Здравый смысл безопасника или не читайте перед обедом немецких газет

Здравый смысл безопасника или не читайте перед обедом немецких газет
Безопасника от журналиста, падкого на сенсации, отличает здравый смысл и взвешенная позиция. Именно так я хотел бы посмотреть на последние "разоблачения Сноудена", описанные в немецком "Шпигеле" в конце прошлого года и которые стали активно обсуждать именно сейчас.

Что мы узнаем из этих материалов? В 2007-м году у АНБ был "каталог ОТТО" со списком возможностей, которые можно было использовать для несанкционированного доступа к ИТ-продукции большого спектра ведущих ИТ-компаний в целях спецслужб. Тут важны 4 момента:

  1. Цели спецслужб обычно отличаются своей скрытностью, которая является антонимом массовости. Ни о каком массовом внедрении "имплантов" речи не идет. Тем более не идет речи и о наличии предустановленных производителем на заводе закладок или уязвимостей. В статье Шпигеля говорится, что американские спецслужбы имеют возможность инсталляции своих имплантов в оборудование и продукцию, поставляемую отдельным заказчикам, попадающим под экспортный контроль (о нем я уже писал ), за счет изменения маршрута логистики через "свои" склады, где и осуществляются все действия; скрытно от всех, включая производителей, дистрибьюторов, заказчиков и т.д. Я, конечно, не могу говорить за спецслужбы, но мне кажется, что они сами не заинтересованы в массовости установки своих имплантов - повышается вероятность их обнаружения. Поэтому если такие импланты и устанавливались, то под жестким контролем АНБ.
  2. Эти возможности по несанкционированному доступу известны с, как минимум, 2007-го года. Знаем ли мы о примерах использования этих возможностей? Я не слышал. О Stuxnet, созданном теми же спецслужбами, стало известно спустя полгода-год после его внедрения на заводе по обогащению урана в Натанзе. Тут проходит 7 лет и ни одного публичного факта использования. Секретность секретностью, но всплыть-то такие факты должны были за такой продолжительный интервал времени. Либо их нет, либо они единичны и против очень специфических жертв (террористы, китайцы и другие реальные "противники" США).
  3. Список пострадавших ИТ-компаний очень разносторонен и включает и американские, и арабские, и китайские компании. При этом в каталог включены не все линейки продукции, а только некоторые (не всегда самые ходовые). Если бы речь шла о закладках, сделанных сами разработчиками, в каталог были бы включено гораздо большее количество уязвимых продуктов. На мой взгляд это доказывает, что это "личная инициатива" спецслужб, имеющих возможность (не обязательно использующих) устанавливать руткиты на ИТ-продукции, но не на всей.
  4. То, что это каталог возможностей, а не продуктов с уже установленными закладками доказывает и тот факт, что почти все крупные компании не только подвергают свою продукцию тщательному QA-анализу со своей стороны, но и и привлекают для этого внешних консультантов, которые за 7 лет не нашли ничего похожего на упоминания в каталоге АНБ (в таком количестве). А еще есть и независимые исследователи, которым просто так рот не заткнуть (если предположить, что вендор и привлеченные им тестеры не будут выносить сор из избы).


На мой взгляд, все это доказывает только одно - проблема не так уж и опасна для массового заказчика, как ее преподносят СМИ (их мотивация понятна). Я не буду утверждать, что она совсем неактуальна, но не всем и не всегда. Правда, все это при условии, что материалы "Шпигеля" истинные, а не являются фальсификацией, призванной на волне интереса к разоблачениям Сноудену ударить по ИТ-монополии американских и азиатских компаний. Обратите внимание - в списке европейского Шпигеля нет европейских ИТ-компаний.

Но, допустим, это не газетная утка и не европейская провокация и факт имеет место быть - спецслужбы действительно могуть получить несанкционированный доступ к отдельным ИТ-продуктам, упомянутым в каталоге, и местами уже снятыми с производства. Что это значит для рядового потребителя? А ровным счетом ничего! Если не брать отдельные категории заказчиков, имеющих дело с гостайной или работающих в ВПК (а там и так особые требования к используемому ПО и оборудованию), то описанная "Шпигелем" угроза неактуальна. Разве может быть АНБ интересна рядовая российская компания, даже крупная по нашим меркам? Разве нет у спецслужб более простого способа получения нужной информации (при нашем-то уровне коррупции)? Ситуация аналогична ПП-1119 с его уровнями защищенности. Я уже писал (и моя позиция неофициально подтверждается коллегами из ФСТЭК и ФСБ), что угроза наличия НДВ в ИСПДн для 99% российских организаций является неактуальной и это решение принимает именно оператор ПДн. В случае с угрозой со стороны АНБ ситуация ровно аналогичная. Вы сами определяете - угроза они для вас или нет?

Ведь если принять угрозу НСД со стороны спецслужб актуальной, то получается, что необходимо защищаться от возможности несанкционированного доступа к сетевому оборудованию и средствам защиты (Сноуден про это пишет), ОС (про все операционки, включая Windows и Linux, также упоминается у Сноудена), мобильным и беспроводным устройствам (Сноуден и про это рассказал), процессорам (это с 95-го года известный факт) и т.п. И как с этим бороться? Методы есть; мы их уже обсуждали , когда готовились к 21-му приказу ФСТЭК, и потом , когда он уже вышел. Но все эти методы дорогостоящи, а для ряда платформ и вовсе невозможны. Есть еще один метод - разработка своей ИТ-продукции (одна попытка уже была ). По нему пошел Китай. Но вот у нас почему действует другой метод - мы только запрещаем чужое, не создавая своего. Точнее запрещают одни, а создавать (или стимулировать создание) должны другие. Но первые работают эффективно, а вот вторые забили болт на развитие национальной ИТ-индустрии. В итоге страдает рядовой потребитель, которого уравняли со стратегическими объектами и объектами, обрабатывающими гостайну.

Резюмирую. Можно долго разглагольствовать об угрозах со стороны американских, английских, китайских, израильских или иных спецслужб. Такой флейм забавен на какой-либо конференции или в целях обеспечения государственной безопасности. Но для рядового безопасника, работающего в обычной коммерческой или муниципальной (а временами и в государственной) организации, эта тема является непродуктивной. Здравый смысл и мой опыт подсказывает, что это именно так. Если, конечно, не рассматривать угрозу со стороны российских силовиков, которые могут "отжать" бизнес (или просто напакостить), что происходит достаточно часто в последнее время. Правда, это уже не проблема специалистов по ИБ. Неактуальность угрозы ИБ со стороны иностранных спецслужб не отменяет необходимости задумываться о развитии собственной ИТ-отрасли, но думать об этом должны немного другие люди. Кстати, эта тема упомянута в Стратегии кибербезопасности РФ . Что же касается повседневной деятельности или прогнозов на 2014-й год, то могу дать ссылку на неплохую заметку "Игнорируйте прогнозы, забудьте рекомендации и сосредоточьтесь на трех ключевых направлениях, которые сделают успешным этот год ИБ для вас". В ней говорится, что ориентироваться надо всего на три вещи в своей ИБ-деятельности:

  • Изучите и знайте СВОЙ бизнес, чтобы принести ему пользу и ценность!
  • Обеспечьте минимально необходимый уровень безопасности того, что нужно в первую очередь бизнесу!
  • Установите приоритеты своей ИБ-деятельности, дающей новую ценность бизнесу!
Если борьба с иностранными спецслужбами попадает у вас в эти три рекомендации, то чтож, значит вас ждет интересная (это новый опыт) и затратная (это очень дорого) борьба с ветряными мельницами!

ЗЫ. Со Старым Новым Годом!
SDLC США угрозы
Alt text