Уроки кибервойны или семь почему

Рефлексия

Оттягивать уже нет смысла… Эта заметка начала писаться в первых числах марта, после начала известных событий, когда стало понятно, что мир уже не будет прежним. Я все ждал-ждал, когда ситуация уляжется, военные действия завершатся и можно будет подвести какие-то итоги с точки зрения именно ИБ. Не дождался. На дипломатическое решение надеяться уже не приходиться и скорее всего нас ждет затяжная военная операция (а ее последствия так и вовсе мы будем расхлебывать десятилетия, как после Второй мировой войны). Поэтому напишу то, что я готовился сделать еще в марте.

3 сценария развития событий после начала военной операции в Украине
3 сценария развития событий после начала военной операции в Украине по версии IDC

Что я заметил, наблюдая за действиями наших регуляторов в новых для всех условиях?

  1. Та сторона координирует свои усилия через Telegram и даже специальный сайт запущен с победными реляциями о том, какой российский ресурс «завалили». У нас бюрократия и рассылка бумажных писем по подведомственным и поднадзорным организациям с копией по e-mail. При этом письмо отправляется ответственному сотруднику, который мог уже давно перестать быть ответственным, уволиться, заболеть, уехать воевать и т.п. Я знаю ситуации, когда в организацию направлено было письмо, но она его не получала, так и не зная, что же надо делать для отражения кибератак. А ведь даже получив письмо, ответственный сотрудник может оказаться безответственным и не отправить его по инстанциям дальше, не ввести план реагирования на инциденты в действие. Но ситуация усукабляется в холдинговых структурах, когда ИБ-регулятор отправляет свое письмо в головную структуру холдинга, которая, а как иначе, рассылается циркуляром это письмо по всем своим дочерним предприятиям, многие из которых уже получили письмо от самого регулятора; причем оба (и регулятор, и штаб-квартира) требуют отчитаться о выполнении. Все бы ничего, но спустя пару недель прилетает это же письмо, но только уже от имени отраслевого регулятора (Минэнерго или Минздрава) с требованием опять отчитаться. В итоге ты отчитываешься трижды, зачастую по разным формам (для ИБ-регулятора своя, для головной структуры своя, для отраслевого регулятора своя). И когда тут реальной ИБ заниматься?
  2. Та сторона везде кричит о своих победах на виртуальном фронте, а мы молчим и только иногда Захарова отделывается фразой «ви фсё врете». В соцсетях даже специалисты по ИБ, которые должны обладать неким критическим мышлением, репостят заявления Anonymous и других хакерских группировок и не видят ничего зазорного в том, чтобы торговать якобы утечками из российских организаций. Они не понимают, что им это прилетит обратно и когда кибервойна закончится (а она же должна рано или поздно закончиться) они будут в дурацком положении? В любом случае информационную войну мы проиграли даже на уровне двух государств; не говоря уже о том, что сейчас против России ополчился весь мир. У нас даже пропаганды в области ИБ нет 🙁 Минцифры регулярно что-то пишет про поддержку ИТ-отрасли, а ФСБ/ФСТЭК как воды в рот набрали.
  3. Почему во время пандемии у нас сделали специальный сайт для рассказа о числе заболевших и выздоровевших, а также о мерах борьбы с COVID-19, а сейчас все как воды в рот набрали? Рассылки рекомендаций о запрете принимать e-mail с домена .com секретят и те, кто такие с таких доменов письма отправляют (даже лицензиаты ФСТЭК), не понимают, почему им никто не отвечает. Почему уведомления о том, как бороться с кибератаками, направляются только субъектам КИИ или госорганам, но забывают про все остальные предприятия, в том числе и под сто тысяч разных бюджетных и муниципальных предприятий, которые брошены на произвол судьбы. Я уже не говорю про миллионы индивидуальных предпринимателей, не имеющих возможности нанять специалистов по ИБ, обратиться к лицензиатам и хоть как-то защитить себя. Но нет, регуляторы все равно секретят свои рекомендации, считая, что тем самым они не раскрывают всех тайн врагу.

    Главная страница британского NCSC
    Главная страница британского NCSC
  4. Почему один регулятор публикует у себя на сайте бюллетень об уязвимости в популярной российской CMS, но при этом забывает уведомить об этом самого производителя. Ответственное уведомление? Нет, не слышали.
  5. Почему рекомендации, которые засекречивают наши регуляторы, абсолютно неконкретны? Почему нельзя четко написать, что надо делать применительно к популярным ИТ-решениям, используемым на атакуемых объектах, — Microsoft, Oracle, Cisco, Linux, MS Office, Битрикс и т.п.? Ведь у самих вендоров все эти рекомендации есть — просто перепиши их и все. Ну или ссылку на сайт вендора дай. Или давать ссылки на сайты компаний, приостановивших свою деятельность в России, западло и будет считаться рекламой? Вон АНБ не смущается, выпуская рекомендации по настройке безопасности и усилению сетевого оборудования Cisco. А CIS так и вовсе выпустила около ста руководств по настройке встроенных механизмов защиты почти всех популярных игроков ИТ-рынка.
  6. Почему регулятор приостанавливает сертификат соответствия, но ни слова об этом не говорит у себя на сайте (вот про фестиваль солдатской песни написали)? Публиковать ежедневно новости о проводимых координационных советах, учебно-методических сборах и заседаниях рабочих групп можно, а разъяснить пользователям, что означает приостановление сертификата, нельзя? Ровно тоже самое и с отзывом нескольких десятков сертификатов — новостей об этом нет. Что делать пользователям, которые обязаны использовать сертифицированные решения? Менять? Ну так это очевидно. А до момента смены? Устно, на конференции «Информационная безопасность банков», было сказано, что сертификат продолжает действовать. Но как он продолжает действовать, если его аннулировали? Или его аннулировали для производителя, а для потребителя нет? Почему регулятор вообще не связывался с производителями средств защиты, а писал запросы только заявителям? Формально он прав, но по сути?..
  7. Почему в условиях, когда иностранные ИБ-компании приостановили свою деятельности в России, нельзя было собрать ссылки на сайты отечественных игроков рынка ИБ с рекомендациями по тому, какие акции и скидки они сейчас предлагают? Если уж ты за усиление государственной системы защиты информации, так и усиливай; развивай, поддержи отечественных разработчиков. Они не дождутся денег от государства, но хотя бы увидят свое имя в списке тех, кого рекомендуют. Нельзя рекомендовать? Так вы ж их сертифицировали! Или это другое?
Главная страница американского CISA
Главная страница американского CISA

Если бы меня попросили составить перечень рекомендаций по тому, что надо извлечь из уроков кибервойны для регулятора, то у меня был бы такой список:

  1. Переделать сайт ФСТЭК, а может и вовсе запустить единый госсайт по вопросам ИБ, где могли бы размещать свою информацию ФСТЭК, ФСБ, ЦБ и Минцифры и отдать его в ведение последнего регулятора, который лучше всех остальных регуляторов понимает, как надо продвигать свою сферу компетентности (уж как пользоваться соцсетями и делать симпатичные сайты, так уж точно).

    Главная страница австралийского ACSC
    Главная страница австралийского ACSC
  2. Не засекречивать то, что не нужно засекречивать. Это приводит только к снижению оперативности доведения материалов до всех заинтересованных лиц, а то и вовсе этому не способствует. Все равно, рано или поздно, все эти рекомендации становятся достоянием гласности. Но в моменты, когда важно оповестить как можно шире о том, что надо делать, «секретность» только мешает.
  3. Быть оперативнее в вопросах публикации материалов, когда часы и даже минуты играют важную роль. Откладывать публикацию на день-два «пока не согласуют юристы» — это глупо. Для оперативного оповещения всех заинтересованных лиц использовать не только спецсвязь и e-mail, но и соцсети типа Telegram и VK.
  4. Думать не только о поднадзорных организациях, а вообще о всех субъектах экономической деятельности, некоммерческих и общественных организациях. Они тоже нуждаются в защите, но брошены на произвол судьбы.
  5. Быть предельно конкретным и, опираясь на знание используемых в государстве ИТ-решениях (а их число сейчас еще больше сократилось), составить базовый набор защитных мер (hardening) для каждого из них. Причем необязательно делать это самим регуляторам — достаточно «напрячь» сделать это производителей, которые и рады будут через регуляторов донести до всех потребителей благую весь о своей безопасности.
  6. Наладить контакт со СМИ и регулярно рассылать по ним информацию об актуальных угрозах, атаках и рекомендациях по борьбе с ними. А если еще пройти курсы по storytelling, то такие истории будут очень востребованы журналистами (по себе знаю). Почему все, что происходит в киберпространстве, комментируют только специалисты коммерческих компаний? Почему этого не делают регуляторы, ответственные за ИБ?
  7. Перенять зарубежный опыт реагирования на кибератаки, угрожающие национальной безопасности, смотря, что и как делают хотя бы американская CISA, английский NCSC или австралийский ACSC.

А вообще с Днем Победы! Помню, еще в детстве, на уроках, в пионерских лагерях и вообще везде, нам рассказывали о том, как Советский союз победил врага и как хотелось бы, чтобы война не повторилась и о том, как это страшно. Но увы. Видимо, отдельные люди не могут жить спокойно. Одним надо показывать свое лидерство и, втягивая другие страны в конфликты, наживаться на этом. Другим надо доказывать, что они тоже альфа-самцы. А страдают обычные люди, прямо или косвенно втянутые в военные конфликты.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Игорь Шакиров

    Но ситуация усукабляется в холдинговых структурах, когда
    Источник: https://lukatsky.ru/reflection/uroki-kibervoyny-ili-sem-pochemu.html
    Сайт Алексей Лукацкого «Бизнес без опасности», 2022
    Ошибка!

    Ответить
    1. Алексей Лукацкий автор

      Нет ошибки — глагол такой

      Ответить
  2. Сергей

    Почему? Все почему от невероятной гордыни отдельных руководятелов, а также от их тщеславия, подкреплённого полномочиями и служебным авто…
    ФСТЭК давно пора реорганизовать либо в Департамент ФСБ, либо оставить службой, но и оставить её только старые функции…типа ПД ИТР и т.п. Ну не тянет служба Селина, не тянет!!!! ФСТЭК давно живёт в своей непонятной всем параллельной вселенной и когда им говоришь, что ФСТЭК это вроде о защите информации, в ответ летит — вы некорректны, мы тут деньги считаем в обоснованиях новых наших инициатив…и летит вслед за обоснованием, что «средств федерального бюджета не потребуется» новый приказ, изменения в ПП РФ, КоАПП и т.п.

    Ответить
    1. Алексей Лукацкий автор

      Ну «средств бюджета не понадобится» — это стандартная отмазка для всех. Без нее НПА вообще не пройдет согласование 🙁

      Ответить
  3. Андрей

    По 2 почему и рекомендации хорошо подходит афоризм: лучшая защита информации — это её распространение)))

    Ответить
  4. ТуркменЪ

    «ФСТЭК давно пора реорганизовать либо в Департамент ФСБ, либо оставить службой »

    Как, наверное, все читатели сайта знают, ФСТЭК России (наряду с АО «Военторг» и СК «ЦСКА») является одной из подведомственных структур МО РФ —> https://structure.mil.ru/structure/department.htm

    И, наверное, этим, в том числе, можно, со стороны обывателя, объяснить определенный консерватизм регулятора в принятии определенных решений и достаточно осторожное отношение к иностранным компаниям (особенно из недружественных стран).

    Ответить
    1. Алексей Лукацкий автор

      ФСТЭК хоть и под МинОбороны, но подчиняется непосредственно Президенту. И с иностранными компаниями она вполне себе нормально работала, так как они составляли не менее половины всех сертифицированных решений

      Ответить
  5. Евгений

    Похоже, что кибервойну мы сильно проигрываем. Они в 100 раз напористей действуют и изо всех щелей. Нам нужно специальное ведомство по отражению их инфо угроз.

    Ответить
    1. Алексей Лукацкий автор

      Мы проигрываем информационную войны, это правда. Но кибервойну скорее нет, чем да. Крупных взломов за эти два месяца не было. DDoS? Ну было, да, особенно поначалу, но не так чтобы и критично. Оперативный штаб по ИБ свою задачу выполняет достаточно неплохо. Хотя о нем ничего почти и неизвестно широкой публике. Но это «издержки производства» и тех, при ком этот штаб был создан

      Ответить
  6. Андрей Курило

    Абсолютно согласен.
    При всех сделанных шагах то что есть это полумеры. Не созлеюана нормальная и эффективная система управления, о которой давно, десятками лет вяло идет разговор. Полумеры в виде нормативного регулирования на фоне отсутствия ответственности, оперативного взаимодействия и фактически нулевой ответственности слабо эффективны и не могут дать хорошего результата. Нужен мощный регулятор, способный реализовать задачи, обозначенные Алексеем.

    Ответить
    1. Алексей Лукацкий автор

      Создание нового регулятора в текущих условиях тоже не выход. На его создание и устаканивание уйдет не менее полугода, а что в это время делать?

      Ответить
      1. Андрей курило

        Не совсем об этом речь.
        Сейчас, как я слышал, создана оперативная группа и она судя по общим резулбтатам с задачей оперативного реагирования справляется.
        Вообше регуляторы в пределах нарезанных задач тоже. При этом мы видим активность МКС и непонятно, насколько она будет эффективна.
        Но они ухватили главное:
        Нужно усиливать ответственность на местах и обеспечивать организации если не ресурсами, то кадровыми возможностями.
        Это уже хорошо и правильно. А вот перекос в сторону обеспечения безопасности гос структур остался и он сидит глубоко. Все общество нужно защищать, всех субьектов
        И похоже нет внятной стратегической коннцепции, никто не может сказать а что мы хотим завтра и послезавтра по всем упомчнуты направлениям.
        В части ответственности вообще швах! Нет в яУК статьи за хищение БД, вот их сех уже и стырили. Нет строгой административной ответственности за бездействие в части выполнения требований ФСБ и ФСТЭК. И наконец, когда уберут кривизну в части сандартов, их нужно делать обязательными длч исполнения.

        Ответить
        1. Алексей Лукацкий автор

          Стандарты не надо делать обязательными (хотя те же стандарты ФСТЭК и ФСБ и так по закону обязательны). Учитывая процедуру и сроки внесения в них изменений, эта история затянется на год-другой, что в текущих условиях очень долго

          Ответить
  7. Константин

    Кому и зачем нужны эти рекомендации? Бюджеты попилены, отчёты сделаны на аутсорсе за 10% от цены и ниже. Полное разложение системы, как и заявлял неоднократно господин, имя которого нельзя произносить.

    Ответить
    1. Алексей Лукацкий автор

      Это не совсем так. Даже с попиленными бюджетами можно много чего сделать. Было бы желание

      Ответить
  8. Сергей

    Автор ходит по лезвию)
    Если перенять зарубежный опыт по существу, то значит перенять систему ценностей и мотиваций, а тогда и все остальное решается в рабочем порядке естественным образом.
    Но, по трации, кто то может перенять зарубежный опыт по формальному признаку, и тогда автору в начале статьи нужно добавить табличку «ДАННОЕ СООБЩЕНИЕ (МАТЕРИАЛ)…» 😉

    Ответить
    1. Алексей Лукацкий автор

      А вы когда пользуетесь IPv4, web, Windows, тоже переняли западную систему ценностей? Или все-таки разделяете чужой опыт, чужие знания и возможность применить их к новой области?

      Ответить