Когда несколько лет назад был арестован Сергей Михайлов из ЦИБ ФСБ, я неоднократно общался с разными журналистами, у которых в голове кто-то сформировал мысль, что Михайлов был куратором всего российского рынка ИБ и без него не решался ни один значимый вопрос на этом рынке. У меня же тогда эта идея вызывала когнитивный диссонанс, так как я, проработав к тому моменту в ИБ 25 лет, ни разу не сталкивался с влиянием Михайлов, хотя с Сергеем был знаком. На мой взгляд это было явное преувеличение. Допускаю, что Сергей по своей должности мог влиять на отдельные аспекты деятельности, которые можно отнести к ИБ, но в очень узком сегменте, связанном скорее с расследованиями инцидентов, чем с обеспечением информационной безопасности. Это был пример когнитивного диссонанса относительно того, как воспринимается внутренний рынок ИБ в России мной и журналистами.
Сейчас я регулярно сталкиваюсь с примерами когнитивного диссонанса относительно внешнего восприятия ИБ в России. Если посмотреть на западные источники, то если изначально ими кто-то руководил и они с опаской писали о том, что Россия обладает колоссальными атакующими возможностями в киберпространстве, то сейчас это стало в порядке вещей. Практически любой американский или западноевропейский специалист по ИБ уверен (как правило, не имея под этой уверенностью никаких доказательств), что Россия в любой момент времени способна атаковать и вывести из строя почти любую информационную систему в любой точке земного шара.
Например, на днях американцы всерьез обсуждали угрозу со стороны России в отношении атак на критическую инфраструктуру США, если переговоры по поводу Украины зайдут в тупик. В этом случае Старый и Новый Свет введут против России санкции и Россия вынуждена будет ответить самым простым для нее способом — атаковать критические объекты. И вот тут ярко проявляется очередной когнитивный диссонанс. Я имею представление (по публичным источникам) о том, какими наступательными возможностями обладают американцы, частично китайцы, и некоторые другие государства. Но живя и работая в России, я нахожусь в полном информационном вакууме относительно наших наступательных кибервозможностей. Нельзя сказать, что их нет, но то, как у нас действуют регуляторы по ИБ (причем все), какие ляпы они допускают, как они обеспечивают свою собственную кибербезопасность или как советуют ее обеспечивать другим, говорит о том, что уровень знания и понимания в области ИБ у нас не очень высокий. И как это сочетается с атакующими возможностями, которые нам приписывают?
Да, это не всегда связано (умение ломать и умение защищаться), но какая-то корреляция все-таки должна присутствовать. Или надо признать, что в недрах наших спецслужб находятся суперзасекреченные киберподразделения, которые только и тем занимаются, что ломают всех и вся, оставаясь абсолютно в тени и никак не пересекаясь с обычным рынком ИБ, в котором мы все живем. Тут мне можно возразить, что у нас классные пентестеры и значит атакующий потенциал у нас ого-го какой. Да, пентестеры у нас есть. Но вот только представить, что они помимо своей работы еще и работают по заказу государства (или даже на свой страх и риск) и ломают американскую демократию так, чтобы никто об этом не знал, я не могу. Чтобы это не всплыло наружу? Не верю.
Какие варианты у нас еще остаются? О них, вскользь писали Руслан Стоянов и Константин Козловский из мест заключения, что уже заставляет предположить, что причиной их предположений может быть банальная обида. Мол, наши спецслужбы нанимают киберпреступников для выполнения своих задач, курируя их деятельность. В этом случае можно объяснить, почему эта тема не всплывает наружу. Подразделений с большой штатной численностью в спецслужбах уже не надо — достаточно иметь всего несколько кураторов. Киберпреступники действуют скрытно и не делятся наболевшим ни со СМИ, ни с друзьями, так как это чревато более тесными контактами с кураторами, чего не любит никто. Возможная версия? Вполне. Хотя, как мне кажется, и в ней есть немало изъянов, но она хотя бы как-то объясняет наши наступательные кибервозможности, о которых говорит весь мир, но о которых ни черта неизвестно в самой России, создавая когнитивный диссонанс!
А что думаете вы?
Описываемая ситуация схожа с теми процессами, которые встречаются в компаниях с госучастием. Все важные посты в ИБ в таких компаниях, как правило, отдаются служилым людям и качество их управления не мешает настоящим безопасникам выполнять свою работу на высоком профессиональном уровне
А как невозможность обеспечения ИБ на предприятии связана с приписываемыми нам кибервозможностями? Это несвязанные, как мне кажется, проблемы
Насколько я понимаю, русскоязычные форумы в даркнете крупнейшие в мире и в СНГ один из самых развитых рынков скамеров (по разным социально-экономическим причинам).
Обычно они не ходят на конференции и не участвуют в цтфах, поэтому Вы встречаете их реже.
Репутация русских хакеров формируется во многом и из-за этого, и в APT попадают в том числе и отсюда.
Если брать обычных специалистов, то профессионалов не так много, соглашаются работать на государство ещё меньше, но видимо хватает. В основном это либо немного странные люди с разными особенностями, либо советские инженеры лет 40+. Две эти описательные группы обычно покрывают большую часть участников. Они уже чаще взаимодействуют с обычным рынком ИБ и должны быть более заметны.
Советские инженеры — это скорее 55+- 🙂 Но все-таки относить APT, формируемые за счет даркнета, к «русским хакерам», которым приписывают работу на государство не совсем правильно. Одно дело «обычная» кибергруппировка и совсем другое — атаки на другие государства по заказу российских властей.