№ 5, ноябрь 2019 www.itsec.ru
Издание компании
XVI МеждунарОдная выставка
Осень 2020
СпецПРОЕКТ
кИИ
Осень – время
зАКОнОдАтельных перемен
Четыре прОверенных
спОсОбА ОптимизирОвАть
рАсхОды нА иб
прОслушКА сО стОрОны
хАКерОв: ЧегО ОпАсАться?
пОдхОды К КриптОгрАфиЧесКОй
зАщите в IoT
техниКА инфОрмАциОннОй
безОпАснОсти в рАзрАбОтКе
мОбильных прилОжений
Артем Калашников
Компьютерные атаКи
в Кредитно-финансовой сфере
статистиКа и отчеты
11–13 Реклама
2020
PREVIEW www.itsec.ru
Андрей Мирошкин,
генеральный
директор
компании “Гротек”
Встречаемся на ТБ Форуме 2020
С 11 по 13 февраля 2020 г. в Москве уже в 25-й раз пройдет ТБ Форум.
На повестке дня экспертов в рамках смотра решений и технологий для защиты информации
и связи – обеспечение безопасности КИИ, угрозы и уязвимости средств и систем информатизации,
сертификация СЗИ по требованиям безопасности информации, современные и перспективные
методы и средства защиты информации.
В специализированной экспозиции смотра решений и технологий для информационной безопасности
принимают участие такие компании, как АВ Софт, АМИКОН, БеллСофт, Инфовотч, ИНФОСЕ-
КЬЮРИТИ, Код Безопасности, КСБ-СОФТ, САФИБ, Смарт Лайн Инк, ТСС, Фродекс и другие.
Тематика кибербезопасности и защиты информации поддержана и в деловой программе ТБ
Форума. В течение трех дней в отраслевых конференциях запланированы секции и выступления экс-
пертов:
l секция "Информационная и компьютерная безопасность объектов промышленности, нефте-
газа и энергетики";
l X Всероссийская конференция "SecuFinance: защитные технологии банка будущего";
l всероссийская конференция "Индустрия 4.0. Практика внедрения информационных технологий:
транспорт, телеком, энергетика";
l IX Всероссийская конференция "SecuRetail: комплексная безопасность торговых центров
и ритейла".
А во второй день ТБ Форума, 12 февраля, состоится 10-я конференция "Актуальные вопросы
защиты информации", традиционно организуемая ФСТЭК России.
Ключевые темы конференции:
l совершенствование нормативно-правового и методического обеспечения вопросов защиты инфор-
мации;
l лицензирование деятельности по технической защите конфиденциальной информации;
l мониторинг информационной безопасности средств и систем информатизации;
l практика выявления и устранения уязвимостей в программном обеспечении информационных
систем;
l практика внедрения процедур разработки безопасного программного обеспечения;
l требования безопасности информации к средствам защиты информации, практика сертификации
средств защиты информации;
l оценка информационных систем на соответствие требованиям по защите информации.
Концепцию конференции поддерживают и выступают в качестве партнеров: Конфидент, Код
Безопасности, Инфовотч, Смарт Лайн Инк, Лаборатория Касперского, ЭЛВИС-ПЛЮС.
Я приглашаю вас принять участие в деловой программе и смотре решений на ТБ Форуме 2020!
Подробности посещения и участия вы можете узнать на сайте ТБ Форума:
www.tbforum.ru.
•1
СОДЕРЖАНИЕ стр.
В ФОКУСЕ 4
ПЕРСОНЫ стр.
Артем Калашников
Компьютерные атаки в кредитно-финансовой сфере. 14
Статистика и отчеты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
стр.
СПЕЦПРОЕКТ / КИИ
18
Ильдар Бегишев
Компьютерные атаки на КИИ России: стр.
правовые меры защиты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
Светлана Конявская 30
Средства защиты для АСУ ТП и значимых объектов КИИ:
что выбрать? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
ПРАВО И НОРМАТИВЫ
Анастасия Заведенская
Время законодательных перемен.
Сентябрь и октябрь 2019 года . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
УПРАВЛЕНИЕ
Андрей Степанов
Четыре проверенных способа
оптимизировать расходы на ИБ . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18
Аутсорсинг и аутстаффинг услуг ИБ: мнение экспертов . . . . . . .21
Константин Саматов
SOC в действии . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
ТЕХНОЛОГИИ
Сергей Войнов, Виктор Сердюк
Охота за информациеи:̆ как компаниям выстоять
против киберпреступников? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
Евгений Соболев
Где прячется SSRF-уязвимость? Кейсы и решения . . . . . . . . . . . .28
2•
СОДЕРЖАНИЕ Журнал "Information
Security/Информационная
Андрей Пинчук
Применение методов Entity Embedding безопасность" № 5, 2019
в противодействии мошенничеству . . . . . . . . . . . . . . . . . . . . . . . . . .30 Издание зарегистрировано
Михаил Кондрашин
Прослушки и перехват данных со стороны хакеров: в Минпечати России
чего опасаться современным компаниям? . . . . . . . . . . . . . . . . . . . .34 Свидетельство о регистрации
ПИ № 77-17607 от 9 марта 2004 г.
КРИПТОГРАФИЯ
Григорий Маршалко Учредитель и издатель
Квантовая криптография: компания "Гротек"
уже сегодня или пока только завтра? . . . . . . . . . . . . . . . . . . . . . . . .36
Владислав Ноздрунов, Александр Семенов Генеральный директор ООО "Гротек"
Подходы к криптографической защите коммуникаций Андрей Мирошкин
в IoT и M2M . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38
Издатель
РАЗРАБОТКА Владимир Вараксин
Павел Кузнецов
Техника информационной безопасности Выпускающий редактор
в разработке мобильных приложений . . . . . . . . . . . . . . . . . . . . . . . .41 Валерий Голдинов
СОБЫТИЯ Корректор
Галина Воронина
Форум по искусственному интеллекту (RAIF 2019)
отгремел на Открытых инновациях . . . . . . . . . . . . . . . . . . . . . . . . . .43 Дизайнер-верстальщик
Ольга Пирадова
JOB
Группа управления заказами
Алексей Коробченко Татьяна Мягкова
Подготовка кадров по ИБ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44
Юрисконсульт
НОВЫЕ ПРОДУКТЫ И НЬЮСМЕЙКЕРЫ Кирилл Сухов,
[email protected]
Колонка эксперта . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21, 28
Новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47 Департамент продажи рекламы
Ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48 Зинаида Горелова, Ольга Терехова
Фото на обложку
Ольга Лаврик
Рекламная служба
Тел.: (495) 647-0442,
[email protected]
Отпечатано в типографии
ИП Морозов, Москва, ул. Зорге, 15
Тираж 10 000. Цена свободная
Оформление подписки
Тел.: (495) 647-0442, www.itsec.ru
Департамент по распространению
Тел.: (495) 647-0442,
Для почты 123007, Москва, а/я 82
E-mail [email protected]
Web www.groteck.ru, www.itsec.ru
Перепечатка допускается только по
согласованию с редакцией
и со ссылкой на издание
За достоверность рекламных публикаций
и объявлений редакция ответственности
не несет
Мнения авторов не всегда отражают
точку зрения редакции
© "Гротек", 2019
•3
В ФОКУСЕ
Компьютерные атаки
в кредитно-финансовой сфере
Статистика и отчеты
Артем Калашников, начальник ФинЦЕРТ Банка России
К ак ФинЦЕРТ Банка России регулирует отношения между
банками и их клиентами? Можно ли предотвратить
несанкционированные операции со счетами клиентов?
Какие кибератаки в тренде? Эффективен ли “Фид-Антифрод”
и есть ли у него будущее? На эти и другие вопросы редакции
журнала InformationSecurity ответил Артем Калашников,
начальник Центра мониторинга и реагирования на
компьютерные атаки в кредитно-финансовой сфере Банка
России.
– Артем, вы воз-
главляете ФинЦЕРТ Информацию об угрозах информационной безопасности ФинЦЕРТ
с 2017 г. За это получает как от поднадзорных финансовых организаций, так и от
время центр проде- компаний-интеграторов, разработчиков антивирусного
лал масштабную программного обеспечения, иностранных финансовых
работу по взаимодей- организаций и регуляторов, групп реагирования на инциденты
ствию с банками. Сколько (в том числе иностранных), провайдеров и операторов связи,
кибератак вы обнаружили а также правоохранительных и иных государственных органов,
за прошедший год? курирующих информационную безопасность отрасли. Также мы
– С начала 2019 г. было обна- исспользуем и собственные инструменты.
ружено порядка 116 атак, а за
все время функционирования так и широковещательно. Если тельно есть угроза, она акту-
центра – больше 400. Оконча- мы понимаем, что атака имеет альна и распространяется. Инте-
тельные цифры представлены масштаб не только кредитных ресно, что уведомления в неко-
в нашем годовом отчете о рабо- организаций, то первоначальная торых случаях получают и про-
те центра. О случаях выявления цель такого оповещения – уве- изводители банковского про-
кибератак уведомляются все домить организации финансо- граммного обеспечения, чтобы
участники обмена – как адресно, вой сферы о том, что действи- знать, в каком направлении раз-
вивать системы, и выпускать
ФинЦЕРТ Банка России является центром компетенций по обеспечению информационной вовремя доработки. И соответ-
безопасности и противодействию кибератакам в кредитно-финансовой сфере ственно, антивирусные лабора-
и осуществляет развитие информационной безопасности и киберустойчивости тории, поскольку мы с ними
по следующим направлениям: тоже тесно сотрудничаем в
1. Выполнение функций отраслевого сегмента Государственной системы обнаружения, части того, какие вещи сейчас
предупреждения и ликвидации последствий компьютерных атак на информационные не определяются их программ-
ресурсы Российской Федерации (ГосСОПКА). ными продуктами, и помогаем
2. Организация и координация деятельности организаций кредитно-финансовой сферы в анализе программного обес-
в качестве центра компетенций по противодействию кибератакам: печения. Благодаря этому мы
l автоматизированный сбор информации обо всех инцидентах поднадзорных субъектов; успешно предотвратили очень
l проведение эффективного технического анализа и экспертной оценки, в том числе много атак.
компьютерные исследования и разбор вредоносных программ;
l оперативное распространение информации об инцидентах и правилах реагирования на – Какие кибепреступле-
них. ния встречаются чаще
3. Выполнение функций центра координации деятельности по блокировке всего?
несанкционированных переводов денежных средств в платежной системе Банка России – Основные тренды, такие как
и иных платежных системах. атаки на инфраструктуру отдель-
4. Прекращение функционирования фишинговых ресурсов и ресурсов, распространяющих ных организаций и пользовате-
вредоносное программное обеспечение, телефонных номеров и СМС-рассылок, лей финансовых услуг, остались.
используемых в мошеннических целях. Но сейчас фокус сместился
5. Взаимодействие с центральными (национальными) банками иностранных государств в сторону так называемой соци-
(в том числе государств–членов ЕАЭС) по вопросам мониторинга и реагирования на альной инженерии – это атаки
компьютерные атаки. на клиентов и сотрудников кре-
6. Взаимодействие с международными центрами реагирования на компьютерные атаки. дитных организаций. Здесь в
7. Повышение финансовой грамотности и пропаганда "компьютерной гигиены". основном ситуации связаны со
8. Взаимодействие с операторами по переводу цифровых финансовых активов. звонками. СМС мы уже отодви-
гаем на второй план. Главную
4•
ПЕРСОНЫ www.itsec.ru
В связи с активным внедрением систем дистанционного организаций. Цель всего этого – В 2018 г. более 97%
банковского обслуживания и появлением новых видов угроз создание реестра несанкцио- хищений со счетов физиче-
в кредитно-финансовой сфере необходимо повышение нированных операций, в кото- ских лиц и 39% хищений со
информированности населения о правилах безопасного ром фиксируются признаки опе- счетов юридических лиц
использования платежных инструментов и банковских услуг рации, ее консолидация, ана- было совершено с использо-
(киберграмотности). Сотрудники ФинЦЕРТ провели 24 публичных литика и передача информации ванием приемов социальной
мероприятия для разных целевых аудиторий. Примерная всем кредитным организациям инженерии (злонамеренное
численность прошедших обучение, а также слушателей по всем для оперативного предупреж- введение в заблуждение
мероприятиям составила более 2 тыс. человек. Для младшей дения подобных атак. На путем обмана или злоупо-
начальной школы (1–4 класс) были проведены два открытых последних возлагается целевая требления доверием).
урока по "компьютерной гигиене", для средней и старшей школы функция отслеживания ситуа- Отличительная черта этого
(5–11 класс) – пять мероприятий по киберграмотности с охватом ции и работы с клиентами на вида мошенничества – тар-
более 10 тыс. человек, для старшей школы (9–11 класс) – четыре предмет определения санкцио- гетированность на конкрет-
мероприятия в целях профориентации. нированности или несанкцио- ные группы граждан: конеч-
Для людей старшего возраста был проведен цикл из пяти лекций нированности операции. Благо- ной целью злоумышленни-
по финансовой безопасности и противодействию даря этому мы видим эффект ков является перевод
кибермошенничеству с пробным охватом более 100 человек на уменьшения количества успеш- средств жертв на их счета,
площадке Центральной библиотеки им. Некрасова в рамках ных несанкционированных опе- при этом способы ее дости-
программы мэра Москвы "Московское долголетие". Помимо этого, раций. Попытки таких операций жения варьируются.
эксперты ФинЦЕРТ выступили на пяти публичных площадках
с общим числом участников более 1,5 тыс. слушателей. В сентябре 2019 г. Совет директоров Банка России
одобрил основные направления развития
проблему в звонках представ- и сами кредитные организации, информационной безопасности кредитно-финансовой
ляет собой подмена номеров, которые поняли, что это не вто- сферы на период 2019–2021 гг. Документ определяет
эта технология в последнее ростепенная задача и решать ключевые цели и задачи развития информационной
время активно распространяет- ее односторонними методами безопасности и киберустойчивости, среди которых:
ся. Мы принимаем меры только со стороны регулятора l обеспечение информационной безопасности и
совместно с Министерством раз- неэффективно. За счет того что
вития связи и коммуникаций, вся кредитно-финансовая киберустойчивости в целях финансовой
операторами связи и кредитны- сфера в этом вопросе смогла стабильности каждой организации финансового
ми организациями на предмет консолидироваться, мы сейчас рынка;
того, чтобы на техническом уров- видим, что уровень ИБ вырос. l обеспечение операционной надежности и
не такие звонки пресекать. В том числе по этой причине непрерывности деятельности организаций
фокус атак, о котором мы гово- кредитно-финансовой сферы;
– В связи с возросшим рили в начале, смещается в сто- l противодействие компьютерным атакам, в том
количеством рисков, свя- рону клиентов организаций. Это числе при использовании инновационных
занных с социальной видно из статистики. финансовых технологий;
инженерией, разрабаты- l защита прав потребителей финансовых услуг.
ваете ли вы рекоменда- – Какие самые распро- Основные направления включают описание
ции, чтобы помочь банкам страненные типы атак на предпосылок и трендов в развитии информационной
повысить ИБ-грамотность организации кредитно- безопасности кредитно-финансовой сферы
их клиентов? финансовой сферы? Российской Федерации, задачи и ключевые
направления деятельности Банка России в сфере
– Да. Сюда можно включить – Атаки на инфраструктуру информационной безопасности и киберустойчивости,
мероприятия, связанные с конт- все еще есть, но они менее а также описание мероприятий в указанной области.
ролем действий сотрудников успешны, так как спокойно
кредитных организаций. Напри- детектируются. Основную угро- В отчете Всемирного экономического форума по
мер, в обязанность кредитной зу представляют звонки клиен- глобальным рискам 2018 г. кибератаки определены
организации входит любым спо- там кредитных организаций. как разновидность базового глобального
собом информировать клиентов Здесь важную роль играет пси- технологического риска. В качестве мирового тренда
об угрозе. Мы совместно про- хологический фактор, поэтому отмечается увеличение финансовых потерь от
рабатываем материалы по таких случаев больше, если кибератак, нарушение целостности и непрерывности
выработке рекомендаций: как сравнивать с количеством атак функционирования в том числе финансового рынка
клиентам банка обращаться со на инфраструктуру. Тренд атак (17% всего объема кибератак приходится на
звонками и информацией, кото- на клиентов сохраняется, и финансовый сектор). Изощренность методов,
рую от них требуют, что может изменить ситуацию можно толь- способов и средств совершения кибератак требует
требовать банк, а что не может. ко объединением усилий всех от регуляторов гибкости, оперативности,
Здесь важен комплексный под- заинтересованных сторон: регу- использования инновационных цифровых технологий
ход. ФинЦЕРТ Банка России лятора, кредитных организаций и методов работы.
работает не один, стараясь и всех смежных ведомств, кото- В Российской Федерации, по данным ФинЦЕРТ, объем
повышать финансовую грамот- рые имеют к этому отношение. несанкционированных операций со счетов
ность клиентов организаций юридических лиц по итогам 2018 г. составил
кредитно-финансовой сферы. – Что такое "Фид-Анти- 1,469 млрд руб. (в 2017 г. – порядка 1,57 млрд руб.,
фрод" и какие результаты в 2016 г. – 1,89 млрд руб., в 2015 г. – 3,7 млрд руб.).
– Как вы оцениваете он показывает? На территории России и за ее пределами объем
общий уровень безопас- несанкционированных операций с использованием
ности кредитно-финансо- – "Фид-Антифрод" – это твор- платежных карт, эмитированных российскими
вой системы в России? ческое название. Антифрод – кредитными организациями, в 2018 г. составил
уже устоявшийся термин, а при- 1,384 млрд руб. (в 2017 г. – 0,961 млрд руб., в 2016 г. –
– Важно отметить повышение ставка "Фид" – указание на то, 1,08 млрд руб., в 2015 г. – 1,14 млрд руб.).
общего уровня информацион- что мы распространяем инфор-
ной безопасности в организа- мацию о несанкционированных •5
циях. Огромную роль сыграли операциях среди кредитных
В ФОКУСЕ
сообщений. Но здесь есть такой
нюанс – не обо всех случаях
сообщают. Происходит это по
разным причинам: иногда клиент
не приходит в банк, считая, что
сумма небольшая и не стоит
внимания, или банки могут не
сообщать из-за большого коли-
чества запросов (у крупных орга-
низаций их может быть очень
много), полуручной ввод сообще-
ний также затормаживает про-
цесс обработки, поэтому мы ста-
раемся его автоматизировать и
предоставляем участникам
обмена определенные сервисы.
В целом эта система эффек-
тивна. Были случаи, когда в
могут быть, но, по крайней мере, ется повышение этой цифры – сообщениях находили совпаде-
безуспешные. сообщений выявляется очень
Результаты анализа много, их нужно обрабатывать и ния, по этим операциям прово-
покушений на хищение В данный момент наша систе- оперативно отправлять о них
денежных средств кредит- ма одновременно обрабатывает информацию. Например, сейчас дилась работа, зачисление
ных организаций показы- 116 запросов от кредитных орга- в системе порядка 30 тыс.
вают, что риску хищения низаций. В перспективе ожида- средств приостанавливалось и
подвержены денежные
средства в объеме, сопоста- часть денег удавалось вернуть
вимом со средним дневным
остатком по корреспондент- клиентам или же удавалось
скому счету кредитной орга-
низации, открытому в Банке предотвратить списание
России, суммированным со
средним дневным приходом Взаимодействие ФинЦЕРТ с иностранными партнерами средств.
по соответствующему кор- продолжает развиваться в направлении создания единого
респондентскому счету. киберпространства и доверенной финансовой среды в рамках – Как вы контролируете
Евразийского экономического союза (ЕАЭС)
и информационного обмена с национальными исполнение ваших реко-
и международными организациями по обеспечению
кибербезопасности. В рамках информационного обмена мендаций кредитно-
ФинЦЕРТ сотрудничает с зарубежными организациями,
в том числе с группами реагирования ряда государств финансовыми организа-
постсоветского пространства, а также Франции, Испании,
Болгарии и иных стран. ФинЦЕРТ уведомлял партнеров циями?
о выявленных уязвимостях в информационных ресурсах,
находящихся в зоне их ответственности, о готовящихся – Методы у нас есть. В первую
кибератаках и преступлениях в зоне их юрисдикции.
очередь это дистанционный
контроль. В рамках функциона-
ла ФинЦЕРТ есть направление
надзорной деятельности,
состоящей из двух частей:
1) отчетность, которая пред-
писана банкам, в том числе их
сообщения в систему "Фид-
В настоящее время проводятся работы по дальнейшему развитию АСОИ ФинЦЕРТ, Антифрод";
в том числе планируется увеличение технической инфраструктуры для обеспечения
бесперебойной работы системы, снижения времени технологических перерывов, 2) непосредственно контакт-
реализации полнофункционального тестового контура, а также следующих
возможностей: ные проверки, которые осу-
l расширение функций информационно-сервисного портала и сервисов личных
ществляются совместно с над-
кабинетов АСОИ ФинЦЕРТ;
l оптимизация интерфейсной части для повышения оперативности взаимодействия; зорным блоком, при которых
l реализация возможности получения данных от участника в автоматическом режиме
выявляются проблемы приме-
(по API) для всех видов инцидентов;
l предоставление сервиса в личном кабинете участника по проверке ВПО (включая нения ИТ-технологий.
специализированную "песочницу"); Кроме того, мы отслеживаем
l дополнительные функции по проверке авторства и целостности сообщений/запросов
публикации в СМИ в отношении
при взаимодействии с участниками с применением криптографических средств
(сервис обмена электронными сообщениями между участниками и ФинЦЕРТ деятельности кредитных орга-
с использованием электронной подписи);
l реализация возможности пошагового заполнения электронных форм при низаций. Здесь наша задача
информировании об операциях, осуществленных без согласия клиента ("визарды"
для упрощения заполнения информации); заключается в получении допол-
l реализация функционала распространения индикаторов компрометации (IOC, "фидов")
в машиночитаемых форматах для последующего их использования (в том числе нительной информации. Напри-
в SIEM-системах участников);
l реализация функционала для участников по API-доступу к бюллетеням; мер, если банк не сообщил нам
l предоставление участникам возможности передачи через личный кабинет "дампов"
сетевого трафика и лог-файлов Web-серверов для последующего анализа в ФинЦЕРТ; напрямую о каких-то случаях
l сервис уведомлений о критических инцидентах по СМС;
l сервис автоматического и автоматизированного взаимодействия участников несанкционированных опера-
с Государственной системой обнаружения, предупреждения и ликвидации последствий
компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). ций, но информация о них
6• появилась в СМИ, то такие при-
меры мы тоже рассматриваем.
В ближайшем будущем мы
планируем автоматизировать
наши сервисы и повысить их
оперативность, а значит увели-
чить скорость и объем инфор-
мации, обрабатываемой систе-
мой "Фид-Антифрод". l
Ваше мнение и вопросы
присылайте по адресу
[email protected]
Реклама
СПЕЦПРОЕКТ
Компьютерные атаки на КИИ России:
правовые меры защиты
Ильдар Бегишев, старший научный сотрудник Казанского инновационного
университета им. В.Г. Тимирясова (ИЭУП), к.ю.н
В озрастание количества новых вызовов и угроз в цифровом
пространстве делает обеспечение безопасности критической
информационной инфраструктуры приоритетной
государственной задачей, так как именно устойчивое
функционирование КИИ оказывает значительное влияние на
социально-экономическое развитие России в условиях
цифровой экономики.
Злоумышленники Значение терминов Наряду с этим информацион-
постоянно совершен- и понятий
ствуют технологии ком- ная безопасность предполагает
пьютерных атак на объ- Изучение генезиса заявлен-
екты КИИ. Ярким приме- ного вопроса требует прежде защищенность жизненно важных
ром являются действия всего пояснения понятия "без-
вредоносных компьютер- опасность". интересов личности, общества
ных программ-вымогателей Wan-
naCry и Petya/Petrwrap/NotPetya/ По смыслу термин "безопас- и государства непосредственно
exPetr, которые использовали ность" (от лат. securitas, англ.
для компьютерной атаки уязви- safety/security, фр. securite' ) озна- в информационной сфере6.
мости в программном обеспече- чает отсутствие опасности, т.е.
нии пользователей1. состояние, при котором опас- Законодатель определяет
Так, например, согласно дан- ность не угрожает.
ным аналитического отчета безопасность КИИ РФ как
одного из лидеров европей- В широком смысле этим сло-
ского рынка систем анализа вом обозначается ситуация, при состояние защищенности КИИ,
защищенности и соответствия которой вероятность причине-
стандартам – компании Positi- ния объекту защиты вреда и обеспечивающее ее устойчивое
ve Technologies, в I квартале его возможные размеры, по
2019 г. злоумышленники мнению оценивающего ситуа- функционирование при прове-
совершили около 58% ком- цию субъекта, меньше некото-
пьютерных атак на различные рого субъективно установлен- дении в отношении ее компью-
объекты информационной ного им же предела3.
инфраструктуры2. терных атак7.
Проблема безопасности КИИ Следовательно, в общем виде
уже давно интересует многих безопасность означает состоя- Очевидно, что понятие "без-
ученых. Несмотря на малое ние защищенности личности,
количество научных трудов, по общества и государства от внут- опасность КИИ" является видо-
рассматриваемой теме сложи- ренних и внешних угроз или
Проблема безопасности лась достаточно обширная опасностей. вым по отношению к понятию
КИИ уже давно интересует методологическая база. При
многих ученых. Несмотря на этом в анализе проблемы без- Понимание этого составляет "информационная безопас-
малое количество научных опасности КИИ остается немало основу дефиниции националь-
трудов, по рассматриваемой нерешенных задач. ной безопасности РФ, закреп- ность", которая, в свою очередь,
теме сложилась достаточно ленной в Стратегии4. В свою
обширная методологическая очередь, национальная безопас- значится одним из видов без-
база. При этом в анализе ность РФ существенным обра-
проблемы безопасности зом зависит от обеспечения опасности и входит в понятие
КИИ остается немало нере- информационной безопасности5.
шенных задач. "национальная безопасность".
Таким образом, обеспечение
безопасности КИИ должно осно-
вываться на принципах и мето-
дологии обеспечения нацио-
нальной безопасности.
Закон о безопасности КИИ
предписывает его субъектам
обеспечить безопасность своих
информационных систем,
информационно-телекоммуни-
кационных сетей и автоматизи-
рованных систем управления.
Напомним, что в Федераль-
ном законе от 27 июля 2006 г.
1 Барташевич С.А. Информационная безопасность – залог успеха бизнеса // Information Security / Информационная
безопасность. – 2017. – № 4. – С. 19.
2 Аналитический отчет “Актуальные киберугрозы. I квартал 2019 года" // Аналитический центр Positive Technologies.
https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-q1-2019/#id5
3 Атаманов Г.А. Методология безопасности // Фонд содействия научным исследованиям проблем безопасности “НАУКА-
XXI". http://naukaxxi.ru/materials/302/
4 Указ Президента Российской Федерации от 31 декабря 2015 г. № 683 “О Стратегии национальной безопасности Российской
Федерации" // СЗ РФ. – 2016. – № 1 (часть II). – Ст. 212.
5 Терещенко Л.К., Тиунов О.И. Информационная безопасность органов исполнительной власти на современном этапе //
Журнал российского права. – 2015. – № 8. – С. 107.
6 Хисамова З.И. Понятие и сущность преступлений, посягающих на информационную безопасность в сфере экономики //
Общество и право. – 2015. – № 1(51). – С. 157.
7 Федеральный закон от 26 июля 2017 г. № 187-ФЗ “О безопасности критической информационной инфраструктуры
Российской Федерации" // СЗ РФ. – 2017. – № 31 (часть I). – Ст. 4736.
8•
КИИ www.itsec.ru
№1 49-ФЗ "Об информации, остановке производства. Более При этом указанные субъекты В широком смысле авто-
информационных технологиях того, возникает высокий риск КИИ должны функционировать матизированная система
и о защите информации"8 (ст. 2 техногенных аварий и экологи- только в некоторых социально- управления состоит
"Основные понятия, используе- ческих катастроф. Подобные экономических областях13. из информационной систе-
мые в настоящем Федеральном инциденты могут повлечь за мы и информационно-теле-
законе") отражены понятия собой снижение стоимости Расширение списка коммуникационной сети,
информационной системы и акций компании, репутационный являющихся базовыми эле-
информационно-телекоммуни- ущерб, штрафные санкции, что По нашему мнению, помимо ментами КИИ, хотя они
кационной сети. также в конечном итоге может указанных сфер, возможны и имеют свою особую техно-
являться целью компьютерной иные виды экономической дея- логическую основу, способ-
Понятие автоматизированной атаки10. Поэтому мы считаем, тельности, например жилищно- ную выделить автоматизи-
системы управления нашло свое что субъектам КИИ необходимо коммунальное и сельское хозяй- рованную систему в само-
отражение в Федеральном зако- выстраивать слаженную систе- ство, строительство, пищевая стоятельный объект КИИ.
не от 26 июля 2017 г. № 187-ФЗ му своей информационной без- промышленность и т.д. Однако
"О безопасности критической опасности, а уже в ее рамках указанные виды к субъектам
информационной инфраструк- выполнять требования к обес- КИИ почему-то не отнесены,
туры Российской Федерации"9 печению защиты информации, хотя на их информационные
(ст. 2 "Основные понятия, которые определены в соответ- системы, информационно-теле-
используемые в настоящем ствующих актах11. коммуникационные сети и авто-
Федеральном законе"). Данное матизированные системы управ-
понятие носит в основном тех- К субъектам КИИ отнесены ления также могут быть совер-
нологический характер и государственные органы, госу- шены компьютерные атаки14.
довольно широко используется дарственные учреждения, рос-
в обиходе представителелями сийские юридические лица и Предполагается, что в резуль-
технических специальностей. (или) индивидуальные предпри- тате атак на сервисы для рас-
ниматели, которым на праве чета и оплаты коммунальных
В широком смысле автома- собственности, аренды или на услуг, мониторинга деятельно-
тизированная система управ- ином законном основании при- сти управляющих и ресурсо-
ления состоит из информацион- надлежат информационные снабжающих организаций,
ной системы и информацион- системы, информационно-теле- состояния объектов государст-
но-телекоммуникационной сети, коммуникационные сети и авто- венного учета жилищного фонда
являющихся базовыми элемен- матизированные системы может быть нарушено функцио-
тами КИИ, хотя они имеют свою управления, функционирующие нирование государственной
особую технологическую осно- в сфере здравоохранения, информационной системы
ву, способную выделить авто- науки, транспорта, связи, энер- жилищно-коммунального хозяй-
матизированную систему в гетики, банковской сфере и ства15 – одной из важнейших
самостоятельный объект КИИ. иных сферах финансового социально значимых информа-
рынка, топливно-энергетическо- ционных систем государства.
Субъекты КИИ го комплекса, в области атом-
ной энергии, оборонной, ракет- В этой связи регулятору еще
Видится, что наиболее тяже- но-космической, горнодобываю- предстоит отнести часть субъ-
лым последствием компьютер- щей, металлургической и хими- ектов экономической деятель-
ных инцидентов является нару- ческой промышленности, рос- ности, не упоминающихся в дей-
шение технологического про- сийские юридические лица и ствующем законодательстве, к
цесса на предприятии. Это, в (или) индивидуальные предпри- субъектам КИИ.
свою очередь, может привести ниматели, которые обеспечи-
к повреждению выпускаемого вают взаимодействие указан- Для успешного решения этого
продукта, снижению качества ных систем или сетей12. вопроса необходимо использо-
обслуживания клиентов, сни- вать данные Общероссийского
жению объемов или временной классификатора видов экономи-
ческой деятельности (ОКВЭД 2)16.
8 Федеральный закон от 27 июля 2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации"
// СЗ РФ. – 2006. – № 31 (часть I). – Ст. 3448.
9 Федеральный закон от 26 июля 2017 г. №1 87-ФЗ “О безопасности критической информационной инфраструктуры
Российской Федерации" // СЗ РФ. – 2017. – № 31 (часть I). – Ст. 4736.
10 Сердюк В.А. Некоторые аспекты защиты АСУ ТП // Information Security / Информационная безопасность. – 2017. – № 6. – С. 12.
11 Приказ Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31 “Об утверждении
Требований к обеспечению защиты информации в автоматизированных системах управления производственными и
технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах,
представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" // Российская
газета. – 2014. – № 175.
12 Федеральный закон от 26 июля 2017 г. № 187-ФЗ “О безопасности критической информационной инфраструктуры
Российской Федерации" // СЗ РФ. – 2017. – № 31 (часть I). – Ст. 4736.
13 Там же.
14 Бегишев И.Р. Безопасность критической информационной инфраструктуры Российской Федерации // Безопасность
бизнеса. – 2019. – № 1. – С. 29.
15 Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 июня 2016 г. № 264 “О вводе в
эксплуатацию государственной информационной системы жилищно-коммунального хозяйства" // Официальный сайт
Министерства связи и массовых коммуникаций Российской Федерации. http://minsvyaz.ru/ru/documents/5069/
16 Приказ Федерального агентства по техническому регулированию и метрологии от 31 января 2014 г. № 14-ст “О принятии
и введении в действие Общероссийского классификатора видов экономической деятельности (ОКВЭД2) ОК 029–2014 (КДЕС
ред. 2) и Общероссийского классификатора продукции по видам экономической деятельности (ОКПД2) ОК 034–2014 (КПЕС
2008)" // Бухгалтерское приложение к газете "Экономика и жизнь". – 2014. – № 21.
•9
СПЕЦПРОЕКТ
Согласно именно его данным 5. Цифровые технологии (соз- l ст. 273 "Создание, использо-
следует соотносить вид эконо- дание комплексной системы вание и распространение вре-
мической деятельности с пред- поддержки исследований, про- доносных компьютерных про-
полагаемым субъектом КИИ. ектов по разработке и внедре- грамм" УК РФ;
нию цифровых технологий и l ст. 274 "Нарушение правил
Внедрение программы платформенных решений). эксплуатации средств хранения,
"Цифровая экономика обработки или передачи ком-
Российской Федерации" 6. Цифровое государственное пьютерной информации и
управление (переход к управ- информационно-телекоммуни-
Безопасность КИИ напрямую лению данными государства на кационных сетей" УК РФ.
зависит от правильности при- основе цифровых технологий,
нятия решений в сфере проти- разработка комплексных супер- По смыслу ст. 274.1 УК РФ все
водействия компьютерным ата- сервисов для получения граж- эти деяния должны быть направ-
кам, от быстроты и эффектив- данами и бизнесом государст- лены против объектов КИИ.
ности действий субъектов. венных услуг "в один клик")18.
Таким образом, анализируе-
Наиболее значимый вклад в Вопросы уголовно- мая уголовно-правовая норма в
цифровую трансформацию рос- определенной мере конкурирует
сийской экономики вносит реа- правовой регламентации сразу с тремя вышеперечислен-
лизация национальной програм- ными статьями и является по
мы "Цифровая экономика Рос- Особое внимание в россий- некоторым критериям специ-
сийской Федерации". Она принята альной по отношению к ним.
в соответствии с Указом Прези- ской национальной программе В некотором смысле конструи-
дента РФ от 7 мая 2018 г. № 204 рование ст. 274.1 УК РФ проти-
"О национальных целях и страте- уделено вопросам безопасности воречит сложившимся отече-
гических задачах развития Рос- ственным традициям кримина-
Редакция ст. 274.1 сийской Федерации на период КИИ и внедрения цифровых тех- лизации и использования прие-
"Неправомерное воздей- до 2024 г."17 и утверждена прези- мов юридической техники при
ствие на критическую диумом Совета при Президенте нологий. Цифровая экономика описании уголовно-правовых
информационную инфра- Российской Федерации по стра- является одним из главных дви- норм. Следуя им, установление
структуру Российской Феде- тегическому развитию и нацио- более строгой уголовной ответ-
рации" УК РФ представляет нальным проектам (протокол гателей роста и развития миро- ственности за посягательства на
собой структуру, состоящую № 16 от 24 декабря 2018 г.). Про- объекты КИИ предпочтительнее
из трех норм об ответствен- грамма включает в себя шесть вой экономики, открывающим было бы реализовать путем
ности за преступления приоритетных направлений: выделения соответствующих
в сфере компьютерной безграничные возможности для квалифицирующих и особо ква-
информации: 1. Нормативное регулирова- лифицирующих признаков в ст.
l ст. 272 "Неправомерный ние цифровой среды (создание бизнеса и государственного сек- 272–274 УК РФ20. Мы солидарны
доступ к компьютерной гибкой системы правового регу- тора. Информационные и теле- с мнением процитированных уче-
информации" УК РФ; лирования, обеспечивающей ных. Полагаем, что уголовно-
l ст. 273 "Создание, исполь- цифровую трансформацию коммуникационные технологии правовая норма об ответствен-
зование и распространение отраслей экономики, социаль- ности за неправомерное воздей-
вредоносных компьютерных ной сферы и управления). играют огромную роль в про- ствие на КИИ РФ требует изме-
программ" УК РФ; нения.
l ст. 274 "Нарушение пра- 2. Информационная инфра- грессе традиционных отраслей.
вил эксплуатации средств структура (создание глобально Консолидация сил
хранения, обработки или конкурентоспособной инфра- Внедрение цифровых техноло-
передачи компьютерной структуры передачи, обработки гий в глобальные производ- Приведенный анализ показы-
информации и информа- и хранения данных, а также вает, что мировое цифровое
ционно-телекоммуникацион- цифровых продуктов для граж- ственные процессы в различных пространство является целью
ных сетей" УК РФ. дан, бизнеса и власти). хорошо организованных ком-
сегментах повсеместно влияет пьютерных атак. Методы и сред-
3. Кадры для цифровой эконо- ства, используемые для их под-
мики (создание условий для фор- на характер производства19. готовки, постоянно совершен-
мирования рынка труда квалифи- ствуются. Такие компьютерные
цированными и конкурентоспособ- При изучении общественных атаки могут быть направлены
ными кадрами цифровой эконо- против различных объектов КИИ
мики через трансформацию всех отношений, складывающихся в не только своего, но и зарубеж-
уровней систем образования). ных государств. Эффективное
связи с уголовно-правовой рег- противодействие компьютерным
4. Информационная безопас- атакам возможно только в рам-
ность (создание безопасной и ламентацией неправомерного ках совместных усилий всех
устойчивой информационной заинтересованных стран, в част-
инфраструктуры для граждан, воздействия на КИИ РФ и неко- ности национальных уполномо-
представителей бизнеса и госу- ченных органов в области обна-
дарства в цифровом пространстве). торых зарубежных стран, уста- ружения и предупреждения ком-
пьютерных атак, и унификации
новлено, что нормы зарубеж- международного законодатель-
ства в сфере обеспечения без-
ного и российской законода- опасности КИИ. l
тельства, предусматривающие Ваше мнение и вопросы
присылайте по адресу
ответственность за посягатель-
[email protected]
ства на объекты КИИ, имеют в
основном бланкетный характер.
Редакция ст. 274.1 "Неправо-
мерное воздействие на крити-
ческую информационную
инфраструктуру Российской
Федерации" УК РФ представляет
собой структуру, состоящую из
трех норм об ответственности
за преступления в сфере ком-
пьютерной информации:
l ст. 272 "Неправомерный
доступ к компьютерной инфор-
мации" УК РФ;
17 Указ Президента Российской Федерации от 7 мая 2018 г. № 204 "О национальных целях
и стратегических задачах развития Российской Федерации на период до 2024 года" // СЗ
РФ. 2018. – № 20. – Ст. 2817.
18 Там же.
19 Хисамова З.И. Международный опыт уголовно-правового противодействия преступлениям
в сфере цифровой экономики. Краснодар: Изд-во Краснодар. ун-та МВД России, 2018. – С. 5.
20 Решетников А.Ю., Русскевич Е.А. Об уголовной ответственности за неправомерное
воздействие на критическую информационную инфраструктуру Российской Федерации (ст.
274.1 УК России) // Законы России: опыт, анализ, практика. – 2018. – № 2.– С. 52.
10 •
РЕКЛАМА
СПЕЦПРОЕКТ
Средства защиты для АСУ ТП и значимых
объектов КИИ: что выбрать?
Светлана Конявская, заместитель генерального директора ЗАО “ОКБ САПР”, к.ф.н.
В ыполнение требований 187-ФЗ и связанных с ним подзаконных
актов сопряжено с очень большим количеством организацион-
ных мероприятий, которые нужно провести в кратчайшие
сроки. На этом фоне необходимые технические меры не кажут-
ся проблемой, тем более что принципиально задачи техниче-
ской защиты информации и способы их решения профессиона-
лам хорошо понятны. Однако при переходе к планированию
выясняется, что с реализацией этих способов на практике все
пока не так благополучно, как в теории.
Объекты защиты информации всех типов криптографии (СФК), условиям хране- Ситуация выглядит несколько лучше
(технические средства, данные, информа- ния, применения ключей и т.д. при использовании аппаратного шлюза,
ционные технологии, каналы передачи однако применение импортного обору-
данных) в КИИ крайне разнообразны – Отсюда вытекает набор свойств, кото- дования неприемлемо по причине его
намного разнообразнее, чем в среднем в рыми должна характеризоваться плат- несоответствия требованиям регулято-
защищенных корпоративных или госу- форма средства защиты сетевого взаи- ров, а отечественные сертифицирован-
дарственных информационных системах. модействия между объектами КИИ, а ные устройства в этом качестве, как
именно возможность: правило, не задействуются. Не то что
Что особенно важно – все это разно- бы их нельзя было установить в каждый
образие практически не может быть 1) создания и поддержания доверен- банкомат, электричку, машину инкасса-
унифицировано, а значит мероприятия ной вычислительной среды; ции, скорую помощь или инфокиоск, но
по защите КИИ должны повлечь за они дороги, избыточны по своим харак-
собой применение столь же разношерст- 2) работы с неизвлекаемым ключом в теристикам, очень велики по размеру и
ных средств защиты информации, кото- автоматическом режиме; зачастую подвержены множеству уже
рые необходимо спроектировать, внед- хорошо разработанных и постоянно
рить и сопровождать. Все это грозит 3) установки различных СКЗИ при появляющихся новых атак.
весьма ощутимыми расходами. соблюдении условий сертификации на
высокие классы; Какой он, неизвлекаемый ключ?
Особенно выпукло картина выглядит на
примере защиты сетевого взаимодействия 4) работы с различными каналами Еще одно требование регулятора к
объектов КИИ: защищено должно быть связи по различным протоколам (при СКЗИ высокого класса – неизвлекаемый
все, а не только информационный уровень необходимости параллельно); ключ. Казалось бы, эта тема должна
системы. Обменивающиеся по сети раз- быть раскрыта в современных СКЗИ в
ными данными и сигналами технические 5) коммутации с различным оборудо- полной мере, однако и здесь есть важные
средства объектов КИИ не только сами по ванием объекта КИИ без модификации для применения в КИИ особенности.
себе разнообразны, но и могут распола- последнего.
гаться весьма нетривиальным для обычных Неизвлекаемость – свойство, описы-
информационных систем образом (как на Все эти характеристики касаются вающее связь ключа с некоторым его
стационарных, так и на мобильных и даже именно аппаратной платформы, а не физическим хранилищем. То есть говоря
подвижных объектах). программной реализации на ней кон- о том, что ключ неизвлекаем, необходимо
кретного решения. уточнять, откуда. Такие ключи, как правило,
При этом на всех местах выработки неизвлекаемы из токена, который обычно
должны защищаться все сигналы и все СКЗИ только высокого класса представляет собой USB-устройство,
каналы передачи данных. смарт-карту или "таблетку" Touch Memory.
Фактически в части защиты сетевого
Что должна уметь платформа взаимодействия все специфичное в тре- Читая документы на СКЗИ высоких
защиты? бованиях к КИИ сводится к тому, что классов сертификации для защиты кана-
при работе с использованием сетей ла, мы видим, что "требование неизвле-
В подавляющем большинстве КИИ общего доступа каждый узел должен каемости ключа выполняется примене-
непременной частью системы защиты быть защищен СКЗИ высокого класса. нием токена…". Это добросовестное
сетевого взаимодействия являются сред- Все остальное – следствия из этого выполнение требования, однако токен с
ства криптографической защиты инфор- обстоятельства. неизвлекаемым ключом – инструмент
мации (СКЗИ), поскольку, как уже упо- решения совсем другой задачи, суще-
миналось, некоторые объекты КИИ взаи- Например, для оборудования каждого ственно отличающейся от защиты сете-
модействуют по незащищенным сетям узла СКЗИ, сертифицированным на вого взаимодействия объектов КИИ.
общего доступа, причем с использова- высокий класс, неприемлемо использо- Токен предназначен для того, чтобы ключ
нием стандартных цифровых каналов вать установленный на технические пользователя был отчуждаем от СВТ, на
типа Wi-Fi, Bluetooth и LTE. Со стороны средства программный VPN. Даже если котором пользователь осуществляет те
СКЗИ же в свою очередь предъявляются для него создана и поддерживается или иные операции с ключом. В описы-
требования к среде функционирования СФК, это недопустимо потому, что при ваемом же случае отчуждаемость не
техническом обслуживании объекта в только избыточна, но и вредна: с одной
12 • него могут быть внесены изменения, стороны, она делает возможными сцена-
нарушающие СФК, а проведение в каж- рии атак с подменой или иными вариан-
дом случае соответствующих проверок
просто невозможно организационно.
Объекты КИИ зачастую обслуживаются
большим количеством технического пер-
сонала, среди которого может скры-
ваться злоумышленник.
КИИ www.itsec.ru
тами компрометации ключа за счет отчуж-
даемости его носителя, а с другой – под-
ключенное к порту USB-устройство резко
снижает надежность решения при вибра-
ции, ударах, нагревании и прочих усло-
виях, в которых работают технические
средства на объектах КИИ.
Модуль работы с неизвлекаемым клю-
чом должен быть реализован как часть
резидентного компонента безопасности,
размещенного непосредственно на плате
компьютера, а не как отчуждаемый пер-
сональный носитель ключа.
Задачи коммутации и использования Микрокомпьютер ты использовать тот, который доступен в
широкого спектра каналов для масштабных задач данный момент и в данном месте.
и протоколов связаны уже
не с требованиями регуляторов, MK-И – это микрокомпьютер Новой Такое средство защиты универсально:
а с техническими особенностями гарвардской архитектуры m-TrusT и на все технические средства всех объ-
объектов КИИ. Необходимость интерфейсная плата для его коммутации ектов системы внедряется одно и то же
поддерживать множество различных с сетевой инфраструктурой, которая СЗИ без внесения каких-либо изменений
интерфейсов тоже требует может включать в себя самые разные в само защищаемое оборудование. Эта
аппаратных решений. Всем этим типы оборудования. Интерфейсные универсальность обеспечивается интер-
требованиям отвечает платы делаются различными, а сам мик- фейсными платами.
специализированный компьютер с рокомпьютер m-TrusT – универсальный, Особые варианты
аппаратной защитой данных m-TrusT. его форм-фактор не зависит от предпо-
Его особенностями являются: лагаемого места установки. Как показала практика, для некоторых
l Новая гарвардская архитектура, Каждый микрокомпьютер m-TrusT объектов может быть удобным исполне-
обеспечивающая вирусный является точкой сбора информационных ние платформы в едином корпусе, напри-
иммунитет; и/или управляющих сигналов от объектов мер если частое переоборудование не
l аппаратная поддержка реализации КИИ, их шифрования для передачи по требуется, а техническое средство функ-
доверенной загрузки; каналам связи, а также приема зашиф- ционирует вне помещения, где внешние
l функциональная замкнутость среды; рованных сигналов из каналов связи и условия могут быть разнообразными и
l аппаратное обеспечение их расшифровки. не всегда благоприятными. В этом слу-
целостности; Микрокомпьютер не подключается чае корпус снижает возможное воздей-
l аппаратное резидентное решение напрямую ни к чему, кроме собственной ствие внешних условий.
по неизвлекаемости ключа; интерфейсной платы, поэтому его состав Некоторые из объектов КИИ могут быть
l аппаратный ДСЧ. несложный и постоянный. офисными или серверными. В таких слу-
Универсальное решение Наличие собственной ОС и вычисли- чаях гораздо уместнее и соответствующее
тельных ресурсов позволяет обеспечить исполнение платформы для СЗИ – для
Вариантов исполнения требований достаточную для защиты сетевого взаи- размещения в стойку или на столе.
187-ФЗ несколько. Можно: модействия производительность1 и высо- Именно поэтому мы утверждаем, что
1) провести модернизацию объектов КИИ; кий уровень защищенности. m-TrusT – универсальное решение. Адап-
2) для каждого объекта КИИ разрабо- Особенностями m-TrusT является тация СЗИ к системе и к ее конкретному
тать, изготовить и сертифицировать собст- наличие датчика случайных чисел и раз- объекту – это задача не эксплуатирую-
венное множество аппаратных СКЗИ; мещение ПО в памяти с физически щей организации, а производителя СЗИ.
3) создать специальную аппаратуру устанавливаемым доступом Read Only И она решена.
со всеми необходимыми свойствами, (только чтение), что исключает вредо- Платформа в действии
особенностью которой будет простейшая носное воздействие на ПО и обусловли-
модернизация к любым объектам и кана- вает неизменность среды функциони- Для систем класса АСУТП и КИИ осо-
лам, не требующая проведения повтор- рования СКЗИ. Ресурсы m-TrusT обес- бое значение имеют климатические
ной сертификации. печивают СФК и возможность серти- условия. Специализированные компью-
Очевидно, что только третий вариант фикации варианта исполнения СКЗИ теры m-TrusT могут изготавливаться для
полностью приемлем, если цена решения на m-TrusT на класс КС3. Помимо Новой категорий С (Custom), I (Industrial)
будет доступной. Адаптация СЗИ к тех- гарвардской архитектуры, защищенность и M (Military). Стандартное решение – I.
ническим средствам объектов КИИ поз- платформы определяется РКБ и СДЗ, Еще раз подчеркнем, что такая плат-
волит сохранить инвестиции. Однако сертифицированным ФСТЭК России. форма уже создана, запатентована,
адаптация СЗИ (а особенно СКЗИ) – Встроенное СКЗИ может быть любым решения, построенные на ней, серти-
это повторная сертификация. сертифицированным. фицированы, внедряются и применяют-
Решение – в декомпозиции: разделе- Разумеется, за счет описанных особен- ся в реальных функционирующих КИИ.
ние СЗИ на то, что должно быть неизмен- ностей МК-И построенное на нем решение Ее преимущества – кроме сертифици-
ным, чтобы не требовалось повторной может поддерживать любой из вариантов рованных ФСТЭК и ФСБ России
сертификации, и то, что может меняться, связи объектов или даже все их одновре- встроенных средств защиты и "вирус-
чтобы интегрироваться с очередным тех- менно, причем с дублированием каждого ного иммунитета" – достаточная про-
ническим средством на объекте КИИ. канала (несколько каналов Ethernet, изводительность при низкой цене. l
Такое решение уже создано – это несколько SIM-карт для
защищенная интеграционная платформа мобильного Интернета и NM Реклама
МК-И. т.д.), чтобы во время рабо- АДРЕСА И ТЕЛЕФОНЫ
1 Возможна защищенная передача видеосигнала с камер без ОКБ САПР
ощутимого снижения качества изображения. см. стр. 48
• 13
ПРАВО И НОРМАТИВЫ
Время законодательных перемен
Анастасия Заведенская, аналитик Аналитический центр Уральского центра
систем безопасности
Сентябрь 2019 года
П ервый осенний месяц 2019 г. принес много нового в области
защиты и обработки персональных данных. Госдумой
рассмотрен большой пакет изменений административных
штрафов за нарушение требований обработки ПДн, а также
официально опубликованы изменения в требования по защите
информации в государственных информационных системах
(ГИС).
На официальный государственный мировать Роскомнадзор об утечках ПДн ПДн, но при условии, что иная инфор-
портал 17 сентября 2019 г. выложен и введут соответствующие штрафы за мация, позволяющая определить субъ-
законопроект о ратификации Протокола невыполнение данной обязанности. екта, не будет передана оператором
о внесении изменений в Конвенцию третьему лицу;
Совета Европы о защите физических 3. В модернизированной конвенции l если третьим лицом были получены
лиц при автоматизированной обработке содержится требование учредить один обезличенные ПДн, то оно может исполь-
персональных данных1. или несколько надзорных органов, ответ- зовать их в предпринимательской дея-
ственных за ее выполнение, с четким тельности, но не допускается совершать
Основная цель законопроекта – это при- описанием их полномочий. Законопроек- любые действия, позволяющие устано-
дание юридической силы протоколу, том данные полномочия возлагаются на вить субъекта ПДн;
который был подписан Россией 10 октяб- Роскомнадзор. l получение, обработка и любое исполь-
ря 2018 г. Изменения, вносимые прото- зование обезличенных данных осуществ-
колом в Конвенцию Совета Европы, Обезличенные ПДн ляется свободно, без согласия субъекта
содержат иные правила, чем предусмот- и обезличенные данные: в чем ПДн;
ренные законодательством РФ. разница? l требования и методы обезличивания
ПДн должны быть разработаны Роском-
Модернизация требований в 18 сентября 2019 г. Минкомсвязи Рос- надзором и распространяться на всех
области персональных данных сии опубликовала проект федерального операторов ПДн;
закона о внесении изменений в Феде- l требования и методы обезличивания,
Исполнение протокола Россией потре- ральный закон "О персональных дан- обеспечивающие невозможность отне-
бует внесения изменений в Федеральный ных"2. сения информации к конкретному субъ-
закон "О персональных данных" и Кодекс екту ПДн, устанавливаются Правитель-
Российской Федерации об администра- Законопроект предлагает к рассмот- ством РФ.
тивных правонарушениях (КоАП). рению новые понятия – "обезличенные
ПДн" и "обезличенные данные". Обработка ПДн по согласию
Уже сейчас стоит обратить внимание и поручению
на такие основные моменты: Обезличенными ПДн считается такой
набор данных, который при дополнении Разработчики изменений предлагают
1. Модернизированной конвенцией любой иной информацией позволит отказаться от основного принципа полу-
вводятся новые определения "контролер" определить субъекта ПДн. Обезличен- чения согласия субъекта ПДн: "одна
(что соответствует понятию "оператор", ные данные – те, которые при любых цель – одно согласие". Законопроектом
закрепленному в Федеральном законе проделанных с ними действиях не при- предлагается возможность:
"О персональных данных"), "лицо, осу- ведут к определению субъекта ПДн. l дачи согласия на обработку ПДн одно-
ществляющее обработку персональных временно для нескольких целей (при
данных" и "получатель". Как следствие, В проекте описаны следующие поло- этом субъектам ПДн гарантируется
понятийный аппарат нормативно-право- жения по работе с обезличенными ПДн право отказаться от дачи согласия на
вой базы РФ в области обработки и и обезличенными данными: обработку ПДн или внести в него изме-
защиты ПДн необходимо будет также l обезличивание ПДн должно осуществ- нения);
под них подстроить. ляться с согласия субъекта ПДн, за l получения подтверждения дачи согласия
исключением случаев, установленных субъектом на обработку его ПДн в элек-
2. Модернизированная конвенция обя- федеральными законами (например, тронной форме (по СМС, электронной
зует контролера своевременно уведом- обезличивание в исследовательских, почте, путем заполнения формы на сайте
лять компетентный надзорный орган статистических и (или) аналитических оператора или лица, действующего по
(в РФ – Роскомнадзор) об утечках дан- целях допускается без согласия); поручению оператора, иными способами);
ных, в связи с чем за невыполнение l действия, приводящие обезличенные l указания лиц, осуществляющих обра-
оператором обязанности по уведомле- ПДн к виду, который позволяет опреде- ботку ПДн по поручению оператора (если
нию уполномоченного органа устанав- лить субъекта ПДн, должны осуществ-
ливается административная ответствен- ляться по согласию субъекта ПДн;
ность. А это значит, что рано или поздно l допускается передача обезличенных
операторов ПДн в РФ обязуют инфор- ПДн третьему лицу по согласию субъекта
1 https://regulation.gov.ru/projects#npa=95055
2 https://regulation.gov.ru/projects#npa=95069
14 •
ПРАВО И НОРМАТИВЫ www.itsec.ru
согласие дается в электронной форме), Таблица. Изменения в обязательных мероприятиях по защите
путем включения в согласие адреса информации в ГИС в ходе эксплуатации
сайта оператора в сети Интернет, содер-
жащего информацию об этих лицах. Было Стало
l Управление (администрирование) l Планирование мероприятий по защите
При этом оператор обязан информи- системой защиты информации информации в информационной системе
ровать субъекта ПДн о внесении изме- информационной системы l Анализ угроз безопасности информации
нений в сведения о лицах, осуществ- l Выявление инцидентов в информационной системе
ляющих обработку по поручению. Сле- и реагирование на них l Управление (администрирование)
дует обратить внимание, что указанная l Управление конфигурацией аттесто- системой защиты информации
норма позволяет корректировать именно ванной информационной системы информационной системы
сведения о тех лицах, на передачу ПДн и ее системы защиты информации l Управление конфигурацией
которым уже дано согласие субъектом, l Контроль (мониторинг) за обеспечением информационной системы
а не добавлять новых. уровня защищенности информации, и ее системой защиты информации
содержащейся в информационной l Реагирование на инциденты
Сбор и хранение по закону системе l Информирование и обучение персонала
информационной системы
Законопроект № 729516-7 "О внесении l Контроль за обеспечением уровня
изменений в КоАП (об установлении защищенности информации, содержащейся
административной ответственности за в информационной системе
невыполнение оператором при сборе
ПДн граждан Российской Федерации обя- 28.05.2019 г. № 1065 "О внесении изме- l для блокирования угроз безопасности
занности по обеспечению их хранения нений в Требования о защите информа- информации, обрабатываемой в ГИС,
с использованием баз данных, находя- ции, не составляющей государственную можно использовать меры защиты, уже
щихся на территории Российской Феде- тайну, содержащейся в государственных реализованные в ЦОД (если такие
рации)"3 10 сентября 2019 г. принят в пер- информационных системах, утвержден- имеются);
вом чтении, и в октябре в него должны ные приказом Федеральной службы по l средства защиты информации (СрЗИ),
были внести необходимые правки. техническому и экспортному контролю устанавливаемые в ГИС, должны быть
от 11 февраля 2013 г. № 17" официально совместимы между собой и со СрЗИ,
На данный момент штрафы, предла- опубликован 16 сентября 2019 г. и всту- установленными в ЦОД.
гаемые проектом закона, доходят до пил в силу с 27 сентября 2019 г.
18 млн руб. для юридических лиц в слу- Правила аттестации
чае повторного невыполнения обязан- Приказ вносит изменения в правила
ности по сбору ПДн граждан РФ проектирования, ввода в эксплуатацию Аттестационные испытания могут быть
с использованием баз данных, находя- и эксплуатации государственных инфор- совмещены с проведением приемочных
щихся на территории РФ. мационных систем (ГИС). Большой блок испытаний ГИС.
уточнений привносится для ГИС, функ-
Дополнения в состав ЕБС ционирующих на базе центров обработки Аттестат соответствия выдается на весь
данных (ЦОД), но также затрагивается срок эксплуатации ГИС, но оператор дол-
Постановлением Правительства РФ и непосредственное обеспечение инфор- жен поддерживать соответствие системы
от 13 сентября 2019 г. № 11974 внесены мационной безопасности в ходе экс- защиты аттестату в рамках реализации
изменения в состав "Сведений, разме- плуатации ГИС. мероприятий по обеспечению защиты в
щаемых в единой информационной ходе эксплуатации. При этом актуальной
системе персональных данных, обес- ГИС и ЦОД становится проблема с тем, что иные
печивающей обработку, включая сбор и нормативные документы устанавливают
хранение, биометрических персональных Если оператором ГИС планируется конкретный срок действия аттестата.
данных, их проверку и передачу инфор- перенос инфраструктуры полностью или
мации о степени их соответствия предо- даже частично на мощности ЦОД, то В приказе № 17 есть указание о при-
ставленным биометрическим персональ- необходимо обратить внимание на сле- менении для проведения аттестации
ным данным гражданина Российской дующие требования: национальных стандартов, а также мето-
Федерации, включая вид биометриче- l класс защищенности ГИС не может дических документов, разработанных
ских персональных данных", утвержден- быть выше класса защищенности ЦОД. и утвержденных ФСТЭК России. К ним
ных постановлением Правительства РФ Необходимо понимать, что для потенци- относятся ГОСТ РО 0043-003–2012 "Атте-
от 30 июня 2018 г. № 772. ального ЦОД должен быть определен стация объектов информатизации. Общие
класс защищенности и ЦОД должен положения", ГОСТ РО 0043-004–2013
Таким образом в состав сведений быть аттестован; "Программа и методики аттестационных
Единой биометрической системы (ЕБС) l при моделировании угроз безопасно- испытаний", в которых установлен кон-
добавлены контактные данные физиче- сти информации, обрабатываемой в кретный срок, исчисляемый в годах.
ского лица (номер мобильного телефона, ГИС, в модели угроз должны быть учте- К методическим документам можно также
адрес электронной почты). Ранее в ЕБС ны и угрозы, актуальные для ЦОД; отнести Положение по аттестации объ-
были включены только: l в случае создания ГИС, функциони- ектов информатизации по требованиям
l биометрические ПДн (фото и запись рование которой предполагается на базе безопасности информации Гостехкомис-
голоса); ЦОД, дополнительно необходимо опре- сии от 25 ноября 1994 г. (актуально до
l идентификаторы того, кто разместил делить требования по защите информа- сих пор), в котором прописано, что атте-
в ЕБС данные о физическом лице; ции для ЦОД; стат соответствия выдается на срок не
l сведения о регистрации физического более трех лет.
лица в ЕСИА (Единая система иденти-
фикации и аутентификации).
Нововведения в сфере ГИС
Приказ Федеральной службы по тех-
ническому и экспортному контролю от
3 https://sozd.duma.gov.ru/bill/729516-7#bh_histras
4 http://publication.pravo.gov.ru/Document/View/0001201909160024
5 https://rg.ru/2019/09/18/fstek-prikaz106-site-dok.html
• 15
ПРАВО И НОРМАТИВЫ
Обеспечение защиты в ходе Выявление, анализ и устранение опасности информации и реагированию
эксплуатации уязвимостей, анализ изменения угроз на инциденты;
для ГИС должны проводиться в течение l контроле осведомленности об угрозах
К обязательным мероприятиям по всего времени ее эксплуатации. Перио- безопасности информации и уровня зна-
защите информации в ГИС в ходе экс- дичность указанных работ определяется ний по вопросам обеспечения защиты
плуатации добавились: оператором самостоятельно. информации.
l планирование мероприятий по защите
информации в ГИС; Информирование и обучение персо- Периодичность проведения практиче-
l анализ угроз безопасности информа- нала заключается в: ских занятий и тренировок, обучения
ции в ГИС; l информировании о появлении акту- и контроля осведомленности устанав-
l информирование и обучение персо- альной угрозы безопасности информа- ливается оператором, но не реже одного
нала ГИС по вопросам обеспечения ции, правилах безопасной эксплуата- раза в два года.
информационной безопасности (ИБ). ции;
l доведении до сведения требований Для контроля за обеспечением уровня
Планирование мероприятий включает по защите информации, а также поло- защищенности добавлены требования
в себя определение лиц, ответственных жений организационно-распорядитель- по периодичности его проведения:
за планирование и контроль, выявление ной документации; l для 1-го класса защищенности –
инцидентов ИБ и реагирование на них. l обучении правилам эксплуатации не реже одного раза в год;
План мероприятий должен быть утвер- отдельных средств защиты информа- l для 2-го и 3-го классов защищенности –
жден вместе с правовым актом о вводе ции; не реже одного раза в два года.
в эксплуатацию ГИС и содержать сроки l проведении практических занятий и
проведения контроля выполнения утвер- тренировок по блокированию угроз без- Контроль за обеспечением уровня
жденных мероприятий. защищенности может осуществляться
оператором ГИС самостоятельно или
с привлечением лицензиата по техниче-
ской защите конфиденциальной инфор-
мации.
Средства защиты
информации
Ввиду отмены процедуры сертифика-
ции СрЗИ по уровню контроля недекла-
рированных возможностей требования
к СрЗИ ГИС скорректированы на обяза-
тельную сертификацию по уровням дове-
рия. При проектировании вновь созда-
ваемых или модернизируемых ГИС,
имеющих подключение к Интернету,
должны выбираться маршрутизаторы,
сертифицированные на соответствие
требованиям информационной безопас-
ности (в части реализованных функций
безопасности). l
Октябрь 2019 года
К то может участвовать в конкурсном отборе на проектирование отраслевого центра
ГосСОПКА? Что такое киберполигоны? Какие административные штрафы предлагается
ввести за нарушение законодательства в области обеспечения безопасности КИИ?
Ответы на эти вопросы – в нашем обзоре изменений законодательства за октябрь 2019 г.
Постановление Правительства Рос- Конкурсный отбор будет проводиться последние три года, в том числе по их
сийской Федерации от 7 октября 2019 г. Минкомсвязи России. выводу на плановую окупаемость и (или)
№ 12851 "Об утверждении Правил пре- обеспечению достижения запланирован-
доставления субсидий из федерального Критериями конкурсного отбора ных показателей экономической эффек-
бюджета на создание отраслевого цент- являются: тивности.
ра Государственной системы обнаруже- l наличие в уставе организации поло-
ния, предупреждения и ликвидации жений, предусматривающих оказание При этом неясно, какой центр Гос-
последствий компьютерных атак (Гос- научно-технических и информационных СОПКА должен быть создан, так как
СОПКА) и включение его в систему услуг, создание и использование баз законодательно термин "отраслевой
автоматизированного обмена информа- данных и информационных ресурсов; центр ГосСОПКА" не закреплен: соглас-
цией об актуальных киберугрозах" офи- l наделение организации правом полу- но Концепции ГосСОПКА, утвержденной
циально опубликовано 9 октября 2019 г. чения обязательного экземпляра ком- президентом РФ 12 февраля 2014 г.
пьютерных программ и баз данных; (указ № К 1274), центры подразделяются
Субсидирование создания l наличие у организации лицензии на на главный центр, региональные центры,
отраслевого центра ГосСОПКА работу со сведениями, составляющими территориальные центры, центры орга-
гостайну; нов государственной власти РФ и орга-
Правила устанавливают требование к l наличие у организации успешного нов государственной власти субъектов
заявителям на получение субсидий для опыта реализации проектов в сфере РФ (ведомственные центры) и корпора-
создания отраслевого центра ГосСОПКА. информационной безопасности за тивные центры.
1 http://publication.pravo.gov.ru/Document/View/0001201910090023
16 •
ПРАВО И НОРМАТИВЫ www.itsec.ru
Таблица. Суммы административных штрафов, предлагаемые проектом Киберполигоны
Лицо Административ- За что? Постановление Правительства Россий-
ный штраф, руб. ской Федерации от 12 октября 2019 г.
Должностное 10 000–50 000 l Нарушение порядка категорирования объектов КИИ. № 13202 "Об утверждении Правил пре-
лицо l Нарушение требований по обеспечению доставления субсидий из федерального
безопасности значимых объектов КИИ, бюджета на создание киберполигона для
10 000–40 000 за исключением случаев, повлекших причинение обучения и тренировки специалистов
20 000–50 000 вреда КИИ РФ, если такие действия (бездействия) и экспертов разного профиля, руководи-
не содержат уголовно наказуемого деяния телей в области информационной без-
Юридическое 50 000–100 000 l Нарушение порядка информирования опасности и информационных технологий
лицо о компьютерных инцидентах, реагирования на них, современным практикам обеспечения
принятия мер по ликвидации последствий безопасности" официально опубликовано
150 000–200 000 компьютерных атак, проведенных в отношении 15 октября 2019 г. Данные Правила уста-
100 000–200 000 значимых объектов КИИ навливают процедуры по субсидированию
l Непредставление или нарушение сроков создания киберполигонов.
100 000–500 000 представления во ФСТЭК России сведений
о результатах категорирования объекта КИИ Киберполигон – это инфраструктура
l Непредставление или нарушение порядка либо для отработки практических навыков
сроков представления информации в ГосСОПКА специалистов, экспертов разного про-
l Нарушение требований к созданию систем филя, руководителей в области инфор-
безопасности значимых объектов КИИ мационной безопасности и информа-
и обеспечению их функционирования, если такие ционных технологий, а также для тести-
действия (бездействия) не содержат уголовно рования программного и аппаратного
наказуемого деяния обеспечения путем моделирования ком-
l Нарушение порядка обмена информацией пьютерных атак и отработки реакций на
о компьютерных инцидентах между субъектами КИИ, них. Заявиться на конкурсный отбор
между субъектами КИИ и уполномоченными может любое юридическое лицо, за
органами иностранных государств, международными, исключением государственного (муни-
международными неправительственными ципального) учреждения. Субсидии на
организациями и иностранными организациями, киберполигон также будут распреде-
осуществляющими деятельность в области ляться Минкомсвязи России.
реагирования на компьютерные инциденты
l Нарушение порядка категорирования объектов КИИ Организации, желающие подать
l Нарушение требований к созданию систем заявки на участие в конкурсном отборе,
безопасности значимых объектов КИИ и обеспечению должны соответствовать критериям,
их функционирования, если такие действия (бездей- установленным Правилами. В частности,
ствия) не содержат уголовно наказуемого деяния у потенциального заявителя должно
l Нарушение требований по обеспечению быть соглашение о намерениях по реа-
безопасности значимых объектов КИИ, лизации проектов в области перспек-
за исключением случаев, повлекших причинение тивных информационных технологий
вреда КИИ РФ, если такие действия (бездействия) с Дальневосточным федеральным уни-
не содержат уголовно наказуемого деяния верситетом. Такие соглашения, напри-
l Непредставление или нарушение сроков представ- мер, есть у АО "Вертолеты России",
ления во ФСТЭК России сведений о результатах ПАО "МТС", АО "РЖД", ООО "Элемент"3.
категорирования объекта КИИ
l Нарушение порядка информирования о компьютерных КоАП и КИИ
инцидентах, реагирования на них, принятия мер по
ликвидации последствий компьютерных атак, прове- ФСТЭК России 18 октября 2019 г.
денных в отношении значимых объектов КИИ повторно опубликовала проект феде-
l Нарушение порядка обмена информацией рального закона4 "О внесении изменений
о компьютерных инцидентах между субъектами в Кодекс Российской Федерации об
КИИ, между субъектами КИИ и уполномоченными административных правонарушениях в
органами иностранных государств, международными, части установления административной
международными неправительственными организа- ответственности за нарушение законо-
циями и иностранными организациями, дательства в области обеспечения без-
осуществляющими деятельность в области опасности критической информационной
реагирования на компьютерные инциденты инфраструктуры (КИИ) Российской
l Непредставление или нарушение порядка Федерации". Публичные обсуждения про-
либо сроков представления в ГосСОПКА екта проходят с 18 октября по 15 ноября
информации на официальном портале.
Суммы административных штрафов,
предлагаемые проектом, приведены
в таблице. l
Ваше мнение и вопросы
присылайте по адресу
[email protected]
2 http://publication.pravo.gov.ru/Doc-
ument/View/0001201910150030
3 https://minvr.ru/press-center/news/
23371/
4 https://regulation.gov.ru/projects#
npa=96058
• 17
УПРАВЛЕНИЕ
Четыре проверенных способа
оптимизировать расходы на ИБ
Андрей Степанов, эксперт по информационной безопасности
Р азвивать информационную безопасность непросто, особенно
когда руководство не позволяет увеличивать расходы или еще
хуже – требует их оптимизации. Тем не менее, если не опускать
руки, а включить мозги, то поддерживать информационную
безопасность на приемлемом уровне и развивать возможно даже
при жесткой экономии. Более 13 лет я проработал
руководителем ИБ в различного рода организациях –
министерствах, кредитных учреждениях, энергетических
компаниях. Я накопил немалый практический опыт управления
ИБ, которым хотелось бы поделиться в этой статье.
По моему опыту, при Рано или поздно ранее выбранных средств защи- l отсутствует возможность
оптимизации расходов менеджер ИБ сталкива- ты более дешевыми альтерна- самостоятельной настройки
ответственный за информа- ется с ограничениями тивными или переговоры сервиса;
ционную безопасность ока- бюджета по ряду разных при- с интеграторами о снижении l настройка и добавление спе-
зывается "в тисках": с одной чин: финансовые трудности цены. Можно рассмотреть вари- цифичных функций потребует
стороны, ему нужно обес- у компании, руководство желает ант постепенной покупки нуж- дополнительных затрат;
печивать должный уровень оптимизировать расходы и т.д. ного количества СЗИ, частями l снижение CAPEX – увеличе-
безопасности и выполнять По моему опыту, при оптими- в течение нескольких лет. ние OPEX, если финансовая
Compliance, а с другой – зации расходов ответственный модель предприятия привет-
вписаться в обозначенный за информационную безопас- Плюс этого подхода в воз- ствует увеличение собственных
руководством бюджет. ность оказывается "в тисках": можности сэкономить и/или активов (увеличение стоимости
с одной стороны, ему нужно уменьшить финансовую нагруз- организации).
18 • обеспечивать должный уровень ку в текущий момент времени.
безопасности и выполнять Совет: во время принятия
Compliance, а с другой – впи- К минусам относится то, что: решения об использовании
саться в обозначенный руко- l альтернативный продукт SaaS или приобретении СЗИ
водством бюджет. может оказаться не настолько необходимо оценивать общие
На практике можно выделить эффективным, как изначально затраты на владение в период
следующие направления воз- выбранный, и возрастет веро- минимум 3–5 лет. Часто бывает,
можной оптимизации затрат: ятность реализации закрывае- что при длительном владении
1. Лицензии и техподдержка мых угроз; собственными СЗИ общие
на СЗИ. l есть риск, что в последующие затраты оказываются меньше,
2. Человеческие ресурсы. годы руководство повторно чем подписка на SaaS.
3. Аутсорсинг процессов. попросит сократить расходы.
4. Реализация взаимовыгод- Смена продукта
ных проектов. Использование SaaS
Можно внедрить практику,
Лицензии и техподдержка Еще один из способов – отка- получившую широкое распро-
на СЗИ заться от приобретения СЗИ странение в Европе, – смену про-
и воспользоваться Software-as- дукта для получения первона-
Самое первое, что приходит a-Service (SaaS). Тогда можно чальной скидки. Ставка делается
в голову, – это экономия на в короткие сроки получить пол- на желание вендора "переманить"
закупке СЗИ путем замены ноценный сервис и существенно клиента у конкурента. В таких
сэкономить при единовремен- случаях новому клиенту предла-
ной закупке (иногда до 70%). гается хорошая скидка на перво-
При этом освобождаются чело- начальную лицензию СЗИ при
веческие ресурсы, так как про- условии перехода от конкурента,
падает потребность осуществ- что дает возможность существен-
лять техническую поддержку но сэкономить (иногда до 30%).
СЗИ (СЗИ обслуживаются вла-
дельцем сервиса), а также Однако при злоупотреблении
наблюдается снижение CAPEX можно получить плохую репу-
и увеличение OPEX, если тацию среди вендоров, а вместо
финансовая модель предприя- скидок – повышение цены.
тия приветствует снижение Кроме того, каждый переход
собственных активов (снижение на новый продукт потребует
налогооблагаемой базы). внутренних трудозатрат на
внедрение, а если ресурсы не
Среди минусов: из вашего подразделения, то
l стандартная подписка обычно это может вызвать негативную
ограничена по функционально- реакцию их владельца.
сти;
УПРАВЛЕНИЕ www.itsec.ru
Реклама
Совет: перед принятием а также компенсация недопо- примеры. Например, при В маленькой организации
решения необходимо предва- лученной прибыли в случае необходимости участия ИБ без критической инфра-
рительно взвесить все за и про- перебоев в работе ЦОД. в крупном проекте и отсутствии структуры самой существен-
тив. Например, для многих орга- своих свободных экспертов есть ной экономии можно
низаций ввиду специфики дея- Человеческие ресурсы возможность "взять напрокат" добиться за счет перевода
тельности репутация надежного специалиста у интегратора1 инфраструктуры в защи-
и стабильного заказчика более Один из распространенных и вернуть его после завершения щенные облачные ЦОД.
важна, чем экономия. Следует способов экономии на персо- проекта.
также заручиться поддержкой нале, если ситуация позволяет
руководства топ-уровня. использовать работников невы- Плюсы аутстафа:
сокой квалификации, – это при- l в короткие сроки можно при-
При переходе на ограничен- влечение практикантов или обрести квалифицированного
ную техническую поддержку прием на работу выпускников специалиста, который сразу
экономия может повлечь дегра- без опыта. Труд практикантов готов к выполнению поставлен-
дацию сервиса. Нужно действо- обычно бесплатен, а выпускни- ной задачи;
вать осторожно. ки нетребовательны к заработ- l опыт других проектов и ком-
ной плате, пока не набрались петенции нескольких специали-
Защищенные облачные ЦОД опыта. Их главная цель – полу- стов интегратора;
чить опыт и знания, которыми l такой подход позволяет не
В маленькой организации без компания может поделиться. увеличивать ФОТ, что обычно
критической инфраструктуры приветствуется владельцами
самой существенной экономии В этом есть свои плюсы: бизнеса, так как это OPEX и его
можно добиться за счет пере- l экономия на ФОТ; можно отнести к расходам.
вода инфраструктуры в защи- l работа с легкими задачами,
щенные облачные ЦОД. которые квалифицированные Из минусов:
специалисты не горят желанием l в любой момент работник
Плюсы: решать. может быть заменен на другого,
l отсутствует необходимость что потребует временных затрат
обслуживать и поддерживать С другой стороны, минусов на его вхождение в курс дел по
сервисы, в результате возни- не избежать: проекту;
кает экономия на ФОТ в под- l требуются наставники l возможны конфликты с дру-
разделениях ИБ и ИТ; и время на обучение; гими подразделениями, так как
l затраты на СЗИ входят l после получения опыта и зна- аутстаф-работник на первых
в общий договор, возможно сни- ний необходимо повышать
жение бюджета ИБ почти до 0; работника в должности или Таблица. Сравнение штатного и аутстаф-работника
l отсутствуют CAPEXы, только улучшать мотивационную (без учета затрат на подбор/прием/увольнение
OPEX. составляющую, так как его цена работника на период проекта)
на рынке возрастает.
Минусы: Вид затрат, Штатный Аутстаф-
l риск нарушения конфиден- Совет: обязательно пред- руб/мес работник работник
циальности или потери данных; усмотреть NDA с учебным заве- Оклад 50 000 -
l сложно найти ЦОД, который дением и самим практикантом. Страховые взносы
будет по умолчанию обеспечи- При приеме на работу выпуск- ПФР (22%), 15 000 -
вать все потребности по защи- ников нужно заранее планиро- ФСС (5,1% + 2,9%) 500 -
те, особенно в части выполне- вать их мотивацию к работе в ДМС (условно 1%) 5 000 5 000
ния требований регуляторов. будущем, когда они уже набе- Рабочее место 4 000 -
рутся опыта. ПК, ноутбук, софт - 50 000
Совет: нужно внимательно Внешние затраты 74 500 55 000
изучать модель угроз и техни- Другой тренд – брать в аренду Итого
ческое задание на СЗИ ЦОД. специалистов у внешних ком-
Кроме того, в SLA-договоре паний под решение определен-
должно быть предусмотрено ных задач. К сожалению, в Рос-
страхование рисков от потери сии это направление пока еще
данных, конфиденциальности, только развивается, но уже есть
1 Аутстаффинг (от англ. out staff – вывод за штат) – это способ управления персоналом, при котором одно юридическое
лицо (исполнитель) оказывает другому юридическому лицу (заказчику) услуги в форме предоставления в распоряжение
заказчика определенного количества работников, не вступающих с ним в какие-либо правовые отношения (гражданско-правовые,
трудовые) напрямую, но оказывающих от имени исполнителя определенные услуги (работы) по месту нахождения заказчика.
• 19
УПРАВЛЕНИЕ
сервисы получаются дешевле, факторной аутентификации,
чем выполнение этих работ
собственными силами. предложив снизить мошенни-
Например, в России уже чество среди работников из-
вошло в норму покупать услугу
защиты каналов от DDos, а не за трудностей передачи паро-
строить свою, хотя всего 10 лет
назад компании обеспечивали лей друг другу. Это можно сде-
такого рода защиту только
самостоятельно. лать путем общения с заказ-
Многие эксперты предрекают, чиком проекта, озвучив ему
что в ближайшем будущем под-
разделения информационной существующие риски и пред-
безопасности будут представ-
лять собой группу менеджеров, ложив способ их снижения
которые занимаются определе-
нием стратегии, заказом сер- с помощью второго фактора.
висов и контролем SLA.
Другой пример – получение
Плюсы такого аутсорсинга:
l привлечение лучших экспер- дополнительного функционала
тов ИБ без необходимости
обучения собственных; снизит мошенничество со сто-
l существенная экономия;
l получение нужного результа- роны работников или повысит
та в короткие сроки;
l возможно применение для конкурентоспособность про-
организаций любого масштаба
и уровня. дукта.
Минусы: Если нужно выполнить тре-
l в России рынок MSSP пока
еще находится на стадии раз- бования по защите ПДн во
вития;
этапах работы еще не знаком l требуется определенное время обмена с контрагентами,
с корпоративной культурой; время для адаптации предо-
l ответственность только интег- ставляемого сервиса под кон- но нет бюджета на внедрение
ратора (юридического лица), кретные потребности.
личная ответственность аут- СЗИ, можно предложить биз-
стаф-работника отсутствует или Совет: при использовании
непрозрачна для заказчика; аутсорсинга не забывать про несу вместо бумажного доку-
l мотивировать аутстаф-работ- требования законодательства
ника может только работода- по защите определенных видов ментооброта юридически
тель. тайн. Не всегда использование
MSSP допустимо/дешевле. значимый электронный, с при-
Совет: не использовать аут-
стаф для жестко фиксирован- Реализация менением квалифицирован-
ных по срокам проектов, так взаимовыгодных проектов
как возможно увеличение вре- ной/неквалифицированной
мени выполнения задач по при- В случае участия ИБ в про-
чине неожиданной замены ектной деятельности организа- электронной подписи, что суще-
работника. ции или наличия тесного взаи-
модействия с бизнес-подразде- ственно ускорит процесс взаи-
В случае возникновения зако- лениями можно использовать
нодательных проблем с допус- это с пользой, а именно реали- модействия с контрагентами
ком к тайне следует устраивать зовывать мероприятия или
таких специалистов на 0,1 став- внедрять СЗИ за счет чужих и сократит расходы на бумагу.
ки. Это не повлечет больших бюджетов.
финансовых затрат, но зато С большой вероятностью биз-
будут выполнены требования Хорошей практикой является
Хорошей практикой законодательства. Кроме того, добавление в проекты бизнеса нес прислушается и выделит
является добавление в про- необходимо предусмотреть все требований по внедрению тех
екты бизнеса требований по острые моменты в договоре или иных мер защиты или зака- бюджет на организацию такого
внедрению тех или иных SLA. за услуг по ИБ. Естественно,
мер защиты или заказа делаться это должно не из-под обмена, а это позволит парал-
услуг по ИБ. Естественно, Аутсорсинг процессов палки, а взаимовыгодным
делаться это должно не из- путем. лельно и без дополнительных
под палки, а взаимовыгод- В международных компаниях
ным путем. хорошо зарекомендовала себя Например, стоит цель внед- затрат включить шифрование
практика передачи части функ- рить двухфакторную аутенти-
В международных компа- циональности внешним компа- фикацию для всех сервисов и обеспечить безопасность
ниях хорошо зарекомендо- ниям – сервис-провайдерам компании и известно, что
вала себя практика переда- MSSP (Managed Security Service в компании планируется внед- ПДн. И все это без увеличения
чи части функциональности Provider): рение новой фронт-офисной
внешним компаниям – сер- l техническое сопровождение системы. Можно использовать бюджета ИБ.
вис-провайдерам MSSP СЗИ; этот проект для инициирования
(Managed Security Service l бэкапирование; внедрения платформы двух- Плюсы очевидны:
Provider). l повышение осведомленности
работников; l можно внедрять СЗИ с нуле-
20 • l мониторинг событий ИБ;
l расследование инцидентов ИБ; вым бюджетом ИБ;
l обеспечение безопасности
программного кода; l коллеги и руководство видят
l менеджмент уязвимостей;
l аудит и многое другое. пользу от подразделения ИБ.
Все это обусловлено жела- Но есть и один минус: необхо-
нием снижать налогооблагае-
мую базу за счет увеличения димо обладать хорошей ком-
расходов и снижения ФОТ.
В целом для компании такие муникацией с коллегами из дру-
гих функциональных блоков
и уметь разговаривать с ними
на одном языке.
Совет: налаживать как можно
больше неформальных контак-
тов с коллегами.
Поиск золотой середины
Это только несколько приме-
ров того, каким образом можно
снизить расходы на ИБ, навер-
няка у коллег есть другие рабо-
тающие примеры возможной
экономии. Предложенные реко-
мендации основаны на личном
опыте, проверены на практике
и могут принести ощутимую
пользу как ИБ-подразделениям,
так и бизнесу в целом. l
Ваше мнение и вопросы
присылайте по адресу
[email protected]
УПРАВЛЕНИЕ
Аутсорсинг и аутстаффинг
услуг ИБ: мнение экспертов
А утсорсинг позволяет освободить организационные, финансовые и человеческие ресурсы
для концентрации усилий на более приоритетных направлениях. Аутстаффинг
подразумевает “перенайм" сотрудников другого предприятия на ограниченное время.
О том, как аутсорсинг и аутстаффинг работают в отношении услуг информационной
безопасности, рассуждают эксперты нашего журнала.
Мона Архипова, операционный директор, sudo.su
Константин Саматов, руководитель направления в Аналитическом центре Уральского центра
систем безопасности, член Ассоциации руководителей служб информационной безопасности,
преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова
Крупные организации могут Есть ли у вас успешный день внутренних потребностей
позволить себе нанять штатных пример запуска в таких услугах у нас не было. При
специалистов по ИБ для выполнения и использования сервиса, этом наша компания активно раз-
сложных работ (включая пентест, заменяющего текущий вивает указанное направление для
редтиминг, SOC и др.). Но малым процесс? своих заказчиков. Так, например,
и средним компаниям этот вариант Есть ли сравнительная у нас есть опыт предоставления
не подходит, и им стоит оценка изменения сервиса разработки и актуализации
рассматривать возможность эффективности организационно-распорядительной
передачи подобных работ на и стоимости? документации по защите персональ-
аутсорсинг поставщикам услуг ных данных, сервиса проведения
по управлению безопасностью. Константин Саматов категорирования объектов крити-
Это поможет практически исключить ческой информационной инфра-
затраты на создание и обучение Если говорить о Ma- структуры, сервиса проведения
внутренней организационной внешнего анализа защищенности.
структуры в компании, а также naged Security Service В настоящее время также активно
на приобретение необходимого развиваются сервисы SOC (Security
оборудования и программного Provider (MSSP) – Operations Center).
обеспечения.
продажа услуг
информационной без-
опасности как сервис,
то на сегодняшний
Комментарий эксперта
В последнее время очевиден рост инструментов для реализации успешной стратегии ИБ. Изме-
рить достижимость таких целей возможно только при точном
значимости информационной безопас- понимании текущих затрат как в процессном, так и в техниче-
ском плане.
ности в разных сферах. Этому способ-
Из чего же складывается итоговая стоимость ИБ? Самые
ствует накопившаяся практика, позво- распространенные методы оценки включают в себя:
ляющая в части некоторых процессов 1. Фонд оплаты труда подразделений, задействованных
в процессах ИБ. Сюда также можно добавить трудозатраты
ИБ перейти к этапу совершенствования, специалистов, участвующих в процессах обеспечения, но не
относящихся напрямую к направлению ИБ.
а также уделить внимание ранее непри-
2. Стоимость средств защиты и финансовых затрат на их
оритетным вопросам. При этом эффек- эксплуатацию с учетом продления лицензий и необходимости
технической поддержки использующихся комплексов и реше-
тивность вложений в ИБ все так же ний.
остается если не загадкой, то вопросом 3. Оценку возможного или понесенного ущерба при наличии
процессов оценки рисков в компании.
довольно непрозрачным. Тут мнения
А вот признанных инструментов снижения затрат на все
(и приводимые аналогии) разнятся: одни перечисленное не так много. Один из них – аутсорсинг
(включая аутстаффинг), который декларируется MSSP-про-
Лев Палей, объясняют это как страховку (постоянно вайдерами как панацея для быстрого старта и снижения
затрат. Однако из собственного опыта использования
начальник платишь, чтобы снизить вероятный и сравнения таких услуг могу сказать, что в существующих
условиях данное утверждение неверно ни в одном из своих
отдела ИТ- ущерб); другие выставляют KPI, исходя аспектов. l
обеспечения из потребности бизнеса (в своем пони-
защиты мании) и ориентируясь на принятые
финансовые метрики; третьи говорят о
информации полном соответствии как о полноценном
АО “СО ЕЭС” доказательстве эффективности.
Все точки зрения имеют право на
жизнь с корректировкой на курс самой компании. На мой
взгляд, наиболее близок к реальности подход, учитывающий
полярные точки зрения и воспринимающий их как набор
21 •
УПРАВЛЕНИЕ www.itsec.ru
Мона Архипова Целью организации банковской системы РФ при аутсорсинге процессов СОИБ
является привлечение квалифицированного персонала и получение готовых
Да, ряд решений позво- процессов и развитой методологии, а также средств, систем и технологий
ляет существенно сокра- обеспечения ИБ, необходимых для организации и эксплуатации СОИБ.
тить как операционные Организации банковской системы РФ целесообразно рассматривать
затраты, так и капиталь- возможность аутсорсинга следующих процессов СОИБ:
ные. Отлично показы- l выявление компьютерных атак на информационную инфраструктуру
вают себя решения,
которые не требуют глу- организации БС РФ, в т.ч. с использованием информации, получаемой от
бокого понимания "внутренней кухни" Центра мониторинга и реагирования на компьютерные атаки в кредитно-
вашей инфраструктуры и приложений. финансовой сфере (ФинЦЕРТ);
Также хорошо работают истории серви- l управление средствами защиты информации организации БС РФ,
сов "первой линии" – от колл-центра и в т.ч. системами обнаружения вторжений (IDS/IPS);
хелпдеска до реагирования на типовые l управление межсетевыми экранами (в т.ч. и на прикладном уровне
инциденты. В целом вся малая автома- по 7-уровневой стандартной модели взаимодействия открытых систем,
тизация рутинных задач – покупкой сер- определенной в ГОСТ 28906-91), средствами антивирусной защиты и другими
виса или же внутренней разработкой – решениями по обеспечению ИБ;
помогает экономить время специали- l анализ безопасности кода приложений;
стов, а следовательно позволяет либо l мониторинг и анализ событий ИБ (Security Operation Center);
держать штат меньшей численности, l анализ защищенности и контроль конфигурации сетевого оборудования
либо высвобождать ресурсы на более и операционных систем;
перспективные задачи. Для небольших l проведение тестирования на проникновение;
компаний использование внешних сер- l анализ защищенности информационной инфраструктуры;
висов хорошо тем, что не требует боль- l обеспечение безопасности Web-доступа и электронной почты;
ших единовременных затрат на лицен- l организация управления инцидентами ИБ;
зии, оборудование и персонал. Однако l оповещение о новых угрозах и признаках атак (Treat Intelligence);
такая правктика увеличивает опера- l повышение осведомленности по вопросам ИБ и проведение киберучений.
ционные затраты в единицу времени. Следует применять соглашения об уровне предоставления сервиса ИБ (SLA) для
В среднем график TCO (Total Cost of контроля качества услуг аутсорсинга ИБ. SLA – это дополнение к соглашению
Ownership) сходится в промежутке от об аутсорсинге между организацией банковской сферы и поставщиком услуг,
четырех до семи лет. определяющее предоставление сервиса с заданным уровнем качества.
Количество метрик, включаемых в SLA, должно быть достаточным для
Рассматривали ли вы для проведения объективной оценки качества предоставления сервисов ИБ
себя возможность поставщиком услуг.
аутстаффинга? Если да, Из стандарта Банка России "Обеспечение информационной безопасности
то какое решение организаций банковской системы Российской Федерации. Управление риском
приняли в итоге? нарушения информационной безопасности при аутсорсинге СТО БР ИББС-1.4–2018"
Константин Саматов лет, имеется возможность сравнить циализации людей, непосредственно
затраты, сроки и качество работ. Аут- выполняющих данные работы. Этот фак-
Аутстаффинг периоди- стаффинг, в отличие от аутсорсинга, тор при современном акценте на универ-
хорош тем, что: сализацию внутри подразделений инфор-
чески нами использу- l можно достаточно оперативно рас- мационной безопасности не позволяет
ширять и сокращать команду под ту или иметь таких специалистов in-house.
ется. Например, послед- иную задачу;
l по суммарным затратам он сопоставим Кроме того, в свете реализации
ний раз мы использо- с наличием персонала в штате. ФЗ "О безопасности критической инфор-
мационной инфраструктуры" последние
вали привлечение Какие типы сервисов, несколько лет активно начали набирать
по вашему мнению, популярность сервисы проведения кате-
внешнего сотрудника из актуальных горирования объектов критической
предложений рынка информационной инфраструктуры.
для написания коннек- являются наиболее
созревшими, чтобы Мона Архипова
тора для соединения системы SIEM их можно было
порекомендовать Уверенная рекомендация
(Security Information and Event Manage- для внедрения коллегам от меня – сервис anti-
по отрасли? DDoS от Qrator Labs. Он
ment) с системой IRP (Incident Response позволяет не тратить
Константин Саматов время вашей команды на
Platform). Вообще, аутстаффинг выго- реагирование в случае
На сегодняшний день DDoS-атак, а также
ден для проведения разовых, неповто- два вида сервисов существенно сократить стоимость обору-
являются наиболее дования, обслуживающего периметр сети.
ряющихся работ, требующих редких созревшими, это сервис Владельцам бизнеса и топ-менед-
внешнего анализа защи- жерам я, пожалуй, могу рекомендовать
знаний, умений, навыков. Поэтому щенности (включая услуги, связанные с регулярным неза-
Penetration Test) и сер- висимым аудитом процессов и техни-
в сфере информационных технологий висы SOC. Причина их высокой зрелости ческой составляющей ИТ и ИБ. Све-
кроется в необходимости достаточно жим взглядом порой можно увидеть
и безопасности информации аутстаф- высокой компетенции и углубленной спе- очень много скрытого, и хорошо, если
это будут только неработающие про-
финг наиболее распространен в отно- цессы.
шении труда программистов. • 22
Мона Архипова
На протяжении восьми
лет существования ком-
пании мы пробовали
различные форматы
построения команд как
для себя, так и для
наших заказчиков. Одно
из подразделений разработки у нас
работает полностью в формате аутстаф-
финга на протяжении последних пяти
УПРАВЛЕНИЕ
Каких сервис-провайдеров MDR помимо типовых услуг MSSP, на Мона Архипова
в России вы знаете? нашем рынке я не встречала. Впрочем,
на глобальном рынке подобные игроки В рамках проектной
Константин Саматов уже имеются, а значит рано или поздно деятельности боль-
это дойдет и до нас. шие "ситуативные"
В части услуг SOC – это команды работают
компания "Перспектив- Как вы считаете, будет хорошо, позволяя
ли меняться картина более гибко управлять
ный мониторинг", лидер рынка предоставления бюджетом и привле-
данного рынка. За ней услуг по аутсорсингу? кать узкопрофильных экспертов для
Будет ли рынок разделен оценки и консультаций. На длинных
подтягиваются ГК между ведущими же дистанциях выгоднее гибридная
игроками или будет команда: специалисты junior/middle-
"Информзащита" и более сильная уровня для поддержки и доработок,
фрагментация? тимлид уровня senior в роли внут-
"Ростелеком-Солар". По реннего эксперта-наставника и при-
сути, это самые крупные игроки в данном Константин Саматов влеченная внешняя экспертиза (кон-
салтинг либо иные почасовые рабо-
сегменте на сегодняшний день. В сег- Сам рынок услуг MSSP ты) для особо сложных задач. Если,
менте анализа защищенности и Pene- (Managed Security Serv- конечно, безопасность не является
ice Provider), по сути, вашим основным бизнесом. Не сек-
tration Test – Positive Tehnologies, УЦСБ, имеет несколько сегмен- рет, что в ИБ- и ИТ-отрасли суще-
Инфосистемы Джет, ARInteg. В сегменте тов, в каждом из кото- ствует дефицит специалистов. Труд-
рых будет своя картина. но не только подобрать, но и удер-
anti-DDOS – "Лаборатория Касперского", Так, рынок услуг SOC, жать экспертов. Для себя мы выбра-
Сторм Системс, ДДОС-Гвард. Сервисы скорее всего, будут делить между собой ли адаптированную гибридную исто-
несколько десятков крупных интеграто- рию: в зависимости от подразделе-
категорирования объектов критической ров, так как существует достаточно ния перевес происходит в разные
информационной инфраструктуры – высокий порог вхождения и достаточно стороны, где-то в сторону аутстаф-
серьезные требования к квалификации финга, где-то в аутсорсинг, где-то
УЦСБ, R-Vision. кадров (то, что часто называют "экспер- в привлечение к работам наших
тиза"). А вот сегмент внешнего анализа партнеров. Однако для основных
Мона Архипова защищенности и Penetration Test будут наших направлений у нас собрана
доступны уже и для мелких интеграторов внутренняя команда экспертов. l
Сервис-провайдеры есть ввиду отсутствия больших издержек на
практически у каждого создание инфраструктуры, в отличие от Ваше мнение и вопросы
интегратора, у кого-то сегмента SOC. присылайте по адресу
как подразделение ком-
пании, у кого-то как [email protected]
выделенная компания.
Да, MSSP покрывает от
80 до 90% рутинных инцидентов, но все-
гда нужно помнить, что те самые непо-
крытые истории могут оказаться фаталь-
ными для вашего бизнеса.
К сожалению, сервис-провайдеров,
предлагающих полноценные решения
11-13 2020 Реклама
23 •
УПРАВЛЕНИЕ
SOC в действии
Константин Саматов, руководитель направления Аналитического центра
Уральского центра систем безопасности, член Ассоциации руководителей служб
информационной безопасности, преподаватель дисциплин информационной
безопасности в УрГЭУ и УРТК им. А.С. Попова
В опросами функционирования SOC сейчас интересуются
практически все организации, и в большей мере те, которые
попали в сферу действия Федерального закона “О безопасности
критической информационной инфраструктуры”. Что такое
SOC, для чего он нужен и какие основные процессы
определяют его функционирование? Об этом и поговорим
в данной статье.
SOC (Security Opera- ционной безопасности". Оче- В большинстве случаев
tions Center – оператив- видно, что основной целью его CERT/CSIRT являются своего
ный центр безопасности) деятельности является выявле- рода объединениями SOC.
на практике получил ние и реагирование на такие
название "центр мони- инциденты. Государственная система
торинга и реагирования обнаружения, предупреждения
на инциденты информа- Тонкости терминологии и ликвидации последствий ком-
пьютерных атак (ГосСОПКА)
Рис. 1. Структурные блоки SOC Помимо SOC, встречаются и также представляет собой
другие аббревиатуры, зача- CERT (главный центр ГосСОП-
Рис. 2. Общая модель обработки инцидента стую воспринимаемые как КА), объединяющий различные
информационной безопасности синонимы: SOC – ведомственные (корпо-
l CERT (Computer Emergency ративные) центры (сегменты)
Response Team) – группа ком- ГосСОПКА.
пьютерного реагирования на
чрезвычайные ситуации; Пошаговая модель
l CSIRT (Computer Security Inci- обработки инцидента
dent Response Team) – группа
реагирования на инциденты Структура SOC в виде блоков
компьютерной безопасности. продемонстрирована на рис. 11.
Как правило, указанные Как видно из схемы, основ-
структуры хоть и выполняют, ные процессы в рамках SOC
по сути, одинаковые задачи, связаны с обработкой инциден-
связанные с выявлением, реа- тов. Рассмотрим их подробнее:
гированием и расследованием
инцидентов, но все-таки имеют На рис. 2 показана общая
некоторые различия. модель обработки инцидента.
Так, CERT ориентированы на 1. Обнаружение и регистрация
определенную сферу, например события. С целью своевремен-
FinCERT – на кредитно-финан- ного выявления факторов,
совую отрасль, GovCERT изна- обусловливающих появление
чально был ориентирован на угроз информационной безопас-
сферу государственных инфор- ности и их реализации, прово-
мационных ресурсов, позже в дится внутренний контроль
него добавились направления, соблюдения требований по защи-
относящиеся к критической те информации (так называемая
информационной инфраструк- подготовка): в постоянном режи-
туре. ме осуществляется мониторинг
информационных ресурсов.
CSIRT обеспечивает монито- Источниками информации об
ринг актуальных угроз, форми- инцидентах служат журналы
рование информационной базы аудита, содержимое рабочих
инцидентов и обмен информа- станций, сетевой трафик, жур-
цией между участниками, в налы SIEM- и DLP-систем, дан-
частности CSIRT-RU создан для ные инструментального контроля,
обмена информацией об инци- обращения пользователей.
дентах между службами инфор-
мационной безопасности орга- 2. Выявление инцидента.
низаций различных форм собст- В случае выявления события,
венности. указывающего на свершившую-
ся, предпринимаемую или веро-
ятную реализацию угрозы
1 SANS. Building a World-Class Security Operations Center:
A Roadmap.
24 •
УПРАВЛЕНИЕ www.itsec.ru
Таблица. Уровни зрелости
информационной безопасности, Уровень Обозначение Описание уровня зрелости
производится его фиксация. 0 уровня зрелости
1 Неполный Такой процесс еще не внедрен или не способен соответствовать
3. Оперативное реагирование 2 процесс своему назначению. Например, основные процессы
на событие/инцидент. При воз- Осуществленный SOC отсутствуют
никновении события, свидетель- 3 процесс Осуществленный процесс достиг своего назначения.
ствующего о вероятной реали- Управляемый Например, процесс обработки инцидентов информационной
зации угрозы информационной 4 процесс безопасности реализован, но не документирован
безопасности (индикатора инци- 5 Процесс выполняется управляемым образом (планируется,
дента), локализуется источник Установленный регулируется и проводится его мониторинг), а его рабочие
вероятной угрозы. процесс продукты установлены, контролируются и поддерживаются.
Например, имеются метрики инцидентов информационной
4. Реагирование на инцидент. Предсказуемый безопасности
Как только становится понят- процесс Управляемый процесс на данном уровне осуществляется
ным, что произошел инцидент, с использованием определенных действий, которые способны
начинается документирование Оптимизирующий достичь выходов этого процесса. Например, есть документи-
расследования и сбор доказа- процесс рованный процесс обработки инцидентов информационной
тельств. Определяются страте- безопасности, метрики инцидентов документированы
гии и процедуры для его ней- Процесс на данном уровне осуществляется в определенных
трализации, расставляются пределах для достижения выходов этого процесса.
приоритеты при обработке Например, целевые показатели по выявлению и обработке
инцидента, информируются инцидентов задокументированы и выполняются
соответствующие лица. Предсказуемый процесс на данном уровне непрерывно
улучшается для достижения соответствующих текущих
5. Расследование инцидента. и планируемых бизнес-целей. Например, проводится
Расследование инцидента регулярная оценка эффективности SOC, производится
ведется до тех пор, пока не выстраивание процессов для достижения максимальных
будут выявлены все его причи- ключевых показателей эффективности
ны: собирается максимум
информации о лицах, иниции- совершенствованию можно 2. Техническое оснащение Для совершенствования
ровавших инцидент, порядке использовать PAM (Process SOC. Создание технической процессов используется
действий этих лиц, мотивах, Assessment Model) методологии инфраструктуры по разработан- цикл PDCA (цикл Деминга):
наличии сговора и иных данных, COBIT 5 (с учетом ГОСТ Р ному техническому проекту и l P – Plan (планируй);
способствующих установлению ИСО/МЭК 15504-2–2009 Инфор- ее ввод в эксплуатацию. После l D – Do (делай);
степени участия тех или иных мационная технология (ИТ). ввода в эксплуатацию процесс l C – Control (контролируй);
лиц. При необходимости осу- Оценка процесса. Часть 2. Про- мониторинга и реагирования на l A – Act (совершенствуй).
ществляется взаимодействие ведение оценки). В ее основу инциденты информационной
(обращение за помощью) с положена оценка вероятности безопасности будет носить Это классический цикл,
внешними ресурсами – другими того, что процессы будут при- несистемный характер. используемый в системах
SOC/CERT/CSIRT, подрядчика- водить к ожидаемым и запла- менеджмента, в том числе
ми, обладающими экспертизой нированным результатам. 3. Функционирование SOC и и информационной безопас-
в расследовании инцидентов. В соответствии с указанной совершенствование процессов ности.
моделью выделяются уровни (повышение их уровня зрелости).
6. Анализ причин и факторов, зрелости, представленные Процессы мониторинга и реагиро- • 25
подготовка рекомендаций. На в таблице. вания становятся более формали-
данном этапе осуществляется зованными, появляется дополни-
анализ причин инцидентов, Три стадии создания SOC тельный инструментарий, устанав-
результатов устранения их ливаются процессы предупрежде-
последствий, получение, хра- Разворачивание SOC можно ния появления инцидентов.
нение, защита и документиро- рассматривать как некий проект
вание доказательств, извлече- и, соответственно, применять По мере дальнейшего разви-
ние уроков. для этого процессы проектного тия расширяется спектр средств
управления. Условно его можно автоматизации, обеспечивается
7. Закрытие инцидента. Фик- разбить на три стадии, вклю- накопление опыта и компетен-
сация факта прекращения рабо- чающие в себя различные ций, разрабатываются различ-
ты по нему. этапы: ные метрики контроля, SOC
растет и совершенствуется, пре-
Помимо основного процесса, 1. Проектирование SOC. вращаясь в инструмент, спо-
функционирование SOC обес- Определяются требования к собный существенно повысить
печивает ряд вспомогательных центру (подготавливается тех- эффективность деятельности
действий: ническое задание), осуществ- по защите информации. l
l рутинные операции: развитие, ляется проектирование техни-
эксплуатация и поддержка ческой инфраструктуры (разра- Полный текст статьи читайте
инфраструктуры; батывается технический проект), в разделе "Материалы" на сайте
l техническое обеспечение: формируется команда проекта.
соответствие стандартам и зако- www.itsec.ru
нодательству, развитие и улуч-
шение бизнес-процессов;
l бизнес-процессы.
Уровни зрелости
процессов
Процессы не являются
неизменными и требуют совер-
шенствования. Для оценки зре-
лости процесса и определения
необходимых действий по его
ТЕХНОЛОГИИ
Охота за информацией: как компаниям
выстоять против киберпреступников?
Сергей Войнов, генеральный директор компании EveryTag
Виктор Сердюк, генеральный директор АО “ДиалогНаука”
В 2018 г. в Tesla разразился скандал: компания предъявила
своему бывшему сотруднику иск на $167 млн. Утверждалось,
что он украл конфиденциальные данные и передал их
третьим лицам, что привело к серьезному падению курса
акций компании. Этот случай не единственный: в мире, где
информация является одним из ценнейших ресурсов, на нее
давно открыта охота.
Утечки потенциально В качестве недавних опасность, при этом в 17% слу- ходится именно на данные,
чреваты большим количе- примеров подобных чаев специалисты заявили, что переданные за пределы компа-
ством последствий – инцидентов в России именно в этой сфере заплани- нии путем копирования на съем-
от репутационного ущерба можно привести утечки рованный годовой рост бюдже- ные носители, отправки по элек-
и потери клиентов до паде- конфиденциальной та будет максимальным3. Ожи- тронной почте, загрузки на FTP-
ния финансовых показате- информации в Сбербан- дается, что к 2024 г. глобальные серверы или в облачные хра-
лей. ке и "ВымпелКоме", траты на кибербезопасность нилища, передачи через мес-
о которых стало извест- достигнут $1 трлн. Сумма нема- сенджеры и соцсети и т.д. Имен-
В текущих условиях но в октябре 2019 г. лая, но обоснованная, ведь уже но такими способами чаще
защита данных становится Сегодня угрозы инфор- в 2020 г. предполагаемая годо- всего злоумышленники осу-
для бизнеса одной из самых мационной безопасно- вая стоимость ущерба от кибер- ществляют несанкционирован-
приоритетных задач. сти признаны одним из преступлений составит $5 трлн4. ный вывод информации за
глобальных рисков, Но чтобы расходовать деньги периметр компании.
наряду с нарастанием максимально эффективно,
геополитической напря- необходимо четко представлять DLP-системы способны пред-
женности, социальным себе как потенциального зло- отвратить подобные инциденты,
неравенством и ухудше- умышленника и его цели, так анализируя циркулирующую
нием экологической и слабые места в обороне. в сети информацию и блокируя
ситуации1. те действия с ней (отправку по
Технологии на страже почте, копирование, запись на
Цифры и факты съемный носитель, печать
Для защиты от угроз утечки и т.д.), которые запрещены в
Утечки потенциально конфиденциальной информа- рамках настроенной политики
чреваты большим коли- ции применяется целый ком- безопасности. Гибкие шаблоны
чеством последствий – от репу- плекс специализированных позволяют настроить систему
тационного ущерба и потери средств, которые уже доказали так, чтобы она "отлавливала"
клиентов до падения финансо- свою эффективность в пред- специальные метки, ключевые
вых показателей. При этом оце- отвращении подобного рода слова и фразы, определенные
нить их вред на 100% сразу же инцидентов и выявлении потен- визуальные образы (например,
после происшествия практиче- циальных нарушителей. Рас- можно "научить" программу рас-
ски невозможно. По данным смотрим подробнее, какие вари- познавать сканы паспортов) или
исследования IBM, в первый анты защиты информации символы, которые указывают
год компании сталкиваются существуют сегодня, в чем их на конфиденциальный характер
только с 67% издержек, еще технологические особенности и документа. Любая попытка
22% появляются во второй год от каких типов утечек они могут совершить с таким файлом
после инцидента и 11% – в тре- защитить бизнес. запрещенное действие приве-
тий. Однако в среднем иссле- дет к его автоматической бло-
дователи IBM оценивают ущерб DLP (Data Leaks Prevention) – кировке и сигналу в службу
в результате утечки информа- одна из ключевых технологий, безопасности. Различные ком-
ции в $3,92 млн2. позволяющих предотвратить поненты программы могут конт-
Неудивительно, что в текущих кражу конфиденциальной ролировать как внешние сер-
условиях защита данных ста- информации, обрабатываемой веры и входящую-исходящую
новится для бизнеса одной из в автоматизированных систе- информацию на них, так
самых приоритетных задач. мах. Согласно Insider Threat и активность сотрудников на их
В 2018 г. 80% организаций пла- Report – 20185, ей пользуются персональных компьютерах.
нировали увеличить свои рас- 60% организаций-респондентов.
ходы на информационную без- Это закономерно, так как Есть и другие классы решений,
2/3 регистрируемых утечек при- обеспечивающие дополнитель-
1 http://reports.weforum.org/global-risks-2018/
2 https://newsroom.ibm.com/2019-07-23-IBM-Study-Shows-Data-Breach-Costs-on-the-Rise-Financial-Impact-Felt-for-Years
3 https://www.zdnet.com/article/the-role-cybersecurity-should-play-in-2019-it-budget-planning/
4 https://www.cyberdefensemagazine.com/cyber-security-statistics-for-2019/
5 https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf
26 •
ТЕХНОЛОГИИ www.itsec.ru
ную защиту от возможных утечек ров систем подобного класса почтовыми ящиками, порталами,
является решение EveryTag. СЭД и иными внутренними сер-
информации, в частности UAM висами, которые работают с
Алгоритм работы EveryTag документами. Если для них уже
(User Activity Monitoring) и IRM настроены шаблоны и правила
В основе работы EveryTag (например, касающиеся опреде-
(Information Rights Management). Information Leaks Detection (ILD) ления конфиденциальной инфор-
лежит запатентованный алго- мации), то ILD может использо-
Системы класса UAM обеспечи- ритм преобразования документа вать их же, чтобы заменять
в персонализированную копию копиями только документы, кото-
вают мониторинг активности при каждом обращении к ориги- рые "опознаны" как секретные.
налу. Принцип прост: система
пользователей и позволяют оста- создает уникальную копию каж- ILD-система может работать
дого документа в момент его как автономно, так и в качестве
навливать нежелательные опе- открытия на экране или отправки интеграционного решения для
на печать. Персонализирован- систем электронного докумен-
рации (запуск нерегламентиро- ный для каждого сотрудника тооборота. Еще один вариант
документ не содержит специ- внедрения – облачной. В этом
ванного ПО, отправку на печать, альных символов, каких-либо случае система разворачива-
меток или прочих артефактов, ется на инфраструктуре разра-
создание снимка экрана и т.д.), заметных глазу, но в каждой ботчика и к ней предоставляет-
строке, в каждом элементе доку- ся доступ через Интернет. Такой
определять опасные сайты, бло- мента, от шапки и текста до вариант допускает и автоном-
оттиска печати, рукописной под- ную работу, и интеграцию.
кируя соединение с ними, выво- писи и следа от дырокола, содер- ILD-система может рабо-
жится информация, идентифи- Сценарии внедрения тать как автономно, так и в
дить предупреждения и уведом- цирующая владельца такой качестве интеграционного
копии. В таком варианте доку- Несмотря на то что ILD-систе- решения для систем элек-
лять администраторов о нару- мента осуществляются сдвиги мы не защищают информацию тронного документооборота.
слов, букв, изменение полей, непосредственно от кражи Еще один вариант внедре-
шениях. DRM и IRM – средства которые и образуют персонали- сотрудниками, существует ния – облачной. В этом слу-
зированную копию. Хотя вне- несколько сценариев использо- чае система разворачивает-
защиты, ограничивающие сенные изменения затрагивают вания, которые определяются ся на инфраструктуре раз-
каждый элемент на странице, внутренней политикой компании работчика и к ней предо-
использование определенных человеческому глазу не под силу и обеспечиваются организа- ставляется доступ через
их заметить, поэтому неинфор- ционными мероприятиями, Интернет. Такой вариант
файлов. Например, с их помо- мированный пользователь даже выполняемыми при внедрении допускает и автономную
не догадается о том, что имеет системы. работу, и интеграцию.
щью можно запретить открывать дело не с оригиналом. Исходники
документов и ключи, позволяю- Первый сценарий предпола- Системы класса ILD поз-
файл на несанкционированных щие идентифицировать каждую гает информирование сотруд- воляют дополнить суще-
сделанную копию и определить ников о внедрении и гарантии ствующие средства безопас-
устройствах или вообще совер- ее "владельца", сохраняются в обнаружения источников утеч- ности, которые уже установ-
программе. Новое решение хотя ки информации. Тот факт, что лены и используются в ком-
шать с ним какие-либо действия, и не "ловит" злоумышленника нарушители будут пойманы паниях, и значительно повы-
за руку в момент кражи, зато и наказаны, оказывает силь- сить уровень защиты от
кроме просмотра. позволяет гарантированно уста- ный психологический эффект утечки конфиденциальной
новить источник утечки инфор- и предотвращает потенциаль- информации.
Персональная мации, выступая весомым сдер- ную утечку.
ответственность живающим доводом против • 27
за каждый документ самого совершения преступле- В рамках второго сценария
ния. Более 205 трлн комбинаций сотрудники компании остаются
К сожалению, все перечис- страницы А4 обеспечивают не в курсе внедрения системы.
ленные выше средства защиты отсутствие двух одинаковых Компания тем временем может
бессильны в ситуации, когда модификаций, поэтому при рас- организовать инсценировку
речь идет об утечке конфиден- следовании утечки достаточно утечки, чтобы определить потен-
циальных данных, к которым поместить скомпрометирован- циальных нарушителей. В этом
злоумышленник легально полу- ный документ в систему и узнать, случае можно не просто
чил доступ. В частности, эти кому он принадлежит. выявить тех сотрудников, кото-
системы никак не могут пред- рые представляют угрозу для
отвратить фотографирование Для идентификации достаточно компании, но и оптимизировать
легально распечатанных доку- небольшого обрывка документа, стандарты работы с внутренни-
ментов или экрана с открытым пусть даже грязного или с исправ- ми документами.
секретным документом на теле- лениями. При этом хранилище
фон. Между тем уже достаточно данных ILD-системы занимает Системы класса ILD позво-
большая часть утечек прихо- очень мало места, так как каждый ляют дополнить существующие
дится на визуальные данные и файл с ключом "весит" всего средства безопасности, которые
бумажные документы, которые несколько килобайт. уже установлены и используют-
приобретают особую ценность ся в компаниях, и значительно
в век, когда любая электронная Высокая интегрируемость повысить уровень защиты от
информация может быть легко утечки конфиденциальной
сфальсифицирована. Недаром, Преимуществом технологии информации. l
пожалуй, самый скандальный является ее способность интег-
проект нового тысячелетия, свя- рироваться с корпоративными Ваше мнение и вопросы
занный с утечками информа- присылайте по адресу
ции, – WikiLeaks – оперирует
именно фотографиями и ска- [email protected]
нами бумаг с идентифицируе-
мыми подписями и печатями.
До недавнего времени компа-
нии были лишены технических
средств контроля, способных
отследить источник утечки ана-
логовых документов и их фото-
копий, и довольствовались лишь
превентивными организацион-
но-дисциплинарными мерами
и классическими методами рас-
следования в случае соверше-
ния кражи данных. Но появление
систем класса ILD (Information
Leaks Detection) позволяет
закрыть существовавшую брешь
в периметре информационной
безопасности. Одним из приме-
ТЕХНОЛОГИИ
Где прячется SSRF-уязвимость?
Кейсы и решения
Евгений Соболев, генеральный директор Practical Security Lab
В современном Интернете многие технологии плотно связаны
друг с другом. Довольно сложно встретить серьезную
информационную систему, не использующую контакт
с внешним миром или не построенную на базе других
решений, хотя бы частично. И это естественно. Мы с вами
как пользователи систем видим только конечный интерфейс
и результат работы, который он нам презентует, хотя даже
за самым простым движением обычно стоит взаимодействие
с другими системами, доступ к которым ограничен.
Их сложность возрастает, а вместе с ней и вероятность где-то
допустить ошибку при разработке.
Во время аудита крупно- Перед разработчиками внутренние механизмы. В конеч- Запрос к серверам внутри
го банка через SSRF уда- стоят трудные задачи, ном итоге это может дать доступ корпоративной сети
лось получить доступ ко решение которых не всегда оче- к части внутреннего функцио- компании
всем аккаунтам клиентов, видно. Поэтому они сосредо- нала системы, недоступного сна-
фактически не нарушая точены в первую очередь на ружи, а при дальнейшем разви- В корпоративной (или иной)
внешний периметр банка. поставленной задаче, а безопас- тии вектора – "открыть дверь" сети часто присутствуют разные
В Web-приложении одного ность уже потом, когда решение полностью. Web-сервисы или другие служ-
из иностранных филиалов будет найдено. Но так бывает бы для внутреннего пользова-
этого банка была найдена не всегда. Разработчик, загру- Лазейка для ния. Как правило, подобные
SSRF-уязвимость, через женный большим объемом рабо- злоумышленников сервисы не имеют авторизации
которую была просканиро- ты, может забыть уделить чему- или могут содержать конфи-
вана внутренняя сеть то должное внимание и случайно Суть уязвимости заключается денциальную информацию
и выявлен список серверов что-то пропустить, а если систе- в небезопасном применении (например, внутренний портал
баз данных MSSQL. ма очень сложная – не заметить пользовательских данных о сотрудниках корпорации).
незапланированную возмож- в выборе сервера или системы,
28 • ность использовать созданный к которым нужно обратиться за SSRF-уязвимости бывают в
функционал не так, как это заду- какой-либо информацией или системах с разным функциона-
мывалось изначально. ресурсами. Это может быть лом, каждый случай имеет свои
В результате возникают доста- загрузка картинки с указанием особенности. В каких-то ситуа-
точно интересные уязвимости, ее ссылки в сети Интернет или циях можно получать ответ от
позволяющие атакующему зло- некорректная организация внутреннего сервера и не особо
умышленнику влиять на взаи- работы с API-сервером. Для влиять на содержимое запроса,
модействие систем и серверов, примера возьмем вариант а в других – полностью управ-
стоящих "далеко" за интерфей- с загрузкой аватарки на сервер лять соединением, вплоть до
сом уязвимой системы и прямого по ссылке в GET-параметре. организации сессий с FTP-сер-
доступа к которым нет. Отчасти вером или базами данных.
это напоминает взлом замка Вот как задумывалось
отмычками, когда через замоч- использовать функционал изна- Примеры запроса:
ную скважину можно проводить чально: l GET /?url=http://corp.local/;
манипуляции с элементами l GET /?url=http://192.168.0.33:22;
замка, не имея полного пред- GET /?url=http://images.com/ l GET /?url=http://192.168.0.33:139;
ставления об устройстве систе- image.jpg. l GET /?url=http://192.168.0.33:3389.
мы, но оказывая влияние на
Однако если разработчики не На практике для эксплуатации
уделили должное внимание без- такой уязвимости пишется
опасности, то злоумышленник скрипт, который перебирает все
может указать ссылку, прово- возможные варианты внутрен-
цирующую сервер на несанк- них IP-адресов и интересующих
ционированный запрос: злоумышленника портов. На
l к серверам внутри корпора- выходе атакующий знает рас-
тивной сети компании; положение основных внутрен-
l на системные Web-интерфей- них серверов и запущенные на
сы самого сервера (localhost); них службы. Далее при позво-
l к файлам локальной файло- лении SSRF инициируются
вой системы сервера; запросы уже к конкретной служ-
l на контролируемый злоумыш- бе для получения информации
ленником сервер; или подбора учетных данных.
l другие менее распространен-
ные варианты. Например, во время аудита
крупного банка через SSRF уда-
А теперь пару слов о каждом лось получить доступ ко всем
пункте. аккаунтам клиентов, фактически
ТЕХНОЛОГИИ www.itsec.ru
не нарушая внешний периметр учетные данные для полноценной Колонка редактора
банка. В Web-приложении одного авторизации на сервере и после-
из иностранных филиалов этого дующего его захвата. В этом номере мы по традиции
банка была найдена SSRF-уязви-
мость, через которую была про- Из необычных кейсов: на рассмотрим несколько весьма
сканирована внутренняя сеть и внешнем пентесте клиента
выявлен список серверов баз выявили SSRF, через которую интересных тем, которые касают-
данных MSSQL. Через эту же была скачана часть исходных
уязвимость был организован под- кодов Web-приложения. Про- ся как новых трендов информа-
бор учетных данных к банковским анализировав исходники, мы
базам данных, который увенчался обнаружили несанкционирован- ционной безопасности, так и хоро-
успехом, что впоследствии при- ную возможность загрузки фай-
вело к возможности доступа к лов на сервер, через которую шо забытых старых. В частности,
любому банковскому аккаунту. он уже и был захвачен.
взглянем на методы машинного
Для взаимодействия со служ- Запрос на
бами внутри сети используются контролируемый обучения, которые применяет
разные схемы URI, такие как злоумышленником сервер
dict://, ftp:// and gopher://. один из флагманов российской
Обычно запрос, инициируе-
Не всегда ответ на запрос мый через SSRF, отправляется цифровой индустрии – Сбербанк,
доступен полностью, иногда выда- в определенном формате на
ется только ошибка. Вот по этой API-сервер и может содержать методы атак на Web-приложения
ошибке и можно судить об успеш- в себе авторизационные данные,
ности/неуспешности запроса. К начиная от строчки Basic-авто- от "Практической лаборатории
примеру, если сканировать порты ризации и заканчивая сессион-
сервера через SSRF, то об откры- ными токенами. Злоумышлен- Сергей Рысин, безопасности" и старые добрые
том порте может свидетельство- ник формирует запрос на под-
вать "Ошибка обработки данных", контрольный ему сервер и изу- эксперт по способы прослушки телефонии
а о закрытом – "Не удалось уста- чает пришедший к нему запрос,
новить соединение", и т.д. находит в нем авторизационные информационной VoIP от Trend Micro.
данные и может уже напрямую
Запрос на системные обращаться к API-серверу, если безопасности Генеральный директор "Прак-
Web-интерфейсы самого он доступен из сети атакующего, тической лаборатории безопас-
сервера (localhost) или использовать эти авториза-
ционные данные для подбора ности" (и по удачному стечению
Множество систем и сервисов к другим сервисам или в связке
обладают Web-интерфейсами с прочими атаками. обстоятельств – активно практикующий исследователь)
на локальном IP-адресе, доступ
к которому несанкционированно На нашем опыте мы так полу- Евгений Соболев напомнит о том, что не всегда стоит
раскрывает информацию ата- чали доступы к разному функ-
кующему. ционалу и серверам, от Sentry торопить своих разработчиков при создании новых кил-
до административных API.
Например, для Apache HTTP лер-фич. Важно не забывать уделять должное внимание
можно получить список послед- Челлендж для разработчиков
них запросов с GET-параметра- безопасности и не оставлять даже узких лазеек для
ми, полным URL-адресом и IP и пользователей
посетителей в данный момент: любопытных глаз. Евгений опишет способы использова-
Конечно, в реальной жизни
GET /?url=http://localhost/ser- такие легкие SSRF, как в опи- ния Server-Side Request Forgery при организации атак на
ver-status. санных примерах, встречаются
реже. Обычно уязвимый пара- Web-приложения, поделится практическими знаниями
Данная информация может метр спрятан в глубине большого
открыть путь до админки, бэка- запроса в JSON- или XML-фор- и расскажет о своем опыте на примере одного не очень
па или даже идентификатора мате. Имеются разнообразные
сессии авторизованного поль- фильтры, которые усложняют удачливого банка. Так уж сложилось, что мы часто не
зователя. подмену данных в запросе и
пытаются навязывать их опре- обращаем внимание на давно забытые механизмы,
Аналогичная ситуация для деленный формат. Подобные
любителей AWS/Amazon EC2 случаи затрудняют поиск и экс- которые, как показывает практика, умеют с успехом
и OpenStack: плуатацию уязвимостей, но их
суть остается прежней. Поэтому напоминать о себе и становиться серьезным оружием
GET /?url=http://169.254.169.254/ нужно внимательно относится к
latest/meta-data/. безопасности разработки, повы- в руках злоумышленников. Ну а мы с вами это учтем при
шать осведомленность разра-
Возможно множество других ботчиков о разных типах уязви- работе и не допустим в своих системах аналогичных
вариантов, все зависит от кон- мостей и их возможных послед-
кретной системы и ее настройки. ствиях, проводить независимые уязвимых мест.
аудиты безопасности ключевых
Запрос к файлам информационных систем и Андрей Пинчук на примере вышеупомянутого Сбер-
локальной файловой тестирование на проникновение
системы сервера инфраструктуры компании. l банка опишет механизмы машинного обучения Entity
Тут все просто: внешнюю ссыл- Ваше мнение и вопросы Embedding, которые могут быть эффективно использо-
ку можно попробовать подменить присылайте по адресу
на путь к локальному файлу, ваны для противодействия мошенничеству. Данная
используя схему URI file:///: [email protected]
статья заставит вас погрузиться в математику, о которой
GET /?url=file:///etc/passwd
Такой способ позволяет про- совсем не стоит забывать в наше время появления
честь многие конфиги и исходные
коды Web-приложения и найти новых и все более хитроумных алгоритмов ML. После
прочтения статьи лучше сразу подумать, как применить
данный подход в своих системах: как совершенно
справедливо заявляет автор, использование антифрод-
решений давно уже вышло за рамки сугубо финансового
и банковского секторов. Подход векторного анализа
позволит начать под другим углом анализировать поток
данных, что даст возможность выявить в системе скры-
тые нелинейные зависимости, потенциально имеющие
далеко идущие последствия. Этот механизм, на мой
взгляд, будет полезен специалистам, проектирующим
не только системы антифрод, но и различные самооб-
учающие механизмы в SOC.
Наконец, направим своей взгляд на всеми любимую
технологию цифровой аудиосвязи VoIP, которой сейчас
все повсеместно пользуются, сами того не замечая, но
о безопасности которой порой забывают, пребывая
в коварном заблуждении: раз технология не нова, то все
вопросы безопасности коммуникаций уже давно проду-
мали за нас. Чтобы рассеять сомнения, компания Trend
Micro собрала статистику и аккумулировала аналитику
из различных источников. Статья заставит еще раз
взглянуть на механизмы защиты АТС и телефонии в
целом, что, возможно, даже побудит вас провести соот-
ветствующие изменения в собственной инфраструктуре.
На этом наша рубрика не заканчивается, и впереди
вас ждет еще много увлекательных и полезных материа-
лов: за гонкой вооружений наблюдать не менее интересно,
чем принимать в ней непосредственное участие. l
• 29
ТЕХНОЛОГИИ
Применение методов Entity Embedding
в противодействии мошенничеству
Андрей Пинчук, исполнительный директор Управления противодействия
кибермошенничеству Сбербанка
В условиях диджитализации современного мира задача
противодействия мошенничеству становится актуальной для
всех сфер бизнеса. Если ранее антифрод-решения были
прерогативой преимущественно финансового и банковского
сектора, то сейчас подобные системы внедряются во многих
интернет-ритейлерах (наиболее известные – Amazon, PayPal),
различных агрегаторах (Uber, Яндекс.Такси) и множестве
других сфер деятельности.
Сбербанк, крупней- логистические регрессии, обыч- обработка естественного языка,
ший банк в Центральной эти решения превосходят все
и Восточной Европе и ные нейронные сети и др. остальные подходы, включая
один из лидеров по традиционное машинное обуче-
доступным клиентам В данной статье мы рассмот- ние.
цифровым сервисам, постоянно
находится в фокусе внимания рим менее традиционный для Важно отметить, что во всех
кибермошенников. Любые перечисленных областях (изоб-
атаки в этом регионе всегда антифрод-индустрии метод, ражения, аудиозапись, текст)
ориентированы в первую оче- данные являются слабострук-
редь на клиентов Сбербанка. внедрение которого в наши турированными (Unstructured
В банке реализована эшело- Data), тогда как задачи выявле-
нированная защита всех модели противодействия ния мошеннических транзакций
онлайн-услуг. Она включает в целом решаются с помощью
в себя ряд защитных механиз- мошенничеству дало суще- структурированных данных.
мов: подтверждение операций Условно структурированные
с помощью одноразовых паро- ственный прирост эффективно- данные – это информация, кото-
лей, шифрование трафика, рую можно представить в виде
использование встроенных сти. таблицы (строки – элементы
антивирусных решений в при- наблюдения, столбцы – призна-
В Сбербанке при разра- ложениях и др. Один из ключе- Традиционные ки). Сбербанк проводит экспе-
ботке и развитии собствен- вых элементов этой защиты – и альтернативные рименты по применению CNN-
ных моделей команда анти- система выявления и пред- подходы к машинному и RNN-моделей в задаче
фрод-экспертов регулярно отвращения мошенничества обучению выявления мошенничества.
анализирует тренды мошен- (система фрод-мониторинга –
ничества, формулирует ФМ). Подавляющее большинство Векторные представления
гипотезы и проверяет их. В Сбербанке разработан современных антифрод-реше- сущностей –
Результат – внедрение и внедрен целый ряд моделей ний включает в себя компонен- Entity Embedding
новых признаков, направ- с использованием машинного ты машинного обучения. Обыч-
ленных на повышение обучения (Machine Learning) – но эти компоненты в своей осно- Наряду с подходами Deep
эффективности моделей. ML-моделей, направленных на ве используют признаки, раз- Learning есть и другие методы,
противодействие различным работанные фрод-аналитиками позволяющие моделям самим
Наряду с подходами аспектам кибермошенничества и дата-сайентистами. Соответ- создавать признаки. К таким
Deep Learning есть и другие (выявление мошеннических ственно, чем лучше разрабо- подходам относится Entity
методы, позволяющие моде- транзакций в разных каналах, танные признаки позволяют Embedding – это обозначение
лям самим создавать при- мошеннических групп и их свя- описать мошенничество, тем целой группы ML-методов,
знаки. К таким подходам зей и др.), а также ансамбли из выше эффективность моделей, с помощью которых можно
относится Entity Embedding. этих моделей. Это позволяет их использующих. представить различные сущно-
удерживать фрод на минималь- сти (например, слова, товары,
30 • ных уровнях при постоянном Аналогично и в Сбербанке клиентов) в виде вектора задан-
росте транзакционной активно- при разработке и развитии ной размерности. Один из
сти и появлении новых продук- собственных моделей команда самых известных представите-
тов и услуг. антифрод-экспертов регулярно лей данного класса методов –
Подавляющее большинство анализирует тренды мошенни- word2vec, применяемый в зада-
работающих в промышленной чества, формулирует гипотезы чах обработки естественного
эксплуатации моделей относят- и проверяет их. Результат – языка (NLP).
ся к моделям "традиционной" внедрение новых признаков,
архитектуры машинного обуче- направленных на повышение Данный метод позволяет по
ния: байесовские сети, гради- эффективности моделей. имеющемуся корпусу текстов
ентный бустинг/Random Forest, получить векторные представ-
Но существуют и другие под- ления слов. Полученные векто-
ходы, в которых на вход моде- ры обладают важным свой-
лям подаются сырые данные, ством: по расстоянию между
а они сами в рамках обучения
выделяют значимые признаки.
Наиболее известные предста-
вители такого подхода – модели
Deep Learning, например свер-
точные (CNN) и рекуррентные
(RNN) нейронные сети. В таких
областях, как компьютерное
зрение, распознавание речи и
ТЕХНОЛОГИИ www.itsec.ru
векторами двух слов можно как минимум уловило относи- Рис. 1. Как работает word2vec1
определить близость их значе- тельное геолокационное распо- Рис. 2. Как работает word2vec2
ний. Под близостью в этом слу- ложение клиентов, а как мак-
чае следует понимать сочетае- симум – схожесть поведенче- Рис. 3. Общая идея подхода Continuous Bag
мость слов. Кроме того, полу- ских паттернов. Полученные of Words (CBOW)
ченное векторное представле- векторные описания и расстоя-
ние может улавливать некото- ние между ними будут исполь- ся предсказывать слово w (t) по Вслед за успехом Embed-
рые семантические свойства зоваться в качестве дополни- его контексту, а результат рабо- ding-подхода в NLP-задачах
слов. Пример из работы автора тельных признаков в суще- ты модели – "сжатые" вектор- он стал применяться
word2vec показан на рис. 1. ствующих моделях противодей- ные представления слов (тот и в других областях, напри-
ствия мошенничеству. самый Embedding). мер в рекомендательных
Если из вектора слова "жен- системах, где продукты
щина" вычесть вектор слова Может показаться, что вместо С математической точки зре- также представлялись
"мужчина", а затем к слову Entity Embedding можно ограни- ния это реализуется через ней- в виде векторов через схо-
"король" добавить этот вектор читься определением прибли- ронную сеть с одним скрытым жие подходы.
разности (Female на рис. 2), то зительных геокоординат отпра- и выходным слоем. Для обуче-
получим вектор, очень близкий вителя и получателя и исполь- ния модели все слова пред-
к слову "королева". Также если зовать это расстояние в каче- ставляются в виде 1-Hot-Enco-
из вектора слова "королева" стве признаков модели. Но этот ding (Input на рис. 4). 1-Hot-
вычесть вектор "женщина", подход сопряжен с рядом недо- Encoding – вектор размерности,
а затем разность (Royal на статков: равной числу уникальных слов,
рис. 2) вычесть из слова l если для клиентов Сбербанка где все координаты равны 0,
"король", то получим вектор еще можно определить геокоор- кроме одной позиции, равной
близкий к слову "мужчина". динаты за счет использования индексу этого слова в словаре.
собственных банкоматов, то для На этой позиции координата
Есть также синтаксические карт сторонних банков такая равна 1.
связи – соотношения множе- информация будет крайне
ственного и единственного неполной; При обучении модели весо-
чисел. l очень разная плотность насе- вые коэффициенты внутреннего
ления по стране и, как след-
Вслед за успехом Embedding- ствие, "нормальное" для Сибири
подхода в NLP-задачах он стал расстояние между разными кли-
применяться и в других обла- ентами будет скорее аномаль-
стях, например в рекоменда- ным для европейской части
тельных системах, где продукты страны, особенно в крупнейших
также представлялись в виде городах.
векторов через схожие подхо-
ды. Еще одна область активного Кроме того, мы не получим
применения Embedding – коди- векторного представления кли-
рование категориальных при- ентов, которое также может
знаков большой размерности. нести дополнительную инфор-
мацию, полезную для моделей
Задача противодействия ФМ.
мошенничеству
Как мы увидим дальше, пред-
В существенной доле мошен- ложенный подход к созданию
нических кейсов в качестве модели позволяет решить
канала вывода средств исполь- поставленную задачу без
зуются банковские карты. Для использования геолокационных
эффективного противодействия данных и обойти указанные
таким кейсам фрода важно ограничения.
уметь определять "близость"
клиента-отправителя и получа- Использованный подход
теля (вероятность возникнове- для создания векторных
ния/типичность транзакций представлений клиентов
между такими клиентами). Кли-
ент-отправитель в нашей задаче – За основу была взята модель
это всегда клиент Сбербанка, Continuous Bag of Words
клиент-получатель – это или (CBOW), которая выступает
клиент Сбербанка, если пере- одним из алгоритмов реализа-
вод осуществляется на карту ции word2vec и широко приме-
Сбербанка, или же реквизиты няется в NLP-задачах.
карты стороннего банка.
В последнем случае мы все Суть алгоритма заключается
равно будем отождествлять эту в том, что мы по контексту
карту с некоторым неизвестным слова пытаемся его предсказать
нам клиентом-получателем. (рис. 3). Например, для фразы
"кошка высоко забралась на
При разработке модели Entity дерево" возьмем слово "забра-
Embedding (в нашем случае лась". Это будет наше слово w (t),
client2vec) мы ставили целью, тогда w (t - 2) = кошка, w (t - 1)
чтобы итоговое векторное про- = забралась, w (t + 1) = на,
странство в качестве "близости" w (t + 2) = дерево. Модель учит-
1 https://www.microsoft.com/en-us/research/wp-content/uploads/2016/02/rvecs.pdf
2 http://arxiv.org/abs/1810.04882
• 31
ТЕХНОЛОГИИ
l ко всем точкам, которые
использовал клиент за задан-
ный период времени, присоеди-
нялись рассчитанные измере-
ния эмбеддинга (если по како-
му-то из устройств эмбеддинг
отсутствовал, то он удалялся
из "предложения");
l для каждой координаты век-
тора эмбеддинга бралась медиа-
на из соответствующих коорди-
нат. Например, если клиент
использовал ATM/POS с вектор-
ными представлениями ((1,1,1),
(2,0,5), (1,1,1), (0,1,4)), то итого-
вое векторное представление
самого клиента – (1,1,2.5).
Для определения близости/
удаленности клиентов в полу-
ченном векторном представле-
нии использовалось косинусное
расстояние между векторами:
Cosine Distance = 1 - Cosine Simi-
Рис.4. Input – слова из контекста выбранного слова, но представленные в виде larity.
1-Hot-Encoding. Output – ожидаемое предсказание модели, само слово из
контекста, также представленное в 1-Hot-Encode виде3 Например, три клиента имеют
следующие векторные представ-
ления: Иванов И.И. = (1,1,2.5),
Петров П.П. = (1,1.2,2.1), Сидоров
С.С. = (4, 0, 0.3). Тогда расстоя-
ние между Ивановым и другими
двумя клиентами:
l Cosine Distance (Иванов, Пет-
ров) = 1 - (1х1 + 1х1,2 + 2,5х2,1)/
(2,87х2,62) = 1 - 0,99 = 0,01;
l Cosine Distance (Иванов, Сидо-
ров) = 1 - (1х4 + 1х0 + 2,5х0,3)/
(2,87x4,01) = 1 - 0,41 = 0,59.
Рис. 5. Пример 20 ближайших (верхний) и 20 самых удаленных по эмбеддинг- Из примера видно, что Ива-
расстоянию ATM (исходный ATM – синий)
нов и Петров с точки зрения
косинусного расстояния распо-
ложены гораздо ближе друг к
слоя сети (матрица W на рис. 4) и в итоге составил 1,5 месяца). другу по сравнению с Ивановым
оптимизируются, чтобы мини-
мизировать функцию потерь При этом была задействована и Сидоровым.
(например, Cross-Entropy).
Результатом работы такой дополнительная предобработ- Итоговая размерность
модели становится матрица W,
строки которой – векторные ка "предложений": если устрой- "слов"/клиентов была выбрана
представления (Embedding)
слов. ство-"слово" использовалось равной 50 (а в примерах выше
В рамках реализации подхода два или более раз подряд, то она была равна 3), в итоге каж-
была также опробована модель
GloVe (Global Vector), но ее повторные использования уда- дому ID ATM/POS сопоставлялся
результаты оказались хуже по
сравнению со CBOW. лялись, но если это устройство вектор из 50 вещественных
Для нашей задачи в качестве использовалось дальше после чисел. При их агрегации каждый
аналога слов в CBOW мы
Анализ данных показал, решили использовать ID бан- другого, то оно оставалось в клиент также был представлен
что для покрытия более коматов и устройств само-
чем 90% всех ATM/POS обслуживания (обозначим их выборке. вектором из 50 чисел. В рамках
достаточно взять транзак- вместе как ATM) и ID физиче-
ции 20% клиентов в течение ских платежных терминалов Пример предобработки обучения и тестирования моде-
1–1,5 месяцев. (POS), а в качестве аналогов
предложений – упорядоченную последовательности использо- ли было опробовано еще
во времени последователь-
ность использования ATM/POS вания ATM/POS: несколько вариантов размерно-
одним клиентом за определен-
ный временной интервал (под- l исходная последовательность сти, отличной от 50, но на этапе
бирался эмпирическим путем
"слов": -> А -> А -> С -> А -> В - интеграции с моделью выявле-
> В; ния мошеннических переводов
l последовательность после результаты были хуже.
обработки: -> А -> С -> A -
> B. Данные для обучения
модели
Результатом работы такой
Анализ данных показал, что
модели будут векторные пред- для покрытия более чем 90%
всех ATM/POS (наш словарь,
ставления устройств-"слов" если говорить в терминах NLP)
достаточно взять транзакции
(POS/ATM), но для нашей зада- 20% клиентов в течение 1–1,5
месяцев. При этом отсутствие
чи нам нужно получить вектор-
ное представление клиентов.
Эмбеддинг клиента рассчиты-
вался по алгоритму:
3 https://lilianweng.github.io/lil-log/2017/10/15/learning-word-embedding.html
32 •
ТЕХНОЛОГИИ www.itsec.ru
эмбеддинга по ряду ATM/POS Анализ векторных Рис. 7. Соотношение мошеннических транзакций
не является проблемой, так как представлений клиентов к легитимным (ложные сработки ФМ) в зависимости
такие устройства-"слова" просто для выявления от расстояния в полученном векторном пространстве
исключаются из "предложения" мошеннических
клиента, а оставшихся доста- транзакций ны в качестве дополнительных После обучения моделей
точно для формирования итого- признаков в Pipeline обучения и получения векторных
вого векторного представления. После обучения моделей и моделей выявления мошенни- представлений клиентов
получения векторных представ- ческих переводов. мы провели анализ того,
Было обучено две модели лений клиентов мы провели насколько расстояние
эмбеддинга. Одна – по указан- анализ того, насколько расстоя- По результатам обучения между векторными пред-
ному выше подходу на данных ние между векторными пред- моделей ФМ векторное рас- ставлениями клиентов кор-
по транзакциям и клиентов, и ставлениями клиентов корре- стояние включено в итоговый релирует с мошенниче-
не клиентов Сбербанка. А вто- лирует с мошенничеством. перечень признаков как один ством.
рая – только по транзакциям из наиболее значимых. Кроме
клиентов Сбербанка, но в эту Для этого были взяты кейсы того, еще несколько признаков Полученные результаты
модель в качестве "слов" были мошенничества (предотвращен- из векторных представлений еще раз свидетельствуют
добавлены также IP-адреса под- ные ФМ и успешные), а также клиентов также вошли в число о том, что важно изучать
сетей класса C, с которых кли- ложные сработки системы ФМ значимых для модели. современные методы
енты пользовались интернет- за определенный период. Было машинного обучения из раз-
банком. подсчитано расстояние между Внедрение данных признаков ных областей, так как при
векторными представлениями позволило повысить общую должном переосмыслении
Анализ полученных отправителя и получателя. эффективность системы выявле- и транспонировании они
векторных представлений Затем все кейсы были сгруппи- ния мошенничества – значитель- могут успешно применяться
"слов" рованы на основании получен- но сократить ложные сработки и и показывать хорошие
ных расстояний в группы – пер- одновременно немного увели- результаты в других сферах.
Для быстрой валидации полу- центили расстояний с шагом чить долю выявляемого мошен-
ченных векторных представле- 10. В каждой группе подсчитано ничества. Наличие таких при-
ний устройств/IP-подсетей и про- соотношение фродовых тран- знаков особенно важно в усло-
верки того, что векторные пред- закций к легитимным (ложные виях доминирующего сейчас
ставления ухватили геолока- сработки ФМ). типа мошенничества под услов-
ционный паттерн, был исполь- ным названием "самопереводы".
зован следующий алгоритм: Результаты представлены на При их совершении клиент под
брался случайный ATM (банку рис. 7. На нем отчетливо видно, воздействием мошенников,
известны их координаты уста- что близость клиентов в полу- использующих методы социаль-
новок) и искались ближайшие к ченном векторном пространстве ной инженерии, сам переводит
нему соседние ATM по эмбед- снижает вероятность мошенни- средства, и многие признаки
дингу. Точка и соседи визуали- чества, тогда как большое рас- антифрод-моделей (появление
зировались на карте по геокоор- стояние, наоборот, служит хоро- нового устройства, нестандарт-
динатам. Аналогично по этим шим индикатором риска. ное время проведение операций
же начальным точкам строились и др.) в этом случае становятся
самые удаленные АТМ. Цель достигнута неэффективными.
Процесс повторялся для В результате применения опи- Полученные результаты еще
нескольких десятков точек. санного подхода нам удалось раз свидетельствуют о том, что
Такая валидация позволила достичь запланированной цели: важно изучать современные мето-
наглядно оценить, насколько получено векторное простран- ды машинного обучения из раз-
близко/далеко на карте лежат ство представления клиентов, в ных областей, так как при долж-
друг к другу точки, которые котором расстояние коррелирует ном переосмыслении и транспо-
близки/далеки на эмбеддинге. с вероятностью мошенничества. нировании они могут успешно
применяться и показывать хоро-
Для анализа по IP-адресам Векторные представления шие результаты в других сферах.
сетей класса С с помощью алго- клиентов и векторные расстоя-
ритма t-SNE была снижена раз- ния между ними были добавле- Подобные исследования в под-
мерность с 50 до 2 (для отобра- разделениях кибербезопасности
жения векторного пространства Рис. 6. Результат Сбербанка будут активно про-
на плоскости). IP-подсети рас- эмбеддинга IP-подсетей должаться наряду с развитием
красили цветом в соответствии класса С при отображении традиционных моделей ML. l
c территориальным банком на двухмерное
Сбербанка большинства клиен- пространство. Цвета – это Ваше мнение и вопросы
тов, которые используют дан- территориальные банки присылайте по адресу
ную подсеть. Видно, что в целом Сбербанка, клиенты
образуются хорошие локальные которых используют эти [email protected]
кластеры, а на долю операций подсети
IP-подсетей из центральной
области (где множество разных
цветов и кластер отсутствует)
приходится менее 5% от всех
операций.
В результате можно заклю-
чить, что векторные представ-
ления "слов" ухватили геолока-
ционную сущность, особенно по
ATM/POS, хотя никаких геопри-
знаков при обучении моделей
не использовалось.
• 33
ТЕХНОЛОГИИ
Прослушки и перехват данных
со стороны хакеров:
чего опасаться современным компаниям?
Михаил Кондрашин, технический директор компании Trend Micro в России и СНГ
К огда кто-то говорит о подслушивании, в голову сразу
приходит образ подозрительной личности, которая слушает
чужую беседу, притаившись за углом. Но с распространением
протокола VoIP и IP-телефонии компании столкнулись со
вполне реальными цифровыми прослушками, которые
использовались хакерами для перехвата деловых звонков.
Насколько все серьезно и что с этим делать?
Компании настолько нят: факты свидетельствуют,
что цифровые прослушки все
сосредоточены на еще популярны и активно "Каждое подключенное
используются даже сейчас. к сети Интернет устройство
новых угрозах, что может дать хакерам новый
VoIP под угрозой вектор атаки. Например,
защита от более старых подключенная к сети Wi-Fi
В прошлом прослушивание в видеокамера без
хакерских инструментов основном касалось протоколов шифрования трафика
SIP и VoIP, что вызывало у ком- может стать для
и стратегий взлома паний серьезные опасения. киберпреступника
И неудивительно, учитывая источником видеоданных
зачастую отходит для количество конфиденциальной о помещении, которое
информации, которую можно должна была защитить"
них на второй план. А зря, ибо получить, подключившись к кон-
ференц-коллу или деловому
это может создать опасный звонку.
прецедент, особенно если По данным отчета Ribbon,
хотя этот вектор атаки и нельзя
учесть, что современные кибер- назвать новым (перехват звон-
ков с использованием протоко-
преступники используют наря- ла SIP киберпреступники при-
меняли с начала XXI века), в
ду с абсолютно новыми старые, последние годы хакеры снова
начали прибегать к нему1 для
но все еще действенные похищения данных. Учитывая,
что в компаниях этот протокол
инструменты. Компаниям стои- часто недостаточно защищен,
киберпреступники вполне могут
ло бы прибегнуть к такой же использовать его уязвимости И не только VoIP: перехват
для своих атак.
тактике для защиты своего биз- данных при помощи Wi-Fi
"Не нужно быть гением, чтобы
неса и активов. Если они забы- взломать протокол SIP. Осо- Атаки с использованием про-
бенно учитывая то, насколько
ли о цифровых прослушках, то слабо он защищен в большин- токола SIP продолжаются не
стве компаний", – отметила
киберпреступники о них пом- Роза Лир (Rosa Lear), одна из в последнюю очередь из-за
исследователей Ribbon.
слишком простых паролей
По данным IBM Managed Ser-
vices, по состоянию на 2016 г. и недостаточных мер безопас-
среди всех протоколов IP-теле- ности, но для кражи данных
фонии SIP использовался для
атак чаще всего – в 51% слу- подходят и другие протоколы.
чаев2.
Как отметил исследователь
киберугроз в Trend Micro Йинд-
ржих Карасек (Jindrich Karasek),
сети Wi-Fi также не защищены
от использования прослушек3.
Все больше гаджетов в мире
постоянно подключены к cети,
что дает хакерам отличную воз-
можность получить доступ
к уязвимым конечным устрой-
ствам.
"Каждое подключенное к
сети Интернет устройство
может дать хакерам новый
вектор атаки. Например, под-
ключенная к сети Wi-Fi видео-
камера без шифрования тра-
фика может стать для кибер-
преступника источником
1 https://ribboncommunications.com/company/media-center/blog/sip-protocol-attacks-still-rise-what-can-we-do-about-it
2 https://securityintelligence.com/hello-youve-been-compromised-upward-attack-trend-targeting-voip-protocol-sip/
3 https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/security-101-protecting-wi-fi-networks-
against-hacking-and-eavesdropping?_ga=2.8016562.1679143862.1565081648-100155462.1561367262 A
34 •
ТЕХНОЛОГИИ www.itsec.ru
видеоданных о помещении, Йиндржих Карасек. – К приме- Общественные и незащищенные беспроводные
которое должна была защи- ру, чтобы расшифровать пароль сети дают злоумышленникам отличную
тить, – пишет господин Кара- hackm, хакерам понадобится возможность для прослушивания
сек. – Беспроводные сети всего четыре минуты”.
стоит изначально восприни- наслаждается чашечкой кофе Хакер может просто при-
мать как небезопасные и неза- Как чаще всего или коротает время за просмот- твориться, что ждет кого-то
щищенные от несанкциониро- происходит ром сайтов на телефоне, стоя в фойе, наслаждается
ванного доступа лиц, которые прослушивание неподалеку от вас, – говорит чашечкой кофе или корота-
могут перехватить передавае- и перехват данных Йиндржих Карасек. – Проверка ет время за просмотром
мые в такой сети данные. записей с камер безопасности сайтов на телефоне, стоя
Несмотря на то что для защиты Как определить, что органи- в данном случае ничем не помо- неподалеку от вас.
этих сетей были разработаны зация находится под угрозой жет, ведь никаких странных
различные протоколы безопас- атак подобного типа? Есть ряд действий он не предпринимает. Найденные хакерами
ности, с годами в них самих ситуаций, в которых условия К тому же в процессе взлома уязвимости протокола SIP
обнаруживается все больше для хакеров складываются иде- устройство может быть просто позволили им получить
уязвимостей". ально и им ничего не стоит спрятано в сумке или скрыто доступ к данным из систем
перехватить данные. иным способом". IP-телефонии. В протоколах
Найденные хакерами уязви- Wi-Fi, включая WEP (прото-
мости протокола SIP позволили 1. Конечные устройства защи- Хотя такой человек может кол шифрования Wired Equi-
им получить доступ к данным щены слабыми паролями. Как выглядеть абсолютно обыденно, valent Privacy), тоже есть
из систем IP-телефонии. В про- уже было отмечено выше, сла- в этот момент он занимается свои уязвимости. В 2001 г.
токолах Wi-Fi, включая WEP бый пароль не защищает прак- прослушиванием сетевой актив- Скотт Флюрер (Scott Fluhrer),
(протокол шифрования Wired тически ни от чего, а доступные ности, расшифровкой слабого Ицик Мантин (Itsik Mantin)
Equivalent Privacy), тоже есть хакерам инструменты и страте- пароля или мониторингом тра- и Ади Шамир (Adi Shamir)
свои уязвимости. В 2001 г. гии (от механического подбора фика. продемонстрировали, как
Скотт Флюрер (Scott Fluhrer), до атак с применением соци- хакеры могут использовать
Ицик Мантин (Itsik Mantin) и Ади альной инженерии) позволят им Как защититься от протокол WEP, чтобы пас-
Шамир (Adi Shamir) продемон- быстро и без особых проблем перехвата данных сивно собирать данные из
стрировали4, как хакеры могут узнать слабый или очевидный сетевого трафика. Впослед-
использовать протокол WEP, пароль. Учитывая, что для прослу- ствии этот метод был
чтобы пассивно собирать дан- шивания сетей и перехвата назван FMS-атакой (по пер-
ные из сетевого трафика. Впо- 2. На оборудовании исполь- данных хакеры могут исполь- вым буквам их фамилий).
следствии этот метод был зуются заводские настройки и зовать как устаревший прото-
назван FMS-атакой (по первым установленные по умолчанию кол SIP, так и трафик в совре-
буквам их фамилий). пароли. Это прямой путь к взло- менных сетях Wi-Fi (и с приме-
му, причем речь идет как о нением других сетевых прото-
Во взломе Wi-Fi нет ничего пользовательских устройствах, колов), крайне важно обеспе-
сложного так и о роутерах. Как пишет чить безопасность всех конеч-
один из авторов IT Toolbox Уилл ных устройств и точек входа
Усугубляет ситуацию то, что Келли (Will Kelly), заводские в сетевую инфраструктуру.
для современных хакеров настройки VoIP-телефонов и
подобные атаки никакой про- других конечных устройств с Для этого необходимо отка-
блемы не представляют. Для доступом к сети предприятия заться от слабых паролей и
их осуществления нужно самое всегда нужно менять5 перед их заводских настроек устройств
простое оборудование – гад- подключением. и при необходимости использо-
жет с доступом к беспроводной вать виртуальные частные сети
сети и общедоступные утилиты 3. Имеются удаленные (VPN) и файрволы. Комплекс-
с открытым исходным кодом офисы. Подразделения органи- ные решения, которые способ-
плюс достаточное количество заций на местах, например ны проводить глубокую инспек-
сетевого трафика для обра- отделения банков и страховых цию пакетов и предотвращать
ботки. компаний, часто могут стать вторжения в сеть, также могут
целью подобных атак, так как уберечь сетевую инфраструк-
Как поясняли Флюрер, Ман- сотрудники ИТ-отделов посе- туру от несанкционированного
тин и Шамир, в процессе пас- щают их реже, чем главный проникновения. l
сивного просмотра зашифро- офис. Уровень сетевой безопас-
ванного при помощи WEP тра- ности в отделениях обычно
фика хакеры могут видеть пер- ниже, а защиту и отслеживание
вые несколько байтов большей состояния их сети и устройств
части пакетов. Продолжая про- осуществлять сложнее.
сматривать пакеты в течение
определенного времени, они 4. Использование публичных
получают достаточно данных, и незащищенных сетей для
чтобы расшифровать пароль связи. VoIP-звонки по Wi-Fi в
пользователя и в дальнейшем общественных местах (кафе,
использовать его в своих ата- аэропортах, супермаркетах и
ках. др.) также дают хакерам воз-
можность перехватить данные
"Чем короче пароль, тем и с их помощью совершать свои
меньше времени займет про- атаки.
цесс расшифровки, – отмечает
"Хакер может просто притво-
риться, что ждет кого-то в фойе,
4 https://www.researchgate.net/publication/220332983_Practical_ Ваше мнение и вопросы
attacks_against_WEP_and_WP присылайте по адресу
5 https://it.toolbox.com/blogs/voipdesk/5-ways-to-combat-voip- [email protected]
eavesdropping-032117
• 35
ТЕХНОЛОГИИ
Квантовая криптография:
уже сегодня или пока только завтра?
Григорий Маршалко, эксперт Технического комитета по стандартизации ТК 26,
ISO/IEC JTC 1 SC 27
К вантовая криптография, или точнее – квантовое распределение
ключей, рассматривается как одна из технологий, способных
сформировать облик телекоммуникационных сетей связи
будущего. Так, в национальной программе “Цифровая
экономика Российской Федерации” квантовая криптография
наряду с квантовыми вычислениями относится к так
называемым сквозным технологиям и выделена в отдельное
направление. Это вызвано тем, что в контексте широкого
спектра существующих и перспективных угроз безопасности
информационных систем квантовая криптография при
определенных условиях способна реализовать защиту, основанную
на фундаментальных принципах квантовой механики.
Если мы рассмотрим доказательство коммерческих систем квантового распре- Типы атак на системы квантовой
стойкости протоколов квантового рас- деления ключей. криптографии
пределения ключей (например, ставшего
уже классическим BB84), то увидим, что В подавляющем большинстве случаев С момента появления первых прото-
информация в них передается посред- системы рассматриваемого типа состоят типов начался активный поиск различ-
ством кодирования состояний фотонов из двух частей: ных способов построения атак на кон-
на передающем конце и последующем l серверной, на которую возлагается кретные реализации системы квантовой
их измерении на приемном. В случае задача по предоставлению сервиса криптографии. Для различных типов
если нарушитель попытается вклиниться выработки ключей и измерению состоя- квантовых систем предложен широкий
в канал между легитимными абонентами ний фотонов; спектр способов использования неиде-
и перехватить передаваемые фотоны, l клиентской, от которой исходит запрос альности оптических элементов для
то в соответствии с принципом неопре- на выработку ключей и реализуется фор- перехвата вырабатываемого системами
деленности Гейзенберга легитимные мирование (кодирование) квантовых секретного ключа.
абоненты смогут определить факт такого состояний.
вторжения через резко возросшее число Атака с расщеплением пучка фотонов
ошибок при регистрации фотонов. В ряде квантовых протоколов клиент-
скую часть можно сделать относительно Например, проблемой при построении
Квантовое распределение ключей поз- простой и дешевой в реализации, что квантовых систем распределения ключей
воляет не только обеспечить защиту от позволяет создавать сети квантового является достижение однофотонности
несанкционированного доступа к переда- распределения ключей, построенные по импульсов источника излучения. В боль-
ваемой информации, но и выявить факт топологии "звезда". шинстве случаев используются так назы-
такой попытки. Подобное свойство пред- ваемые слабые когерентные импульсы,
ставляется важным с учетом большого К настоящему моменту накоплен боль- которые содержат неизвестное заранее
количества существующих угроз инфор- шой научный и практический опыт по (до измерений) число одинаковым обра-
мационной безопасности. К примеру, созданию систем подобного рода. зом закодированных фотонов. При этом
использование этого решения позволяет В целом при наличии достаточного нарушитель имеет возможность расще-
избежать угроз, связанных с возможным финансирования возможно на основе пить пучок фотонов, чтобы перехватить
созданием квантовых вычислителей. доступных публикаций собрать нечто один из них и измерить его состояние.
похожее на квантовую систему распре- Очевидно, что легитимные абоненты не
Однако так ли все хорошо на прак- деления ключей. Но надо понимать, что смогут определить факт наличия такой
тике? ослабленный лазер, пара фотодетекторов атаки. Это приводит к известной атаке
и ряд дополнительных оптических эле- с расщеплением пучка фотонов.
От лабораторных систем ментов – это совсем еще не система
к коммерческим решениям квантового распределения ключей. Троянская атака
Практические реализации квантовых Все мы наслышаны о широком
систем распределения ключей прошли использовании троянских программ для
долгий путь от лабораторных систем похищения конфиденциальной инфор-
пионеров рынка Magiq и ID Quantique до мации пользователей. Оказывается, что
широкого спектра развернутых в настоя- аналогичная троянская атака может
щее время волоконно-оптических реше- быть достаточно просто осуществлена
ний, а также экспериментальных воз- и на квантовом уровне. Для этого нару-
душных и даже космических. шитель облучает пучком света коди-
рующий источник импульсов и получает
В России уже три исследовательские информацию о кодировании состояния
группы (МГУ им. М.В. Ломоносова, Рос- фотона, анализируя отраженный сиг-
сийский квантовый центр и Университет нал.
ИТМО) вплотную подошли к созданию
36 •
КРИПТОГРАФИЯ www.itsec.ru
Как уже было отмечено, основой воз- этот проект основан на последних • 37Реклама
можности осуществления подобных атак результатах в области атак на системы
является неидеальность используемых квантового распределения ключей и про-
компонентов. Так, в некоторых системах тиводействия таким атакам.
в клиентском модуле могут быть реали-
зованы несколько фотодетекторов, пред- Международный союз электросвязи
назначенных для фиксации появления (ITU-T) также ведет схожие с ETSI рабо-
фотонов. Учитывая наличие темновых ты сразу в двух исследовательских груп-
отсчетов (самопроизвольных срабатыва- пах: SG13 (методология построения
ний фотодетектора) или неоднофотонных сетей с квантовым распределением клю-
импульсов, вероятно одновременное сра- чей) и SG17 (вопросы безопасности
батывание двух детекторов. Если такие таких сетей и квантовых датчиков слу-
события будут просто отбрасываться без чайных чисел). Однако в данном случае
надлежащей постобработки, нарушитель проекты находятся на ранних стадиях.
может провести определение ключа с
помощью атаки повторного срабатывания Примечательно, что перспективами
без возможности ее обнаружения леги- использования квантового распределе-
тимными пользователями. ния ключей заинтересовались и в Иссле-
довательской группе интернет-техноло-
Атака типа гий (IRTF), которая проводит долгосроч-
ные исследования, связанные с вопро-
"человек посередине" сами развития архитектуры, базовых
протоколов и сетевых приложений сети
Оказалось, что нарушитель в ряде Интернет. В рамках IRTF создана отдель-
случаев может просто "ослеплять" опти- ная Исследовательская группа кванто-
ческие элементы устройств. Данный тип вого Интернета (QIRG – Quantum Internet
атак применяется против лавинных фото- Research Group), ее эксперты пытаются
детекторов. В процессе атаки фотоде- ответить на вопрос, каким образом
тектор облучается мощным пучком может быть построен Интернет будущего
света, что приводит к переходу детектора на основе существующих протоколов
под полный контроль нарушителя. квантового распределения ключей и пока
В результате этого он может реализо- не существующих квантовых репитеров,
вать атаку типа "человек посередине", которые позволят объединять между
проводя измерения фотонов, посылае- собой различные сети.
мых сервером, и индуцируя в соответ-
ствии с проведенным измерением сра- Стандартизация в России
батывание соответствующего фотоде-
тектора на стороне клиента. В России вопросами стандартизации
в области квантовых систем распреде-
Разработка международных ления ключей занимается рабочая груп-
стандартов и требований па "Квантово-криптографические систе-
мы выработки и распределения ключей"
Мы рассмотрели только несколько Технического комитета по стандартиза-
примеров того, как нарушитель может ции "Криптографическая защита инфор-
воздействовать на реализации систем мации" (ТК 26). Одним из вопросов,
квантового распределения ключей, но изучаемых данной группой, является
даже из них становится ясно, что важен стандартизация интерфейсов взаимо-
не столько факт создания подобной действия систем квантового распреде-
системы, сколько оценка ее возможности ления ключей и средств криптографи-
противостоять различным типам угроз. ческой защиты информации.
Базисом для получения такой обосно-
ванной оценки является общая методо- В 2017 г. ФСБ России утвердила Вре-
логия и требования к результатам тести- менные требования к квантовым крип-
рования системы. тографическим системам выработки
и распределения ключей для средств
Первые шаги в создании подобной криптографической защиты информа-
методологии были сделаны девять лет ции, не содержащей сведений, состав-
назад Группой по квантовому распреде- ляющих государственную тайну.
лению ключей Европейского института
телекоммуникационных стандартов Таким образом, можно видеть, как
(ETSI). К настоящему моменту группой казавшаяся еще некоторое время назад
разработан стек стандартов, касающихся фантастической область квантовой крип-
архитектуры таких систем, и вопросов тографии приобретает привычные очер-
оценки их безопасности. тания через формирование методик раз-
работки, тестирования и использования
В начале 2019 г. 27-й подкомитет квантовых систем распределения клю-
1-го объединенного технического коми- чей. В перспективе можно ожидать
тета Международной организации по появление квантовых криптографиче-
стандартизации/Международной элек- ских систем, чья безопасность основана
тротехнической комиссии (ISO/IEC JTC1 не только на заявлениях разработчиков,
SC27) начал разработку серии из двух но и подтверждена результатами неза-
стандартов, посвященных требованиям висимых исследований. l
к устройствам квантового распределения
ключей и методике оценки соответствия Ваше мнение и вопросы
этим требованиям. По сравнению присылайте по адресу
с достаточно старыми стандартами ETSI
[email protected]
ТЕХНОЛОГИИ
Подходы к криптографической защите
коммуникаций в IoT и M2M
Владислав Ноздрунов, эксперт Технического комитета по стандартизации ТК 26
Александр Семенов, аспирант МИЭМ НИУ ВШЭ
В виду масштабного развития современных информационных технологий, особенно
в такой области, как Интернет вещей, появление открытых стандартов позволяет
создавать гибкую инфраструктуру и упрощает выход на рынок продуктов, отвечающих
современным требованиям, ускоряет развитие и внедрение различных технологий во
многие сферы повседневной жизни. Стандартизация обеспечивает технологическую
конкуренцию и совместимость продуктов разных производителей, что стимулирует
развитие Интернета вещей.
В рамках реализации федеральных ствующий с 1 апреля 2019 г. до 1 апреля переработали после выявленных уязви-
проектов, предусмотренных националь- 2022 г. В течение ближайших трех лет мостей20, приводящих к реализации
ной программой "Цифровая экономика должна пройти апробация данного стан- практических атак.
Российской Федерации", начата стан- дартизированного решения на практике,
дартизация в области Интернета вещей оценен потенциал его применения и Спецификация1 описывает требова-
(IoT), а именно подготовка специфика- внедрения, а по их результатам – кор- ния к физическому уровню, MAC-уров-
ций ряда протоколов, предназначенных ректировка стандарта. ню, транспортному уровню и уровню
для взаимодействия между IoT-устрой- представления. Основной акцент сде-
ствами. Такие протоколы можно разде- Протокол беспроводной передачи дан- лан на физический уровень, в рамках
лить на два больших класса – телеком- ных на основе узкополосной модуляции которого описаны полоса рабочих
муникационные1, 2, 3 и криптографиче- радиосигнала NB-FI создан для построе- частот, модуляция, метод разделения
ские16, 17, 18. ния энергоэффективных беспроводных каналов и передача данных на транс-
сетей обмена данными дальнего радиуса портном и MAC-уровне, при этом крип-
Телекоммуникационные протоколы и действия по принципу топологии "звезда" тографической защите данных уделено
их спецификации в первую очередь (аналогичную топологию используют гораздо меньшее внимание.
охватывают логические и физические мобильные сети сотовой связи). Прото-
вопросы передачи данных, проработка кол подходит для телеметрических Данные передаются в виде пакетов1,
безопасности отходит на второй план. систем, в которых преобладает передача полезная нагрузка которых при передаче
Криптографические протоколы предна- данных от конечных устройств к базовым от конечных устройств к базовым стан-
значены для решения вопросов без- станциям (серверу), а обратный канал циям (восходящие пакеты) составляет
опасности и в большинстве своем могут в основном предназначен для передачи 8 байт, а для пакетов от базовых станций
использоваться с произвольным теле- управляющей (служебной) информации. до конечных устройств (нисходящие
коммуникационным протоколом пере- В качестве областей использования пакеты) полезная нагрузка варьируется
дачи данных. предполагаются сферы ЖКХ, электро- от 8 до 128 байт. Конфиденциальность
энергетика, логистика, транспорт, данных обеспечивается, согласно
Протокол NB-FI – первопроходец а также индустриальные IoT-решения. ГОСТ Р 34.12–201521, при помощи алго-
в России ритма блочного шифрования "Магма"
ПНСТ1 разработан Техническим коми- (длина блока которого составляет 8 байт)
Первым протоколом Интернета вещей, тетом по стандартизации "Кибер-физи- в режиме ECB. Отметим, что подобное
стандартизированным в Российской ческие системы” (ТК 194) по инициативе решение с точки зрения современной
Федерации, стал NB-FI (Narrowband Ассоциации Интернета вещей. Первая криптографии считается небезопасным.
Fidelity). В феврале 2019 г. был утвер- версия стандарта была представлена Например, в соответствии с отечествен-
жден так называемый предварительный широкой общественности в апреле ными рекомендациям по стандартиза-
национальный стандарт (ПНСТ)1, дей- 2018 г., в дальнейшем ее существенно ции15 не рекомендуется использовать
режим ECB для данных длиной более
38 • одного блока входных данных исполь-
зуемого алгоритма блочного шифрова-
ния, а также для неслучайных (форма-
лизованных) данных.
Таким образом, для обеспечения кон-
фиденциальности восходящих данных
при переработке ПНСТ целесообразно
изменить используемый режим шифро-
вания, например, на один из режимов,
определяемых ГОСТ Р 34.13–201522.
Однако наиболее серьезной проблемой
разработанного ПНСТ является то, что
целостность данных и аутентификация
с помощью криптографических методов
в данном протоколе не предусмотрена,
что позволяет проводить подмену пере-
КРИПТОГРАФИЯ www.itsec.ru
даваемых сообщений. Это необходимо Судя по настроению и реакции экс- Протокол CRISP – это универсальный
учитывать при разработке телеметри- пертного сообщества3, проект4 далек протокол, описывающий структуру дан-
ческих систем, построенных на основе от практического применения и не ных для безопасной передачи инфор-
ПНСТ1, тем более в условиях заявленных может составить конкуренцию в настоя- мации в автоматизированных системах
областей применения. щем виде ни LoRaWAN, ни какому- управления, промышленных сетях, систе-
либо другому из существующих стан- мах сбора информации, а также при
Проект стандарта дартизированных решений. Это связано M2M-взаимодействии. Протокол не
для LoRaWAN в первую очередь с плохо описанным является самодостаточным и должен
функциональным назначением прото- использоваться совместно с телеком-
Следующим шагом на пути стандар- кола с точки зрения обеспечения без- муникационными протоколами, посколь-
тизации IoT-технологий в Российской опасности. Одной из целей криптогра- ку является лишь надстройкой для обес-
Федерации стал проект стандарта, опре- фической защиты, помимо обеспечения печения безопасности данных.
деляющий сетевой протокол и систем- конфиденциальности передаваемых
ную архитектуру сети LoRaWAN (Long данных, является обеспечение их К особенностям протокола следует
Range Wide Area Networks), оптимизи- целостности. Вектором атаки в данном отнести то, что он использует предвари-
рованные на национальном уровне для случае является навязывание ложной тельно распределенные ключи, что,
мобильных и стационарных конечных информации и перехват управления. однако, является стандартной практикой
устройств с батарейным питанием2. для IoT-устройств. Для обеспечения
Текущая спецификация протокола защиты информации предусмотрено два
Отличительными особенностями дан- OpenUNB не предназначена для обес- криптографических набора:
ного протокола являются высокая энер- печения свойства целостности переда-
гоэффективность, возможность переда- ваемых данных по причине отсутствия 1) для обеспечения конфиденциаль-
чи данных на большие расстояния, спо- механизма аутентификации и использо- ности, целостности и аутентичности
собность поддерживать двунаправлен- вания криптографически небезопасного сообщений;
ную связь, а также гибкая адаптация алгоритма CRC.
полосы пропускания. В настоящее время 2) для обеспечения только целостности
завершается процедура публичного Криптографический протокол и аутентичности данных.
обсуждения первой редакции данного CRISP
проекта. Для выполнения указанных свойств
Рассмотренные выше протоколы безопасности протокол CRISP исполь-
У текущей версии проекта2 также являются телекоммуникационными зует алгоритм блочного шифрования
выявлен ряд недостатков с точки зрения и лишь косвенно касаются вопросов "Магма" в режиме гаммирования (соглас-
безопасности. Например, можно указать безопасности. Для повышения степени но ГОСТ Р 34.12–201521) и в режиме
ту же проблему использования режима защищенности информационного взаи- выработки имитовставки (согласно
простой замены (ЕСВ), что и в описанном модействия их целесообразно реали- ГОСТ Р 34.13–201522). Наличие двух
выше NB-FI. зовывать совместно со специализиро- криптографических наборов объясняется
ванными криптографическими прото- тем, что зачастую конфиденциальность
Следует отметить, что в целом проект2 колами, предназначенными для исполь- не является необходимым требованием
основан на спецификации LoRaWAN зования устройствами Интернета при построении промышленных сетей,
версии 1.1, которая, по информации от вещей. Такие протоколы отличаются в отличие от целостности и аутентично-
участников LoRa Alliance, была отозвана от широко используемых протоколов сти. Кроме того, протокол CRISP обес-
из-за найденных в ней критических оши- типа TLS и IPSec прежде всего меньшим печивает защиту от повтора ранее пере-
бок. В настоящее время действующей объемом передаваемой служебной данных сообщений за счет использова-
является LoRaWAN версии 1.03, которая информации и отсутствием затратных ния счетчиков и учета полученных паке-
сильно отличается от версии 1.1. При с точки зрения энергопотребления пре- тов. Для защиты от атак, использующих
этом, поскольку, согласно тексту про- образований (например, электронной накопление переданных данных, пред-
екта2, допускается возможность совмест- подписи). усмотрена процедура диверсификации
ного использования двух версий – 1.03 ключа на основе алгоритма "Магма"
и 1.1, возникает опасность проведения В рамках деятельности Технического в режиме выработки имитовставки.
атак, связанных с навязыванием уязви- комитета по стандартизации “Крипто-
мой версии протокола. Их опасность графическая защита информации” Низкоресурсный протокол CRISP
хорошо известна на примере аналогич- (ТК 026) независимо от ТК 194 ведутся является новым и перспективным для
ных атак на протоколы стека TLS5, 23, 24. работы по созданию протоколов такого обеспечения безопасности информации,
В связи с этим представляется крайне типа. передаваемой в промышленных сетях,
важным исследовать вопросы безопас- а также устойчивости их функциониро-
ности разрабатываемой спецификации Так, в июне 2019 г. утверждены мето- вания. Конкуренцию ему могут составить
при работе в режиме совместимости дические рекомендации, описывающие такие протоколы, как IPSec, Iplir, DLMS.
версий 1.03 и 1.16, 7, 8, включая обосно- криптографический протокол CRISP16. Насколько протокол CRISP окажется
вание достаточности реализуемых мето- востребованным, покажет время.
дов защиты протокола от атак на прото-
кол LoRaWaN, описанных в работах9, 10, • 39
.11, 12, 13, 14
OpenUNB – инициатива
под вопросом
Еще одной инициативой стандартиза-
ции в области IoT в Российской Федера-
ции стал проект национального стан-
дарта OpenUNB (Open Ultra-Narrowband)4
узкополосной связи для IoT под назва-
нием "Протокол беспроводной передачи
данных для высокоемких сетей на основе
сверхузкополосной модуляции радио-
сигнала", который проходит процедуру
публичного обсуждения.
ТЕХНОЛОГИИ
Алгоритмы для защищенного Первый механизм аутентификации криптографических алгоритмов в про-
взаимодействия абонентов применим в классе устройств, срок токоле DLMS, предназначенном для
и устройств жизни которых мал, а уникальная защищенного взаимодействия между
ключевая информация может быть системами сбора данных и измери-
Еще один вариант протоколов рас- помещена в устройство на этапе его тельными устройствами. Протокол
сматриваемого класса – криптографи- производства. Второй механизм пред- может быть использован для обес-
ческие механизмы защищенного взаи- почтителен для большего класса печения конфиденциальности и целост-
модействия между двумя абонентами устройств, чей срок эксплуатации пре- ности данных, а также для аутентифи-
по незащищенному каналу, регламен- вышает время действия ключевой кации источника данных при помощи
тируемые методическими рекоменда- информации, или устройств, целью криптографических механизмов –
циями17. В качестве абонентов могут которых является предоставление услу- предварительно распределенных клю-
выступать контрольные и измерительные ги доступа к защищенному взаимодей- чей или инфраструктуры сертификатов
приборы, устройства Интернета вещей, ствию различным физическим лицам открытых ключей.
а также произвольные субъекты авто- (например, кассовые аппараты, терми-
матизированных систем. налы удаленного доступа). При этом Таким образом, существует набор
наличие единого криптографического безопасных низкоресурсных криптогра-
Важной особенностью взаимодействия механизма взаимодействия позволит фических протоколов, которые способ-
контрольных и измерительных устройств объединять в сети устройства незави- ны обеспечить защиту данных при
является необходимость поддержки мак- симо от используемого ими механизма использовании совместно с широко
симально возможного числа криптогра- аутентификации. применяемыми телекоммуникационны-
фических механизмов аутентификации ми протоколами Интернета вещей. l
участников взаимодействия, основанных В проекте методических рекоменда-
как на использовании предварительно ций18, который в настоящее время Ваше мнение и вопросы
распределенной ключевой информации, находится в разработке, определяется присылайте по адресу
так и на применении инфраструктуры порядок использования российских
сертификатов открытых ключей. [email protected]
1 ПНСТ 354–2019 “Информационные технологии. Интернет вещей. Протокол беспроводной передачи данных на основе
узкополосной модуляции радиосигнала (NB-FI)".
2 Проект ПНСТ “Информационные технологии. Интернет вещей. Протокол обмена для высокоемких сетей с большим
радиусом действия и низким энергопотреблением".
3 “Проект национального IoT-стандарта OpenUNB: критический разбор". https://habr.com/ru/post/464103/.
4 Первая редакция проекта ПНСТ “Информационные технологии. Интернет вещей. Протокол беспроводной передачи данных
для высокоемких сетей на основе сверхузкополосной модуляции радиосигнала" (OpenUNB, OpenUltra-Narrowband).
5 Downgrade Attack on TLS 1.3 and Vulnerabilities in Major TLS Libraries. https://www.nccgroup.trust/us/about-us/newsroom-
and-events/blog/2019/february/downgrade-attack-on-tls-1.3-and-vulnerabilities-in-major-tls-libraries/.
6 Avoine G., Ferreira L. Rescuing LoRaWAN 1.0, unpublished. https://fc18.ifca.ai/preproceedings/13.pdf.
7 Yang X. LoRaWAN: Vulnerability Analysis and Practical Exploitation. Delft University of Technology, 2017.
https://repository.tudelft.nl/islandora/object/uuid:87730790-6166-4424-9d82-8fe815733f1e?collection=education.
8 Donmez C. M., Nigussiea E. Security of LoRaWAN v1.1 in Backward Compatibility Scenarios. The 15th International Conference
on Mobile Systems and Pervasive Computing (MobiSPC 2018). Procedia Computer Science 2018. P. 51–58.
9 Butun I., Pereira N., Gidlund M. Security Risk Analysis of LoRaWAN and Future Directions. Future Internet, 2019, 11, 3.
10 Исхаков C.Ю., Исхакова А.А., Мещеряков Р.В. Анализ уязвимостей в энергоэффективных сетях дальнего радиуса действия
на примере LoRaWAN. Сб. науч. тр. IV Международной научной конференции. – 2017. – C. 122–126.
11 Butun I., Pereira N., Gidlund M. Analysis of LoRaWAN v1.1 Security: Research Paper. In Proceedings of the 4th ACM MobiHoc
Workshop on Experiences with the Design and Implementation of Smart Objects, Los Angeles, CA, USA, 2018, pp. 5:1–5:6.
12 Aras E., Ramachandran G.S., Lawrence P., Hughes D. Exploring the Security Vulnerabilities of LoRa. In Proceedings of the 2017
3rd IEEE International Conference on Cybernetics (CYBCONF), 2017. P. 1–6.
13 Plosz S., Farshad A., Tauber M., Lesjak C., Ruprechter T., Pereira N. Security Vulnerabilities and Risks in Industrial Usage of
Wireless Communication. In Proceedings of the 2014 IEEE Emerging Technology and Factory Automation (ETFA), Barcelona, Spain,
16–19 September 2014. P. 1–8.
14 Mahmood A., Sisinni E., Guntupalli L., Rondon, R., Hassan S.A., Gidlund M. Scalability Analysis of a LoRa Network under
Imperfect Orthogonality. IEEETrans. Ind. Inform. 2018, doi:10.1109/TII.2018.2864681.
15 Рекомендации по стандартизации Р 1323565.1.005–2017 “Информационная технология. Криптографическая защита
информации. Допустимые объемы материала для обработки на одном ключе при использовании некоторых вариантов режимов
работы блочных шифров в соответствии с ГОСТ Р 34.13–2015".
16 Методические рекомендации МР 26.4.001–2019 “Информационная технология. Криптографическая защита информации.
Протокол защищенного обмена для индустриальных систем (CRISP 1.0)".
17 Методические рекомендации МР 26.4.003–2018 “Информационная технология. Криптографическая защита информации.
Криптографические механизмы защищенного взаимодействия контрольных и измерительных устройств".
18 Проект методических рекомендации “Информационная технология. Криптографическая защита информации. Методические
рекомендации, описывающие использование российских криптографических механизмов для реализации обмена данными по
протоколу DLMS".
19 Рекомендации по стандартизации Р1323565.1.020–2018 “Информационная технология. Криптографическая защита
информации. Использование криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.2)".
20 Nozdrunov V.I. About Project of National Standard "Protocol of IoT for the Interchanging Data in Narrowband Spectrum (NB-
Fi)". https://ctcrypt.ru/files/files/2018/Rump/R02_Nozdrunov.pdf.
21 ГОСТ Р 34.12–2015 Информационная технология. Криптографическая защита информации. Блочные шифры.
22 ГОСТ Р 34.13–2015 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров.
23 Man-in-the-Middle TLS Protocol Downgrade Attack. https://www.praetorian.com/blog/man-in-the-middle-tls-ssl-protocol-down-
grade-attack.
24 This POODLE Bites: Exploiting the SSL 3.0 Fallback. https://www.openssl.org/~bodo/ssl-poodle.pdf.
40 •
ТЕХНОЛОГИИ www.itsec.ru
Техника информационной
безопасности в разработке
мобильных приложений
Павел Кузнецов, ведущий разработчик DD Planet
Т олько ленивый сегодня не настроил тач-пароль на своем
мобильном устройстве и не подключил миллион верификаций,
продолжая при этом бесстрашно загружать приложения из
неофициальных источников и устанавливать чудо-расширения.
Нередко такие истории завершаются взломанными аккаунтами
и утечкой персональных данных. Реально оценивая ситуацию,
мы все понимаем, что мир интернет-технологий слишком
подвижен, чтобы давать пользователям громкие обещания
и гарантировать стопроцентную защищенность. Так где же
находится та самая золотая середина? В этой статье разберемся,
как организовать процесс разработки безопасных мобильных
приложений, чтобы завоевать пользовательское доверие.
Стремительно возрастающая Шаг 1. Определить Отсутствие обязательной В среднем на одно при-
конкуренция требует быстрых возможные виды аутентификации и некорректное ложение может приходиться
решений, поэтому скорость раз- уязвимостей управление сессиями также более 30 уязвимостей,
работки приложений увеличи- могут способствовать краже шесть из которых критиче-
вается из года в год. Каждый На практике соблюдение конфиденциальной информа- ски опасны. Самое опасное
хочет реализовать новый функ- информационной безопасно- ции. Чтобы этого избежать, следствие уязвимостей –
ционал первым, в связи с чем сти – это своевременная реак- нужно применять исключитель- утечка данных.
сокращаются производствен- ция на возможные недочеты. но многофакторную аутентифи-
ные циклы, а релизы могут В среднем на одно приложение кацию, проверять пользователь-
выпускаться чуть ли не каждый может приходиться более ские сессии и хранить автори-
день. Тем не менее быстрее не 30 уязвимостей, шесть из кото- зационные токены в наиболее
значит лучше. Катализация раз- рых критически опасны. Самое безопасных областях ОС.
работки, безусловно, оказывает опасное следствие уязвимо-
побочные эффекты на весь про- стей – утечка данных. Безопасная и корректная
дукт, в том числе и на его ито- работа с данными особенно
говую безопасность. Многие Ее причины обычно кроются важна, когда речь идет о при-
компании уже научены горьким в недостатках администриро- ложениях, использующих боль-
опытом и понимают, что зазор вания и разграничения доступа шой объем персональной
в безопасности рано или поздно к различным устройствам. Чув- информации.
может превратиться в пятно на ствительные данные не должны
репутации, и не всегда от этого храниться в открытом доступе. Еще одна серьезная уязви-
пятна можно избавиться. Для их защиты следует исполь- мость – небезопасная передача
зовать надежные криптографи- данных, которая характеризу-
ческие алгоритмы. ется недостаточным подтвер-
Приведу пример DD Planet. Сейчас мы занимаемся разработкой
и поддержкой мобильного приложения Живу.рф. Сервис
представляет собой электронную систему самоуправления
граждан, включающую в себя приватную социальную сеть,
мессенджер, механизмы подтверждения личности
и принадлежности к адресу. Безопасность огромного массива
персональных данных пользователей мы обеспечиваем
следующим образом: на стороне мобильного клиента
авторизация и предоставление личных данных происходит
с помощью OAuth2. Профиль пользователя подтверждается
посредством сайта "Госуслуги", а право собственности –
выпиской ЕГРН из Росреестра, после чего данные передаются
в ИСПДн (Информационную систему персональных данных),
где хранятся в изолированной виртуальной сети с защищенной
ИТ-инфраструктурой.
• 41
ТЕХНОЛОГИИ
Профессиональные лайфхаки устройствах разработчиков или задач по приоритету, исполь-
тестировщиков. зуемый при тестировании. Най-
В завершение несколько рекомендаций для денные баги, которые надо
достижения максимальной безопасности продукта: Шаг 2. Оценить уровень устранить, распределяются по
* использовать параметризованные запросы к базе степени негативного воздей-
данных; защищенности ствия на продукт.
* избавляться от конструирования запросов внутри
приложения, чтобы избежать SQL-инъекций; приложения 1. Первым делом обнаружи-
* подключаться к базе данных лишь ваем и устраняем блокеры или
под специальной заведенной учетной записью Для того чтобы выявить ошибки, из-за которых даль-
с минимально необходимым набором прав; нейшая работа приложения
* регулярно вести журналы безопасности. потенциальные факторы риска невозможна (отсутствует воз-
можность регистрации или
и обеспечить информационную входа в аккаунт, нельзя полу-
чить доступ к информации
безопасность, следует прово- в приложении или к его разде-
лам).
дить обязательное тестирова-
2. Далее отслеживаем
ние приложений. Преимуще- и исключаем критические баги
(проблемы безопасности, зави-
ственно используют два вида сания системы, неправильно
работающая бизнес-логика или
тестов на преодоление защиты, временные падения приложе-
ния).
так называемые белый и чер-
3. Затем анализируем про-
ный ящики. блемы Medium-уровня –
выявляем ошибки, которые не
Метод белого ящика, или ста- влияют на использование при-
ложения, но не совпадают
тистическое тестирование без- с ожидаемой работой функцио-
нала (например, недочеты
опасности (SAST), включает в дизайна).
себя оценку со стороны разра- 4. Наконец, устраняем
последние недостатки: избав-
ботчика. Иными словами, спе- ляемся от мелких багов, вносим
корректировки по интерфейсу,
циалист получает доступ к убираем опечатки.
исходному коду и проверяет Выпуск продукта происходит
в несколько этапов: сначала
работу всех алгоритмов. публикуем его на тестовом
окружении для выявления
Метод черного ящика заклю- багов. После этого проводим
багфиксинг приоритетов 1-го
чается в том, что тестировщик и 2-го уровня серьезности
(Severity). Далее мы делаем
не обладает никакой информа- релиз на продакшн, после
которого часть команды зани-
цией о системе и анализирует мается устранением багов
с уровнем 3 и 4, и через
приложение на функциональ- несколько дней происходит
еще одно обновление.
ность с позиции обычного поль-
И самое главное – не дове-
зователя. рять пользовательскому вводу.
ждением достоверности источ- Кроме того, существуют сер- Любые данные от клиента
ников связи, неверными вер- должны проверяться на сер-
сиями SSL и неполной провер- висы, которые выявляют уязви- вере, что позволит предотвра-
кой согласования. Использова- тить прохождение скриптов
ние сертификатов, подписанных мости мобильных приложений или злонамеренных шестна-
доверенными центрами, и при- дцатеричных кодов. Пользо-
менение Web-сниффера для в автоматическом режиме: вательские данные часто пере-
контроля передачи данных толь- даются в качестве параметров
ко в зашифрованном виде обес- Ostorlab, Appvigil, Quixxi, Andro- для вызова другого кода на
печат безопасный обмен. сервере. Важно подвергать все
Существуют сервисы, Total, Akana, NVISO, SandDroid входные данные строгой про-
которые выявляют уязвимо- Предсказуемое значение верке на корректность. Оста-
сти мобильных приложений идентификатора сессии позво- и др. вив их без проверки, можно
в автоматическом режиме: ляет перехватывать сессии дру- серьезно нарушить безопас-
Ostorlab, Appvigil, Quixxi, гих пользователей. Так как Для выявления уязвимостей ность системы. l
AndroTotal, Akana, NVISO, большинство мобильных при-
SandDroid и др. ложений предполагает исполь- мы в DD Planet в основном Ваше мнение и вопросы
зование в офлайн-режиме, присылайте по адресу
Любые данные от клиен- часто применяется авторизация используем ручное тестирова-
та должны проверяться на с сохранением данных: после [email protected]
сервере, что позволит пред- ввода логина и пароля про- ние. Данный метод исключает
отвратить прохождение грамма сохраняет специальный
скриптов или злонамерен- идентификатор для последую- применение программных
ных шестнадцатеричных щего предъявления серверу.
кодов. средств и базируется на экс-
Уязвимость методов автори-
42 • зации может обеспечить пертном анализе. Приложение
доступ к закрытой информации
или функциям приложения, исследует опытный инженер-
поэтому нужно позаботиться о
корректном распределении тестировщик, который выпол-
прав доступа.
няет роль конечного пользова-
Кроме того, довольно часто в
коде приложения присутствуют теля и имитирует возможные
скрытые функциональные воз-
можности: информация для поведенческие сценарии. Руч-
тестировщиков, "невидимые"
настройки и даже некоторые ное тестирование требует
ключи. Необходимо вниматель-
но проверять идентификаторы значительно больше времени,
девайсов и открывать доступ к
скрытым разделам только на нежели автоматическое, но
считается наиболее эффектив-
ным в отношении полноты
охвата данных и оперативной
реакции: устранять баги и кор-
ректировать функционал
можно сразу же.
Шаг 3. Расставить
приоритеты в устранении
уязвимостей
При разработке приложений
важно не только вовремя
выпускать релизы, но и опера-
тивно устранять баги для
гарантии пользовательской
безопасности. Удовлетворить
все заданные требования
помогает метод оценивания
СОБЫТИЯ www.itsec.ru
Форум по искусственному интеллекту (RAIF 2019)
отгремел на Открытых инновациях
22–23 октября в Сколково прошел третий ежегодный форум по системам искусственного
интеллекта – RAIF 2019 (The Russian Artificial Intelligence Forum), организатором которого
выступила ИТ-компания “Инфосистемы Джет”. В этом году событие прошло в новом формате,
став частью “Открытых Инноваций”. При этом форум не только сохранил, но и значительно
расширил создавшееся вокруг него профессиональное комьюнити. На RAIF 2019 выступило
более 80 спикеров – от топ-менеджеров крупнейших российских и зарубежных компаний до
государственных организаций и лидеров научно-академического сообщества, технических
евангелистов и data scientist'ов.
Двухдневный RAIF 2019 проходил в ны внедрять не айтишники, а производ- "Инфосистемы Джет": на заводе мате-
конференц-залах Инновационного центра ственники". Этот тезис вызвал ожив- матические модели обрабатывают дан-
Сколково. Форум посетило более 2 тыс. ленную дискуссию, в процессе которой ные с датчиков бумагоделательной
человек. В этом году спикеры RAIF сосре- прозвучали и пути решения выявленных машины и данных АСУ ТП, прогнозируя
доточились на практике перехода от пило- спикером проблем. возможный разрыв полотна и остановку
тов AI/ML к экономически эффективному процесса, а также причины, которыми
внедрению технологий в бизнес, а также Пленарную часть форума RAIF открыл она будет вызвана. Имея эту информа-
на способах преодоления вызовов и мити- его идеолог, директор по разработке и цию, технологи производства принимают
гации рисков, стоящих на этом пути. внедрению ПО "Инфосистемы Джет" Вла- меры, чтобы предотвратить разрыв.
димир Молодых. Его выступление было Таким образом, уменьшается время про-
Форум открыла сессия дебатов "AI для посвящено секретам успехов и провалов стоя оборудования и количество брака.
людей", на которой эксперты на простых внедрения проектов ИИ. "Я вижу, что
примерах рассказали о разнице и связях постепенно рынок начинает говорить о тех Тему повышения компетенции руко-
между понятиями Machine Learning, Artificial проблемах, о тех подводных камнях, кото- водителей, звучавшую ранее на дискус-
Intelligence, Data Science и Digital Twins. рые мешают увеличить процент успешных сии, затронула Мария Шклярук, акаде-
Участники дискуссии, среди которых были проектов, и об опыте решения этих проблем мический директор центра подготовки
практики Data Science, кандидаты наук и на практике. Это на порядок важнее футу- руководителей цифровой трансформа-
ИТ-директора крупных предприятий, разо- ристических прогнозов и презентаций о ции ВШГУ РАНХиГС. Она рассказала
брали основные понятия технологий ИИ невнятных возможностях абстрактных о проблемах восприятия и внедрения
на примерах реальных процессов. решений в вакууме", – отметил он. проектов ИИ в государственной сфере.
На индустриальных сессиях были рас- В пленарной сессии выступил вице- Во второй день RAIF секции шли от
крыты аспекты развертывания гибкой и президент Huawei Эдвин Диндер. Он сде- глубоких и фундаментальных вызовов
защищенной инфраструктуры для внед- лал интересный прогноз, который живо на пути применения ИИ к понятным для
рения AI, а также истории успешных обсуждался посетителями форума: в обо- бизнеса выводам и советам для дей-
внедрений в промышленности, добы- зримом будущем у каждой страны, горо- ствий. Для бизнес-аудитории отдельным
вающей отрасли, финансовом секторе, да, предприятия, здания и человека будет блоком шла ключевая сессия Inevitable
ритейле и телекоме для цифровой транс- цифровой двойник, на котором мы будем AI: как получить прибыль от внедрения
формации производства, продаж, мар- испытывать все сценарии воздействия, ИИ, окупаемость AI, оценка ML-проектов,
кетинга, CX, логистики, HR, безопасно- прежде чем применять их в реальности. противодействие подводным камням и
сти и других вертикалей бизнеса. рискам. Эксперты из Accenture, Счетной
Большой интерес вызвало и выступле- палаты, X5 Retail Group, "Ростелекома",
Большой интерес публики вызвала ние Анджея Аршавского, директора по PepsiCo Holdings, Tele2 обсудили, как
пленарная дискуссия "Открытых инно- анализу данных и моделированию ПАО отсеять утопичные проекты на раннем
ваций" при поддержке "Инфосистемы "Газпром нефть", который рассказал об этапе и в принципе распознать реали-
Джет" – A Lightning-Fast Change с уча- опасностях, угрожающих успешному при- зуемость проекта, а также его экономи-
стием министра экономического разви- менению ИИ, в частности о противоречиях ческий потенциал.
тия России Максима Орешкина, топ- в интересах команд AI и производства,
менеджеров Сбербанка и Яндекса. На приводящих к потере важных технических Выступили на RAIF и представители
этой сессии Юлия Кошкина, заместитель деталей, фальсификации данных и дру- науки: профессор Борис Новиков из
генерального директора "Инфосистемы гим серьезным проблемам. Высшей школы экономики Санкт-Петер-
Джет", справедливо отметила две основ- бурга рассказал о мифах больших дан-
ные проблемы, мешающие внедрению Павел Вахнин, вице-президент по ных, которые могут привести к неожи-
масштабных проектов ИИ: неточность информационным технологиям Segezha данно масштабным деструктивным
данных и недостаточные компетенции Group, рассказал об интересном проекте последствиям. А руководитель лабора-
руководителей. По ее словам, "ML долж- внедрения ИИ на производстве бумаги, тории машинного обучения ИТМО Анд-
которое было реализовано совместно с рей Фильченков рассказал о разработ-
ках автоматического обучения, которое
может решить проблему нехватки ква-
лифицированных аналитиков данных.
Суть метода заключается в том, что
программы заменяют самих Data Scien-
tist'ов, автоматизируя подбор решений
для задач машинного обучения. l
Ваше мнение и вопросы
присылайте по адресу
[email protected]
• 43
JOB
Подготовка кадров по ИБ
Алексей Коробченко, сотрудник службы информационной безопасности компании
“Код Безопасности”
Н а протяжении уже нескольких лет крупнейшие компании
и аналитические агентства из разных стран бьют тревогу:
повсеместно рынок сталкивается как с нехваткой
специалистов по информационной безопасности, так и с их
недостаточными компетенциями. По разным оценкам,
открытыми остаются от 1 до 3 млн вакансий по всему миру.
В рамках этой статьи обозначим векторы развития для тех
специалистов, которые только пришли в направление
информационной безопасности, и систематизируем взгляд на
обучение сотрудников.
Одна из причин ная работа по предоставлению маться только информационной
вузам необходимого для обуче- безопасностью недостаточно
нехватки кадров – повы- ния оборудования и программ- для полноценного развития спе-
ного обеспечения). циалиста.
шение значимости
3. Обучение по специально- Важно осознавать, что инфор-
информационной безопасности стям, связанным с информа- мационная безопасность – это
ционной безопасностью, теперь профессия, смежная со многи-
как одного из направлений осуществляется даже в отда- ми другими. Например, специа-
ленных городах нашей страны. лист по информационной без-
успешного функционирования опасности не сможет защитить
Но, несмотря на все это, про- корпоративную сеть, если он
бизнеса. Почти каждая серьез- блема нехватки сотрудников не понимает, как она устроена.
все еще актуальна, поскольку: Для этого пригодятся знания и
ная организация хочет органи- l на рынке до сих пор много навыки системного администра-
неквалифицированных кадров; тора, сетевого инженера, воз-
зовать у себя собственный l зачастую при поиске предъ- можно навыки архитектора.
являются явно завышенные тре-
Важно осознавать, что отдел информационной без- бования работодателей, кото- Добавлю еще два примера:
информационная безопас- рым вчерашние студенты про- l чтобы защитить корпоратив-
ность – это профессия, опасности и нанять квалифи- сто не соответствуют. Так про- ные сайты, специалисту необхо-
смежная со многими други- исходит даже в тех случаях, димо понимать, какие угрозы
ми. Например, специалист цированные кадры. когда специалист подобного есть для Web в целом, уметь
по информационной без- уровня вообще не нужен для читать чужой код и самому
опасности не сможет защи- Текущая ситуация выполнения поставленных "руками" искать уязвимости на
тить корпоративную сеть, задач; сайтах, знать, как правильно
если он не понимает, как На данный момент видно, что l в дополнение к предыдущему организовать процессы обнов-
она устроена. Для этого при- положение дел постепенно пункту – не самая высокая зара- ления, процессы взаимодей-
годятся знания и навыки сдвигается в сторону улучше- ботная плата по предлагаемым ствия с разработчиками сайта
системного администратора, ния: вакансиям во многих организа- и т.д.;
сетевого инженера, возмож- циях не способствует трудо- l чтобы защитить привычную
но навыки архитектора. 1. Рособрнадзор создает устройству квалифицированных многим 1С, необходимо как
новые учебные специальности кадров. минимум понимание сетевых
44 • по направлению информацион- технологий, операционных
ной безопасности. Комплекс знаний, систем, архитектуры самой 1С
умений и навыков и, самое главное, – бизнеса,
2. Крупные компании начи- работу которого обеспечивает
нают сотрудничать с вузами Обучение специалистов по каждая конкретная реализация
(организуются практические информационной безопасности – этой программы.
занятия и встречи, идет актив- тема достаточно обширная, так
как для того, чтобы оставаться Без этих знаний очень сложно
"в теме", специалист должен ограничивать права на какие-
постоянно повышать свой уро- либо ресурсы в системе, так
вень знаний. как не ясна их функциональная
значимость для организации.
В наше время это несложно:
в свободном доступе есть боль- Варианты обучения
шое количество статей, книг, кадров
блогов, обучающих курсов, тре-
нингов и т.д. В рамках организации воз-
можны следующие варианты
Стоит учесть, что проводить обучения:
на работе девять часов и зани-
JOB www.itsec.ru
1. Инвестирование в молодых мание всех процессов в орга- Направлений и специальностей в информационной
специалистов. Сюда входит как низации изнутри. Но при этом безопасности большое количество. Вот лишь
обучение на профильных курсах, наверняка не будет большого некоторые из них:
так и внутреннее обучение у разнообразия средств защиты l аналитика в области информационной
действующих специалистов/ при- информации или же бюджетов
глашение сторонних экспертов. для их внедрения. безопасности;
l инженерные позиции;
2. Собственный кадровый Если организация большая, l разработка средств защиты;
резерв. Внутреннее обучение вы получите: l тестирование на проникновение;
своих сотрудников, которые l опыт работы в больших ком- l аудиторская деятельность;
хотят начать работать в сфере паниях, что само по себе важно, l обучение/преподавание;
информационной безопасности. поскольку это совсем другая l тестирование продуктов;
структура, модель общения l расследование инцидентов;
3. Обучение на профильных между людьми и т.д.; l консультирование;
курсах. Хорошая практика полу- l опыт работы в команде; l защита информации в сфере государственной
чения знаний с учетом того, что l возможность получить про-
в подавляющем большинстве фессиональную консультацию тайны;
случаев организация платит за у более опытных коллег. l работы по приведению в соответствие требованиям
обучение и оно происходит
в рабочее время. Самостоятельное обучение, регуляторов (вне рамок государственной тайны)
на мой взгляд, самое полезное и т.д.
4. Геймификация. Очень инте- с точки зрения получения опыта Нужно понимать, что охватить все практически
ресный подход к обучению, но и знаний, но для него требуются невозможно, поэтому обучение на разных
доступен только в очень круп- усидчивость и внутренняя дис- направлениях будет существенно различаться.
ных организациях. циплина.
Получение профильных
Самостоятельное обучение Можно выделить несколько сертификатов
включает в себя самообучение и способов:
обучение на профильных курсах. l чтение профильных книг; Эта тема очень спорная, так
l участие в профильных меро- как мнения экспертов в области
В чем отличия самостоятель- приятиях; ИБ кардинально разные.
ного обучения от обучения l прослушивание видеоуро-
и развития как специалиста ков/курсов/лекций; Если проанализировать рынок
в рамках любой организации? l самостоятельное изучение Российской Федерации, можно
соответствующего программного заметить, что сертификаты до
Если организация маленькая, обеспечения в тестовых средах. сих пор не пользуются особым
скорее всего вы будете един- спросом. Исключение состав-
ственным специалистом, отве-
чающим за все. Это даст пони-
Сертификация специалистов по информационной безопасности
• 45
JOB
Если проанализировать ляют инженеры-внедренцы, l читаем вводные лекции о том, Крайне приветствуются
рынок Российской Федера- некоторые руководящие позиции что такое информационная без- вопросы о реализованных про-
ции, можно заметить, что и консалтинговые компании. опасность на практике; ектных решениях, поскольку
сертификаты до сих пор не l даем общее понимание про- они показывают интерес к зада-
пользуются особым спро- Получать или нет – каждый цессов, составляющих рабочий че и понимание рассматривае-
сом. Исключение состав- решает сам, но в любом случае процесс в каждом отделе и в мой системы. Причем вполне
ляют инженеры-внедренцы, практически любая сертифика- компании в целом; реальны ситуации, когда све-
некоторые руководящие ция как минимум поможет упо- l проводим знакомство жий взгляд помогает оптими-
позиции и консалтинговые рядочить и систематизировать с сетью, а также с сетевыми зировать работу того или иного
компании. знания. и защитными решениями, процесса либо уменьшить
используемыми в организации; поверхность для атаки на него.
Практика показывает, Описание основных между- l даем задание по изучению Это дает молодому специалисту
что для молодых специали- народных сертификаций в обла- с последующим аудитом кор- прекрасную возможность при-
стов это самая неприятная сти информационной безопас- поративных систем. По резуль- общиться к общему делу и непо-
тема, очень мало у кого есть ности представлено в таблице1. тату аудита любой корпоратив- средственно в ходе работы
даже начальное осознание ной системы мы получаем отчет понять многие вещи и процессы
того, как все устроено на Активная в свободной форме об обнару- в организации.
самом деле. Вместе с моло- профессиональная женных недостатках реализо-
дым специалистом мы и социальная позиция ванной архитектуры или ошиб- Полезные
составляем карту норматив- ках конфигурации; рекомендации
ной документации (верхнеу- Отмечу еще один важный l стимулируем получение прак-
ровневую) с кратким описа- момент обучения в сфере ИБ: тических базовых навыков В заключение хочу дать
нием, какой регулятор за чтобы стать действительно гра- в программировании за счет несколько советов для дей-
что отвечает, какие основ- мотным и квалифицированным решения "боевых" задач; ствующих и будущих сотрудни-
ные документы есть и какой специалистом, необходимо l помогаем в систематизации ков информационной безопас-
у них статус. и думать немного по-другому, понимания нормативно-право- ности:
а именно иметь несколько вой базы и документов регуля- l старайтесь учиться тому, что
взглядов на одну и ту же торов. Практика показывает, что у вас хуже всего получается
вещь/проблему. Есть даже для молодых специалистов это или с чем вы еще никогда не
такая поговорка: чтобы поймать самая неприятная тема, очень работали;
преступника, нужно думать, как мало у кого есть даже начальное l развивайте кругозор;
преступник. осознание того, как все устроено l начинайте с истоков – с пер-
на самом деле. Вместе с моло- вого созданного образца вре-
Желательно постоянно совер- дым специалистом мы состав- доносного программного обес-
шенствоваться в тех вопросах, ляем карту нормативной доку- печения, поскольку, не зная
с которыми приходится сталки- ментации (верхнеуровневую) основ и истории, очень тяжело
ваться на работе ежедневно, с кратким описанием, какой погружаться в современные
и при этом изучать методы, регулятор за что отвечает, какие сложные угрозы;
используемые условным оппо- основные документы есть l изучайте верстку сайтов,
нентом, поскольку понимание и какой у них статус; Linux/Unix, менеджмент, финан-
методов злоумышленника – это l отдельно проходимся по кри- сы, программирование, учите
очень важная часть работы тичным вещам, например 152-ФЗ, разные иностранные языки и
любого специалиста по инфор- 63-ФЗ, 98-ФЗ, базовым доку- т.д. В нашей работе все это
мационной безопасности. ментам основных регуляторов может пригодиться в самый
в области информационной без- неожиданный момент. l
Кроме того, по моему убеж- опасности (ФСТЭК и ФСБ).
дению, специалист по ИБ дол- Ваше мнение и вопросы
жен быть социально ответствен- присылайте по адресу
ным: если он видит потенциаль-
ную проблему в реализации [email protected]
рабочих процессов компании
(даже если она напрямую не
связана с его непосредственной
деятельностью), то он как мини-
мум должен сообщить сотруд-
нику, ответственному за направ-
ление, о своих сомнениях. Любая
потенциальная проблема может
привести к абсолютно реальным
рискам. Если существующие
риски более чем реальны, а
никаких действий не предпри-
нимается, нужно вынести про-
блему на уровень руководства
более высокого звена.
Практика обучения
молодых сотрудников
Приведу примеры того, как
мы готовим стажеров и новых
сотрудников и проверяем их
знания в службе информацион-
ной безопасности:
1 Более подробно с сертификациями можно ознакомиться в блоге автора таблицы:
http://80na20.blogspot.com/2015/03/blog-post_9.html.
46 •
НОВЫЕ ПРОДУКТЫ И УСЛУГИ www.itsec.ru
StaffCop Enterprise Характеристики: Ориентировочная цена: ~30 тыс. руб.
l полностью интегрированное решение, Время появления на российском
Производитель: StaffCop (ООО "Атом не требует приобретения лицензий на рынке: IV квартал 2019 г.
стороннее ПО Подробная информация:
Безопасность") l серверная часть может устанавли- http://www.trustedcloudcomputers.ru/
ваться на Ubuntu Server 16.04 LTS на m-trust/
Сертификат: получение сертификата физической, виртуальной машине или Фирма, предоставившая инфор-
выделенном сервере. Программа-агент мацию: ОКБ САПР
ФСТЭК, решение № 5884 от 4 мая поддерживает ОС Windows
10/8/7/Vista/XP, а также ОС на базе См. стр. 12, 13
2018 г. GNU/Linux
l базы данных PostgreSQL, ClickHouse Fin-TrusT
Назначение: l OLAP-технология обработки данных
Ориентировочная цена: до 4200 руб. Производитель: ОКБ САПР
l защита от внутренних угроз инфор- за 1 рабочее место Сертификат: № 3936, выдан ФСТЭК
Время появления на российском России
мационной безопасности, выявление рынке: 2014 г. Назначение: защита сетевого взаи-
Подробная информация: модействия финансовой организации
инсайдеров и нелояльных сотрудников, https://www.staffcop.ru Особенности:
Фирма, предоставившая инфор- l построен на интеграционной плат-
раннее обнаружение и предотвращение мацию: АТОМ БЕЗОПАСНОСТЬ, ООО форме MK-И, состоящей из защищен-
(StaffCop) ного запатентованного микрокомпьюте-
угроз ИБ ра m-TrusT и интерфейсных плат с раз-
См. стр. 37 личным набором коммутационных интер-
l контроль дисциплины и продуктивно- фейсов для монтажа на оборудование,
m-TrusT объектов самого разнообразного типа,
сти персонала, учет рабочего времени от банкоматов и транспортных средств
Производитель: ОКБ САПР инкассации до бэк- и фронт-офисов
l удаленное администрирование рабо- Сертификат: № 3936, выдан ФСТЭК l может быть выполнен в едином кор-
России пусе с интерфейсной платой нужного
чих станций, аудит состояния ИТ Назначение: защита сетевого взаи- вида
модействия объектов КИИ Возможности:
Особенности: Особенности: l может поддержать любой из вариантов
l защищенный запатентованный мик- связи с процессинговым центром, или
l Endpoint-решение для Windows рокомпьютер с аппаратной защитой дан- даже все их одновременно, причем
ных, включает в себя резидентный ком- с дублированием каждого канала
и GNU/Linux, в том числе Astra Linux, понент безопасности, сертифицирован- (несколько каналов Ethernet, несколько
ный ФСТЭК России СДЗ уровня BIOS sim-карт для мобильного Интернета
macOS и физический ДСЧ, ПО размещается и т. д.)
в памяти, физически устанавливаемой l обеспечение среды функционирования
l поддерживает работу в любых сетевых в режим read only, что обеспечивает криптографии на высокие классы, про-
неизменность среды изводительность, достаточная для защи-
инфраструктурах, обеспечивающих под- l может поставляться с различными щенной передачи видеосигнала с камер
интерфейсными платами, обеспечиваю- без ощутимого снижения качества изоб-
ключение от клиента к серверу через щими коммутацию с оборудованием ражения
объекта КИИ Характеристики:
VPN, NAT и другие каналы Возможности: обеспечение среды l аппаратные характеристики крипто-
функционирования криптографии на шлюза – это характеристики микроком-
l обладает высокой скоростью анализа высокие классы, производительность, пьютера m-TrusT
достаточная для защищенной передачи l встроенное по умолчанию СКЗИ –
данных и генерации отчетов видеосигнала с камер без ощутимого DCrypt от компании ТСС – сертифици-
снижения качества изображения. ровано ФСБ России
l кросс-платформенная Web-консоль В состав может входить любое серти- Ориентировочная цена: ~30 тыс. руб.
фицированное СЗИ Время появления на российском
администратора Характеристики: рынке: IV квартал 2019 г.
l габаритные размеры 65x80 мм Подробная информация:
Возможности: l процессор Quad-core ARM Cortex-A17, http://www.trustedcloudcomputers.ru/
up to 1.8 GHz m-trust/kriptoshljuz-fin-trust/
l оповещения об утечках и инцидентах, l ОЗУ: 2 Гбайт DDR3 Фирма, предоставившая инфор-
l ПЗУ: 16 Гбайт NAND-flash мацию: ОКБ САПР
нарушениях политик безопасности l microUSB
l microHDMI См. стр. 12, 13
l детектор аномалий поведения поль-
• 47
зователей
l мониторинг активности пользовате-
лей
l корреляция событий и перехваченных
данных
l теневые копии файлов
отправляемых/копируемых за пределы
компании
l мониторинг коммуникаций сотрудни-
ков
l мониторинг и блокировка USB-
устройств
l мониторинг и блокировка сетевой
активности
l мониторинг и блокировка работы при-
ложений
l файловый мониторинг и блокировка
файлов по цифровым меткам
l контроль печати на принтерах
l запись с микрофонов и с колонок,
скриншоты экрана, снимки с Web-камеры
l удаленный рабочий стол, запись видео
рабочего стола
НЬЮС МЕЙКЕРЫ
АТОМ БЕЗОПАСНОСТЬ, ЛАБОРАТОРИЯ КАСПЕРСКОГО См. ст. "Средства защиты для АСУ ТП
ООО (StaffCop) 125212, Москва, и значимых объектов КИИ:
630090, Новосибирск, Ленинградское ш., 39А, стр. 3 что выбрать?" на стр. 12, 13
просп. Коптюга, 4, офис 158 Тел.: +7 (495) 797-8700
Тел.: +7 (499) 653-7152 E-mail: [email protected] СПЛАЙН-ЦЕНТР, ЗАО
E-mail: [email protected] Kaspersky.ru 105005, Москва,
https://www.staffcop.ru/ См. стр. 7 ул. Бауманская, 5, стр. 1
См. стр. 37 Тел.: +7 (495) 580-2555
ОКБ САПР E-mail: [email protected]
ДИАЛОГНАУКА, АО 115114, Москва, www.debet.ru, сплайн.рф
117105, Москва, 2-й Кожевнический пер., 12 См. стр. 19
ул. Нагатинская, 1 Тел.: +7 (495) 994-7262
Тел.: +7 (495) 980-6776 E-mail: [email protected]
E-mail: [email protected], http://www.okbsapr.ru/
[email protected]
www.dialognauka.ru
См. cтр. 11
11–13.02.2020
Реклама
48 •
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
infosecure-5-2019
Discover the best professional documents and content resources in AnyFlip Document Base.
Search