Найти в Дзене
Мир IT
1 подписчик

Скоро будет самая беззащитная страна. Системный взгляд на проблемы информационной безопасности в России

1
8 мин
пора думать: как системно решать проблемы ИБ в нашей стране?
Лично у меня нет желания уезжать куда-либо, собираюсь растить своих детей у нас; поэтому мне далеко не всё равно чем всё это закончится. Огромное количество компаний, таких как РЖД, кладут болт на ИБ и… их не клюёт "жареный петух".
А всё потому что "Закон Батенёва", опубликованный в виде шуточной статьи 1 апреля — это
Оглавление
Щит
Щит

пора думать: как системно решать проблемы ИБ в нашей стране?

Лично у меня нет желания уезжать куда-либо, собираюсь растить своих детей у нас; поэтому мне далеко не всё равно чем всё это закончится. Огромное количество компаний, таких как РЖД, кладут болт на ИБ и… их не клюёт "жареный петух".

А всё потому что "Закон Батенёва", опубликованный в виде шуточной статьи 1 апреля — это действительно фундаментальный закон информационной безопасности:

Предположим, что верны:

Предположим, что верны условия:

  1. Есть различные, публично известные объекты: А и Б
  2. Стоимость взлома А больше стоимости взлома Б
  3. Выгода от взлома А меньше, чем от взлома Б

Тогда верен Закон:

Объект А не будет взломан до тех пор, пока не взломан объект Б

История 1

В достаточно крупном банке Васе Первому поручили ерундовую штуку: сделать автоматические отчёты начальнику по ряду вопросов.

Вася пишет админам. Админы дают Васе доступ к SMTP.

SMTP протокол старый, аж 1982 года; когда его проектировали, думали, что все админы — порядочные и честные люди. И Вася Первый обнаруживает, что он может отправить письмо от любого почтового ящика любому почтовому ящику. Так как банк достаточно крупный, то очевидно, что возможен взлом при первом нечестном работнике.

Вася как честный сотрудник спокойно пишет напрямую админам. Те его посылают в духе "Ты кто такой? Сколько тебе лет? Каков табель о рангах?". Вася пожимает плечами.

Через два года Вася нашёл новую работу и уволился. Перед увольнением проверил — по-прежнему всем налево и направо раздают SMTP "без презерватива".

Зная природу банковских служащих, на 90% уверен, что воз и ныне там. А знаете почему? Потому что плохишам лень реализовывать такую сложную схему:

  1. устроиться в банк на любую IT должность
  2. добиться задания, в котором нужно что-то автоматизировать и отправлять отчёты по почте
  3. получить доступ к SMTP
  4. придумать схему социальной инженерии
  5. наварить кашу, получить бабки, свалить по быстрому

Согласитесь, нужно поднять свою попу с дивана. Сложно как-то.

Но банк пухнет… Становится всё больше и больше… Рано или поздно "Закон Батенёва" перестанет действовать...

Но почему? Почему так происходит?...

Опережающий маркетинг

Есть такая штука: опережающий маркетинг. Это когда вы заявляете что у вас есть функциональность Х, хотя на самом деле у вас ещё конь не валялся. Знаю компании, которые сначала начинают продавать продукт, а когда получат первый контракт — судорожно ищут разработчиков чтобы начать этот продукт разрабатывать. :)

Но такое бывает не только "наружу", то есть для заказчиков.

Есть внутренний опережающий маркетинг. И тут ИБ — это просто благодатная тема.

Вы скажете, а как же пентест? Отвечу словами панка из XIX века, Саши Чацкого: "А судьи кто?". Ведь сами же руководители и выбирают компанию для пентеста. Для того чтобы иметь возможность выбрать нормальную пентест-команду на стороне, вы должны хотеть услышать правду. А если эта правда повлияет на вашу премию? оклад? Зачем вам такие проблемы?

Проблема эта государственная или крупных частных компаний? И тех, и этих. Был такой успешный критик Карла Маркса, Йозеф Шумпетер. В его книге "Капитализм, социализм и демократия" есть интересная мысль: с социально-экономической точки зрения нет никакой особой разницы между чиновником и топ-менеджером крупной компании! В долгосрочной перспективе они ведут себя одинаково.

Итак: в мотивации нет никакой существенной разницы между топ-менеджерами и чиновниками. В частности в мотивации внедрения качественного ИБ.

После внутреннего опережающего маркетинга история с галимым внедрением ИБ системы хотя бы в курилке всплывает наружу. И тут приходит сестричка опережающего маркетинга — круговая порука

Круговая порука [снизу]

Кругова́я пору́ка — групповая солидарная ответственность. Заключается в том, что вся группа людей отвечает по нарушенным обязательствам одного из них.

Есть два способа реализовать круговую поруку: сверху (тогда это юридический термин) и снизу (то есть травля белых ворон). Круговую поруку сверху давно отменили, а вот про снизу — забыли.

Она формируется в обществе, где нет пафоса, цели, ценности. Без круговой поруки подобные системы рассыпались бы.

Накосячил кто-то и если его сразу же не наказали (замечание, выговор, лишение премии, увольнение), то это становится системной проблемой.

Когда возникает ахтунг, имеющий тенденцию превратиться в факап, любой руководитель сразу же задаст вопрос: а как так получилось, что мы РАНЕЕ не предвидели эту ошибку? И что же ему ответит ответственное лицо?

До тех пор пока скрывать проблемы (любые, не обязательно ИБ) дешевле, чем набраться мужества и признать свою ошибку, чиновники/менеджеры будут скрывать проблему.

В системах, в которых есть настоящий пафос, цели, ценности; даже у самого слабого духом менеджера/чиновника "накапливается стыд", либо он накапливается у его подчинённых. Человек без ценностей с социальной точки зрения лишён совести. Общество таких людей не имеет внутренней обратной связи. Его можно лечить только извне — пинками.

И тут ИБ очень благодатная почва. Ведь если доложишь о проблеме — это 100% головная боль и втык (пусть и маленький). А если не доложишь? При правильном поведении всегда можно прикинуться дурачком, ведь это "так сложно" всё предвидеть, а по бумагам — всё ок.

История 2
Самое главное (sic!) ведомство нашей страны по вопросам Х (важные вопросы, поверьте на слово).
Вася Второй обнаружил, что в этом ведомстве стоит Windows Server 2000 (был тогда 2019), пароль из семи символов. Всё дырявое настолько, что не имея никакого опыта в пентесте (Вася спец по другим вопросам), Вася это всё поломал за полтора часа.
Все в шоке. Васе бутылку, конфеты, женщин.
Никто не наказан, так как "у нас же нет специалистов, что поделать".
Ничего не сделали, так как для того чтобы что-то сделать, "нужен бюджет", а бюджета нет. Отправить наверх — нельзя! "Если доложим в министерство, то Петю-алкоголика (юридически отвечает за ИБ) уволят, всем выговор сделают, а руководство лишат премий".

Думаю на Петю-алкоголика всем было наплевать, это моральное прикрытие. Дело в выговорах и лишении премий...

ИБ продукты и их продажи

Про пентесты поговорили… А что же с продуктами? Ну, во-первых, без хорошего пентеста вы не поймёте какой продукт нужно внедрять. Во-вторых, с ИБ-продуктами такая же дичь.

История 3
Один весьма успешный стартапер ИБ продуктов рассказал мне как нужно продавать. Вначале Вася Третий ходил к ИБ-шникам.
Но серьезные ИБ-шники как в гос.органах, так и в крупных частных компаниях говорили, что у них "всё в порядке".
Вася не падал духом и нашёл решение! Он шёл… в другой (не ИБ) отдел и говорил, что при внедрении его системы сократятся риски. А если риски сократятся, то система Х и Y будут не нужны. И тогда можно сэкономить.

Звучит странно… Если тебе жарко, то вместо вентилятора купи половой веник и маши им. Из этой же серии...

Но тут есть важный вывод: продавать ИБ отделам невозможно без "жареного петуха".

Но и когда "клюнет", то как выбрать хороший продукт? Каков механизм проверки качества этого продукта?

Что общего между медициной и ИБ? В том что вы идете к врачам сами. Так же и в ИБ на мой взгляд вообще не должно быть сэйлов. Должна быть репутация и социальный механизм обратной связи, для влияния и оценки этой репутации.

Вместо этого маркетинг, много красивых картинок и булшита…

Так и живём.

Общая схема ИБ процессов в крупных компаниях (частных и государственных)

Итак, мы созрели до общей схемы.

  1. Внутренним опережающим маркетингом проводится ИБ-аудит и/или устанавливается ИБ-решение. "Всё хорошо". Хотя на самом деле не сделано нихрена. Ведь вероятность "жареного петуха" очень мала. А сделать по нормальному: во-первых лень, во-вторых трудно, в-третьих рискованно (вдруг порядочный подрядчик ещё больше проблем увидит)
  2. Менеджера/чиновника хвалят, дают премию, повышают
  3. Проходит время. Вскрывается проблема. В курилках её обсуждают.
  4. Круговая порука "закупоривает" проблему.

Вот и всё! Весь секрет Полишинеля. Скука! Нет вам ни криптокатоликов в РПЦ, ни жидомасонов в Кремле...

Уверен на 99% что в РЖД всё знали. От простого клерка до руководителей.

Ну как же так, скажете вы?

А так! Таким способом можно целую страну разрушить. Только в качестве цели берётся не техническая система, а сознание граждан. Вы знаете, что такое "Гласность" во время Перестройки? А вы никогда не задумывались КАК в условиях государственного СМИ и отсутствия интернета (и следовательно социальных сетей) вы будете ТЕХНИЧЕСКИ обеспечивать Гласность

Что же делать?

Надо мной будут смеяться, но я — человек смелый, поэтому скажу: нужна разделяемая и обществом и государством… идеология. Любая. Ещё десять лет духовной нищеты и буду согласен даже на монархию… Только честную, пожалуйста. Без бутафорий. Дуэли тоже верните. И всем получившим высшее образование — личное дворянство автоматически.

После формирования идеологии формируется нечто большее чем жалкая "теория игр", в рамках которой "живи сам и дай жить другому". Появляется возможность выращивания не только профессионального этикета, но и высших (т.е. вне зависимости от мнения начальника) норм поведения.

Тогда и только тогда появится система обратной связи в обществе, которая позволит таким как они не просто залатать дыры в РЖД, но и стать ведущим консультантом по ИБ с правом написать письмо если не главе государста, то ОЧЕНЬ высокому чиновнику. И это письмо гарантированно рассмотрят.

Звучит наивно? Да, если я считаю что это просто. А это не просто. Это очень… очень сложно. Но это единственный выход.

России нужны ИБ-опричники. Только профессиональные и без особой дури. Отрубленные головы собак носить с собой не нужно, а вот ходить в чёрном — наверное правильный дресс-код :)

Для их появления нужен конструктивный гнев народа и государственная воля. Всё остальное есть — и адекватные люди, и техника, и деньги.

Всем спасибо за просмотр!