Кринж, краш, хайп и биф ушедшего года :-)

Вот сейчас можно и итоги прошедшего, 2021-го года подвести — уже точно ничего не произойдет. Но проведя новогодние праздники в кругу семьи, не могу не попробовать подвести итоги года, используя молодежный сленг 🙂

Кринж года

Как известно, кринж, — это некий аналог «испанского стыда», то есть чего-то мерзкого, противного и отвратительного. К этой категории я бы в первую очередь отнес историю вокруг Гугла, которого в конце года оштрафовали на гигантскую сумму, что может привести, в случае отказа платить или проигрыша в кассации, к запрету деятельности американской ИТ-компании в России. Я сейчас не хочу вдаваться в дискуссию о том, прав был самый гуманный суд в мире, вынеся такое решение или нет, так ли чиста перед законом Google. Вопрос в другом. Во-первых, это прецедент (оборотный штраф на такую сумму), который может быть повторен и в отношении других компаний. А во-вторых, блокировка может привести к очень печальным последствиям, так как мы пока не очень осознаем, насколько стали зависимы от сервисов этой Интернет-компании (тут и поисковик, и DNS, и стриминговые сервисы, и файловые хранилища, и блогерская платформа, и Android с Google Play, и Smart TV, и т.п.). Арест Ильи Сачкова или санкции против Positive Technologies я бы тоже отнес к кринжу года. И хотя мы многого не знаем (как минимум в первом случае), такие события создают слишком много неопределенностей на рынке ИБ, что плохо и для рынка, и для компаний, на нем работающих или желающих выйти. Наконец, пятерку ибшных кринжей года замыкает просроченный сертификат на одном из сайтов НКЦКИ, а также на поддомене, связанным с викториной по безопасности пользователей в Интернет, а также продолжающиеся уже около года сложности с поиском руководителей для ФинЦЕРТа Банка России. Вообще у наших госорганов постоянно происходят проблемы с сертификатами для их сайтов (например, у Росреестра на новогодних праздниках протух сертификат), но когда такое происходит у одного из регуляторов по ИБ, да еще и отвечающего за криптографию, электронную подпись и удостоверяющие центры, то это зашквар (еще одно сленговое выражение, но уже не современной молодежи). А что происходит с руководством ФинЦЕРТом и почему они бегут, не проработав и нескольких месяцев, я не могу понять. Но это точно, выглядит не очень хорошо.

Краш года

Краш — это предмет желания и обожания, который не всегда подозревает об этом. Для меня таким предметом стала ФСТЭК 🙂 Да-да, несмотря на всю мою критику в их адрес. Это один из немногих регуляторов, который прислушивается к критике и готов ее обсуждать. Особенно мне запомнился телемост, который проходил в рамках магнитогорского форума и на котором Лютиков Виталий Сергеевич достаточно открыто рассказал о планах регулятора, о текущей практике защиты объектов КИИ и ряде других тем. Я вот и не помню, чтобы кто-то из наших регуляторов был так открыт перед отраслью. Респект!

Хайп года

А вот хайпа в ушедшем году было достаточно. Во-первых, это продолжающаяся история с шифровальщиками (ransomware), которая даже стала темой дискуссии между президентами России и США. И хотя до сих пор идут разговоры о том, есть ли в России серьезные примеры работы вымогателей, сама по себе проблема достаточно серьезна, так как — это один из тех редких случаев, когда о ней говорят даже руководители компаний, которые считают эту угрозу вполне серьезной проблемой для своих бизнесов (хотя борьба с ней достаточно тривиальна). С ней в прошлом году было связано немало историй — это и атака на Colonial Pipeline и Kaseya (я вообще думал, атаку на Kaseya отнести к кринжам), и политически мотивированные действия группировки Moses Staff, которая шифровала файлы своих жертв без возможности восстановления и выплаты выкупа, и шифровальщик Epsilon Red, имя которого совпадает с героем комиксов Marvel, который, видимо так «случайно» совпало, был русским.

Еще одним хайпом стала тема с атаками на цепочку поставок. Если начался прошлый год с истории с SolarWinds, то продолжился он атаками на репозитории кода. Тут и вредоносные модули в npm, направленные на Discord, и вредоносные модули в PyPl, и an0n-chat-lib (также нацелен на Discord), и вредоносные пакеты, нацеленные на Amazon, Lyft, Slack и Zillow и т.п.

Третьим хайпом стала тема биометрии, котора в прошлом году расцвела в России буйным цветом. С десятков нормативных актов, которые всеми правдами и неправдами были направлены на то, чтобы свести на нет все попытки создания локальных и неконтролируемых государством биометрических систем (можно еще свежий пост Михаила Емельянникова про это почитать).

Думаю эти три хайпа таковыми останутся и в этом году.

Биф года

Вообще, биф (от английского beef /говядина/), это термин, пришедший из хип-хоп культуры и означающий вражду, столкновения между субкультурами. В молодежном сленге этот термин используется в более широком смысле — как вражда, которая может привести к печальным последствиями (неслучайно речь идет о говядине — именно на нее становится похожим лицо человека, которого избили бейсбольной битой в рамках бифа). В области ИБ в уходящем году я бы выделил 3 таких бифа.

Один из них — это противостояние России и, как минимум, США, а на самом деле почти всего Старого, исключая быть можно Африку, и Нового Света, которое выливается в санкции, угрозы введения новых, постоянные и часто бездоказательные обвинения в кибератаках. Прошедшая вчера встреча между Россией и странами НАТО тоже укладывается в эту историю. И, думаю, этот биф останется актуальным и в этом году. Мне кажется все уже давно переступили черту, за которой возврата уже нет. Американцам надо, кровь из носу, доказать, что от России исходит агрессия в киберпространстве и в ход идут все способы, — санкции против компаний, экстрадиции россиян в США, отчеты, обвиняющие страну во всех грехах в стиле highly likely, и т.п. Ничего хорошего нам эта битва не принесет и поэтому я не зря писал вчера про «план Б».

Второй биф — это противостояние группировок вымогателей и полиции, которое началось в прошлом году после атаки на Colonial Pipeline. Сначала «прекратила» свое существование DarkSide, потом ужесточились правила публикации объявлений вымогателей на хакерских площадках, потом последовал арест некоторых участников REvil, потом был возврат существенной части денег, выплаченных Colonial Pipeline в качестве выкупа (и это в условиях анонимности платежей), потом последовало ужесточение политики самих вымогателей, которые стали под страхом смертной казни уничтожения данных запрещать общаться жертвам с полицией, и т.п. На мой скромный взгляд лучше ситуация с вымогателями не станет — скорее наоборот. Но почему, я об этом напишу в одной из следующих заметок.

Третий биф носит более глобальный и менее персонифицированный характер. Речь идет о борьбе приватности с Интернет-компаниями. Тут вам и запрет на шифрование End-to-End в Фейсбуке, и новая политика конфиденциальности Whatsapp, и попытка Apple внедрить алгоритмы анализа изображений на всех устройствах, выпущенной этой компанией, и попытки Роскомнадзора, а также китайских и многих иных властей, приземлить многие Интернет-сервисы у себя на территории и дать к ним доступ правоохранительным органам и спецслужбам. Конечно, в целях защиты детей от негативной информации и преследований педофилов и других преступных элементов. Внедрение биометрии также укладывается в эту картину. Мне, кажется, власти любого государства, одной рукой принимают законы о приватности, как высшей человеческой ценности, а другой — вносят в эти законы лазейки для себя любимых. И эта история будет только усукабляться.

Другие события

Есть и ряд других событий, которые произошли в уходящем году, которые я бы не стал относить ни к одной из упомянутых четырех категорий, но которые достаточно интересны (как минимум, мне), чтобы про них упомянуть. Во-первых, на волне интереса к биометрии стала активно развиваться и обратная сторона медали, а именно технология deep fake, от которой сегодня нет нормальной защиты или число предложений в этой сфере очень невелико (особенно в нашем регионе). При этом на стороне злоумышленников уже стали появляться сервисы, построенные на дипфейках, например, vishing-as-a-service, которые упрощают жизнь плохих парней и делают жизнь безопасников гораздо сложнее. И хотя регуляторы у нас стараются закрывать глаза на эту угрозу, это дает возможность применять для борьбы с ней почти любые имеющиеся технологии.

История с NSO Group подсветила проблему с шпионским софтом, которую раньше старались не выносить на свет. Прошлый же год показал, что продукция таких компаний достаточно популярна у спецслужб и правоохранительных органов разных государств, которые таким образом, часто в нарушение национального законодательства и без решения суда, организовывают слежку за разными неугодными элементами — от настоящих преступников до диссидентов и инакомыслящих. Когда такие истории всплывают наружу, все, конечно, сразу начинают кричать о приватности и неотчуждаемом праве на тайну переписки, но мы прекрасно понимаем, что это хорошая мина при плохой игре. Думаю, список таких историй, как и список «шпионских» компаний будет только расти.

Еще я бы отметил, как событие ушедшего года, — рост числа уголовных дел по статье 274.1 УК РФ, которая изначально была разработана для того, чтобы сажать преступников, которые своими действиями или бездействиями нанесли значимый ущерб для критической инфраструктуры, но которую стали массово применять совершенно не по назначению, а именно возбуждая пачками дела против работников салонов сотовой связи или банкиров, приторговывающих персональными данными, а также против врачей, пачками фальсифицирующих сертификаты о вакцинации. При чем тут ущерб КИИ не совсем понятно, но раз указанные сферы (операторы связи, финансовые рынки и здравоохранение) относятся к КИИ, то почему бы и не использовать только появившиеся статьи УК РФ?.. Нехороший тренд.

Взлом платформы обмена шифрованными сообщениями EncroChat, взлет NFT (и их кража), рост атак на игровые сервисы… Все это тоже попало в сферу моего внимания в прошлом году, но завершить обзор событий уходящего года мне хотелось бы тем, о чем никто и нигде особо не писал, но это можно отнести к значимым тенденциям. Речь идет о проблеме ИБ-кадров. Но не в контексте «ааа, мы пропали, у нас негде и некому готовить квалифицированные кадры». Это и так понятно и об этом как раз говорят постоянно на всех мероприятиях. Речь о том, как из этой ситуации выкручиваются компании. В 2019-2020-м годах ходил такой мем, что Сбербанк пылесосит всех специалистов по ИБ. В 2021-м году, как мне кажется, лидер сменился 🙂 Им стал Ростелеком Солар, в который перетекли многие специалисты по кибербезопасности из других компаний — вендоров, интеграторов или заказчиков. Понятно, что Солару надо решать свои, сугубо утилитарные задачи (бизнес не будет сам удваиваться ежегодно), но от этого страдает весь рынок (и будет страдать). Правда, у Солара появился конкурент — не единожды слышал от коллег, что у них сманивают специалистов иностранные компании, которые готовы предлагать сразу в 2-3 раза больше зарплату, которые сами по себе немаленькие. И да, понятно, что рыба ищет, где глубже, а человек — где лучше, но на отрасли это сказывается негативным образом.

Вот такая версия моих итогов года. Может быть соберусь и напишу свои прогнозы, но отрасль у нас сегодня настолько волатильна, что в этом году они могут и не исполниться и могут проявиться даже какие-то «черные лебеди», которых никто не ждет. Будем посмотреть…

А чем вам запомнился ушедший год?