Здравый смысл безопасника или не читайте перед обедом немецких газет

Безопасника от журналиста, падкого на сенсации, отличает здравый смысл и взвешенная позиция. Именно так я хотел бы посмотреть на последние «разоблачения Сноудена», описанные в немецком «Шпигеле» в конце прошлого года и которые стали активно обсуждать именно сейчас.

Что мы узнаем из этих материалов? В 2007-м году у АНБ был «каталог ОТТО» со списком возможностей, которые можно было использовать для несанкционированного доступа к ИТ-продукции большого спектра ведущих ИТ-компаний в целях спецслужб. Тут важны 4 момента:

  1. Цели спецслужб обычно отличаются своей скрытностью, которая является антонимом массовости. Ни о каком массовом внедрении «имплантов» речи не идет. Тем более не идет речи и о наличии предустановленных производителем на заводе закладок или уязвимостей. В статье Шпигеля говорится, что американские спецслужбы имеют возможность инсталляции своих имплантов в оборудование и продукцию, поставляемую отдельным заказчикам, попадающим под экспортный контроль (о нем я уже писал), за счет изменения маршрута логистики через «свои» склады, где и осуществляются все действия; скрытно от всех, включая производителей, дистрибьюторов, заказчиков и т.д. Я, конечно, не могу говорить за спецслужбы, но мне кажется, что они сами не заинтересованы в массовости установки своих имплантов — повышается вероятность их обнаружения. Поэтому если такие импланты и устанавливались, то под жестким контролем АНБ.
  2. Эти возможности по несанкционированному доступу известны с, как минимум, 2007-го года. Знаем ли мы о примерах использования этих возможностей? Я не слышал. О Stuxnet, созданном теми же спецслужбами, стало известно спустя полгода-год после его внедрения на заводе по обогащению урана в Натанзе. Тут проходит 7 лет и ни одного публичного факта использования. Секретность секретностью, но всплыть-то такие факты должны были за такой продолжительный интервал времени. Либо их нет, либо они единичны и против очень специфических жертв (террористы, китайцы и другие реальные «противники» США).
  3. Список пострадавших ИТ-компаний очень разносторонен и включает и американские, и арабские, и китайские компании. При этом в каталог включены не все линейки продукции, а только некоторые (не всегда самые ходовые). Если бы речь шла о закладках, сделанных сами разработчиками, в каталог были бы включено гораздо большее количество уязвимых продуктов. На мой взгляд это доказывает, что это «личная инициатива» спецслужб, имеющих возможность (не обязательно использующих) устанавливать руткиты на ИТ-продукции, но не на всей.
  4. То, что это каталог возможностей, а не продуктов с уже установленными закладками доказывает и тот факт, что почти все крупные компании не только подвергают свою продукцию тщательному QA-анализу со своей стороны, но и и привлекают для этого внешних консультантов, которые за 7 лет не нашли ничего похожего на упоминания в каталоге АНБ (в таком количестве). А еще есть и независимые исследователи, которым просто так рот не заткнуть (если предположить, что вендор и привлеченные им тестеры не будут выносить сор из избы).

На мой взгляд, все это доказывает только одно — проблема не так уж и опасна для массового заказчика, как ее преподносят СМИ (их мотивация понятна). Я не буду утверждать, что она совсем неактуальна, но не всем и не всегда. Правда, все это при условии, что материалы «Шпигеля» истинные, а не являются фальсификацией, призванной на волне интереса к разоблачениям Сноудену ударить по ИТ-монополии американских и азиатских компаний. Обратите внимание — в списке европейского Шпигеля нет европейских ИТ-компаний.

Но, допустим, это не газетная утка и не европейская провокация и факт имеет место быть — спецслужбы действительно могуть получить несанкционированный доступ к отдельным ИТ-продуктам, упомянутым в каталоге, и местами уже снятыми с производства. Что это значит для рядового потребителя? А ровным счетом ничего! Если не брать отдельные категории заказчиков, имеющих дело с гостайной или работающих в ВПК (а там и так особые требования к используемому ПО и оборудованию), то описанная «Шпигелем» угроза неактуальна. Разве может быть АНБ интересна рядовая российская компания, даже крупная по нашим меркам? Разве нет у спецслужб более простого способа получения нужной информации (при нашем-то уровне коррупции)? Ситуация аналогична ПП-1119 с его уровнями защищенности. Я уже писал (и моя позиция неофициально подтверждается коллегами из ФСТЭК и ФСБ), что угроза наличия НДВ в ИСПДн для 99% российских организаций является неактуальной и это решение принимает именно оператор ПДн. В случае с угрозой со стороны АНБ ситуация ровно аналогичная. Вы сами определяете — угроза они для вас или нет?

Ведь если принять угрозу НСД со стороны спецслужб актуальной, то получается, что необходимо защищаться от возможности несанкционированного доступа к сетевому оборудованию и средствам защиты (Сноуден про это пишет), ОС (про все операционки, включая Windows и Linux, также упоминается у Сноудена), мобильным и беспроводным устройствам (Сноуден и про это рассказал), процессорам (это с 95-го года известный факт) и т.п. И как с этим бороться? Методы есть; мы их уже обсуждали, когда готовились к 21-му приказу ФСТЭК, и потом, когда он уже вышел. Но все эти методы дорогостоящи, а для ряда платформ и вовсе невозможны. Есть еще один метод — разработка своей ИТ-продукции (одна попытка уже была). По нему пошел Китай. Но вот у нас почему действует другой метод — мы только запрещаем чужое, не создавая своего. Точнее запрещают одни, а создавать (или стимулировать создание) должны другие. Но первые работают эффективно, а вот вторые забили болт на развитие национальной ИТ-индустрии. В итоге страдает рядовой потребитель, которого уравняли со стратегическими объектами и объектами, обрабатывающими гостайну.

Резюмирую. Можно долго разглагольствовать об угрозах со стороны американских, английских, китайских, израильских или иных спецслужб. Такой флейм забавен на какой-либо конференции или в целях обеспечения государственной безопасности. Но для рядового безопасника, работающего в обычной коммерческой или муниципальной (а временами и в государственной) организации, эта тема является непродуктивной. Здравый смысл и мой опыт подсказывает, что это именно так. Если, конечно, не рассматривать угрозу со стороны российских силовиков, которые могут «отжать» бизнес (или просто напакостить), что происходит достаточно часто в последнее время. Правда, это уже не проблема специалистов по ИБ. Неактуальность угрозы ИБ со стороны иностранных спецслужб не отменяет необходимости задумываться о развитии собственной ИТ-отрасли, но думать об этом должны немного другие люди. Кстати, эта тема упомянута в Стратегии кибербезопасности РФ. Что же касается повседневной деятельности или прогнозов на 2014-й год, то могу дать ссылку на неплохую заметку «Игнорируйте прогнозы, забудьте рекомендации и сосредоточьтесь на трех ключевых направлениях, которые сделают успешным этот год ИБ для вас». В ней говорится, что ориентироваться надо всего на три вещи в своей ИБ-деятельности:

  • Изучите и знайте СВОЙ бизнес, чтобы принести ему пользу и ценность!
  • Обеспечьте минимально необходимый уровень безопасности того, что нужно в первую очередь бизнесу!
  • Установите приоритеты своей ИБ-деятельности, дающей новую ценность бизнесу!

Если борьба с иностранными спецслужбами попадает у вас в эти три рекомендации, то чтож, значит вас ждет интересная (это новый опыт) и затратная (это очень дорого) борьба с ветряными мельницами!

Источник: lukatsky.blogspot.ru

Реклама
Запись опубликована в рубрике Opinion. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s