Последняя пятница года... Для кого-то последний рабочий день года. Пора и некоторые итоги подводить. Кто-то уже сказал, что этот год прошел в очередной раз под знаком персональных данных и действительно - не проходило месяца, чтобы не появлялось что-то по этой части. Все-таки у нас ИБ - это в первую очередь "бумага" и compliance, а уж потом реальные действия. Но все-таки были и другие события, которые запомнились в уходящем году. Часть из них самодостаточны, часть из них были не так публичны, а часть является частью чего-то большего, с чем нам еще предстоит иметь дело. К их числу я (это именно мой взгляд) бы отнес следующие:
- Документы ФСТЭК. Я неоднократно уже писал и продолжаю так считать, что ФСТЭК сделала колоссальный шаг вперед в деле усиления государственной системы защиты информации, раскрыв свои объятия для внешних экспертов. Вторым важным моментом можно назвать возврат себе статуса методологической базы по вопросам ИБ и начало разработки очень большого количества документов по различным вопросам защиты информации - я могу назвать как минимум с два десятка документов, которые должны увидеть свет уже в 2014-м и 2015-м году. Это очень важно. Кто-то говорит, что уже опубликованные документы или их проекты сложны для понимания и реализации. Не соглашусь. Все привыкли, что в документах ФСТЭК все как у военных - делай так, делай эдак, шаг влево, шаг вправо запрещены. В гостайне это было закономерно, в динамичной среде, в которой мы живем сейчас так делать уже нельзя - задать строгие рамки невозможно. Поэтому та определенная свобода выбора, которая заложена в 17-м и 21-м приказе еще покажет свою позитивную сторону.
- Нормотворчество 8-го Центра ФСБ. А вот с коллегами ФСТЭК по цеху ситуация прямо противоположная. Они считают себя умнее всех и, на мой взгляд, свысока смотрят на всех остальных. Я прекрасно понимаю , что они считают, что все, что они делают, они делают во благо и на благо государства, но то, как они это делают я не могу приветствовать. Почему из-за их запретительных активностей должны страдать бизнес, общество и рядовые граждане? Именно запретительных - пока ничего развивающего рынок с их стороны я так и не видел. Да и не только развивающего, а хоть как-то способствующего защите информации в их сфере деятельности (персданные, КВО, криптография и т.п.).
- Изменения в ЦБ. В третьем регуляторе в области ИБ запомнившиеся мне изменения происходили на нескольких фронтах. Создание мегарегулятора, смена председателя правления, смена структуры департаментов и их руководителей, новые РС и новые версии СТО 1.0 и 1.2, планы по существенному изменению 382-П. Последствия от некоторых изменений вполне себе позитивны, от некоторых пока не очевидны. А на фоне санации банковской системы многим из этих событий еще только предстоить высветиться во всей красе. Как мне кажется, предстоящая конференция в Магнитогорске должна снять некоторые вопросы и дать общее представление о том, как будет развиваться ИБ в финансовой отрасли.
- PCI DSS 3.0. Вышла новая версия стандарта и этим все сказано.
- Стратегия кибербезопасности РФ. Деятельность Руслана Гаттарова воспринимается по-разному. В одном сходятся все - к теме ИБ внимание он поднял. Одной из поднятых им тем стала стратегия кибербезопасности России , которая должна была актуализировать раздел Доктрины ИБ, посвященный технологическим вопросам и использованию информационных технологий. Представители 8-ки в очередной раз продемонстрировали всю свою сущность, высказав претензии не к сути документа или его содержанию, а к одному термину ("кибербезопасность") и непониманию места стратегии в структуре высокоуровневых документов, регулирующих вопросы ИБ в России. Сейчас сложно предположить, чем закончится данная эпопея, но как минимум она заставила многих пересмотреть свои взгляды на отсутствие в стране высокоуровневых и актуальных документов по ИБ; да и в СовБезе началась движуха по этому вопросу (может и активность в Совете Федерации повлияла).
- Международная ИБ. Эта тема для многих является террой инкогнита. Я же в нее погрузился благодаря ПИР-Центру и считаю, что в ближайшее время эта тема еще выйдет на первый план. И причиной тому не только откровения Сноудена, но постоянно поднимаемая тема кибервойн, сотрудничество в области борьбы с киберпреступностью и т.п.
- Откровения Сноудена. Для меня откровения Сноудена не являются ни шокирующими, но откровениями, ни чем-то требующим детального рассуждения. По крайней мере пока он не предъявил доказательств ничего такого, о чем не знал бы или не догадывался специалист . Есть заявления, которые приписывают Сноудену, но доказательств по которым никто не предъявлял. Например, якобы существующий секретный контракт, по которому АНБ выплатила RSA 10 миллионов долларов за закладку в реализации криптоалгоритма. Тут даже обычная логика подсказывает, что что-то тут не то. Во-первых, сама RSA стоила на момент покупки 2 миллиарда долларов и 10 миллионов для нее как слону дробина. Во-вторых, АНБ могла и не платить, надавив на RSA по другому. Ну и, наконец, где текст самого контракта? В общем, "Сноуден" и журналисты от его имени пошумели, но пока никаких откровений с точки зрения ИБ не было.
- Формирование киберкомандования МО РФ. Ну тут пока мало публичной конкретики. Есть определенные шаги, есть планы. С их результатами мы, скорее всего, столкнемся в 2014-м году.
- Подписание Указа 31с. Аналогичная ситуация и с полусекретным Указом Президента 31с о создании государственной системы обнаружения и предотвращения атак, который подводит законодательную базу под ФСБшную СОПКУ. Деятельность по ней идет активная, но не публичная.
- ИБ Сочи. На ИнфоБЕРЕГе мы впервые подняли тему ИБ крупных спортивных мероприятий, в первую очередь зимней Олимпиалы в Сочи (и казанской Универсиады до нее). Осталось совсем немного времени, чтобы оценить насколько Россия в состоянии обеспечивать безопасность массовых мероприятий. Именно информационную безопасность, что для нас ново. При этом, эта тема вызвала нешуточное противодействие со стороны разных официальных лиц, которые вставляли палки в колеса и не давали ее активно пропагандировать, педалируя всеми возможными способами.
- ИБ индустриальных систем. Тема защиты индустриальных систем (АСУ ТП) тоже в этом году активизировалась как никогда раньше. Мероприятия, проекты, нормативка... В следующем году эта тема должна выйти на новый уровень, как мне кажется.
- Интернет вещей. Интернет вещей продолжает тему индустриальных решений, но расширяет ее до консьюмерского рынка - "умный" дом, сантехника, часы, очки, кофеварки, телевизоры, секс-игрушки... Все это потребует защиты, хотя сейчас эта тема воспринимается скорее как шутка или с юмором.
- Облака. На Западе тема облаков ушла в тень - ее сменили "Большие данные". А вот у нас облака набирают популярность , а с ними и тема защиты самой облачной инфраструктуры, помещаемых в нее данных и приложений, соответствия законодательным ребованиям. В этом году начала писаться и нормативка по этому вопросу - причем как технологическая (со стороны ФСТЭК), так и высокоуровневая (РАЭК, Минкомсвязи и др.).
- SDLC. Российский рынок дозрел и еще до одной темы - Secure Development Lifecycle, о которой у нас стали активно говорить Appercut Security и Positive Technologies. И хотя ни ПО не поменялось, ни угрозы, ни задачи, эта тема стала актуальной только в 2013-м году. Вероятнее всего на это повлияло появление требований ФСТЭК и проект рекомендаций ЦБ, которые предусматривают анализ ПО на предмет его качества с точки зрения ИБ. Под это дело стали появились и продукты.
- Атаки 3-го поколения. Взлом Твиттера Associated Press, рассылка сообщений об отставке Якунина от якобы Правительства, фишинговые сайты... Примеров достаточно, а бороться сложно, т.к. атака напрямую не затрагивает жертву. Пока эти атаки носят эпизодический характер, но с течением времени их будет становится все больше.
- Экономика и эффективность ИБ. А вот эта тема пока не стреляет как остальные, хотя я могу отметить, что в этом году ей уделяют внимания все больше и больше. Но готовых рецептов пока нет. Могу предположить, что про эти аспекты ИБ будут говорить и будут копать и исследовать. В условиях кризиса без них никуда.
- Social Media. Мне могло показаться, но у меня сложилось впечатление, что в этом году специалистов по ИБ, которые завели себе блоги и Твиттер стало гораздо больше, чем раньше. И писать стали больше. И нести свет в массы. И грязное белье на свет тоже стали выносить чаще. Такая активность блоггеров уже дает свои плоды - и регуляторы стали реагировать на заявления в Интернет, и глупостей они меньше делают.
- Говнопиар. Правда, и говнопиара тоже стало больше. На этом поприще отметились как отдельные эксперты, так и целые компании. В общем рынок становится зрелым и цивилизованным, перенимая не только все хорошее, но и плохое. Правда, предыдущая тенденция помогает своевременно выявлять такие факты и не давать им распространяться :-)
