Дневник наблюдателя 2013

Автор: Андрей Прозоров, ведущий эксперт по информационной безопасности компании InfoWatch , редактор блога «Жизнь 80 на 20.

Приветствую Вас, люди будущего! Когда я пишу эту статью, на дворе уже начало ноября 2013 года. У вас, же, читающих эту сводку в грядущем, уже декабрь 2013 или даже начало 2014 года. Итак, 2013 год заканчивается, пора подводить итоги года и строить прогнозы на следующий.

В этом году произошло много событий, влияющих на дальнейшее развитие ИТ и информационной безопасности, попробуем вспомнить главные новости. Я попробовал сгруппировать их по основным тематикам:

  • Хактивизм.
  • Кибершпионаж
  • Регулирование сети Интернет в РФ
  • Защита критических объектов в РФ
  • Регулирование ПДн в РФ
  • Стандарты и лучшие практики
  • Инциденты ИБ и реагирование на них

1.Хактивизм

Прошедший год был ознаменован спадом активности «антиправительственных» хакеров. Если в конце 2012 − начале 2013 года еще наблюдались крупные инциденты (взлом хакерской группой Anonymous более 100 тысяч израильских сайтов (операция «Израиль») в апреле 2013 и взломы веб-сайтов КНДР (операция «Свободная Корея») в апреле-июне 2013 года), то уже к концу 2013 года мы перестали получать сообщения о сложных, масштабных атаках. Вероятно, это связано с проведением спецслужбами разных стран оперативных мероприятий и серией арестов ключевых «хактивистов». Напомню, что еще в августе 2013 года ФБР заявило о разгроме хакерского движения Anonymous.

2.Кибершпионаж

А вот тема с кибершпионажем наоборот приобрела популярность и стала все чаще и чаще мелькать в новостных лентах.

При этом некоторые производители программного обеспечения (например, Microsoft и Lotus) предоставляли АНБ информацию об уязвимостях их программных продуктов и/или встраивали специальные механизмы для обхода мер защиты.

В октябре 2013 к этому добавилась информация о том, что спецслужбы США на протяжении длительного времени прослушивали телефонные разговоры мировых лидеров (в том числе и Ангелы Меркель).

Похожие претензии предъявляются и к России. Были обнаружены аппаратные закладки во флеш-накопителях, зарядных устройствах для телефонов и других электронных сувенирах, которые дарили дипломатическим работникам и бизнесменам на сентябрьском саммите G20 в Санкт-Петербурге.

3.Регулирование сети Интернет в РФ

Как Вы помните, в 2012 году появилось несколько новых нормативных актов, регламентирующих мониторинг и, при необходимости, блокирование Интернет-сайтов и/или удаление определенных категорий информации в сети Интернет:

  • Федеральный закон от 29.12.2010 №435-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию», который нередко называют «законом о черном списке сайтов», вступил в силу с 1 сентября 2012 года.
  • Постановление Правительства РФ от 26.10.2012 N 1101 "О единой автоматизированной информационной системе "Единый реестр доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено", вступило в силу с 1 ноября 2012 года.

В 2013 мы наблюдали за практикой их выполнения, часто встречая в новостях сообщения о блокировке и/или требования удалить тот или иной контент с Интернет-сайтов.

Помимо защиты детей в 2013 году активно принимались меры по защите правообладателей информации, а именно с 1 августа 2013 года вступил в силу Федеральный закон от 02.07.2013 N 187-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях".

Ну, а в конце 2013 в очередной раз был размещен для обсуждения проект приказа Минкомсвязи России «Об утверждении Правил применения оборудования систем коммутации, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-розыскных мероприятий. Часть III. Правила применения оборудования коммутации и маршрутизации пакетов информации сетей передачи данных, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-розыскных мероприятий». Документ определяет возможность записи и краткосрочного хранения трафика определенных субъектов и возможность автоматизированного поиска и анализа этой информации.

4.Защита критических объектов в РФ

Защита критической информационной инфраструктуры в России не является новой темой. У нас уже есть ряд документов ФСТЭК России, определяющих модель угроз и требования к обеспечению информационной безопасности. Но, очевидно, что их недостаточно. Так, в августе 2013 года была предпринята очередная попытка определить основные концепции защиты и четко разделить зоны ответственности регуляторов (ФСБ России и ФСТЭК России). Так, мы увидели и приняли участие в обсуждении проекта федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». Замечаний к нему было очень много (спорные термины, сложность аккредитации, неконкретность требований к оценке защищенности и наличию государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак), документ так и остался проектом.

5.Регулирование ПДн в РФ

В 2013 году мы видели логичное продолжение развития подходов регуляторов к защите персональных данных. Напомню, что в конце 2012 года вышло Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», которое помимо введения новых требований отменило Постановление Правительства РФ N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Ну, а в самом 2013 году, помимо нескольких правок федерального закона №152-ФЗ «О персональных данных», мы получили еще и следующие документы:

  • Приказ ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (кстати, Приказ ФСТЭК России № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» утратил силу), а также Приказ ФСТЭК России от 11 февраля 2013 года № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"

     

  • Приказ Роскомнадзора от 15 марта 2013 года № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных»

     

  • Приказ Роскомнадзора от 05 сентября 2013 года № 996 "Об утверждении требований и методов по обезличиванию персональных данных"

     

  • Информационное сообщение ФСТЭК России от 15 июля 2013 года № 240/22/2637 «По вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах в связи с изданием приказа ФСТЭК России от 11 февраля 2013 г. № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

     

  • Разъяснения Роскомнадзора:
    • «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» (от 30 августа 2013 года)
    • «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» (от 14 декабря 2012 года)
  • Проект методического документа ФСТЭК России «Меры защиты информации в государственных информационных системах», который на данный момент проходит рецензирование у экспертов. Итоговый вариант документа, как я полагаю, будет доступен в начале 2014 года.
  • Проект приказа ФСБ России «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите ПДн для каждого из уровней защищенности»

Что интересно, при разработке многих из этих документов регуляторы привлекали экспертов отрасли ИТ и информационной безопасности. Это было довольно неожиданно, и, на мой взгляд, правильно.

А вот ожидаемого еще с 2012 года повышения штрафов для операторов ПДн так и не произошло…

Следует обратить внимание, что Россия ратифицировала Конвенцию о защите физических лиц при автоматизированной обработке персональных данных, она вступила в силу с 1 сентября 2013. А также в октябре 2013 года прошли парламентские слушания «Законодательное обеспечение прав субъектов персональных данных при их автоматизированной обработке». На них обсуждался вопрос об изменении федерального закона № 152-ФЗ «О персональных данных». С учетом этих двух событий вероятность изменения закона в 2014 году будет крайне высока.

6.Стандарты и лучшие практики

В области стандартов и «лучших практик» по информационной безопасности в этом году произошло 3 важных события. Причем все в конце года.

Во-первых, в сентябре обновились, пожалуй, самые известные стандарты по информационной безопасности, а именно, ISO 27001 и ISO 27002 до версии 2013 года. В документах появилось много новых концепций и идей, полностью пересмотрены механизмы контроля (их стало 114, было 133) и их группировка.

Во-вторых, также в сентябре 2013 года стал доступен на русском языке основной документ (Framework) серии COBIT5. Перевод подготовили московское отделение ISACA с привлечением экспертов отрасли. Напомню, что методология COBIT5 появилась в начале 2012 года и, на мой взгляд, является очень современной и удобной, а модели процессов и комплексная модель вообще заметно опережают, например, идеи ISO 27001. На начало ноября 2013 по COBIT5 нам доступно уже очень много книг, самыми полезными для специалистов по информационной безопасности, я считаю, следующие: «COBIT5» (Framework), «COBIT 5 for Information Security», «COBIT5 for Risk».

В-третьих, в ноябре вышла новая (третья) редакция стандарта PCI DSS (стандарт по защите платежных карт).

7.Инциденты ИБ и реагирование

2013 годов был отмечен множеством громких инцидентов информационной безопасности. Приведу несколько примеров.

В июле 2013 года из российского подразделения швейцарской страховой компании «Цюрих» были похищены персональные данные более 1 млн. клиентов, заключившие договора за последние 1.5 года.

Летом 2013 года в аэропортах и крупных торговых центрах Москвы были обнаружены фальшивые банкоматы, якобы принадлежащие «Внешинвестбанку» и собиравшие информацию с пластиковых карт пользователей. Банкоматы проработали более 2-х месяцев.

В сентябре 2013 года была обнаружена крупнейшая в мире бот-сеть зараженных мобильных устройств на ОС Android. Стало известно о более чем 200 000 смартфонах, которые были заражены вредоносным ПО. Основным источником заражения стали взломанные или принадлежащие злоумышленникам Интернет-ресурсы.

Довольно много новостей было посвящено взломам аккаунтов в социальных сетях. Например, взлом твиттер-аккаунтов Associated Press (размещение новости о ранении Обамы), Международного мультимедийного пресс-центра РИА (публикация новости о смерти Михаила Горбачева), газеты Guardian (размещения сообщений в поддержку Сирии), а также взлом страницы Марка Цукерберга в Фейсбуке и другие…

Также можно отметить рост количества новостей не только про инциденты, но и про их расследование и пресечение деятельности преступных групп. Например, в начале лета 2013 была пресечена деятельность преступной группы (было задержано 11 жителей США, Великобритании и Вьетнама), организовавшей крупный сетевой сервис "mattfeuter" по купле-продаже информации о банковских картах. В результате было скомпрометировано более 1,1 миллиона кредитных карт. Злоумышленники похитили около 200 миллионов долларов.

Помимо этого, в США начали судить группу российских хакеров, которые в течение 7 лет воровали и продавали информацию о более чем 160 миллионах кредитных карт. Общая сумма ущерба оценивается в сотни миллионов долларов. В числе компаний, пострадавших от действий мошенников, оказались, в частности, американская электронная биржа NASDAQ, японско-американская торговая сеть 7-Eleven, Inc., французская сеть супермаркетов Carrefour и другие крупные предприятия.

Особо выделяется новость о поимке владельца «Silk Road» (онлайн магазин в сети Tor, позволяющий анонимно покупать и продавать за bitcoin различные запрещенные товары и услуги). Она интересна именно тем, что, несмотря на меры по обеспечению анонимности, удалось выявить и задержать злоумышленника.

Что дальше?

Перейдем к прогнозам на следующий 2014 год. На мой взгляд, все очевидно:

  • Продолжится рост количества инцидентов информационной безопасности (в том числе и компьютерных преступлений). При этом вектор атак будет смещаться в сторону самых незащищенных объектов: мобильных устройств, социальных сетей, технологических ИС, веб-приложений и пр.

    Несмотря на развитие подходов и методологий комплексной информационной безопасности, появление новых средств защиты (в том числе и сертифицированных J), ужесточение законодательства в области компьютерных преступлений, как мы видим, инцидентов не становится меньше. Дальше будет только хуже…

  • Усугубится проблема кибершпионажа. В противовес ей будет усиливаться идея физического разделения различных сегментов сети Интернет.

    Многие пользователи уже смирились с наличием возможности у иностранных спецслужб контролировать Интернет-трафик, но это не устраивает российские власти. Мы уже слышали о желании перенести все сервера, на которых расположены сервисы государственных органов РФ на территорию нашей страны. Похоже, что эта инициатива все же будет реализована.

  • Произойдет усиление контроля за информацией, передаваемой по сети Интернет, и, в частности, за социальными сетями в России и мире.

    Интернет уже давно нельзя назвать открытым пространством, в котором можно общаться и обмениваться информацией без контроля. Влияние Сети на жизнь людей будет только усиливаться, а значит, желание власти контролировать (а если не получится, то иметь возможность запрета) также будет расти. Полагаю, что в 2014 мы получим и новые требования и новые прецеденты контроля и закрытия Интернет-площадок. Похоже, что и «давление» со стороны российских властей на такие глобальные корпорации, как Google, Facebook, Twitter и другие, будет также увеличиваться. А, может, вообще запретят использование зарубежных социальных сетей в России?!

  • Требования по обработке и защите персональных данных в России будут пересмотрены.

    Существующая нормативно-правовая база не совершенна (требований очень много, не все просты даже для понимания, их выполнение не всегда целесообразно, но всегда очень затратно для операторов), редкие операторы персональных данных выполняют все требования, многие выбрали «выжидательную позицию» и не делают ничего. Возможно это и правильно, так как требования к обработке и защите еще не устоялись, регуляторы до конца не выработали свой подход к проверкам, а штрафы минимальны.

    В 2014 году мы ожидаем внесение существенных изменений в федеральный закон №152-ФЗ «О персональных данных» (возможно из-за этого будет отменено Постановление Правительства РФ №1119 и пересмотрен Приказ ФСТЭК №21), появление разъяснений ФСТЭК России по выполнению положений Приказов №21 и №17, выход приказа ФСБ России про защиту персональных данных с использование криптографических средств, появление отраслевых моделей угроз и требований по защите персональных данных (вероятно, как обычно, ЦБ РФ первым выпустит свои документы).

  • Кредитные организации начнут уделять больше внимания соответствию требованиям по безопасности платежных систем (382-П и PCI DSS), СТО БР ИББС также будет развиваться, но интерес к нему будет понижен.

    Засим я заканчиваю свои наблюдения. Впереди у нас еще много новых вызовов и нерешенных задач информационной безопасности. А российские регуляторы, хакеры и злонамеренные инсайдеры точно не оставят нас, безопасников, без работы…»


Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.