На жаль, факту блокування Enigma.ua та низки інших веб-сайтів приділяється занадто мало уваги в ЗМІ та соціальних медіа. А ось дуже шкода, тому що це якраз ті перші кроки з наближення нашого суспільства до тоталітаризму, про які ми з колегами попереджали вас ще за часів блокування російських веб-сайтів та соціальних мереж.
Давайте я спрощу для вас ситуацію. Відтепер, якщо якомусь/якійсь судді цього захочеться, “заблокувати” в Україні можна будь-що. Ще раз, щоб заблокувати медійний ресурс, достатньо переконати одну людину в тому, що якийсь контент на цьому ресурсі підпадає під критерії, визначені в анти-конституційному указі, згідно з яким попередня влада типу заблокувала ВК, Однокласники та решту пацакської шушвалі. Ми з колегами попереджали тоді, що даючи державі владу над нашим доступом до інформації, ми даємо їй змогу маніпулювати цією владою. І що найгірше, цей дозвіл пошириться на, та перейде у спадок до наступного уряду.
Узурпація контролю за доступом до інформації в інтернеті — це волога мрія будь-якого популіста, з яких, як відомо з історії, виходять досить пристойні тоталітарні диктатори. Зараз цього ще не помітно, але вже настав час нагадувати, що “ми ж вам казали.”
Що можна зробити? Для початку, було б чотко, якщо хтось би оце наважився моніторити подібні судові рішення та оновлювати “мапу несвободи” українського вебу. Динаміка розвитку подій підкаже наступні кроки. Скоріш за все свободу, яку ми так вигідно обміняли на швидку політичну дію під гаслом “дуси пацаків”, доведеться все ж таки виборювати взад, щодо методів прогнозів не роблю.
Але як мінімум варто розпочати (нарешті) використовувати якийсь пристойний VPN з виходом в цивілізованій країні десь в Бенелюксі чи Північній Європі. Згадаєте мої слова, ця штука вам ще знадобиться. І пам’ятайте — інтернет-провайдер вам в цій ситуації не друг, а скоріш навпаки. Провайдер тут для того, щоб заробляти свої бабки, і він змушений виконувати правила гри, нав’язані йому державою.
І ані провайдеру, ані державі, ані будь-кому в цьому світі немає діла до того, які сайти ви відвідуєте, якщо цим ви прямо не порушуєте закон.
або чому бізнес не змінив ставлення до кібербезпеки
Я нічого не писав про річницю неПеті, висновки що їх (не) зробила українська держава та бізнес тощо. Зокрема тому, що дуже хотілося почути думки колег і не тільки, а вже потім виносити свої спостереження на публіку. Свою думку щодо цього дуже часто висловлюю і журналістам, і колегам, і навіть клієнтам, але вони її чомусь далі не транслюють. Можливо, вона змушує їх задуматись, а може й ні. З огляду на таку реакцію, я собі зробив висновок, що моя позиція по цій темі непопулярна, хоча поки що ніхто не висунув цікавих контраргументів. Тому давайте-но я її озвучу широко.
Інцидент з неПетєю довів українській державі та бізнесу те, що вони і так знали: кібербезпека не така й важлива, та інвестувати в неї (в тому вигляді, як це пропонує робити ринок) немає особливого сенсу.
Звісно, є певні виключення: деякі компанії, які були геть не готові, нарешті почали робити хоч щось. Деякі компанії, яких зачепило сильніше, ніж конкурентів, зробили корисні висновки. Деякі компанії навіть зробили гасло “ніколи знову” частиною бізнес-стратегії. Але тут йдеться про десятки організацій, всім іншим — відверто все одно.
І з економічної точки зору вони абсолютно праві. По-перше тому, що тотальний інцидент, який накриває весь ринок (вертикаль/галузь/регіон) рівномірно, не складає аж такої великої загрози. Ось вам приклад: коли збитків зазнають всі конкуренти в певній ніші, жодного з них це особливо не топить, адже ніхто не втрачає клієнтів через брак альтернативи. Ця ментальність дуже поширена і з точки зору бізнесу вона вірна.
По-друге, будемо відверті: ніхто не вмер, нікому не відтяло кінцівку, нікого не посадили у в’язницю. Жодна компанія не повідомила про те, що в наслідок неПеті вона збанкрутіла та припинила існування. А недоотриманий прибуток — це просто гроші, їх можна потім заробити (чи як ви їх там здобуваєте). Ці думки заспокоюють бізнес, а безкарність заспокоює чиновників.
Щоб розділяти думку бізнесу треба трохи розібратися в економіці кібербезпеки, а не лише в кібербезпеці. Інвестиції в захист — це sunk cost, бабки які вже ніяк не вдасться повернути. А корисність цього вкладення дуже сумнівна, адже в найкращому випадку із вами просто нічого не станеться. Тому з точки зору керування бізнесом, реінвестиція в бізнес набагато ефективніша, ніж інвестиція в його захист. А через те, що нічого відмінного від інвестиції в захист “класичний” ринок кібербезпеки бізнесу запропонувати не може — тут я цілком на боці бізнесу.
Звісно, окрім захисту в кібербезпеці є ще два місця, куди можна інвестувати з метою уникнення чи зменшення ризиків: це побудова безпечних та живучих систем (security engineering) та підготовка до інцидентів (incident response). Перше дозволяє в процесі побудови зменшити ризики експлуатації систем, а друге — з меншими наслідками пережити атаку, якщо/коли вона відбудеться. Ці два напрямки інвестицій, навпаки, є досить дієвими і значно менш ресурсомісткими. Але “це складно”, чи принаймні складніше за побудову КСЗІ або придбання джентльменського набору фаєрвол + антивірус.
Ось такі в мене думки на тему неПеті. Дива не сталося, бізнес не “прозрів”, це цілком логічно і здебільшого правильно. Молодці ті, хто правильно підходить до інвестицій в кібербезпеку. Шкода тих, хто вишикувався в чергу за новими блимаючими скриньками. А для решти нічого не змінилося і звинувачувати їх немає в чому.
Бережіться розумно.
Якщо вам цікаво розібратися в тематиці фундаментально, почніть із цих публікацій:
Our conclusions remain broadly the same as in 2012: it would be economically rational to spend less in anticipation of cybercrime (on antivirus, firewalls, etc.) and more on response.
There is a rising tide of security breaches. There is an even faster rising tide of hysteria over the ostensible reason for these breaches, namely the deficient state of our information infrastructure. Yet the world is doing remarkably well overall, and has not suffered any of the oft-threatened giant digital catastrophes. This continuing general progress of society suggests that cyber security is not very important.
З цікавістю спостерігаю, як розростається «темний ліс» інтернету. Все більше і більше людей обирають шлях уникнення публічної дискусії та перебираються в закриті середовища: форуми по запрошеннях, чати в Телеграмі, Slack, WhatsApp та навіть Signal, закриті групи Facebook, подкасти та блоги за пейволами. Тенденція зрозуміла, глобальна, тому напевно природна. Адже в публічному спілкуванні є низка недоліків.
Роблячи публічну заяву, — чи то вашу оригінальну думку, чи просто коментар до публічної інформації, — ви неодмінно ініціюєте дискусію. Адже незалежно від того, наскільки правдива та чесна ваша заява, неодмінно знайдеться хтось, хто з нею не погодиться.
Ініціюючи публічну дискусію, ви приречені на дебати із непрофесіоналами. Адже інтернет це таке місце, де хто завгодно може поставити під сумнів що завгодно (адже щоб розібратися в складному питанні зараз достатньо прочитати статтю в Вікіпедії), і будьте певні — вас ця доля не омине. Можна, звісно, обділяти увагою відверто аматорські коментарі, але в такому разі ви будете виглядати відверто нечемно. В противному випадку вам доведеться освічувати обивателів, що не є оптимальним використанням часу та калорій.
Продовжуючи публічне транслювання думок, ви неодмінно потрапите в інформаційну бульбашку. Що більше прихильників знайдуть ваші публічні заяви, тим більше буде в них противників, але перші будуть систематично підтверджувати ваші аргументи та зміцнювати вашу впевненість в собі, в той час як останні просто не стануть за вами слідкувати. Таким чином, публічність з часом позбавить вас можливості аргументовано змінити думку, адже контраргументам не буде звідки взятись.
Ваші погляди, продемонстровані публічно, можуть нашкодити вашій кар’єрі, репутації та навіть свободі. На відміну від живої дискусії в чаті або подкасті, ви не зможете уточнити та переформулювати вашу думку після невдалого або політично некоректного жарту. Усі ваші помилки моментально стануть надбанням публіки та будуть висвітлені в тому ракурсі, в якому цікаво освітлювачам. І у вас не буде жодного шансу уточнити або виправити ваші формулювання, навіть щире вибачення не буде мати ваги чи змісту. Така вже природа інтернету, сподіваюся, ви вже в курсі.
Ваша публічна активність зіштовхнеться з усією повнотою викривлень людської поведінки, що їх додає інтернет. Спілкування в інтернеті дистанційне та псевдонімне, і це накладає відбиток на його учасників. В інтернеті люди дозволяють собі речі, від яких утрималися б «в реальному житті», тому будьте готові. «Це інтернет, крихітко, тут можуть послати на х**».
Всі ці та інші недоліки публічного спілкування створюють простір для застосування в інтернеті теорії темного лісу, згідно з якою інформацію не варто поспішати робити публічною, а якщо й так, то не слід приписувати їй персонального автора. Найпростіший шлях, звісно ж, це відмовитися від дискусії взагалі, та обмежити свою взаємодію з інтернетом або зробити її асинхронною й перетворитися на спостерігача. Ще один вихід — мігрувати з публічного інформаційного простору в «темні домени», створені в темному лісі спеціально для стримання поширення інформації назовні, що дозволяє їх мешканцям менше зважати на вади публічного спілкування та вільніше дискутувати один з одним.
Темні домени, — віртуальні простори та дискусійні групи «в реальному житті», потрапити в які можна лише через щільний фільтр довіри та професійної підготовки, — дозволяють людям без обмежень спілкуватися на проблемні та конфліктні теми, і доходити згоди із найскладніших питань, не зважаючи на загрози 1–4. Знаходячись в середовищі «перевірених» співрозмовників, які професійно та морально підготовлені до дискусії з «чистим серцем та відкритим розумом», вести дебати набагато продуктивніше та безпечніше в усіх сенсах.
Також, темні домени створюють умови для формування консенсусу — зваженої думки чи позиції групи людей, експертів в певній області знань. Дійшовши згоди з проблемного питання, вони можуть сформулювати пораду непрофесіоналам, які зможуть застосовувати цю рекомендацію, покладаючись не на якогось одного консультанта чи «лідера думок», а на певний об’єктивний консенсус. Мовляв, якщо вже ці шановні пані та панове між собою домовилися, то які ще можуть бути сумніви? (Звісно ж, сумніви все одно будуть, і об’єктивним консенсус буде лише з певним коефіцієнтом, але це краще, ніж альтернативи.)
В темному домені діють певні правила, які дозволять йому якнайдовше залишатися платформою для вільного спілкування.
Учасники повинні бути професійно та морально підготовлені до участі в домені. Іншими словами, експерти повинні підтвердити свій рівень володіння темою, а ті, хто ще навчається, повинні це задекларувати. Експерти повинні бути готові взаємодіяти з позиції менторів, а всі інші — з позиції учнів.
Учасники потрапляють в домен через процес відбору та перевірки рекомендацій. Випадкові люди в темному домені — це нонсенс. Гості — також. +1 до учасника на одну зустріч — так само. В ідеалі, кожен учасник домену має право аргументованого вето на додавання наступного учасника. В противному випадку, в домені можуть з’явитися учасники, які будуть заважати один одному вільно вести дискусію.
Інформація потрапляє в темний домен вільно та проходить завзяту перевірку на фактичну правдивість. Інформація виходить з домену в максимально узагальненому та знеособленому вигляді, авторство інформації не приписується конкретним особам. В разі потреби, учасники домену можуть дійти згоди про оголошення певного рішення або поради від імені всього домену. Але наративи про обговорення та джерела фактів варто залишати всередині.
На завершення, наведу вам один приклад темного домену. Усім вам напевно відомо про існування Українського кібер-альянсу, але мало хто в курсі подробиць його складу та конкретних учасників. Довгий час ззовні УКА виглядав як 1–2 активісти, які виносили на публіку результати діяльності організації з мінімальною атрибуцією до конкретних груп та учасників. Згодом флешмоби УКА набули популярності та до них почали долучатися всі охочі. Але звісно ж, учасники #FRD (акції з пошуку вразливостей в інформаційних ресурсах державних органів та об’єктів критичної інфраструктури) аж ніяк не ставали автоматично учасниками УКА. Але поспішали при цьому оголосити свої знахідки, і таким чином уникали захисту так старанно створеного темного домену. Як наслідок, жоден активіст, який оголошував результати своєї діяльності поза інформаційними потоками УКА, не міг скористатися захистом темного домену — всіх їх видно як на долоні. Вони можуть сподіватися на допомогу спільноти, але не на захист теорії темного лісу. Іншими словами, вони відкриті для цілого спектру загроз, що набагато менш актуальні для учасників темного домену УКА. Які все ще мають змогу працювати у відносному затишку, транслюючи свої знахідки через напрацьовані канали зв’язку із силовими відомствами та «публічні рупори» альянсу.
Сподіваюся, ці знання допоможуть вам зорієнтуватися в інформаційному сьогоденні. Бережіться.
Тоталітаризм розпочинається із дешевого популізму. Хвиля народного піднесення приводить до влади популярних політиків, які обіцяють покінчити з корупцією. Адже у них висока мета, широка підтримка та народна любов. І все виглядає пречудово, аж ось бюджетники починають відмовлятися обговорювати владу з іноземними журналістами. Звідти вже й до блокувань в інтернеті недалеко, а далі по напрацьованому сценарію.
Ви можете витратити декілька днів, щоб розібратися в сучасних політичних та історичних тенденціях, які раз у раз проявляються в приході до влади популістів та різного ґатунку диктаторів. Я зробив це минулого тижня, і ось вам трохи моїх вражень.
Донедавна вважалося, що після досягнення країною певного рівня добробуту демократія в цій країні стає стійкою. Що після того, як народ пройде крізь усвідомлення різних режимів та дійде до ліберальної демократії, назад вороття немає. Але ж історична пам’ять слабка та легко розчиняється в пропаганді, тому подивіться навкруги.
Туреччина: Ататюрк перевертається в могилі, спостерігаючи як його батьківщина скочується в прірву ісламської диктатури. Угорщина: мовчазне прийняття режиму з відверто тоталітарними амбіціями. Польща: прихід до влади популістів, які закручують гайки емігрантам та суттєво скорочують свободи громадян. Білорусь та Росію годі й обговорювати. Але підсумок сумний: Україну з усіх напрямків оточують країни, в яких останнім часом підняв голову та набирає обертів справжнісінький тоталітаризм. Який в усіх випадках прийшов на зміну “корумпованій” демократії.
Глобальна картина ще гірша: Трамп на агітаційній кобилі із гаслом “crooked Hillary” на крупі та Джонсон із звинуваченнями Євросоюзу у викачуванні грошей з Великобританії через бюрократичну машину. Скрізь й усюди активна та голосна меншість популістів “правих” ідей приходить до влади на хвилі підтримки “простого народу”, який щиро вірить у боротьбу з корупцією.
Ці зрушення останніх років наштовхують істориків та політологів на певні думки, яких в Україні, чогось, ніц не чути. З цього можна зробити висновок, що історики у нас перевелись, а політологи зайняті виключно політичними технологіями. Або ж ще простіше — справжні науковці в цих сферах просто не мають потрібної платформи для висвітлення цих глибоко не цікавих народу проблем.
А думки цікаві, ось наприклад. Так само, як Захід за часів Холодної війни здійснював експорт демократії на Схід, так зараз Росія активно здійснює експорт тоталітаризму. Із тоталітарним режимом простіше “домовитись” — адже там є із ким домовлятись, диктатор вирішує все. І тиснути на одну людину та її найближче оточення набагато простіше, ніж на правлючу партію чи увесь соціум разом.
Але через те, що зробити це напряму дуже важко — жоден демократичний режим в одну мить не вирішить перемкнутись на диктатуру — обрано більш стратегічний шлях. По етапах:
Розгорнути кампанію із звинувачень демократичного уряду в корупції. Працює скрізь і завжди: від Демпартії США до адміністрації Порошенка. Ефект передбачуваний: корумпованість чиновників це догма, відрізняється лише її ступінь, а уявленням про цей ступінь можна “погратися”.
Висунути або підтримати кандидата, який обіцяє подолати корупцію та зробити країну сильною, багатою та великою. Ми зробимо це разом, Make America Great Again, Vote Leave тощо. На тлі попередньої підготовки, це неважко.
Дешевий популізм перетворюється на тоталітаризм, за виключенням випадків, коли народу вдається розгледіти про-російський характер нової влади на ранніх стадіях перетворень. бігство Януковича з України, відсторонення Додона в Молдові, та сьогодення в Грузії — яскраві приклади того, як в цьому російському сценарії “щось пішло не так”.
Тоталітаризм зближує Росію із її новим сателітом, перетворюючи в заручника нових економічних та військових зв’язків. Білорусь, Казахстан та інші колишні республіки СРСР є прикладами успішності такої стратегії, і в уяві Путіна такими маємо стати і ми.
Озброївшись цими знаннями, можна спостерігати глобальну картину під ширшим кутом зору та робити висновки, співставляючи події, зв’язок між якими неочевидний. Іран, Сирія та Венесуела стають ближчими та цікавішими, а на їхніх прикладах вдається сягнути глибини планів Кремля та трагічності їхніх наслідків.
Я далекий від думки, що агенти цих змін мають навіть поверхневе уявлення про те, чим нам загрожують їхні дії. Але судячи з усього, дешевий популізм вже переміг в Україні та найближчим часом нас чекає поступовий перехід до тоталітаризму. 73% — це розкручений бренд, за допомогою якого будуть закручуватися гайки та обмежуватись свободи. На перешкоді цих змін можуть стати лише екстремальний непрофесіоналізм нових чиновників та свідомість обізнаних громадян. Потенційну шкоду від цих тенденцій треба розгледіти вже зараз та розповісти про неї всім, в кого на це не вистачає знань, уваги та часу. Я вже розпочав.
Всі ми довго чекали на цей документ. Тому що спочатку нам прийняли стратегічні документи, такі як стратегія кібербезпеки України та закон про її основні засади. Диявол, як відомо, ховається в деталях, а в стратегії деталей нема. Тому всі ми довго чекали на цей документ. Дочекалися.
Загальний висновок: чтиво на кшталт проби пера студента-третьокурсника, якому доручили написати його першу політику інформаційної безпеки. Хоча ні, скоріше трьох студентів, адже текст місцями абсолютно несумісний. Складається з більш-менш передбачуваних тез, скопійованих із різних джерел нормативки, та переформульованих в кращих традиціяї українського законодавства (тобто, що можна язика зламати). Але в нього при цьому якимось чином потрапили а) не те, що непрофесійні, а відверто ідіотські вимоги, та б) очевидні навіть неозбройному оку простори для корупції.
Цей документ неможливо виконати, не зупинивши та не зруйнувавши процеси в організації. Тому, якщо вам пощастило, і вас внесено до переліку об’єктів критичної інфраструктури, готуйтесь. Найближчим часом у вас або зникне робота як така, або вам доведеться виконувати її із грубими порушеннями “загальних вимог” та під постійною загрозою покарання.
Щоб не залишатися голослівним, давайте я наведу декілька найяскравіших прикладів непрофесіоналізму авторів “вимог”. По порядку.
Початок просто блискучій: таким чином, всі процеси автоматично вважаються критичними.
Як я неодноразово підкреслював, критична інфраструктура це те, без чого ми здохнемо, і те, що може нас вбити. Це найвища форма залежності суспільства та держави. Область, в якій немає ризиків, що можна прийняти без покарання. Тому казати, що критичними ми вважаємо процеси, реалізація загроз на які може заподіяти нам майнову шкоду, — це здійснити інфляцію слова “критичний” в усіх означеннях навколо поняття критичної інфраструктури. Таким чином все стає критичним, а отже критичним не залишається нічого. І це не помилка, далі в “вимогах” цей дух зберігається аж до кінця документу.
Наступний скріншот дуже влучно характеризує усю українську нормативку, її зручність, застосовність та зрозумілість широкому загалу.
Далі ніби натяк на те, що вам дадуть вибір: будувати КСЗІ, або ж нормальну систему ІБ, аби ж твільки вона була дійсно номальна. Це непорозуміння далі в тексті виправляється декілька разів: таки ні, лише КСЗІ.
Далі, якщо у вас є в системах державна інформація або інформація з обмеженим доступом, то від вас вимагається побудова КСЗІ, якість якої перевірятиметься державною експертизою з ТЗІ. В противному випадку, вам треба буде побудувати систему ІБ, яка перевірятиметься незалежним аудитом. Іронія в тому, що шанси захиститися в другому сценарії набагато вищі.
Далі перша згадка про оцінку ризиків. Оцінку. Ризиків. Оцінку ризиків, Карл! На об’єктах критичної інфраструктури! За допомогою настанов ISO27005.
В чому зміст слова “критичний”, якщо в об’єкту, який воно характеризує, залишається простір для подальшої оцінки ризиків? Це знову повертає нас до думки, що об’єкти критичної інфраструктури не такі вже й критичні. Скоріш за все, у список запхали все, що варто захищати. Замість того, щоб провести оцінку ризиків, та сформувати список, в якому лише критичні об’єкти, цю оцінку ризиків вимагають від їхніх власників пост фактум.
Восьмий пункт – перший змістовний. Але покарання за проховання інцидентів не встановлюється, тому пропускаємо.
В дев’ятому пункті нам дають надію: створювати КСЗІ та захищений вузол зв’язку на провайдерах – це дурість, і автори це розуміють. Але далі в тексті цю надію знищують.
В десятому пункті перший абзац — найважливіший в усьому документі і в разі чого принесе найбільше користі та врятує найбільше людей. Другий — в разі чого завдасть найбільшої шкоди та занапастить найбльше людей.
Далі треш. Відвертий та жалюгідний навіть в порівнянні з рештою документу. Очевидно, це писав окремий “автор”, який не засвітився в документі раніше.
В автора цього абзацу в голові блокування, а не ІБ. Немає в кібербезпеці поняття блокування загрози! Нейтралізація загрози — це поцілити в хакера з дрону та розх***ити його на шмаття! Ось що таке блокування загрози. ІБ – це про ризики, та їхнє зниження до прийнятного рівня. Який в випадку справді критичної інфраструктури — дуже низький, але все одно він є. Вердикт: повна некомпетентність, навіть на рівні загальних означень. Стажер бухгалтерської фірми “великої четвірки” написав би краще.
Щойно було про блокування та нейтралізацію, а тепер про компенсаційні контролі! Скільки людей писали цей документ? Чому пункти конфліктують між собою? Хтось це зводив? Покличте редактора!
Завершується загальна частина зашальних вимог простором для подальшої роботи з їхнього розширення. За погодженням з Держспецзв’язку. Якщо вони є авторами цього опусу, то в мене великі сумніви, що це погодження є гарною ідеєю.
На цьому загальна частина завершується, а починається справжнісінький жир.
Під час призначення відповідального за кібербезпеку фахова освіта — не обов’язкова! Але їх буде надано перевагу.
Підпорядкування керівнику — круто. Тепер залишилося його навчити розуміти, про що говорить особа, відповідальна за ІБ. Хтось наслухався пісень про “хороші практики” організації ІБ, які культивуються бухгалтерськими фірмами. Але в дійсності ІБ повинна підпорядковуватися найвищій посаді, на якій сидить людина, яка хоч трохи на цьому знається. Чи це керівник об’єкту критичної інфораструктури? Дуже сумніваюся.
Знову згадування про оцінку ризиків на об’єктах КІ. Не буду повторюватись.
Далі до п. 7 – тупо робіть КСЗІ. А давайте сформуємо собі ринок на 5 років наперед? А давай! Навіть не буду наводити.
Пункт 7 про Політику, яка насправді не політика, а повний пакет нормативки по процедурах ІБ. Цікаво як вона закінчується: може. А може й ні?
Доведення “під підпис” взагалі фіговий спосіб підвищення обізнаності, але що значить “в інший спосіб”?
Найважливіший пункт як завжди найкоротший та не містить жодних рекомендацій.
Далі декілька пунктів про мультифакторну автентифікацію. Прищебніть паски безпеки. Починається з такого. Нє ну взагалі то можете використовувати другий фактор. Якщо хочете. Але якшо ні то ок.
А згодом таке: всім використовувати багатофакторку. Але лише там, де вона є. Чи де її немає? Або використовувати скрізь багато факторів, але де є тільки два — то там два? Ось тут в мене вже сльози потекли.
Добрий ранок! Підвезли Secuirty Through Obscurity! А от просто взяти і виставити вимоги до імен та паролів неможна? Бо так же й зроблять як написано, і зупинять античні черв’яки з дев’яностих. А могли LAPS поставить і забити на це все. Ні! В України свій шлях!
Рукаліцо. А якшо ні то шо? Автор пробував примусити мережевий пристрій працювати без IP або MAC адреси? Як воно взагалі працює, ви не замислювались? Magic dust?
Ось тут одне з найшедевральніших формулювань, які я зустрічав в житті. Тобто – вічно!
Встановіть щось, щоб захищатися від маліварі, ШПЗ та вірусів. Але не переплутайте!
Наступний пункт наштовхує на думку, що десь на об’єктах критичної інфраструктури все ще існують мережі на хабах.
А тепер, мої шановні читачі, якщо стоїте, то присядьте, або візьміться за щось міцне. Увага…
Все. Я все. Збираю манатки і йду вчитися на комбайнера. Всі проблеми безпеки вирішено постановою Кабміну. Розходимось, хлопці та дівчата. Було приємно з вами мати справу.
“Як мінімум, захистіть все від зіродеїв.” Нонсенс за визначенням. Хіба що, як влучно помітив дехто з колег, це “заточка” під окремі “рішення безпеки”, які нахабно вихваляються такими фічами в своїх рекламних презентаціях.
А ось це новаторство, явно з нуля писано самостійно, як і в пункті з блокуваннями. Ось тут видно весь хист та професійність, так.
І там далі ще є пункти, в яких йдеться про ці зони, але дані означення не використовуються. Вводиться Security-zone. Нафіга порядок в нормативці? Її потім важче порушувать.
Далі моє найулюбленіше. Хтось в госусі дуже давно вирішив, шо робити пентести в критичній інфраструктурі – це хороша ідея. Ідея це відверто ідиотська, в мережах такого гатунку пекнути бояться, не те шо пентести робити. Способи та методи оцінки захищеності таких мереж — це окрема дисципліна. Але ж то треба було зробити домашню роботу та вивчити питання. Автори “вимог” цього робити не стали.
Тобто, пентести вимагаються. І знахідки треба буде усувати. А кого усувати, якщо все успішно навернеться під час такого пентесту? А знаєте що, в мене є здогад, що не навернеться. Бо робити ці “пентести” будуть експерти Держспецзв’язку, які їх робити не будуть. Завіса.
Наступний пункт треба читати з особливим таким пафосом.
Це неможливо. Фізично. Організаційно. Культурно. Неможливо. Але давайте впишемо в вимоги. Будемо “нейтралізувати” всіх, хто не ввімкнув режим польоту на прохідній.
О, а тут (пам’ятаєте, я обіцяв) — пряма вимога підключатися до інтернет через провайдерів з КСЗІ. Браво! В двох місцях документу написані принципово різні речі.
Далі, в відмовостійкості. Тобто, два провайдери з КСЗІ. Масштаб зростає!
Далі в мене з очей потекла кров і мене забрали в швидку. Пам’ятаю лише, що в документі багато разів згадується про роль Адміністратора, яка ніде не визначається. Як і відповідальність за порушення цих вимог.
Висновки зробимо згодом і разом. Зараз хочу нагадати про те, що запропонована мною Рада кібербезпеки України повинна в першу чергу виявляти та виносити на публічне обговорення ось такі приколади знахабнілої некомпетентності в державних установах. Цей документ або не буде прийнято до уваги, або не буде реалізовано, або він зашкодить більше, ніж допоможе. Я не побоюся цих слів та зроблю припущення, що висловлюю думку більшості моїх колег: Це жахливо, жалюгідно та образливо.
