Меня окружали милые, симпатичные люди, медленно сжимая кольцо... или токсичность российских специалистов по ИБ

Меня окружали милые, симпатичные люди, медленно сжимая кольцо... или токсичность российских специалистов по ИБ
Только выезжая заграницу, на какое-либо мероприятие по ИБ, понимаешь, насколько наш российский междусобойчик отличается от всего того, что происходит за его пределами. И дело не в том, какие темы обсуждаются на конференциях "здесь" и "там", а в том, как воспринимают Россию в киберпространстве "здесь" и "там". Я уже писал , что американцы раздувают киберугрозу со стороны нашей страны, рисуя из нас образ врага и обвиняя во взломах всего "что движется".

У российских специалистов эта тема вызывает лишь улыбку - никаких серьезных доказательств не представлено, а те, что опубликованы в докладе Мюллера, докладах американской разведки, в исследованиях американских ИБ-компаний, рассматриваются с точки зрения нечестных методов геополитической борьбы, в которых все методы хороши, лишь бы удержаться на вершине геополитического Олимпа. Ну действительно, можно ли всерьез рассматривать в качестве доказательства использование в атаках российских IP-адресов, московский часовой пояс и имя "Феликс Эдмундович" в коде найденных вредоносных программ? Смешно. Но в последнее время уровень представленных доказательств изменился. В ход пошли такие факты, которые сложно выявить чисто техническими мероприятиями - ФИО, должности, звания, места дислокации, номера в/ч и т.п. Все это говорит либо о том, что у американцев и их партнеров есть и оперативная информация о том, что и кто осуществляет различные действия в киберпространстве от имени России, либо об усилении дезинформации западного общества и приведении якобы неубиенных фактов, которые должны лишний раз доказать вину России.

Лично я не знаю, какая из этих версий более реалистична (вполне возможно, что обе). Только я вижу что:

  • уровень атрибуции и представляемых доказательств становится очень высоким
  • многие коллеги из американских компаний по ИБ говорят в частных беседах, что публикуемые доказательства - это только верхушка айсберга и на самом деле под NDA находится гораздо больше фактов
  • эти обвинения сильно мешают как российским ИБ-компаниям так и самим специалистам по ИБ, вынужденным скрывать свое происхождение при выходе/выезде зарубеж.
На прошедших осенью "Подмосковных вечерах" клуба топ-менеджеров 4CIO как-то само собой зашел разговор о будущем, о работе заграницей и о том, что айтишники стали возвращаться, так как в условиях текущей геополитики стало сложно работать зарубежом. А я стал примерять эти рассуждения на безопасников и картинка тоже не самая радостная. Быть российским специалистом (и компанией) по ИБ (включая и многие страны СНГ, как это не парадоксально) стало очень токсичным. За последние 2,5 года, с момента когда я написал  заметку  про то, как американцы раздувают угрозу из России, ситуация стала гораздо хуже. Вот только некоторые проявления с которыми сталкиваются многие:


  • Нет доступа к сайтам, если пытаться подключаться из России.
  • Некоторые госорганы начинают блокировать доступ к себе, если он идет со стороны нероссийских IP-адресов.
  • Ярлык "русские хакеры" прочно укрепился в мире и "там" он несет вполне негативную конотацию, в отличие от России, где это не более чем забавный термин, который, по мнению многих, не подкреплен никакими доказательствами.
  • Российские компании по ИБ попадают в санкционные списки, что мешает им вести бизнес не только на Западе (или Востоке), но и в России (крупные заказчики начинают снижать свою активность по работе с такими "токсичными" компаниями). По ряду направлений разрываются партнерские отношения, которые длились годами.
  • Против иностранных (читай, американских) компаний в России вводятся ограничения, которые снижают проникновение инновационных технологий и отбрасывают российских заказчиков назад.
  • На Интернет начинаются гонения, а запретительная стратегия набирает все большие обороты. Балканизация Рунета не за горами.
  • Запрет на передачу исходников и снижение числа сертифицированных зарубежных ИБ-решений, приводящие к отсутствию свободы маневра при выстраивании долгосрочной и среднесрочной стратегии ИБ на предприятии.
  • В риторике западных стран (Европа и Северная Америка) все чаще начинает проскальзывать идея симметричного ответа на российскую киберагрессию, а учитывая, что российский ИТ-рынок построен преимущественно на западных технологиях, то градус недоверия растет.
Самое главное, пожалуй, что вытекает из этой ситуации, - это неопределенность, которая снижаться в обозримом будущем не будет. Мы все большо отдаляемся от прогрессивного мира соседей и закукливаемся в себе. С практической точки зрения это ставит перед почти любым специалистов по ИБ ряд вопросов, которые из теоретических перерастают во вполне практические:
  1. Готов ли я строить систему ИБ своей организации на решениях, происходящих из стран - геополитических противников? Если нет, то какова альтернатива? Если да, то каковы пути отхода, если с этими решения что-то "вдруг" произойдет?
  2. Если в качестве альтернативы мы рассматриваем Китай, то где гарантии безопасности со стороны этого "союзника" (союзником, кстати, его называет только Россия, - Китай по отношению к нам это слово не использует никогда)?
  3. Готов ли я к тому, что российские компании, решения которых я выбрал для своей системы ИБ, будут внесены в санкционные списки и я могу столкнуться с риском вторичных санкций?
  4. Готов ли я к атакам со стороны не только киберпреступников, но и целых государств и их спецслужб (если я интересен для них)?
  5. Готов ли я к отключению Рунета от всемирной Сети? Можно и в более легкой форме задать этот вопрос. Что я буду делать в случае учащения случаев блокировок иностранных IP-адресов (актуально для активных пользователей XaaS-платформ)?
Не хотелось бы, чтобы эта заметка рассматривалась как пессимистичный взгляд в будущее и разговор в стиле "все пропало". Безопасность - это в первую очередь управление рисками (в том числе и их принятие). Просто сейчас, некоторые, ранее чисто теоретические риски, становятся более приоритетными и их уже нельзя сбрасывать со счетов.
Alt text
В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!