i квартал 2018 № 21 - bis-expert · Уместен вопрос: а можно ли...

Б е з о п а с н о с т ь п р о м ы ш л е н н ы х о б ъ е к т о в

Готовность к GDPR

Рост зрелости ИБ в АСУ ТП

Цифровая Швейцария

Екатерина Рудина Георгий Цедилкин Ойген Вильтовски14 32 46

№ 2 1I к в а р т а л 2 0 1 8

ST. PETERSBURG

Серебряный спонсор

Генеральный спонсор

Золотой спонсор

Бронзовый спонсор

При поддержке Правительства Санкт-Петербурга

Спонсоры

3№21 I квартал 2018

Во времена дефицита все было проще. Когда всего не хватает на всех, количество допущенных ко всему можно ограничить. Сейчас – все наоборот: всего хватает с избытком. Даже ком-петенций, которых, казалось бы, много не бывает!

Не секрет, что сейчас вендоры напрямую выходят на конечного заказчика. Не теряют надежд на долю бюджета консультанты, облачные провайдеры и аутсорсеры, а тем более интеграторы. У всех – свои недюжинные компетенции, которыми они готовы щедро делиться с заказчиками. Только вот за последние годы компетенции заказчиков тоже заметно выросли, поэтому воз-никает конфликт компетенций. Если все правы, но по-своему, то чьи компетенции круче?

Парадная часть всегда выглядит одинаково. Стороны выпускают совместный пресс-релиз, в котором признаются в любви друг к другу и обещают объединить свои компетенции для решения проблем заказчиков. Но что происходит при возникновении ИБ-инцидентов? Реак-ция сторон вполне предсказуема, особенно в условиях, когда обнаруживается все больше сюрпризов, не прописанных в SLA. Да и сам формат SLA не предполагает подвигов в формате «позвольте, я возьму эту проблему на себя». Это – скорее пинг-понг: ответственность за решение проблемы перекидывается туда-сюда.

Теперь давайте поднимем уровень проблемы до модной темы блокчейн. Как в этом формате разделить ответственность сторон? Кто будет подписывать обязатель-ства, с которых нельзя «соскочить»? Где тут место для смарт-контракта в SLA? И как оценить силу компетенций, чтобы опять не допустить перекладывания ответственности друг на друга? Компетенции, как и уровень понимания про-блемы, – у всех разные, а «правда» – одна. И ничто не уводит так далеко от правды, как подмена предметной области, долгие переговоры о ценах и скидках. Пере-кладывание ответственности – типичный вариант торговли. Каждый хочет больше получить, но меньше заплатить, а все вместе – меньше отвечать. Это – Клондайк для юристов, а не для ИБ-специалистов!

В конфликте компетенций нет ничего, кроме самих компетенций, их разрыва и столкновения некомпетентностей. Развивать рынок ИБ и зарабатывать на нем деньги – не одно и то же. Рынок ИБ очень специфичен. Торговцы компьютерами и коробочным ПО в стратегической перспективе ничего не могут сделать. Они про-дают, а не решают проблемы. И рынок они не формируют, а, скорее, травмирует варварскими воронками продаж. Потому-то и начинают сбываться пророчества о том, что ИБ-рынок сам сбросит «самозванцев». Ну а они напоследок стараются урвать побольше.

Так не будьте случайными «пассажирами» на рынке ИБ, будьте избранными!

Особенности игры в пинг-понг в условиях избытка компетенций

ОЛЕГ СЕДОВ

Главный редактор журнала «!Безопасность Деловой Информации»

ИБ И БИЗНЕС

Цифровая трансформацияОлег Седов, BISA

Между мотивацией и разочарованием: ИБ-решения для АСУ ТПАлексей Лукацкий, бизнес-консультант по безопасности компании Cisco

Готовность к GDPRЕкатерина Рудина, старший системный аналитик «Лаборатории Касперского»

Утечки конфиденциальной информации в мире, 2017 г.Андрей Арсентьев, аналитик компании InfoWatch

ИБ-ПРАКТИКА

Особенности угроз для ИБ Smart CityВадим Смирнов, ведущий инженер по системам защиты АСУ ТП «ИнфоВотч»

Шаг за шагом: стратегия обеспечения ИБ АСУ ТПАлексей Петухов, руководитель направления ИБ АСУ ТП Центра ИБ компании «Инфосистемы Джет»

11

6

28

22

14

20

Содержание

32 Рост зрелости ИБ в АСУ ТП Георгий Цедилкин, генеральный директор ANP Technology

Проблемы обеспечения ИБ в банкеДанияр Эшматов, руководитель ИБ-отдела «Аю Холдинг» (г. Бишкек)

ПОД МАСКОЙ

Незримые масштабы переменыПод маской Розенбота

КОМПЕТЕНЦИИ

Цифровая ШвейцарияОйген Вильтовски, ALPEIN Software (Швейцария)

38

42

46

«!Безопасность Деловой Информации»

6

ИБ и

биз

нес

Цифровая трансформацияДесятый, юбилейный Уральский банковский форум начался не

с привычного зачитывания приветствий его участникам: про-

грамму открыла яркая дискуссии на тему «Информационная

безопасность как неотъемлемая часть цифровой экономики

России». Важная задача цифровой экономики — обозначить

на государственном уровне приоритетные направления, на

которые направят свои усилия разработчики и производи-

тели программных продуктов, и площадка Форума является

очень удачным местом для выявления разных точек зрения и

экспертных мнений.

ОЛЕГ СЕДОВ


ИБ и бизнес

Возможность перезагрузки

По мнению модератора дискуссии, президента группы компаний InfoWatch и соучредителя «Лаборатории Каспер-ского» Натальи Касперской, Цифровая Экономика (ЦЭ) — это попытка найти синергию между бизнесом, кото-рый использует и развивает информационные техноло-гии, и государством, которое тоже может эти технологии использовать и развивать. Программа ЦЭ предполагает создание действенных механизмов взаимодействия; планы должны быть гибкими, чтобы их можно было корректиро-вать, а финансирование – своевременным и эффективным.

Принявший участие в дискуссии премьер-министр Прави-тельства Республики Башкортостан Рустэм Марданов уверен, что даже на региональном уровне в професси-ональных сообществах сейчас сложно найти человека, который ничего не слышал про ЦЭ и ничего не делает в этом направлении. В Башкортостане запущена специальная госпрограмма, которая охватывает все направления ЦЭ и нацелена на создание условий для реализации проектов (развитие инфраструктуры, доступности Интернета, услуг связи и др.). Несмотря на некоторые достижения в данном направлении, доля государственных услуг, предоставля-емых в Башкортостане в электронной форме, составляет лишь 10% всех оказанных услуг. Целый ряд проектов способствует переводу госуслуг в электронный формат, но необходимо, чтобы большее количество людей научи-лось грамотно пользоваться такими услугами, а это – уже задача электронного образования.

По мнению исполнительного вице-президента Ассоциации российских банков Эльмана Мехтиева, банки должны находиться в первых рядах при переходе к ЦЭ, поскольку это – экономика данных. Для банковского сообщества и финансовой системы в целом ЦЭ означает возможность перезагрузки. Со стороны средних и малых банков можно услышать «плачь Ярославны»: «О чем вы говорите? Нам бы выжить!». Но если копнуть чуть глубже, становится понятно, что все мы находимся лишь в начале пути, неза-висимо от того, крупнейший это банк или совсем маленький. Вовсе не факт, что даже тот крупный банк, который много инвестирует в ЦЭ, уже многому научился в сфере ЦЭ.

Для банков ЦЭ – прежде всего, не технологические задачи, а повседневные задачи ИБ. Для банков, которые «сидят» на данных, могут их использовать и на них зарабатывать, актуальны, как минимум, три направления, приоритетных для решения в области правового регулирования: периметр доверия, транспорт передачи данных и регулирование больших данных. Другими словами, для банковской сферы

НАТАЛЬЯ КАСПЕРСКАЯ

президент ГК InfoWatch

РУСТЭМ МАРДАНОВ

премьер-министр Правительства

Республики Башкортостан

ЭЛЬМАН МЕХТИЕВ

вице-президент Ассоциации российских

банков


8

ИБ и

биз

нес приоритетны не все 25 законов, указанных в дорожной

карте программы ЦЭ, а лишь эти три темы.

По мнению Натальи Касперской, не стоит пренебрегать рисками и угрозами, исходящими от финансовых техноло-гий и финтехов. Они отбирают клиентов у традиционных банков, делая транзакции простыми, а их регулирование – если не сомнительным, то, как минимум, затруднительным.

Однако, считают эксперты банковского сообщества, уже сейчас видно, что самыми крупными инвесторами в финансовые технологии являются крупнейшие банки. По прогнозам гуру цифрового банкинга, к 2025 г. оста-нутся только те финтехи, которые будут куплены банками, выжившими к тому времени. Как утверждает Эльман Мехтиев, если сейчас что-то не регулируется, то это хорошо ровно до того момента, пока не создает угроз для экономики и ее участников. Как только появится «запах» угроз, само сообщество предложит выпускать регуляторные инициативы. А пока не стоит бороться с теми потребителями, ради которых и существует финансовый сегмент экономики и на которых он зарабатывает. Глав-ный риск заложен вовсе не в финансовых технологиях, не в том, что они у кого-то что-то отбирают, а в рисках их непродуманного использования.

Не преувеличивать риски, исходящие от малопредсказу-емых финтехов, призывает и Алексей Войлуков, вице-президент ассоциации «Россия». По его данным, активы банковской системы до недавнего времени росли на 16–18% в год, а рентабельность банковского бизнеса находилась на уровне 18%. За прошлый год рост активов снизился до 8%, а рентабельность банковского сектора упала до 10%. И это – не национальные особенности, не последствия санкций, а мировой тренд. Весь банковский мир испыты-вает проблемы. Если модель банковского бизнеса не изме-нится, то к 2025 г. рентабельность снизится еще в два раза. Причины состоят в излишнем регулировании, которое увеличивает операционные издержки банков, и в натиске цифровых компаний, начинающих предоставлять исконно банковские услуги. На их рынке отсутствует полноценное регулирование, что позволяет им избегать издержек, кото-рыми обременены традиционные банки. А перезагрузка дает шанс банкам выйти на новый уровень обслуживания и сервисов.

Размывание границ

Дмитрий Скобелкин, заместитель председателя Банка России, был сдержан в своих прогнозах. Он не поддержи-

ДМИТРИЙ СКОБЕЛКИНзаместитель председателя Банка России

АЛЕКСЕЙ ВОЙЛУКОВвице-президент ассоциации «Россия»



вает мнение о том, что регулирование деятельности банков стоит ослабить. С учетом сегодняшних угроз, присущих России и всему миру, это было бы неправильно, поскольку могло бы привести к вакханалии. Скорее, стоит говорить о гибком регулировании с учетом интересов безопасности и возможностей кредитно-финансовых организаций.

В сегодняшнем мире буквально на наших глазах стира-ются привычные границы. Как реализуется этот тренд на рынке услуг связи и банковских сервисов? Среди примеров – и размывание границ в структуре большой тройки мобильных операторов, в которой присутствуют игроки банковского сектора, и, наоборот, то, что конеч-ным бенефициаром банка МТС является оператор с ана-логичных названием. Взаимопроникновение – налицо. Однако, по мнению заместителя руководителя Федераль-ного агентства связи Романа Шередина, дальнейшее проникновение будет проходить не на уровне владения активами, а на уровне конвергенции услуг, оказываемых с той и другой стороны. Он считает, что лучше каждому заниматься своим делом, и вряд ли мы дождемся того времени, когда банк начнет проектировать и строить сети связи, а классический оператор услуг связи станет получать бОльшую часть доходов от финансовых услуг.

Риски со стороны операторов меркнут перед теми, на которые обратил внимание Георгий Грицай, испол-няющий обязанности директора направления ИБ в АНО «Цифровая экономика». Он считает, что первые – просто рыночные тенденции, намерение развивать транспорт, чтобы ближе и быстрее дотянуться до конечного клиента. Риски совсем иного порядка возникают со стороны вла-дельцев глобальных платформ (Apple, Google, Samsung и пр.), которые поверх этих платформ предлагают раз-личные услуги. Можно вспомнить, как российские банки конкурировали за право первыми оказывать услугу Apple Pay. Как управлять этими рисками? Готовых рецептов нет, нужно искать баланс.

Через призму ИБ

В программе ЦЭ выделено два главных направления – информационной инфраструктуры и ИБ. Эти направления должны стать основополагающими для построения ЦЭ для всех отраслей и регионов страны. Однако, по мнению Георгия Грицая, ИБ так или иначе присутствует и в других направлениях ЦЭ, и это – серьезный вопрос нормативного регулирования, так как все законодательные инициативы рассматриваются через призму ИБ. Более того, дальней-шее развитие ЦЭ видится в свете отраслевых и рыноч-

РОМАН ШЕРЕДИНзаместитель

руководителя Федерального

агентства связи

ГЕОРГИЙ ГРИЦАЙ

исполняющий обязанности

директора направления ИБ в

АНО «Цифровая экономика»


10

ИБ и

биз

нес ных специфических направлений деятельности, и в каждом

отраслевом треке присутствуют вопросы ИБ. Таким образом, ИБ – не только отдельное направление ЦЭ, но и «сквозная» деятельность, пронизывающая все направления ЦЭ.

При этом после бюджетных баталий из запрошенных 5 млрд руб. на управление ИБ в 20018 г. было выделено только 500 млн. Уместен вопрос: а можно ли ожидать поддержки ИБ банков-ским сообществом?

Эльман Мехтиев склонен больше верить в успех при отсут-ствии государственного финансирования – тогда все окажутся в равных конкурентных условиях. Однако мы видим, что крупные банки уже откладывают значительные средства на инвести-ции в новые финансовые технологии, а малые и средние еще не подошли к этим затратам. Очевидно, что первая реакция на данный тренд будет такой: «Это совсем раздавит тех, кто и так еле выживает». Но тот, кто проходит путь, пока никем не пройденный, вынужден принимать на себя риски. И про-блема состоит не в том, где найти деньги, а в том, что цифро-вая трансформация, как и любая другая, представляет собой существенный культурный сдвиг.

Очень непросто признать: все, что ты делал 20 лет и что позволило тебе построить успешный банк, теперь делает его неуспешным. Перемены вокруг настолько масштабны, что приходится при-знаться самому себе, что сделанное уже стало вчерашним днем. Те, кто инвестируют большие средства и идут дорогой разо-чарований, оказываются там же, где и те, кто присоединяются к каким-то партнерским объединениям. Выигрывает не тот, кто больше инвестирует, а тот, кто готов меняться быстрее других!



Между мотивацией и разочарованием ИБ-решения для АСУ ТП

Мы довольно долго избегали темы информационной

безопасности промышленных предприятий и критически

важных инфраструктур. Посвятив этой тематике целый

номер журнала, мы взяли паузу, чтобы не затеряться

в маркетинговом грохоте. Теперь, спустя некоторое время,

мы решили осторожно к ней вернуться, задав несколько

вопросов Алексею Лукацкому, бизнес-консультанту

по безопасности компании Cisco.

Алексей Лукацкий экспертBISA


12

ИБ и

биз

нес !БДИ: Как бы вы могли выстроить рейтинг внятных мотиваций заказчиков

(назовем их «промышленниками»), которые являются драйверами внедрения ИБ-решений на промышленных предприятиях, в частности – в системах АСУ ТП?

Алексей Лукацкий: Основных драйверов рынка информационной безопасности всего три – страх, compliance и бизнес-потребности. При этом «торговля страхом» в отношении критически важных инфраструктур не срабатывает, поскольку в России публичные инциденты в этой сфере практически не происходили. Нет инцидентов, нет ущерба, нет страха, нет желания покупать решения для обеспечения защиты от того, с чем заказчики пока не сталкивались. Бизнес-мотивации в этой сфере тем более нет, так как заказчики пока не привыкли оценивать преимущества от внедре-ния ИБ-решений даже в обычной офисной сети, не говоря уже о промышленной.

Таким образом, у нас остается только один драйвер – compliance. Это тем более актуально, что с 1 января вступил в силу закон «О безопасности критической информационной инфраструктуры», который требует обязательного выполнения защитных мер, за отказ от реализации которых может наступить уголовная ответ-ственность (до 10 лет лишения свободы). К сожалению, в основном именно страх «присесть» заставляет многие предприятия задумываться о безопасности своих АСУ ТП. Но тут уж ничего не поделаешь – это особенность рынка ИБ!

!БДИ: Горячая тема безопасности промышленных предприятий и критически важных инфраструктур, едва возникнув, моментально перегрелась из-за явного интереса к ней поставщиков ИБ-решений. За последние два-три года не только произошел естественный отсев компаний, желающих выйти на этот рынок, но и проявились разочарования в его перспективах. На ваш взгляд, в чем могут состоять причины этих разочарований?

А.Л.: Давайте разберемся, как происходит продажа решений, обеспечивающих промышленную информационную безопасность. Сначала интегратор или вендор обращается со своим предложением в ИБ-службу заказчика и начинает стращать всем, что только может прийти в голову, – уголовными статьями, Stuxnet’ами, про-верками регуляторов, карами небесными и т.п. Безопасник все это воспринимает и идет с коммерческим предложением к «технологам» (АСУ ТП-шникам), которые начинают задавать ему «неудобные» вопросы. Какие примеры реализации угроз в нашей отрасли вы можете назвать? Есть ли примеры «посадок» за невыполнение требований закона? Как ваши новые средства защиты повлияют на задержки техно-логического процесса? Зачем мне защита, если моя сеть – изолированная? И если жизненный цикл технологической сети составляет 15 лет и окончится через семь лет, то почему вы пришли сейчас?

Все эти вопросы, как правило, остаются без ответа. Действительно, публичных инцидентов в России почти не было, пример Stuxnet интересен лишь для журна-листов, но не для заказчиков, а законодательство хоть и вступило в силу, но пока еще не работает – проверки начнутся только года через три. Кроме того, большин-ство предлагаемых «железок» ориентированы на работу в офисной сети, поэтому интегратор обычно не знает, как офисный МСЭ или IPS станет влиять на задержку технологического процесса, обрабатывать короткие (в несколько бит) пакеты, про-пускать через себя трафик десятков тысяч сенсоров и датчиков… Гарантий того, что не возникнет влияние на технологический процесс, интегратор или вендор дать не может. А заказчик, в свою очередь, не готов экспериментировать в сети, выход



из строя или нарушение функционирования которой может повлечь за собой чело-веческие жертвы, экологическую катастрофу или иные серьезные последствия, – понятно, эту серьезную особенность промышленной сети нельзя не учитывать.

Таким образом, возникает «круговое» непонимание. Интегратор с его «офисным» подходом к информационной безопасности не в состоянии понять, почему «техно-логи» настолько неохотно рассматривают вопросы обеспечения кибербезопасности, а «технологи» не понимают безопасников и поставщиков. В результате получается следующее.

Во-первых, цикл сделок по решениям и продуктам, обеспечивающим защиту инфор-мации в АСУ ТП, оказывается существенно более длинным, чем при внедрениях в корпоративных сетях. Во-вторых, объем таких сделок – гораздо меньший, так как масштаб промышленных сетей на порядок меньше масштаба корпоративных сетей. В-третьих, заказчик требует совершенно иных, намного более высоких гарантий при поставках. Иными словами, продавать свои решения в сфере про-мышленности могут только настоящие «джедаи».

Аналогичная ситуация – и на рынке производителей ИБ-решений для промышленных сетей. С обычными офисными железками туда не войдешь. Нарастить промышленные контроллеры или сетевое оборудование защитным функционалом тоже не всегда получается. Поэтому рынок поделен преимущественно между нишевыми игроками, которые более гибки, динамичны и могут сфокусироваться на конкретной отрасли или технологическом процессе. В мире таких игроков очень мало, а в России их практически нет: инвестиции в разработку специализированных решений по защите АСУ ТП дают отдачу не сразу, и при желании «отбивать деньги по-быстрому» этот сегмент ИБ-рынка воспринимается как не очень выгодный.


14

ИБ и

биз

нес

Готовность к GDPR

Регулирующий акт ЕС GDPR (General Data Protection

Regulation) вступит в силу 25 мая 2018 г. и кардинально

изменит способы сбора и использования ПДн. GDPR

требует рассматривать использование ПДн в свете

соблюдения прав человека, и теперь регулирующие органы

получат право накладывать крупные штрафы за нарушение

Регламента.

В российском профессиональном сообществе отношение

к GDPR сложилось неоднозначное, поэтому мы попросили

прокомментировать инициативы ЕС старшего системного

аналитика «Лаборатории Касперского» Екатерину Рудину.

ЕкатеринаРудина старший системный аналитик «Лаборатории Касперского»



БДИ: Что такое GDPR – закон, рекомендации или требования (и чьи)?

Екатерина Рудина: Это – обязательный к исполнению Регла-мент защиты ПДн, принадлежащих гражданам государств ЕС. По сути, это – закон, принятый законодательными органами ЕС (Европарламентом и Советом ЕС), действие которого рас-пространяется за пределы ЕС. GDPR будет действовать в 27 странах, а Великобритания в свете Brexit готовит собственный UK Data Protection Bill.

БДИ: Подобные документы не возникают «вдруг». Какие практики и инициативы предшествовали появлению GDPR? Какие внешние условия (политические, экономические, отрас-левые) на это повлияли?

Е.Р.: Сейчас действует предшествующий документ – директива Data Protection Directive 95/46, которая была принята в 1995 г. и прекратит свое действие 25 мая 2018 г., со вступлением в силу GDPR. В отличие от GDPR, Директива должна исполняться не операторами и контроллерами данных, а государствами ЕС на основе собственных законов, согласующихся с ее положениями. При этом за обработку ПДн несет ответственность контроллер, учрежденный в каждой из стран-участниц.

В мотивационной части Директивы указано: принципы защиты должны применяться к любой информации об идентифициро-ванном/идентифицируемом лице, защита частных лиц должна осуществляться при автоматической и ручной обработке данных, рамки защиты не должны зависеть от используемой техники, обработка ПДн должна осуществляться только с согласия субъ-екта данных. Переход к GDPR произошел потому, что в некоторых сценариях проявилась недостаточность положений Директивы для обеспечения безопасности ПДн, а в некоторых она порож-дала излишнюю бюрократию. GDPR – не революция, а эволюция закона для более эффективной реализации нужд, описанных Директивой более 20 лет назад.

БДИ: Каковы ключевые изменения, привнесенные GDPR?

Е.Р.: Прежде всего, «настоящая» экстерриториальность закона. Все компании, которые обрабатывают (в том числе за пределами ЕС) ПДн граждан ЕС и физических лиц, находящихся в ЕС (вне зависимости от их гражданства и места жительства), будут обя-заны соблюдать требования GDPR.

Раньше применялись национальные законы при обработке ПДн в контексте деятельности контроллера на территории государ-ства ЕС, если контроллер учрежден не на территории этого государства, а там, где его национальное законодательство применяется на основе международного публичного права, либо


16

ИБ и

биз

нес

если контроллер учрежден не на территории ЕС и для обработки ПДн использует оборудование, расположенное на территории указанного государства. Обязательство располагать оборудова-ние на территории того государства, данные граждан которого обрабатываются, не предусматривались. Так, Интернет-магазин, расположенный в США и обрабатывающий данные покупателей там же, под действие Директивы не попадал. В соответствии с Директивой, обработка данных лицом, учрежденным в третьей стране, не препятствует защите частных лиц и регулируется законом государства, в котором расположены используемые средства обработки.

GDPR устраняет эту «дыру»: Регламент подлежит исполнению непо-средственно учреждениями, обрабатывающими ПДн, не зависит от нацзаконодательств и указывает виды деятельности учрежде-ний, на которые распространяется его применение. Так, он напря-мую накладывает обязательства на компании, не учрежденные в ЕС, но обрабатывающие ПДн находящихся в ЕС субъектов данных, если обработка связана с предложением товаров и услуг таким субъектам в ЕС, – вне зависимости от того, требуется ли оплата от субъекта данных либо она связана с мониторингом деятельности этих субъектов.

Еще одно нововведение – разделение на контроллеров и про-цессоров данных. Контроллер определяет цели обработки ПДн, осуществляемой в его интересах, а процессор осуществляет обработку своими средствами. Степени их ответственности суще-ственно различаются. В случае утечки данных второй способен зафиксировать ее факт, а первый – оценить последствия. В тех-ническом плане степень защищенности данных намного больше зависит от операторов, чем от контроллеров.

Ужесточение требований к получению согласия на обработку от субъекта ПДн представляется разумным, ведь уменьшить кегль или совместить галочку «согласен» с кнопкой «Заказать» всегда было легким способом мошенничества. Что же касается штрафов, на подготовительном этапе роль гигантских штрафов (до 20 млн евро или 4% годовой выручки компании; мера наказа-ния будет устанавливаться судом в зависимости от нарушения) – скорее, положительная. А то, как штрафы повлияют на бизнес, покажет правоприменение.



!БДИ: GDPR посвящен исключительно ПДн или область его действия – много шире?

Е.Р.: GDPR регламентирует защиту ПДн, но определение ПДн – достаточно широкое: любая информация, относящаяся к иденти-фицированному/идентифицируемому субъекту. То или иное лицо может быть идентифицировано прямо или косвенно, посредством ссылки на идентификационный номер, на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентич-ности. Под это определение можно подтянуть и cookie, и IP-адрес, и ответ на вопрос, нравятся вам собаки или кошки. Однако если вы считаете, что информация о предпочтении субъектом собак не приведет к возникновению рисков для его прав, то о про-блемах с такими данными регулятору можно не сообщать.

!БДИ: Действие GDPR касается только тех, кто собираются работать в странах ЕС, или не только? Какие риски влечет за собой непонимание этого?

Е.Р.: Поскольку GDPR имеет экстерриториальный характер, беспокоиться следует компаниям, в составе клиентов или ауди-тории которых имеются люди, находящиеся на территории ЕС (а не только граждане государств ЕС). Компания подпадает под дей-ствие GDPR, если обработка ею ПДн связана с предложением товаров и услуг таким субъектам данных либо с мониторингом их деятельности в странах ЕС. Компании с числом сотрудников


18

ИБ и

биз

нес

менее 250 исключаются из сферы действия GDPR, но если их деятельность подразумевает систематическую обработку ПДн или среди этих данных имеются чувствительные (медицинские, о собственности субъекта и пр.), то они считаются относящи-мися к сфере применения GDPR. Так, агентство, организующее лечение в европейских клиниках, попадает под действие GDPR, даже если его штат составляют 20–30 человек.

!БДИ: Какой должна быть подготовка к введению GDPR в рос-сийских условиях? Какие затраты и обновления компетенций потребуются?

Е.Р.: Для начала нужно исходить из того, что уже есть. Если про-ходили подготовку по требованиям 152-ФЗ, компетенций может хватить. При этом нужно пересмотреть «архитектуру и реализацию доверия», схемы получения и отзыва согласий на обработку ПДн. Предустановленные галочки «Согласен на обработку данных» – очевидное нарушение. Создан ресурс с опросником https://www.gdprkaspersky.com, который суммирует базовые требования GDPR и дает взвешенную оценку готовности конкретной компании.

Привлечение квалифицированных подрядчиков к решению проблем защиты данных оправданно, если с GDPR связаны риски для бизнеса. Оценивать их должны сами стейкхолдеры, но наилучшее решение – привлечь компетентных юристов. Стоит обратить внимание и на то, с какими операторами данных (от ЦОДов до провайдеров облачных сервисов) работает компания, возможно ли нарушение требований GDPR на каком-то этапе по вине оператора, и включить выводы в бизнес-риски.

!БДИ: Как вы относитесь к мнению, что «покусанных тиграми бумажной безопасности» допускать к работе с GDPR нельзя?

Е.Р.: Я, скорее, опасаюсь «шакалов» в сфере российского ком-плайнс. Как только принимается «громкий» закон (например, 152-ФЗ), возникают фирмы-однодневки, предлагающие за несо-размерную плату, например, настроить парольную политику. Спекулянтов допускать нельзя, а для остального есть бизнес-ограничения и разум руководителя: поставьте задачу написания ТЗ под определенные сроки и бюджет, и все встанет на свои места.

!БДИ: Российский комплайнс давно принципиально не меня-ется. Обычно хорошо прописан кнут, но редко вспоминают о пряниках. Каков баланс между ними, какова мотивация в случае с GDPR?

Е.Р.: Из очевидных плюсов GDPR – единая схема регулирова-ния для всего ЕС. Раньше нужно было учитывать соответству-ющие рамочной директиве, но отдельные требования разных стран. В лучшем случае бизнес ориентировался на Directive



GDPR – это набор прав субъектов ПДн, которые компа-нии, обрабатывающие ПДн, должны быть в состоянии удовлетворить. В частности, это права на «забвение» (удаление данных по запросу), на перенос данных, право знать об их утечках и пр.

GDPR – не новинка европейского законодательства по защите ПДн, а новый этап его развития. Эволюция шла по такому пути: Страсбургская конвенция о защите физлиц при автоматизированной обработке ПДн (1981 г.) – Директива 95/46/ЕС Европарламента и Совета ЕС о защите прав частных лиц при обработке ПДн и обра-щении таких данных (1995) – GDPR (2018 г.). Важным отличием GDPR стала его ориентация на соблюдение прав субъектов ПДн, в том числе в цифровую эпоху.

Сейчас идут споры относительно области действия GDPR. В тексте GDPR область его действия определена нечетко. Так, в нем используется термин who are in the Union («находящиеся на территории ЕС»), к которому можно отнести и беженцев, и туристов, и дипломатов, а в официальных комментариях применяется термин citizens («граждане»). Все ждут вступления GDPR в силу и начала правоприменительной практики.

АНДРЕЙ ПРОЗОРОВ

руководитель экспертного

направления Solar Security

95/46, но при необходимости взаимодействия с регуляторами, например на этапе сообщения об инциденте с ПДн граждан разных стран (как было с Uber), контрол-лер неизбежно сталкивался с бюрократическим кошмаром, ведь процедуры везде прописаны по-разному. GDPR унифицирует процедуры и вводит принцип «одного окна» (one-stop-shop mechanism): контроллер может выбрать одно из 28 локаль-ных представительств регуляторов (supervisory authorities) и координировать с ним меры защиты.

Однако баланс я вижу в другом. Драконовские штрафы за нарушение GDPR – это не только кнут, они тоже работают на баланс. Во-первых, нет шанса игнорировать Регламент, ведь происходит замена косвенных рисков, связанных с потерей репу-тации, на риски прямых финансовых потерь. Во-вторых, штрафы свидетельствуют об исполнимости требований, ведь нельзя сурово наказывать за то, что требует нереальных усилий. В-третьих, штрафы играют популяризаторскую роль – гаран-тируют осведомленность бизнеса о факте и моменте введения GDPR, связанных с ним рисках, необходимости определенных действий. Возможность наказания наконец-то стимулирует исполнение закона!

В 2017 г. Аналитический центр InfoWatch зарегистрировал 2131 случай утечек конфиден-циальной информации – на 36,9% больше, чем в 2016 г. Среди крупных компаний от утечек пострадали Accenture, Adobe Systems, Air India, AliExpress, Amazon, AMD, Apple, Bank of America, Blizzard Entertainment, BMW, Deloitte, eBay, Electronic Arts, Equifax, Facebook, Google, HBO, Home Depot, HP, Huawei, Kmart, LinkedIn, Lloyds, Netflix, Pratt Industries, Qantas, Samsung, Seagate Technology, Siemens, Starbucks, T-Mobile, Twitter, Uber, Valve, Vodafone, Volvo, WhatsApp, Xiaomi, Yahoo.

Скомпрометировано примерно 13,2 млрд записей ПДн – показатель 2016 г. превышен более чем в четыре раза. Среднее число скомпрометированных ПДн на одну утечку выросло более чем втрое – до 6,23 млн записей. Подобная дина-мика была отмечена и в 2016 г.

УТЕЧКИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В МИРЕ, 2017 Г.

Число утечек и объем скомпрометированных ПДн,

2011–2017 гг.

2011 2012 2013 2014 2015 2016 2017

223,2 млн 369,0 млн 561,0 млн 767,2 млн965,9 млн

3 147,7 млн

13 285,8 млн

801934

1143

13951505 1505

2131

Число утечек

Количество утекшихзаписей, млн

Зарегистрировано 85 мега-утечек (на 6 больше, чем годом ранее), в результате каждой из которых скомпрометировано свыше 1 млн записей. Мега-утечки чрезвычайно затратны для пострадавших компаний. Так, бюро кредитных историй Equifax, потерявшее порядка 145 млн записей, потратило 87,5 млн долл. на ликвида-цию последствий инцидента.

В региональном распределении утечек первое место с большим отрывом по-прежнему занимают США (1089 случаев, 51% инцидентов), хотя доля этой страны сократилась на 6%.

Россия вновь оказалась на втором месте(254 случая, 12% инцидентов).

Распределение утечек по странам, 2017 г.

1200

600

800

1000

400

200

50,3%

2,4%

41,7%

2,2%

2,2%

1,1%

Внешние злоумышленники

Непривилегированные сотрудники

Бывшие сотрудники

Подрядчики

Руководители

Системные администраторы

Доля утечек по вине непривилегированных сотрудников значительно выросла (с 34% до 50%). Доля инцидентов, спровоцированных внешними воздействиями, уменьшилась с 55,4% (2016 г.) до 41,7%.

Распределение утечек по виновникам, 2017 г.

Соотношение нарушений внешнего и внутрен-него характера составило 40/60, но в ходе одного «внешнего» инцидента было скомпроме-тировано в среднем 8,23 млн записей, а в результате одной «внутренней» утечки – в среднем 3,83 млн записей.

Данные отчета аналитического центра компании InfoWatch

комментировал Андрей Арсентьев, аналитик компании InfoWatch

2016

2017

Доля сетевого канала

в утечках (70%) осталась

стабильной. Процент утечек

по электронной почте

вырос, а доля «бумажных»

утечек, как и в прошлом

году, уменьшилась.

Распределение утечек по каналам, 2016–2017 гг.

69,5%

69,8%

Кражи / потери оборудования

Мобильные устройства

Съемные носители

IM (текст, голос, видео)

4,8%

3,3%

4,1%

2,2%

0,4%

0,7%

2%

2,4%

Электронная почта

Бумажные документы

Сеть (браузер,Cloud)

8,5%

13,3%

10,8%

8,2%

Распределение утечек по векторам воздействия, 2017 г.

39,5%Внешние атаки

60,5%Внутренние нарушители

Более 50% утечек пришлись на отрасли медицины, высо-ких технологий и госорганы. По долям умышленных утечек «лидируют» высокотехнологичные компании и банки.

Распределение числа утечек по отраслям, 2017 г.

Медицина17,4%

Высокие технологии16,7%

Госорганы и силовые структуры16,5%

Другое, не определено9,8%

Образование10,7%

Банки и финансы9,5%

Торговля, HoReCa8,8%

Муниципальные учреждения5,5%

Промышленность и транспорт5,3%


22

ИБ-п

ракт

ика

На открытии конференции ЦИПР-2017 министр связи

и массовых коммуникаций России Николай Никифоров

подчеркнул: в целом ряде отраслей наше государство

работает в режиме уже не национального,

а наднационального законодательства, что влечет за собой

гармонизацию с действующими стандартами других стран.

Таким образом, Российская Федерация создает единое

экономическое и цифровое пространство

на международном уровне.

Вадим Смирнов ведущий инженер по системам защиты АСУ ТП «ИнфоВотч»

Особенности угроз для ИБ Smart City


ИБ-практика

Парадигма «Industrie 4.0»

28 июля 2017 г. распоряжением Правительства РФ №1632-р была утверждена про-грамма «Цифровая экономика Российской Федерации», в рамках которой, в том числе, запланировано создание «умных» городов. Предполагается, что пилотными площадками станут 50 городов, в которых сконцентрируется основной капитал цифровой экономики – высококвалифицированные специалисты.

Набор стандартов для Smart Cites создается на базе ISO 37120:2014, в котором описаны критерии оценки уровней развития городских служб. В разработке набора принимают участие международные институты стандартизации ITU, IEE, BSI, IEC, ETSI, CEN и др. Наибольших успехов добился британский BSI, чьи стандарты серий PD и PAC принимают за основу другие страны (например, Китай заключил специальное соглашение с BSI на локализацию его стандартов). Это обусловлено как глубоким уровнем проработки, так и свободным распространением данных стандартов.

Стандартизация – важный, но не единственный вектор развития. Другим вектором является разработка открытых API-платформ (back-end), которые по мере распро-странения принимают форму стандарта (например, FIWARE, Haystack, oneM2M и т.д.). В программу «Цифровая экономика Российской Федерации» вошли оба направле-ния. Запланировано, что к 2024 г. должны успешно функционировать не менее 10 отраслевых цифровых платформ для основных предметных областей экономики.

Термин Smart City характеризует границы, в которые входят различные Cyber-Phisical Systems, а они образуют собой всю инфраструктуру для перехода города на новую ступень развития. Понятие Cyber-Physical System (CPS) впервые было использовано Эллен Гилл из National Science Foundation в США. Она связала его с системой, в которой обработка и вычисление информации происходят непо-средственно в физических элементах, что делает систему распределенной (Grid).

PROFESSIONAL SERVICES

Vehicales

Shopping

Health

Fitness

Home

Entertaiment

Emergency services

Environment

Utilities/energy

Traffic management

Intelligent surveillance

Public transport

Customers

Value chain

Manufacturing

Transport

Services

Automation/Roboties

SECURITY

ANALYTICS

MODULES/ DEVICES

CONNECTIVITY PLATFORMS APPLICATIONS

CONSUMER GOVERNMENT ENTERPRISE

Рис.1. Объединение CPS в информационную экосистему (источник – IDC)


24

ИБ-п

ракт

ика

CPS – это пересечение виртуального и реального мира, распределенные системы, способные отслеживать и контролировать несколько процессов. При этом инфор-мация, полученная от одного процесса, может быть использована как исходная для расчетов в другом процессе. Так называемая четвертая промышленная рево-люция и описывает изменения, которые происходят в мире под действием развития информационно-коммуникационных технологий.

Цифровизация подразумевает объединение CPS в информационную экосистему (рис. 1), что позволяет добиться принципиально нового уровня жизнедеятельности человечества. Нервной системой этого организма суждено стать Интернету вещей (IoT). Концепция IoT была представлена Кевином Эштоном еще в 1999 г. Уже тогда она предполагала взаимосвязь физических устройств и служб, которые собирают, обрабатывают данные и обмениваются ими, адаптируясь к процессам, происходящим в режиме реального времени. Это определение и стало основой формулировки International Organization for Standardization: IoT – инфраструктура взаимосвязанных физических объектов, систем и информационных ресурсов совместно с интел-лектуальными службами, которые могут обрабатывать информацию и оказывать воздействие на реальные процессы в мире.

Коммуникационной инфраструктурой концепция не ограничивается. Для случаев обработки огромного количества данных вводится понятие Big data – обширные наборы данных, характеризуемые объемом, разнородностью, скоростью обработки и/или качеством и требующие масштабируемой архитектуры для эффективного хранения, использования и анализа. Для территориального распределения точек доступа к разным службам используется модель облачных вычислений (Cloud computing). Cloud computing – модель создания повсеместного удобного доступа к пулу конфигурируемых вычислительных ресурсов (сетей, серверов, хранилищ, приложений и сервисов), которые могут быть быстро подготовлены и предоставлены с минимальными усилиями по настройке или взаимодействию с поставщиками услуг.

Самые «умные» города

Сфокусируемся на модели взаимосвязанных CPS сфер жизни города. Что изменится, когда обычный город станет «умным»? В своем стандарте PAS 181:2014 «Smart city framework – Guide to establishing strategies for smart cities and communities» British Standard Institute показал структурные изменения информационных систем города на примере операционных моделей.

Потребители получают услуги от различных служб – водоснабжения, электроснабже-ния, телекоммуникационной, транспортной и т.д. Для операционной модели обычного города характерно следующее: поставщики услуг не зависят друг от друга, не ори-ентированы на потребительский рынок, быстрое масштабирование невозможно, не исключены проблемы с обработкой информации. Операционная модель Smart City подразумевает оптимизацию ресурсов, возможность внедрения новых техно-логий, появление сервисов аналитики данных, доступность информации, удобство взаимодействия потребителей услуг без выхода из дома, появление новых рынков



поставщиков услуг и сервисов. По оценкам PwC Russia, экономический эффект от внедрения IoT в городской сфере в 2018–2025 гг. может достичь 375 млрд руб.

Однако при переходе к новым бизнес-моделям возникают и новые ИБ-риски. Если раньше информационные сети в некоторых сферах просто отсутствовали, то вместе с информационными технологиями поставщики услуг наследуют и пул уязвимостей, присущих CPS, а соответственно, угрозы для ИБ.

Противостояние хакерам

Уровни интеграции smart-технологий в различных городах существенно различа-ются. Уровень зрелости (maturity) «умного» города зависит от глубины проникно-вения и сложности применяемых информационно-коммуникационных технологий. Одновременно растет и количество возможных угроз. Основная проблема за-ключается в отсутствии синхронного внедрения систем безопасности и новых «умных» технологий в городскую инфраструктуру. На ИБ Smart City больше всего влияют административные, социально-экономические и технологические факторы. Административные факторы связаны с работой городских служб – вывоз мусора, здравоохранение, образование, транспорт, теплоснабжение, электрообеспечение и т.д. Большинство из них являются объектами критически важной информаци-онной инфраструктуры. При этом сами ИС, датчики и прочее оборудование часто являются устаревшими и не поддерживают необходимый уровень ИБ. Кроме того, пользователи зачастую недостаточно информированы о возможных угрозах ИБ и методах предосторожности. С введением 187-ФЗ от 26.07.2017 и его подза-конных актов появилась надежда на улучшении ситуации. Существенную роль может сыграть проведение киберучений и тематических семинаров для повы-шения уровня осведомленности пользователей.

Социально-экономические факторы – это бизнес-сектор (коммерция, банки, телекоммуникации и т.д.), на который правительство возлагает надежды как на драйвер развития «умных» городов, причем межмашинное взаимодействие (M2M) может поддерживать предоставление различных услуг. Социально-экономические факторы влияют на ИБ (так, обработка ПДн, банковские операции и др. являются мишенями для хакеров) и на направления развития технологических факторов.

Технологические факторы – это CPS, взаимодействующие по средствам IoT. Ин-фраструктура соединяет в общую систему все сферы деятельности Smart City. IoT

SESSION AMQP, CoAP, DDS, MQTT, XMPP

6LowPAN, Thread

CARP, RPL

Blutooth / BLU, Wi-Fi / Wi-Fi Halow, LoRaWAN, Neul, SigFox, Z-Wave, ZigBee, USB

NETWORK

DATALINK

ENCAPSULATION

ROUTING

Рис. 2. Основные протоколы и интерфейсы в IoT (источник – ENISA)


26

ИБ-п

ракт

ика включает в себя физические или виртуальные объекты, способные обмениваться

информацией и передавать данные в вычислительные системы, которые, в свою очередь, могут воздействовать на входящие в IoT исполнительные механизмы. Требования к информационным сетям варьируются в зависимости от их назна-чения и ограничений по ресурсам; от них будет зависеть выбор интерфейсов и протоколов. Для взаимосвязи между разнородными сетями используются шлюзы. Интерфейсы связи в экосистемах IoT могут быть проводными или беспроводными. Существует множество вариаций интерфейсов беспроводной связи – LoRaWAN, ZigBee, SigFox, NarrowBand-IoT и т.д. Проводные технологии, такие как Ethernet, SPI, I2C, также применяются в IoT (рис. 2).

В сообществе ИТ наиболее удобными для понимания являются модели в виде слоев/уровней (модели OSI, Пердью и др.). Для Smart City тоже можно исполь-зовать такую модель (рис.3).

Атака на ИТ инфраструктуру может начаться на любом из уровней, и через обра-зовавшуюся брешь атакующий получит доступ к другим уровням. Это расши-ряет поле угроз и позволяет проводить комплексные атаки, воздействующие одновременно на несколько уровней. Наибольшую опасность представляет IoT

CY

BE

RS

EC

UR

ITY

Users layer

Presentations layer

Applications layer(sof tware applicationsof fering SSC services)

End-users(demand side: i.e., inhabitants)

End-users(supply side: i.e., stakeholders representatives)

Transportation, E-government, E-business, safety and emergency, smart health, tourism,education, smart Building, waste management,smart energy, smart water

Access network (xDSL, FTTx, WiFi, 2G/3G/4G, PLC etc.)

Data repositories

Terminal node (sensor, transducer, actuator,camera, RFID tag, barcode symbols etc.

Capillary network (SCADA, sensor network, HART, WPAN, video surveil lance, RFID, barcode, GPS, etc.

File repositories

Transportat network (SDH,DWDM, IP, microwave ets.)

Business layer(business processes that simulate service logic)

Communications network layer

Data layer

Sensing layer

Рис. 3. Модель уровней Smart City (источник – ITU-T Y.4400 series)



экосистема (рис. 4). При объединении устройств в общую систему возникает и опасность появления огромных ботнетов, что косвенно влияет на уровень защищенности практически любой компании. В 2016 г. ботнет Mirai продемон-стрировал потенциал подобных атак, создав пробелмы с доступом на крупнейшие мировые Интернет-ресурсы– twitter, github, etsy и т.д..

Принимая во внимание разнородность устройств, ПО и сетевых технологий, для сни-жения риска реализации угроз следует использовать встроенные функции защиты устройств, тщательно подходить к сегментации сетей, контролю над подключен-ными устройствами, идентификации и аутентификации пользователей, быстрому обновлению, использованию безопасного ПО, внедрению политик безопасности и соответствия отраслевым стандартам, внедрению систем protocol based IDS/IPS (обнаружения/предотвращения вторжений). Для защиты сетей и облачных вычислений стоит подумать об установке firewall с поддержкой уровня приложений, о внедрении «белых» списков приложений, network based IPS/IDS, анализа защищенности, DLP, web-firewall, антивирусов.

Основной сложностью для обеспечения информационной безопасности CPS, в частности Smart City, является разнородность как применяемых устройств, так и технологий. Одним из главных принципов построения таких масштабных систем является модель сегментации сетевых компонентов Zero Trust, когда каждый эле-мент системы считается не безопасным.

А главным «элементом» защиты остается человек. Жители «умного» города должны иметь представление об ИБ и соблюдать меры предосторожности с учетом воз-можностей новых технологий. В «умном» городе должны жить умные люди.

Denial of service

Hijacking

Hijacking

SpoofingProtocol

tamperingLack of

monitoringClear text

communication

False base

station

Man-inthe-middle

Denial of service

Traf f ic injoction Spoofing

Protocoltampering

Lack of monitoring

Jamming

IoT

ap

ps

(da

ta/a

pp

lica

tio

n

laye

r)

IoT

do

ma

in(e

nd

po

int

laye

r)N

etw

ork

(co

nn

ec

tivi

ty

laye

r)

Communications network

Devices/Connected objects

IoT capillary/Short range network

Gateway (considered a device)

Malware

Malware

Unauthorized access

Unauthorized access

Reverseengineering

Resourcelimitations

Tampering Theft of data Lackof monitoring

Theft of data

Unauthorizedsoftware

Unauthorizedsoftware

Sidechannel

Acts on behalf of user

Inconsistentsoftware versions

Inconsistentsof tware versions

Back doors/Call home functions

Sprofing FraudDenial

of service

Denial cloning

Рис. 4. Схема угроз для уровней экосистемы IOT

Applications


28

ИБ-п

ракт

ика

Снизить ИБ-риски систем АСУ ТП можно, лишь используя

комплексный подход, включающий в себя работу с людьми,

обеспечение ИБ-процессов, применение необходимых

средств безопасности и систем управления ИБ.

Какими должны быть этапы проекта, и оправдаются

ли связанные с ним затраты?

Алексей Петухов руководитель направления ИБ АСУ ТП Центра ИБ компании «Инфосистемы Джет»

Шаг за шагом стратегия обеспечения ИБ АСУ ТП



Угроз все больше

Многие АСУ ТП, внедренные в нашей стране и за рубежом, были сконфигури-рованы более 20 лет назад и до сих пор остаются неизменными. Ранее счита-лось, что такие системы не понадобится изменять и интеграция с корпоративным контуром не потребуется. Программное обеспечение, пароли и настройки обо-рудования не обновлялись годами. Также бытовало убеждение в том, что в работу АСУ ТП сложно вмешиваться извне. Уни-кальность и закрытость ПО и оборудо-вания, ограничение доступа в локальных сетях, непомерная трудоемкость внешних атак создавали иллюзию безопасности.

Но технологии развиваются стреми-тельно. И если прежде никто не верил в возможность серьезного вреда от вирусного заражения, то сегодня трудно найти пользователя, который хоть раз не сталкивался с проблемами, созданными компьютерными вирусами и червями, а ИБ-системы приходится применять даже в домашних условиях.

На современных АСУ ТП ежегодно выяв-ляются тысячи уязвимостей. Дело в том, что для оптимизации расходов пред-приятий при построении АСУ ТП часто используются традиционные ИТ-решения, систему интегрируют с уже имеющейся информационной инфраструктурой. На многих критически важных объек-тах используется ОС Windows и другое широко распространенное ПО, некоторые компьютеры имеют выход в Интернет. В результате ИБ-риски выходят на первое место. Сегодня они – во всем: в надеж-ности используемого оборудования и ПО, в руках и головах сотрудников компаний и специалистов подрядных организаций, занимающихся созданием и эксплуата-цией АСУ ТП.

О том, насколько печальна ситуация, сви-детельствуют инциденты последних лет. Так, в 2014–2016 гг. компьютерные вирусы Stuxnet, Duqu и Flame успешно атаковали

предприятия по всему миру. В прошлом году сетевой червь WannaCry и вирус-вымогатель Petya причинили заметный ущерб нефтяным и энергетическим ком-паниям России и Украины – пострадали более 80 предприятий, в том числе «Баш-нефть» и «Роснефть». Суммарный ущерб от эпидемий составил более 1 млрд руб.

На ряде предприятий вирус добрался и до АСУ. Например, на сутки останавли-вались заводы Renault, Nissan и Honda, находящиеся во Франции, Словении, Англии и Японии. По оценкам экспертов, каждый завод потерял не менее 7 млн долл.

При этом нельзя сказать, что не осу-ществляются действия для обеспечения безопасности производства. В России количество нормативных документов в области ИБ увеличивается лавиноо-бразно. За последние два года обновилась «Доктрина информационной безопас-ности Российской Федерации», фор-мируются ведомственные требования, появляются новые законы и регламенты, скажем, ФЗ «О безопасности критической информационной инфраструктуры Рос-сийской Федерации» и вышедшие вместе с ним ФЗ №№193 и 194 (соответству-ющие изменения в нормативных актах и уголовном кодексе).

Как обеспечить безопасность АСУ ТП

Каждый промышленный объект имеет собственную специфику, производствен-ные процессы и условия эксплуатации. При этом в отношении ИБ АСУ ТП многие российские предприятия все еще нахо-дятся на ранних этапах зрелости. Внима-ние уделяется отдельным специфическим вопросам, но система в целом остается подверженной угрозам.

Снизить риски можно, лишь исполь-зуя комплексный подход, включающий в себя работу с людьми, обеспечение ИБ-процессов, применение необходимых средств безопасности и систем управле-


30

ИБ-п

ракт

ика ния ИБ. Для систематизации этих работ

необходимо создать стратегию ИБ АСУ ТП, которая определит целевую архи-тектуру ИБ-системы АСУ ТП и последо-вательность развития ИБ в компании. Потребуются следующие шаги.

Шаг первый: выявление актуальности проблемы. Следует провести комплекс-ное независимое исследование произ-водственного процесса (в том числе пентесты, анализ текущего состояния системы ИБ) для определения возмож-ности реализации угроз при целенаправ-ленных атаках. Чаще всего по результатам аудита становится очевидно, что внешняя атака может спровоцировать остановку работы предприятия на несколько дней.

Шаг второй: более детальный анализ имеющихся угроз и инструментов их реа-лизации. Должна быть сформирована стратегия развития системы ИБ пред-приятия, выбрана подходящая система ИБ АСУ ТП и определен перечень перво-очередных действий для предотвращения инцидентов. Затем необходимо предпри-нять конкретные меры для нивелирова-ния угроз.

Именно на втором шаге чаще всего воз-никают препятствия, мешающие движе-нию вперед:

• внедрение мер обеспечения ИБ требует множества действий, ком-плексный подход должен охватывать сотрудников, процессы и технологии, сами работы весьма затратны и зани-мают продолжительное время;

• в компании часто не хватает персо-нала, способного самостоятельно внедрять и эксплуатировать кон-кретные решения;

• внедрение новых принципов ИБ может вызывать сопротивление со стороны сотрудников и серьезные разногласия. Модернизация про-изводственных процессов подраз-умевает наличие «внутренней воли», внедрение средств ИБ – изменения проектного цикла. Сами требования к ИБ должны обсуждаться и форми-роваться еще на этапе идеи проекта и разработки технического задания на проектирование.

Решить все эти проблемы и, в резуль-тате, достигнуть должного уровня защиты можно лишь при ответственном отноше-нии к проекту руководства и его непо-средственном вовлечении в работу.

Шаг третий: выбор и внедрение кон-кретных средств ИБ. Речь должна идти о комплексе решений, позволяющих защищать рабочие станции, серверы и промышленную сеть от воздействий, контролировать действия пользователей, анализировать защищенность объекта, управлять средствами безопасности и передавать необходимую информацию в госсистему обнаружения и предупреж-дения компьютерных атак, если объект может быть отнесен к критически важной информационной инфраструктуре.

Выбирать средства защиты лучше всего в такой последовательности:



• определение решений, согласованных c производителем АСУ ТП;

• определение решений, имеющихся в реестре ФСТЭК;

• определение решений, находящихся в обоих списках;

• определение компенсирующих реше-ний (отсутствующих в реестре ФСТЭК, но обеспечивающих необходимый функционал и применяемых в АСУ ТП);

• формирование окончательного реше-ния.

Шаг четвертый: внедрение ИБ-системы АСУ ТП. Возможны вариации: внедрение в рамках одного проекта или группы про-ектов, разделенных, например, на АСУ ТП и центральную часть по ИБ. При этом команда, действующая на начальных и конечном этапах, должна оставаться неизменной. Динамика развития произ-водства обязательно будет вносить кор-ректировки в состав проекта, а «новые» исполнители на последнем этапе, ско-рее всего, вернут проект в его началь-ную стадию (определения идеологии), поскольку станут действовать вне мер работы с персоналом и процессами ИБ, прорабатываемых ранее параллельно внедрению.

После создания ИБ-системы АСУ ТП предприятие переходит на этап экс-плуатации. Процессы, разработанные на втором и третьем этапах, становятся частями жизненного цикла производства и циклично повторяются. Затем систему ИБ АС УТП следует развивать, модер-низировать и поддерживать аналогично производству.

Оценка затрат

Уместно процитировать слова Уинстона Черчилля: «За безопасность необходимо платить, но за ее отсутствие приходится расплачиваться».

Исходя из нашей практики, затраты на создание ИБ-системы технологиче-ского процесса составляют 50 тыс. – 200 тыс. долл. При этом на производствах выделяют 10–50 технологических про-цессов, требующих защиты. Таким обра-зом, стоимость создания ИБ-системы колеблется в пределах 500 тыс. – 10 млн долл. Однако даже при необходимости затрат по верхней планке система защиты полностью себя окупит, предотвратив лишь 1 инцидент за 10 лет.


32

ИБ-п

ракт

ика

Зрелость предприятий в области ИБ определяется,

в первую очередь, отношением к соответствующим

проблемам их руководителей и владельцев.

Только при осознании непосредственного влияния ИБ-

подразделения на прибыль компании у него появляется

поддержка в виде бюджетов и административных ресурсов.

Георгий Цедилкин генеральный директор ANP Technology

Рост зрелости ИБ в АСУ ТП



Еще три года назад многие руково-дители предприятий относились к ИБ АСУ ТП как к маркетинговому приему. Сегодня ситуация существенно изме-нилась, на что оказали огромное вли-яние как регуляторы (187-ФЗ, 31 приказ ФСТЭК), так и руководители служб без-опасности, разъясняющие потенциаль-ные риски. Теперь ИБ-службам начали выделять бюджеты, а тематические кон-ференции пользуются огромной попу-лярностью. Но выделяемые суммы все же крайне ограничены, и информация

об опыте предприятий, уже прошедших по пути построения ИБ АСУ ТП, ценится очень высоко, поскольку позволяет экономить время, силы и эффективно использовать ресурсы. Именно поэтому мы решили поделиться опытом наших партнеров.

ММК

Обратимся к опыту Магнитогорского металлургического комбината (ММК). Три года назад все его подразделения, обслуживающие оборудование, свели в одну организацию – Объединенную сервисную компанию (ОСК). Сегодня она включает в себя 12 тыс. человек, обеспечивающих ИБ АСУ ТП.

Первое, с чем пришлось столкнуться предприятию, – люди не готовы работать друг с другом. Инфраструктура была разношерстной, подходы подразделе-ний к ее обслуживанию и управлению существенно различались. По результа-там первого исследования был сделан вывод, что 50% работ по обеспечению ИБ АСУ ТП связаны именно с обслужи-

ванием (например, это обновление ПО и ОС, обеспечение работы антивирусов и т.д.). И началась работа с определения перечня лиц, которые в той или иной степени могут отвечать за ИБ АСУ ТП. Из 12 тыс. сотрудников было выбрано 420 человек, вовлеченных в процесс защиты: кто-то отвечает за эксплуа-тацию, кто-то за ввод данных, кто-то за монтаж и наладку и т.д.

Вторая проблема – отсутствие регла-ментов, на основании которых можно

обеспечить ответственность этой группы за соблюдение правил обеспечения ИБ. Евгений Копцев, руководитель направ-ления ИБ «ММК Метизы», утверждает: «Без личной ответственности никто дви-гаться вперед не будет». Для создания собственной нормативной базы был про-веден аудит и выявлены критические точки, за которые необходимо нести ответственность. Поскольку «умных» устройств становится все больше и атаку можно осуществить даже через принтер, это исследование стало необходимым этапом. Кроме того, были учтены все документы регулирующих органов.

Для количественной оценки показателей качества была использована информа-ция центра технического обслуживания и ремонтов (ТОИР), в который стека-ется информация со всего комбината о работе ПЛК. В ТОИР представлена информация о простоях, их причинах, о том, в каком сегменте произошел сбой. Эти сведения мгновенно агреги-руются и передаются руководству пред-приятия. ТОИР позволяет и рассчитать размер ущерба от простоя, и выявить

ПОСТРОЕНИЕ КОМПЛЕКСНЫХ СИСТЕМ ЗАЩИТЫ

ПРОИЗВОДСТВА – НЕ МАРКЕТИНГОВЫЙ

ПРИЕМ «ПРОДАВЦОВ СТРАХА»


34

ИБ-п

ракт

ика персональную ответственность каждого

исполнителя (несвоевременная реак-ция на событие, неадекватное внесение информации в систему, ошибки при мон-таже или наладочных работах и т.д.). Теперь для большинства ИБ-событий оперативно рассчитываются потери, связанные с простоями и затратами на восстановление.

На основе этих данных было разработано «Положение по обслуживанию АСУ ТП», в котором 80% требований относятся именно к ИБ и которое определяет экс-плуатацию, ответственность и работы по повышению уровня защищенности. Далее появился обязательный регла-мент учета требований ИБ при создании

каждой новой системы и нового про-изводства, «Положение о технической защите АСУ ТП при проектировании», который содержит следующие разделы:

• архитектурно-строительные требова-ния к защите АСУ ТП;

• требования к защите АСУ ТП на уров-нях 0, 1, 2 и в интеграционном слое;

• требования к защите сетей АСУ ТП;

• общие требования безопасности к ПО АСУ ТП и АСУ П;

• общие требования безопасности к ком-пьютерам и серверам АСУ ТП и АСУ П;



• требования к антивирусной защите АСУ ТП;

• требования к резервному копиро-ванию данных на уровнях АСУ ТП;

• требования к аварийному восста-новлению АСУ ТП;

• требования к документированию;

• требования соответствия норматив-ным документам.

В этом перечне стоит отметить «Архи-тектурно-строительные требования».

В те времена, когда об ИБ АСУ ТП никто не задумывался, архитектурная планировка производственных помеще-ний обеспечивала облегчение доступа к оборудованию. В результате все шкафы управления находятся в открытых гале-реях, что приводит к необходимости решать вопросы контроля над доступом

к оборудованию, в том числе за счет внедрения СКУД, видеонаблюдения и т.д.

Для обмена информацией между АСУ ТП и АСУ П было решено ввести интегра-ционный слой. Ту информацию, которую АСУ ТП хочет передать «наверх», один скрипт выкладывает в этот слой, а другой забирает; так же происходит при пере-даче информации из АСУ П «вниз». Сей-час тестируются три решения:

• на базе WinCC (с урезанным функ-ционалом);

• на основе менеджера обмена сооб-щениями Kafka;

• на основе решения «Мониторинг 2014».

Теперь о состоянии дел с ИБ на ком-бинате регулярно докладывают три директора – директор по безопасно-сти ММК, директор сервисной компании


36

ИБ-п

ракт

ика и директор предприятия, обслуживаю-

щего ИТ-инфраструктуру.

«Северсталь»

В компании создано отдельное управле-ние, отвечающее за ИБ АСУ ТП и состо-ящее из групп защиты производствен-ных систем, мониторинга инцидентов и лаборатории защищенности. Управле-ние решает множество задач – от повы-шения информированности сотрудников до разработки стратегии защиты, выбора и внедрения инструментов ИБ.

Как и на ММК, в компании есть пони-мание того, что одно из самых важных звеньев в защите информации – человек, поэтому регулярно проводится обучение сотрудников. Почти ежемесячно на семи-нарах собираются 300 человек, которым рассказывают об ИБ на примерах кон-кретных ситуаций. Разработаны различ-

ные ИБ-курсы, в разработке находятся кейсы по ИБ АСУ ТП, созданы screensaver и агитплакаты по тематике ИБ, прово-дятся вебинары и почтовые рассылки.

Актуальная задача – выбор систем ана-лиза защищенности. Проведены пилот-ные внедрения решений «Лаборатории Касперского», УЦСБ, Positive Technology, и каждое проявило свои преимущества. Одно из решений установило агенты на все имеющиеся ОС без нарушения работы ПО, отвечающего за технологи-ческие процессы, и провело профили-рование ПЛК, но для обеспечения его работы потребовались усилия четырех программистов в течение нескольких месяцев. Второе решение запустилось «из коробки» и заработало через 3 ч, проведя профилирование всей сети и выя-вив 350 хостов. Третье решение пока-зало наилучшую реализацию контроля над целостностью конфигураций сетевого



оборудования. При этом у всех решений выявились и недостатки: неумение бло-кировать инциденты или выявлять обо-рудование по MAC-адресам, отсутствие поиска по IP, статичные карты без воз-можности масштабирования и т.д. Все производители обязуются в кратчайшие сроки доработать свои продукты, но пока есть только один выход – использовать «симбиоз» нескольких продуктов.

«ЕвразХолдинг»

В прошлом году «ЕвразХолдинг» тестиро-вал подходы к построению ДМЗ. Во время первого тестирования на проникновение, проведенного пару лет назад, выявилось множество уязвимостей. На основе этих данных была разработана «идеальная» концепция системы безопасности АСУ ТП холдинга. Теперь для тестирования были выбраны два цеха – непрерыв-ной разливки и конверторный. В обоих проводится работа с расплавленным металлом, и хакерские атаки могут при-вести к наибольшим потерям. В ходе тестирования решались следующие вопросы: что эффективнее – создать одну мега-ДМЗ или несколько маленьких на каждый цех; возможно ли убрать все вертикальные связи, чтобы из MES-сети нельзя было «провалиться» в техноло-гическую сеть?

В результате реализации проекта были четко определены все потоки информа-ции между корпоративной и производ-ственной сетями. На границе сетей двух цехов была построена пилотная DMZ, в которую вынесли серверы для органи-зации взаимодействия (обновления АВЗ, WSUS и т.д.), виртуальные компьютеры для обеспечения работы администрато-ров и разработчиков из корпоративной сети и т.д. Затем технологическую сеть максимально отделили от корпоратив-ной. Все, что касается АСУ ТП, вынесли в сеть АСУ ТП, а взаимодействие осу-ществлялось через DMZ. Использо-

вались лишь те протоколы, которые необходимы для работы систем/сетей. Были заблокированы все сетевые порты, не используемые при работе. Адми-нистраторов и разработчиков стали пускать в технологическую сеть только через виртуальные машины с использо-ванием двухфакторной аутентификации.

Затем вновь были приглашены ауди-торы, перед которыми была поставлена задача «снова сломать». Однако за два месяца тестирования на проникнове-ние удалось получить доступ только в корпоративную сеть цеха непрерывной разливки и к RDP-сессии системного администратора. Аудиторы два месяца ожидали, когда администратор «отойдет, оставив usb-токен», но он полностью соблюдал правила, и по этому каналу также не удалось провести атаку. Было установлено, что концепция построения ДМЗ оказалась успешной, и экономи-чески оправданно создать несколько крупных ДМЗ (применение «малых» ДМЗ приведет к повышению затрат на обо-рудование каждого цеха и стоимости обслуживания каждой ДМЗ).

Итак, сейчас все предприятия при-знают, что люди – ключевое звено любой системы ИБ АСУ ТП, поэтому службам ИБ предоставляются необходимые полномочия и ресурсы для повышения уровня ответственности персонала. Еще один факт, признаваемый всеми компа-ниями, состоит в том, что привлечение служб ИБ к разработке ТЗ на любую АСУ ТП необходимо для обеспечения экономической безопасности компании.

Построение комплексных систем защиты производства – не маркетинговый прием «продавцов страха», а насущная необхо-димость. Более того, потребности в тех-нических решениях часто превосходят возможности имеющихся на рынке про-дуктов. А это, в свою очередь, откры-вает пути для развития новых компаний на рынке безопасности АСУ ТП.


38

ИБ-п

ракт

ика

Чем именно занимаются банковские службы

информационной безопасности?

И что больше всего препятствует их полноценной работе?

Об этом мы и поговорим.

Данияр Эшматов Pуководитель ИБ-отдела «Аю Холдинг»

Проблемы обеспечения ИБ в банке



Основной целью ИБ-службы банка является защита информационных систем от несанкционированного доступа, а информации – еще и от использования, рас-крытия, нарушения, модификации и уничтожения. Состояние защищенности данных в информационной системе определяют три сервиса безопасности – конфиден-циальность, целостность и доступность (КЦД). Именно эта триада сервисов слу-жит прочным фундаментом обеспечения безопасности ИТ-инфраструктуры, и вся

деятельность службы ИБ должна быть нацелена на достижение состояния КЦД. Однако зачастую полноценной работе службы ИБ препятствуют некомпетентность персонала и перезагруженность непрофильными задачами.

Офисная крыса или героический борец

Нередко компетенции сотрудника, ответственного за обеспечения информаци-онной безопасности в банках, ограничиваются регламентированием бизнес-про-цессов, в которых так или иначе задействованы компьютеры. Но разрабатывать положения, политики или инструкции – это одно, а вот вести постоянный контроль над соблюдением таких правил – совсем другое, особенно если требуется надзор за техническими сотрудниками. Другими словами, ИБ-специалисту недостаточно обладать хорошими навыками «писанины», нужно еще, чтобы они были подкреплены техническими умениями и знаниями.

В самом лучшем случае ИБ-специалист – это сотрудник, который в прошлом был администратором профильного направления (системы, сети, приложений или базы данных). Не обладая навыками аудита журналов безопасности системы или настроек сетевого оборудования, невозможно обеспечить соблюдение регламентов другими пользователями (при этом нарушителем режима работы в корпоративной сети может оказаться не простой пользователь, а, скажем, пользователь с привилеги-рованными правами). Без таких навыков все ваши политики, процедуры и другие регламентирующие положения останутся только на бумагах и будут служить лишь для отчетов перед руководством банка и внешними аудиторами.

Важно, чтобы специалист, который отвечает за информационную безопасность в банке, умел, как минимум, следующее:

• администрировать межсетевые экраны – как аппаратные, так и программные (например, Cisco ASA, Kerio control);

• администрировать серверы антивирусной защиты (ERA Server);

• администрировать Active Directory, управлять системой предоставления доступов;

ОТСУТСТВИЕ НЕОБХОДИМЫХ КВАЛИФИКАЦИЙ –

НЕ ЕДИНСТВЕННАЯ ПРИЧИНА, ТОРМОЗЯЩАЯ

ДЕЯТЕЛЬНОСТЬ СЛУЖБ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ


40

ИБ-п

ракт

ика • настраивать Apache2, nginx, Auditd, MySQL, PostgreSQL, Rsyslog;

• настраивать сетевое оборудование (управляемые коммутаторы);

• знать принципы работы DLP/IDS/IPS/SIEM;

• иметь базовые знания об ОС Linux.

Только обладая этими знаниями и навыками, можно осуществлять контроль и вно-сить в бизнес-процессы банка свою лепту – обеспечение информационной без-опасности. Иначе в глазах ИТ-отдела вы можете оказаться, как любят говорить в американских боевиках, «офисной крысой», а не героическим борцом за под-держание правопорядка.

Девятый вал непрофильных задач

К сожалению, отсутствие необходимых квалификаций – не единственная причина, тормозящая деятельность служб информационной безопасности. Изначально функции ИБ были просты и понятны: они сводились к расследованию инциден-тов, управлению правами и доступами, фильтрации почты, борьбе с вирусами и т.д. Однако по мере развития ИТ- и банковских сервисов стало все сложнее обеспечивать комплексную безопасность. И дело заключается не в том, что ИТ развиваются динамичнее ИБ, а в том, что на стороне ИБ фокусируется все больше непрофильных задач.

Примеров выполнения ИБ-подразделениями непрофильных задач – сколько угодно, и так происходит лишь потому, что в каждом случае фигурирует слово «безопас-ность» вкупе со словом «информация». На плечи ИБ-службы перекладывают обязанности контроля над соответствием ролей, обеспечения экономической безопасности, управления рисками и даже ремонта вышедших из строя серверов. Конечно, хорошо, если служба ИБ не хуже системного администратора умеет раз-бирать серверы до болтиков и «поднимать» системы с исходной конфигурацией. И совсем неплохо, если ИБ-сотрудник способен на глаз определить потенциально подозрительную транзакцию, оценить ее риски и отнести к конкретному типу проблем в имеющейся классификации. Мали ли что может произойти! Например, мошенник, отмывающий деньги через банковскую систему, настолько увлекся сокрытием следов переводов, что решил просто сломать сервер. Или хакеру, когда-то вполне легально оформившему ипотечный кредит, надоели ежемесячные платежи, и он решил пригрозить взломом банковской системы…

Однако если так пойдет и дальше, службе ИБ вскоре придется отвечать за весь банк. А на деле зону ответственности ИБ-службы банка следует ограничить той самой триадой сервисов КЦД, и эта граница должна быть железобетонной. Иначе бумажная безопасность заменит реальную, и сотрудники службы ИБ целыми днями будут перебирать бумаги, в то время как корпоративный файервол будет просту-кивать хакер, решивший проверить уровень своего мастерства.

Выход из данной ситуации очевиден: подразделение ИБ должно стать самосто-ятельной структурой, отделенной от служб, занимающихся задачами комплаенс и обеспечения экономической безопасности. В идеале эти подразделения, которые имеют разные компетенции, но единую цель защиты банка от внешних и внутренних



вторжений, должны существовать параллельно в структуре службы безопасности банка.

Парадная сторона рутинной работы

Позиция банковского ИБ-сотрудника очень привлекательна для многих специали-стов, действующих в сфере информационных технологий: она означает хорошую зарплату (обычно – выше средней), различные бонусы, привилегированные права в АС и железках и т.п. Однако это – лишь «парадная сторона» деятельности специ-алиста по информационной безопасности. Будни его порой более прозаичны, чем будни кассиров операционного отдела.

Так чем же занимаются службы информационной безопасности в банках? В каждом из них, естественно, есть свои особенности, но схожие моменты все же выделить можно. В общих чертах будни специалиста ИБ-службы связаны с требованиями политики безопасности, зависят от бюджета, подразумевают работу с сотрудни-ками, выявление и предотвращение угроз, устранение уязвимостей.

Большинство администраторов безопасности в банках начинают рабочий день с разблокировки учетных записей пользователей на автоматизированных системах (контроллер домена, банковская учетная система и т.д.). Это – как бы разминка в начале дня. Далее следует анализ логов сетевых служб или автоматизированных систем, мониторинг вирусной активности и борьба с нею, между делом приходится поучаствовать в различных рабочих группах, рассмотреть заявки пользователей на предоставление прав доступа…

Однако основная деятельность ИБ-сотрудника сфокусирована на борьбе с утеч-ками информации, подразумевающей мониторинг почтовых ящиков, просмотр истории переписок пользователей по мессенджерам и периферийным устрой-ствам, обучение пользователей и их инструктаж по режимам информационной безопасности, доведение регламентов и инструкций до каждого сотрудника. После внешней аудиторской проверки банка обычно возникает дополнительный перечень проблем, которые нужно устранить, причем большинство мероприятий связаны с разработкой той или иной политики. А что уж говорить о таких малоприятных обязанностях, как необходимость заниматься расследованиями и разоблачать сотрудников, с которыми ты видишься и здороваешься каждый день!

Другими словами, тут и не пахнет романтикой – это рутинная неблагодарная работа… Или все же благодарная? Ведь при качественном выполнении ИБ-специалистами своих обязанностей ее результаты не могут не радовать.


42

под

маск

ой

Вы, конечно, в курсе того, что знания и компетенции имеют

срок годности. Кажется, на дипломах и сертификатах

нужно проставлять даты, как на упаковках с продуктами,

по достижении которых они теряют «свежесть»,

актуальность, и их приходится обновлять.

Но тут-то и начинаются проблемы, о которых сегодня

рассуждает Розенбот.

Незримые масштабы перемены

NICKNAME: Розенбот


под маской

Отцы и дети

Специалистам зачастую не хватает актуального уровня об-разования – это не новость. Проблема состоит в том, что они и не пытаются обновлять свои знания. Хуже всего, когда такой человек имеет высокие должность и статус, а соот-ветственно, принимает судьбоносные решения или влияет на их принятие. Например, лет 15 назад он с блеском защитил диссертацию, стал доктором юридических наук и, наконец, получил руководящую должность, но сегодня мало что по-нимает в реалиях правового регулирования, поскольку с тех пор мир существенно изменился. Можно сказать, из-за стремительности перемен этот человек начал терять позиции уже в момент защиты, но, по понятным причинам, не при-знается в собственной некомпетентности даже самому себе.

Упомянем еще одну особенность: чем выше должность, тем слабее понимание перемен вокруг, меньше времени для само-образования и ограниченнее круг профессионального общения. И это относится ко всем сферам – образования, экономики, безопасности… Скажем, если человек «старой закалки» хочет передать какую-то информацию, например о своем местопо-ложении, он просто берет свой телефон и передает. Об осоз-нанном использовании им способов обеспечения безопасности и речь не идет, а запретительные меры не работают, поскольку обходятся на раз-два.

Большие надежды многие возлагают на новое поколение, кото-рое с детства общается с гаджетами и хорошо осведомлено о необходимости защиты, но тут возникает замкнутый круг. В условиях запретов и ограничений трудно ожидать появле-ния гениев, способных менять мир, ведь для их зарождения нужна открытая среда. Если тебя окружают сильные конку-ренты, и ты хочешь оставаться равным среди равных, это мотивирует к развитию и поиску свежих решений. Однако, приходя на работу в регулирующие органы, представители нового поколения вынуждены подчиняться старым правилам, а потому перемены идут очень медленно.

Правда, для регуляторов стало серьезным прорывом то, что они начали «появляться на публике». Публичность заметно отразилась на качестве их работы. Находясь в замкну-том пространстве собственных представлений, человек имеет слишком мало свободы и слишком бедную почву для твор-


44

под

маск

ой

чества. Совсем иное дело – выйти в большой мир и увидеть, что он наполнен всевозможными мнениями, знаниями и компе-тенциями. Тогда-то перед ним и предстает непаханое поле воз-можностей и творческих идей, которые было бы очень сложно уловить, находясь исключительно внутри системы.

PR-доверие

Еще прежде, чем мир заговорил о невозможности эффективной борьбы с киберзлом в одиночку и необходимости профессио-нального взаимодействия, возник кризис кадров там, где они пре-жде концентрировались в приоритетном порядке. Те времена, когда авторитетные государственные бренды, словно пылесосы, всасывали в себя лучшие компетенции рынка, канули в Лету. Репутационные потери в отрасли оказались колоссальными.

Тогда-то весьма актуальным стал вопрос PR-доверия, но оказа-лось, что далеко не все специалисты и компании готовы к диалогу. При личном общении негатив не проявляется, однако в режиме «вовне ничего не передавать» партнерство никак не строится, вза-имодействие уникальных компетенций не налаживается. Скажем, часто ли компании, пострадавшие от вирусов-шифровальщиков, просят регуляторов о помощи в спасении их зашифрованных баз данных? Я не могу привести ни одного такого примера. В ответ на вопрос о том, что удерживает от обращения к регуляторам, я слышу: «А вдруг, когда расшифруют, сделают себе копию и уви-дят данные, которые я не хочу им предоставлять».

Режим изоляции является, скорее, наследием практики управления «шарашками», но времена-то изменились, и без сотрудничества уже никто не сумеет создать что-то достойное своего времени, а тем более – опережающее время. Нельзя эффективно взаи-модействовать и решать проблемы без доверия! Открытость и умение доверять партнерам – это важнейшая компетенция современного мира, без обладания которой не приходится рас-считывать на успех.

Поворот на 180 градусов

Перед нашим государством стоит сложная задача – управлять огромной территорией, объединяющей разнообразные субъекты, каждый из которых имеет свои правила, традиции и локальное законодательство. В ряде регионов (например, нестабильных с военной точки зрения) эта задача существенно осложняется. Но все они в той или иной мере – участники информационного взаимодействия, а значит, им свойственны все риски и угрозы современного мира. Как в такой ситуации найти баланс регу-лирования! Можно понять, с чем связаны инициативы государ-ственных органов, которые пытаются что-то зарегулировать, что-то запретить… Вероятно, они даже не представляют себе другой путь.


под маской

Но все-таки ориентироваться на заметно отстающие по уровню зрелости регионы, вводя все новые запреты и ограничения, – значит, тормозить здравые инициативы. Для обеспечения инфор-мационной безопасности в пределах страны необходимо, в первую очередь, наладить эффективную систему получения сведений о том, кто, где и какие ресурсы посещал, и минимизировать риски использования чужих данных. И решить две эти смежные задачи путем запретов и ограничений уже не получится.

Сегодня аргумент скептиков «да они могут предоставлять какие-то ненастоящие данные, все про себя врать» разбивается о резуль-таты анализа перемен в сознании пользователей. Лет 10–15 назад Интернет-активность, как правило, имела анонимный характер. Считалось чем-то вроде моветона сообщать о том, кто ты есть на самом деле, демонстрировать себя настоящего. Как след-ствие – возникало множество фейковых аккаунтов, фейковых личностей... Все попытки пресечь практику анонимности в Сети (вспомните, например, ошеломительное предложение пускать в Интернет по паспортам) ни к чему не приводили.

Однако со временем произошел разворот на 180 градусов. Сей-час все чаще пользователь должен подтверждать свою легаль-ность, проводить аутентификацию, скажем, через телефонный номер, а в социальных сетях и Интернет-магазинах оседают подлинные персональные данные. Отсутствие у тебя аккаунта в социальных сетях воспринимается, скорее, как странность. В Интернете стало модно быть собой, для этого появилась моти-вация. Последствия таких изменений прямо-таки грандиозны для общества, экономики и политики, но произошли они вовсе не благодаря инициативам регуляторов, их запретам и ограни-чениям, а под воздействием Интернет-культуры, основанной на авторитете и доверии.

Вы спросите, при чем тут необходимость обновления компе-тенций и быстро устаревающие представления об окружающем нас мире? Очень даже при чем! Для того чтобы осознавать мас-штабы происходящих перемен, понимать их причины и значение, ориентироваться в инструментах их регулирования, необходимо постоянно актуализировать свои знания, а не пытаться натяги-вать нафталиновые ценности на окружающий мир. Особенно с учетом того, что он скоро опять переменится…


46

комп

етен

ции

Персональные данные должны быть защищены

не только технически, но и законодательно – будь то

законодательство РФ или ЕС. Однако Швейцария

в этом плане стоит особняком, т.к. в ЕС не входит.

Страна вечного нейтралитета с начала XIX века, сегодня

она позиционирует себя как глобальное хранилище

не только материальных ценностей,

но и оцифрованных данных.

Цифровая Швейцария

Ойген Вильтовски ALPEIN Software (Швейцария)


компетенции

Цифровое убежище

В ответ на экспоненциальный рост объ-емов данных страну практически застро-или дата-центрами, а законодатели обе-спечили ей нейтральность и в политике доступа к информации. Федеральный совет страны принял 20 апреля 2016 г. стратегию «Цифровая Швейцария» (Digital Switzerland), призванную помочь конфе-дерации воспользоваться новыми воз-можностями в цифровом мире. Закон о защите данных (FADP), обновленный в 2016 г., гласит: за немногими исключе-ниями, никто не может получить доступа к данным, хранящимся на законных осно-ваниях в швейцарских дата-центрах. В Индексе рисков центров обработки данных (Data Centre Risk Index) Швей-цария занимает 3-е место среди самых привлекательных стран для размещения ЦОДов в регионе EMEA (Россия находится нa 27-ом).

Сейчас в Швейцарии насчитывается 62 центра обработки данных – без учета частных дата-центров (например, банков UBS и телекоммуникационного оператора Swisscom). По площади ЦОДов Швейца-рия занимает шестое место в Европе. Более 150 тыс. кв. м их площадей выде-лено под ИТ-хостинг. Услугами швейцар-ских дата-центров пользуются компании разных стран, особенно заинтересован-ные в надежном хранении своих дан-ных. Иностранные компании составляют до половины клиентов крупных ЦОДов, и ожидается, что число таких пользовате-лей будет расти опережающими темпами.

Национальный лоббизм

В феврале 2016 г. в стране была создана ассоциация Vigiswiss. Ее цель – повы-

сить уровень осведомленности обще-ственности о преимуществах хранения данных в Швейцарии. Сейчас в ассоци-ацию входят 12 швейцарских компаний, занимающихся хостингом данных (в том числе Deltalis, Safe Host и Abissa). Vigiswiss пытается донести идею «цифрового убежища» до правительств, компаний и международных организаций, которые хотят защитить свои конфиденциальные данные.

Члены Vigiswiss подписали хартию, в кото-рой обязуются гарантировать высокий уровень безопасности и не размещать на своих площадках не соответствую-щие законодательству данные. Однако в Швейцарии отсутствует администра-тивный надзор за хранимыми данными – это рассматривается как конкурентное преимущество перед другими странами, способствующее привлечению иностран-ных клиентов.

На федеральном уровне FADP регулирует сбор и использование ПДн в Швейцарии. Кроме того, каждый из 26 швейцарских кантонов имеет свои требования к защите данных, которые регулируют их обработку местными органами. В Швейцарии нет специального закона о защите данных в конкретных отраслях, но соответству-ющие требования можно найти в ряде законов, касающихся телекоммуникаци-онной, банковской отрасли, медицины и др. При этом федеральный закон имеет приоритет.

Надежно, как в сейфе?

Высокая степень правовой защищенно-сти, которая сохраняется даже в усло-виях постоянного давления из-за рубежа, привлекает клиентов в Швейцарию.


48

комп

етен

ции Согласно ст. 105 Закона Швейцарии «Об

иностранных гражданах» от 16 декабря 2005 г. конфиденциальная персональная информация может быть передана тре-тьей стороне лишь в связи с выполнением Швейцарией обязательств перед ино-странными государствами и между-народными организациями, особенно в рамках соглашений о борьбе с пре-ступностью. Такая информация может предоставляться исключительно в тех случаях, когда отсутствует угроза лицу, в отношении которого запрашивается информация, или членам его семьи. В последние несколько лет швейцарским банкам все же пришлось выдать данные некоторых клиентов органам власти США и Германии.

В Швейцарии, как и в большинстве дру-гих стран, действует принцип защиты собственных граждан. Сейчас Швейца-рия не выдает информацию на запросы иных государств в отношении ее граж-дан или граждан других стран, кроме запрашивающего государства. Правда, информация все же может быть пере-дана, если полиция Швейцарии или другие компетентные органы самостоятельно возбудят уголовное дело против таких лиц. Сведения о физических лицах предо-ставляются исключительно в рамках уго-ловного процесса. Нелегальные данные, нарушающие закон, могут быть уничто-жены по требованию обладателя.

Однако в 2018 г. Швейцария планирует отмену режима банковской тайны для ино-странных клиентов. Вводятся новые стандарты в области обмена налого-вой информацией с 38 странами, в том числе государствами ЕС, разработанные для противодействия отмыванию/лега-лизации капиталов и уходу от налогов. Пока неясно, будет ли действовать новый режим в отношении стран, которые счи-таются коррумпированными, авторитар-ными и не могут гарантировать защиту ПДн, поступающих из Швейцарии. Рос-сия – в списке этих стран.

Раскрытие конфиденциальных персо-нальных данных или профилей личности третьим лицам без обоснования считается в Швейцарии нарушением конфиденци-альности данных субъектов (ст. 12 FADP). Чувствительные персональные данные определяются как данные, относящиеся к следующим категориям:

• религиозные, идеологические, поли-тические или профсоюзные взгляды или действия.

• здоровье, интимная сфера или расо-вое происхождение.

• меры социальной защиты.

• административное или уголовное судопроизводство и санкции.


компетенции

Профиль личности определяется как сово-купность данных, позволяющих оценить основные характеристики личности физи-ческого лица.

Отметим, в российском законодательстве есть положение о том, что ПДн граждан нашей страны должны физически хра-ниться на серверах в РФ (однако можно дублировать эти данные на зарубежных площадках). Соответственно, при исполь-зовании сервисов, обеспечивающих хранение данные не в России, возни-кает конфликт требований. Кроме того, нужно получать письменные согласия владельцев на передачу за границу неко-торых данных, собранных у граждан РФ. Закон предусматривает, что такое согла-сие должно быть засвидетельствовано подписью на бумаге либо предоставлено с использованием электронной цифровой подписи, что осложняет его получение при оказании услуг через Интернет.

Возможны и сложности с хранением, сбо-ром и обработкой ПДн, которые содержат чувствительную информацию, относимую к специальным категориям, – сведения о здоровье, ориентации, расе и т.д. В пер-вую очередь, это относится к сервисам, которые хранят/обрабатывают информа-цию, связанную с оказанием медицинских услуг.

Если компания имеет два юридиче-ских лица, в России и в Швейцарии, то они могут определить в договоре, законодательством какой из двух стран регулируются их отношения. При возник-новении конфликтных ситуаций стороны могут разрешать споры через третейский суд, международные инстанции, которые не входят в систему государственных судов ни одной из стран.

ПДн в современной экономике

Право на защиту персональных данных декларируется сегодня как неотъемлемая часть фундаментальных прав человека.

Оно закрепляется в актах регулятивного характера Евросоюза, Совета Европы, РФ, а также в актах общегуманитарного характера, принимаемых международ-ными организациями. Нормы охраны кон-фиденциальной информации (в том числе персональной) включаются в междуна-родные договоры.

Тем компаниям, которые планируют пред-лагать услуги либо товары в странах ЕС или Швейцарии, придется провести ком-плексную оценку применяемых ими мето-дов и средств обработки ПДн, привести их в соответствие с законодательствами этих стран, продумать политику конфи-денциальности, рассмотреть положения об обработке ПДн европейских пользо-вателей онлайн-сервисов, механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных. Для обеспечения соответствия требованиям ЕС (GDPR) достаточно придерживаться единого набора правил защиты и обработки данных.

Для того чтобы избежать утечек ПДн и возможных манипуляций ими третьими лицами, операторы, осуществляющие сбор пользовательских данных в каком-либо виде, должны внимательно следить за их сохранностью. Сбор, анализ и перемеще-ние ПДн обретают во всем мире огром-ное экономическое значение. Последние изменения в европейском законодатель-стве, унификация требований позволяют бизнесу максимально использовать воз-можности работы на едином европейском цифровом рынке, а международные доку-менты закрепляют информационные права человека.

Компании имеют дело с огромными объ-емами данных разного типа, которые необ-ходимо безопасно сохранять в соответ-ствии с установленными требованиями. Утрата сведений о клиентах и иной важ-ной информации теперь считается одной из самых крупных катастроф, какие могут случиться с предприятием, поскольку может означать полную потерю бизнеса.


50

АвторыНаталья Касперская, президент группы компаний InfoWatch, соучредитель «Лаборатории Касперского»Дмитрий Скобелкин, заместитель председателя Банка РоссииРустэм Марданов, председатель Правительства Республики БашкортостанАлексей Войлуков, вице-президент ассоциации «Россия»Эльман Мехтиев, исполнительный вице-президент Ассоциации российских банковРоман Шередин, заместитель руководителя Федерального агентства связиГеоргий Грицай, исполняющий обязанности директора направления «Информационная без-опасность» АНО «Цифровая экономика»Алексей Лукацкий, бизнес-консультант по безопасности Cisco Екатерина Рудина, старший системный аналитик «Лаборатории Касперского» Андрей Прозоров, руководитель экспертного направления Solar SecurityСергей Хайрук, аналитик компании InfoWatchАндрей Арсентьев, аналитик компании InfoWatch Вадим Смирнов, ведущий инженер по системам защиты АСУ ТП «ИнфоВотч»Алексей Петухов, руководитель направления ИБ АСУ ТП Центра ИБ компании «Инфосистемы Джет» Георгий Цедилкин, генеральный директор ANP TechnologyДанияр Эшматов, руководитель ИБ-отдела «Аю Холдинг» (г. Бишкек)Ойген Вильтовски, ALPEIN Software (Швейцария)

ИнформацияНомер журнала: №21, I квартал 2018 г.Тираж: 1000 экз. Распространяется бесплатно Номер свидетельства: ПИ № ФС 77 – 54908 Свидетельство о регистрации СМИ: ПИ № ФС 77 – 54908 Зарегистрировавший орган: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций

Главный редактор: Олег Седов Литературный редактор: Наталья Соболева Дизайнер-верстальщик: Алена Керницкая

Адрес редакции: 123022, Москва, ул. Верейская, д. 29, стр. 134, БЦ «Верейская Плаза» Дизайн и печать – типография «ЮСМА»: 109316, Москва, Волгоградский пр-т, д. 42, корп. 5 Интернет-версия издания: http://bis-expert.ru/bdi

Контакты по вопросам рекламы и размещения материалов Е-mail: [email protected]

Рукописи не возвращаются и не рецензируются. Редакция не несет ответственности за достоверность рекламных материалов. Любое воспроизведение материалов и их фрагментов возможно только с письменного согласия редакции

Ж урна л «Безопаснос ть Д е ловой Информации»


НАШИ ВЫПУСКИ

ЖУРНАЛ О ТРЕНДАХ, ЗНАНИЯХ

И ЛИЧНОМ ОПЫТЕ В ОБЛАСТИ ЗАЩИТЫ

ИНФОРМАЦИОННЫХ АКТИВОВ

i квартал 2018 № 21 - bis-expert · Уместен вопрос: а можно ли...

Documents