Итоги 2010 и прогнозы на предстоящий год

Евгений Цареви Москве была арестована банда мошенников, вымогавшая деньги с людей, блокируя доступ к компьютеру с помощью вредоносной программы Winlock и ее модификаций.

- Декабрь 2010. Очередное продление по 152-ФЗ. Законопроект о продлении маратория на полгода прошел все инстанции и теперь новой датой икс является 1 июля 2011 г. Думается мне, что не последняя она :)

- Декабрь 2010. Взлом Chronopay. Почти под занавес года произошло довольно интересное событие, которое поначалу Chronopay попытался замять, обставив исключительно как дефейс своего веб-сайта, но думается мне там все наааамного серьезнее. Более подробный анализ этого инцидента будет в ближайшем посте.

А что же готовит нам грядущий год ?

Вот несколько прогнозов от представителей сообщества информационной безопасности:

- Symantec - Top Security and Storage Predictions for 2011

- Websense - Five Security Predictions for 2011

- McAfee - 2011 Threats Predictions

- Proofpoint - 10 Privacy Trends and Predictions for 2011

- SANS - Security Predictions 2011 & 2012 - The Emerging Security Threat

- Bruce Schneier - Security in 2020

Со своей стороны рискну сделать следующие прогнозы (и через годик можно будет проверить насколько я оказался прав):

Усилятся (расширятся) регуляторные требования по информационной безопасности. PCI DSS, Закон "О персональных данных", СТО БР ИББС, Закон "О национальной платежной системе" (пока только законопроект), вот те основные нормы, выполнение которых стает головной болью специалистов по информационной безопасности в 2011 г. Понятно, что персональные данные по прежнему будут превалировать, но и другие темы так же начнут себя проявлять. Законопроект Резника примут по моим оценкам в марте-апреле 2011 г после чего либо дадут еще какую-то отсрочку (т.к. до 1 июля все равно мало кто успеет выполнить требования обновленного закона), либо просто проводимые проверки будут ограничиваться только предписаниями без серьезных санкций. Также интересным является и то, что на мой взгляд сейчас сохраняется неопределенность в том, кто же будет предъявлять требования и проверять. ФСТЭК уже пытаются оттеснить от вопросов формирования требований и проведения проверок, теперь еще и есть законопроект, по которому функцию контроля могут снять с Роскомнадзора. Думается мне, что все же негосударственным организациям будет предоставлена свобода выбора методов и способов защиты персональных данных в обмен на ответственность за инциденты утечки этой информации.

Помимо тематики соответствия требованиям я думаю, что стоит ожидать усиления хакерской активности, приводящей к краже данных пользователей с целью получения денег (это и мошенничество в ДБО, фишинг и социальная инженерия). Думается мне, что 2011 г. может порадовать нас несколькими крупными инцидентами. Поэтому постепенно у компаний фокус будет смещаться от "простого выполнения требований" до обеспечения определенной реальной безопасности (понятно, что не на 100% как того хотелось бы, но сдвижка будет). Т.е выполнение требований станет лишь одной из опций проекта по информационной безопасности, а не единственной его целью.

Помимо этого 2011 г. продолжит тенденцию "мобилизации", т.е. все большее количество сотрудников будет использовать для своей работы различные мобильные устройства: смартфоны, планшетные компьютеры (ipad и проч.), ноутбуки, а это в свою очередь все больше будет осложнять вопрос с обеспечением безопасности информации (в т.ч. персональных данных), которая так же будет становится все более "мобильной" и здесь необходимо будет задумываться над определением четкого порядка использования мобильных устройств и обращения с информацией, а также внедрения мер по обеспечению безопасности (DLP, шифрование и др.). Кроме того, можно ожидать и появления первых вирусных эпидемий среди владельцев планшетников (хотя это скорее ближе к концу 2011).

Кадровый голод. Думаю что в 2011 году он проявится еще более остро. Хороших специалистов у нас во всех областях мало, а в ИБ и подавно. Глядя на то, чему учат наших студентов в институтах я понимаю, что фактически они абсолютно не готовы решать задачи, которые сейчас бизнес ставит перед информационной безопасностью. Компаниям потребуются люди для того, чтобы выполнить требования законов и стандартов, а их попросту не будет. Это хорошая пора для консультантов, т.к. в условиях отсутствия своих сил (и наличия денег) компании будут обращаться к их услугам, но ведь и им тоже потребутся специалисты, причем опытные и вот тут начнется драка за людей и жесткий хед-хантинг :)

Cloud Computing в России. Да, про облачные вычисления говорят уже давно, но в России пока я не встречал серьезных предложений по теме облачных вычислений, хотя уже сейчас появляются компании, готовые предоставить сервис, отвечающий требованиям 152-ФЗ. Во многом пока это чистая профанация, но я думаю, что в будущем году сервисы на базе облачных вычислений начнут набирать обороты, а это в свою очередь будет создать интересные преценденты (читай проблемы), связанные с обеспечением безопасности информации в таких "облаках" и контроля за их утечкой.