвать еще минимум два мотива: самореализацию и самоутверждение. Самореализация - вообще мощнейший мотиватор, едва ли не второй двигатель прогресса (после лени), а самоутверждение... Ну, скажем так: это две стороны одной медали - эти два мотива трудно разделить.

Хакер, как и любой художник, хочет признания, но идет к нему по-своему. Кому-то достаточно осознания собственной крутизны. Кто-то развивает и публикует методы эксплуатации уязвимостей, или новые типы уязвимостей, или просто практикуется в том, чего еще не умеет. Кто-то дефейсит сайты известных личностей и компаний, ломает аккаунты друзей и недругов в почтовых ящиках и социальных сетях. Методы самореализации бывают самыми разными, но все они одинаково иррациональны. Кто-то утверждает, что взлом "just for fun" уже не в моде? Мягко говоря, необоснованное утверждение.

И тут появляется элемент самоутверждения. Взлом интернет-сайта - занятие довольно рутинное, но оно становится гораздо более заманчивым, если взламывается ресурс достойного соперника. Причем критерии достойности, опять-таки, иррациональны и сильно варьируются: кто-то гордится сложностью проделанной работы, кто-то - извеcтностью взломанного ресурса и т.п. Недавно появилось сразу несколько статей про уязвимости на Securelist.com. Собственно, сайтов, которые можно использовать как образец "вот так делать нельзя" - каждый третий. Но  посамоутверждаться на бренде Касперских гораздо заманчивее, чем на каком-нибудь "Клубе гольяновских гопников".

А теперь представьте, что у вас есть возможность безнаказанно, совершенно не рискуя, взломать корпоративную сеть известной компании, безопасники которой пиарятся на каждом втором мероприятии по ИБ. Да еще, пусть с призрачной, потенциальной возможностью чем-нибудь поживиться в результате успешной атаки. Заманчиво?

Конечно, ключевое словосочетание - "совершенно не рискуя". И вот тут российским безопасникам, что называется, "не судьба".

Демотивация

Опять-таки, можно выделить три фактора, способных снизить мотивацию нарушителя:

  • возможность наказания
  • техничекая сложность атаки
  • профилактические меры
Факторы, точно так же, взаимосвязанные.

Некоторые эксперты утверждают, что никакой хакер не пойдет на серьезное правонарушение без особой выгоды, опасаясь, что "его посодють". Давайте посмотрим на ситуацию глазами самого нарушителя. Если верить Нургалиеву, за год в РФ регистрируется 15000 нарушений в сфере высоких технологий. По скольким из них возбуждаются уголовные дела - неизвестно, в устных беседах несколько раз звучало число 2000. Сколько из них доходит до приговора - тайна сия великая есть. Все те же эксперты утверждают, что "ловят зарвавшихся, а на остальных машут рукой". Не знаю, не знаю, может быть, но с точки зрения нарушителя все выглядит совсем иначе. Он не читает сводок мингистерства, не интересуется отчетностью МинЮста, зато с интересом следит за прессой. И видит простой расклад: с одной стороны - 15000 инцидентов, с другой - десятка два публикаций об арестованных хакерах. Да каких хакерах!!!

Хакеру-ваххабиту предъявлено обвинение
Банда киберпреступников украла с чужих счетов 5,6 млн рублей (напомню: непосредственный исполнитель проводил атаки со своего домашнего компьютера, не утруждая себя маскировкой)
Программист отомстил экс-начальнику, уничтожив служебную информацию
За взлом страницы "Вконтакте" удмуртскому хакеру грозит 2 года тюрьмы (это тот недоделанный Ромео, который напакостил несостоявшейся Джульетте)
Жителя Прокопьевска судят за выход в интернет под чужими логином и паролем

Ну и так далее. Когда читаешь подобные публикации, создается впечатление, что поймать удаентся не столько "зарвавшихся", сколько неудачников, неумех или клинических идиотов. А наш нарушитель отнюдь не идиот, во всяком случае сам себя он таким не считает, и прекрасно понимает, что отследить человека, раобтающего через TOR, через подключение к публичной беспроводной точке доступа или из-за границы, практически нереально. Так что российская статистика раскрываемости не только не пугает его, но и создает впечатление безнаказанности.


Что касается техничекой сложности атак, то ее, этой сложности, и нет вовсе. Metasploit Framework, Cain & Abel, BackTrack, Rainbow Tables и куча другого необходимого инструментария вполне себе доступна, а главное - работала, работает и будет работать еще долго.


А почему? Во многом благодаря отсутствию противодействия со стороны российских безопасников. Вроде понятно, что профилактические меры намного эффективнее, чем попытки найти и наказать нарушителя (тем более - заставить заплатить за причиненный ущерб). Для средних, тем более - крупных западных компаний считается нормальным подписаться на любую из многочисленных рассылок о появлении критических уязвимостей. Во всяком случае для западной компании не является чем-то из ряда вон выходящим при появлении очередного критического патча от Microsoft разослать по подразделениям циркулярное распоряжение установить этот патч на рабочие места. Про более "продвинутые" процессы вроде управления уязвимостями я уже и не говорю. Российские же безопасники продолжают усиленно считать хакерскую атаку фантастическим сюжетом для очередного фильма с Брюсом Уиллисом.


Мораль

Конечно, глупо зацикливаться на хакерах, имея массу других, более актуальных проблем. Но пренебрегать элементарными мерами безопасности, такими как контроль уязвимостей в Web-приложениях, контроль настроек файрволов, патч-менеджмент, надеясь только на "авось" - все равно, что не мыть руки перед едой. Впрочем, подавляющее большинство моих знакомых руки перед едой не моет.

среда, 14 октября 2009 г.

Кредитор, должник, коллектор

Чем активнее на различных мероприятиях обсуждают тему персональных данных, тем сильнее меня от нее тошнит. Но иногда задают довольно интересные вопросы.

Если должник банка по кредиту не давал или отозвал согласие на обработку и/или передачу своих ПД третьим лицам, то можно ли считать требования коллектора о возврате задолженности незаконными? На мой взгляд, независимо от нарушения закона о ПД, кредит должен быть возвращен, однако недобросовестные должники могут использовать факт незаконной обработки их ПД в качестве шантажа банков.
Действительно, а насколько законна деятельность коллекторского агентства при взыскании проблемного кредита, если посмотреть на нее с точки зрения ФЗ 152? Давайте посмотрим.

Типичная ситуация: физик взял потребительский кредит и не выплачивает задолженность. Банк не хочет возиться с проблемным должником самостоятельно, а предпочитает сбагрить это работу на агентство - за разумное вознаграждение. На первый взгляд тут возникает проблема:
  • деятельность агентства по взысканию долга не является исполнением договора, стороной которого является должник 
  • должник не давал согласия ни банку (на передачу ПД третьим лицам), ни агентству (на обработку ПД)
Но это только на первый взгляд. Агентства, как правило, используют две схемы работы с банками:
  • работа по доверенности
  • выкуп проблемного долга
В первом случае банк выписывает сотруднику коллекторского агентства доверенность, на совершение действий, связанных со взысканием долга. В этом случае сотрудник агентства становится становится представителем банка и действует от его имени. И действия представителя, связанные с использованием персональных данных должника (с принятием решений, порождающих правовые последствия в отношении должника или иным образом затрагивающие его права и законные интересы), с точки зрения ГК РФ являются действиями банка в целях исполнения заключенного с должником договора. А если совсем цинично - действиями банка в целях исполнения субъектом своих обязательств по договору. В этом случае ни от банка, ни от агентства не требуются ни согласие должника, ни уведомление РКН.

Второй случай чуть сложнее. В результате заключения договора о кредитовании должник получил обязательство погасить долг в установленном объеме, в установленные сроки и в установленном порядке, а банк получил ряд прав, в том числе - требование исполнения обязательства должником и право обрабатывать персональные данные должника в целях исполнения договора кредитования.

В общем случае, в соответствии со статьей 382 ГК РФ кредитор вправе уступить свое требование третьему лицу, если иное не предусмотрено договором с должником или законом. Что характерно, при уступке требования новому кредитору переходят все права первоначального кредитора в том объеме и на тех условиях, которые существовали к моменту перехода права. В частности, к новому кредитору переходят права, обеспечивающие исполнение обязательства, а также другие связанные с требованием права - в том числе и связанное с перешедшим требованием право на обработку персональных данных должника (статья 384 ГК РФ).

Уступка требования может происходить на разных условиях, но обычно коллекторское агентство выкупает у банка проблемный долг. Это частный случай уступки требования, регулируемый главой 43 ГК РФ. Этот случай имеет одну особенность: должник не вправе запретить или каким-либо образом ограничить право кредитора на уступку требования (статья 828 ГК РФ). Это означает, в частности, что должник не может запретить банку передачу своих персональных данных агентству или  потребовать от агентства прекращения обработки его персональных данных.

Таким образом, ни банку, ни коллекторам, опять же, не требуется согласие субъекта на передачу персональных данных (ГК РФ запрещает ему "не соглашаться"). А вот уведомить РКН агентство должно: глава 43 ГК РФ не определяет условия обработки персональных данных, а уступка требования - не договор с субъектом.

вторник, 13 октября 2009 г.

О кардерах и хакерах или "героев" нужно знать в лицо

Попался мне на сайте МинЮста США один любопытный документ: “Data Breaches: What The Underground World Of Carding Reveals”. Если в двух словах – это анализ судебной практики по делам о кардинге. А поскольку в тот момент я как раз готовил доклад для круглого стола на InfoSecurity, пришелся он как раз в тему.

Что мы знаем о кардинге? Что кардинг (англ. carding) - род мошенничества, при котором производится операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Что самый опасный кардинг – это кардинг с использованием клонированнной карты. Что клонирование становится возможным при получении данных магнитной полосы. Что данные магнитной полосы обычно считываются кардерами с помощью скиммера, устанавливаемого на приемное окно банкомата. Что используются и другие методы получения данных магнитной полосы и других реквизитов: фишинг, банальная кража карты вместе с бумажником и т.п.

Так вот, согласно этому документу, преступники действительно используют разные методы кражи данных, такие как рытье в мусоре (в оригинале – dumpster diving), скиминг, фишинг, изменение адреса, традиционные кражи. В каждом из этих случаев количество потерпевших редко превышает несколько сотен, реже – тысяч. Однако основным источником данных для кардеров являются хакеры, уводящие данные кредитных карт непосредственно из банков, процессинга, торговых точек, и речь в этом случае идет о тысячах, а в некоторых случаях – миллионах карт.

Возможно ли такое? Увы, более чем. Вот лишь несколько эпизодов из жизни Альберта Гонзалеса - хакера, который недавно предстал перед судом, признал свою вину и которому грозит до 20 лет тюремного заключения.

В 2007 г. Гонзалес, Максим Ястремский (Украина)  и Александр Суворов (Эстония) организовали атаку на сеть ресторанов Dave & Buster's. Система кассовых терминалов сети ресторанов образовывали своеобразную "звезду": сами терминалы передавали считанные с магнитной полосы данные на сервер ресторана, тот - на сервер головного офиса и, наконец, оттуда данные поступали на авторизацию платежа в процессинг. В апреле 2007 хакеры умудрились получить удаленный доступ к серверу одного из ресторанов и установили на него снифер. Как именно им это удалось, американская Фемида умалчивает (точнее, использует казенное "the defendants made materially false representations indicating that they were authorized to gain such access", то бишь "обошли механизмы аутентификации"). Позже они по той же схеме установили сниферы на серверы еще 11 ресторанов D&B. Перехваченные дампы просто продавались через один из кардерских форумов.

Сниферы работали до сентября 2007 года. Что характерно, прописать их автозапуск, видимо, не удалось, и при каждом перезапуске сервера ребяткам приходилось снова коннектиться к нему и запускать снифер вручную. Только в одном из ресторанов (ресторан №32, который фигурирует в обвинительном заключении) они проделали это трижды.

К слову, из 12 заявленных в преамбуле обвинительного заключения ресторанов в деле фигурирует только этот злосчастный "ресторан №32". Почему только он - загадка. Еще одна странность - относительно небольшое количестов украденных дампов (вего-то 5000). Скорее всего, речь идет именно о тех 5000 дампах, которые были обнаружены на изъятом у Ястремского при аресте нотбуке. Этот момент и стал "началом конца" для Гонзалеса и его сообщников: проведя несколько дней в турецкой тюрьме (а методы ведения допросов у турков жестоки даже по меркам российских следователей), Ястремский начал рассказывать все, что знал о своих знакомых.

Обвинительное заключение:


А впервые эта гоп-компания попала в поле зрения ФБР и Секретной Службы США еще в 2003 г., когда Гонзалес, Ястремский, Деймон Патрик Тои, Кристофер Скотт и другие организовали грандиозный вардрайвинг вокруг магазинов нескольких крупных американских торговых сетей. Гонзалес и Скотт парковались возле магазина и взламывали ее точку доступа (про то, что WEP - это одна большая ошибка, известно давно). Первое время хакеры использовали для доступа к даным различного рода уязвимости, но летом 2005 года, взломав аналогичным образом две точки доступа торговой сети TJX, они поставили свое дело на поток. Им удалось пробиться в процессинговый центр TJX, настроить VPN между процессингом и арендованным сервером и установить на сервер процессинга написанный Ястремским снифер. Отлаженный "пылесос" проработал с мая 2006 г. по март 2008 г. О количестве скопированных дампов можно только догадываться: в новостях фигурирует число 40 000 000, но это всего лишь один аплоад, который Гонзалес сделал, уже находясь под присмотром Секретной Службы, за месяц до своего ареста.

Обвинительное заключение:


Финалом карьеры Гонзалеса стала нашумевшая этой зимой атака на Heartlend Payment Systems. Если верить представителям Heartland, осенью 2008 г.  VISA предупредила их о возможной компрометации. Компания провела внутренний аудит, который не выявил ничего подозрительного. Тогда, на всякий случай, компания обратилась в Секретную Службу, специалисты которой смогли-таки найти хорошо замаскированного "троянца". Ну что ж, поздравляю вас, граждане соврамши.


Все началось с того. что Гонзалесу и его приятелю попался на глаза журнал "Fortune" с рейтингом крупнейших процессинговых компаний. Идея созрела быстро, и к делу сразу же были привлечены два "русских хакера" (в обвинительном заключении фигурирует странный регион "somewhere near Russia", хотя речь, судя по материалам дела, идет о "молодых демократиях" - Латвии и Украине). Кроме того, были арендованы 6 серверов в разных регионах для залива на них украденных дампов.

Ребятки прямо по списку двинулись изучать Web-порталы этих компаний, на трех из них были обнаружены уязвимости SQL injection, и в ноябре 2007 г. началась активная работа. Через полтора месяца (к концу декабря 2007) они уже контролировали процессинг Heartland'а, установив снифер на один из ключевых серверов. Второй процессинговый центр продержался еще месяц, а с третьим пришлось повозиться аж до марта 2008 г.

К этому моменту, опираясь на показания Ястремского, Секретная Cлужба уже практически закончила расследование атаки на TJX и вела активную работу против Гонзалеса. После своего ареста, к концу 2008 г., он уже прекрасно осознавал, во что влип, и начал давать признательные показания, в обмен на отказ от преследования по мелким делам вроде атаки на D&B. Собственно, тогда-то Секретная Служба и заявилась в Heartlend. И тем не менее, официальное уведомление об утечке компания подала только 30 января 2009 г.

Обвинительное заключение



А мораль всей этой истории очень проста. Хакер, использующий типичные ошибки, сплошь и рядом совершаемые администраторами и Web-программистами, - более чем серьезная угроза для любой компании. Насколько серьезна? По-моему, биржевой индекс Heartlend'а показывает это весьма наглядно.





понедельник, 21 сентября 2009 г.

Осторожно, сертификация!

Ввиду неумолимо приближающегося  01.01.10, операторы ИСПД все сильнее проникаются чувством гражданской ответственности и желанием "получить гарантии или выполнить все необходимые меры, чтобы регуляторы не придрались". Желание понятное и разумное, но толкает оператора в дебри незнакомых ему понятий и отношений. Одно из таких понятий - "сертификация средств защиты информации по требованиям безопасности информации".

Не будем углубляться в физику процесса и остановимся только на одном моменте, который сулит оператору определенные трудности. Не секрет, что ряд требований к ИСПД может быть выполнен средствами операционной системы. Но - вот досада - в соответствии с требованиями постановления правительства №781 используемые средства защиты должны в установленном порядке пройти оценку соответствия. Самый простой вариант, который приходит в голову, - получить сертификат на систему в целом или, на худой конец, сертификаты на уже применяющиеся операционную систему, СУБД, межсетевые экраны. Судя по откликам на форумах, находятся и исполнители, готовые предоставить подобный сертификат.за довольно смешные деньги. Можно ли сертифицировать уже установленный  Windows 2003 Server за 1000 р.? Оказывается, можно, хотя результат может оказаться немножко не тем, на который рассчитывает оператор.

"Cертифицировать" свой дистрибутив Windows стало возможным с тех пор, как появилось "сертифицированное производство" некоторых версий этой операционной системы. Не вдаваясь в подробности, сертифицированное производство можно охарактеризовать так: заявитель подтверждает соответствие некоторого эталонного дистрибутива заявленным требованиям, подтверждает надежность процесса тиражирования этого дистрибутива, и, в результате, действие сертификата распространяется на все тиражируемые в рамках этого процесса копии эталона.

Никогда не задавался этим вопросом, но вполне допускаю, что все русскоязычные дистрибутивы коробочного Windows 2003 Server одинаковы. Во всяком случае, если  "оператор" сертифицированного производства убедится, что "сторонний" дистрибутив идентичен эталонному, он вполне может выдать на этот дистрибутив сертификат. Это вполне укладывается в схему сертифицированного производства, опубликованную Microsoft.

Ну и, конечно, всегда остается более дорогой вариант "легализации" ОС в виде покупки сертифицированной коробки.

Итак, вы стали обладателем сертифицированной коробочной версии Windows 2003 Server. И тут перед вами в полный рост встают три вопроса:

  1. Коробочная ли версия стоит на вашем сервере?
  2. Та ли коробочная версия стоит на вашем сервере?
  3. Действительно ли инсталлированная Windows является сертифицированной?
Коробочные версии ставят довольно редко - гораздо чаще сервер покупают с предустановленной OEM. И если все коробочные дистрибутивы одинаковы, то по лицензии ОЕМ дистрибьютор вправе кастомизировать сборку, добавляя в нее собственные драйверы, логотипы, патчи и т.п. В этом случае добытый вами сертификат не будет иметь никакого отношения к ОС, установленной на сервере, а благодаря "добавкам" от дистрибьютора OEMную инсталляцию несложно отличить от коробочной.

Вторая проблема возникает тогда, когда на сервере стоит версия с одинм лицензионным ключом, а вы отдельно приобрели сертифицированную коробку. Если подходить к вопросу совсем формально, инсталляция считается "правильной" только в том случае, если она произведена не только с "правильного" дистрибутива, но и с использованием соответствующего именно ему лицензионного ключа. Это принципиальная позиция, поскольку функционал продукта может изменяться при изменении лицензионного ключа. Лицензионные ключи хранятся в установленной ОС в обратимом виде, так что проверить, тот ли ключ использовался при инсталляции несложно  (достаточно погуглить проблему установки Windows XP Service Pack 2 или 3, уже не помню). К счастью, этот ключ так же легко меняется, так что главное - не забыть это сделать.

Треться проблема - самая серьезная, и связана она с темой фиксации, которую не так давно поднял коллега swan. Было время, когда сертификат привязывался к дистрибутиву - пользователю достаточно было иметь на руках диск с голограммой и контрольными суммами, указанными в формуляре. Но прогресс не стоит на месте, и теперь при сертификации испытательная лаборатория, как правило, снимает контрольные суммы с инсталлированного софта. О том, как быть с переменной частью, swan, как действующий практик, расскажет лучше меня, важно лишь помнить: софт считается сертифицированным только в том случае, если вы накатили на его инсталляцию ровно те обновления, которые накатила на своем стенде испытательная лаборатория. И проблема даже не в том, что вы должны устанавливать все патчи, проверенные испытательной лабораторией (за принуждение к установке security updates я бы изобретателю этой схемы памятник при жизни поставил), а в том, что вы не вправе поставить на систему ни один патч кроме проверенных.

Так что обзавестись заветной бумагой - это всего лишь половина дела: нужно еще предпринять некоторые усилия, чтобы этот сертификат можно было бы признать относящимся к вашей системе. Как показывает практика - не все об этом знают. К моему лично сожалению.

четверг, 17 сентября 2009 г.

Такие страшные инсайдеры

В очередной раз прочитал сакраментальную фразу: "70% утечек информации происходит по вине собственных сотрудников компании". На этот раз с упоминанием Gartner в качестве иточника.

Подобные утверждения обычно не вызывают отторжения: мы уверены, что так оно и есть. Но в последнее время моей "настольной книгой" стал отчет Verizon по результатам расследования инцидентов в 2008 году. Результаты несколько шокируют


По данным Verizon 74% утечек происходят в результате атаки внешнего нарушителя, причем в 43% случаях - непосредственно в результате атаки на ресурс. И только в 26% случаев в утечке следует винить субъектов, имевших легальный доступ к этой информации. Как утверждают авторы: "Результаты анализа 600 инцидентов в течение пяти лет являютя серьезным свидетельством против давней и глубоко укоренившейся веры в то, что  за большинством утечек стоят инсайдеры". Вот так, ни больше, ни меньше.

А правда, откуда у нас такой страх перед инсайдерами? Над Гартнером измываться не будем (как  оказалось, речь идет о довольно старом исследовании), но есть ведь и более новые исследования. Вот про инсайдеров напоминает CSI - по мнению опрошенных представителей западных компаний, почти половина из них в том же 2008 пострадала от собственных сотрудников (примерно столько же - от вирусов и кражи оборудования).


Не отстает и Perimetrix: по мнению опрошенных соотечественников утечка данных - настоящий бич российских компаний.


А виноваты, разумеется, все те же инсайдеры


Кто же заблуждается, Verizon или прогрессивное человечество в лице Gartner, CSI и Perimetrix? За правдивость Verizon ничего сказать не могу, а вот достоверность исследований двух последних оценить легко.



Оказывается, половина респондентов, так уверенно отвечавших на вопросы, даже не сталкивалась в 2008 г. с инцидентами, но их ответы, тем не менее, пошли в зачет. Но позвольте, из каких соображений они отмечали значимость той или иной угрозы? Хотел написать "фантазировали", но выскажусь более дипломатично: из соображений собственной убежденности, веры, интуиции. Короче, из каких угодно соображений, только не из реальных фактов.

Не берусь судить, как изменился бы расклад, если бы подобная статистика строилась только на фактическом материале по реальным инцидентам. Но то, что приходится наблюдать в российских компаниях, делает отчет Verizon весьма правдоподобным. Но об этом как-нибудь в другой раз, а пока отмечу одну мысль, которая беспокоит меня уже несколько лет: в российской информационной безопасности хвост виляет собакой.

Судите сами. Первые нормативные документы в области ИБ были опубликованы в начале 90-х годов (если не раньше). Разработкой этих документов занимались люди, профессионально занимавшиеся защитой информации в замкнутых, изолированных от внешнего мира системах и добывавшие информацию из таких же замкнутых, изолированных от внешнего мира систем. К сегодняшнему дню эти люди (настоящие профессионалы и очень уважаемые люди) подготовили одно-два поколения безопасников, вложив в них свои знания - и свои стереотипы. Ученик очень часто без сомнений принимает знания учителя -- и передает их дальше. Эти знания находят свое отражение в публикациях, докладах, диссертациях - и мы как-то забываем, что эти стереотипы уходят корнями все туда же - в защиту замкнутых, изолированных систем. А в реальной жизни мы имеем открытые системы, взаимодействующие с внешним миром по известным протоколам, имеющим не только устранимые уязвимости, но и системные недостатки.

И теперь любой "специалист по информационной безопасности", едва получив диплом, не имея ни малейшего опыта, уверенно и без запинки ответит:
"Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал"
или
"Угрозы доступа (проникновения) в операционную среду компьютера и несанкционированного доступа к ПДнмогут быть реализованы в случае получения физического доступа к ИСПДн или, по крайней мере, к средствам ввода информации в ИСПДн".

И очень удивляется, когда ему показывают, как легко и быстро контроль над защищаемыми им внутренними ресурсами компании получает внешний нарушитель.

Может быть, в консерватории пора уже что-то менять?

Тенденция, однако

Блогов и форумов нынче развелось :)

Все чаще возникают ситуации, когда один и тот же вопрос обсуждается на нескольких ресурсах, причем с разных точек зрения. Комментировать одно и то же всюду - увольте. Так что подобные темы буду поднимать у себя. А заодно - комментировать то, что интересно лично мне.

  © Blogger template 'Solitude' by Ourblogtemplates.com 2008

Back to TOP