Прошло почти два месяца со дня, когда «реализовались практически все риски информационной безопасности» (ИБ), так стали говорить сейчас на конференциях, в мессенджерах и при личных встречах.
Честно говоря, поначалу, слушая от коллег стоны ответы про занятость и как приходится буквально грудью перекрывать трафик, отражая кибератаки, одновременно отчитываясь в вышестоящие организации и вчитываясь в их указания, хотелось сказать:
Ребята, вы чего? Да девяносто процентов из этого должно было быть сделано с самого начала, как само собой разумеющаяся часть даже не безопасности, а эффективной и надёжной инфраструктуры! А в кризис блокируются конкретные диапазоны адресов, включаются геофильтры, проводятся другие действия, в т.ч. по бюллетеням НКЦКИ, в том числе прикрываются те сервисы, которые были для удобства, но без которых пока можно обойтись.
Но – стоп! Так ли это? Не устарел ли мой взгляд за те несколько лет, что занимаюсь анализом и консалтингом, не отвечая за эксплуатацию конкретных объектов? Мало ли что там показывают мировой и российский опыт, best/good practices.
Да и единственный ли это риск, который сбылся – риск массовых кибератак от нарушителей ИБ всех уровней? И почему, при реализации компьютерных атак и санкций в ИТ-сфере 2022 года мы не увидели массового применения возможностей по отключению и блокировке ПО, «зашитых» на уровне вендоров? (Специально применил иностранное слово.) Конечно, отключение обновлений не отечественного ПО в кризис - мера нужная, но больше формальная, скорее для массовых приложений, чем для системного и прикладного софта, предназначенного для использования в промышленности, управлении, обучении.
Обратился к друзьям, которые работают ИТ или ИБ-директорами. Знаете, нашлись те, у которых с готовностью к кибератакам так и оказалось – «только списки загрузить», а кто-то посетовал, что руки не доходили всем лишний функционал закрыть («честно говоря, ссориться не хотели»), кто-то, придя на новое место, «не успел, но отразил».
И вот тут я вспомнил список, содержащий перечень систем и приложений (по сферам применения), заблокировав которые, можно было бы добиться значительного негативного эффекта как для страны, так и для каждого отдельного гражданина, который я набросал в первых числах марта. Причём многие из таких систем не могут быть отнесены к объектам КИИ по формальным признакам. Статью я тогда писать не стал, список показывать тоже, чтобы не получить негативный эффект лично для себя. Позже мы ряд подобных мер увидели, например, блокировку иностранных платёжных систем (Google/Apple Pay и т.п.), трансграничных платежей по банковским картам и т.п. Кстати, представляете, что было бы без НСПК, созданной и запущенной в 2014?
Вторая часть списка представляла собой риски ИБ, которые, по моему мнению, также стали реализовываться с февраля-марта этого года. Некоторые из них прямо связаны с возможностью отражения кибератак здесь и сейчас, некоторые – со среднесрочной перспективой в 3-12 месяцев, а также есть стратегические – с полной заменой софта на значимых объектах КИИ на российский (горизонт планирования от трёх лет).
А что на эту тему говорит экспертное сообщество?
Восьмого апреля – мы, Ассоциация по защите деловой информации (BISA), провели сессию с экспертами по защите информации. Кстати, надеюсь, что многие из них (и из вас, читатели!) скоро станут спикерами и авторами статей, видеоинтервью для BISA, а мы с удовольствием предоставим площадки для выступлений.
Немного позже, 12 апреля, эксперты отрасли защиты информации собрались на ежегодный CISO-Forum, где также немало времени обсуждали риски ИБ (киберриски) и свою готовность (реже – неготовность) к ним, о том, как решали навалившиеся проблемы.
Сведу всё, что писал сам, а потом сопоставил с тем, что услышал и как продолжение частных бесед, и как тезисы на мероприятиях за эти два неполных месяца.
- Реализован риск массовых кибератак от нарушителей всех уровней.
Комментарии (цитаты):
- «Массовые кибератаки от нарушителей всех уровней.
- Шухер и требования регуляторов.
- Надо было сделать давно, когда первые факты утечек информации и НДВ появились.
- А реальные примеры использования уязвимостей программного обеспечения на уровне вендоров и госов появились?
- Закрыть уязвимые сервисы, убрать дефолтные пароли!»
То есть, мы видим как текущие риски, так и перспективу реализации документированных (например, «окирпичивание» оборудования Apple) и недокументированных возможностей со стороны зарубежных разработчиков и производителей ПО, оборудования, СЗИ под давлением правительств их стран.
- Уход зарубежных вендоров ПО, оборудования, СЗИ. В плане безопасности, в том числе в связке с риском №1, – их СЗИ или сразу прекратили работу, или фактически прекратят в течении трёх месяцев, отключено обновление сигнатур.
Комментарии (цитаты):
- «Вендоров отключили или не продлили лицензии, решения в тыкву и деньги исчезли.
- А откуда брать сигнатуры, индикаторы компрометации?
- Ушла иностранная экспертиза. Но люди то остались? Нет, в России есть сетевая экспертиза! (Название уважаемой компании).
- Получили отказ в обучении на зарубежных ресурсах, например, в SANS.
- Приостановили сертификаты ФСТЭК иностранных СЗИ».
Мы видим, как реализацию рисков здесь и сейчас (отказали СЗИ, хорошо если есть второй эшелон из российских или иностранных, но не «санкционных»), так и перспективу, связанную с поддержанием квалификации персонала, созданием и поддержанием в актуальном состоянии собственных баз сигнатур, заменой иностранных СЗИ и оценкой соответствия внедренных на их место средств и систем.
Впрочем, прозвучала фраза, что «для коммерческой организации странно ставить риск ухода иностранных вендоров». Действительно, из тех, кто говорил о готовности к санкционным рискам (рискам срочного импортозамещения) или о том, что он предупреждал руководство, были, в основном, безопасники государственных структур и корпораций, некоторые из которых давно под санкциями.
Отмечу, что пока не встречалось фактов, когда кибератаки привели к серьезным последствиям: остановкам производств, затруднению или прекращению управления страной или отраслями, объектами, к массовым утечкам данных или денег со счетов. Основные примеры - замедление работы ряда сайтов органов государственного управления и СМИ.
- Риск невозможности оперативной замены средств и систем защиты информации, техподдержка которых прекращена, действие сертификатов приостановлено, или которые просто перестали работать (или такой риск высок).
Кто-то попытался срочно купить новые, но из продажи в тот момент, например, исчезли серверы или их цена в разы подскочила, а кто-то оперативно заключил договор с SOC. Но такая оперативность в первом квартале говорит еще о том, что бюджеты у них были сформированы в прошлом году, не факт, что для подобных ситуаций, но они были.
- Риск отсутствия необходимого функционала в СЗИ, которые запланировано внедрять взамен импортных.
- Риск отсутствия совместимости внедряемых СЗИ с другими СЗИ и основным прикладным ПО.
Комментарии (цитаты) по этим рискам:
- «Предстоит собрать из отечественного Лего.
- Необходима доработка функционала
- Совместимость отечественного с отечественным и импортным.
- Отечественные не тянут нагрузку.
- Нет СЗИ для мобильных. (Странно, были российские MDM – прекратили их производство?).
- Нет экосистем».
Считаю, что ключевой момент здесь – отсутствие экосистем, сюда укладывается совместимость, функционал, нагрузка, то есть ситуация, когда подсистема защиты информации – это не просто набор автономно функционирующих СЗИ, а часть автоматизированной системы, для обеспечения безопасности которой она была создана.
Можно сказать, что риски 3-5 – «риски срочного импортозамещения».
Открытым текстом от коллег по отрасли не раз слышал
Мы наконец то продали страх. Мы показали свою полезность.
А надолго ли? И все ли риски этого уровня идентифицированы? Сформулированы меры по их обработке? Не все, конечно.
Коллеги, и не будем забывать, что все названные здесь риски защиты информации масштабируются выше – как на возможность эффективного и гарантированного функционирования автоматизированных систем (сетей) в новых условиях и на новых программных и аппаратных платформах, так и на саму возможность их создания и запуска в эксплуатацию в необходимые сроки. Также никто почему-то не называет и не обсуждает риск общения с различными контролирующими органами по поводу попыток получить бюджеты с целью повторных закупок того, что было уже закуплено, внедрено и сроки эксплуатации еще не истекли. Особенно горько заплачут те, кто работает по 44-ФЗ, если, конечно, не выйдут новые меры поддержки.
Кстати, о чём говорили эксперты на закрытой сессии BISA? Каким мероприятиям для минимизации рисков в текущей ситуации они поставили приоритеты? Об этом в следующей статье на этой неделе.