Конец года - это время, когда принято оглядываться на год ушедший и делать прогнозы на будущее. Что же интересного и значимого произошло в этом году:
- Январь 2010 г. Порноролик на билборде в Москве. Думаю многие видели в интернете видео, снятое очевидцами на садовом кольце, где на рекламном видеощите демонстрируется порно. Поднялся кипиш, хакера нашли, ходили даже разговоры что ФСТЭК выпустит документ, содержащий требования по обеспечению безопасности рекламных видеоэкранов, но постепенно все сошло на нет. Ссылки по теме: Новость о демонстрации ролика; Интервью с пойманным "хакером".
- Январь 2010 г. Операция Аврора. Если кто не знает, тот так назвали крупномасштабную кибер-атаку на ведущие компании США (Google, Adobe, HP и др.), целью которой судя по всему был шпионаж. Строго говоря сама атака была произведена в конце 2009 года, но публично о ней было заявлено только в январе 2010. По мнению компаний, подвергшихся нападению, за этими атаками стояли организации, поддерживаемые правительством Китая. Для компании Google это стало даже поводом для рассмотрения целесообразности дальнейшего пребывания их офиса в Китае, а также сотрудничества с китайскими властями в части фильтрации поисковых запросов. Ссылка по теме.
- Февраль 2010 г. 58-ой приказ ФСТЭК. Вышел документ, который должен был заменить довольно спорные документы "четверокнижия" и придать требованиям ФСТЭК юридическую лигитимность (путем регистрации в Минюсте). Документ вызвал определенную эйффорию в части того, что убрал требования по лицензированию, аттестации и частично прояснил вопрос с сертификацией среств защиты, однако к сожалению документ оказался лишь половинчатой мерой. После того первые радости прошли стало понятно, что новый текст практически ничего не изменил и отчасти даже еще больше запутал ситуацию. Ожидались еще другие документы ФСТЭК, но за весь 2010 г. больше ничего так и не появилось.
- Май 2010 г. 1-е чтение законопроекта Резника. До этого момента существовали и другие документы, описывающие возможные правки в закон "О персональных данных", но "победил" Резник. Сейчас (в конце 2010 г.) по итогам 1-го чтения была подготовлена новая редакция этого законопроекта с большим количеством правок. Текст законопроекта пока не опубликован. Необходимо анализировать, первоначальная версия законопроекта на мой взгляд не убирала всех вопросов и нестыковок, связанных с исполнением закона.
- Июнь 2010 г. Новая редакция стандартов СТО БР ИББС. ЦБ после длительной работы выпустил таки обновленные документы по обеспечению информационной безопасности в организациях банковской сферы. Стандарты теперь включают в себя и вопросы выполнения требований по обеспечению безопасности персональных данных. Стандарт по прежнему является рекомендуемым, но теперь у каждого банка есть четкий выбор либо руководствуетесь этим стандартов (приняв его как стандарт организации), либо руководствуетесь тем, что написал ФСТЭК. На мой взгляд игнорирование стандартов, созданных основным регулятором, это все равно что против ветра...э-э плевать. Хотя по опыту работы находятся банки, решаюшие идти по пути выполнения только требований ФСТЭК.
- Июнь 2010 г. Обнаружение червя Stuxnet. Можно сказать историческое событие, т.к. этот червь по сути открывает новую эпоху в области информационной безопасности. До этого момента еще не было столько масштабных примеров вирусного программного обеспечения, направленного против систем автоматизации (АСУТП). Одним из основных предположений является то, что он был создан для того, чтобы нарушить планы по созданию АЭС в Бушэре (Иран) и вроде как даже это частично удалось путем, того, что часть агрегатов была выведена из строя. Время покажет, но Stuxnet является "живым" примером того, что вредоносный код может стать серьезным оружием, ущербом от которого будут не просто потерянные деньги и аккаунты в оналайн-играх, а целостность критичных систем и как результат жизнь и здоровье людей.
- Октябрь 2010 г. Викиликс. В октябре на этом сайте было опубликовано так называемое "Иракское досье", вызвавшее огромное количество обсуждений по всему миру, потом была еще публикация дипломатической переписки, открывшая интересные подробности работы дипломатии США, в том числе и касающиеся рынка информационной безопасности. На эту тему написали мои коллеги, Евгений Царев и Алексей Лукацкий. Некоторые вендоры на волне публикаций викиликс поспешили заявить, что это подстегнет интерес компаний к закупке и установке DLP-решений, но на мой взгляд это не более чем маркетинговый ход.
- Октябрь 2010 г. Новая редакция PCI DSS. PCI Council объявил о выходе новой редакции стандарта PCI DSS - PCI DSS v2.0. Стандарт не содержит никаких революционных изменений не смотря на смену нумерации в версии. Скачать новую редакцию можно здесь. Помимо этого 1 октября прошел дедлайн для мерчантов 1-го уровня и сервис-провайдеров региона CEMEA (куда входит Россия), подключенных к VisaNet, для подтверждения своего соответствия требованиям стандарта.
- Весь 2010 г. Крупные аресты хакеров. Этот год ознаменовался громкими сообщениями о поимках хакеров. В частности был арестован и осужден на 20 лет Альберт Гонсалес, стоявший за взломом и крупной утечкой номеров кредитных карт из TJX. В США были арестованы русские студенты, которые по версии следствия участвовали в снятии денег, которые уводили со счетов американцев с использованием ботнет-сети Zeus. Ребята были судя по всему обычными мулами (money mules), но в США очень жесткие законы и наши студенты могут очень серьзно за это поплатиться. У нас по 1 каналу даже прошла передача "Пусть говорят", в которой показывали заплаканных родителей этим самых студентов, но тут уж ничего не поделаешь. Помимо этого в этом году была прекращена деятельность еще одной крупной ботнет-сети - Bredolab, а человек предположительно стоявший за управленией этой сетью был арестован в Армении. Кроме того, осенью в Москве была арестована банда мошенников, вымогавшая деньги с людей, блокируя доступ к компьютеру с помощью вредоносной программы Winlock и ее модификаций.
- Декабрь 2010. Очередное продление по 152-ФЗ. Законопроект о продлении маратория на полгода прошел все инстанции и теперь новой датой икс является 1 июля 2011 г. Думается мне, что не последняя она :)
- Декабрь 2010. Взлом Chronopay. Почти под занавес года произошло довольно интересное событие, которое поначалу Chronopay попытался замять, обставив исключительно как дефейс своего веб-сайта, но думается мне там все наааамного серьезнее. Более подробный анализ этого инцидента будет в ближайшем посте.
А что же готовит нам грядущий год ?
Вот несколько прогнозов от представителей сообщества информационной безопасности:
Со своей стороны рискну сделать следующие прогнозы (и через годик можно будет проверить насколько я оказался прав):
Усилятся (расширятся) регуляторные требования по информационной безопасности. PCI DSS, Закон "О персональных данных", СТО БР ИББС, Закон "О национальной платежной системе" (пока только законопроект), вот те основные нормы, выполнение которых стает головной болью специалистов по информационной безопасности в 2011 г. Понятно, что персональные данные по прежнему будут превалировать, но и другие темы так же начнут себя проявлять. Законопроект Резника примут по моим оценкам в марте-апреле 2011 г после чего либо дадут еще какую-то отсрочку (т.к. до 1 июля все равно мало кто успеет выполнить требования обновленного закона), либо просто проводимые проверки будут ограничиваться только предписаниями без серьезных санкций. Также интересным является и то, что на мой взгляд сейчас сохраняется неопределенность в том, кто же будет предъявлять требования и проверять. ФСТЭК уже пытаются оттеснить от вопросов формирования требований и проведения проверок, теперь еще и есть законопроект, по которому функцию контроля могут снять с Роскомнадзора. Думается мне, что все же негосударственным организациям будет предоставлена свобода выбора методов и способов защиты персональных данных в обмен на ответственность за инциденты утечки этой информации.
Помимо тематики соответствия требованиям я думаю, что стоит ожидать усиления хакерской активности, приводящей к краже данных пользователей с целью получения денег (это и мошенничество в ДБО, фишинг и социальная инженерия). Думается мне, что 2011 г. может порадовать нас несколькими крупными инцидентами. Поэтому постепенно у компаний фокус будет смещаться от "простого выполнения требований" до обеспечения определенной реальной безопасности (понятно, что не на 100% как того хотелось бы, но сдвижка будет). Т.е выполнение требований станет лишь одной из опций проекта по информационной безопасности, а не единственной его целью.
Помимо этого 2011 г. продолжит тенденцию "мобилизации", т.е. все большее количество сотрудников будет использовать для своей работы различные мобильные устройства: смартфоны, планшетные компьютеры (ipad и проч.), ноутбуки, а это в свою очередь все больше будет осложнять вопрос с обеспечением безопасности информации (в т.ч. персональных данных), которая так же будет становится все более "мобильной" и здесь необходимо будет задумываться над определением четкого порядка использования мобильных устройств и обращения с информацией, а также внедрения мер по обеспечению безопасности (DLP, шифрование и др.). Кроме того, можно ожидать и появления первых вирусных эпидемий среди владельцев планшетников (хотя это скорее ближе к концу 2011).
Кадровый голод. Думаю что в 2011 году он проявится еще более остро. Хороших специалистов у нас во всех областях мало, а в ИБ и подавно. Глядя на то, чему учат наших студентов в институтах я понимаю, что фактически они абсолютно не готовы решать задачи, которые сейчас бизнес ставит перед информационной безопасностью. Компаниям потребуются люди для того, чтобы выполнить требования законов и стандартов, а их попросту не будет. Это хорошая пора для консультантов, т.к. в условиях отсутствия своих сил (и наличия денег) компании будут обращаться к их услугам, но ведь и им тоже потребутся специалисты, причем опытные и вот тут начнется драка за людей и жесткий хед-хантинг :)
Cloud Computing в России. Да, про облачные вычисления говорят уже давно, но в России пока я не встречал серьезных предложений по теме облачных вычислений, хотя уже сейчас появляются компании, готовые предоставить сервис, отвечающий требованиям 152-ФЗ. Во многом пока это чистая профанация, но я думаю, что в будущем году сервисы на базе облачных вычислений начнут набирать обороты, а это в свою очередь будет создать интересные преценденты (читай проблемы), связанные с обеспечением безопасности информации в таких "облаках" и контроля за их утечкой.