Всем доброго времени суток. Сегодня нам хотелось бы обсудить информационную безопасность в регионах, и рассказать о прошедшем 19-20 июня восьмом ежегодном Форуме «Актуальные вопросы информационной безопасности», который мы традиционно с 2009 года проводим на базе Администрации Приморского края во Владивостоке.
Я не зря сказал, что здесь будет обсуждение насущных проблем ИБ, сухой пресс-релиз о мероприятии на Хабре публиковать не хочется, а кому он все-таки нужен, можно почитать здесь. Там же можно скачать и презентации докладчиков, среди которых были как представители регуляторов, так и вендоры и интеграторы.
Под катом много фото, нытья и лучик оптимизма.
Первый день
Выступления регуляторов
ФСБ
Одним из первых выступающих был представитель УФСБ России по Приморскому краю. Тема – требования ФСБ России к обращению со средствами криптографической защиты информации (далее – СКЗИ).
В целом в этом выступлении не было каких-то новых революционных перемен по сравнению с прошлыми годами. Нам напомнили о том, что обращение с СКЗИ регулируется ПКЗ-2005, 152 приказом ФАПСИ и 378-м приказом ФСБ.
Также нам напомнили, что:
- СКЗИ должны быть сертифицированы;
- класс используемого СКЗИ должен обеспечивать нейтрализацию установленных угроз (про выбор класса СКЗИ подробнее можно прочитать здесь);
- СКЗИ должны приобретаться у лицензиатов ФСБ России;
- на месте эксплуатации СКЗИ должны быть в наличии дистрибутивы, формуляры и правила пользования;
- СКЗИ должны быть учтены в соответствии с учетными номерами, присваиваемыми ФСБ России;
- пользователи СКЗИ должны быть обучены правилам работы с отметками в журнале учета пользователей СКЗИ;
- хранение СКЗИ и документации должно быть организовано с исключением возможности несанкционированного доступа;
- в процессе эксплуатации СКЗИ необходимо внимательно относиться к выполнению требований и условий, указанных в формуляре и правилах пользования.
Самым занимательным, пожалуй, здесь был слайд со статистикой проверок.
Увеличение выявления нарушений в 2018 году по сравнению с предыдущими периодами представитель ФСБ связывает с более тщательным подходом проверяющих.
Я лично ждал какой-нибудь информации, о замене ФАПСИ-152, о которой ходят слухи, но так и не дождался.
ФСТЭК России
Представитель Управления ФСТЭК России по Дальневосточному Федеральному округу Баранов Алексей Александрович рассказал об изменениях, внесенных в нормативные правовые акты, изданные в сфере защиты объектов критической информационной инфраструктуры (далее – КИИ).
Все, кто следит за темой КИИ, знают, что в последнее время идет активное изменение законодательства в этой сфере – как постановления Правительства РФ №127, так и приказов ФСТЭК. Пересказывать доклад я не буду. В презентации все достаточно наглядно и понятно.
Здесь было обозначено, что первоочередная задача субъектов КИИ это подача сведений во ФСТЭК до 1 сентября 2019 года. При этом было озвучено, что многие субъекты КИИ, уже отправившие такие сведения делают это не по утвержденной форме с избыточными, либо недостаточными сведениями.
Также выступил и представитель центрального управления ФСТЭК России Марченко Анатолий Васильевич. Он рассказал о проблеме дефицита квалифицированных кадров в информационной безопасности.
Думаю, многим будет интересен слайд со статистикой о количестве специалистов по ИБ в различных отраслях. Понятно, что это все взято из данных, которые организации подают во ФСТЭК, соответственно тут отсутствуют коммерческие организации, которые со ФСТЭКом никак не пересекаются, но все равно любопытно.
Ок, это количество – 22 тысячи человек это в общем-то немало. А что там с качеством? А с качеством все достаточно печально. Тут без комментариев, просто посмотрите слайд.
При этом и по количеству ИБэшников не закрыто большое количество вакансий в каждой отрасли не хватает порядка 2-3 тысяч специалистов.
Здесь я, как руководитель и наниматель кадров в сфере ИБ тоже хотел немного добавить о качестве нынешнего образования в этой сфере. Недавно у меня на столе была анкета насчет качества образования ИБшников, пришлось поставить низкие оценки и вот почему.
Сначала история из моей жизни. Когда я поступал в ВУЗ в 2000 году, я очень хотел поступить на новую и перспективную на тот момент специальность «Информационная безопасность», но не добрал баллов и пошел учиться на физика. Безопасники были нашей параллельной группой и 3 года обучения из пяти мы с ними ходили почти на одни и те же лекции. То есть безопасники большую часть времени изучали вместе с нами физику и математику.
По разговорам с нынешними выпускниками я понял, что с тех пор не особо что-то изменилось. Сейчас у нас в команде работает много молодых талантливых ребят и девчат. Но то, что они в основном хорошо справляются с поставленными задачами – не заслуга ВУЗов, а их собственная (способность быстро разобраться в новом материале и учиться).
В итоге, выпускники направления «Информационная безопасность» знают физику, математику (в том числе – криптографию), знают в целом информационные технологии и обучены в той или иной степени программированию.
А вот чего они не знают и не умеют:
- не знают действующее законодательство по защите информации;
- не умеют писать документы по ИБ, не знают вообще какие документы нужны;
- не знают, как построить систему защиты информации на более-менее большом предприятии;
- не знают средства защиты информации (что зарубежные, что отечественные), соответственно не умеют с ними работать, их настраивать и т. д.;
- не знают инструменты для пентеста (даже банального сканера уязвимостей), не умеют ими пользоваться;
- не умеют читать и интерпретировать отчеты о найденных уязвимостях, не знают что делать с полученными данными;
- и многое другое.
Это мой личный опыт в городе Владивосток. Может где-то ситуация много лучше. Но у нас выпускники ВУЗов по специальности «Информационная безопасность», к сожалению, сразу после получения заветного диплома не могут выполнять задачи ни по «бумажной» ни по практической информационной безопасности. И это печально.
Но чтобы не было совсем печально, держите фото нашей команды профессионалов! =)
Интеграторы
Так-то, на самом деле, интегратор выступал только один – это мы. Первым выступил наш генеральный директор – Стаценко Павел Сергеевич.
Доклад был посвящен централизованному мониторингу событий информационной безопасности. Было сказано о том, что обеспечение информационной безопасности это непрерывный процесс и отслеживание подозрительных событий в системе – неотъемлемая его часть.
К сожалению, мы часто сталкиваемся, особенно в госструктурах с подходом «получил аттестат соответствия и забыл об информационной безопасности на 5 лет». Здесь проблема в том, что аттестация информационной системы по требованиям безопасности это процесс подтверждения соответствия этой системы тем или иным требованиям. Сам аттестат соответствия безопасность не обеспечивает и никаких гарантий не дает (особенно, если после получения аттестата удалить все средства защиты, ага).
Наш центр мониторинга еще достаточно молод и мал, особенно по сравнению с гигантами этого направления, но и по нашим данным цифры достаточно говорящие.
В общем, мониторинг событий информационной безопасности это важно и не особо-то и дорого.
Выступил и я.
Я решил поднять темы, о которых часто говорят, но которые до сих пор многими игнорируются. В основном это проблемы в головах.
Первым делом вспомнили Eternal Blue. Зачем? Ему же недавно 2 года исполнилось. А потому что по нашей статистике, на объектах, на которых мы работаем все еще огромное количество подверженных этой уязвимости узлов. Уж, казалось бы – такой редкий случай, об уязвимости даже на федеральных каналах раструбили. Наверное, все побежали, обновились. Как бы не так, реальность куда печальнее. И это мы говорим об уязвимости 2 летней давности. Что дальше? Новые уязвимости тоже будем годами устранять?
Затронул и проблему пренебрежительного отношения к «бумажной» безопасности. Тут вроде все понятно, лаконичнее господина Фрая не скажу.
Вскользь упомянул еще одну проблему, набившую аскомину – сваливание вопросов ИБ на ИТшников. Тут остается только доносить до руководителей организаций, что ИБ это отдельная широкая область знаний и вообще ИТ+ИБ в одном лице это еще и конфликт интересов. Ведь ИТ нужно чтобы все работало быстро и надежно, а ИБ-решения в любом случае отъедают какое-то количество системных ресурсов.
Вспомнил публикации на Хабре про мошенничество с электронными подписями. Зачем? А тут легко провести аналогию удостоверяющих центров с центрами по аттестации. Проблема та же – клиент хочет быстрее и без волокиты, некоторые лицензиаты идут на поводу заказчика, в итоге «аттестации по фотографии» и прочие прелести. Но о некачественных услугах лицензиатов ФСТЭК мы еще поговорим.
Следующая проблема – проблема некачественной разработки компонентов информационных систем. Особенно проблема актуальна для госсектора. И виной тому отчасти система госзакупок. Вот объявляет госорган тендер на разработку какого-то портала. Выигрывает тот, кто предложил меньшую цену. Где ниже цена, там хуже качество (обычно). Техзадание к конкурсу, как правило, прописывается не слишком детально, поэтому с нерадивых исполнителей потом и не спросишь. В итоге получаем детские болезни: XSS, SQLi, дефолтные пароли и прочие «радости».
И последнее – на что хватило времени выступления это проблема аттестованных облачных ЦОД. За напоминание об этой насущной проблеме спасибо автору этого поста. Проблема относительно новая и серьезная. Связана она с тем, что иногда трудно узнать, что и как на самом деле аттестовано у провайдера, а даже если там и все нормально, то обычно нет никаких механизмов убедиться в том, что ваш виртуальный сервер действительно крутится на аттестованном кластере.
При этом я ни в коем случае не призываю не смотреть в сторону аттестованных облачных ЦОД вообще. Но обращать внимание на реакцию провайдера на просьбы показать аттестат и, возможно, саму площадку нужно. Также необходимо в договорах на облачные услуги прописывать ответственность такого провайдера.
Вендоры
Поскольку наше мероприятие для посетителей бесплатное, то, как следствие, вендоров на нем было много. К чести последних стоит сказать, что в их выступлениях было не так уж и много прямой рекламы. Практически каждый выступающий от вендоров старался рассказать аудитории что-то интересное и полезное, хотя свои продукты они тоже упоминали.
Думаю, подробно пересказывать их выступления не стоит, кто хочет ознакомиться – можно скачать презентации по ссылке в начале статьи.
Стенды
Помимо выступлений, в холле Администрации Приморского края были представлены демонстрационные стенды. В живую показывали работу сканеров уязвимостей, SIEM-систем, IDS/IPS-решений.
Второй день
Второй день форума проходил и в другом месте и в другом формате. Место – Пушкинский театр. Формат – круглые столы.
На входе посетителей встречал средневековый безопасник.
В холле так же расположились демонстрационные стенды.
Формат круглых столов интересен тем, что это формат живой дискуссии. Например, руководитель нашего центра мониторинга Алексей Исихара пожурил вендоров тем, что они не слишком оперативно обновляют сигнатуры для своих IDS/IPS-решений. На что получил ответ: «Будем стараться!».
При обсуждении темы «Аттестация объектов информатизации» завязалась дискуссия на тему некачественных услуг, оказываемых лицензиатами ФСТЭК России. Один из посетителей форума рассказал свою историю. Их тендер на оказание услуг по проектированию системы защиты информации выиграл один из лицензиатов, который даже не хотел приезжать на объект для проведения работ. После того как этого лицензиата все-таки заставили провести работы непосредственно на объекте, полученный результат оставлял желать лучшего.
Уникальность этой ситуации в том, что в данном случае заказчик услуг выявил их плохое качество до подписания акта выполненных работ. К сожалению, гораздо чаще проблемы выявляются уже после закрытия контракта. Здесь не могу не сказать еще раз о важности повышения осведомления сотрудников в сфере информационной безопасности. Даже если предполагается делать всю информационную безопасность руками сторонних организаций, должен быть кто-то, кто сможет оценить качество выполненных работ.
Представитель ФСТЭК России тоже присутствовал в зале и ответил на вопрос о мерах воздействия регулятора на таких недобросовестных лицензиатов. Алексей Баранов сказал, что такие нарушения должны пресекаться в рамках проведения ФСТЭК России контроля лицензионной деятельности. В случае выявления нарушений регулятором или при поступлении жалоб на лицензиата будет выдано предписание об устранении нарушений. В случае многократных нарушений или жалоб, лицензиату могут аннулировать лицензию.
Итог
Я обещал лучик оптимизма в этой статье. И вот он.
Мы проводим форум с 2009 года. И хоть из года в год мы обсуждаем в основном проблемы ИБ и их возможные решения, положительная динамика есть. И она заключается в том, что сегодня мы уже обсуждаем совершенно другие проблемы совершенно другого уровня. А сами проблемы будут всегда. Вряд ли когда-нибудь состоится мероприятие по информационной безопасности, где докладчики будут рассказывать, что за прошедший год не было выявлено ни одной новой уязвимости, никого не взломали и ничьи персональные данные не утекли.
А что касается уровня проблем, то смотрите сами.
В 2009-м году мы говорили о том, что в организации хоть на кого-нибудь нужно возложить обязанности по обеспечению ИБ. В 2019-м мы уже говорим о том, сколько нам полноценных безопасников не хватает в организациях.
В 2009-м году мы говорили о том, что нужно внедрять хоть какие-нибудь средства защиты информации и защищать персональные данные. В 2019-м мы говорим о том, что с этих средств защиты нужно собирать логи, строить корреляции и отслеживать события информационной безопасности.
В 2009-м году мы доводим информацию о том, какие информационные системы должны быть аттестованы. В 2019-м о том, что на выдаче аттестата соответствия информационная безопасность не заканчивается.
Поэтому, несмотря на весь мой пессимизм и указанные проблемы, медленно, но верно что-то да меняется. Главное, чтобы было кому этот локомотив под названием «ИБ» толкать.
P. S.
Наш форум только закончился, а мы уже думаем, как нам сделать лучше наше следующее мероприятие.
Напишите, какие у вас были положительные или отрицательные впечатления от мероприятий по ИБ. Какие мероприятия проводятся у вас в регионе? Какой формат вам больше подходит? Какие темы вы считаете слишком заезженными, а какие обделенные вниманием?
P. P. S.
Фотограф: Елена Березова