Лабиринт малотавра

Конец "Основных мероприятий..."

2010-03-10T07:06:00.000-08:00

Коллега прислал ссылку на решение ФСТЭК:

"В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 ... не применять следующие методические документы ФСТЭК России:
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г. "

Покойтесь с миром :)

Маразмы нашего городка

2010-02-18T14:49:00.000-08:00

История с показом порноролика на рекламном экране получила неожиданноле продолжение.

2 февраля Комитет по рекламе г. Москвы принял "Положение о защите информации от несанкционированного вмешательства при трансляции видеороликов на светодиодных экранах, установленых на территории города Москвы". По сложившейся традиции, документ утвержден зампредом комитета А.Д. Минчуком. О существовании этого документа заинтересованные лица могли узнать из интервью, прозвучавшем "Вести ФМ". Судя по всему, московские рекламщики Вести ФМ не слушают, так что начавшиеся визиты сотрудников комитета на предмет проверки его исполнения стали для них сюрпризом. Документ не публиковался, распространяется только в бумажном виде, так что для заинтересованных лиц делаю краткий обзор этого эпического труда.

Документ делит светодиодные экраны на два класса по тому, как загружается контент на его сервер управления: экраны с передачей данных на физических носителях и экраны с передачей данных по каналам связи.

В первом случае от операторов экранов требуется:

фиксировать факт передачи насителя с роликом
проверять целостность данных на носителе
организовать маркировку и учет носителей
разработать и внедрить собственные нормативные документы по защите экранов от НСД
усилить прочность корпуса жкрана
установить сигнализацию на вскрытие с датчиком объема и модулем GSM

Ну, допустим. А вот требования к экраном с управлением по сети - это что-то с чем-то. Требования взяты из РД с классификацией АС, но при этом надерганы из разных классов. Для тех, кому лень рыться в РД, в скобках привожу класс, из которого требование взято. Итак, в системе управления экраном должны выполняться следующие требования:

должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов (1Д)
должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам (1Г)
должна осуществляться идентификация информации (самодеятельность);
должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа (1Г)
должно осуществляться управление потоками информации (1В)
должны проводиться маркировка и учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных журнала (сформулировано немножко по другому, но эквивалентно требованию из класса 1Д)
должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова (1Г)
должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемой информации (1Г)
должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемой информации (1Г)
должна осуществляться регистрация попыток доступа программ к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей (1Г)
должен вестись учет носителей информации (1Д)
должна осуществлять сигнализация "нарушений защиты" (1В)
должна контролироваться целостность СЗИ по наличию файлов с нужными именами (1Г)
должны отсутствовать средства разработки (1Г)
должна обеспечиваться физическая охрана СВТ (1Г, от избытка усердия требование повторили два раза)
должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД (1Г)
должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности (1Г, тоже повторили два раза)
должно обеспечиваться информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах (1А)
должны использвоваться аттестованных (сертифицированние) криптографические средства (1Б)
должна обеспечиваться целостность программной среды за счет использования трансляторов с языков высокого уровня и отсутствия средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации (1Д)
в СВТ должны тестироваться реализация правил разграничения доступа, очистка памятии прочее бла-бла-бла, взятое из блока требований тестирования РД СВТ (требования к СВТ 5-го класса)
при наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта), от программных модулей других процессов (других субъектов) - т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга (СВТ 4-го класса)
КСЗ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или идентифицированные ("помеченные"). При вводе с "помеченного" устройства (вывода на "помеченное" устройство) КСЗ должен обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно обеспечиваться при работе с "помеченным" каналом связи (СВТ 4-го класса)

Требования, выделенные красным, применяются к системам, предназначенных для защиты сведений, составляющих государственную тайну. Даже первый взгляд на этот винегрет показывает, что документ писался человеком, далеким от предметной области. В одну кучу смешаны требования к объектам разной природы (СВТ и АС), причем требования выбраны произвольно (это требование я хочу использовать, а вот это мне не нравится, его я брать не буду) и из разных классов.
Умиляют требования по контролю исполнения требований. От операторов требуют

не реже раза в год проводить аудит информационой безопасности (!) систем управления экранами (в оригинале - "систем информационных технологий")
проводить аудит информационной безопасности организации
аттестовать системы управления экранами в системах сертификации ФСБ и ФСТЭК одновременно
установить камеры видеонаблюдения за экранами с возможностью экстренного отключения питания экранов "если что"
предоставить сотрудникам комитета удаленный доступ к экранам для просмотра транслируемого изображения

Честно говоря, при чтении документа первыми в голову приходит классическая народная мудрость про инициативу и тех, кто чаще других склонен ее проявлять. Итак, имитация бурной деятельности проведена. Что же делать операторам наружней рекламы?

Прежде всего, нужно понимать, что данный нормативный правовой акт противоречит федеральному законолательству. Согласно ФЗ "Об информации, информационных технологиях и защите информации", обязанность опратора как обладателя информации принимать определенные меры защиты наступает только в случаях, установленных законодательством РФ (ч. 4 статьи 16 ФЗ). Согласно статье 4 ФЗ законодательство Российской Федерации об информации, информационных технологиях и о защите информации состоит из упомянутого Федерального закона и других регулирующих отношения по использованию информации федеральных законов. Таким образом, орган местного самоуправления не уполномочен самовольно накладывать на оператора экрана какие-либо обязывающие его требования по защите информации.

Более того, федеральным законом "О техническом регулировании" четко установлены механизмы формирования обязательных требований. Обязательные требования по обеспечению безопасности информации могут быть установлены:

техническими регламентами, т.е. документами, которые вводятся в действие отдельными федеральными законами или постановлениями Правительства
в особых случаях (например, для информации, доступ к которой ограничивается в соответствии с законодательством) - нормативными документами ФСБ и ФСТЭК.

Получается, что комитет в лице г-на Минчука превысил свои полномочия. Поскольку исполнение этого бреда - занятие весьма затратное, я бы на месте заинтересованных рекламных агентсв попытался добиться признания этого документа недействующим. Для этого есть три пути:

обращение в орган местного самоуправления
обращение в прокуратуру
обращение в арбитражный суд

Дерзайте :)

Доверять, как себе?

2010-02-09T06:28:00.000-08:00

Время от времени умные дядьки рассказывают, как хорошо и правильно отдавать отдельные функции ИБ на аутсорсинг. Большинство говорит правильные слова: аутсорсинг помогает сэкономить. За счет чего?

В связи с этим очень интересную картинку нарисовала недавно в своем отчете TrustWave (спасибо Дмитрию Евтееву).

"Most compromised systems we investigated in 2009 were managed by third party. In the software POS system breaches we investigates, this third party often introduced many deficiencies exploited by the attacker, such as default vendor-supplied credentials and insecure remote access applications."

Дабы у коллег не возникало соблазна возразить "а вдруг речь идет о компаниях, в которых компьютеры используются как пишущие машинки", уточню: в первой части отчета приводятся результаты анализа инцидентов, результатом которых стала утечка данных платежных карт у участников платежных систем. Вариант "а вдруг подрядчик не знал/не осознавал" в этом случае исключен.

Еще раз обозначу свою позицию по вопросу аутсорсинга: аутсорсить функции безопасности можно, но это исключительно вопрос экономической целесообразности. Выигрыш в затратах на собственные ресурсы оборачивается проигрышем в защищенности, ибо "nil de nihilo fit". Только в том случае, если вы можете организовать такой же контроль за действиями специалистов подрядчика, какой вы организуете в отношении своих специалистов, у вас есть шанс, что аутсорсинг НЕ УМЕНЬШИТ защищенность ваших активов.

Предложения о том, как аутсорсинг поможит улучшить защиту, я бы предложил обсуждать здесь :)

Это было бы смешно, если бы не было так грустно

2010-02-07T02:16:00.000-08:00

"xxx: Я фигею с нового места работы. Охрана круглосуточно, ключи от кабинета под роспись в журнале, пучки видеокамер с потолков свисают, порезанные пользовательские учётные записи на каждой машине без права установки софта и драйверов, каждые 50 дней винда сообщает, что пароль устарел и его надо сменить, причём новый должен быть не короче 8 символов и не должен повторять три предыдущих
xxx: и пароль к админской учётке на всех машинах -- qwerty123
xxx: если б не дёрнуло попробовать -- в жизни бы не догадался" БОР

Всего три строчки - а как точно описывают ситуацию во многих организациях :)

Так держать или не играйте в азартные игры с профессионалами

2010-02-01T12:06:00.000-08:00

Чертовски приятно убеждаться в своей правоте!

Все мы помним, как почти два года назад были выпущены 4 методических документа ФСТЭК, посвященных защите персональных данных. Какие споры разврнулись на форумах! Сколько копий было сломано! Тогда автор этих строк вместе с Алексеем Лукацким и несколькими здравомыслящими коллегами по цеху, находясь в подавляющем меньшинстве, утверждали, что "четырехкнижие" - фикция, не подлежащая исполнению.

И вот сегодня опубликован проект приказа "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных", ожидающий подписи Григорова. Что нас ждет в случае утверждения этого документа?

В соответствии со статьей 19 ФЗ 152 требования по обеспечению безопасности персональных данных устанавливает Правительство.

"2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных."

Правительство, утвердив 781-е постановление, поручило ФСТЭК и ФСБ разработать нормативные и методические документы, необходимые для выполнения этого постановления.

"2. Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции в 3-месячный срок нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим постановлением."

В частности, им поручалось разработать методы и способы защиты информации в информационных системах персональных данных.

3. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

И вот появился проект документа, который должен устанавить эти самые методы и способы. Я не читал его внимательно, но даже при беглом взгляде видно, что из документа исчезло большинство нелепиц, характерных для "Основных мероприятий...":
1. Нет непрпавомерной нормы, обязывающей отдельных операторов ИСПД получать лицензию на ТЗКИ
2. Исчезли безумные перекрестные ссылки между группами требований
3. Исчез невиданный зверь "защита от программно-математических воздействий"

В документе есть отсылки к "Базовой модели угроз" и "Методике определения актуальности угроз", а вот не к ночи помянутые "Основные мероприятия..." в формиовании требований не участвуют ни прямо, ни косвенно. Требования переместились в приложение, сократились в объеме, приобрели законченный вид и, по-крайней мере на первый взгляд, взаимосвязь с требованиями к АС и МЭ из соответствующих руководящих документов. Учитывая, что опубликован проект документа, что по сути является приглашением к публичному его обсуждению, можно ожидать, что существенные недостатки будут выявлены заинтересованными лицами, и в финальную редакцию не попадут. Что же мешало сделать то же самое два года назад?

Будь я "юношей бледным со взором горящим", написал бы, что мы наблюдаем победу общественности над самодурством государственных органов. Выход бредовых требований ("Жестких!" - поправил меня как-то один уважаемый гражданин. Да нет, Михаил Юрьевич, именно бредовых, как бы упорно вы ни отстаивали необходимость их исполнения), робкие возражения отдельных специалистов, начавшаяся под крылом Минсвязи и ЦБ разработка альтернативных требований, перенос сроков и публикация нынешнего проекта на первый взгляд говорит о постепенном оставлении позиций государственным регулятором.

Но я давно уже не юноша, и в надзорных органах работают пусть и своеобразные, но разумные люди. И то, что мы наблюдали последние два года, скорее похоже на раунд увлекательной забавы, правила которой начали зарождаться при дворе Ивана III и окончательно оформились подле царского трона его грозного внука - замечательной придворной игры "прикрой $%пу".

Немного истории. ФЗ 152 вступил в силу в августе 2006 г. Насколько я помню, на это время приходится бедлам, связанный с расхлебыванием итогов второго этапа административной реформы, параллельно ведомства разгребают обломки перекуроченной ФЗ "О техническом регулировании" системы формирования технических требований, а ФСБ, ФСТЭК и МО усиленно торпедируют разработку технических регламентов в области безопасности,- короче, люди работают, и им не до каких-то там ПД. А часики тикают, и за провал реализации еще одного закона кому-то предется ответить.

Через год вялотекущего брыкания правительство начинает решительные действия: сперва издает распоряжение о разработке отсутствующих требований, а потом подключает тяжелую артиллерию, принимая известное постановление №781, которым, в частности, в ультимативном порядке обязывает ФСБ и ФСТЭК эти требования разработать. Честно говоря, и дату принятия постановления (конец ноября), и срок, отведенный на разработку (три месяца) иначе, как изошренным издевательством назвать нельзя. Понятно, что и за три месяца ничего путного разработать не получится, а тут из этого срока выдрана средняя треть. Если кто успел забыть, с середины декабря по середину января страна фактически уходит на каникулы :) Итог предсказуем - сроки будут сорваны, а виновники - вот они, ведомства, не подотчетные правительству, а подчиняющиеся непосредственно президенту. Изволь царь-батюшка, сам со своими опричниками разбираться.

Но не на таковских напали, и за две недели до конца отведенного срока зам. директора ФСТЭК утверждает знаменитые ДСПшные документы, которые чуть ли через неделю начали активно обсуждать на форумах. Что характерно: на формальную gакость был дан не менее пакостный ответ. Поручили разработать и утвержить? Извольте, разработали и утвердили. А вводить их в действие нам никто не поручал, так что выкручивайтесь сами - и отвечайте сами. И вот сделано все чтобы разработанные документы было невозможно ввести в действие. Нарушены все мыслимые требования: подпись неуполномоченного лица, наличие формальных противоречий законодательству, отсутствие вводящего в действие нормативного акта, гриф ДСП и распространение нормативного по своему смыслк документа путем продажи оного неким институтом, не являющимся частью системы государственной власти. Ничего не забыл? Заметьте, распоряжение правительства формально выполнено, и крайним опять остается правительство.

А часики продлолжают тикать, и возникает вполне реальная опасность с 1 января 2010 схлопотать массовую волну исков в отношении преступного бездействия должностных лиц органов государственной власти. А что еще остается делать крупным операторам? И стремительно возрастающая активность операторов делает такой сценарий вполне правдоподобным. И вот закономерный финал: сперва при поддержке правительства переносятся сроки предъявления требований по безопасности, а после появляется вменяемый проект этих самых требований. А скандальные "Основные мероприятия...", если эти требования будут утверждены, тихо издохнут. RIP.

Все это - хорошо проведенная игра, в которой поучаствовали профессионалы с громадным опытом подковерной борьбы. Но, как водится в таких случаях, нашлись и дилетанты, решившие поучаствовать в этой игре. Одна група таких игроков решила пробежаться впереди паровоза, и срочно реализовать требования этого самого "четырехкнижия" с непонятным правовым статусом, стоило только ему приобрести известность. Вторая группа игроков решила не менее срочно удовлетворить возникший спрос. И вот первые выбивают у себя бюджеты "на приведение в соответствие", а вторые начинаюь подогревать начинающуюся истерию, с каждой подходящей трибуны крича о необходимости срочно-срочно дать им денег на написание грамотных отмазок. А какие фантастические аргументы использовались для того, чтобы хоть как-то увязать предъявляемые требования со здравым смыслом! Какое "красноречие"! Жириновский нервно курит в сторонке.

В общем, результат предсказуем - дилетанты проиграли. Первые потратили деньги на выполнение оказавшихся избыточными требований, вторые потеряли изрядную долю репутации в глазах коллег по цеху. Впрочем, потери небольшие: и деньги, и репутация - дело наживное.

В то же время, у сложившейся ситуации окзался вполне положительный итог. Как выяснилось, в трудную минуту добросовестные заинтересованные лица вполне способны самоорганизоваться и скооперироваться, сообща решая возникшую перед ними проблему. Более того, и органы государственной власти в той или иной степени проявили способность прислушиваться к мнению профессионального сообщества и учитывать это мнение там, где собственной компетенции, что греха таить, не хватает. И хочется надеяться, что практика публичного обсуждения обязательных к исполнению требований - причем до, а не после их принятия - со временем станет нормой.

Безопасность и здоровье

2010-01-18T11:50:00.000-08:00

Конец 2009 года был слишком напряженным, чтобы писать что-то свое. Но все хорошо, что хорошо кончается

На Банкире обсуждаются две философски темы: ”что такое безопасность” и ”чем плоха сложившаяся в России парадигма ИБ”. И в ходе обсуждения мне пришла в голову мысль, что безопасность коммерческой компании можно сравнить со здравохранением в отдельно взятом государстве.

Что такое безопасность? Кто-то утверждает, что безопасность - это защищенность от угроз. Но совершенно непонятно, от каких угроз? Какие угрозы считать реальными и брать в рассчет, а какие - отметать как фантазии? Кто-то утверждает, что безопасность - это субъективное ощущение защищенности. Но ведь есть люди, которые считают безопасным кругосветное путешествие на одиночной яхте или выход в открытый космос, и что, это безопасно? Кто-то считает, что безопасность - это некое идеальное состояние, к которому компания может только бесконечно приближаться, внедряя все новые механихмы защиты. Но какое именно это идеальное состояние и когда можно заявить: "Хватит - мы достаточно приблизились"? Ответов на эти вопросы не слышно. А ведь безопасность - это не единственная отрасль, в которой можно ставить подобные вопросы, и для некоторых отраслей ответы на подобные вопросы уже даны.

Если подходить к жизни цинично и до примитивного просто, коммерческое предприятие - это инструмент повышения благосостояния и удовлетворения личных амбиций его владельца и ключевых руководителей, т.е. сравнительно небольшого в процентном соотношении коллектива, непосредственно, сознательно и целенаправленно определяющего деятельность предприятия. Если так же цинично и упрощенно рассматривать историю общественных отношений,то государство - это инструмент повышения благосостояния и удовлетворения личных амбиций сравнительно небольшой части населения, которая непосредственно, сознательно и целенаправленно определяет его внутреннюю и внешнюю политику. Признаюсь, я не разделяю святую веру многих людей в то, что в мире есть хотя бы одно государство, политика которого определяется решением большинства или хотя бы существенной части своего населения. Скорее, лица, принимающие решения, вынуждены считаться с мнением своего населения - как работодатель считается с настроениями в трудовом коллективе - но никак не отнидь не исполняет его поручения. Решения принимают они - исходя из собственных представлений об из целесообразности. Да, государство заботится о благосостоянии, здоровье и прочих социальных благах населения, но примерно также, как работодатель заботится о благосостояниии и комфорте своих работников.

Почему нам интересно именно здравохранение? Потому что понятие "безопасность" по своим понятийным свойствам очень близко к понятию "здоровье". Собственно, а что такое здоровье? Говоря о человеке как о здоровом, врачи оперируют понятиями "норма" и "отклонение от нормы". Наличие определенных отклонений рассматриваются как симптомы болезни - и в результате назначается лечение. Или, если эти отклонения таковы, что никакое лечение не вернет к человека к норме, человек признается инвалидом. И наличие некоторой доли людей с отклонениями от нормы здоровья вовсе не рассматривается как недостаток здравохранения.

Что же заботит государство в здоровье населения? Много чего, но прежде всего - трудоспособность. Доля трудоспособного населения - один из важнейших экономических показателей государства. Реализуя меры по охране здоровья, государство не ставит перед собой задачу привести население к каким-то эталонным показателям здоровья. Опять-таки, выражаясь цинично, государство добивается того, чтобы трудоспособным была как можно большая часть взрослого населения - но в пределах разумного. Заметим, современная наука - медицина, биология, генетика - достигли того уровня, когда теоретически возможно решить любую проблему живого организма - вплоть до конструирования новых органов или изменения отдельных свойств живых клеток. Все это - вопрос финансирования. И государство очень легко решает вопрос достаточности финансирования: оно считает принимаемые меры достаточными, если они обеспечивают наличие вот такой доли трудоспособного населения, достаточного для решения стоящих перед государством экономических задач. И вспышки заболеваний, которые регулярно происходят то тут, то там, отнюдь не являются с его точки зрения чем-то из ряда вон выходящим, оно готово с ними мириться, если они своевременно погашены и не оказали заметного влияния на экономические показатели государства. В этом случае население государства считается здоровым. В этом случе государство не будет выделять дополнительные средства здравохранению на дальнейшее улучшение здоровья (увеличение доли трудоспособного населения), поскольку эти расходые не дадут экономической отдачи, т.е. будут неоправданными, нецелесообразными.

Но ведь примерно то же самое происходит и в безопасности компании. Мы можем бесконечно улучшать механизмы защиты, предотвращая все мыслимые и немыслимые угрозы, но нужно ли это бизнесу? Мы хотели бы задублировать все каналы связи, серверы и приложения, и лучше - используя для дублирования альтернативные решения, но оправданно ли это? Где критерий оправданнсти?

Этим критерием являются правила, устанавливаемые бизнесом, правила, основанные на экономических показателях. Если бизнес готов мириться с возможным дефейсом корпоративного портала (мириться осознанно, обладая информацией о всех возможных последствиях) - се ля ви, этот портал безопасен, даже если в нем есть SQL-инъекции.

И немножко о парадигме ИБ. Как я уже писал, многие российские безопасники считают, что для обеспечения безопасности информационной системы нужно отделить ее от такого опасного и непредсказуемого внешнего мира. Этим людям я бы посоветовал посмотреть на работу эпидемиологических служб.

Атака на информационную систему в чем то сродни распространению инфекционных заболеваний. Успешная атака на узел сети превращает его в плацдарм для развития атаки, ставя под угрозу все соседние с ним узлы. Точно так же инфицированный человек становится источником угрозы для тех, кто с ним контактирует. Дайте безопасникам порулить эпидемиологической защитой - и они выстроят кордоны на границе таможенной зоны государства, будут придирчиво осматривать каждого человека, проходящего паспортный контроль, ставить ему градусник и делать анализы при малейшем подозрении - и разворачивать обратно любого праздношатающегося туриста, если он не докажет, что его въезд на территорию государства непременно нужен этому государству. К счастью, эпидемиологической защитой занимаются не безопасники, а медики.

Как строится работа эпидемиологических служб? Она строится на принципе: "Будь готов к вспышке заболевания у себя пол боком". Она строится на постоянном мониторинге даных по заболеваемости в субъектах федерации, областях, районах, населенных пунктах, и даже участках, закрепленных за поликлиниками. Она строится на готовности отреагировать на вспышку заболевания в отдельном небольшом регионе, введя в нем усиленный режим. приостанавив деятельность некритичных для обеспечения жизнедеятельности предприятий, введя ограничение на проведение массовых мероприятий, направляя в регион необходимые лекарства и специалистов. Она основана на готовности ввести дополнительный контроль перемещения людей между санитарной зоной и соседними регионами, на готовности при необходимости полностью изолировать пораженный регион, введя режим чрезвычайного положения и предотвратив распространение угрозы. Она основана прежде всего на работе внутри защищаемого государства, а не на его границах. И этот подход - работает.

О мотивации и демотивации

2009-11-05T10:13:00.000-08:00

Одна моя знакомая недавно подключилась к Интернету. То есть до того она о нем только слышала, да и не нужен ей он был. Но возможность пообщаться с друзьями дества, которых жизнь разбросала по всему земному шару - штука заманчивая. Как всегда в подобных случаях, произошел стандартный диалог.

- Послушай, год твоего рождения - не самый лучший выбор для пароля от почтового ящика.
- А что, разве моя почта может кому-то понадобиться? Зачем?

Наивно? Конечно наивно - но только когда речь идет о личной переписке. А когда подобные вопросы задает специалист по информационной безоопасности - какой эпитет использовать?

Честно говоря, я устал объяснять айтишникам, что нужно защищаться не только от вирусов, но и от внешнего проникновения. Казалось бы, соглашаются, что и с патчами у них плохо, и с конфигами файрволов не идеально, и с паролями пользователей беда. Но на эту угрозу они старательно закрывают глаза. Нарушитель, считают они, не будет заморачиваться атакой на их сеть, потому что ему это, дескать, не выгодно.

Ну что ж, давайте посмотрим, уместно ли к внешним атакам применять слово "выгода".

Мотивация

Присутствует ли в атаках меркантильный интерес? О да, еще бы. Но является ли этот мотив единственным? Давайте посмотрим на примере все того же Гонзалеса.

С мая 2006 г. Гонзалес с подельниками "выкачивают" из TJX дампы пластиковых карт и продают их через кардерский форум. Операция приносит неплохой доход - только один аплоад (40 000 000 дампов) принес ему $400 000. Вполне себе неплохой доход. И тем не менее, осенью 2007 он начинает атаку уже на следующую жертву.

Что им движет? Явно не отсутствие денег - на момент ареста только на его банковском счету было больше полутора миллионов долларов. Денег много не бывает? Так ведь опять же, не похоже. Смотрите сами: по отчету Symantec, выручка от продажи дампов составляет от 6 центов до 30 долларов за дамп. Ну, допустим, в среднем - около 10 долларов за дамп. Поставьте себя на место Гонзалеса: как бы вы распорядились сорока миллионами дампов? Я бы разбил их на сравнительно небольшие партии (тысяч по 10) и продавал по-отдельности, без ажиотажа, ориентируясь на минимальный порог в 1 доллар за дамп. Гонзалес же такими мелочами не заморачивается - он продает их разом по цене 1 цент за дамп. Сколько он недополучил? Для алчного типа - ну очень нелогичное поведение.

Собственно, на это я и хотел обратить внимания: разрабатывая модель нарушителя, мы часто оперируем критериями выгодно/невыгодно, разумно/неразумно, логично/нелогично. Но нарушитель - живой человек, со своими желаниями, эмоциями, комплексами и прочими тараканами. Разум, логика и выгода - не единственные критерии принятия решения.

Что двигает нарушителем кроме выгоды? Навскидку можно назвать еще минимум два мотива: самореализацию и самоутверждение. Самореализация - вообще мощнейший мотиватор, едва ли не второй двигатель прогресса (после лени), а самоутверждение... Ну, скажем так: это две стороны одной медали - эти два мотива трудно разделить.

Хакер, как и любой художник, хочет признания, но идет к нему по-своему. Кому-то достаточно осознания собственной крутизны. Кто-то развивает и публикует методы эксплуатации уязвимостей, или новые типы уязвимостей, или просто практикуется в том, чего еще не умеет. Кто-то дефейсит сайты известных личностей и компаний, ломает аккаунты друзей и недругов в почтовых ящиках и социальных сетях. Методы самореализации бывают самыми разными, но все они одинаково иррациональны. Кто-то утверждает, что взлом "just for fun" уже не в моде? Мягко говоря, необоснованное утверждение.

И тут появляется элемент самоутверждения. Взлом интернет-сайта - занятие довольно рутинное, но оно становится гораздо более заманчивым, если взламывается ресурс достойного соперника. Причем критерии достойности, опять-таки, иррациональны и сильно варьируются: кто-то гордится сложностью проделанной работы, кто-то - извеcтностью взломанного ресурса и т.п. Недавно появилось сразу несколько статей про уязвимости на Securelist.com. Собственно, сайтов, которые можно использовать как образец "вот так делать нельзя" - каждый третий. Но посамоутверждаться на бренде Касперских гораздо заманчивее, чем на каком-нибудь "Клубе гольяновских гопников".

А теперь представьте, что у вас есть возможность безнаказанно, совершенно не рискуя, взломать корпоративную сеть известной компании, безопасники которой пиарятся на каждом втором мероприятии по ИБ. Да еще, пусть с призрачной, потенциальной возможностью чем-нибудь поживиться в результате успешной атаки. Заманчиво?

Конечно, ключевое словосочетание - "совершенно не рискуя". И вот тут российским безопасникам, что называется, "не судьба".

Демотивация

Опять-таки, можно выделить три фактора, способных снизить мотивацию нарушителя:

возможность наказания
техничекая сложность атаки
профилактические меры

Факторы, точно так же, взаимосвязанные.

Некоторые эксперты утверждают, что никакой хакер не пойдет на серьезное правонарушение без особой выгоды, опасаясь, что "его посодють". Давайте посмотрим на ситуацию глазами самого нарушителя. Если верить Нургалиеву, за год в РФ регистрируется 15000 нарушений в сфере высоких технологий. По скольким из них возбуждаются уголовные дела - неизвестно, в устных беседах несколько раз звучало число 2000. Сколько из них доходит до приговора - тайна сия великая есть. Все те же эксперты утверждают, что "ловят зарвавшихся, а на остальных машут рукой". Не знаю, не знаю, может быть, но с точки зрения нарушителя все выглядит совсем иначе. Он не читает сводок мингистерства, не интересуется отчетностью МинЮста, зато с интересом следит за прессой. И видит простой расклад: с одной стороны - 15000 инцидентов, с другой - десятка два публикаций об арестованных хакерах. Да каких хакерах!!!

Хакеру-ваххабиту предъявлено обвинение
Банда киберпреступников украла с чужих счетов 5,6 млн рублей (напомню: непосредственный исполнитель проводил атаки со своего домашнего компьютера, не утруждая себя маскировкой)
Программист отомстил экс-начальнику, уничтожив служебную информацию
За взлом страницы "Вконтакте" удмуртскому хакеру грозит 2 года тюрьмы (это тот недоделанный Ромео, который напакостил несостоявшейся Джульетте)
Жителя Прокопьевска судят за выход в интернет под чужими логином и паролем

Ну и так далее. Когда читаешь подобные публикации, создается впечатление, что поймать удаентся не столько "зарвавшихся", сколько неудачников, неумех или клинических идиотов. А наш нарушитель отнюдь не идиот, во всяком случае сам себя он таким не считает, и прекрасно понимает, что отследить человека, раобтающего через TOR, через подключение к публичной беспроводной точке доступа или из-за границы, практически нереально. Так что российская статистика раскрываемости не только не пугает его, но и создает впечатление безнаказанности.

Что касается техничекой сложности атак, то ее, этой сложности, и нет вовсе. Metasploit Framework, Cain & Abel, BackTrack, Rainbow Tables и куча другого необходимого инструментария вполне себе доступна, а главное - работала, работает и будет работать еще долго.

А почему? Во многом благодаря отсутствию противодействия со стороны российских безопасников. Вроде понятно, что профилактические меры намного эффективнее, чем попытки найти и наказать нарушителя (тем более - заставить заплатить за причиненный ущерб). Для средних, тем более - крупных западных компаний считается нормальным подписаться на любую из многочисленных рассылок о появлении критических уязвимостей. Во всяком случае для западной компании не является чем-то из ряда вон выходящим при появлении очередного критического патча от Microsoft разослать по подразделениям циркулярное распоряжение установить этот патч на рабочие места. Про более "продвинутые" процессы вроде управления уязвимостями я уже и не говорю. Российские же безопасники продолжают усиленно считать хакерскую атаку фантастическим сюжетом для очередного фильма с Брюсом Уиллисом.

Мораль

Конечно, глупо зацикливаться на хакерах, имея массу других, более актуальных проблем. Но пренебрегать элементарными мерами безопасности, такими как контроль уязвимостей в Web-приложениях, контроль настроек файрволов, патч-менеджмент, надеясь только на "авось" - все равно, что не мыть руки перед едой. Впрочем, подавляющее большинство моих знакомых руки перед едой не моет.

Кредитор, должник, коллектор

2009-10-14T08:22:00.000-07:00

Чем активнее на различных мероприятиях обсуждают тему персональных данных, тем сильнее меня от нее тошнит. Но иногда задают довольно интересные вопросы.

Если должник банка по кредиту не давал или отозвал согласие на обработку и/или передачу своих ПД третьим лицам, то можно ли считать требования коллектора о возврате задолженности незаконными? На мой взгляд, независимо от нарушения закона о ПД, кредит должен быть возвращен, однако недобросовестные должники могут использовать факт незаконной обработки их ПД в качестве шантажа банков.

Действительно, а насколько законна деятельность коллекторского агентства при взыскании проблемного кредита, если посмотреть на нее с точки зрения ФЗ 152? Давайте посмотрим.

Типичная ситуация: физик взял потребительский кредит и не выплачивает задолженность. Банк не хочет возиться с проблемным должником самостоятельно, а предпочитает сбагрить это работу на агентство - за разумное вознаграждение. На первый взгляд тут возникает проблема:

деятельность агентства по взысканию долга не является исполнением договора, стороной которого является должник
должник не давал согласия ни банку (на передачу ПД третьим лицам), ни агентству (на обработку ПД)

Но это только на первый взгляд. Агентства, как правило, используют две схемы работы с банками:

работа по доверенности
выкуп проблемного долга

В первом случае банк выписывает сотруднику коллекторского агентства доверенность, на совершение действий, связанных со взысканием долга. В этом случае сотрудник агентства становится становится представителем банка и действует от его имени. И действия представителя, связанные с использованием персональных данных должника (с принятием решений, порождающих правовые последствия в отношении должника или иным образом затрагивающие его права и законные интересы), с точки зрения ГК РФ являются действиями банка в целях исполнения заключенного с должником договора. А если совсем цинично - действиями банка в целях исполнения субъектом своих обязательств по договору. В этом случае ни от банка, ни от агентства не требуются ни согласие должника, ни уведомление РКН.

Второй случай чуть сложнее. В результате заключения договора о кредитовании должник получил обязательство погасить долг в установленном объеме, в установленные сроки и в установленном порядке, а банк получил ряд прав, в том числе - требование исполнения обязательства должником и право обрабатывать персональные данные должника в целях исполнения договора кредитования.

В общем случае, в соответствии со статьей 382 ГК РФ кредитор вправе уступить свое требование третьему лицу, если иное не предусмотрено договором с должником или законом. Что характерно, при уступке требования новому кредитору переходят все права первоначального кредитора в том объеме и на тех условиях, которые существовали к моменту перехода права. В частности, к новому кредитору переходят права, обеспечивающие исполнение обязательства, а также другие связанные с требованием права - в том числе и связанное с перешедшим требованием право на обработку персональных данных должника (статья 384 ГК РФ).

Уступка требования может происходить на разных условиях, но обычно коллекторское агентство выкупает у банка проблемный долг. Это частный случай уступки требования, регулируемый главой 43 ГК РФ. Этот случай имеет одну особенность: должник не вправе запретить или каким-либо образом ограничить право кредитора на уступку требования (статья 828 ГК РФ). Это означает, в частности, что должник не может запретить банку передачу своих персональных данных агентству или потребовать от агентства прекращения обработки его персональных данных.

Таким образом, ни банку, ни коллекторам, опять же, не требуется согласие субъекта на передачу персональных данных (ГК РФ запрещает ему "не соглашаться"). А вот уведомить РКН агентство должно: глава 43 ГК РФ не определяет условия обработки персональных данных, а уступка требования - не договор с субъектом.

О кардерах и хакерах или "героев" нужно знать в лицо

2009-10-13T10:48:00.000-07:00

Попался мне на сайте МинЮста США один любопытный документ: “Data Breaches: What The Underground World Of Carding Reveals”. Если в двух словах – это анализ судебной практики по делам о кардинге. А поскольку в тот момент я как раз готовил доклад для круглого стола на InfoSecurity, пришелся он как раз в тему.

Что мы знаем о кардинге? Что кардинг (англ. carding) - род мошенничества, при котором производится операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Что самый опасный кардинг – это кардинг с использованием клонированнной карты. Что клонирование становится возможным при получении данных магнитной полосы. Что данные магнитной полосы обычно считываются кардерами с помощью скиммера, устанавливаемого на приемное окно банкомата. Что используются и другие методы получения данных магнитной полосы и других реквизитов: фишинг, банальная кража карты вместе с бумажником и т.п.

Так вот, согласно этому документу, преступники действительно используют разные методы кражи данных, такие как рытье в мусоре (в оригинале – dumpster diving), скиминг, фишинг, изменение адреса, традиционные кражи. В каждом из этих случаев количество потерпевших редко превышает несколько сотен, реже – тысяч. Однако основным источником данных для кардеров являются хакеры, уводящие данные кредитных карт непосредственно из банков, процессинга, торговых точек, и речь в этом случае идет о тысячах, а в некоторых случаях – миллионах карт.

Возможно ли такое? Увы, более чем. Вот лишь несколько эпизодов из жизни Альберта Гонзалеса - хакера, который недавно предстал перед судом, признал свою вину и которому грозит до 20 лет тюремного заключения.

В 2007 г. Гонзалес, Максим Ястремский (Украина) и Александр Суворов (Эстония) организовали атаку на сеть ресторанов Dave & Buster's. Система кассовых терминалов сети ресторанов образовывали своеобразную "звезду": сами терминалы передавали считанные с магнитной полосы данные на сервер ресторана, тот - на сервер головного офиса и, наконец, оттуда данные поступали на авторизацию платежа в процессинг. В апреле 2007 хакеры умудрились получить удаленный доступ к серверу одного из ресторанов и установили на него снифер. Как именно им это удалось, американская Фемида умалчивает (точнее, использует казенное "the defendants made materially false representations indicating that they were authorized to gain such access", то бишь "обошли механизмы аутентификации"). Позже они по той же схеме установили сниферы на серверы еще 11 ресторанов D&B. Перехваченные дампы просто продавались через один из кардерских форумов.

Сниферы работали до сентября 2007 года. Что характерно, прописать их автозапуск, видимо, не удалось, и при каждом перезапуске сервера ребяткам приходилось снова коннектиться к нему и запускать снифер вручную. Только в одном из ресторанов (ресторан №32, который фигурирует в обвинительном заключении) они проделали это трижды.

К слову, из 12 заявленных в преамбуле обвинительного заключения ресторанов в деле фигурирует только этот злосчастный "ресторан №32". Почему только он - загадка. Еще одна странность - относительно небольшое количестов украденных дампов (вего-то 5000). Скорее всего, речь идет именно о тех 5000 дампах, которые были обнаружены на изъятом у Ястремского при аресте нотбуке. Этот момент и стал "началом конца" для Гонзалеса и его сообщников: проведя несколько дней в турецкой тюрьме (а методы ведения допросов у турков жестоки даже по меркам российских следователей), Ястремский начал рассказывать все, что знал о своих знакомых.

Обвинительное заключение:

А впервые эта гоп-компания попала в поле зрения ФБР и Секретной Службы США еще в 2003 г., когда Гонзалес, Ястремский, Деймон Патрик Тои, Кристофер Скотт и другие организовали грандиозный вардрайвинг вокруг магазинов нескольких крупных американских торговых сетей. Гонзалес и Скотт парковались возле магазина и взламывали ее точку доступа (про то, что WEP - это одна большая ошибка, известно давно). Первое время хакеры использовали для доступа к даным различного рода уязвимости, но летом 2005 года, взломав аналогичным образом две точки доступа торговой сети TJX, они поставили свое дело на поток. Им удалось пробиться в процессинговый центр TJX, настроить VPN между процессингом и арендованным сервером и установить на сервер процессинга написанный Ястремским снифер. Отлаженный "пылесос" проработал с мая 2006 г. по март 2008 г. О количестве скопированных дампов можно только догадываться: в новостях фигурирует число 40 000 000, но это всего лишь один аплоад, который Гонзалес сделал, уже находясь под присмотром Секретной Службы, за месяц до своего ареста.

Обвинительное заключение:

Финалом карьеры Гонзалеса стала нашумевшая этой зимой атака на Heartlend Payment Systems. Если верить представителям Heartland, осенью 2008 г. VISA предупредила их о возможной компрометации. Компания провела внутренний аудит, который не выявил ничего подозрительного. Тогда, на всякий случай, компания обратилась в Секретную Службу, специалисты которой смогли-таки найти хорошо замаскированного "троянца". Ну что ж, поздравляю вас, граждане соврамши.

Все началось с того. что Гонзалесу и его приятелю попался на глаза журнал "Fortune" с рейтингом крупнейших процессинговых компаний. Идея созрела быстро, и к делу сразу же были привлечены два "русских хакера" (в обвинительном заключении фигурирует странный регион "somewhere near Russia", хотя речь, судя по материалам дела, идет о "молодых демократиях" - Латвии и Украине). Кроме того, были арендованы 6 серверов в разных регионах для залива на них украденных дампов.

Ребятки прямо по списку двинулись изучать Web-порталы этих компаний, на трех из них были обнаружены уязвимости SQL injection, и в ноябре 2007 г. началась активная работа. Через полтора месяца (к концу декабря 2007) они уже контролировали процессинг Heartland'а, установив снифер на один из ключевых серверов. Второй процессинговый центр продержался еще месяц, а с третьим пришлось повозиться аж до марта 2008 г.

К этому моменту, опираясь на показания Ястремского, Секретная Cлужба уже практически закончила расследование атаки на TJX и вела активную работу против Гонзалеса. После своего ареста, к концу 2008 г., он уже прекрасно осознавал, во что влип, и начал давать признательные показания, в обмен на отказ от преследования по мелким делам вроде атаки на D&B. Собственно, тогда-то Секретная Служба и заявилась в Heartlend. И тем не менее, официальное уведомление об утечке компания подала только 30 января 2009 г.

Обвинительное заключение

А мораль всей этой истории очень проста. Хакер, использующий типичные ошибки, сплошь и рядом совершаемые администраторами и Web-программистами, - более чем серьезная угроза для любой компании. Насколько серьезна? По-моему, биржевой индекс Heartlend'а показывает это весьма наглядно.

Осторожно, сертификация!

2009-09-21T10:14:00.000-07:00

Ввиду неумолимо приближающегося 01.01.10, операторы ИСПД все сильнее проникаются чувством гражданской ответственности и желанием "получить гарантии или выполнить все необходимые меры, чтобы регуляторы не придрались". Желание понятное и разумное, но толкает оператора в дебри незнакомых ему понятий и отношений. Одно из таких понятий - "сертификация средств защиты информации по требованиям безопасности информации".

Не будем углубляться в физику процесса и остановимся только на одном моменте, который сулит оператору определенные трудности. Не секрет, что ряд требований к ИСПД может быть выполнен средствами операционной системы. Но - вот досада - в соответствии с требованиями постановления правительства №781 используемые средства защиты должны в установленном порядке пройти оценку соответствия. Самый простой вариант, который приходит в голову, - получить сертификат на систему в целом или, на худой конец, сертификаты на уже применяющиеся операционную систему, СУБД, межсетевые экраны. Судя по откликам на форумах, находятся и исполнители, готовые предоставить подобный сертификат.за довольно смешные деньги. Можно ли сертифицировать уже установленный Windows 2003 Server за 1000 р.? Оказывается, можно, хотя результат может оказаться немножко не тем, на который рассчитывает оператор.

"Cертифицировать" свой дистрибутив Windows стало возможным с тех пор, как появилось "сертифицированное производство" некоторых версий этой операционной системы. Не вдаваясь в подробности, сертифицированное производство можно охарактеризовать так: заявитель подтверждает соответствие некоторого эталонного дистрибутива заявленным требованиям, подтверждает надежность процесса тиражирования этого дистрибутива, и, в результате, действие сертификата распространяется на все тиражируемые в рамках этого процесса копии эталона.

Никогда не задавался этим вопросом, но вполне допускаю, что все русскоязычные дистрибутивы коробочного Windows 2003 Server одинаковы. Во всяком случае, если "оператор" сертифицированного производства убедится, что "сторонний" дистрибутив идентичен эталонному, он вполне может выдать на этот дистрибутив сертификат. Это вполне укладывается в схему сертифицированного производства, опубликованную Microsoft.

Ну и, конечно, всегда остается более дорогой вариант "легализации" ОС в виде покупки сертифицированной коробки.

Итак, вы стали обладателем сертифицированной коробочной версии Windows 2003 Server. И тут перед вами в полный рост встают три вопроса:

Коробочная ли версия стоит на вашем сервере?
Та ли коробочная версия стоит на вашем сервере?
Действительно ли инсталлированная Windows является сертифицированной?

Коробочные версии ставят довольно редко - гораздо чаще сервер покупают с предустановленной OEM. И если все коробочные дистрибутивы одинаковы, то по лицензии ОЕМ дистрибьютор вправе кастомизировать сборку, добавляя в нее собственные драйверы, логотипы, патчи и т.п. В этом случае добытый вами сертификат не будет иметь никакого отношения к ОС, установленной на сервере, а благодаря "добавкам" от дистрибьютора OEMную инсталляцию несложно отличить от коробочной.

Вторая проблема возникает тогда, когда на сервере стоит версия с одинм лицензионным ключом, а вы отдельно приобрели сертифицированную коробку. Если подходить к вопросу совсем формально, инсталляция считается "правильной" только в том случае, если она произведена не только с "правильного" дистрибутива, но и с использованием соответствующего именно ему лицензионного ключа. Это принципиальная позиция, поскольку функционал продукта может изменяться при изменении лицензионного ключа. Лицензионные ключи хранятся в установленной ОС в обратимом виде, так что проверить, тот ли ключ использовался при инсталляции несложно (достаточно погуглить проблему установки Windows XP Service Pack 2 или 3, уже не помню). К счастью, этот ключ так же легко меняется, так что главное - не забыть это сделать.

Треться проблема - самая серьезная, и связана она с темой фиксации, которую не так давно поднял коллега swan. Было время, когда сертификат привязывался к дистрибутиву - пользователю достаточно было иметь на руках диск с голограммой и контрольными суммами, указанными в формуляре. Но прогресс не стоит на месте, и теперь при сертификации испытательная лаборатория, как правило, снимает контрольные суммы с инсталлированного софта. О том, как быть с переменной частью, swan, как действующий практик, расскажет лучше меня, важно лишь помнить: софт считается сертифицированным только в том случае, если вы накатили на его инсталляцию ровно те обновления, которые накатила на своем стенде испытательная лаборатория. И проблема даже не в том, что вы должны устанавливать все патчи, проверенные испытательной лабораторией (за принуждение к установке security updates я бы изобретателю этой схемы памятник при жизни поставил), а в том, что вы не вправе поставить на систему ни один патч кроме проверенных.

Так что обзавестись заветной бумагой - это всего лишь половина дела: нужно еще предпринять некоторые усилия, чтобы этот сертификат можно было бы признать относящимся к вашей системе. Как показывает практика - не все об этом знают. К моему лично сожалению.

Такие страшные инсайдеры

2009-09-17T09:06:00.000-07:00

В очередной раз прочитал сакраментальную фразу: "70% утечек информации происходит по вине собственных сотрудников компании". На этот раз с упоминанием Gartner в качестве иточника.

Подобные утверждения обычно не вызывают отторжения: мы уверены, что так оно и есть. Но в последнее время моей "настольной книгой" стал отчет Verizon по результатам расследования инцидентов в 2008 году. Результаты несколько шокируют

По данным Verizon 74% утечек происходят в результате атаки внешнего нарушителя, причем в 43% случаях - непосредственно в результате атаки на ресурс. И только в 26% случаев в утечке следует винить субъектов, имевших легальный доступ к этой информации. Как утверждают авторы: "Результаты анализа 600 инцидентов в течение пяти лет являютя серьезным свидетельством против давней и глубоко укоренившейся веры в то, что за большинством утечек стоят инсайдеры". Вот так, ни больше, ни меньше.

А правда, откуда у нас такой страх перед инсайдерами? Над Гартнером измываться не будем (как оказалось, речь идет о довольно старом исследовании), но есть ведь и более новые исследования. Вот про инсайдеров напоминает CSI - по мнению опрошенных представителей западных компаний, почти половина из них в том же 2008 пострадала от собственных сотрудников (примерно столько же - от вирусов и кражи оборудования).

Не отстает и Perimetrix: по мнению опрошенных соотечественников утечка данных - настоящий бич российских компаний.

А виноваты, разумеется, все те же инсайдеры

Кто же заблуждается, Verizon или прогрессивное человечество в лице Gartner, CSI и Perimetrix? За правдивость Verizon ничего сказать не могу, а вот достоверность исследований двух последних оценить легко.

Оказывается, половина респондентов, так уверенно отвечавших на вопросы, даже не сталкивалась в 2008 г. с инцидентами, но их ответы, тем не менее, пошли в зачет. Но позвольте, из каких соображений они отмечали значимость той или иной угрозы? Хотел написать "фантазировали", но выскажусь более дипломатично: из соображений собственной убежденности, веры, интуиции. Короче, из каких угодно соображений, только не из реальных фактов.

Не берусь судить, как изменился бы расклад, если бы подобная статистика строилась только на фактическом материале по реальным инцидентам. Но то, что приходится наблюдать в российских компаниях, делает отчет Verizon весьма правдоподобным. Но об этом как-нибудь в другой раз, а пока отмечу одну мысль, которая беспокоит меня уже несколько лет: в российской информационной безопасности хвост виляет собакой.

Судите сами. Первые нормативные документы в области ИБ были опубликованы в начале 90-х годов (если не раньше). Разработкой этих документов занимались люди, профессионально занимавшиеся защитой информации в замкнутых, изолированных от внешнего мира системах и добывавшие информацию из таких же замкнутых, изолированных от внешнего мира систем. К сегодняшнему дню эти люди (настоящие профессионалы и очень уважаемые люди) подготовили одно-два поколения безопасников, вложив в них свои знания - и свои стереотипы. Ученик очень часто без сомнений принимает знания учителя -- и передает их дальше. Эти знания находят свое отражение в публикациях, докладах, диссертациях - и мы как-то забываем, что эти стереотипы уходят корнями все туда же - в защиту замкнутых, изолированных систем. А в реальной жизни мы имеем открытые системы, взаимодействующие с внешним миром по известным протоколам, имеющим не только устранимые уязвимости, но и системные недостатки.

И теперь любой "специалист по информационной безопасности", едва получив диплом, не имея ни малейшего опыта, уверенно и без запинки ответит:
"Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал"
или
"Угрозы доступа (проникновения) в операционную среду компьютера и несанкционированного доступа к ПДнмогут быть реализованы в случае получения физического доступа к ИСПДн или, по крайней мере, к средствам ввода информации в ИСПДн".

И очень удивляется, когда ему показывают, как легко и быстро контроль над защищаемыми им внутренними ресурсами компании получает внешний нарушитель.

Может быть, в консерватории пора уже что-то менять?

Тенденция, однако

2009-09-17T07:16:00.000-07:00

Блогов и форумов нынче развелось :)

Все чаще возникают ситуации, когда один и тот же вопрос обсуждается на нескольких ресурсах, причем с разных точек зрения. Комментировать одно и то же всюду - увольте. Так что подобные темы буду поднимать у себя. А заодно - комментировать то, что интересно лично мне.