суббота, 26 февраля 2011 г.

Лекция проекта "Обратная связь" - Что нужно знать ИБ-специалисту

Сегодня в МИФИ прочитал первую лекцию в рамках моего нового проекта "Обратная связь". Лекцию я посвятил обзору того материала, который будет полезен для начинающих специалистов по информационной безопасности (в первую очередь студентов), тем знаниям и навыкам, которые им нужно освоить, причем самостоятельно, т.к. в институте их этому вряд ли научат. Аудитория была не очень многочисленной, но это не главное, главное что информация попала к тем, кто хотел ее получить. Надеюсь, что ребятам мои советы будут полезны.

Сама презентация:
Файл, содержащий полезные ссылки, упоминаемые в презентации, можно скачать тут.

Спасибо большое Александру Матросову, руководителю Центра вирусных исследований Компании ESET, за организацию и помощь в проведении лекции.

пятница, 25 февраля 2011 г.

Оценка рисков ИБ (методики, инструментарий)

Оценка рисков - это безусловно краеугольный камень эффективной и экономически оправданной безопасности. За последние годы было много рассказано про различные подходы к проведению оценки рисков, а сейчас на фоне волны, поднятой законом "О персональных данных", вопрос оценки рисков несколько ушел в тень, сменившись более формальным (хотя и не формализованным !) составлением модели угроз. Однако, рано или поздно специалистам по инфобезопасности все же придется вернуться в своей работе к риск-ориентированным стратегиям обеспечения ИБ и вновь придется озаботиться вопросом о том, каким же способом эти самые риски оценивать.
Конечно же каждая организация выбирает свой путь и именно поэтому в мире существуют десятки методов оценки рисков (количественные/качественные). Какое-то время назад мне попался довольно интересный европейский веб-ресурс организации ENISA (European Network and Information Security Agency), на котором собран наиболее широкий (на мой взгляд) перечень различных методик и инструментов по оценке рисков.

Там же опубликован очень интересный материал (PDF), описывающий общий порядок управления рисками, а также методики и инструменты оценки.

В таблице ниже, взятой из указанного документа, представлено сравнение существующих методов:

среда, 23 февраля 2011 г.

Новый документ по персональным данным


С 27 февраля вступает в силу приказ Федерального агентства по печати и массовым коммуникациям (Роспечать) от 1 декабря 2010 г. N 584 г. Москва "О защите персональных данных государственного гражданского служащего Федерального агентства по печати и массовым коммуникациям".

На прошлой неделе документ был опубликован в Российской газете (ссылка). Чего-то принципиально нового документ не содержит. Во многом это просто перепечатка закона с указанием на то, что относится это к защите персональных данных государственного гражданского служащего Федерального агентства по печати и массовым коммуникациям.

Положение определяет перечень и обязанности лиц, имеющих доступ к персональным данным и ответственных за их защиту. Более подробно описывается порядок работы с личными делами и трудовыми книжками гражданских служащих в части их хранения и передачи в другие гос. органы.

Сказано также и про обеспечение безопасности:
  • обработка персональных данных с использованием информационных систем персональных данных осуществляется в отдельных информационно-телекоммуникационных сетях, к которым подключены информационные системы персональных данных, физически изолированных от информационно-телекоммуникационных сетей общего пользования, или изолированных с помощью сертифицированного межсетевого экрана; (кстати не указано сертифицированным на что и кем....)
  • доступ пользователей (операторов информационной системы) к персональным данным в информационных системах персональных данных Роспечати должен требовать обязательного прохождения процедуры идентификации и аутентификации;
  • передача персональных данных по незащищенным каналам связи допускается только при использовании средств шифрования (а почему здесь не написано "сертифицированных" ?)
  • защита персональных данных гражданского служащего от неправомерного их использования или утраты обеспечивается за счет средств Роспечати в порядке, установленном Федеральными законами "О государственной гражданской службе Российской Федерации", "О персональных данных", Трудовым кодексом и иными нормативными правовыми актами Российской Федерации (слишком уж общо и неконкретно).
Не совсем понятно почему этот документ появился именно сейчас. Никакой точной конкретики он не содержит, а в случае изменения закона "О персональных данных" скорее всего потребует соответствующей корректировки. Но что есть, то есть.

воскресенье, 20 февраля 2011 г.

Защита персональных данных на финансовом и пенсионных рынках, отраслевые стандарты и новый приказ ФСБ

В минувшую пятницу мне довелось поучаствовать в конференции "Защита персональных данных на финансовом и пенсионных рынках 2.0", организованной ассоциацией НАПФ. Получилось довольно интересно и познавательно. Что порадовало, так это то, что из зала задавались конкретные вопросы, было понятно,что публика пришла знающая и уже попробовавшая реализовать требования закона (год назад на подобных мероприятиях из зала шли вопросы, которые скорее говорили о незнании нормативной базы). Но обо всем по порядку.

Одним из первых выступлений был доклад представителя РКН - Кантемирова Юрия Евгеньевича. Чего-то принципиально нового я для себя не услышал, доклад был посвящен опыту проверок за прошедший год. Были обозначены основные ошибки операторов, к которым отнесены:
  • отсутствие уведомления в РКН или его некорректное заполнение
  • отсутствие согласия на обработку ПДн
  • отсутствие утвержденного списка лиц, имеющих доступ к персональным данным в организации.
По опыту отработки претензий со стороны субъектов одной из наиболее частых причин таких претензий была обозначена "несанкционированная реклама", т.е. когда оператор добыв где-то контакты физических лиц начинал им рассылать письма или смс-ки с предложением своих услуг, что далеко не всегда вызывало их восторг.

Далее последовал доклад представителя 8-го Центра ФСБ - Тачкова Юрия Владимировича. К сожалению по тех. причинам мне не удалось сделать нормальную запись выступления, поэтому напишу, что услышал. Доклад был главным образом касался нового приказа ФСБ, посвященного описанию порядка применения средств криптографической защиты для обеспечения безопасности персональных данных (тому, который должен прийти на смену 2м методическим документам, имеющимся сейчас). Доклад был интересным и вот почему: Юрий Владимирович начал выступление с того, что обозначил, что существующие документы ФСБ по персональным данным были разработаны как компиляция из других документов ФСБ (читай на скорую руку, методом копи-пейст (комментарий автора)) и поэтому к разработке этого приказа и вводимого им положения подошли со всей серьезностью. Документ получается аж на 60 страниц (!) и в него планируется включить методику составления модели нарушителя и класса криптосредств (соответственно), порядок применения СКЗИ (необходимые орг. мероприятия), а также разъяснения о том, в каких случаях необходимо получение лицензий ФСБ. Вот тут самое интересное. Лицензия ФСБ на техническое обслуживание СКЗИ не нужна (!), если СКЗИ используется в соответствии с эксплуатационной документацией (читай если просто используете для своих нужд, то лицензия не нужна). Лицензия ФСБ на распространение средств СКЗИ не нужна, если один оператор передает СКЗИ другому оператору для осуществления защищенного обмена информацией (почему же тогда банки заставляют получать лицензию на распространение криптографии среди своих клиентов?). Также Юрий Владимирович коротко коснулся вопросов проведения проверок ФСБ по линии использования СКЗИ. Из основных замечаний были обозначены:
  • использование СКЗИ не отвечающих эталонным образцам (не совпадают контрольные суммы)
  • несоблюдение порядка использования (нет необходимой документации, не проводятся необходимые мероприятия)
  • использование несертифицированных СКЗИ
Последний пункт меня конечно же заинтересовал больше всего, на мой прямой вопрос о том, являются ли средства VPN, используемые практически во всех организациях, незаконными, Юрий Владимирович ответил, что согласно постановлению правительства - да. (кстати уже второй раз слышу со стороны регуляторов камень в огород правительства, дескать это не мы такие драконовские меры вводим, это все в постановлениях прописано, и доля правды в их словах есть). Позже на кофе-брейке Юрий Владимирович сказал, что он сам не против либерализации (читай использования западной криптографии), но является ли его мнение отражением мнения ФСБ по этому вопросу я не знаю.

Далее было выступление Федосенко Андрея Владимировича, ведущего советника Комитета Госдумы РФ по конституционному законодательству и государственному строительству (записи также нет). Он еще раз обозначил проблемы применения 152-ФЗ, которые коротко можно описать словами "закон написали не так, а поняли еще хуже". В законе планируется править определение ПДн (сделать его более широким как в евроконвенции), формы и условия получения согласия на обработку ПДн (конклюгентные действия ?), возможные основания для обработки ПДн. С точки зрения обеспечения безопасности планируется дать "большую свободу оператору", но за эту свободу придется расплатиться большей ответственностью. Законодатели не хотят вводить норму по которой (как в Америке) оператор обязан будет уведомить субъектов, чьи данные были скомпрометированы, планируется ввести норму по которой оператор обязан будет уведомить регулятора (РКН), а тот уже далее будет либо публиковать эту информацию (доска позора ?), либо подавать в суд...
Про РКН тоже возник вопрос, эта служба не является "независимой" как того требует евроконвенция. Что это означает я не понял, но возможно РКН будет реформироваться снова в некий иной орган, отвечающий за вопросы соблюдения прав субъектов ПДн.

Далее был обед, после которого прошли выступления представителей ассоциаций НАПФ и НАУФОР и спонсоров конференции.
В рамках доклада НАПФ было совместное выступление вашего покорного слуги и Касиной Светланы Алексеевны, исполнительного директора "Национального НПФ" - члена совета НП "НАПФ". Светлана Алексеевна очень интересно поделилась практикой исполнения закона в пенсионном фонде, я же подробнее представил стандарты НАПФ, в разработке которых принимал непосредственное участие. Запись нашего выступления здесь (рекомендую послушать представителям пенсионных фондов). А вот и сама презентация:
Последний доклад, который я послушал, касался отраслевых стандартов, разработанных ассоциацией НАУФОР. Честно говоря про стандарты я ничего не услышал, Пома Сергей Иванович, заместитель председателя Правления НАУФОР просто поделился своими рекомендациями по выполнению закона и защите информации. Из основных тезисов - большинство утечек закрывается организационными мерами, и примерно половина из них связана с неумышленными действиями (Как специалист по информационной безопасности я не согласен с этими заявлениями полностью....) Запись выступления можно скачать здесь.

Стандарты НАУФОР доступны на их сайте, но скачать их могут только (!) участники НАУФОР. Не понимаю я такой скрытности..... НАПФ свои стандарты выложил в публичный доступ. Если среди моих читателей есть те, кто работает в организациях, входящих в НАУФОР, скиньте стандарты.... интересно почитать.

После наших выступлений была короткая секция вопросов и ответов. Далее в программе планировалось выступление представителя ассоциации НЛУ о разработанных ими стандартах, но выступления не было и на сайте НЛУ я не смог найти никакого упоминания о таких стандартах.

В завершение хочу отметить профессиональный уровень ведения мероприятия со стороны модератора - Короткова Андрея Викентьевича, д.э.н, заведующего кафедрой МГИМО (У), заведующего кафедрой РАНХ при Президенте РФ.

вторник, 15 февраля 2011 г.

III Межбанковская конференция «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ»

Как известно с сегодняшнего дня в Магнитогорске проходит конференция "Информационная безопасность банков". Мероприятие безусловно знаковое (для банков пожалуй вообще ключевое). В этом году по стечению обстоятельств я не смог поехать в Магнитогорск, поэтому как и все буду следить за тем, что там происходит со стороны.

Сейчас единственным (мне известным) источником информации о конференции являются твиттер-сообщения Алексея Лукацкого. Позволю себе дать несколько комментариев по той информации, которую запостил Алексей.

Alexey Lukatsky
Гришанков: все благие поправки в законопроект о лицензировании в Правительстве завернули без веских оснований

Неприятная новость, т.к. если в законе о лицензировании ничего не поменяется, то получается, что придется всем либо получать лицензию на ТЗКИ, либо отдавать безопасность на аутсорс, однако в условиях неразвитости этого рынка это будет больше похоже на формальную плату за то, чтобы не было претензий от регуляторов
.

Alexey Lukatsky
Курило: средний срок приведения в соответствие с СТО - 3 года

С оценкой согласен, но что понимается под соответствием ? 4-5 уровень ? Тогда что должны согласно письму шести подтвердить банки до 1 июля 2011 г. (у них осталось менее 5 месяцев) ? В общем слово "соответствие" в терминологии СТО БР имеет какое-то специфичное и неконкретное значение.


Alexey Lukatsky
Курило: средняя цена затрат на приведение в соответствие с СТО - 5 млн. рублей

На мой взгляд это минимальная оценка, если мы говорим об уровне не ниже 3-го. Это означает, что если кто-то из консультантов обещает вам "сделать СТО" за 100 рублей (условно), то это будут просто выброшенные деньги. Тут думаю стоит прислушаться к поговорке "Мы не такие богатые, чтобы покупать дешевые вещи".

Alexey Lukatsky
Курило: лицензия ФСБ банкам нужна

Нужна и точка. Несмотря на то, что закон о
лицензировании не относится к деятельности кредитных организаций, но тут видимо исторические договоренности....

п.1 Вождь всегда прав, п.2 если вождь не прав смотри п.1

Alexey Lukatsky
Курило: ЦБ должен стать регулятором ИБ для банков, чтобы директивно спускать требования, а не рекомендации. В ГД такое предложение ушло

Интересно о каких директивных требованиях идет речь, ранее ЦБ говорил про свои документы (СТО БР) как про рекомендательные (хорошая практика), теперь видимо ветер изменился.... у кого-то еще остались сомнения, что СТО БР не придется выполнять ?

Alexey Lukatsky
Гениевский: ABISS хочет стать организацией, работающей не только с ЦБ, но и с РКН, ФСБ и ФСТЭК, те. посредником между банками и регуляторами

Слово "посредник" в России имеет очень конкретный "оттенок"

Alexey Lukatsky
Гениевский: ABISS станет аналогом PCI DSS Council в России - будет аккредитовать аудиторов, обучать специалистов, оценивать результаты...

А вот это уже другое.. Цель хорошая, но о ней говорят уже больше года, а воз и ныне там. Курсы и сертификация аудиторов так и не появились. Кроме того аналогия не получается прямой. PCI Council разрабатывает и утверждает стандарты PCI, а вот ABISS в отношении СТО БР этого делать не может, ведь для этого надо забрать эти функции у ТК362.... только думаю я, что не отдадут...

Alexey Lukatsky
Борисова: РКН не согласен с редакцией законопроекта Резника ко второму чтению. От меня - еще бы; РКН вообще выпал из законопроекта ;-)

Да уж..... перспективы законопроекта какие-то туманные. На Инфофоруме недавно также было отмечено, что ждать новую редакцию надо не раньше мая, т.к. до сих пор нет между составителями консенсуса.

Alexey Lukatsky
Акимов: 400 проверок по линии ПДн со стороны 8-го центра в 2010-м году

Цифра поражает. Откуда столько ? И вообще интересно что и на каком основании проверял ФСБ если учесть, что требования по приведению ИСПДн в соответствие так и не вступили в силу.

Alexey Lukatsky
Лютиков: около 40% банков находятся на 4-5 уровнях соответствия СТО

Здесь как у Станиславского - "Не верю!", 4-5 уровень это очень круто, при той математике подсчета, которая заложена в документах ЦБ, для такого уровня нужно реально много сделать. Не знаю откуда такие цифры у представителя ФСТЭК, но по моему мнению банки, которые по честному (без натяжки) соответствуют 4-5 уровню, можно пересчитать по пальцам.

Alexey Lukatsky
Лютиков: после принятия поправок к законопроекту Резника ФСТЭК будет контролировать только госы и муниципалов

Вот отличная новость (ну хотя бы для коммерческих организаций), если ФСТЭК будет заниматься только госами и муниципалами, то тогда логично предположить, что их требования и методические документы будут применяться только обозначенными организациями, а для всех остальных будут отраслевые стандарты, лучшие практики, мировой опыт и ..... счастье :) Поживем-увидим.

Ну и продолжаем следить за тем, что происходит в Магнитогорске....



воскресенье, 13 февраля 2011 г.

Книжная полка - Vulnerability Management by Park Foreman

Этим постом я открываю в своем блоге новую рубрику - "Книжная полка", которая будет посвящена обзорам специализированной литературы.

Сегодня я хочу представить книгу Vulnerability Management, автор - Park Foreman, Издатель: Auerbach Publications, дата выхода: 2009 г. Сам я получил доступ к этой книге через электронную библиотеку ISACA, приобрести же ее можно, например, на Amazon.

На моей памяти это первая книга, посвященная именно области управления уязвимостями, в то время как это довольно важный и непростой процесс, связанный с информационной безопасностью (во многих компаниях его отдают в ИТ-службу, где он реализуется с разной степенью успешности; действительно хорошо выстроенных процессов управления уязвимостями мне пока встречать не довелось).
В книге можно найти и детальное описание подходов к организации программы управления уязвимостями (участвующие подразделения, порядок документирования, план реализации проекта, руководства, чек-листы, политики, рекомендации по составлению отчетности, анализу данных об уязвимостях и проч.), описание технологий, используемых для выявления уязвимостей, а также подробное и популярное объяснение того, что такое CVE, NVD, CPE, SCAP. Очень интересно описано взаимодействие процесса управления уязвимостями с другими ИТ и ИБ-процессами (процессы ITIL, управление рисками, управление активами и др.).

В одной из глав встретилась такая фраза (что сказать, и забавно и грустно):

Some countries have import duties and restrictions on technologies that can extend thereplacement cycle for months. Certain locations seem particularly unfriendly to commerce, particularly where technology is concerned. Russia, Venezuela, and even Mexico can be very resistant to receiving technology, to the detriment of their own citizens. It is even possible that final delivery in some locations may call for a small bribe to the delivery person.

На мой взгляд эта книга может стать довольно полезным подспорьем для тех, перед кем стоит задача по организации эффективно работающего процесса по управлению уязвимостями.

По пятибальной системе я готов дать этой книге твердую четверку.

среда, 9 февраля 2011 г.

Тюрьма особого назначения «Сколково-17»

Вчера услышал по радио, сперва не поверил, Е. Касперский жжет :)

По словам Евгения Касперского, он давно размышляет о том, что киберпреступников стоит сажать в специализированные тюрьмы. В обычных, с ворами и убийцами, делать им нечего. И вместо того, чтобы шить одежду и строгать фанерки на станке, можно использовать их опыт и знания на благо родины. На базе таких исправительных учреждений вполне могут вырасти инновационные центры, которых России так не хватает.

Взято отсюда.

Я так и представил себе такую колонию.....и суровое программное обеспечение, выпускаемое зеками-хакерами :) (без сертификации на НДВ точно нельзя будет обойтись)


понедельник, 7 февраля 2011 г.

Инфофорум 2011 - день первый


Конференции - это удачный повод пообщаться с регуляторами, узнать новую информацию и понять какие мысли гуляют в головах тех, кто принимает законы, напрямую влияющие на вопросы обеспечения информационной безопасности в России. Инфофорум - это не совсем профильное ИБ-мероприятие, но тем не менее в программе была целая секция посвященная вопросам безопасности персональных данных, собравшая представителей РКН, Госдумы и ФСТЭК. Я как всегда сделал аудиозаписи, которые и выкладываю в этом посте.

Первой выступала Васильева Лариса Борисовна, начальник Управления по защите прав субъектов персональных данных Роскомнадзора. Ее доклад представлял собой краткий отчет о работе РКН в 2010 г. (официальный отчет должен появится в ближайший месяц). Основные моменты: за 2010 г. проведено 1253 проверки из них 804 плановые. По итогам проверок было составлено более 3000 протоколов об административных правонарушениях. Среди основных "грехов", выявленных РКН, значатся либо не отправленное уведомление, либо ложные сведения в уведомлениях. Общая сумма штрафов по итогам проверок - 4 767 тыс. руб. Среди организаций, допускающих наибольшее нарушения - кредитные организации, организации ЖКХ и страховые компании. За 2010 г. в РКН поступило 1608 жалоб и обращений, в 2011 г. ожидают десятикратный (!) рост количества жалоб со стороны субъектов ПДн. (Аудиозапись выступления здесь).

Следующим с докладом выступал Лютиков Виталий Сергеевич, заместитель начальника Управления ФСТЭК России. Его доклад меня несколько удивил, в том смысле, что был он посвящен основным ошибкам, совершаемым операторами и сообществами, которые передавали свои "отраслевые" документы на согласование во ФСТЭК. Удивил потому, что выглядел он так, будто бы все так горячо обсуждаемые проблемы выполнения требований по обеспечению безопасности на самом деле не существуют, рынок сертифицированных средств хорошо развит, есть просто ошибки со стороны операторов, которые ФСТЭК с радостью готов помочь исправить. Система классификации является хорошей международной практикой, а методические документы на самом деле не предъявляют завышенных требований и они неодинаковы к операторам разного масштаба (видимо тут отсыл, что все по модели угроз определяется), и вообще если кто-то не умеет пользоваться методическими документами ФСТЭК, то милости просим, они вам готовы разъяснить (тут я заулыбался :) ) Аудиозапись выступления здесь. Этого нет на записи, но чуть позже я задал вопрос, а не считают ли представители ФСТЭК и Госдумы излишне завышенными требования об использовании исключительно сертифицированных средств для защиты персональных данных. На что, Виталий Сергеевич заявил, что данное требование прописано в постановлении правительства (читай, это не ФСТЭК виноват), а представитель Госдумы, Волчинская Елена Константиновна, заявила, что ближайшие изменения в законодательстве скорее всего приведут к изменению этой нормы (ну поживем увидим).

Далее с докладом выступила Храмцовская Наталья Александровна, ведущий эксперт по управлению документацией компании "Электронные Офисные Системы" на тему стыковки гос.услуг и вопросов защиты персональных данных. Доклад был очень эмоциональным и интересным и также был посвящен вопросам несовершенства пресловутого 152-ФЗ. (аудиозапись здесь).

И последний доклад, который я успел в этот день послушать, был от Федосенко Андрея Владимировича, ведущего советника аппарата Комитета Государственной Думы по конституционному законодательству и государственному строительству. Доклад был посвящен грядущим изменениям в законодательстве в области персональных данных. Общий лозунг - баланс интересов субъектов и операторов персональных данных, либерализация вопросов обеспечения безопасности персональных данных и уточнение спорных положений закона. Более подробнее в аудиозаписи. Ключевой момент (!) - по словам Андрея Владимировича, новую редакцию законопроекта Резника ко второму чтению надо ждать не раньше мая, т.к. до сих пор не достигнут консенсус по ряду вопросов.

Общие впечатления от этой сессии остались смешанные, вроде бы все говорят правильные вещи, все понимают что и как надо сделать и как должно выглядеть законодательство, но воз как известно и ныне там. Остается только надеяться, что все же "разум победит" и 2011 даст новый более качественный виток развития законодательства в области защиты информации в России.

P.S. Но все же меня по-прежнему не покидает ощущение, что в области защиты персональных данных нам еще предстоит пережить серьезное разочарование.

воскресенье, 6 февраля 2011 г.

Провал безопасности: когда доверенные люди оказываются врагами (часть 3)

Этот пост представляет собой мой перевод статьи, описывающей случаи нарушения информационной безопасности привилегированными пользователями. Оригинальный текст расположен здесь.

Это третья и заключительная часть статьи, остальные части находятся здесь и здесь.

Крайне неудачное увольнение

После модернизации системы информационной безопасности в компании, входящей в список Fortune 100, было выявлено, что одним из ключевых системных администраторов, проработавшем на тот момент в компании уже более 8 лет (назовем его «Фил»), были проведены изменения на сервере, на котором размещается веб-сайт компании. Изменения заключались в том, что по определенной ссылке, состоявшей из имени веб-сайта и определенной буквенной комбинации можно было перейти на страницу, на которой администратором была организована бойкая торговля контрабандным оборудованием для спутникового ТВ, произведенным в Китае.
Хорошая новость - модернизация системы безопасности позволила поймать злоумышленника. Плохая новость заключается в том, что плохо организованная процедура увольнения дала ему возможность нанести ответный удар.
Так как компания, о которой идет речь, также занималась продажей высокотехнологичного оборудования, у руководства было огромное желание как можно скорее избавится от Фила и его веб-сайта с контрабандными товарами, опасаясь возможных исков со стороны производителей оборудования для спутникового ТВ. Но пока менеджер Фила и персонал службы безопасности были на пути к офису, где работал Фил, сотрудник службы кадров позвонил ему и попросил оставаться на месте и никуда не уходить. Что именно и как этот сотрудник сказал Филу неизвестно, но тот понял, что за ним «уже идут».
Воспользовавшись своим уровнем полномочий системного администратора, Фил немедленно удалил цепочку корпоративных ключей шифрования. Менеджер Фила и сотрудники службы безопасности вошли в его комнату как раз в тот момент, когда он нажал на клавишу Delete. От него потребовали прекратить любые дальнейшие действия и отойти от терминала, но было уже слишком поздно.
Удаленные файлы содержали все ключи шифрования для компании, включая специализированный мастер-ключ (escrow key), который позволял расшифровать любой файл любого сотрудника. Большинство сотрудников хранили свои личные ключи шифрования на своих рабочих станциях, но удаленная цепочка ключей содержала уникальные ключи для минимум 25 сотрудников, работавших в юридическом и контрактном отделах. Это означало, что все, что было зашифровано этими сотрудниками за последние 3 года работы (с момента запуска общей системы шифрования), было фактически потеряно.

Стоимость для компании

Точная стоимость от инцидента не оценивалась, но предварительно потеря файла цепочки ключей шифрования стоила компании 18 человеко-лет потерянной работы, включающей в себя работу по воссозданию зашифрованной информации из черновиков, архивов электронной почты и других не зашифрованных документов.

Превентивные меры

В данной ситуации компания совершила две критические ошибки. Во-первых стоило немедленно отключить любой доступ для Фила, чтобы исключить возможность любых ответных действий. Кроме того стоило безусловно создавать резервные копии наиболее критичной информации (как минимум). По злой иронии судьбы, файлы цепочки ключей шифрования считались настолько чувствительной информацией, что создание копий этих файлов было исключено.

Лучшая защита - многоуровневая

Основной урок из всех описанных историй это то, что ни одна защитная мера сама по себе не сможет защитить вас от злоумышленников из среды ИТ-персонала. У вас может быть отличная система информационной безопасности, как та, что помогла обнаружить несанкционированный веб-сайт Фила, однако простая ошибка со стороны отдела кадров может привести к катастрофе. Или это могут быть оставшиеся без внимания изменения в характере и поведении, как в случае с Салли.
Необходима комбинация технических и организационных решений, но руководство компаний очень сложно убедить в реализации обоих направлений. Руководство как правило возлагает большие надежны на ту или иную техническую систему, призванную решить проблему, особенно в условиях когда сами разработчики этих систем обещают это в своих презентационных материалах.
Это непросто признать. Ведь даже с появлением все большего числа страшных историй, связанных с злонамеренной деятельностью ИТ-персонала, большинство директоров компаний по-прежнему думают, что это никогда не случится с ними, до тех пор пока это в какой-то момент не произойдет.

среда, 2 февраля 2011 г.

Предотвращена попытка хищения крупных денежных сумм со счетов 96 российских и иностранных банков

"Шерлок, а почему о вас в газетах ничего не пишут? Это вопиющая несправедливость...."

Вчера прошла новость: Сотрудники Управления экономической безопасности ГУВД Москвы предотвратили попытку хищения крупных денежных сумм со счетов 96 российских и иностранных банков. Об этом 1 февраля пишет "Московский комсомолец"

Всего, по данным пресс-службы УЭБ, потенциальными жертвами злоумышленников могли стать 457 банковских клиентов, среди которых известные компании и крупные вкладчики. Порядок суммы, которая могла быть похищена со счетов, не называется. (взято отсюда).

А вот чуть более подробнее об этой новости от бойцов невидимого фронта, Group-IB:

Информация об очередном ботнете была получена в ходе проведения совместных технических мероприятий специалистов компании и сотрудников Управления экономической безопасности ГУВД по г. Москве. В результате криминалисты Group-IB смогли получить информацию с сервера управления преступной сетью, которая была нацелена на совершение мошенничества в системах дистанционного банковского обслуживания (ДБО).

На центральном сервере злоумышленники хранили банковские ключи от систем ДБО, а также логины и пароли клиентов банков. В ходе расследования экспертами было установлено, что скомпрометированы электронные ключи клиентов ряда российских и зарубежных банков. Банковские ключи, логины и пароли 457 клиентов были похищены хакерами с помощью вредоносного ПО.

Полученные данные была направлены в службы безопасности банков для идентификации пострадавших клиентов, предупреждения и пресечения кражи денег с их счетов. В данный момент сотрудники Group-IB и УЭБ устанавливают факты хищения для привлечения злоумышленников к судебной ответственности. Предполагается, что мошенники могли похитить более 36 миллионов рублей, используя скомпрометированные данные. Подробнее здесь.

вторник, 1 февраля 2011 г.

Круглый стол по кибербезопасности в АНХ

Немного запоздалое видео из Академии народного хозяйства.

13 ноября Школа IT-менеджмента организовала международный "Круглый стол по информационной безопасности".

Участники круглого стола:

  • Karl F. Rauscher, CTO, East west Institute, New York;
  • Владимир Иванов, Директор филиала, East west Institute, Москва;
  • Stewart Goldman, Fellow, NGN Priority Telecommunication Bells Lab.;
  • Paul Nicholas, Director, Global Security Strategy and the Diplomacy “Trustworthy Computing” Microsoft;
  • Виктор Минин, Генеральный директор, ООО «Миктера»;
  • Александр Бондаренко, Директор департамента консалтинга, LETA IT-company
  • Александр Соколов, Директор, Школа IT-менеджмента;
  • Вадим Конышев, Зам. заведующего кафедрой «Системы управления бизнес-процессами», Школа IT-менеджмента;
  • Татьяна Соколова, Директор программы МВА СIO, Школа IT-менеджмента
Karl Rauscher довольно интересно рассказывал о вопросах безопасности кабельной инфраструктуры и зависимости современного бизнеса от надежности сети подводных кабелей. Я коротко писал уже об этом здесь. Я тоже вставил небольшую речь на тему круглого стола (по таймингу примерно на 65 минуте).

Видео доступно здесь.