Пост Лукацкого

01 февраля 2023 14:57

У нас в регионе прошли проверки организаций по выполнению лицензионных требований по СКЗИ. И есть несколько очень грустных новостей:

1. VPN между офисами рассматривают как лицензируемый вид деятельности и в рамках проверки по нему тоже требуется предоставить информацию. Логику этого подхода я так и не понял. Оспорить тоже похоже ни у кого не получилось. По крайней мере мне такие случаи не известны.

2. Просто работа с криптографией для выполнения требований к стажу работников не засчитывается. Должен быть стаж именно в организации, имевшей лицензию СКЗИ, в которой были указаны такие же виды деятельности как в вашей лицензии.

3. Работа с криптографией, которая соответствует таким же видами деятельности как в лицензии, но для собственных нужд тоже не засчитывается. То есть если человек на прошлой работе генерил ключи на корпоративном УЦ для внутреннего ЭДО, то стажа для лицензии СКЗИ (вид деятельности 28) у него нет. Чтобы иметь стаж, он должен был генерить ключи клиентам в рамках лицензии.

4. Стаж должен быть подтверждён документально. И исходя из п.2 и п.3 будет недостаточно сказать, что у бывшего работодателя нынешнего работника была лицензия на СКЗИ. Надо предоставить внутренние документы с прошлого места работы из которых прямо следует, что он занимался именно таким видом деятельности в области предоставления лицензируемых услуг СКЗИ.

Пост Лукацкого

01 февраля 2023 11:23

Сегодня полгода как я в Позитиве 🟥 Лыжи едут, борода седеет, горло берегу, шляпа оберегает умище. Работать не мешают, от оголтелых наездов защищают, инициативы поддерживают, кофе наливают, старпёром уже/еще не считают; тапочки в офисе теплые и не белые. Впереди много всего интересного и, надеюсь, полезного. В целом, все прекрасно и позитивно.

Пост Лукацкого

01 февраля 2023 05:40

Попала мне в руки настольная игра Zone of Threats, сделанная в 🟥. Офигенное пополнение моей коллекции и новая заметка в блоге, ей посвященная

Пост Лукацкого

31 января 2023 14:40

Раздобыл по случаю для своей библиотеки фолиант начала 2000-х годов из целой серии таких же толстых фолиантов под 1000 страниц, посвященных российскому оружию. Один том посвящен был кибербезу; тому, как он понимался в самом начале 21-века. Собственно, идею поиска этой книги подсказал мне музей криптографии, где она была представлена за стеклом. А я люблю пополнять библиотеку разными раритетами. И кажется мне, что очень многое из описанного в книге (а она, по сути, представляет собой выставку достижений ИБ-сферы своего времени) могло бы стать достоянием музея криптографии, а точнее той его части, которая сейчас упущена полностью - начиная как раз с 2000-х годов.

ЗЫ. Себя в книге не нашел, но нарисованные мной схемы построения защищенных сетей увидел :-)

Пост Лукацкого

31 января 2023 08:40

30 ноября компания GoTo, предоставляющая решения для удаленного доступа была взломана, о чем ее генеральный директор сообщил своим клиентам. Спустя 2 месяца, проведя расследование, компания рассказала, что злоумышленники похитили зашифрованные бэкапы для основных продуктов компании, ключи шифрования для них, учетные записи, хэшированные пароли, настройки MFA, настройки продуктов, а также данные по лицензиям. Конечно, это так совпало, что сообщение от CEO GoTo было опубликовано в преддверии эфира AM Live, посвященного удаленному доступу, который пройдет 1-го февраля в 11 утра по московскому времени. Но почему бы не воспользоваться этим событием?..

Если уж компании, специализирующиеся на удаленном доступе страдают от хакеров, то что делать обычным предприятиям? Каков должен быть джентльменский набор для защиты от чувства "жим-жим" при выставлении своего ноутбука в Интернет? Как проверить, что сотрудник работает удаленно из России, а не из штаб-квартиры АНБ в Форт Миде? Можно ли построить полный стек решений по защите удаленного доступа целиком на отечественных решениях? Что лучше - использовать VPN-клиента для удаленного подключения или развивать концепцию Zero Trust и полное отсутствие VPN? Как контролировать удаленное подключение к облачным ресурсам, минующее корпоративный или ведомственный периметр?

Регистрируйтесь на эфир, если хотите узнать ответы на эти вопросы. Кто соскучился по мне в качестве модератора AM Live (а я там не был уже больше полугода), тоже подключайтесь ☕️

Пост Лукацкого

30 января 2023 20:31

Интересно, есть книжки 📕 по offensive security, которые ни разу не сослались на Сунь Цзы?

Пост Лукацкого

30 января 2023 15:30

Есть те, кто утечку данных называет "утечкой данных". А есть продвинутые, называющие утечку данных с последующей ее публикацией в Интернете "децентрализованным краудсорсинговым бэкапом"!

А самое главное, не придерешься. И не накажешь оборотным штрафом. Госухе надо брать на вооружение.

Пост Лукацкого

30 января 2023 08:59

Многие просили презентацию с видео-обзора законодательства по ИБ. Прикладываю

Пост Лукацкого

29 января 2023 18:43

Депутаты хотят запретить майнинг криптовалют без разрешения, опасаясь пожаров? Как-то слабенько они выступили. Я бы разрешил это делать всем без исключения, но включил бы требование наличия сертификата ФСБ на СКЗИ для майнингового ПО, лицензии того же регулятора на деятельность в области шифрования и наличие экспортной лицензии на вывоз результатов майнинга. Тогда государство повернется к гражданам лицом 🤦‍♂️, а депутатам запрещать ничего не придется.

Пост Лукацкого

29 января 2023 10:56

Любая модель (10 законов, 7 привычек, 5 признаков…), конечно, немного 🤏 упрощает реальный мир, но в данном случае, говорить о непреложных законах немного странновато в ряде пунктов.

«Не доверяй сети» звучит странновато. Если мы про Zero Trust, которую MS тоже двигает, там там не доверять надо всему. А если мы применительно к MS, то я бы и их тоже включил в эту формулу.

«ИБ - это командный спорт, аутсорсь людей» звучит из уст компании, которая сократила 10 тысяч сотрудников и инвестировала 10 миллиардов в искусственный интеллект, странновато.

Наконец, первый закон. «Определи успех. Сделай действия атакующего слишком затратными» звучит тоже немного странно. Во-первых, есть атакующие, которые не считаются с ресурсами или их ресурсы на порядки больше тех, кого они атакуют. А во-вторых, как мой успех коррелирует с ROI хакеров? Там вообще не прямая зависимость.

ЗЫ. Все, иностранного ИТ-монстра покритиковал. Можно дальше жить

Пост Лукацкого

28 января 2023 20:01

Вы замечали, что в ИБ полно пессимистов? Жизнь такая - все время вокруг угрозы, недопустимые события, риски… Регуляторы и законодатели все что-то запрещают… Нам не хватает позитива и оптимистов в отрасли. А я один не справляюсь 😂

Пост Лукацкого

28 января 2023 11:52

Ну и раз сегодня день защиты персональных данных, позволю себе небольшую рекламу мероприятия, в котором я уже принимаю участие в 4-й раз. Речь идет о повышении квалификации по программе "Комплаенс в области персональных данных" (не спрашивайте, почему слово "комплаенс" пишется по-русски; у меня такой же вопрос и к слову "файрвол"), которая читается в институте комплаенса и этики бизнеса Высшей школе экономики. Курс оказался столь удачным, что организовывается уже в 4-й раз. Я принимаю участие в нем только в части технической защиты ПДн и рассматриваю как отечественные, так и международные нормы по ИБ ПДн. Минутка рекламы закончилась...

Пост Лукацкого

28 января 2023 07:40

С международным днем защиты персональных данных!

Пост Лукацкого

27 января 2023 12:22

Что вас спросит американский судья, если вас взломают и вы станете частью разбирательства:
1️⃣ Была ли угроза предсказуема?
2️⃣ Вы учитывали вред, который мог быть причинен?
3️⃣ Получили ли жертвы инцидента какие-либо преимущества от использования вами их данных?
4️⃣ Какую выгоду вы получили от использования данных жертв инцидента?
5️⃣ Какие альтернативные меры защиты могли бы снизить риски?
6️⃣ Привели бы эти альтернативные защитные меры к чрезмерным обременениям для вас?
7️⃣ Насколько хорошо эти альтернативные меры защиты снижают риски?
8️⃣ Создают ли предлагаемые защитные меры новые, остаточные риски?

Мы, конечно, не в американском суде, но вопросы интересные. Заставляют задуматься о том, что мы делаем, будем делать и могли бы сделать, когда инцидент происходит. И самое главное - как будем доказывать, что "я не виновата, он сам пришел"?..

Пост Лукацкого

27 января 2023 05:40

Судя по фразам, которыми люди "отключают" Алису, они не стесняются при общении с искусственным интеллектом. Я тоже не стеснялся казаться глупым и необразованным, когда потратил позавчера пару часов на общение с ChatGPT и получение от него вариантов расчета NPV, ROI, IRR, PbP, CBA, BCR, LEF, LEM, RAROI, CPI, Sunk Cost для проекта внедрения NGFW. И я задумался о том, что скоро ИИ заменит на фиг все ИБшные специальности, связанные с общением с человеком, - преподы, тренеры, аналитики, консультанты, специалисты поддержки и т.п. Порефлексировал, немного...

Пост Лукацкого

01 февраля 2023 14:57

Интересным поделились коллеги в одном из чатиков про результаты проверок ФСБ в части выполнения требований по шифрованию. Если это локальная история только одного региона - это одно. Но если это общая тенденция, то хреново, конечно.

Пост Лукацкого

01 февраля 2023 08:02

🧑‍💻 В последние годы многие компании перевели сотрудников на удаленную работу. Перед организациями встала сложная задача: сохранить непрерывность бизнеса и не открыть двери злоумышленникам к защищаемым системам.

🎙 1 февраля в 11:00 эксперты по кибербезопасности на эфире AM Live обсудят лучшие практики по защите удаленных рабочих мест, стандарты и требования законодательства по защите удаленного доступа, а также к каким системам нельзя открывать доступ извне ни при каких условиях.

Модератором эфира выступит Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

🔗 Зарегистрироваться на онлайн-эфир можно на сайте AM Live.

#PositiveЭксперты

Пост Лукацкого

31 января 2023 17:40

Раньше я регулярно изучал отечественные диссертации по кибербезу. Все хорошо у нас с ИБ, когда видишь, что защищают люди:
🤔 "Разработка структурно-параметрических моделей систем защиты информации объектов информатизации органов внутренних дел",
🤔 "Оценка относительного ущерба безопасности информационной системы предприятия на основе модифицированного метода сложения функций принадлежности",
🤔 "МЕТОДОЛОГИЯ ОБНАРУЖЕНИЯ УГРОЗ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОТКРЫТЫХ КОМПЬЮТЕРНЫХ СЕТЯХ НА ОСНОВЕ ФУНКЦИОНАЛЬНОЙ МОДЕЛИ ЕСТЕСТВЕННОГО ЯЗЫКА",
🤔 "Оценка эффективности инвестирования в информационную безопасность предприятия на основе нечетких множеств",
🤔 "Политическое обеспечение информационной безопасности на Северном Кавказе в условиях глобализации",
🤔 "Легитимация/делегитимация власти и информационная безопасность: региональное измерение",
🤔 "Медиарилейшнз в сфере защиты информации",
🤔 "Метод и модель формирования системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации",
🤔 "Оценка экономической эффективности информационной безопасности участия строительной компании в электронных торгах"
🤔 "Исследование и развитие методического обеспечения оценки и управления рисками информационных систем на основе интересо-ориентированного подхода"
🤔 "Управление защитой информации в сегменте корпоративной информационной системы на основе интеллектуальных технологий"
🤔 "Правовое регулирование обеспечения информационной безопасности коммуникативных контактов человека"...

Пора снова погрузиться в эту клоаку и посмотреть, как далеко продвинулась отечественная научная мысль.

Пост Лукацкого

31 января 2023 11:40

Как могли бы выглядеть дашборды по соответствию требованиям GDPR (реальный пример). На ФЗ-152 эти дашборды впрямую не натянуть, но часть идей взять можно.

Пост Лукацкого

31 января 2023 05:40

Ну что, буду делиться обещанными впечатлениями от прочитанных книг по ИБ. Первая посвящена использованию фракталов, мультифракталов, вейвлетов, фильтра Калмана и нейросетей в обнаружении атак. Хотел бы поделиться позитивом от прочитанного, но увы...

Книга напомнила анекдот про микроскоп и гвозди. В качестве одного из примеров "практической" применимести методов, автор решила обнаруживать банальный SYN Flood с помощью вейвлетов. Но, судя по словам самого автора (или авторки - не могу никак привыкнуть к феминитивам), получилась какая-то х**ня и вместо отказа от глупой не очень правильной, на мой взгляд, затеи, автор предложила углубить фиаско за счет машинного обучения, которое должно было снизить число ошибок обнаружения.

Нахрена SYN Flood было обнаруживать так сложно, я не очень понял. Как, собственно, и остальных примеров, ооооочень далеких от практических задач обнаружения более реальных и чаще встречающихся в жизни атак.

Но, вспомнив, что автор (к слову, доктор наук) работает там же, где в свое время предложили использовать теорию кротовых нор для пентестов национального масштаба (и это не шутка), то вопросов к книге у меня больше нет.

ЗЫ. Рекламировать не буду. Читать ее - только время терять. Без раздела про практическое применение предлагаемых методов, тираж в 500 экземпляров можно было бы сократить до стандартных 5 авторских, которые можно раздать друзьям и родственникам.

ЗЗЫ. Одно радует - в списке литературы указаны "Толковый словарь русского языка" Ожегова и "Вариации радиационного поля в северной части Азовского моря". За первое "зачет", за второе - "респект" ✍️

Пост Лукацкого

30 января 2023 18:01

Представьте, находят в рамках наступательных киберопераций в каком-либо оборудовании или ПО неизвестную уязвимость. Возникает дилемма - рассказать о ней вендору, чтобы он устранил дыру и сделал мир своих клиентов безопаснее, или придержать, чтобы и дальше использовать в целях национальной безопасности?

У американцев есть рассекреченная политика, описывающая процесс принятия решения в этом непростом вопросе. Когда российская ИТ-отрасль разовьется и мы начнем думать не только об импортозамещении, но и об экспортопригодности, нам тоже понадобится такая политика ☕️

Пост Лукацкого

30 января 2023 12:04

Вот интересно, если вдруг на Западе афроамериканцы начнут кампанию против Яндекса за то, что те употребляли в коде своих продуктов уничижительное слово, созвучное с названием западноафриканского государства со столицей Ниамей, и, как следствие, международные доходы компании упадут, можно ли это будет считать ущербом от утечки данных, то есть напрямую связанным с ИБ?

Пост Лукацкого

30 января 2023 05:40

В январские праздники я посетил московский музей криптографии и обещал поделиться своими впечатлениями, что и делаю. Надо сразу сказать, что мои впечатления являются субъективными — я волей-неволей сравниваю наш музей с посещенным мной 5 лет назад американским национальным криптологическим музеем, расположенном вблизи АНБ (Форт Мид).

Пост Лукацкого

29 января 2023 14:30

Интересная история разворачивается в США в тему моего пятничного поста в блоге. Американский стартап DoNotPay, разработал на базе ChatGPT робота-юриста, который настолько хорош, что даже должен был представлять интересы своего истца в суде. Но несколько ассоциаций адвокатов, увидя в этом для себя угрозу, потребовали через суд запретить работу робота, сославшись на то, что у него нет адвокатской лицензии 🧐

Мне как-то сразу пришла в голову ассоциация с Россией. У нас сейчас очень четко прослеживается два поколения ИБшников. Первые - старперы, нежелающие двигаться вперед ☹️ и всеми правдами и неправдами защищающие свои позиции - в регуляторике, в образовании, в технологиях, в услугах и т.п. Вторые - молодежь, которые хотят делать не бумажную, а результативную ИБ 👨‍💻. И первые, чувствуя угрозу вторых, ставят всевозможные препоны 📞. Например, в виде лицензирования деятельности по ТЗКИ с кучей бессмысленных и дорогостоящих 🤑требований, наличию высшего профессионального образования, устаревающего к окончанию обучения, и т.п. 😠

Кто-то будет бороться, кто-то уедет ✈️ туда, где нет таких ограничений, кто-то будет довольствоваться малым... Грустно 😫

ЗЫ. Вчера российский союз дикторов попросил Госдуму начать лицензировать технологии синтеза голосов из-за угрозы потерять работу. Есть инициатива и по законодательному контролю ИИ. Все его боятся...

Пост Лукацкого

29 января 2023 07:23

Доход Microsoft от продаж ИБ составил 20 миллиардов! При этом можно заметить, что MS планомерно снижает продажи консьюмерских и on-prem решений, фокусируясь больше на облаках; там же размещая и ИБ. Этак они гораздо больше сделают для нашего импортозамещения, чем все российские производители ИТ-решений вместе взятых :-)

Пост Лукацкого

28 января 2023 16:03

Прочитал тут две новых отмазки по поводу утечки информации из организации, которая не задумывается о том, как ее объяснения выглядят в глазах не только специалистов, но и вообще людей, которые немного задумываются над сказанным/услышанным. Итак, происходит утечка ПДн и компания, понимая, что заявлять, что это устаревшие данные, что это компиляция и вообще это не у них, предлагает два новых тезиса:
1️⃣"У нас изолированная от внешнего мира сеть и поэтому утечь не могло". Ну, камон, давно у нас изоляция чему-то мешает? Во-первых, я не очень верю в полную изоляцию офисной сети от Интернет (даже с АСУ ТП это не проходит). А во-вторых, существует десятки исследований, показывающих, как может утечь информацию через Air Gap ("воздушный зазор", "гальваническая развязка" и т.п.). Про инсайдера, который мог вынести все, что надо, тоже не забываем. Это не данный случай, конечно, но отмазка будет сбоить и тут тоже.
2️⃣ "Число опубликованных данных отличается от нашего в 10 раз и поэтому это не наша утечка". Ну, камон, история с развмесяцпубликуемойякобыновойутечкойсамизнаетегде показывает, что эти два числа и не должны совпадать. Все/новые данные можно придержать, данные можно разделить на несколько утечек... Вот только два примера, когда эти числа будут отличаться. Вот если бы сказали, что у нас клиентов меньше, чем данных было опубликовано, тогда да, это был бы неожиданный ход и в него можно было бы поверить (первый раз). Но нет.

Поэтому, вновь призываю ИБ подружиться с PR и опылить друг друга знаниями из своих областей, чтобы PR не писал глупости, а ИБ поднял свою значимость в компании. Ну а я ускоряюсь в части написания руководства по тому, как взаимодействовать с внешним миром, когда вас взломали. Осталось совсем чуть-чуть...

Пост Лукацкого

28 января 2023 10:50

Обновленный список пророссийских и проукраинских хакерских группировок. Их число выросло почти в 2 раза за год

Пост Лукацкого

27 января 2023 15:38

Скоро место аналитиков в SOCах займут роботы и ML 🧐 Пустые комнаты будут пугать офисных работников и тогда придется сажать в SOCе манекены фейковых аналитиков, чтобы они создавали видимость человеческого присутствия :-)

Пост Лукацкого

27 января 2023 09:01

Уже есть сервисы, которые позволяют в публичных выступлениях (до или после публикации) проводить их автоматический анализ и вычленять ключевую тему/темы, наличие запрещенки (конфиденциальной информации), маскировать персональные данные и т.п.

Интересно, кто-нибудь из ИБ уже предложил свою помощь PR-службам в этом? Тут ИБ вполне может стать помощником для бизнеса, оптимизируя усилия служб по внешним коммуникациям в части исключения из публикаций (в том числе и печатных) любых, нарушащих требования политики ИБ, требований. И это достаточно несложно автоматизировать - запустил внутренний портал, на котором PR может заливать файлы, тексты и внешние ссылки, а на выходе получать вердикт "чисто/нарушаем".

Пост Лукацкого

26 января 2023 19:05

Даже спам в Питере с уклоном в образование и расширение кругозора 🙂

ЗЫ. Чтение папки спам в блоге иногда приносит, прям, интересные инсайты и заставляет задуматься о том, как развивается мысль спамерская....