Уважно прочитав сьогодні “Загальні вимоги до кіберзахисту об’єктів критичної інфраструктури”, затверджені Кабміном 19 червня 2019 р. Якщо не маєте нагальної потреби, моя вам порада: не читайте. Це сміх, сльози та кров з очей. Я зробив це за вас: вважайте це жертвою, яку я приніс заради вашого психічного здоров’я.
Всі ми довго чекали на цей документ. Тому що спочатку нам прийняли стратегічні документи, такі як стратегія кібербезпеки України та закон про її основні засади. Диявол, як відомо, ховається в деталях, а в стратегії деталей нема. Тому всі ми довго чекали на цей документ. Дочекалися.
Загальний висновок: чтиво на кшталт проби пера студента-третьокурсника, якому доручили написати його першу політику інформаційної безпеки. Хоча ні, скоріше трьох студентів, адже текст місцями абсолютно несумісний. Складається з більш-менш передбачуваних тез, скопійованих із різних джерел нормативки, та переформульованих в кращих традиціяї українського законодавства (тобто, що можна язика зламати). Але в нього при цьому якимось чином потрапили а) не те, що непрофесійні, а відверто ідіотські вимоги, та б) очевидні навіть неозбройному оку простори для корупції.
Цей документ неможливо виконати, не зупинивши та не зруйнувавши процеси в організації. Тому, якщо вам пощастило, і вас внесено до переліку об’єктів критичної інфраструктури, готуйтесь. Найближчим часом у вас або зникне робота як така, або вам доведеться виконувати її із грубими порушеннями “загальних вимог” та під постійною загрозою покарання.
Щоб не залишатися голослівним, давайте я наведу декілька найяскравіших прикладів непрофесіоналізму авторів “вимог”. По порядку.
Початок просто блискучій: таким чином, всі процеси автоматично вважаються критичними.
Як я неодноразово підкреслював, критична інфраструктура це те, без чого ми здохнемо, і те, що може нас вбити. Це найвища форма залежності суспільства та держави. Область, в якій немає ризиків, що можна прийняти без покарання. Тому казати, що критичними ми вважаємо процеси, реалізація загроз на які може заподіяти нам майнову шкоду, — це здійснити інфляцію слова “критичний” в усіх означеннях навколо поняття критичної інфраструктури. Таким чином все стає критичним, а отже критичним не залишається нічого. І це не помилка, далі в “вимогах” цей дух зберігається аж до кінця документу.
Наступний скріншот дуже влучно характеризує усю українську нормативку, її зручність, застосовність та зрозумілість широкому загалу.
Далі ніби натяк на те, що вам дадуть вибір: будувати КСЗІ, або ж нормальну систему ІБ, аби ж твільки вона була дійсно номальна. Це непорозуміння далі в тексті виправляється декілька разів: таки ні, лише КСЗІ.
Далі, якщо у вас є в системах державна інформація або інформація з обмеженим доступом, то від вас вимагається побудова КСЗІ, якість якої перевірятиметься державною експертизою з ТЗІ. В противному випадку, вам треба буде побудувати систему ІБ, яка перевірятиметься незалежним аудитом. Іронія в тому, що шанси захиститися в другому сценарії набагато вищі.
Далі перша згадка про оцінку ризиків. Оцінку. Ризиків. Оцінку ризиків, Карл! На об’єктах критичної інфраструктури! За допомогою настанов ISO27005.
В чому зміст слова “критичний”, якщо в об’єкту, який воно характеризує, залишається простір для подальшої оцінки ризиків? Це знову повертає нас до думки, що об’єкти критичної інфраструктури не такі вже й критичні. Скоріш за все, у список запхали все, що варто захищати. Замість того, щоб провести оцінку ризиків, та сформувати список, в якому лише критичні об’єкти, цю оцінку ризиків вимагають від їхніх власників пост фактум.
Восьмий пункт – перший змістовний. Але покарання за проховання інцидентів не встановлюється, тому пропускаємо.
В дев’ятому пункті нам дають надію: створювати КСЗІ та захищений вузол зв’язку на провайдерах – це дурість, і автори це розуміють. Але далі в тексті цю надію знищують.
В десятому пункті перший абзац — найважливіший в усьому документі і в разі чого принесе найбільше користі та врятує найбільше людей. Другий — в разі чого завдасть найбільшої шкоди та занапастить найбльше людей.
Далі треш. Відвертий та жалюгідний навіть в порівнянні з рештою документу. Очевидно, це писав окремий “автор”, який не засвітився в документі раніше.
В автора цього абзацу в голові блокування, а не ІБ. Немає в кібербезпеці поняття блокування загрози! Нейтралізація загрози — це поцілити в хакера з дрону та розх***ити його на шмаття! Ось що таке блокування загрози. ІБ – це про ризики, та їхнє зниження до прийнятного рівня. Який в випадку справді критичної інфраструктури — дуже низький, але все одно він є. Вердикт: повна некомпетентність, навіть на рівні загальних означень. Стажер бухгалтерської фірми “великої четвірки” написав би краще.
Щойно було про блокування та нейтралізацію, а тепер про компенсаційні контролі! Скільки людей писали цей документ? Чому пункти конфліктують між собою? Хтось це зводив? Покличте редактора!
Завершується загальна частина зашальних вимог простором для подальшої роботи з їхнього розширення. За погодженням з Держспецзв’язку. Якщо вони є авторами цього опусу, то в мене великі сумніви, що це погодження є гарною ідеєю.
На цьому загальна частина завершується, а починається справжнісінький жир.
Під час призначення відповідального за кібербезпеку фахова освіта — не обов’язкова! Але їх буде надано перевагу.
Підпорядкування керівнику — круто. Тепер залишилося його навчити розуміти, про що говорить особа, відповідальна за ІБ. Хтось наслухався пісень про “хороші практики” організації ІБ, які культивуються бухгалтерськими фірмами. Але в дійсності ІБ повинна підпорядковуватися найвищій посаді, на якій сидить людина, яка хоч трохи на цьому знається. Чи це керівник об’єкту критичної інфораструктури? Дуже сумніваюся.
Знову згадування про оцінку ризиків на об’єктах КІ. Не буду повторюватись.
Далі до п. 7 – тупо робіть КСЗІ. А давайте сформуємо собі ринок на 5 років наперед? А давай! Навіть не буду наводити.
Пункт 7 про Політику, яка насправді не політика, а повний пакет нормативки по процедурах ІБ. Цікаво як вона закінчується: може. А може й ні?
Доведення “під підпис” взагалі фіговий спосіб підвищення обізнаності, але що значить “в інший спосіб”?
Найважливіший пункт як завжди найкоротший та не містить жодних рекомендацій.
Далі декілька пунктів про мультифакторну автентифікацію. Прищебніть паски безпеки. Починається з такого. Нє ну взагалі то можете використовувати другий фактор. Якщо хочете. Але якшо ні то ок.
А згодом таке: всім використовувати багатофакторку. Але лише там, де вона є. Чи де її немає? Або використовувати скрізь багато факторів, але де є тільки два — то там два? Ось тут в мене вже сльози потекли.
Добрий ранок! Підвезли Secuirty Through Obscurity! А от просто взяти і виставити вимоги до імен та паролів неможна? Бо так же й зроблять як написано, і зупинять античні черв’яки з дев’яностих. А могли LAPS поставить і забити на це все. Ні! В України свій шлях!
Рукаліцо. А якшо ні то шо? Автор пробував примусити мережевий пристрій працювати без IP або MAC адреси? Як воно взагалі працює, ви не замислювались? Magic dust?
Ось тут одне з найшедевральніших формулювань, які я зустрічав в житті. Тобто – вічно!
Встановіть щось, щоб захищатися від маліварі, ШПЗ та вірусів. Але не переплутайте!
Наступний пункт наштовхує на думку, що десь на об’єктах критичної інфраструктури все ще існують мережі на хабах.
А тепер, мої шановні читачі, якщо стоїте, то присядьте, або візьміться за щось міцне. Увага…
Все. Я все. Збираю манатки і йду вчитися на комбайнера. Всі проблеми безпеки вирішено постановою Кабміну. Розходимось, хлопці та дівчата. Було приємно з вами мати справу.
“Як мінімум, захистіть все від зіродеїв.” Нонсенс за визначенням. Хіба що, як влучно помітив дехто з колег, це “заточка” під окремі “рішення безпеки”, які нахабно вихваляються такими фічами в своїх рекламних презентаціях.
А ось це новаторство, явно з нуля писано самостійно, як і в пункті з блокуваннями. Ось тут видно весь хист та професійність, так.
І там далі ще є пункти, в яких йдеться про ці зони, але дані означення не використовуються. Вводиться Security-zone. Нафіга порядок в нормативці? Її потім важче порушувать.
Далі моє найулюбленіше. Хтось в госусі дуже давно вирішив, шо робити пентести в критичній інфраструктурі – це хороша ідея. Ідея це відверто ідиотська, в мережах такого гатунку пекнути бояться, не те шо пентести робити. Способи та методи оцінки захищеності таких мереж — це окрема дисципліна. Але ж то треба було зробити домашню роботу та вивчити питання. Автори “вимог” цього робити не стали.
Тобто, пентести вимагаються. І знахідки треба буде усувати. А кого усувати, якщо все успішно навернеться під час такого пентесту? А знаєте що, в мене є здогад, що не навернеться. Бо робити ці “пентести” будуть експерти Держспецзв’язку, які їх робити не будуть. Завіса.
Наступний пункт треба читати з особливим таким пафосом.
Це неможливо. Фізично. Організаційно. Культурно. Неможливо. Але давайте впишемо в вимоги. Будемо “нейтралізувати” всіх, хто не ввімкнув режим польоту на прохідній.
О, а тут (пам’ятаєте, я обіцяв) — пряма вимога підключатися до інтернет через провайдерів з КСЗІ. Браво! В двох місцях документу написані принципово різні речі.
Далі, в відмовостійкості. Тобто, два провайдери з КСЗІ. Масштаб зростає!
Далі в мене з очей потекла кров і мене забрали в швидку. Пам’ятаю лише, що в документі багато разів згадується про роль Адміністратора, яка ніде не визначається. Як і відповідальність за порушення цих вимог.
Висновки зробимо згодом і разом. Зараз хочу нагадати про те, що запропонована мною Рада кібербезпеки України повинна в першу чергу виявляти та виносити на публічне обговорення ось такі приколади знахабнілої некомпетентності в державних установах. Цей документ або не буде прийнято до уваги, або не буде реалізовано, або він зашкодить більше, ніж допоможе. Я не побоюся цих слів та зроблю припущення, що висловлюю думку більшості моїх колег: Це жахливо, жалюгідно та образливо.