Клюнет ли нас петух информационной безопасности?

Когда я садился писать статью, то находился в приподнятом настроении — ведь отрасль информационной безопасности ждал подъем, связанный с ростом интереса к различным технологиям, направленным как на отражение динамического ландшафта угроз, так и на снижение рисков, связанных с запуском новых технологий в бизнесе. Чистый лист, лежащий передо мной, должен был пестреть различными тенденциями, которые нас ждут в год Огненного Петуха. Я думал писать про интенсивный рост программ-шифровальщиков и применение «Интернета вещей» для реализации распределенных атак «отказ в обслуживании», про применение DNS для скрытия вредоносной активности и признаки Интернета прошлого, про китайские закладки и Criminal-as-a-Service, про обход «песочниц» и активное использование шифрования злоумышленниками.

А потом я бы взялся за раздел об ИТ-тенденциях, заставляющих нас по-новому смотреть на привычные технологии. Я бы обязательно упомянул, как через соцсети формируется негативный фон о компаниях, а анализ Big Data нарушает законодательство о персональных данных; как квантовые вычисления привносят новые возможности для обеспечения конфиденциальности, а искусственный интеллект позволяет увидеть невидимое; как мобильность размывает периметр, а облака заставляют задуматься о безопасности на не принадлежащей нам платформе; как всеобъемлющая Сеть объединяет в едином интернет-порыве автомобили, холодильники, денежные мешки, банкоматы, секс-роботов и чайники, а отсутствие контроля за связностью Интернета открывает возможности для незаметного перехвата данных.

Наконец, я бы погрузился в любимую тему и показал бы, как динамическая микросегментация постепенно вытесняет статическое зонирование во внутренних сетях, а средства защиты учатся инспектировать зашифрованный трафик без его раскрытия; как средства обеспечения ИБ переходят в облака, а внутреннее сетевое оборудование (коммутаторы и маршрутизаторы) превращаются в распределенную систему обнаружения аномалий; как системы защиты смещают акцент с предотвращения атак на обнаружение и реагирование на них, а также активно интегрируются с «песочницами» и решениями Threat Intelligence; как биометрическая и динамическая аутентификация заменяет собой анахронизм в виде паролей, а технология с трудно произносимым на русском языке названием UEBA активно подменяет собой SIEM’ы, переставшие быть мейнстримом; как безопасники задумываются о Cloud Access Security Broker и аутсорсинге, а также сливаются с разработчиками в едином порыве создавать защищенные приложения. Закончить статью мне хотелось упоминанием балканизации Интернета и мирового рынка ИБ и пробежаться по набирающей популярность теме страхования киберрисков.

Но стоило мне приступить к написанию статьи, как родное государство выплюнуло из своего секретного принтера целый сонм нормативных актов, которые и будут занимать умы многих специалистов по безопасности в следующем году и не дадут расслабиться айтишникам. А те, в свою очередь, должны будут реализовать в своей инфраструктуре новые требования, направленные, как и всегда, на усиление национальной безопасности перед лицом окружающих нас и сжимающих кольцо врагов.

И я не стану говорить о Доктрине информационной безопасности, которая спустя 16 лет обрела новую жизнь. И про проект Стратегии развития информационного общества до 2030 года я писать тоже не буду (а они оба вышли с разницей в неделю). Эти документы совершенно не влияют на реальную деятельность большинства отечественных организаций. Если честно, то они вообще мало на кого влияют, так как за ними не стоят планы по их реализации, которые бы описывали конкретные шаги по воплощению в жизнь этих стратегических документов. Однако за первые десять дней декабря различные регуляторы порадовали нас иными нормативными актами, имеющими далеко идущие последствия.

Новый толчок критическим инфраструктурам

В условиях растущих угроз кибертерроризма и кибервойн, чьими жертвами могут стать критические инфраструктуры, обеспечение их безопасности становится приоритетной задачей для государства. К ней у нас подступались уже неоднократно (первый законопроект был выпущен еще в 2006 году), но только сейчас, после изменения геополитической обстановки, ситуация сдвинулась с мертвой точки. В Госдуму в декабре был внесен законопроект о безопасности критической информационной инфраструктуры (КИИ), который появился на свет в 2013 году по инициативе Федеральной службы безопасности. Этот закон после его принятия будет распространяться на госорганы, здравоохранение, финансовые организации, а также на все критические отрасли — ТЭК, транспорт, оборонная, ракетно-космическая и атомная промышленность, горнодобывающая, металлургическая и химическая промышленности, а также отрасль связи.

Согласно предварительной информации за данную сферу регулирования будут отвечать два, уже традиционных регулятора — ФСТЭК и ФСБ. Первая служба должна вырабатывать требования по информационной безопасности, а вторая — бороться с атаками и инцидентами в критических инфраструктурах. Законопроект готовит всем нам несколько сюрпризов. Первый касается попадания под новые обременения финансовых организаций, которым и так непросто живется под гнетом уже существующих требований от Банка России. Но гораздо опаснее второй сюрприз, согласно которому все сведения о мерах защиты критических инфраструктурах будут отнесены к... государственной тайне.

Когда производитель средств защиты продает средство защиты субъекту КИИ, он вне зависимости от своих желаний становится обладателем информации о мерах по обеспечению ИБ. Когда интегратор внедряет систему защиты у субъекта КИИ, он также становится обладателем этой бесценной информации. Да и сам владелец КИИ является носителем тех же сведений, которые авторы законопроекта решили отнести к гостайне. И что у нас получается? Любой, кто захочет работать с субъектам КИИ, будет обязан получать (если еще не получил) лицензию на гостайну. Да и сам субъект КИИ должен будет ее получить. Многие ли захотят? Уж не знаю. Либо это недосмотр, либо сознательное сокращение числа игроков на этом рынке.

Рунет возьмут на карандаш

Согласно еще одному законопроекту, национальный сегмент Интернета (Рунет) также будет относится к критической инфраструктуре, которая попадает под регулирование как ФСТЭК и ФСБ, так и Минкомсвязи. Согласно подготовленному нормативному акту новые обременения ждут не только операторов связи, но и любые организации, обладающие статическими IP-адресами или автономными системами, которые должны быть в установленном порядке зарегистрированы (а ведь в регистрации могут и отказать).

Но гораздо больше меня занимает вопрос, что будет с иностранными соцсетями и поисковыми системами, все чаще вступающими в конфликт с российскими властями? То LinkedIn запретят на территории Российской Федерации и после встречи с регулятором деловая соцсеть заявляет, что теперь раздумывает, стоит ли ей вообще оставаться в России. То компании Google пригрозят уголовным преследованием (помимо антимонопольных разбирательств), а Роскомнадзор вскользь намекнет, что и Facebook стоит готовиться к выполнению требований о локализации хранения персональных данных россиян. И если весь 2016 год Роскомнадзор не предпринимал никаких действий по контролю соблюдения 242-го федерального закона, то сейчас он вновь обратил внимание на иностранные компании, при этом сменив многие из своих ранее озвученных позиций относительно того, что можно, а что нельзя применительно к различным видам обработки персональных данных. Такая непостоянность очень сильно мешает вести бизнес и создает существенные риски для тех иностранных компаний, что решили инвестировать в Россию и создавать тут рабочие места.

«Закон Яровой» для банков

В начале 2016 года многие специалисты активно обсуждали так называемый «закон Яровой», вводивший серьезные обременения для распространителей информации, вынужденных хранить огромные объемы данных, которые могут понадобиться спецслужбам, борющимся с мировым злом в отдельно взятой стране. Истерия, связанная с этим законом поутихла, поскольку сейчас готовятся определенные поправки и разъяснения, объясняющие применение таких норм. А пока суть да дело, Банк России выпустил свое новое Положение 552-П, которое устанавливает требования к защите информации в платежной системе Банка России и которое должны соблюдать все кредитные организации, подключающиеся к этой системе (то есть все банки).

Помимо 37 видов нормативной документации, которая должна быть разработана во исполнение этого нормативного акта, Банк России требует от банков хранить шесть видов информации в течение от трех до пяти лет. Но самое интересное, что такой срок распространяется и на данные системы видеонаблюдения, которая должна непрерывно контролировать помещение, где расположен АРМ обмена электронными сообщениями с платежной системой Банка России (так называемый АРМ КБР). Три года для системы видеонаблюдения. Конечно, все будет зависеть от качества, формата, кодека видео и наличия звука, но если допустить, что банк не поскупился и пишет видео формата FullHD (хотя зачем?), то один час такой записи будет «весить» около 10 Гбайт. Дальше мы применяем к этому значению знания школьной арифметики, и оказывается, что три года хранения данных видеонаблюдения составит… 262 Тбайт. Много это или мало, решать банкам самостоятельно.

От государевых информационных систем к государевой информации

В декабре был внесен в Госдуму еще один законопроект, который расширяет сферу действия пресловутого трехглавого закона «Об информации, информационных технологиях и защите информации» (ФЗ-149). Если раньше требования ФСТЭК и ФСБ по защите информации были обязательными для государственных информационных систем, то согласно новым поправкам эти требования (например, 17-й приказ ФСТЭК, он также претерпит изменения в год Огненного Петуха) будут распространяться и на те компании, что обрабатывают информацию, обладателем которой является какой-либо государственный орган. И такие организации будут в обязательном порядке информировать ФСТЭК и ФСБ обо всех инцидентах ИБ, произошедших в их ИТ-пенатах. Это приведет к росту и надзорной нагрузки, и затрат на выполнение новых требований, а к этому готовы далеко не все организации.

Сквозь «Окна» видится «Заря»

Целенаправленно не касаясь вопросов импортозамещения, хочу обратить внимание только на то, что ФСТЭК в 2017 году планирует принять новые требования по защите информации, которым должны будут соответствовать операционные системы и системы управления базами данных, применяющиеся в государственных информационных системах и организациях, попавших под действие ранее упомянутых поправок в ФЗ-149. И в условиях не раз озвучиваемого курса на замену импортных ИТ-продуктов отечественными «аналогами» у меня возникает вопрос: выживут ли операционные системы семейства Windows или СУБД Oracle и MS SQL Server в новых условиях? Посмотрим... А пока следует обртить внимание на изделия отечественного ИТ-прома, которые гордо носят название «Заря», «Феникс», «МСВС», «Астра-Линукс» и т. п. и без труда выполнят новые требования регулятора.

В качестве эпитафии

Не получилось у меня позитивно расписать тенденции года, приходящего на смену году Огненной Обезьяны. Российские власти в соответствии с распоряжением Президента ужесточают требования по информационной безопасности по всем фронтам — госорганы, банки, критические инфраструктуры, операторы связи, Интернет... Не осталось никого, кого бы ни касались новые требования, выпущенные в декабре 2016-го и требования, ожидаемые в начале 2017-го. С одной стороны, это хорошо. Специалисты по безопасности не останутся без работы. С другой… Бизнес вынужден будет взвалить на свои и так не пустые плечи новые обременения и стараться на фоне зачастую конфликтующих между собой и противоречащих друг другу нормативных актов как-то еще успевать думать о своей основной задаче — получении прибыли или оказании государственных и муниципальных услуг. Но ничего, он выдержит, как на протяжении последних лет выдерживал натиск со стороны властей, уже и не знающих, где бы еще закрутить гайки.