WannaCry: Ни слова о WannaCry

WannaCry: Ни слова о WannaCry
В данной заметке я не хотел бы говорить о самом инциденте, т.к. уже достаточно много информации по этому вопросу приведено и на SecurityLab, и на других уважаемых ресурсах, и в СМИ.
Я хотел бы взглянуть на эту ситуацию со стороны, если это конечно возможно.

На текущий момент коллеги стараются сделать «крайними» разных персон, которые, на их взгляд, виноваты:
- спецслужбы США;
- вендор операционной системы;
- вендоры антивирусных средств и других средств защиты информации, которые это пропустили.
Это ни хорошо и ни плохо, это просто есть.

Для конечного пострадавшего в общем-то все равно, ему главное решить свою проблему – восстановить данные, а вот для ИБ-отрасли, это выглядит следующим образом: «чем больному хуже, тем врачу интереснее».

На мой взгляд, сложившаяся ситуация, связана с массовой халатностью.
И в этом словосочетании оба слова важны.
Начнем с существительного – халатность.
Достойное определение дано в УК РФ (ст. 293): Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе либо обязанностей по должности, если это повлекло причинение крупного ущерба или существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства.

О каких же обязанностях идет речь?
А как раз о ежедневных активностях специалистов по защите информации в рамках операционной деятельности, собственно эта та тематика, которую я рассматриваю в цикле заметок под название Operations security (ч. #).

Конкретно здесь я бы выделил 3 момента:
- резервное копирование и восстановление данных (Backup and restore), да, именно так, с «восстановлением», т.к. прецеденты, когда резервная копия есть, но восстановить ее никто не может, я видел лично;

- управление обновлениями (Patch management), а в идеале полноценное управление изменениями (Change management);
- управление уязвимостями (Vulnerability management).
Собственно, производители решений по данным направлениям обоснованно «размахивают флагом» в эти дни.

Теперь, что касается массовости.
Это то, что, на мой взгляд, было самым неприятным в данным случае.
Дело в том, что когда происходит инцидент информационной безопасности с небольшой компанией, все говорят, это потому, что у вас ИБ нет, когда с крупной (даже с теми, у кого свои дочерние ИБ-компании) – сломать можно любого.
Здесь же досталось всем, и телекомам, и банкам, и просто домашним персоналкам.

Возможно мы много говорим об ИБ, но мало делаем.

Пойду делать …

Успехов и добросовестности при исполнении обязанностей!
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только