По традиции хотелось бы начать новый год в блоге с перечисления того, что произошло в первые полторы недели, но увы. Как это не странно, в области ИБ почти никаких новостей, которые бы могли привлечь внимание, не произошло. Разумеется, по мелочи происходило немало всего, но крупных историй, схожих с тем, что происходило в прошлом году (SolarWinds), к счастью, не было. Ну не считать ли такой историю с ошибкой, которая привела к блокированию почтовых серверов Exchange (это все-таки не уязвимости ИБ, а просто ошибка разработки и тестирования ПО). Атаки с использованием Log4j продолжались все новогодние праздники, но сама история началась гораздо раньше, так что и ее сложно отнести к новостям начавшегося года тигра.
Однако, все-таки я бы назвал три новости, которые на мой взгляд достойны того, чтобы о них поговорить. Во-первых, события в Казахстане. В контексте информационной безопасности они интересны тем, что в стране на несколько дней был отключен Интернет (и до сих пор он работает нестабильно), что, лично для меня, интересно в контексте того, как работали средства защиты информации, которые должны были обновляться через Интернет. С одной стороны, это довод в сторону импортозамещения и ФСТЭК может сказать: «Ну вот, мы же говорили, что обновление сертифицированных средств защиты должно происходить с локальных серверов», а с другой, в условиях отсутствия полноценных локальных аналогов на все используемые средства защиты (а в Казахстане, в отличие от России, рынок локальной разработки развит гораздо слабее нашей), интересно, как решались задачи, которые были завязаны на обновления из-за рубежа?
А у вас есть план Б на случай отключения Интернет?
Вторая новость связана с арестом и экстрадицией Владислава Клюшина в США. Это достаточно странная история, которая, однако, показывает, что американцы все никак не успокоятся по поводу якобы взлома российскими хакерами серверов Демократической партии США в 2016-м году, что, по мнению ряда экспертов, могло повлиять и на результаты президентских выборов и победу Трампа, а не Клинтон. Пока все обвинения против группировки Fancy Bear (APT28), за которой, якобы, стоит Главное управление Генштаба (в простонародье, ГРУ), голословны и никаких серьезных доказательств не представлено. Однако, по мнению Bloomberg как раз Клюшин, которого называют специалистом по кибербезопасности, имел и имеет доступ к документам, которые и доказывают участие России во взломе американской демократии. И если такие доказательства вдруг будут представлены (или сфальсифицированы), то, думаю, нас ждет очередной виток санкций.
А у вас есть план Б на случай ведения санкций со стороны США?
Ну а третья новость, которая впрямую, как и две предыдущие, не имеет отношения к ИБ, касается Украины. Лично меня смущают продолжающиеся разговоры о грядущей агрессии России против Украины и якобы готовящемся вторжении. По мне так это полная глупость (особенно на фоне новостей из Казахстана), но тут интересно другое. Американцы во время новогодних праздников как раз озвучили свои угрозы, если агрессия России против Украины перейдет на следующий уровень. Прекращение поставок отдельных видов электроники, включая и чипы, не только в Россию, но и в страны, которые готовы будут перепродавать эту продукцию России в обход санкций (а это ставит крест на поставках той же электроники из Китая; по крайней мере массовых поставках).
Все эти три новогодние новости должны заставить нас задуматься о том, что мы будем делать, если хотя бы что-то из описанных последствий все-таки реализуются? Конечно, не хотелось бы думать о том, что это реально произойдет (мне кажется тогда нам точно будет не до ИБ), но хороший специалист по ИБ тем и отличается, что смотрит не только на то, что было в прошлом, но и пытается оценивать то, что может произойти в будущем и подготовиться к этому. Поэтому, как мне кажется, в этом году стоит уделить внимание резервному плану.
А у вас есть если не план Б, то хотя бы план ОНиВД?!
Предложил бы не ограничиваться только планом Б (хотя скорее всего под резервным планом подразумевались множественные, а не один сценарий).
Хороший специалист ИБ (метко сказано). На каждого хорошего специалиста ИБ найдется хороший специалист от бизнеса, который сможет «зарубить» (в лучшем случае отправить на бесконечную доработку и сокращение) любое предложение будь то толковая аргументированная идея или детально-проработанный обоснованный план.
«А у вас есть план Б на случай отключения Интернет?» — думаю, что большинство специалистов отнесется к ситуации с возможным отключением от сети Интернет, как к ситуации со спецслужбами или криминальными группировками при моделировании нарушителя. Когда учился по одному из направлений по ИБ преподаватель рассказал ситуацию в качестве примера, которую можно учитывать или не учитывать при моделировании угроз, а именно проникновение нарушителя в охраняемое помещение через окно с использованием альпинистского снаряжения, аудитория разделилась во мнениях 30 (учитывать) / 70 (не учитывать).
Я бы ответил на этот вопрос, что в качестве разминки для ума, можно пофантазировать, но этот труд ляжет пылиться на полку. Время реакции (нет тела — нет дела). Если у кого-то бизнес более прогрессивный, ну что ж, поздравляю.
Второй вопрос вероятность вероятности, так что подготовиться к этому…, хотел бы посмотреть на такой труд.
Насчет ОН и ВД, конечно есть, но опять же, насколько эти планы применимы в случае наступления негативного события и все ли негативные события учтены. Для этого и нужны тренировки, но тренировки часто проводятся только ради тренировок (мы же все расписываемся в журнале инструктажа по электробезопасности 🙂 ).
Что мы будем делать, если наступит «нехорошее»?! Как обычно за последние десяток лет и не только в ИБ: защищать не свои интересы, исправлять чужие «ошибки» за свой счет, чтобы опять попасть в такую же ситуацию, подстраиваться и делать все, чтобы это (не) повторилось или купировалось на пару лет.
Пока дешевле заплатить штраф, купить на стороне, выжать из остатков все соки (не SOCи), то вкладываться в свое производство (главное в производство средств производства) или выстраивание каких-то процессов просто не выгодно в кратко- и среднесрочной перспективе, а так как балом мы не правим или не участвуем в его правлении также порядка десятка лет, то и к редактированию правил нас никто не подпустит.
Немного позитива. Все будет хорошо у кого-то.
Я и не призываю к расчету вероятности санкций или отключения Интернет. Но в последние 7 лет эти события становятся не только более реалистичными, но и даже (Казахстан в пример) реализованными на практике. Поэтому вопрос про «план Б» вполне себе серьезный. А вот как его реализовывать — это уже другое. Можно просто составить перечень средств, которые не могут без Интернет (в части обновлений, TI, песочниц и т.п.). Можно проверить возможность их обновления «на дискете». Можно проверить их работы с open source песочницами или локальными TIP. Можно составить перечень open source, который может заменить текущие коммерческие решения… Много чего можно сделать, что не требует согласований с руководством, но позволит быть готовым к неприятным, но предвиденным ситуациям.
Соглашусь, также не призывал сидеть на месте и ждать наступления какого-то события, чтобы с гордо поднятой головой устранить негативные последствия от него. Действительно много чего можно придумать и сделать, но так ли оно будет полезно, а главное востребовано, например, в случае когда пора будет расчехлять план Б.
Теория это хорошо, это база, но без практики особенно в ИБ далеко не уехать и даже в тех примерах, которые были предложены, нужно вовлечение других подразделений, того же ИТ, которые неохотно будут выделять свои бюджеты на ИБшные тестирования, проверку идей, подготовку к плану Б и т.п.
Ну на самом деле, ИБ и не должна себя противопоставлять ИТ и другим подразделениям. Более того, она должна работать вместе, так как чисто ИБшных проектов почти не бывает — все делается для кого-то или для чего-то. Поэтому всегда можно найти софинансирование, если заинтересовать в этой идее смежников
ИМХО — в случае осуществления любого из трех негативных сценариев, ИБ — это последнее, что будет волновать руководство (в коммерческих организациях, конечно же).
Да, я согласен. Но и целиком отметить их я бы не стал. Санкции могут быть и точечными, например, в части поставок определенного софта. И тогда эту будет целиком касаться ИБ
Наверное, не соглашусь. Пример — «Силовые машины». Попали под санкции и, соответственно, получили клин со своим SAP ландшафтом. Тут никакие бюджеты планы ИБ не сыграли бы. По мне, так вопрос устранения последствий санкций для коммерческой структуры, это должно быть частью DRP — влияние на бизнес схоже с катастрофами. Как в части масштабов (касается всех и в первую очередь ИТ), так и в части бюджетирования
Я все-таки имел ввиду ПО по ИБ. А что касается DRP, так это и есть ОНиВД 🙂