четверг, 30 декабря 2010 г.

Итоги 2010 и прогнозы на предстоящий год

Конец года - это время, когда принято оглядываться на год ушедший и делать прогнозы на будущее. Что же интересного и значимого произошло в этом году:

- Январь 2010 г. Порноролик на билборде в Москве. Думаю многие видели в интернете видео, снятое очевидцами на садовом кольце, где на рекламном видеощите демонстрируется порно. Поднялся кипиш, хакера нашли, ходили даже разговоры что ФСТЭК выпустит документ, содержащий требования по обеспечению безопасности рекламных видеоэкранов, но постепенно все сошло на нет. Ссылки по теме: Новость о демонстрации ролика; Интервью с пойманным "хакером".

- Январь 2010 г. Операция Аврора. Если кто не знает, тот так назвали крупномасштабную кибер-атаку на ведущие компании США (Google, Adobe, HP и др.), целью которой судя по всему был шпионаж. Строго говоря сама атака была произведена в конце 2009 года, но публично о ней было заявлено только в январе 2010. По мнению компаний, подвергшихся нападению, за этими атаками стояли организации, поддерживаемые правительством Китая. Для компании Google это стало даже поводом для рассмотрения целесообразности дальнейшего пребывания их офиса в Китае, а также сотрудничества с китайскими властями в части фильтрации поисковых запросов. Ссылка по теме.

- Февраль 2010 г. 58-ой приказ ФСТЭК. Вышел документ, который должен был заменить довольно спорные документы "четверокнижия" и придать требованиям ФСТЭК юридическую лигитимность (путем регистрации в Минюсте). Документ вызвал определенную эйффорию в части того, что убрал требования по лицензированию, аттестации и частично прояснил вопрос с сертификацией среств защиты, однако к сожалению документ оказался лишь половинчатой мерой. После того первые радости прошли стало понятно, что новый текст практически ничего не изменил и отчасти даже еще больше запутал ситуацию. Ожидались еще другие документы ФСТЭК, но за весь 2010 г. больше ничего так и не появилось.

- Май 2010 г. 1-е чтение законопроекта Резника. До этого момента существовали и другие документы, описывающие возможные правки в закон "О персональных данных", но "победил" Резник. Сейчас (в конце 2010 г.) по итогам 1-го чтения была подготовлена новая редакция этого законопроекта с большим количеством правок. Текст законопроекта пока не опубликован. Необходимо анализировать, первоначальная версия законопроекта на мой взгляд не убирала всех вопросов и нестыковок, связанных с исполнением закона.

- Июнь 2010 г. Новая редакция стандартов СТО БР ИББС. ЦБ после длительной работы выпустил таки обновленные документы по обеспечению информационной безопасности в организациях банковской сферы. Стандарты теперь включают в себя и вопросы выполнения требований по обеспечению безопасности персональных данных. Стандарт по прежнему является рекомендуемым, но теперь у каждого банка есть четкий выбор либо руководствуетесь этим стандартов (приняв его как стандарт организации), либо руководствуетесь тем, что написал ФСТЭК. На мой взгляд игнорирование стандартов, созданных основным регулятором, это все равно что против ветра...э-э плевать. Хотя по опыту работы находятся банки, решаюшие идти по пути выполнения только требований ФСТЭК.

- Июнь 2010 г. Обнаружение червя Stuxnet. Можно сказать историческое событие, т.к. этот червь по сути открывает новую эпоху в области информационной безопасности. До этого момента еще не было столько масштабных примеров вирусного программного обеспечения, направленного против систем автоматизации (АСУТП). Одним из основных предположений является то, что он был создан для того, чтобы нарушить планы по созданию АЭС в Бушэре (Иран) и вроде как даже это частично удалось путем, того, что часть агрегатов была выведена из строя. Время покажет, но Stuxnet является "живым" примером того, что вредоносный код может стать серьезным оружием, ущербом от которого будут не просто потерянные деньги и аккаунты в оналайн-играх, а целостность критичных систем и как результат жизнь и здоровье людей.

- Октябрь 2010 г. Викиликс. В октябре на этом сайте было опубликовано так называемое "Иракское досье", вызвавшее огромное количество обсуждений по всему миру, потом была еще публикация дипломатической переписки, открывшая интересные подробности работы дипломатии США, в том числе и касающиеся рынка информационной безопасности. На эту тему написали мои коллеги, Евгений Царев и Алексей Лукацкий. Некоторые вендоры на волне публикаций викиликс поспешили заявить, что это подстегнет интерес компаний к закупке и установке DLP-решений, но на мой взгляд это не более чем маркетинговый ход.

- Октябрь 2010 г. Новая редакция PCI DSS. PCI Council объявил о выходе новой редакции стандарта PCI DSS - PCI DSS v2.0. Стандарт не содержит никаких революционных изменений не смотря на смену нумерации в версии. Скачать новую редакцию можно здесь. Помимо этого 1 октября прошел дедлайн для мерчантов 1-го уровня и сервис-провайдеров региона CEMEA (куда входит Россия), подключенных к VisaNet, для подтверждения своего соответствия требованиям стандарта.

- Весь 2010 г. Крупные аресты хакеров. Этот год ознаменовался громкими сообщениями о поимках хакеров. В частности был арестован и осужден на 20 лет Альберт Гонсалес, стоявший за взломом и крупной утечкой номеров кредитных карт из TJX. В США были арестованы русские студенты, которые по версии следствия участвовали в снятии денег, которые уводили со счетов американцев с использованием ботнет-сети Zeus. Ребята были судя по всему обычными мулами (money mules), но в США очень жесткие законы и наши студенты могут очень серьзно за это поплатиться. У нас по 1 каналу даже прошла передача "Пусть говорят", в которой показывали заплаканных родителей этим самых студентов, но тут уж ничего не поделаешь. Помимо этого в этом году была прекращена деятельность еще одной крупной ботнет-сети - Bredolab, а человек предположительно стоявший за управленией этой сетью был арестован в Армении. Кроме того, осенью в Москве была арестована банда мошенников, вымогавшая деньги с людей, блокируя доступ к компьютеру с помощью вредоносной программы Winlock и ее модификаций.

- Декабрь 2010. Очередное продление по 152-ФЗ. Законопроект о продлении маратория на полгода прошел все инстанции и теперь новой датой икс является 1 июля 2011 г. Думается мне, что не последняя она :)

- Декабрь 2010. Взлом Chronopay. Почти под занавес года произошло довольно интересное событие, которое поначалу Chronopay попытался замять, обставив исключительно как дефейс своего веб-сайта, но думается мне там все наааамного серьезнее. Более подробный анализ этого инцидента будет в ближайшем посте.

А что же готовит нам грядущий год ?

Вот несколько прогнозов от представителей сообщества информационной безопасности:


Со своей стороны рискну сделать следующие прогнозы (и через годик можно будет проверить насколько я оказался прав):

Усилятся (расширятся) регуляторные требования по информационной безопасности. PCI DSS, Закон "О персональных данных", СТО БР ИББС, Закон "О национальной платежной системе" (пока только законопроект), вот те основные нормы, выполнение которых стает головной болью специалистов по информационной безопасности в 2011 г. Понятно, что персональные данные по прежнему будут превалировать, но и другие темы так же начнут себя проявлять. Законопроект Резника примут по моим оценкам в марте-апреле 2011 г после чего либо дадут еще какую-то отсрочку (т.к. до 1 июля все равно мало кто успеет выполнить требования обновленного закона), либо просто проводимые проверки будут ограничиваться только предписаниями без серьезных санкций. Также интересным является и то, что на мой взгляд сейчас сохраняется неопределенность в том, кто же будет предъявлять требования и проверять. ФСТЭК уже пытаются оттеснить от вопросов формирования требований и проведения проверок, теперь еще и есть законопроект, по которому функцию контроля могут снять с Роскомнадзора. Думается мне, что все же негосударственным организациям будет предоставлена свобода выбора методов и способов защиты персональных данных в обмен на ответственность за инциденты утечки этой информации.

Помимо тематики соответствия требованиям я думаю, что стоит ожидать усиления хакерской активности, приводящей к краже данных пользователей с целью получения денег (это и мошенничество в ДБО, фишинг и социальная инженерия). Думается мне, что 2011 г. может порадовать нас несколькими крупными инцидентами. Поэтому постепенно у компаний фокус будет смещаться от "простого выполнения требований" до обеспечения определенной реальной безопасности (понятно, что не на 100% как того хотелось бы, но сдвижка будет). Т.е выполнение требований станет лишь одной из опций проекта по информационной безопасности, а не единственной его целью.

Помимо этого 2011 г. продолжит тенденцию "мобилизации", т.е. все большее количество сотрудников будет использовать для своей работы различные мобильные устройства: смартфоны, планшетные компьютеры (ipad и проч.), ноутбуки, а это в свою очередь все больше будет осложнять вопрос с обеспечением безопасности информации (в т.ч. персональных данных), которая так же будет становится все более "мобильной" и здесь необходимо будет задумываться над определением четкого порядка использования мобильных устройств и обращения с информацией, а также внедрения мер по обеспечению безопасности (DLP, шифрование и др.). Кроме того, можно ожидать и появления первых вирусных эпидемий среди владельцев планшетников (хотя это скорее ближе к концу 2011).

Кадровый голод. Думаю что в 2011 году он проявится еще более остро. Хороших специалистов у нас во всех областях мало, а в ИБ и подавно. Глядя на то, чему учат наших студентов в институтах я понимаю, что фактически они абсолютно не готовы решать задачи, которые сейчас бизнес ставит перед информационной безопасностью. Компаниям потребуются люди для того, чтобы выполнить требования законов и стандартов, а их попросту не будет. Это хорошая пора для консультантов, т.к. в условиях отсутствия своих сил (и наличия денег) компании будут обращаться к их услугам, но ведь и им тоже потребутся специалисты, причем опытные и вот тут начнется драка за людей и жесткий хед-хантинг :)

Cloud Computing в России. Да, про облачные вычисления говорят уже давно, но в России пока я не встречал серьезных предложений по теме облачных вычислений, хотя уже сейчас появляются компании, готовые предоставить сервис, отвечающий требованиям 152-ФЗ. Во многом пока это чистая профанация, но я думаю, что в будущем году сервисы на базе облачных вычислений начнут набирать обороты, а это в свою очередь будет создать интересные преценденты (читай проблемы), связанные с обеспечением безопасности информации в таких "облаках" и контроля за их утечкой.

понедельник, 27 декабря 2010 г.

Интересная вакансия... Чья вот только ?

Попалась тут на глаза вакансия на HH.ru:


Заинтересовало меня в ней то, что в описании вакансии упоминается термин "ЦИБ". Боюсь ошибиться, но кажется такой аббревиатурой широко пользуются только 2 организации: Инфосистемы Джет и Softline.

Ни для одной из них вакантное место руководителя такого крупного подразделения ни говорит ни о чем хорошем. В Джете, на мой взгляд, уже давно есть кадровые проблемы со специалистами по ИБ, я во всяком случае знаю немало хороших специалистов, уволившихся оттуда за последний год. Про Softline пока ничего не слышал.

суббота, 25 декабря 2010 г.

Планы проверок по персональным данным на 2011 год


На прошлой неделе появились официальные планы проверок со стороны Роскомнадзора и ФСТЭК по вопросам персональных данных.

По поводу проверок ФСТЭК неплохо написал мой коллега - Евгений Царев в своем блоге.

План проверок Роскомандзора опубликован здесь.

Для большего удобства я переделал план в формат Excel и оставил только сведения о проверках по части обработки персональных данных с возможностью фильтрации по различным полям. Получилось всего 1415 проверок.

Скачать файл в формате Excel можно здесь.

четверг, 23 декабря 2010 г.

Какие сертификаты нужны специалисту по ИБ ?

На днях в корпоративном блоге компании ЛЕТА, в которой я работаю, опубликовали мой пост, посвященный сертификациям по информационной безопасности.

Дабы не повторять весь текст отмечу главное. На мой взгляд с учетом сложившегося рынка труда, востребованности сертификаций в России я бы, пожалуй, выделил следующие:
  • CISSP
  • CISA
  • CISM
  • Security+ (очень неплохой обучающий курс и сертификация для молодых специалистов по общим аспектам ИБ)
  • сертификации Cisco
  • сертификации по администрированию Linux (RHCE, Linux+ и т.п.)

среда, 22 декабря 2010 г.

RISSPA - Борьба с утечками в PwC - впечатления и аудиозаписи

Побывал в прошлую пятницу на заключительном в этом году семинаре RISSPA, посвященном тематике DLP. Выступающих было 4, но я к сожалению пропустил презентацию первого докладчика т.к. поехал на машине :)

Я как всегда сделал аудиозаписи докладчиков. К сожалению после второго выступления сломался микрофон и это сказалось на качестве записи (особенно для выступления Николая Починка). Аудио-записи доступны здесь:




Надо сказать что семинар в какой-то момент переходил скорее в оживленную дискуссию на тему того, насколько вообще системы класса DLP нужны на предприятиях. В какой-то момент мне даже показалось, что в зале нет вообще сторонников внедрения таких решений и шла словесная баталия между разработчиками (SECUREIT и Symantec) и ИБ-экспертами :).

Честно скажу, что меня не очень впечатлило выступление Алексея Раевского, т.е он вроде говорил правильные и всем понятные вещи, но когда начинались вопросы из серии "а как это было в ваших проектах ? а как ваши Заказчики обосновывают внедрение DLP?", ответы были из серии "им нужно было освоить бюджет" или "руководство захотело", т.е. все вещи про оценку рисков и экономически обоснованное принятие решения на деле оказались просто абстракцией т.к. никогда по факту не применялись.

Евгений Климов в своем докладе представил критичный взгляд на существующие возможности систем класса DLP. Была озвучена интересная идея по поводу DLPaaS (DLP as a Service), но скорее как концепт, т.к. реальная реализация такого сервиса сталкивается с рядом трудностей....

Ключевым же выводом похоже стал тот, что текущая стоимость систем DLP становится серьезной преградой при общении с руководством и выбивании бюджета при том, что всем понятно, что 100% гарантии того, что информация не уйдет никто дать не может, а обосновать использование такой системы для выполнения требований 152-ФЗ проблематично, т.к. о таких системах не говорится в руководящих документах ФСТЭК и ни одна из них не является сертифицированной.

В завершение хочу сказать, что PWC отлично организовал мероприятие, обеспечил нас помещением, выпивкой и закуской, за что им конечно же огромное спасибо !

P.S. В тему DLP недавно попалась интересная статейка, посвященная тому, какие вопросы имеет смысл задавать интегратору (или разработчику) у которого вы планируете покупать систему DLP.

Update 27.12.2010: Презентации докладчиков выложены на официальном сайте RISSPA здесь.

воскресенье, 12 декабря 2010 г.

Перенос сроков 152-ФЗ - второе чтение

В пятницу состоялось второе чтение законопроекта о продлении моратория на вступление в действие статьи 25 федерального закона 152-ФЗ "О персональных данных". Итоги - законопроект принят во втором чтении, но теперь его текст звучит так:

"...Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года....."

Update: спасибо Александру Токаренко за поправку, законопроект как выяснилось был сразу принят во втором и третьем чтении. Теперь впереди совет федерации и президент, но думаю что там не стоит ждать сюрпризов....

Update 27.12.2010: Президент подписал текст законопроекта. Мораторий продлен до 1 июля. Теперь надо будет следить за судьбой законопроекта Резника как основного кандидата на принятие в первой половине следующего года.

четверг, 9 декабря 2010 г.

CISCO объявила о сворачивании продукта MARS


Компания Cisco объявила о сворачивании разработки довольно известной системы мониторинга и корреляции событий - Cisco MARS. Причины отказа от дальнейшей поддержки и развития данной системы не совсем понятны. Возможно Cisco решила сконцентрировать свое внимание на других направлениях, таких как виртуализация, например. Такая же судьба постигла недавно и Web Application Firewall. Альтернатив указанным решениям компанией Cisco пока предложено не было, поэтому тем, кто использует данные системы видимо придется задуматься над решениями от других вендоров.

вторник, 7 декабря 2010 г.

Сроки 152-ФЗ похоже снова перенесут !!!

Интернет уже кипит... Сегодня состоялось слушание законопроекта Анатолия Аксакова о внесении изменений в статью 25 федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" в части переноса срока приведения ИСПДн в соответствие требованиям закона на 1 января 2012 года.
Законопроект был принят в первом чтении. Впереди второе и третье, но мое мнение, что нашим депутатам будет проще принять перенос сроков еще на год, чем сейчас перед новым годом развивать кипучую деятельность по принятию всех необходимых поправок в 152-ФЗ и другие законодательные акты.
Поживем увидим, но похоже впереди у нас еще один интересный год под знаком 152-ФЗ.....

P.S. Интересно, а рекомендации, прописанные в письме шести для банков, тоже перенесут на год ? :)

Update 09/12/2010. по последним данным на второе чтение уйдет редакция с переносом сроков только на полгода (до 1 июля 2011 г.)

воскресенье, 5 декабря 2010 г.

Для чего нужны консультанты ?

Совсем недавно Алексей Лукацкий опубликовал статьи с полезными советами о том, как подходить к проектам по персональным данным (да и к любым другим проектам по ИБ как мне думается тоже). Безусловно очень важно заранее определить и цель проекта и его результат, но не менее важным на мой взгляд является использование правильного инструмента для решения поставленных задач. Неправильно пытаться "забивать гвозди лазерным микроскопом". Поясню, что я имею ввиду.
Как правило консультант (в любой области) - это более опытный специалист, задача которого поделиться с вами опытом, помочь выполнить какую-то задачу, избежав существующих подводных камней, помочь выработать схему, наиболее оптимальную для ваших целей. Когда же мы переходим к проектам по ИБ вообще (и персональным данным в частности) в России, то здесь консультанты чаще выступают как аутсорсеры, их нанимают, чтобы они все сделали под ключ....все сделали за Заказчика, но порой многие не задумываются над тем, что толку от такого консалтинга (как это не парадоксально) будет меньше чем могло бы. Консультанты проведут работу, изучат все у вас и уйдут, оставив заказанные вами документы (отчеты с рекомендациями, проекты орг-распорядительной документации и проч.), и вот тут вы останетесь наедине со всем, что они для вас подготовили и это придется как-то вводить в жизнь, а это непростая работа, особенно если до этого момента вы совершенно не подключались к этой деятельности, отдав весь проект консультанту. Какой из этого можно сделать вывод ? Максимальную отдачу от привлечения консультанта можно получить только если в начале проекта в компании будет сформирована собственная команда заинтересованных в результате людей, людей, которые в рамках проекта будут перенимать опыт консультантов, задавать вопросы, совместно формировать решение, наиболее подходящее для компании. И чем активнее будет позиция Заказчика, тем более оптимальный результат будет получен по итогам совместной работы.
Кроме того здесь кроется и возможность экономии средств, выделенных руководством на "решение вопроса с персональными данными". Работа консультанта стоит недешево, если это консультант из зарекомендовавшей себя компании (я не беру сейчас стартаперов и разного рода "консультантов", выполняющих проекты за 10 тыс. рублей ... как правило работа, выполненная за такие деньги не отвечает критике) и в этой связи проекты "под ключ", где все за вас делает консультант, стоят значительно выше, чем проекты, в рамках которых задействованы внутренние ресурсы компании для решения ряда задач по сбору и анализу информации, а консультанту отводится роль эксперта, направляющего и обучающего команду Заказчика. Кроме того, в таких проектах дополнительным бонусом для Заказчика является собственная обученная команда, получившая опыт в рамках проведенного проекта и как следствие более подготовленная к приходу регуляторов или обращениям со стороны субъектов персональных данных.