ИНФОФОРУМ 2018
Достоинство площадки Инфофорума – сбор в одном месте представителей всех ведомств России, от которых зависит формирование и функционирование критической ИТ-инфраструктуры страны. Это позволяет в течение дня увидеть практически полную картину состояния ИБ в этой инфраструктуре, а за два дня – сделать выводы о том, что думает об этом состоянии профессиональное сообщество.
Кастомизация ab initio
Многие знания, приобретённые на форуме, порождают и многие печали. Лишь один высокопоставленный чиновник – заместитель начальника Центра ФСБ Н.Н.Мурашов, выйдя на трибуну, без обиняков заявил, что пришло время переходить от управления рисками в сфере ИБ к использованию безусловно безопасной ИТ-инфраструктуры. Похоже, что лицо этого человека организаторы форума оказались не готовы показать широкой публике (именно его фото не было представлено журналистам в завершающем пресс-пакете мероприятия), но его идеи заслуживают пересказа.
Путь к формированию безусловно безопасной информационной инфраструктуры – создание заказных (полностью кастомизированных) ИТ-систем, а не перелицовка коробочных решений под нужды конкретного заказчика.
Кастомизация ab initio (лат., с самого начала) позволит избежать появления в теле приложений избыточного кода, который часто и является причиной некорректной работы и лазейкой для сторонних проникновений, избежать существования в системе неиспользуемых интерфейсов – потенциальных «дыр» для партизанских атак хакеров и плановых боевых атак наших партнёров. Коренного пересмотра требует и практика аутсорсинга в сфере ИТ – сегодня он превратился в эффективный инструмент для деловых злоупотреблений и источник проблем для ИБ.
Конечно, принцип кастомизации ab initio не должен доводиться до маразма. И подобно тому, как при создании стратегической ракеты возможно частичное использование стандартных материалов (после их соответствующего анализа и испытаний), так и наличие документированного фонда программных компонентов и базового доверенного «железа» позволит снизить стоимость кастомизированных и безусловно безопасных ИТ-систем.
Просвещение внедрять с умеренностью, по возможности избегая кровопролития
Подавляющее же большинство докладчиков пленарного заседания исходили из того, что ИБ – это надёжный щит на вратах критической ИТ-инфраструктуры. И этот реактивный подход нельзя ставить им в упрёк. Принцип единоначалия никто не отменял, и если даже банк-евангелист цифровой экономики содержит на своём балансе и увлечённо развивает «направление рисков кибербезопасности», то что делать ведомым структурам? Только ждать, когда мегарегулятор отдаст приказ «всем вдруг» повернуть на курс безусловной безопасности. Но пока такой команды не было.
Справедливости ради следует отметить, что в рамках парадигмы ИБ-щита «на воротах» ИТ-инфраструктуры доклады Минобороны, ДИТ Москвы, Банка России были профессиональны, интересны и каждый из них содержал свою изюминку.
ГУ развития информационных и телекоммуникационных технологий МО РФ уверенно доложило о готовности к появлению квантовых компьютеров и ответу на эту угрозу квантовой же криптографией.
ДИТ Москвы рассказал о практике внедрения и зашиты элементов «Интернета вещей» в ИТ-инфраструктуре Smart City Москва.
В докладе Банка России была представлена детальная картина нынешней «оргструктуры» и нормативно-правового обеспечения ИБ в банковской сфере.
Управление Спецсвязи ФСО России проинформировало о развитии структуры ситуационных центров (СЦ) организаций России. Интересно было узнать, что движение по созданию СЦ спустилось уже на уровень вузовского управления. Но есть и трудности: эксплуатация развивающейся сети СЦ сталкивается, с одной стороны, с проблемой разнородности моделей данных в сотнях информационных баз страны и, с другой стороны, с нормативной необходимостью реализации «воздушных зазоров» безопасности между СЦ.
На секциях форума были представлены тематики «безопасного Интернета», комплексных решений по ИБ критической ИТ-инфраструктуры, безопасного использования ИТ на транспорте, модные темы «умного города» и «умного региона», неизбежно возникающие проблемы правового регулирования в сфере ИБ.
Крупными буквами печатались слова совершенно несущественные, а все существенное изображалось самым мелким шрифтом
И на солнце есть пятна. Существенный минус организации форума проистекал, как и следовало ожидать, из главного достоинства мероприятия.
В решение задач и проблем ИБ были глубоко погружены не только спикеры форума. Многие гости обладали как экспертным уровнем знаний, так и актуальной информацией о ситуации в «поле». Казалось бы, сложилась идеальная ситуация для развития теории и практики ИБ в нашей стране, однако недостаток времени в ряде случаев не только пресекал возможность публичных дискуссий и обсуждений, но и комкал запланированные доклады на секциях.
Тем не менее, работа демозоны «Зона позитивной безопасности» и секции «Информационная безопасность в кредитно-финансовой сфере» помогла выявить путем бурного обсуждения ряд свежих проблем.
У нас нет середины: либо в рыло, либо ручку пожалуйте!
Взгляд «из гугла» на ландшафт «интернета вещей» создаёт представление о нём, как об ухоженной лужайке, где тут и там произрастают полезные и нужные деревца, корни которых красиво укрыты дерном и недоступны для повреждения. Но оказывается, к этим корням есть и другой доступ, помимо того, что защищён в Google логином и паролем. Этот доступ подобен кротовьим норам, ведущим к камерам видеонаблюдения, уличным банкоматам и мобильному банкингу.
Переходя от садово-парковых аналогий, скажу, что специалисты компании Positive Tecnology, работавшие в демозоне «Зона позитивной безопасности», наглядно продемонстрировали, как средства, достаточно легко доступные в Интернете, позволяют заглянуть в разбросанные по миру веб-камеры, не заморачиваясь введением логина и пароля, и не совершая, по сути, противоправных действий, если забыть о нормах морали. А несложное тестирование с использованием социальной инженерии структуры и содержания адресной книги в одной из критичных ИТ-инфраструктур, а затем имитация противоправных действий позволили продемонстрировать, как киберпреступник может «поселиться» на сервере аутсорсера, обслуживающего банковские терминалы. После чего многократно окупить свои небольшие затраты.
Ещё одним откровением стала демонстрация проникновения в рабочую сеть телекоммуникационной компании и перехват управления мобильным банковским приложением, призванным облегчить жизнь клиента банка, а на практике часто облегчающему его кошелёк.
Всякому безобразию своё приличие
По оценке экспертов, банковская сфера выглядит наиболее защищённой от киберпреступлений по сравнению, например, с промышленной ИТ-инфраструктурой. Но оказывается, что внутри банковской «избы» достаёт «сора» в плане кибербезопасности.
Участники секции по информационной безопасности в кредитно-финансовой сфере обсудили много болевых точек. От набившей оскомину безответственности рядовых сотрудников, «кликающих» по любой почтовой ссылке, до оголённости штатов ИБ-подразделений и недобросовестности внешних соисполнителей, призванных выявлять прорехи в кибербезопасности банков второй и третьей линий. Была затронута и тема пресловутого искусственного интеллекта, причём разброс мнений по этой теме хорошо описывается выражением «кому щи пусты, а кому жемчуг мелок».
Бурную дискуссию обещал доклад ПАО Ростелеком о биометрической идентификации и дистанционной работе со счетами. Но, к сожалению, хайп был мягко пресечен ведущим секции со ссылкой на недостаток времени (уже упоминалось, что его дефицит стал ахиллесовой пятой форума).
Также большой потенциал для обсуждения имел доклад Positive Technology «Блокчейн на финансовых рынках: новые возможности и новые угрозы». На мой взгляд, интерес в нем представлял не сам блокчейн, а указания на то, как появляются угрозы информационной безопасности в ИТ, казалось бы, безупречно отработанных академическим сообществом и вполне укладывающихся в достаточно широкое прокрустово ложе законодателей и регуляторов. Этот доклад с последующей дискуссией мог бы стать основой для развития методических основ отработки врождённого ИБ-иммунитета ИТ, но… Времени для обсуждения не было, рамки форума поджимали.
Вместо полезной во всех отношениях дискуссии по практическим вопросам построения безусловно безопасных ИТ-систем, гости секции услышали просто приятное сообщение об опыте Сбербанка по управлению рисками кибербезопасности.
В целом Инфофрум 2018 представил весьма большой и сбалансированный набор докладов по важнейшим направлениям совершенствования ИБ. Слушатели форума продемонстрировали сколь актуальная эта проблематика и сколь велик интерес к ней на местах. Остаётся надеяться, что через год мы услышим о качественных прорывах в решении задач по укреплению информационной безопасности страны.
Марк Новодачный, корреспондент BIS Journal