Впечатления от мероприятий бывают самые разные: яркие, восторженные, негативные настолько, что и не хочется писать, никакие… Код ИБ 2016 в Самаре оставил у меня много вопросов, над которыми я буду размышлять ещё долго – и это точно положительный результат.
Но сначала положенное вступление. Конференция на этот раз проходила в гостинице «Ренессанс», символом оставаться тот же самый кот (в русском языке ведь «д» и «т» в конце слова произносятся одинаково), фотографирование с которым входило в обязательную программу.
Регистрация
И вопросы представителям компаний, беседы, дискуссии
Так вот, больше всего заставил задуматься завершающий конференцию мастер-класс директора по безопасности, SPSR express Дмитрия Мананникова,
его попытка отделить цели ИБ от задач ИБ. При этом цели должны иметь некое выраженную цифрой величину. То есть, грубо говоря, служба ИБ – это такое же производственное подразделение, которое выдаёт «на гора» безопасность в измеряемых количествах. Остаётся только сообразить, в чём измерить, продуцируемую службой, безопасность, и дальше открываются светлые перспективы перевода её сотрудников с окладов на сдельщину. Логично ведь: кто больше произвёл безопасности, тот должен больше и получить. Разумеется, я здесь упрощаю, но, поверьте, нисколько не искажаю идеи: измерить и потом, в соответствии с измеренным, производить некоторые действия (награждать, премировать, депремировать, увольнять и пр.). И вот эта попытка всё выразить цифрой представляется мне глубоко абсурдной и нереализуемой в принципе.
Альтернативой измерительному подходу могло бы быть следование регламентам, в частности, введённым регуляторами (законодателями). На самом деле, мы, разумеется, и так вынуждены им следовать, вопрос только в том, что это за требования. Последнее, с чем мне пришлось столкнуться, это требование контентной фильтрации интернета в школьных сетях. Не буду останавливаться на том, нужна ли отдельная фильтрация в принципе, скажу только, что мы своим детям ничего не запрещали и не фильтровали, хотя моя квалификация позволяла много чего сделать в этом плане.
Заключили договор, помучились с подключением сервера контентной фильтрации, запустили. Я на пробу ввёл известное русское слово из трёх букв – поисковик благополучно отработал запрос, причём дал ссылки не только на соответствующие словари, но и на видеоресурсы адекватного содержания. Оказалось, что эта рекомендованная вышестоящими организациями система, за которую школа заплатила деньги (и не свои - бюджетные) не умеет фильтровать HTTPS (ключевое слово Secure), а потому не видит наши контакты с наиболее популярными поисковиками: Яндекс и Google. А значит, надо каким-то образом следить, чтобы учащиеся осуществляли поиск через специальные поисковики Nimda.ru и Sputnik.ru. Но что самое интересное: почти у каждого ученика лежит в кармане смартфон, с которого он на скорости, превышающей скорость выхода в интернет школьной сети, может прекрасно искать и открывать любые ресурсы.
Конечно, можно думать, что в других областях ИБ регламенты разумны и их выполнение нас гарантированно защитит, но я ведь жил ещё в эпоху раннего Жванецкого и хорошо помню монолог про «Здесь, где нас нет». Хотя, с другой стороны, часы, которые стоят, дважды в сутки всё равно показывают правильное время, поэтому стараться делать всё наперекор российским государственным требованиям, тоже нельзя посоветовать.
Наиболее адекватную оценку ситуации с государственным регулированием, на мой взгляд, дал управляющий партнер Anti-Malware.ru Илья Шабанов, сказав, что изначально пошли не по тому пути: надо было не навязывать конкретные средства защиты, а требовать реальной защищённости. Это так, только мой опыт работы в ИТ говорит, что, скорее всего, эти законы и пролоббировали производители конкретных средств защиты. По крайней мере, я никогда не поверю, что создатели описанных мной средств фильтрации школьного контента смогли бы продавать свой продукт на свободном рынке.
И что же тогда остаётся? Собственно, то же, что и всегда: здравый смысл и собственная квалификация, позволяющая фильтровать рекомендации специалистов, которые мы услышали здесь во множестве.
После «пленарной» панельной дискуссии
участники распределились по двум сессиям: защиты от внешних и внутренних угроз. Третья, общая сессия, которая проходила после обеда и называлась «Борьба с корпоративным мошенничеством» была, по сути, тоже о внутренних угрозах. И эта сосредоточенность на «пятой колонне», пожалуй, тоже является характерной чертой последнего времени, буквально висит в воздухе. Хотя я бы угрозы в первую очередь поделил по другому признаку: когда данные становятся недоступны владельцу (зашифрованы, уничтожены) и когда они становятся доступны злоумышленникам (их заказчикам).
А то читаешь в СМИ как «Самарский Госфинконтроль заявил, что со служебных компьютеров организации была похищена информация о проверках ОАО «Корпорация развития Самарской области», ООО «ЕвроБиоТех», а также материалы проверки по капитальному ремонту Московского шоссе в Самаре» и не понимаешь, о чём, собственно, идёт речь: скопированы они или удалены.
На конференции приводился пример с блокированием электронных дневников, делающим их временно недоступными родителям. Конечно, это тоже имеет отношение к ИБ, но только одно дело, когда отец не сможет в онлайне увидеть двойку и ему придётся идти в школу, и совсем другое – когда накроются все учебные планы вместе со школьной бухгалтерией. Соответственно, принципиально разной должна быть и защита от этих неприятностей (хотя неприятностью можно назвать только ситуацию с дневником, вторая же - катастрофа).
А есть ещё проблема контроля привилегированных пользователей, о которой рассказал менеджер по развитию продуктов компании НТБ Сергей Шерстюк. И здесь получается, что за просто привилегированными пользователями должен следить кто-то ещё более привилегированный и уж точно не менее грамотный – наверное, из службы собственной безопасности. И всё вроде бы даже логично, только когда вспоминаешь об очередном аресте руководителя службы собственной безопасности какой-нибудь серьёзной госструктуры, понимаешь, что и это не спасёт.
Конечно, есть рекомендации общего плана: перестать использовать устаревшее ПО (Windows XP безжалостно уничтожать, чаще всего вместе с компьютером). В эпоху тотального использования гиперссылок чёрные и белые списки сайтов потеряли смысл: сайт может переходить из одной категории в другую сколь угодно часто.
Неожиданным для меня было сообщение о том, что самыми безопасными сегодня являются порносайты: их владельцы зарабатывают на рекламе и очень заботятся о своей репутации.
Об аутсорсинге: это примерно как обращение в автосервис, за безопасность автомобиля всё равно отвечает владелец. Только ещё сложнее, чем взаимоотношение автовладельца с сервисом, и уж точно полностью переложить ответственность не получится.
Директор по развитию компании «Актив» Владимир Иванов в своём докладе убедительно доказывал, что короткие пароли опасны, потому что короткие, а длинные – потому что они не запоминаются, и поэтому пользователи их записывают, а бумажки клеят на монитор. От этой беды спасают аппаратные ключи, которые, правда, тоже надо носить с собой и они тоже могут потеряться… В общем, куда ни кинь… Конечно, как и в остальных областях человеческой деятельности, панацеи в ИБ нет, однако наличие аппаратного ключа и пароля всё же надёжнее одного пароля, а если добавить к этому СМС-ки с кодом, получается ещё лучше.
Для мобильных устройств компания «Актив» предлагает аппаратные ключи, подключаемые (не получается уйти от двух однокоренных слов подряд) по Bluetooth.
На стенде я поинтересовался у докладчика, как он видит будущее идентификации пользователя, что может быть в идеале – вшитый под кожу чип, полные биометрические данные?
Разговор ушёл в сторону философии, и из него стало понятно, что никакого идеала ждать не следует. Прежде всего, потому, что любой идентификатор – естественный или искусственный, можно подделать. И особенно тяжёлые последствия наступят как раз после подделки естественного идентификатора (радужки, отпечатка), который человек не в силах поменять. И выходит, что надёжная идентификация должна включать минимум три фактора: биометрию, аппаратный ключ и знание пароля.
Если говорить о тенденциях, то можно отметить ещё две.
Схлынул интерес к защите персональных данных. Не думаю, что было найдено какое-нибудь закрывающее проблему решение, скорее, устаканились правила, и правоохранительные органы перестали столь активно пытаться ловить на нарушениях. Да и кому, по большому счёту, наши персональные данные нужны? Кому может быть интересно, сколько у меня сахара в крови и какое давление?
И последнее: на конференции не было ни одного представителя иностранных компаний. В прошлом году был Алексей Лукацкий от Cisco, в этот раз не приехал и он. Надо сказать, что сотрудники российских подразделений иностранных компаний, особенно тех, кто работает в сфере безопасности, в последние два года попали в сложное положение. Участвуя в борьбе против всего иностранного и объявляя все государства врагами России, они действовали бы против собственного работодателя, а открыто протестуя против такого подхода и доказывая его опасность, рисковали испортить отношения не только с госорганами России, но и со своими друзьями. К тому же многие с искренним восторгом в начале 2014 года восприняли обострение и до сих пор от него не отойдут. Лично я не думаю, что отсутствие конкуренции пойдёт на пользу и сделает имеющиеся на рынке системы более надёжными, но это же касается не только информационной безопасности – а значит, нам придётся какое-то время со всем этим жить.
Традиционная лотерея от компании-организатора «Экспо-Линк» и ИТ-компаний со множеством подарков, которой завершился КОД ИБ, оставила приятные воспоминания у многих участников конференции.
В отличие от остальных направлений ИТ, информационная безопасность не сводится к совершенству аппаратных и программных средств. Большое значение здесь имеет организация работы в компании, лояльность сотрудников и их готовность вставать на защиту своего предприятия, психология, политика. Найти единственно правильное решение вряд ли реально, но вот поразмышлять над ним очень полезно. Код ИБ даёт нам такую возможность.