Пост Лукацкого
Разработанный и отправленный в Минюст на регистрации документ ФСТЭК с требования по ИБ к средствам контейнеризации
Если я правильно расслышал на конфе ФСТЭК, этот документ по ИБ контейнеризации, принят!
Мне импонирует открытость представителей ФСТЭК, которые и во внешних мероприятиях участвуют, и свои проводят. Но все-таки чувствуется, что пока они не ощущают себя вместе с отраслью, считая себя немного выше своих подопечных и поднадзорных 😏
Попал на первую региональную конференцию ФСТЭК после долгого перерыва. И как в прошлое окунулся. В каждом выступлении регулятора предупреждения о карах небесных за невыполнение мер😠
Чем вы хуже работаете, тем быстрее и плотнее мы вас проверим (с)
Но ведь надо понимать, что и госуха, и ОПК сейчас столкнулись с серьезными проблемами. Атаки растут, кадров нет, бюджеты мизерные, не все отечественные ИТ-решения пока целиком и полностью соответствуют требованиям заказчиков, куча разной несогласованной нормативки от разных ведомств. А тут еще и от профильного регулятора прилетает «Вы должны» и «Вы обязаны».
Кто игнорирует приглашения на наши мероприятия, то с теми мы будем по особому выстраивать работу! (с)
Одно радует - чувство юмора у ФСТЭК тоже есть. Не всерьез же они такое говорят:
Весь реестр сертифицированных СЗИ в голове не держу, но буду к этому стремиться (с)🥳
Попал на первую региональную конференцию ФСТЭК после долгого перерыва. И как в прошлое окунулся. В каждом выступлении регулятора предупреждения о карах небесных за невыполнение мер
Чем вы хуже работаете, тем быстрее и плотнее мы вас проверим (с)
Но ведь надо понимать, что и госуха, и ОПК сейчас столкнулись с серьезными проблемами. Атаки растут, кадров нет, бюджеты мизерные, не все отечественные ИТ-решения пока целиком и полностью соответствуют требованиям заказчиков, куча разной несогласованной нормативки от разных ведомств. А тут еще и от профильного регулятора прилетает «Вы должны» и «Вы обязаны».
Кто игнорирует приглашения на наши мероприятия, то с теми мы будем по особому выстраивать работу! (с)
Одно радует - чувство юмора у ФСТЭК тоже есть. Не всерьез же они такое говорят:
Весь реестр сертифицированных СЗИ в голове не держу, но буду к этому стремиться (с)
Please open Telegram to view this post
VIEW IN TELEGRAM
пройдут года и ты возможно
решишься в логи посмотреть
но с сожаленьем осознаешь
siem ты так и не купил
решишься в логи посмотреть
но с сожаленьем осознаешь
siem ты так и не купил
Похоже, ПЕРВАЯ УГОЛОВКА за использование VPN в личных целях!
Подписчик, Андрей Лаптев, прислал прекрасное. Томский районный суд приговорил гражданина К. к 3-м годам ограничения свободы за использование VPN-программы, квалифицировав данное деяние по ст.273 УК РФ (вредоносные программы). Осужденный признал, что с помощью VPN были нейтрализованы средства защиты компьютерной информации, выразившиеся в невозможности однозначной идентификации пользователя и его сетевой активности в сети «Интернет».
Оборот «регулярно осуществлял запуск вредоносной компьютерной программы со своего персонального компьютера, тем самым используя ее» поверг меня в легкий ступор, но такова уж наша судебная лексика.
Обратите внимание. Речь идет об ограничении свободы, а не о лишении. То есть в места не столь отдаленные👮 виновник не пойдет, но три года - это три года! Железный занавес 🤬 все ближе…
ЗЫ. По ссылка пока только резолютивная часть - приговор в силу еще не вступил.
Подписчик, Андрей Лаптев, прислал прекрасное. Томский районный суд приговорил гражданина К. к 3-м годам ограничения свободы за использование VPN-программы, квалифицировав данное деяние по ст.273 УК РФ (вредоносные программы). Осужденный признал, что с помощью VPN были нейтрализованы средства защиты компьютерной информации, выразившиеся в невозможности однозначной идентификации пользователя и его сетевой активности в сети «Интернет».
Оборот «регулярно осуществлял запуск вредоносной компьютерной программы со своего персонального компьютера, тем самым используя ее» поверг меня в легкий ступор, но такова уж наша судебная лексика.
Обратите внимание. Речь идет об ограничении свободы, а не о лишении. То есть в места не столь отдаленные
ЗЫ. По ссылка пока только резолютивная часть - приговор в силу еще не вступил.
Please open Telegram to view this post
VIEW IN TELEGRAM
В прошлой жизни у нас в компании было запрещено выдавать за пределы компании презентации в формате PowerPoint, так как считалось опасным из-за возможности внести в презентацию негативный для компании текст, за который можно было еще и по юридической части отхватить. Потом, по мере развития технологий, отношение к этому стало меняться. Но проблема осталась и даже вышла на новый уровень по мере развития технологий фейков.
Вот возьмем к примеру рынок средств DCAP и надо мне показать, что компания Positive Technologies находится в знаменитом гартнеровском магическом квадрате, а точнее в отчете "Market Guide for Data-Centric Audit and Protection". Пара минут работы и я уже в отчете 😊 Как подтвердить, что это правда? Этот вопрос поднимает целый пласт проблем - от оценки происхождения информации (а эта проблема была включена в список приоритетных у американцев еще лет 10-15 назад, но так пока и не была решена) до процедуры доказательства фейковости базы ПДн, которая якобы утекла и на нее сделал стойку Роскомнадзор. И электронная подпись эти проблему, увы, не решает.
ЗЫ. Кстати, если кто-то хочет попасть в существующий магический квадрат Gartner, обращайтесь. Организую. Недорого. В Market Guide будет стоит подороже (там тексты надо писать). Хотите собственный квадрат для несуществующего рынка? Тоже обсуждаемо 😊 Все равно проверить невозможно - Gartner ушел с нашего рынка и купить отчет из России уже нельзя.
Вот возьмем к примеру рынок средств DCAP и надо мне показать, что компания Positive Technologies находится в знаменитом гартнеровском магическом квадрате, а точнее в отчете "Market Guide for Data-Centric Audit and Protection". Пара минут работы и я уже в отчете 😊 Как подтвердить, что это правда? Этот вопрос поднимает целый пласт проблем - от оценки происхождения информации (а эта проблема была включена в список приоритетных у американцев еще лет 10-15 назад, но так пока и не была решена) до процедуры доказательства фейковости базы ПДн, которая якобы утекла и на нее сделал стойку Роскомнадзор. И электронная подпись эти проблему, увы, не решает.
ЗЫ. Кстати, если кто-то хочет попасть в существующий магический квадрат Gartner, обращайтесь. Организую. Недорого. В Market Guide будет стоит подороже (там тексты надо писать). Хотите собственный квадрат для несуществующего рынка? Тоже обсуждаемо 😊 Все равно проверить невозможно - Gartner ушел с нашего рынка и купить отчет из России уже нельзя.
Forwarded from Ivan Begtin (Ivan Begtin)
Подробности по делу за использование VPN, на самом деле там оказался не VPN, а мессенжер Vipole
что ничуть не лучше, поскольку формулировки дела таковы:
...осуществил поиск вредоносной компьютерной программы «Vipole», выражающейся в невозможности однозначной идентификации пользователя сети «Интернет» и его сетевой активности...
и
...осознавая, что использование данной программы приведет к нейтрализации средств защиты компьютерной информации провайдеров, регулярно осуществлял запуск вредоносной компьютерной программы «Vipole» со своего персонального компьютера, тем самым используя ее...
Под эти формулировки попадают, и VPN, и мессенжеры вроде Signal и ещё много что.
#privacy #security #vpn #messengers
что ничуть не лучше, поскольку формулировки дела таковы:
...осуществил поиск вредоносной компьютерной программы «Vipole», выражающейся в невозможности однозначной идентификации пользователя сети «Интернет» и его сетевой активности...
и
...осознавая, что использование данной программы приведет к нейтрализации средств защиты компьютерной информации провайдеров, регулярно осуществлял запуск вредоносной компьютерной программы «Vipole» со своего персонального компьютера, тем самым используя ее...
Под эти формулировки попадают, и VPN, и мессенжеры вроде Signal и ещё много что.
#privacy #security #vpn #messengers
Вчера я поторопился, написав про уголовку за VPN. Ситуация немного иная оказалась. Согласно опубликованным материалам дела речь идет не просто о VPN, а о защищенном мессенджере VIPole, который и использовал обвиняемый. С одной стороны, не VPN. С другой - именно функциональность защищенной связи и послужила признаком вредоносности.
Учитывая, что сегодня почти все мессенджеры обладают таким функционалом, получается, что привлечь можно почти каждого пользователя Telegram, Signal, Threema, Whatsapp и т.п. Как минимум, в зоне риска те мессенджеры, представительств которых нет в России и которые не соблюдают требования по идентификации абонентов, установленные законом.
Но! Ровно по тем же основаниям и использование VPN можно квалифицировать схожим образом. Так что я не был так уж и неправ, написав про VPN. Но все равно приношу извинения за введение в заблуждение.
Осталось только непонятным, как вышли на обвиняемого? В материалах упоминается ФСБ и Ростелеком. Кто-то из них инициировал дело? Что послужило причиной? 🤷♂️
Учитывая, что сегодня почти все мессенджеры обладают таким функционалом, получается, что привлечь можно почти каждого пользователя Telegram, Signal, Threema, Whatsapp и т.п. Как минимум, в зоне риска те мессенджеры, представительств которых нет в России и которые не соблюдают требования по идентификации абонентов, установленные законом.
Но! Ровно по тем же основаниям и использование VPN можно квалифицировать схожим образом. Так что я не был так уж и неправ, написав про VPN. Но все равно приношу извинения за введение в заблуждение.
Осталось только непонятным, как вышли на обвиняемого? В материалах упоминается ФСБ и Ростелеком. Кто-то из них инициировал дело? Что послужило причиной? 🤷♂️
Forwarded from Dmitry Kuznetsov
Ничего странного, это рассмотрение уголовного дела в особом порядке.
При рассмотрении дела в особом порядке суд вообще не изучает фактические обстоятельства (статья 314 ч. 5 УПК РФ). В особом порядке суд обязан поверить признанию подсудимого и оценивает только его личность. Т.е. если подсудимый подписал признание, что он воспользовался вредоносной программой "персональный VPN", суд обязан поверить, что эта программа действительно вредоносная, и не имеет права по своей инициативе изучать, так ли это. Даже понимая, что признание - полная лажа, суд не вправе ставить его под сомнение.
Т.е. за что именно человека взяли конкретно в этом деле, мы не знаем. Это мог быть экстремизм, мошенничество, кардинг, доведение до суицида - что угодно. Но подсудимый что-то предложил обвинению (от взятки до свидетельских показаний по более серьезному делу), адвокат придумал хоть что-то, что можно натянуть на мелкую компьютерную статью, и обвинение не стало возражать. Все.
При рассмотрении дела в особом порядке суд вообще не изучает фактические обстоятельства (статья 314 ч. 5 УПК РФ). В особом порядке суд обязан поверить признанию подсудимого и оценивает только его личность. Т.е. если подсудимый подписал признание, что он воспользовался вредоносной программой "персональный VPN", суд обязан поверить, что эта программа действительно вредоносная, и не имеет права по своей инициативе изучать, так ли это. Даже понимая, что признание - полная лажа, суд не вправе ставить его под сомнение.
Т.е. за что именно человека взяли конкретно в этом деле, мы не знаем. Это мог быть экстремизм, мошенничество, кардинг, доведение до суицида - что угодно. Но подсудимый что-то предложил обвинению (от взятки до свидетельских показаний по более серьезному делу), адвокат придумал хоть что-то, что можно натянуть на мелкую компьютерную статью, и обвинение не стало возражать. Все.
Интересная дискуссия прошла на питерском ИТ-Диалоге. Я еще про нее в блоге напишу, а пока по горячим следам про BugBounty. На фоне новостей Минцифры про запуск BugBounty для Госуслуг я задал участникам вопрос, а готовы они идти дальше и выставлять свои решения для публичного легального взлома?
Региональные министры ИТ предложили рейтинговать софт в реестре отечественного ПО и, в зависимости от того, проходил вендор ПО программу BugBounty или нет, можно повышать рейтинг софта и давать ему больше преференций.
Виталий Сергеевич Лютиков (ФСТЭК) считает, что выставлять ГИС (как это будет делать Минцифры) для BugBounty можно, но только после проработки всех условий и ограничений и аппробации подхода. А вот вендорам было бы неплохо, если они не боятся, выйти на BugBounty-платформы. И может быть, когда-нибудь, такое требование появится в нормативке.
Так что не исключаю, что в 2023-м году участие в BugBounty может стать обязательным либо по направлению ИТ-разработки, либо ИБ. Ждемс…
Региональные министры ИТ предложили рейтинговать софт в реестре отечественного ПО и, в зависимости от того, проходил вендор ПО программу BugBounty или нет, можно повышать рейтинг софта и давать ему больше преференций.
Виталий Сергеевич Лютиков (ФСТЭК) считает, что выставлять ГИС (как это будет делать Минцифры) для BugBounty можно, но только после проработки всех условий и ограничений и аппробации подхода. А вот вендорам было бы неплохо, если они не боятся, выйти на BugBounty-платформы. И может быть, когда-нибудь, такое требование появится в нормативке.
Так что не исключаю, что в 2023-м году участие в BugBounty может стать обязательным либо по направлению ИТ-разработки, либо ИБ. Ждемс…
Еще один вопрос на ИТ-Диалоге возник вокруг NGFW. Присутствовавшие вендора говорили, что у них все прекрасно и этот сегмент рынка прекрасно импортозамещается. А вот региональные министры ИТ были с этим не согласны - им не хватает качественного и производительного решения.
Тему подхватило Минцифры, которое тоже пожаловалось, что для их высоконагруженных систем нет на рынке отечественных NGFW от слова совсем. Поэтому они собрали от ФОИВов хотелки и сейчас планируют запустить проект “ГосNGFW” - то ли будет заказная разработка, то ли грант в сторону вендоров NGFW. А ФСТЭК сейчас завершает разработку требований к NGFW. На фоне озвученного Позитивом на форуме решения идти в разработку своего NGFW, конкуренция в следующем году станет жаркой
Тему подхватило Минцифры, которое тоже пожаловалось, что для их высоконагруженных систем нет на рынке отечественных NGFW от слова совсем. Поэтому они собрали от ФОИВов хотелки и сейчас планируют запустить проект “ГосNGFW” - то ли будет заказная разработка, то ли грант в сторону вендоров NGFW. А ФСТЭК сейчас завершает разработку требований к NGFW. На фоне озвученного Позитивом на форуме решения идти в разработку своего NGFW, конкуренция в следующем году станет жаркой
На фото Анна Ньюбергер, бывшая первая глава департамента по кибербезопасности АНБ, а ныне заместитель советника президента США по национальной безопасности. В одном из своих интервью она говорила, что даже при наличии Blackberry она не всегда доступна даже в режиме 24/6. Сначала я подумал, что в статье ошибка, и речь была о 24/7 (для ее-то должности), но потом оказалось и правда. Она ортодоксальная иудейка и значит с вечера пятницы и в субботу Тора запрещает ей заниматься деятельностью, которую можно отнести к творчеству и созиданию. В Торе за работу в Шаббат предусмотрена даже смертная казнь (хотя это и не практикуется). И вот как она это разруливает интересно? 🤔
У меня в курсе по моделированию угроз есть примеры про нестандартные факторы, влияющие на безопасность, - социальные или связанные с укладом жизни. Там и "Аум Синрикё", и пьянство и наркотики у админов, и тейповость. Религиозные аспекты я рассматривал только в контексте биометрической идентификации. А тут всплывает старая шутка "Работает ли поддержка Check Point по субботам?" и оказывается, что это вполне себе правда :-) Интересно, как она разруливает конфликт между работой и религией? Ведь это риск, а она была еще и главным рисковиком АНБ...
ЗЫ. Может раввин разрешает в особых случаях? Как в фильме "Мюнхгаузен" диалог священника и барона:
- Вы же разрешаете разводиться королям.
- Ну, королям, в особых случаях, в виде исключения, когда это нужно, скажем, для продолжения рода.
- Для продолжения рода нужно совсем другое😂
У меня в курсе по моделированию угроз есть примеры про нестандартные факторы, влияющие на безопасность, - социальные или связанные с укладом жизни. Там и "Аум Синрикё", и пьянство и наркотики у админов, и тейповость. Религиозные аспекты я рассматривал только в контексте биометрической идентификации. А тут всплывает старая шутка "Работает ли поддержка Check Point по субботам?" и оказывается, что это вполне себе правда :-) Интересно, как она разруливает конфликт между работой и религией? Ведь это риск, а она была еще и главным рисковиком АНБ...
ЗЫ. Может раввин разрешает в особых случаях? Как в фильме "Мюнхгаузен" диалог священника и барона:
- Вы же разрешаете разводиться королям.
- Ну, королям, в особых случаях, в виде исключения, когда это нужно, скажем, для продолжения рода.
- Для продолжения рода нужно совсем другое
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Моя презентация с конференции ФСТЭК про тенденции развития SIEM или SAP, как их называет Forrester (Security Analytics Platform), в России
Когда ломают субъект КИИ, сообщать надо в ГосСОПКУ. Когда ломают финансовую организацию, сообщать надо в ФинЦЕРТ. Когда происходит утечка ПДн, надо сообщать в РКН. А куда надо сообщать (и надо ли), когда ломают компанию, работающую в области ИБ? И не просто ИБ, а ИБ АСУ ТП?
Вопрос не риторический - действительно интересно. Как-то обычно не задумываешься, что ИБ-компания - это иногда серьезнее, чем ее клиенты - субъекты КИИ. Ведь у компании могут быть отчеты об обследовании состояния ИБ своих заказчиков (и не одного, а всех). В качестве примера, у нас в🟥 - несанкционированный доступ к таким отчетам - это одно из 4-х недопустимых событий, то есть история серьезная. Поэтому усилия прилагаются тоже немалые по обеспечению своей ИБ.
А в России это уже не первый случай, когда инцидент происходит у ИБ-компании (еще и лицензиата). Хотя может на такой случай есть свой секретный ФСТЭК-ЦЕРТ и о нем все ИБ-компании узнают, когда им вручают лицензию?
Вопрос не риторический - действительно интересно. Как-то обычно не задумываешься, что ИБ-компания - это иногда серьезнее, чем ее клиенты - субъекты КИИ. Ведь у компании могут быть отчеты об обследовании состояния ИБ своих заказчиков (и не одного, а всех). В качестве примера, у нас в
А в России это уже не первый случай, когда инцидент происходит у ИБ-компании (еще и лицензиата). Хотя может на такой случай есть свой секретный ФСТЭК-ЦЕРТ и о нем все ИБ-компании узнают, когда им вручают лицензию?
Please open Telegram to view this post
VIEW IN TELEGRAM
ФСТЭК в лице Лютикова Виталия Сергеевича на ИТ-Диалоге в Питере заявила, что если сертифицируемое средство защиты информации работает под управлением только недружественных ОС и СУБД, то новые сертификаты на такие средства защиты выдаваться не будут. При этом выданные ранее сертификаты, в случае отсутствия движения у разработчиков в сторону отечественного ПО, будут сначала приостанавливаться, а затем и отзываться.
Также, комментируя инициативу Минцифры о поддержке всего трех ОС (Astra, Red, ALT), ФСТЭК заявила, что они не планируют выделять кого-то из разработчиков и поддерживать только их, но с точки зрения усилий разработчиков средств защиты, было бы правильно, чтобы в стране не было десятков разных форков и клонов ОС и СУБД и у нас их было поменьше. И хотя, явно это ни у кого в выступлениях не звучало, но вариант мобилизационного развития экономики, когда останется небольшое число игроков-разработчиков на рынке ИБ (а не 200 компаний, как сейчас), которые выживут и, может быть, смогут рассчитывать на поддержку государства, прослеживается.
А это в свою очередь указывает на важность выбора надежного поставщика средств защиты. До 1-го января 2025 года остается чуть больше двух лет и за это время многим надо будет перейти на отечественного производителя. И надо будет оценивать не только продукты по их функциональности, надежности и масштабируемости, но и сами компании по тому, выживут они в обозримом будущем или нет. Как тут не вспомнить магические квадраты Гартнера или волны Форрестера, в которых оценивались не просто продукты в той или иной нише, а именно способность их разработчиков развивать продукты в перспективе нескольких лет, распространенность продуктов, стабильность компаний и т.п.
Также, комментируя инициативу Минцифры о поддержке всего трех ОС (Astra, Red, ALT), ФСТЭК заявила, что они не планируют выделять кого-то из разработчиков и поддерживать только их, но с точки зрения усилий разработчиков средств защиты, было бы правильно, чтобы в стране не было десятков разных форков и клонов ОС и СУБД и у нас их было поменьше. И хотя, явно это ни у кого в выступлениях не звучало, но вариант мобилизационного развития экономики, когда останется небольшое число игроков-разработчиков на рынке ИБ (а не 200 компаний, как сейчас), которые выживут и, может быть, смогут рассчитывать на поддержку государства, прослеживается.
А это в свою очередь указывает на важность выбора надежного поставщика средств защиты. До 1-го января 2025 года остается чуть больше двух лет и за это время многим надо будет перейти на отечественного производителя. И надо будет оценивать не только продукты по их функциональности, надежности и масштабируемости, но и сами компании по тому, выживут они в обозримом будущем или нет. Как тут не вспомнить магические квадраты Гартнера или волны Форрестера, в которых оценивались не просто продукты в той или иной нише, а именно способность их разработчиков развивать продукты в перспективе нескольких лет, распространенность продуктов, стабильность компаний и т.п.
Интересно, а шифровальщики 👮 в Black Friday устраивают распродажи? 🤔
Please open Telegram to view this post
VIEW IN TELEGRAM