Зачем ИБ-работодателям студенты?

Специалист «старой школы», отставной военный или ФСБшник, может являться прекрасным психологом, который задействует в работе большое количество методов, позволяющих всегда находиться в курсе того, что происходит в коллективе. Но развитие IT в «корпоративном мире», происходящее сейчас бурными темпами последние десятилетия привело к тому, что навыков, полученных на службе отечеству, зачастую недостаточно для полноценного проведения служебных расследований. При этом далеко не все специалисты по информационной безопасности «старой школы» имеют желание и возможности для изучения новых методов работы.

Что касается выпускников ИБ-специальностей, далеко не все вузы в наше время могут предоставить специалистов, которые способны без предварительной подготовки заняться предотвращением и расследованием ИБ-инцидентов. По сути дела, программа таких специальностей в 95% случаев – это чудовищный гибрид любой инженерной специальности со странными спецкурсами, авторы которых в глаза не видели службу информационной безопасности более-менее серьезной компании.

Приведем один пример. Типичный план обучения в вузе по специальностям, которые связаны с информационной безопасностью, включает такие курсы, как безопасность сетей; теоретические основы компьютерной безопасности; безопасность баз данных; правовое обеспечение информационной безопасности; основы информационной безопасности; комплексное обеспечение информационной безопасности автоматизированных систем; технические средства и методы защиты информации; криптографические методы защиты информации; организационное обеспечение информационной безопасности; программно-аппаратные средства обеспечения информационной безопасности. На словах это кажется очень впечатляющим, однако на деле все не так хорошо. На все перечисленные выше дисциплины на самом деле отводится только от 900 до 1500 часов, тогда как на занятия, которые не относятся именно к профессиональной деятельности, в общей сложности выделяется аж 2200 часов. И речь идет сейчас лишь о теории, на практику в итоге времени вообще не остается. Впрочем, последнее применимо не только к ИБ, так что не будем о грустном.

Специфика образования, получаемого в вузах, заключается в предоставлении комплексных знаний, которые сильно расширяют кругозор студентов. И это очень хорошо, однако, благодаря большому количеству гуманитарных дисциплин и предметов, которые не имеют непосредственного отношения к тематике информационной безопасности, в учебной программе сегодня почти не остается времени на практику и обучение прикладной работе с конкретными решениями, а также знакомство с законодательством. А именно применение этих решений в рамках существующего правового поля и является задачей Information Security Officer.

И если для будущих программистов есть десятки и сотни учебных курсов, где они могут выучить языки, технологии и фреймворки; если для них есть учебники и примеры кода, то всего этого в сфере ИБ в таком количестве нет. Да и попробуйте попрактиковаться дома с какой-нибудь IPC-системой, которая должна работать на предприятии с 500 рабочими станциями!

Поэтому очень часто в реальной жизни зарождающуюся службу ИБ в быстро растущей компании возглавляет какой-нибудь не хватающий звезд с неба сисадмин, которому за его рабочие прегрешения спускают указание разбираться во всех этих системах. Но он в силу админских привычек не видит часто за деревьями леса, т.е. не в состоянии качественно проанализировать данные, которые льются на него из всех систем, разработать все необходимые политики и проследить за их реализацией в реальной жизни.

Именно поэтому взращивание кадров, которые будут уникальным образом сочетать в себе качества очень разных специалистов, и возьмут на себя заботу об информационной безопасности, является важной задачей для многих компаний. И нет ничего удивительного в том, что брать к себе людей, склонных к такой работе, они готовы, невзирая на опыт и прочие мелкие трудности.

Всех погубит любовь к бесплатному...

"Бесплатно" и "качественно" не всегда антонимы. Но вот "бесплатно" и "безопасно" - пожалуй, уже да. На днях наткнулся на интересную заметку о том, как ненавязчиво воспользовались предприимчивые люди всенародной любовью к "варезам", получив совершенно бесплатно доступ к астрономическому количеству интернет-магазинов.
В чем суть? Ребята сделали портальчик, посвященный OpenCart'у (это такая популярная CMS для интернет-магазинов), через который распространяли свою "сборку" с дополнительными модулями (и, конечно же, бэкдорами). Все его радостно скачивали и ставили, пока однажды не забыли заплатить за хостинг, и на всех зараженных сайтах вылезли баннеры хостера. Проблему решают кто как может, но что-то мне подсказывает, что меньше сайтов с эксплойтами не станет. Как, впрочем, и любителей всего "побесплатнее".
Что ж, давайте теперь обратимся к более близким и понятным ИБ-специалисту вещам, чем электронная коммерция. Даже без специфического движка сайта, на компьютерах практически любого пользователя в организации можно найти целую кучу разных "сборок". Грешат этим не только домашние пользователи, но и системные администраторы. Ради интереса, спросите как-нибудь кого-нибудь из них, какую они предпочитают сборку Total Commander'а.
Естественно, каждая из таких сборок - это потенциальная (а на самом деле, даже не потенциальная, а вполне себе реальная) угроза информационной безопасности организации, связанная с имеющимися в таких сборках эксплойтами и бэкдорами, сознательно внедряемыми в них "разработчиками".
Лечение это проблемы на удивление простое. Это использование лицензионного программного обеспечения (желательно сертифицированного, конечно же), ну и сотрудничество с надежными поставщиками в лице реселлеров и интеграторов. Да, дороже чем скачать варез. Но сэкономив сто долларов на лицензии, можно потерять миллионы на атаке злоумышленников.

Спасение утопающих...

Текст ниже будет про Казахстан, но на 90% он подходит ко всем  остальным бывшим союзным республикам, кроме, разве что, Прибалтики. По сути дела, сегодня везде на просторах шестой части суши

Анализируя открытые источники, может сложиться впечатления, что утечек в Казахстане нет. Действительно, за последнее время можно вспомнить разве что неоднозначную утечку информации об абонентау Kcell (http://www.bestnews.kz/goryachie-novosti/item/utechki-dannyh-ab-abonentah-ne-bylo-kcell.html), дело против главного редактора «Алма-Ата инфо»  (http://www.fergananews.com/news.php?id=12659&mode=snews), а также процесс против сотрудников КНБ и системы образования за утечку данных во время ЕНТ (http://tengrinews.kz/kazakhstan_news/kazahstane-osujdenyi-sotrudniki-knb-minobrazovaniya-utechku-dannyih-ent-211077/).

В то же время ещё в 2007 году представитель председателя Комитета национальной безопасности (КНБ) Кенжебулат Бекназаров сообщал (http://knb.kz/m/ru/news.htm?id=10322782@egNews), что за нарушения режима секретности в Казахстане в 2007 году были привлечены 125 должностных лиц.

В чём же дело? Ответ прост: государственная тайна на законодательном уровне в Казахстане хоть как-то защищена.

Сохранение работником конфиденциальной информации - одна из его трудовых обязанностей, за нарушение которой предусмотрена возможность увольнения.

Согласно подпункту 12) пункта 1 статьи 54 Трудового кодекса  разглашение работником сведений, составляющих государственные секреты и иную охраняемую законом тайну, ставших ему известными в связи с выполнением трудовых обязанностей - это основание для расторжения трудового договора работодателем в одностороннем порядке.

К иной охраняемой законом тайне относится коммерческая тайна работодателя.

Закон предусматривает различные виды ответственности за нарушение охраняемой законом коммерческой тайны: имущественную (гражданско-правовую), уголовную, административную, дисциплинарную.

Подробно об этом написано здесь: http://www.defacto.kz/content/otvetstvennost-za-narushenie-kommercheskoi-tainy

Я позволю себе привести основную мысль текста по последней ссылке:

"При предъявлении иска к недобросовестному пользователю информацией, составляющей коммерческую тайну, речь пойдет об убытках в форме упущенной выгоды... Обосновать и доказать размер упущенной выгоды всегда нелегко, а в данном случае будет особенно трудно. Суд крайне критически отнесется к предположениям предпринимателя о том, сколько он мог бы заработать, если бы его информация осталась тайной, даже основанным на строгих экономических расчетах...

Та же ситуация с чиновниками различных государственных органов и ведомств, которые по смыслу закона разглашать и использовать полученную нераскрытую информацию не должны, однако реальных рычагов помешать сделать им это не существует. Доказать сам факт разглашения, а тем более причиненный ущерб в этом случае - еще труднее. Ну, а истребовать из бюджета достойное возмещение вообще практически невозможно".

Думаю, что каждый бизнесмен подпишется под этими словами независимо от страны, где он работает - Россия ли это, Украина или Белоруссия. Так или иначе, получается, что спасение утопающих - дело рук самих утопающих. Впрочем, мы это и сами знали.

Мешает ли возраст в ИБ?

Недавно довелось побывать на одной довольно любопытной ИТ-конференции, где обсуждали, среди всего прочего, такую проблему: что делать "айтишнику", достигшему определенного возрастного порога? Работодатели, особенно если это аутсорсинговые ИТ-компании, коих особенно много в Белоруссии и Украине, относятся к такому работнику, как минимум, подозрительно. Автор выступления рассказывал о примерах 40-летних коллег, которые даже не были приглашены на собеседования, чтобы "не портить показатель среднего возраста персонала".
Вывод в конце доклада был довольно неутешительным: после 40 программист должен либо становиться менеджером, либо зарабатывать фрилансом, либо держаться изо всех-всех сил за то единственное чудом доставшееся ему место работы, с которого его, беднягу, еще не прогнали. Поэтому, товарищи программисты, давайте зарабатывать побольше сегодня, потому что завтра, увы и ах, совсем не безоблачное.
И, конечно, я не мог не провести параллели со сферой ИБ. Здесь даже в самом страшном сне не приснится, что хорошего безопасника кто-либо мог не взять на работу из-за "показателя среднего возраста персонала" (кстати говоря, мне лично почему-то кажется, что слишком маленькие цифры в таком показателе тоже не скажут о компании ровным счетом ничего хорошего). Наоборот, как мне кажется, в ИБ есть некоторое недоверие к слишком молодым людям, которые еще не имеют необходимого опыта, как пациенты не доверяют обычно слишком молодым врачам. И в этом есть определенный резон, потому что работа в сфере ИБ - это не столько технологии, которые приходят и уходят, сколько знание психологии злоумышленника и понимание организационных основ безопасности.
А что вы думаете по этому поводу? Видите ли себя в ИБ в 40, 50, 60 и больше лет?

Безопасность и импортозамещение: что у нас испортозаместили в "железе"?

В последнее время много говорят об импортозамещении в сфере ИТ и ИБ в контексте национальной безопасности. В сфере софта у нас с этим все более-менее в порядке (и наш "Контур информационной безопасности" тому живой пример), но все же это, говоря терминами марксизма-ленинизма, скорее надстройка. Базис же - "железо". С ним все не так  просто. Поэтому я и решил немного поискать в интернете, как у России обстоят дела с импортозамещением в сфере hardware. Обзор не претендует ни на какую полноту, а потому буду рад комментариям с дополнениями и уточнениями.
Устройства для военных
«Железо» в России умеют делать, но часто оно создается с акцентом на нужды военной отрасли. Данный вывод можно сделать из статьи «Медузы», в которой идет речь о продуктах ЗАО МЦСТ, эта компания является правопреемником «Московского центра SPARC-технологий (МЦСТ)».
Сайт утверждает, что очень высокие цены (порядка $4000 за стационарный персональный компьютер), равно как и странные параметры (к примеру, ноутбук, который позволяет погружаться с ним в воду на глубину до метра, а также ронять его с высоты в 75 см) объясняются тем, что эти устройства ориентированы на военно-промышленный сегмент.
Особенность ноутбука именно в том, что он может работать в сложных условиях, тогда как особенностью компьютера является его архитектура, а также – способ и момент распараллеливания задач, подробнее об этом написано на интернет-сайте МЦСТ.
Кроме того, в России выпускают и флэшки «УЭНИ», емкостью в 4 Гб. Такие флэш-накопители выпускаются  холдингом «Ленполиграфмаш».
Процессор для «гражданских пользователей»
Для «обычных пользователей» в 2015 году был официально представлен первый микропроцессор в России, модель «Baikal-T1», запланированная как альтернатива AMD и Intel для государственных структур. Частота процессора составляет 1,2 ГГц, а контроллер памяти – DDR3-1600, также сообщается о поддержке USB 2.0.
Разработка является российской, однако делаются данные процессоры в Тайване. Там же, кстати, создаются и американские Apple.  Разработчиком процессора выступает компания «Байкал электроникс», которая является дочерней фирмой российской компании «Т-Платформы», создателя суперкомпьютеров.
MultiClet R1, еще один процессор с «российскими корнями» был запущен в продажу в мае этого года. Разработчики рекомендуют данный чип как устройство, примерно в 4-5 раз менее энергоёмкое, нежели обычные процессоры, при этом данный чип еще и более быстрый, благодаря его MIMD-архитектуре.
Как предполагается, процессор отлично подойдет для космической и промышленной сфер, а также для радиотехнической отрасли, и для суперкомпьютеров (к примеру, таких как компьютеры, выпускаемые компанией «Т-Платформы»). Производители отдельно подчёркивают специализированную направленность своих процессоров.
Смартфон для чтения книг
Этот коммуникатор появился на свет в 2013 году. Он получил название YotaPhonе, его третья модель, по заверениям разработчиков, должна поступить на прилавки магазинов примерно через год-полтора. Предыдущие версии устройства обладали двумя экранами – один обычный, второй же, внешний дисплей, сделан в соответствии с технологией электронных чернил. Создатели рекомендуют свой гаджет как единственное устройство в мире такого типа.
Российские пользователи же утверждают, что данное устройство не похоже ни на один другой телефон. При этом работает он отлично: ничего не “тормозит”, батарея держит энергию достаточно долго. А среди негативных сторон называются большие габариты гаджета и его довольно высокая стоимость.
Планшет “защищенной категории”
Есть еще одна интересная разработка, ориентированная на тех, кому требуется повышенная степень безопасности – речь идет о защищённом планшетном ПК KW10Т. Серийное производство данного устройства собирается начать российская фирма Kraftway.
Планшет обладает материнской платой российской разработки, также он укомплектован антивирусной защитой, которая встроена в BIOS, и оснащается российской операционной системой на основе Linux. При желании вы также можете установить на планшет стандартную Windows или Adnroid. Будущая цена планшетного ПК не названа, однако отмечается, что он ориентирован как на корпоративные, так и на государственные системы информации.
Мини-декстопы российского производства
Мини-ПК от фирмы «Сетевые технологии» компания представляет в качестве альтернативы обыкновенным компьютерам: устройство можно легко подсоединить к монитору в качестве альтернативы системному блоку. Правда, «мини-десктопы» ориентированы не на игры, а на совсем другие задачи, которые требуют меньше мощности. Цикл производства уже запущен на территории Российской Федерации, однако стоит учесть, что процессоры применяются иностранные – это чипы Intel. Это касается и другой «начинки» - она также иностранного производства.
Стоимость одного образца, не из партии, не оснащенного модулем связи Wi-Fi, без оперативной памяти и SSD-диска, составляет от 190 до 520 долларов США. Самая дорогая версия укомплектована процессором Intel Core i7-5500U, определяющим стоимость примерно на 70%.

Два подхода к безопасности на примерах зарубежных ИТ-компаний

Сегодня я хотел бы поделиться с вами  размышлениями о том, насколько разными могут быть подходы к обеспечению безопасности в успешных в своих отраслях компаниях, которые работают в сфере ИТ. Разница в подходах, которую мы с вами рассмотрим ниже, обусловлена многими факторами. Это и страны, в которых работают компании, и индустрии (одна - высококонкуретная игровая, вторая - естественная монополия социальной сети). Впрочем, давайте сначала о сути вопроса.
Директор по информационной безопасности Facebook Тим Кампос (Tim Campos) рассказал о необычном подходе Марка Цукерберга к системе информационной безопасности и переписке внутри компании. По его словам, узнав однажды об «утечке» секретных сведений, глава соцсети не стал собирать совещание и выяснять, кто мог стоять за «сливом», а просто разослал всем сотрудникам электронное письмо с темой «Ты уволишься?».
В тексте сообщения Цукерберг просил, чтобы источник «утечки» немедленно уволился по собственному желанию, так как его всё равно вычислят. Далее глава компании объяснял: в основе принципов работы Facebook лежат открытость и прозрачность. Тот, кто «слил» секретную информацию СМИ, пренебрёг этой открытостью, использовав её в своих целях, писал генеральный директор.
Теперь второе:
На счету японской игровой компании Konami — десятки невероятно популярных игр для разных консолей, том числе серии Metal Gear, Castlevania, хорроры Silent Hill, классическая аркада Contra и многое другое.
В Konami есть свой аналог секретной полиции, сотрудники которой следят за коллегами всеми возможными способами, включая чтение корпоративной переписки и изучение записей с камер наблюдения. Более того, эта «секретная полиция», по неофициальным сведениям, зачастую связывается с новыми работодателями бывших сотрудников Konami и рассказывает о том, как плохо те работали.
Каждый понедельник в Konami проходит совещание руководства компании, которое транслируют на внутреннем сайте. Все сотрудники обязаны смотреть эти совещания, за этим строго следят, а имена нарушителей объявляют по громкой связи.
Как видите, подход не просто разный. Он диаметрально противоположный. У социальной сети - свобода и вседозволенность, у игровой компании - "закручивание гаек". Кстати, заметьте, что Facebook при этом страдает от утечек информации, а Konami - нет. Кто бы сомневался, хе-хе.
Но главное не это. Я уже упоминал в начале поста, что компании работают на очень, очень отличающихся друг от друга  рынках, и именно поэтому стратегии выживания и развития у них предельно различны. В Facebook работает гигантская воронка любых новых идей, которые способны дать импульс и без того самой огромной в мире соцсети. Нет никакой нужды бояться утечек: что бы ни сделали конкуренты, об этом узнает меньше людей, чем когда это следом за ними повторит Facebook. Все иначе в игровой индустрии, где каждый борется зубами и локтями за место под Солнцем. Каждая мелочь, которой нет у конкурентов, - преимущество для игровой компании. И поэтому чем больше секретность при разработке, тем больше прибыли после релиза игры.
Мораль проста: если ваша компания - монополист на рынке (пусть даже не на глобальном), вы можете попробовать действовать по методу Facebook в надежде, что у вас все получится. Если нет - увы, другого способа выжить, кроме как навести порядок в сфере информационной безопасности, у вас нет.

Топ-5 самых громких утечек данных в Украине весны-лета 2015

Компания SearchInform в лице своего аналитического центра подготовила рейтинг самых громких ИБ-инцидентов последних месяцев. Представляем его вашему вниманию.

1.     Самым, без сомнения, громким инцидентом, связанным с утечками информации, стала не сама утечка, а планы Верховной рады запретить бойцам ВСУ пользоваться мобильными телефонами во избежание таких инцидентов. Речь, конечно, о зоне АТО, где таких утечек и без того немало. Согласно законопроекту №2531, "в районах проведения АТО, а также в условиях чрезвычайного положения или во время действия особого периода на территориях, где ведутся боевые действия, военным запрещается пользоваться личными средствами мобильной связи". Пока сложно сказать, насколько действенным будет это нововведение, но сам факт внимания правительства к утечкам данных не может не радовать.

2.     Весной этого года также стало известно про утечку конфиденциальной информации веб-трафик компании British Telecom. В этот период ее трафик был случайно перенаправлен через Украину. Принимала его украинская компания «Beгa». Как и в 2/3 остальных случаев утечек данных, в качестве причины был назван человеческий фактор. Среди пострадавших оказались несколько крупных корпораций, в том числе те, что производят ядерное оружие. В частности, Atomic Weapons Establishment и Lockheed Martin. Заказчиком  последней  является Министерство обороны США. 

3.     В конце весны/начале лета отличились и представители нашумевшей группировки «Киберберкут». Взломщики утверждают, что добыли секретные документы из электронной почты руководителя группы украинских  экспертов в совместном центре прекращения огня генерала - майора Тарана. Также злоумышленники сообщили, что в похищенных ими документах говорится о возможности создания в Донецке радиостанции, с помощью которой рассчитывается увеличить лояльность молодежи к политике США. Впрочем, другие сообщения «Киберберкута» говорят о том, что вряд ли стоит безоговорочно доверять информации, поступающей от этой группировки.

4.     Также от действий хакеров  пострадал популярный украинский оператор мобильной связи «Киевстар». Компания разослала узкому кругу партнеров  новые тарифные планы, рассчитывалось,  что они вступят в силу с  28 мая. Но мир не без «добрых» людей. Вскоре тарифы в виде картинок оказались во всеобщем доступе в Интернете. Компания после этого в срочном порядке обновила свою тарифную линейку.

5.     Сотрудники Министерства внутренних дел Украины проводят проверку по факту разглашения персональных данных бойцов батальона "Торнадо". Об этом 23 апреля  рассказал начальник главного управления МВД в Луганской области генерал-лейтенант милиции Анатолий Науменко. "По этому  вопросу мы знаем не все, но много. Проверка еще не совсем завершена", – сказал он. - "Мы  проверили наш компьютер и  выяснили, что с него утечка информации произойти не могла».

Подводя итоги, можно напомнить, что если утечки данных случаются, то это кому-нибудь нужно. Поэтому нужно относиться внимательно к своим данным и использовать DLP-системы для защиты от возможных утечек.