За последние дни мне несколько раз задавали вопросы из разряда "А чо там с белыми списками интернета, зачем это, будут ли домашние операторы внедрять" и вот все такое. Решил я изложить это в небольшом тексте. Понимаю, что этот текст может пойти под "лайк, шэр, репост", поэтому сразу оговорюсь, что все, что написано в этом посте является частным мнением автора канала "Отладка металла" и НЕ является официальной или неофициальной позицией какой-либо компании, ведомства или государственной структуры.
Да, работа "по белым спискам" планомерно ведется, об этом не говорят в последнее время, наверное, только те, кто давно живет в лесу. Что такое "работа по белым спискам"? Это, фактически, default deny схема работы, другими словами - "запрещено всё, что явно не разрешено". Довольно классический подход в любой безопасности, будь то кибербезопасность или обеспечение охраны первых лиц.
Первоочередная и очевиднейшая задача этой активности - устранение срочных рисков государственной безопасности, источником которых являются неправомерные действия с использованием услуг мобильной передачи данных. Вы прекрасно понимаете о чем я. Текущее "проникновение" этих услуг позволяет управлять чем угодно и откуда угодно. Точечное выявление такого нелегитимного "сеанса связи" если и возможно, то уж совершенно точно - чудовищно трудозатратно. Надо понять где находится управляемое устройство, однозначно идентифицировать его, оперативно проснифферить его входящий/исходящий трафик, расшифровать его и понять модель управления. А счет в этой ситуации идет на минуты. Задача непосильная. Именно поэтому в случае подобной "срочной" угрозы проще зарубить в определенном сегменте сети вообще весь трафик, кроме заведомо легитимного, определенного заранее. Это как раз и является основным требованием "работы по белым спискам".
Следующий вопрос - "а есть ли вероятность того, что подобная схема будет применяться и к провайдерам стационарного интернета"? На мой взгляд есть, и весьма неиллюзорная. Попробую объяснить почему на достаточно "бытовом" примере.
Человек - крайне интересное существо. Оно очень быстро привыкает к хорошему и очень болезненно реагирует, когда его этого хорошего лишают. Многие не даже не задумываются, что обеспечение самых, казалось бы, основных нужд, таких как то же водоснабжение, электричество и отопление в наш век тесно завязано на цифровую инфраструктуру. В наш век тотальной цифровизации - тем более. Ни одну инфраструктуру нельзя заведомо считать абсолютно безопасной, просто потому, что ДОСТАТОЧНОСТЬ ее безопасности может быть подтверждена только в какой-то определенный момент времени. Да, вы правильно поняли - сегодня инфраструктура обладает достаточной безопасностью и стойкостью, а, условно, завтра это дырявое сито с кучкой уязвимостей. Просто потому, что эти уязвимости были найдены.
Появляются новые уязвимости, новые, доселе неизвестные, векторы атак, типы атак (кому интересно - почитайте про supply chain attack). Атаки теперь приводят не только к банальному уничтожению или краже информации, но и к вполне себе физическому ущербу. Ярчайший пример подобной атаки я вам рассказывал в подкасте про StuxNet, который физически уничтожил иранские центрифуги по обогащению урана и отбросил эту программу минимум на два года назад.
Да, безопасность индустриальных систем, несомненно, шагнула сильно вперед за последние годы. Но как бы ты ни шагал вперед в безопасности, ты никогда не можешь быть на 100% уверен, что твоя безопасность ДОСТАТОЧНА.
Так вот. Исходя из понимания того, что твоя критическая инфраструктура по умолчанию уязвима (не доказано 100% обратное), ты должен предпринимать меры по устранению возможных последствий. Совершенствование своих систем защиты - первое что нужно делать. Но всегда надо иметь план Б, при котором всё пойдет наихудшим образом, а именно в том случае, когда атаку не удержит ни один эшелон твоей защиты. И в случае с описанными выше КИИ (критическая информационная инфраструктура) этим механизмом будет физическое отключение каналов связи. Как минимум до выяснения вектора атаки и применения соответствующих мер. И механизм с "белыми списками", когда по щелчку будет отключено всё, кроме того, что разрешено заранее, как нельзя будет полезен. В конце концов, что бы Вы выбрали - остаться на какое-то время без зарубежного сегмента интернета (и части российского, конечно) или посидеть, скажем, несколько суток без отопления или воды? Наверное, ответ очевиден. Это лишь просто пример на бытовом уровне, понятном обывателю.
А КИИ это не только наш, "бытовой", комфорт. Это и производственные объекты, ВПК, медицина и всё остальное, что можно кратко охарактеризовать как "сфера, критичная для государственной безопасности".
Кто-то за "белыми списками" всегда будет видеть "тотальную слежку", "поиск неугодных", "кровавое кегебэ" и так далее. Это их право, я не смею и не буду им отказывать в нем. В нынешних условиях и при текущих вводных я свое мнение изложил выше и не прошу вас считать его истиной в последней инстанции.
#айтишное