В этом, 2018, году мероприятие состоялось 11 октября в гостинице Холидей Инн, что почти на набережной. В такой день, конечно, только вдоль Волги бы и дефилировать, думал я, гуляя утром с собакой. А ещё я размышлял о знаменитом 152 ФЗ, который о персональных данных (ПД). Поскольку за всё время его существования я ни разу не слышал одобрения от моих знакомых, среди которых много ИТ-шников (чтобы они сильно волновались, что кто-то узнает их номер телефона или группу крови), то у меня сложилось представление, что закон этот принят в интересах секретных служб, чтобы не «светить» их сотрудников. Сам я ещё на момент появления закона готов был дать «окончательную» расписку в том, что не возражаю против раскрытия всех моих данных, и, думаю, что таких было большинство.
И вот события вокруг покушения на Скрипалей показали, что закон в этом направлении не работает, как говорит молодёжь, «от слова «совсем»». И зачем тогда эти тонны бумаги, на которых стоят подписи пациентов поликлиник или клиентов различных компаний о согласии на обработку ПД, зачем все эти проблемы ИТ-службам и вообще всем организациям (фирмам, компаниям и пр.), поскольку все они (возможно, за малым исключением) являются в соответствии с этим законом операторами ПД. Но что-то мне подсказывает, что вместо того, чтобы признать поражение и снять с народа это бремя, государство будет думать о том, как этот закон ужесточить.
Следует сказать, что, судя по прошлым мероприятиям «Код ИБ» и им подобным, безопасность чётко разделялась на два направления: что от ИТ-службы требует государство и что сами ИТ-шники считают необходимым. Что-то вроде «шашечек» и «ехать», хотя шашечки таксомоторные компании рисуют сами, без требований регулятора.
Ещё одна тема, которая меня давно интересует – взаимодействие государства и сотрудников службы безопасности компании (организации). Не в плане согласования выполнений требований регулятора, а в плане совместной борьбы с киберпреступниками: безопасники фиксируют нападение и как могут от него обороняются, а силовики наступают и уничтожают источник нападения в его логове. Логично же, поскольку силовики не могут уследить за всеми фактами нападения, а безопасники не имеют полномочий на «наступательные» операции с захватом киберпреступников. Но пока я знаю только о том вреде, который наносили силовики бизнесу (кстати, поводом для этого интервью послужило одно из выступлений на «Код ИБ» прошлого года.), а вот про помощь что-то не слышал.
Но достаточно предисловий, перехожу собственно к мероприятию.
Открыла конференцию директор её организатора – компании Эксполинк, Ольга Поздняк.
После приветствия она рассказала, что теперь можно подписаться на видео и презентации по вопросам информационной безопасности, выложенные на их ресурсе, а также представила докладчиков.
Затем состоялась вводная дискуссия, на которой обсуждались тренды ИБ.
Алексей Алексеев
Алексей Шужебаев
Сергей Васильев
Игорь Пеннер
Андрей Степанов
Дмитрий Ильин
Как я и ожидал, обсуждение разделилось на две несвязанные между собой части: выполнение ФЗ 187 «О безопасности критической информационной инфраструктуры Российской Федерации» и собственно безопасность (реальная). В реальной безопасности докладчики обращали внимание на аудит процессов, разделение процессов на категории по степени критичности для обслуживаемого объекта. Рассматривалась связь безопасности с автоматизацией – нельзя автоматизировать процессы, которые недостаточно хорошо защищены. Человек ещё может «творчески» разобраться с атакой, в конце концов, остановить механизмы, которые пошли вразнос, а вот что будет делать поражённый зловредом софт, мы не знаем.
Говорили, как зачастую бывает сложно донести до руководства важность конфиденциальности. Начальник отдела мониторинга событий ИБ СЩ «ЕЭС» Андрей Степанов вспомнил, что руководители одной компании не реагировали на утечки данных до тех пор, пока не поняли, что из этих утечек подчинённые могут узнать размеры их зарплат и премий.
Рассуждали о делении безопасности на активную и пассивную (термины, на мой взгляд, не очень удачные и не вполне отражающие смысл): активная защищает объект от нападения, пассивная минимизирует ущерб от пропущенной атаки.
Рассматривалось проведение семинаров и тренингов среди сотрудников компании, в том числе некая «вакцинация», когда сотруднику отправляется условно заражённое письмо или подбрасывается флешка, и анализируются его действия. Процедура дорогая и трудоёмкая, но очень эффективная.
Что же касается государственного регулирования, здесь акценты делались совсем на других моментах. Например, директор по развитию бизнеса группы компаний ТОНК Игорь Пеннер предупреждал: не важно, кем вы сами себя считаете, главное – кем вас посчитает регулятор и, не дай бог, судья.
После перерыва Игорь Пеннер рассказывал об организации рабочих мест на аппаратных платформах ТОНК. Группа Компаний ТОНК с 2007 года занимаемся производством компьютерных платформ для организации рабочих мест в информационных системах с терминальным доступом или с использованием технологий виртуализации. То есть клиентское место устроено так, что бесправный клиент никак не сможет нанести вред компании (сети, серверам и пр.), а потому абсолютно безопасен. Как правило, такие решения эффективны для чисто офисных (без работы «в поле») сотрудников с жёстко определёнными функциями. Большинство моделей безвентиляторные, поскольку тонкие клиенты не требуют мощных процессоров. Линейка большая, есть и такие экзотические модели как не имеющая аналогов ТОНК SB300, у которой в одном корпусе находятся два компьютера. Полагаю, что это для тендеров: включил в перечень такое условие и сбросил с хвоста всех конкурентов.
Конечно, реальным импортозамещением эти решения назвать никак нельзя, поскольку в них используются процессоры Intel и AMD, но говорить о производстве компьютеров в РФ – вполне. Другое дело, что компьютеры из импортных компонентов производятся в РФ с момента появления самого государства РФ, только тогда это никто не называл импортозамещением.
Кирилл Тезиков рассказал об инструментах для специалиста ИБ от компании «Доктор Веб», особо отметив несигнатурный антивирус для превентивной защиты от новейших активных угроз под названием Katana – Kills Active Threats And New Attacks. По заявлению вендора достоинство нового вируса заключается в том, что он анализирует непосредственно происходящие в системе процессы, выявляя среди них аномальные, а потому с равным успехом отлавливает как давно известные вирусы, так и закрывает уязвимости «нулевого дня», которые не могут быть закрыты классическими сигнатурными решениями.
Доклад менеджера по работе с клиентами казанской компании Searchinform Юлии Сайфуллиной о DLP показался мне весьма спорным. Несколько лет назад я переводил много документов (так называемых white paper), касающихся внедрения BYOD – концепция использования сотрудниками собственных устройств (ноутбуков, планшетов, смартфонов) для работы. Одним из серьёзных вопросов, решаемых при внедрении BYOD, был баланс между конфиденциальностью личной информации и контролем корпорации за использованием устройства. Кроме вопросов нравственности там были и чисто экономические – если сотрудник обнаружит, что корпорация, не уведомив его, получила доступ к его личным данным, прослушивает его личные разговоры и пр., то штрафы могут быть вполне осязаемыми для корпорации. Не говоря уже о репутации, проблемах при найме новых сотрудников и взаимодействия с имеющимися. В российских же реалиях такой вопрос, похоже, не стоит вообще – речь шла только о технических решениях, позволяющих узнавать о действиях сотрудников и выявлять подозрительные или вредоносные.
Доклад пресейл-консультанта компании Ростелеком-Солар Вадима Лугового назывался «Дозор – больше, чем DLP». Методы те же самые, но задачи толкуются весьма расширительно – от информационной безопасности до антитеррора.
Утечки разделяются на неумышленные (по статистике это около 80%) и умышленные. Все неумышленные утечки трактовались докладчиком как произошедшие из-за ошибок или халатности персонала, однако, я думаю, изрядная доля их всё же происходит по причине неудобного (допускающего неверные действия) софта и организации работы. В одной сервисной компании я наблюдал следующую картину: менеджер видел в системе входную цену запчастей, а отпускную, для клиента, считал тут же на калькуляторе. Конечно, то, что клиент мог увидеть на калькуляторе входную цену и понять, сколько на нём зарабатывает компания, не страшная тайна, однако, если бы система сама считала отпускную цену, эту утечку можно было бы исключить. Большая часть умышленных утечек происходят без особых ухищрений, и это тоже вопрос к программистам и организаторам бизнес-процессов: если не требуется ухищрений для нарушения процедуры, может, что не так в процедуре? И при правильной организации не потребовалось бы специального отслеживания утечек?
Хотя, конечно, утечки отслеживать нужно, и так, чтобы всегда быть на шаг впереди потенциальных злоумышленников, а для этого система DLP должна предусматривать многочисленные способы, которые применяют нечестные сотрудники для кражи корпоративных данных.
О практике использования систем управления информацией о безопасности и событиями безопасности рассказал Дмитрий Ильин, RuSIEM. Термин SIEM, как и всё это направление, появился на том этапе, когда системы безопасности научились детектировать столько подозрительных событий, что у администратора уже не было возможностей просмотреть все сообщения (логи). Соответственно, появилась нужда отделить действительно критичные события от всякого фона. Решения SIEM, предлагаемые компанией RuSIEM, не отразят все атаки, но помогут упорядочить хаос, расследовать уже произошедшие инциденты и не допустить новых. Кроме того, эти решения служат выполнению приказа ФСТЭК России №17, который говорит об обнаружении и идентификации инцидентов и приказа №21 об определении событий безопасности и сроков их хранения. Одна из последних бед – это попытки сотрудников майнить криптовалюту на корпоративном оборудовании, тоже устраняется с помощью SIEM, а точнее – анализа активности пользователей и соотношения локального и интернет-трафика. Подобным же образом – простым сопоставлением работы двух систем, можно отследить попытку несанкционированного входа в систему: сотрудник авторизуется на своём АРМ, но СКУД не зафиксировала его проход в здание.
Компания McAfee, в 2010 году купленная корпорацией Intel, в 2014 сменившая имя на Intel Security, говорившее о том, что она стала подразделением Intel, а в 2016 году получившая большую автономию и ставшая дочерней компанией Intel под прежним именем McAfee, тоже представила SIEM. Доклад делал представитель дистрибьюторской компании MONT (23 октября она сама проводит большое мероприятие в Самаре) Иван Ожерельев.
В своей SIEM компания McAfee предлагает объединить как собственные продукты, так и продукты других вендоров для того, чтобы получить максимальный эффект. Иван отметил, что часто от момента возникновения инцидента до устранения его причин проходят недели или даже месяцы, а главная причина таких задержек – плохая информированность специалистов о происходящих событиях. И SIEM призван исправить ситуацию. Однако для этого в рамках SIEM должно быть прописано не только информирование об инцидентах, но и реагирование – со сроками и отчётами. SIEM от McAfee работает прямо из коробки, хотя, конечно, максимального эффекта можно добиться только после настройки в соответствии с нуждами своей компании.
В названии доклада менеджера по развитию бизнеса петербургской компании «Газинформсервис» Никиты Штубова присутствовали слова «размер имеет значение». Прежде всего он отметил, что если в мире в среднем внутренние утечки информации составляют 60%, то в России 86% - разница ощутимая. Никита выдвинул версию, что причиной этого является отсутствие зрелости ИТ-специалистов и сотрудников компании, но мне, работавшему на предприятиях ещё в советское время, представляется, что важнее эта наследственность. Стишок
Тащи с завода каждый гвоздь
Ты здесь хозяин, а не гость
сочинён далеко не сегодня.
Тем не менее, защищать данные нужно, нужно делать это комплексно, а утверждение, что система защищена настолько, насколько защищён её наименее защищённый элемент, всегда останется справедливым. Основные защитные механизмы, это
- Двухфакторная аутентификация (ключ плюс пароль, ключ плюс СМС с одноразовым паролем и пр.).
- Контроль вывода информации на носители (флешки, бумагу).
- Межсетевой экран.
- Мандатный и дискреционный доступ (совокупность пользователя, устройства, места подключения и пр.).
- Очистка оперативной памяти после завершения процесса.
- Контроль процессов, замкнутая среда.
- Контроль целостности данных.
- Гарантированное удаление (затирание областей на дисках).
- Защита он неправомерного удаления (БлокХост сеть 2.0).
Большинство этих методов работают на уровне ОС с максимальными привилегиями, поэтому неправильная их настройка чревата серьёзными проблемами, вплоть до синих экранов. И вот здесь как раз сказывается фактор размера предприятия: большое предприятие может позволить себе дорогую службу ИБ.
Никита сказал, что большую проблема представляет развёртывание средств безопасности, и для решения этой проблемы в компании «Газинформсервис» создали систему БлокХост-сеть, которая через своих программных агентов позволяет искать станции в сети и без обращение к Active Directory устанавливает ПО, в том числе и сторонних производителей, предоставляя администратору исчерпывающую информацию о ходе установки.
Руководитель отдела по организационной защите информации компании АЙЭСТИ Алексей Аршинов рассказал о практическом опыте реализации 187-ФЗ.
Первый шаг – создание комиссии по категорированию процессов из 5 человек.
Второй шаг – доведение до комиссии их задач и важности их работы. Согласно введённой в УК РФ летом 2017 года ст. 274.1, нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре, наказывается лишением свободы до 6 лет, а при тяжких последствиях до 10 лет, и дела по этой статье ведёт ФСБ. Так что, скорее всего, весь процесс будет проходить в закрытом режиме и шансов спастись не будет. При этом, насколько я понимаю, если служба безопасности компании выполнит все требования регулятора, а воздействие извне всё равно случится, то регулятор не будет нести никакой ответственности за плохо работающие правила, а поскольку виноват кто-то всё равно должен быть… Здесь следует вспомнить и слова Игоря Пеннера, которые я приводил в начале материала.
Третий – определение перечня процессов на основе документов компании.
Четвёртый – выделение критических процессов в соответствии с Постановлением Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации..».
Пятый – категории значимости. Негативные последствия делятся на социальные, политические, экономические, экологические и связанные с обороноспособностью страны, безопасности государства и правопорядка. Если объект не подпадает ни под одну из категорий, это необходимо доказать. Как – это ваши проблемы.
Шестой – Разработка модели угроз. Это, похоже, полностью отдано на откуп ответственным лицам компании и считается, что все возможные модели должны быть им известны. Если же злоумышленник изобретёт новую модель, значит, вам не повезло. Ждать команду сверху не надо, выполнять требования 187-ФЗ необходимо уже сейчас, так как ответственность наступает вне зависимости от подчинённости организации, так было написано на слайде. Согласитесь, звучит зловеще.
Седьмой – разработка ТЗ и ТП, внедрение СЗИ, подключение к ГосСОПКА, создание центра реагирования на инциденты ИБ.
Резкая смена темы: независимый самарский эксперт Алексей Шужебаев объяснил, как применять дисциплинарные взыскания к нарушителям информационной безопасности.
Прежде всего – сроки. Привлечь можно только в течение 6 месяцев с момента совершения нарушения и не позднее месяца с момента выявления нарушения. Следующее – разработка нормативных актов и ознакомление с ними сотрудника. Если работодатель хочет уволить сотрудника за разглашение о коммерческой тайны, то в компании должно быть положение о коммерческой тайне, которое бы этот сотрудник нарушил, а с сотрудником было заключено соглашение о неразглашении коммерческой тайны. Также важно, чтобы в компании принимались меры по защите коммерческой тайны и чтобы они были документированы. Другая сторона вопроса: компания уведомляет сотрудника о том, что может вести мониторинг рабочего оборудования, за которым сидит сотрудник.
Также надо прописать в документах, что вся информация, созданная сотрудником при работе на компанию, принадлежит компании.
Далее надо зафиксировать нарушение служебной или докладной запиской на имя руководителя службы ИБ, после чего создаётся комиссия, которая проводит расследование и опрашивает предполагаемого нарушителя. Завершается процедура приказом о вынесении дисциплинарного взыскания и ознакомлением под подпись работника с этим приказом. Уж не знаю, где служил Алексей, но он предлагал не давать сотруднику положенных ему два дня на составление объяснительной, а постараться взять её сразу по окончанию проверки. Похоже, до чего-то вроде «Правила Миранды» наше правосознание ещё не доросло. Пользуясь случаем, ещё раз напоминаю сотрудникам: у вас есть целых два дня на составление объяснительной записки, и если вы считаете, что дело принимает плохой оборот, лучше писать её вместе с адвокатом. На мой взгляд, всё сводится к элементарной честности и квалификации руководства: если действительно случилось нарушение и оно надёжно зафиксировано (не пойман – не вор), то и проблем с дальнейшим оформлением не будет, а если руководство рассчитывает на психологическое давление и на то, что под этим давлением сотрудник сделает какую-нибудь глупость – это уже не про информационную безопасность.
Начальник отдела мониторинга событий ИБ АО «СО «ЕЭС»» Андрей Степанов свой доклад об организации круглосуточного мониторинга начал с вопроса к залу «Как часто вы смотрите логи?».
А если прозвучал вопрос, были и ответы, то есть завязалась оживлённая дискуссия, которая продолжалась весь доклад, который больше был похож на тренинг. Главным я бы выделил формализацию деятельности службы, чтобы сотруднику не приходилось ничего на ходу изобретать.
Специалист по вопросам кадровой безопасности предприятия «Самарский Стройфарфор» Игорь Рожок показал разбор реальных кейсов по утечке информации с помощью детектора лжи, чаще называемым полиграф. На самом деле это не конкретный аппарат, а целый спектр решений, позволяющих регистрировать различные физиологические параметры: частоту и глубину дыхания, пульс (точнее, сердечно-сосудистую активность), давление, электрическое сопротивление кожи (пот его снижает) и другие.
Начал он с мысли о том, что кто владеет информацией, начинает владеть компаниями и самый короткий путь в совет директоров не из производства или создания новых решений (конструктор, технолог, исследователь), а из службы безопасности. Ну, этот тренд мы замечаем везде, вопрос только в том, во что после этого превращаются компании (да и целые государства) в плане инновационности и конкурентоспособности.
Конкуренция растёт, все борются за рынок, а с точки зрения службы безопасности главное поле битвы находится не в создании собственных решений, а в их защите. Наверное, Игорь по-своему прав, и работа с внутренними вредителями является тоже важной, и их надо отлавливать и обезвреживать.
В общем, мероприятие заставило о многом задуматься. Похоже, что технические вопросы обеспечения реальной безопасности в основном решены, более того – стандартизованы, и в лоб, снаружи защиту уже не пробить. И теперь акцент делается на человеческий фактор: просвещение и воспитание честных сотрудников, выявление и наказание нечестных. И здесь уже возникает следующий вопрос – а судьи кто? Да и вообще усиление «силового» крыла в ущерб «творческому» у меня вызывает большие опасения – не стало бы хуже.