ФСТЭК 2.0. Революция

Честно говоря, еще лет пять назад я даже представить не мог, что когда-нибудь буду писать про регуляторов. Мы были на разных, бесконечно далеких друг от друга полюсах, отделяющих «бумажную» и практическую безопасность. Но все течет и все изменяется.

Изначально я планировал назвать эту статью «Регуляторы», посвятив отдельный раздел ЦБ РФ и его практическим инициативам, которые увидели свет за последний год. В частности, речь идет о революционном для ЦБ практическом стандарте безопасности платежных приложений на всех этапах жизненного цикла, к которому нам довелось приложить руку, а также созданном 1 июня 2015 года в недрах ЦБ РФ FinCERT – центре реагирования на компьютерные инциденты. Однако, поразмыслив, я пришел к выводу, что эта тема достойна отдельной статьи. Плюс все-таки хотелось бы дождаться «применительной» практики и понять, как оба этих крайне важных и полезных в потенциале для банковской индустрии события повлияют на нее в дальнейшем. Поэтому из «Регуляторов» статья превратилась во «ФСТЭК 2.0. Революция». Почему только ФСТЭК и почему революция? Потому что второго, гораздо более закрытого регулятора, ФСБ, мы заведомо вынесем за рамки данной статьи. А самое главное, потому что за последние несколько лет именно ФСТЭК стала инициатором самой настоящей практической революции, коренным образом изменившей не только лицо службы, но и оказавшей серьезное влияние на информационную безопасность страны в целом.

С регуляторами вроде разобрались, но встала другая проблема – как бы случайно не сказать в этой статье чего-то лишнего, выходящего за рамки публично доступной информации. И я решил подойти предельно просто: буду ссылаться только на открытую информацию, полученную либо из публичных выступлений представителей ФСТЭК, либо из анализа открытых презентаций и общедоступных материалов ведомства.

ФСТЭК. Цели и задачи

Для начала небольшой ликбез, не претендующий на полноту: что же такое Федеральная служба технического и экспортного контроля России (бывшая Гостехкомиссия) и какие задачи возложены на нее государством? Все функции ФСТЭК можно подробно изучить на сайте, я же перечислю главное, на что стоит обратить внимание в нашем случае:

«ФСТЭК России является федеральным органом исполнительной власти, осуществляющим <…> специальные и контрольные функции в области государственной безопасности по вопросам:

• обеспечения безопасности (некриптографическими методами) информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства <…>, в том числе функционирующих в составе критически важных объектов РФ информационных системах и телекоммуникационных сетях…

• противодействия иностранным техническим разведкам на территории РФ…»

Если все то же самое сказать простыми словами, то ФСТЭК России является исключительно оборонительным органом исполнительной власти, который призван обеспечивать ИБ в масштабах страны (некриптографическими методами) и бороться с деятельностью иностранных технических разведок (в частности, АНБ). Криптографические методы защиты – вотчина ФСБ.

Для нас главный вывод: ФСТЭК России по определению предназначена только для решения оборонительных задач в масштабах страны.

ФСТЭК 1.0

В начале 90-х в рамках тогдашней Гостехкомиссии была разработана система сертификации продуктов по классам защищенности, действующая до сих пор и, с моей точки зрения, не претерпевшая принципиальных изменений. То есть, конечно, изменения за эти почти 25 лет были, но принципиально не влияли на сам процесс сертификации. Да, появилась сертификация по ISO 15408, да, появились требования для решений разных типов, но сам принцип – проверить, реализует ли продукт заданные для данного класса защищенности функции и не обладает ли при этом так называемыми недекларированными возможностями (НДВ) – не изменился. Да, для начала 90-х годов, возможно, этого и было достаточно, но через 20 лет система сертификации практически полностью перестала отвечать современным реалиям, нуждаясь в серьезных реформах. Почему?

Во-первых, потому что мир изменился, и сильно. Само понятие «недекларированная возможность», или так называемая закладка (backdoor), безнадежно устарело. Сегодня ни один серьезный вендор не будет так откровенно подставляться и оставлять классическую закладку. Хотя не стоит забывать про производителей домашних роутеров, где совершенно немудрено встретить забытого пользователя с административными правами и предустановленным паролем, или других вендоров, оставляющих дефолтовые ключи шифрования (недавние истории с SAP HANA и Cisco), но сделано это обычно по банальному разгильдяйству. Сегодня существует только такое понятие, как уязвимость; просто уязвимости бывают, как я их называю, первого и второго рода: случайно или специально оставленные. Так вот специально оставленная уязвимость и является закладкой.

Все в современном ИТ-мире давно привыкли к уязвимостям, и даже самые вопиющие из них, возможно, были оставлены случайно. По крайней мере подавляющее большинство специалистов, и уж тем более простых пользователей, так думают, что вполне устраивает и АНБ, и западных вендоров. Нас просто приучили к тому, что любой софт тотально дыряв и спрятать в целом лесе случайных уязвимостей несколько десятков специально оставленных не представляет для вендора особого труда, плюс это дает полную гарантию отсутствия для него каких-либо существенных проблем при их обнаружении. Аргумент всегда один: «Случайно ошиблись, с кем не бывает, исправим». На исправление уязвимостей у вендора обычно уходит от 6 месяцев до 1 года, а в случае архитектурных ошибок этот процесс может длиться и несколько лет – этим особенно «славится» корпорация Oracle, хорошо известная своими грандиозными уязвимостями в системе аутентификации, которые мы с завидной регулярностью обнаруживали последние пять лет, хотя в целом здесь все вендоры одинаково «хороши».

Во-вторых, изначально созданная система сертификации не была предназначена именно для поиска уязвимостей – там стояла совершенно иная задача, о чем уже было сказано ранее. Да, сертифицированные продукты содержат уязвимости, и надо отдавать себе в этом отчет. Это также подчеркивают в своих выступлениях и представители ФСТЭК. В частности, до сих пор далеко не все отечественные производители через почти год после обнаружения исправили уязвимость ShellShock в сертифицированных продуктах, хотя служба с этим и борется. Да, в свое время в некоторых случаях сертификация западных продуктов превращалась в простую формальность, когда требование изучить код было реализовано в виде простого ознакомления с ним на территории вендора. Да и будь он предоставлен для полноценного анализа, это вовсе не означало, что такой анализ полноценно бы выполнялся. Я уж не говорю о том, что анализ кода – лишь малая часть общего и крайне длительного процесса исследования программного обеспечения, куда входит статика и динамика (при наличии исходного кода), фаззинг и анализ логики (без исходного кода).

ФСТЭК 2.0

Около трех лет назад в рамках службы были инициированы процессы по разработке современных ГОСТов, связанных с анализом уязвимостей. К разработке этих документов были привлечены именно практики – и это огромная заслуга ФСТЭК, которая своей предельно открытой позицией сформировала сообщество практиков-профессионалов. От представителей службы на совещаниях стали звучать слова о том, что хватит заниматься только «бумажной» безопасностью, в оборот вернулись привычные нам термины: «пентест», «фаззинг», «статический и динамический анализ кода». Мы стали понимать друг друга и говорить на одном языке.

Кроме того, в недрах ФСТЭК стали зарождаться исследовательские процессы по анализу защищенности отечественных систем. Практико-ориентированный 31-й приказ вместе с последовавшими проверками инициировал повсеместный процесс аудита защищенности АСУ ТП на ключевых промышленных объектах, заставляя собственников обратить внимание на промышленную безопасность. Также внутри ФСТЭК пошла большая работа по формированию национальной базы уязвимостей программного обеспечения. В итоге с начала зимы 2015 года к ней может получить доступ любой желающий, перейдя по ссылкe http://bdu.fstec.ru/ Служба призывает исследователей (а от своих лицензиатов может и потребовать) отправлять информацию об обнаруженных в сертифицированных продуктах уязвимостях нулевого дня, планируя в дальнейшем официально благодарить за это.

Сегодня в базе данных ФСТЭК, кроме западного ПО с уязвимостями, взятыми из открытых источников и верифицированными техническими специалистами службы, можно увидеть уязвимости и отечественных систем, в частности «1С» и СУБД «Линтер». Причем эти уязвимости были занесены в базу всего через несколько месяцев после ее официального открытия. Возникает вопрос, а откуда они там в принципе появились? В открытых западных источниках их никогда не было – исследователям ранее было неинтересно заниматься поиском уязвимостей в продуктах отечественных вендоров – себе дороже выйдет. Поиск этот занимает многие месяцы и явно предполагает системность, так как на портале ФСТЭК опубликовано более 5 уязвимостей по каждому из этих двух продуктов и это точно не похоже на одну случайно найденную уязвимость. Кроме того, в разделе «Уязвимости в стадии рассмотрения» их не было – это означает, что они были получены службой задолго до выхода этого сайта. Добавим к этому отсутствие имени или компании исследователя, обнаружившего уязвимость. Возникает законный вопрос: откуда они тогда были получены? Выводы на основании приведенных фактов каждый может сделать самостоятельно, но, с моей точки зрения, очевидно, что во ФСТЭК достаточно давно пошел процесс анализа защищенности ключевых отечественных систем, и это не может не радовать.

Кроме того, в частности, руководители ФСТЭК в своих выступлениях подчеркивают направленность базы данных уязвимостей именно на российских вендоров и призывают в том числе всех частных российских исследователей ИБ активно участвовать в ее наполнении, отправляя информацию о всех найденных уязвимостях нулевого дня с целью повышения обороноспособности государства. Однако при этом также совершенно очевидно, что ФСТЭК не стала бы создавать такую базу ради публикации только уже известных уязвимостей, при этом отдавая работу по поиску новых полностью на самотек, перекладывая ее сугубо на плечи частных исследователей-одиночек.

Помимо этого, известным фактом является то, что внутри ФСТЭК ожидаемо пошел процесс постепенной модернизации системы сертификации с целью поиска в ее процессе уязвимостей в сертифицируемом ПО: испытательные лаборатории уже получили первые соответствующие вводные и в ближайшем будущем они будут руководствоваться новыми разработанными (а также и пока только разрабатываемыми) службой современными практическими стандартами по анализу защищенности ПО. Процесс модернизации здесь явно будет не быстрый, но при наличии воли дорогу, как известно, осилит идущий. А воля однозначно подчеркивается на всех заседаниях. Хотя, к сожалению, все эти изменения происходят пока еще недостаточно быстро – нет никаких сил уже смотреть на вендоров, особенно западных, которые прикрываются сертификатом ФСТЭК, как щитом, рассказывая с высоких трибун всем мантры о якобы особой «безопасности» и высоком уровне «доверия» государства к их сертифицированным решениям. Здесь скорейшим образом пора уже в корне менять сложившуюся ситуацию. Служба в начале 90-х сама дала вендорам этот мощный козырь, и пора его самой же и забрать.

Возвращаясь к необходимым изменениям системы сертификации ФСТЭК: в данном случае будет логично выглядеть обязать сертификационные лаборатории производить поиск простых базовых уязвимостей. Это вполне реально реализовать в ограниченном по времени процессе сертификации и учитывая квалификацию исполнителей. А для серьезных исследований безопасности отдавать ключевое ПО в специализированные исследовательские центры, которые постепенно стали у нас формироваться именно благодаря усилиям и принципиальной позиции ФСТЭК. Причем особо хочется отметить, что эта линия была взята службой до истории со Сноуденом и последующими санкциями, которые полностью изменили нашу картину мира. Тем самым благодаря такой дальновидной позиции служба оказалась готова к этим новым вызовам для государства – они не стали для нее неприятным сюрпризом. Это тот самый случай, когда до привычно всем клюнувшего петуха дело все-таки не дошло. Главное – сохранять заданный курс и постепенно ускорять темп.

Вместо заключения

Сегодня наш мир изменился. Изменилась и ФСТЭК: эра тотальной «бумажной» безопасности наконец уходит в историю, постепенно уступая место практике. И если еще всего несколько лет назад было практически невозможно представить, что такую глубоко техническую, хакерско-исследовательскую конференцию, как ZeroNights, может открывать один из руководителей ФСТЭК, то сегодня я это вполне могу представить. В конце концов, почему американские генералы, возглавляющие АНБ, последние годы регулярно открывают в США самые известные и популярные в мире хакерские конференции BlackHat и Defcon, выступая там в качестве ключевых докладчиков, а у нас такого не может быть? Тем более это было бы очень символично: в США конференцию открывает один из руководителей наступательной службы, а в России – оборонительной.

Самое главное, на что стоит обратить внимание в заключение, что практический вектор, который сегодня задает ФСТЭК, оказывает огромное положительное влияние на всю отрасль информационной безопасности России в целом. Являясь главным некриптографическим регулятором в РФ по ИБ, ФСТЭК всегда определяла политику и задавала вектор развития всей отрасли информационной безопасности на многие годы вперед, поэтому определенно не стоит недооценивать влияние всех практических инициатив службы не только на государственный, но и на коммерческий сектор. И это в стратегической перспективе должно благотворно сказаться на общем уровне обеспечения информационной безопасности в масштабе страны. Главное, надо понимать, что ФСТЭК сейчас находится только в самом начале пути: многое уже сделано, но еще больше предстоит сделать в ближайшем будущем – надо двигаться дальше, постепенно ускоряя темп. А экспертное сообщество исследователей и практиков по ИБ ни в коем случае не останется в стороне от этого процесса и обязательно поможет. Ведь дело у нас общее.

Журнал IT Manager

Опубликовано 03.07.2015

Безопасность

Предыдущая
Китай ужесточает нормы кибербезопасности

Следующая
Внутренняя угроза

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30