Категорія: Кібербезпека

Есе, рекомендації та думки на професійні теми: кібербезпека, аппсек та пентести.

Топ-5 речей які компанії не роблять заради безпеки

В одному з попередніх постів я писав про топ-5 способів зламу, які користувалися надзвичайною популярністю в минулому році. В цьому дописі мова піде про топ-5 способів захистити себе та своїх клієнтів, якими компанії могли б скористатися, але вперто не цього роблять.

1. Двохфакторна автентифікація.

Цей найпростіший спосіб радикально підвищити безпеку вперто ігнорують більшість компаній. “Фактор” автентифікації в перекладі з англійської означає “множник”. Тобто, додаючи до паролю другий фактор (скажімо, одноразовий код, який генерується мобільним додатком), можна умовно збільшити складність зламу системи удвічі.

Навіть сумнозвісні одноразові паролі з доставкою по SMS, якщо використовувати їх разом з звичайними паролями, а не замість них, — це просто колосальний приріст безпеки за доволі помірні гроші. А переважна більшість додатків та сервісів, особливо корпоративних, вже давно надає можливість увімкнути так звану двохетапну перевірку.

Та де там — такі вправи не для пересічних користувачів, а про клієнтів й мови немає — вони одразу ж від нас повтікають до конкурента, який не обтяжує їх введенням ще одного значення в веб-форму. Я вам більше скажу: у списку розсилки OWASP Leaders, в якій тусять керівники відділень та проектів OWASP, пару тижнів тому розгорілася дискусія про те, чи доцільно ввімкнути нарешті примусовий другий фактор у домені Google Apps цієї організації. Якщо серед лідерів OWASP знаходяться люди, які ставлять під питання необхідність цього заходу, то що вже казати про нормальних людей?

2. Вставка з буферу обміну в поле паролю.

Ось як буває, коли рішення щодо заходів безпеки приймають не менеджери, а програмісти. Соромно сказати, але в 2019 році на веб-сайтах деяких банківських установ користувачам все ще доводиться вводити пароль ручками. Парольні менеджери? Ні, не чули.

Замість того, щоб згенерувати собі складний та унікальний пароль з 20 символів та автоматично вставляти його у форму під час входу в систему, клієнт повинен страждати. Він повинен вигадувати пароль самостійно, зберігати його в голові, та вводити пальцями кожен раз, коли відвідує веб-сайт. При цьому, клієнт помилиться мовою вводу або натисне неправильні клавіші, заблокує свій обліковий запис, та піде із паспортом на уклін до відділення банку, щоб його розблокувати. Тому що таке вже в програміста було уявлення про безпеку.

3. Захист від фішингу.

Два прості кроки з захисту працівників від фішингу: ввімкнути анти-спуфінг електронної пошти (декілька заголовків DNS) та відмічати усі вхідні повідомлення, скажімо, словом EXTERNAL в полі Subject. Таким чином зловмисникам стане складніше підробляти електронні листи так, ніби вони надходять із ваших корпоративних поштових доменів, а фішинг з саморобних доменів та безкоштовних поштових сервісів привертатиме увагу позначкою про походження зовні.

Як соціальний інженер з багаторічним досвідом, я стверджую, що ці дії можуть убезпечити персонал від фішингових атак відсотків на 95, а решта 5 закривається тренінгом та “інцидентною практикою”. Проте, на жаль, багатьом організаціям набагато простіше звинуватити користувачів в тупості, обізвати прокладкою між кріслом та монітором, та налякати покаранням за кожне натиснуте посилання.

4. Відокремлення юзерів від адмінів.

Мені важко уявити умови, в яких в бізнес-середовищі користувачам можуть знадобитися права адміністратора в додатках та операційній системі. Тим не менш, в багатьох організаціях звичайним користувачам часто надають щонайменше права локальних адмінів на їхній робочій машині.

Звісно ж, так набагато простіше для всіх: адміни можуть розслабитись та рідше відриватися від “справжньої роботи”, а юзери можуть за потреби встановити собі потрібну програму або драйвер нового пристрою. Але це спрощення може стати причиною повної компрометації інфраструктури компанії в наслідок зламу всього одного робочого місця. І мені не відомі випадки, коли користувачів позбавляли підвищених привілеїв до того, як траплявся такий тотальний інцидент.

Тому що, ясна річ, у всіх “топів” на лаптопах та сама картина, а в разі чого хто винен? Та ніхто, бо як же ж від тих хакерів захиститись? Стихійне лихо…

5. Відокремлення мереж за призначенням.

Буквально всі організації починають будувати свої мережі не за принципом бізнес-необхідності, а з міркувань територіальної розподільності. Тобто, окремі мережі отримують київський, львівський та харківський офіси, а не окремі департаменти.

Це може здаватись логічним, але насправді є ще одним шляхом найменшого спротиву, який веде до компрометації. Адже різні підрозділи виконують різні функції, мають різні стосунки з зовнішнім світом, і наражають організацію на ризики різного рівня. Наприклад, ІТ-департамент довго обирає постачальника нового ІТ-рішення, потім місяці випробовує його в віртуальній лабораторії, після чого розгортає в ізольованій мережі та поступово відкриває до нього доступ іншим підрозділам. В той час, як департамент розробки програмного забезпечення повинен мати змогу протягом 10–15 хвилин розгорнути з шаблону нове середовище розробки та під’єднати його до власної мережі, мережі клієнта та дикого інтернету.

Звісно ж, в разі компрометації менш суворо захищеної мережі, коли між нею та іншими підмережами немає надійної політики контролю доступу, інцидент швидко поширюється в усі боки та бізнес зупиняється повністю. В той час, як у випадку правильної сегментації наслідки будь-якого проникнення можна обмежити рамками однієї бізнес функції.

Сподіваюся, ці рядки надихнуть когось переглянути своє ставлення до зазначених проблем та щось змінити в цьому світі. Але сподіваюся не дуже сильно, адже така ймовірність дуже мала. Принаймні до наступного глобального мережевого вірусу, який вкладе пів інтернету.

Бережіться.

Блокування легітимних веб-сайтів

(enigma.ua, blogs.korrespondent.net тощо)

На жаль, факту блокування Enigma.ua та низки інших веб-сайтів приділяється занадто мало уваги в ЗМІ та соціальних медіа. А ось дуже шкода, тому що це якраз ті перші кроки з наближення нашого суспільства до тоталітаризму, про які ми з колегами попереджали вас ще за часів блокування російських веб-сайтів та соціальних мереж.

Давайте я спрощу для вас ситуацію. Відтепер, якщо якомусь/якійсь судді цього захочеться, “заблокувати” в Україні можна будь-що. Ще раз, щоб заблокувати медійний ресурс, достатньо переконати одну людину в тому, що якийсь контент на цьому ресурсі підпадає під критерії, визначені в анти-конституційному указі, згідно з яким попередня влада типу заблокувала ВК, Однокласники та решту пацакської шушвалі. Ми з колегами попереджали тоді, що даючи державі владу над нашим доступом до інформації, ми даємо їй змогу маніпулювати цією владою. І що найгірше, цей дозвіл пошириться на, та перейде у спадок до наступного уряду.

Узурпація контролю за доступом до інформації в інтернеті — це волога мрія будь-якого популіста, з яких, як відомо з історії, виходять досить пристойні тоталітарні диктатори. Зараз цього ще не помітно, але вже настав час нагадувати, що “ми ж вам казали.”

Що можна зробити? Для початку, було б чотко, якщо хтось би оце наважився моніторити подібні судові рішення та оновлювати “мапу несвободи” українського вебу. Динаміка розвитку подій підкаже наступні кроки. Скоріш за все свободу, яку ми так вигідно обміняли на швидку політичну дію під гаслом “дуси пацаків”, доведеться все ж таки виборювати взад, щодо методів прогнозів не роблю.

Але як мінімум варто розпочати (нарешті) використовувати якийсь пристойний VPN з виходом в цивілізованій країні десь в Бенелюксі чи Північній Європі. Згадаєте мої слова, ця штука вам ще знадобиться. І пам’ятайте — інтернет-провайдер вам в цій ситуації не друг, а скоріш навпаки. Провайдер тут для того, щоб заробляти свої бабки, і він змушений виконувати правила гри, нав’язані йому державою.

І ані провайдеру, ані державі, ані будь-кому в цьому світі немає діла до того, які сайти ви відвідуєте, якщо цим ви прямо не порушуєте закон.


notPetya два роки потому

або чому бізнес не змінив ставлення до кібербезпеки

Я нічого не писав про річницю неПеті, висновки що їх (не) зробила українська держава та бізнес тощо. Зокрема тому, що дуже хотілося почути думки колег і не тільки, а вже потім виносити свої спостереження на публіку. Свою думку щодо цього дуже часто висловлюю і журналістам, і колегам, і навіть клієнтам, але вони її чомусь далі не транслюють. Можливо, вона змушує їх задуматись, а може й ні. З огляду на таку реакцію, я собі зробив висновок, що моя позиція по цій темі непопулярна, хоча поки що ніхто не висунув цікавих контраргументів. Тому давайте-но я її озвучу широко.

Інцидент з неПетєю довів українській державі та бізнесу те, що вони і так знали: кібербезпека не така й важлива, та інвестувати в неї (в тому вигляді, як це пропонує робити ринок) немає особливого сенсу.

Звісно, є певні виключення: деякі компанії, які були геть не готові, нарешті почали робити хоч щось. Деякі компанії, яких зачепило сильніше, ніж конкурентів, зробили корисні висновки. Деякі компанії навіть зробили гасло “ніколи знову” частиною бізнес-стратегії. Але тут йдеться про десятки організацій, всім іншим — відверто все одно.

І з економічної точки зору вони абсолютно праві. По-перше тому, що тотальний інцидент, який накриває весь ринок (вертикаль/галузь/регіон) рівномірно, не складає аж такої великої загрози. Ось вам приклад: коли збитків зазнають всі конкуренти в певній ніші, жодного з них це особливо не топить, адже ніхто не втрачає клієнтів через брак альтернативи. Ця ментальність дуже поширена і з точки зору бізнесу вона вірна.

По-друге, будемо відверті: ніхто не вмер, нікому не відтяло кінцівку, нікого не посадили у в’язницю. Жодна компанія не повідомила про те, що в наслідок неПеті вона збанкрутіла та припинила існування. А недоотриманий прибуток — це просто гроші, їх можна потім заробити (чи як ви їх там здобуваєте). Ці думки заспокоюють бізнес, а безкарність заспокоює чиновників.

Щоб розділяти думку бізнесу треба трохи розібратися в економіці кібербезпеки, а не лише в кібербезпеці. Інвестиції в захист — це sunk cost, бабки які вже ніяк не вдасться повернути. А корисність цього вкладення дуже сумнівна, адже в найкращому випадку із вами просто нічого не станеться. Тому з точки зору керування бізнесом, реінвестиція в бізнес набагато ефективніша, ніж інвестиція в його захист. А через те, що нічого відмінного від інвестиції в захист “класичний” ринок кібербезпеки бізнесу запропонувати не може — тут я цілком на боці бізнесу.

Звісно, окрім захисту в кібербезпеці є ще два місця, куди можна інвестувати з метою уникнення чи зменшення ризиків: це побудова безпечних та живучих систем (security engineering) та підготовка до інцидентів (incident response). Перше дозволяє в процесі побудови зменшити ризики експлуатації систем, а друге — з меншими наслідками пережити атаку, якщо/коли вона відбудеться. Ці два напрямки інвестицій, навпаки, є досить дієвими і значно менш ресурсомісткими. Але “це складно”, чи принаймні складніше за побудову КСЗІ або придбання джентльменського набору фаєрвол + антивірус.

Ось такі в мене думки на тему неПеті. Дива не сталося, бізнес не “прозрів”, це цілком логічно і здебільшого правильно. Молодці ті, хто правильно підходить до інвестицій в кібербезпеку. Шкода тих, хто вишикувався в чергу за новими блимаючими скриньками. А для решти нічого не змінилося і звинувачувати їх немає в чому.

Бережіться розумно.

Якщо вам цікаво розібратися в тематиці фундаментально, почніть із цих публікацій:

Our conclusions remain broadly the same as in 2012: it would be economically rational to spend less in anticipation of cybercrime (on antivirus, firewalls, etc.) and more on response.

There is a rising tide of security breaches. There is an even faster rising tide of hysteria over the ostensible reason for these breaches, namely the deficient state of our information infrastructure. Yet the world is doing remarkably well overall, and has not suffered any of the oft-threatened giant digital catastrophes. This continuing general progress of society suggests that cyber security is not very important.

Темний ліс росте

Нові традиції спілкування онлайн та оффлайн

З цікавістю спостерігаю, як розростається «темний ліс» інтернету. Все більше і більше людей обирають шлях уникнення публічної дискусії та перебираються в закриті середовища: форуми по запрошеннях, чати в Телеграмі, Slack, WhatsApp та навіть Signal, закриті групи Facebook, подкасти та блоги за пейволами. Тенденція зрозуміла, глобальна, тому напевно природна. Адже в публічному спілкуванні є низка недоліків.

  1. Роблячи публічну заяву, — чи то вашу оригінальну думку, чи просто коментар до публічної інформації, — ви неодмінно ініціюєте дискусію. Адже незалежно від того, наскільки правдива та чесна ваша заява, неодмінно знайдеться хтось, хто з нею не погодиться.
  2. Ініціюючи публічну дискусію, ви приречені на дебати із непрофесіоналами. Адже інтернет це таке місце, де хто завгодно може поставити під сумнів що завгодно (адже щоб розібратися в складному питанні зараз достатньо прочитати статтю в Вікіпедії), і будьте певні — вас ця доля не омине. Можна, звісно, обділяти увагою відверто аматорські коментарі, але в такому разі ви будете виглядати відверто нечемно. В противному випадку вам доведеться освічувати обивателів, що не є оптимальним використанням часу та калорій.
  3. Продовжуючи публічне транслювання думок, ви неодмінно потрапите в інформаційну бульбашку. Що більше прихильників знайдуть ваші публічні заяви, тим більше буде в них противників, але перші будуть систематично підтверджувати ваші аргументи та зміцнювати вашу впевненість в собі, в той час як останні просто не стануть за вами слідкувати. Таким чином, публічність з часом позбавить вас можливості аргументовано змінити думку, адже контраргументам не буде звідки взятись.
  4. Ваші погляди, продемонстровані публічно, можуть нашкодити вашій кар’єрі, репутації та навіть свободі. На відміну від живої дискусії в чаті або подкасті, ви не зможете уточнити та переформулювати вашу думку після невдалого або політично некоректного жарту. Усі ваші помилки моментально стануть надбанням публіки та будуть висвітлені в тому ракурсі, в якому цікаво освітлювачам. І у вас не буде жодного шансу уточнити або виправити ваші формулювання, навіть щире вибачення не буде мати ваги чи змісту. Така вже природа інтернету, сподіваюся, ви вже в курсі.
  5. Ваша публічна активність зіштовхнеться з усією повнотою викривлень людської поведінки, що їх додає інтернет. Спілкування в інтернеті дистанційне та псевдонімне, і це накладає відбиток на його учасників. В інтернеті люди дозволяють собі речі, від яких утрималися б «в реальному житті», тому будьте готові. «Це інтернет, крихітко, тут можуть послати на х**».

Всі ці та інші недоліки публічного спілкування створюють простір для застосування в інтернеті теорії темного лісу, згідно з якою інформацію не варто поспішати робити публічною, а якщо й так, то не слід приписувати їй персонального автора. Найпростіший шлях, звісно ж, це відмовитися від дискусії взагалі, та обмежити свою взаємодію з інтернетом або зробити її асинхронною й перетворитися на спостерігача. Ще один вихід — мігрувати з публічного інформаційного простору в «темні домени», створені в темному лісі спеціально для стримання поширення інформації назовні, що дозволяє їх мешканцям менше зважати на вади публічного спілкування та вільніше дискутувати один з одним.

Темні домени, — віртуальні простори та дискусійні групи «в реальному житті», потрапити в які можна лише через щільний фільтр довіри та професійної підготовки, — дозволяють людям без обмежень спілкуватися на проблемні та конфліктні теми, і доходити згоди із найскладніших питань, не зважаючи на загрози 1–4. Знаходячись в середовищі «перевірених» співрозмовників, які професійно та морально підготовлені до дискусії з «чистим серцем та відкритим розумом», вести дебати набагато продуктивніше та безпечніше в усіх сенсах.

Також, темні домени створюють умови для формування консенсусу — зваженої думки чи позиції групи людей, експертів в певній області знань. Дійшовши згоди з проблемного питання, вони можуть сформулювати пораду непрофесіоналам, які зможуть застосовувати цю рекомендацію, покладаючись не на якогось одного консультанта чи «лідера думок», а на певний об’єктивний консенсус. Мовляв, якщо вже ці шановні пані та панове між собою домовилися, то які ще можуть бути сумніви? (Звісно ж, сумніви все одно будуть, і об’єктивним консенсус буде лише з певним коефіцієнтом, але це краще, ніж альтернативи.)

В темному домені діють певні правила, які дозволять йому якнайдовше залишатися платформою для вільного спілкування.

  1. Учасники повинні бути професійно та морально підготовлені до участі в домені. Іншими словами, експерти повинні підтвердити свій рівень володіння темою, а ті, хто ще навчається, повинні це задекларувати. Експерти повинні бути готові взаємодіяти з позиції менторів, а всі інші — з позиції учнів.
  2. Учасники потрапляють в домен через процес відбору та перевірки рекомендацій. Випадкові люди в темному домені — це нонсенс. Гості — також. +1 до учасника на одну зустріч — так само. В ідеалі, кожен учасник домену має право аргументованого вето на додавання наступного учасника. В противному випадку, в домені можуть з’явитися учасники, які будуть заважати один одному вільно вести дискусію.
  3. Інформація потрапляє в темний домен вільно та проходить завзяту перевірку на фактичну правдивість. Інформація виходить з домену в максимально узагальненому та знеособленому вигляді, авторство інформації не приписується конкретним особам. В разі потреби, учасники домену можуть дійти згоди про оголошення певного рішення або поради від імені всього домену. Але наративи про обговорення та джерела фактів варто залишати всередині.

На завершення, наведу вам один приклад темного домену. Усім вам напевно відомо про існування Українського кібер-альянсу, але мало хто в курсі подробиць його складу та конкретних учасників. Довгий час ззовні УКА виглядав як 1–2 активісти, які виносили на публіку результати діяльності організації з мінімальною атрибуцією до конкретних груп та учасників. Згодом флешмоби УКА набули популярності та до них почали долучатися всі охочі. Але звісно ж, учасники #FRD (акції з пошуку вразливостей в інформаційних ресурсах державних органів та об’єктів критичної інфраструктури) аж ніяк не ставали автоматично учасниками УКА. Але поспішали при цьому оголосити свої знахідки, і таким чином уникали захисту так старанно створеного темного домену. Як наслідок, жоден активіст, який оголошував результати своєї діяльності поза інформаційними потоками УКА, не міг скористатися захистом темного домену — всіх їх видно як на долоні. Вони можуть сподіватися на допомогу спільноти, але не на захист теорії темного лісу. Іншими словами, вони відкриті для цілого спектру загроз, що набагато менш актуальні для учасників темного домену УКА. Які все ще мають змогу працювати у відносному затишку, транслюючи свої знахідки через напрацьовані канали зв’язку із силовими відомствами та «публічні рупори» альянсу.

Сподіваюся, ці знання допоможуть вам зорієнтуватися в інформаційному сьогоденні. Бережіться.

Більше про теорію темного лісу:

  1. The Intellectual Dark Web (IDW) and Dark Forest Theory.
    How fear of repercussions can drive meaningful interaction into private forums. https://danielmiessler.com/blog/the-intellectual-dark-web-is-a-clear-case-of-dark-forest-theory/
  2. The Dark Forest Theory of the Internet. https://onezero.medium.com/the-dark-forest-theory-of-the-internet-7dc3e68a7cb1
  3. Beyond the Dark Forest Theory of the Internet. https://onezero.medium.com/beyond-the-dark-forest-a905e2dd8ae0

Загальні вимоги з кібербезпеки критичної інфраструктури

Уважно прочитав сьогодні “Загальні вимоги до кіберзахисту об’єктів критичної інфраструктури”, затверджені Кабміном 19 червня 2019 р. Якщо не маєте нагальної потреби, моя вам порада: не читайте. Це сміх, сльози та кров з очей. Я зробив це за вас: вважайте це жертвою, яку я приніс заради вашого психічного здоров’я.

Всі ми довго чекали на цей документ. Тому що спочатку нам прийняли стратегічні документи, такі як стратегія кібербезпеки України та закон про її основні засади. Диявол, як відомо, ховається в деталях, а в стратегії деталей нема. Тому всі ми довго чекали на цей документ. Дочекалися.

Загальний висновок: чтиво на кшталт проби пера студента-третьокурсника, якому доручили написати його першу політику інформаційної безпеки. Хоча ні, скоріше трьох студентів, адже текст місцями абсолютно несумісний. Складається з більш-менш передбачуваних тез, скопійованих із різних джерел нормативки, та переформульованих в кращих традиціяї українського законодавства (тобто, що можна язика зламати). Але в нього при цьому якимось чином потрапили а) не те, що непрофесійні, а відверто ідіотські вимоги, та б) очевидні навіть неозбройному оку простори для корупції.

Цей документ неможливо виконати, не зупинивши та не зруйнувавши процеси в організації. Тому, якщо вам пощастило, і вас внесено до переліку об’єктів критичної інфраструктури, готуйтесь. Найближчим часом у вас або зникне робота як така, або вам доведеться виконувати її із грубими порушеннями “загальних вимог” та під постійною загрозою покарання.

Щоб не залишатися голослівним, давайте я наведу декілька найяскравіших прикладів непрофесіоналізму авторів “вимог”. По порядку.

Початок просто блискучій: таким чином, всі процеси автоматично вважаються критичними.

Як я неодноразово підкреслював, критична інфраструктура це те, без чого ми здохнемо, і те, що може нас вбити. Це найвища форма залежності суспільства та держави. Область, в якій немає ризиків, що можна прийняти без покарання. Тому казати, що критичними ми вважаємо процеси, реалізація загроз на які може заподіяти нам майнову шкоду, — це здійснити інфляцію слова “критичний” в усіх означеннях навколо поняття критичної інфраструктури. Таким чином все стає критичним, а отже критичним не залишається нічого. І це не помилка, далі в “вимогах” цей дух зберігається аж до кінця документу.

Наступний скріншот дуже влучно характеризує усю українську нормативку, її зручність, застосовність та зрозумілість широкому загалу.

Далі ніби натяк на те, що вам дадуть вибір: будувати КСЗІ, або ж нормальну систему ІБ, аби ж твільки вона була дійсно номальна. Це непорозуміння далі в тексті виправляється декілька разів: таки ні, лише КСЗІ.

Далі, якщо у вас є в системах державна інформація або інформація з обмеженим доступом, то від вас вимагається побудова КСЗІ, якість якої перевірятиметься державною експертизою з ТЗІ. В противному випадку, вам треба буде побудувати систему ІБ, яка перевірятиметься незалежним аудитом. Іронія в тому, що шанси захиститися в другому сценарії набагато вищі.

Далі перша згадка про оцінку ризиків. Оцінку. Ризиків. Оцінку ризиків, Карл! На об’єктах критичної інфраструктури! За допомогою настанов ISO27005.

В чому зміст слова “критичний”, якщо в об’єкту, який воно характеризує, залишається простір для подальшої оцінки ризиків? Це знову повертає нас до думки, що об’єкти критичної інфраструктури не такі вже й критичні. Скоріш за все, у список запхали все, що варто захищати. Замість того, щоб провести оцінку ризиків, та сформувати список, в якому лише критичні об’єкти, цю оцінку ризиків вимагають від їхніх власників пост фактум.

Восьмий пункт – перший змістовний. Але покарання за проховання інцидентів не встановлюється, тому пропускаємо.

В дев’ятому пункті нам дають надію: створювати КСЗІ та захищений вузол зв’язку на провайдерах – це дурість, і автори це розуміють. Але далі в тексті цю надію знищують.

В десятому пункті перший абзац — найважливіший в усьому документі і в разі чого принесе найбільше користі та врятує найбільше людей. Другий — в разі чого завдасть найбільшої шкоди та занапастить найбльше людей.

Далі треш. Відвертий та жалюгідний навіть в порівнянні з рештою документу. Очевидно, це писав окремий “автор”, який не засвітився в документі раніше.

В автора цього абзацу в голові блокування, а не ІБ. Немає в кібербезпеці поняття блокування загрози! Нейтралізація загрози — це поцілити в хакера з дрону та розх***ити його на шмаття! Ось що таке блокування загрози. ІБ – це про ризики, та їхнє зниження до прийнятного рівня. Який в випадку справді критичної інфраструктури — дуже низький, але все одно він є. Вердикт: повна некомпетентність, навіть на рівні загальних означень. Стажер бухгалтерської фірми “великої четвірки” написав би краще.

Щойно було про блокування та нейтралізацію, а тепер про компенсаційні контролі! Скільки людей писали цей документ? Чому пункти конфліктують між собою? Хтось це зводив? Покличте редактора!

Завершується загальна частина зашальних вимог простором для подальшої роботи з їхнього розширення. За погодженням з Держспецзв’язку. Якщо вони є авторами цього опусу, то в мене великі сумніви, що це погодження є гарною ідеєю.

На цьому загальна частина завершується, а починається справжнісінький жир.

Під час призначення відповідального за кібербезпеку фахова освіта — не обов’язкова! Але їх буде надано перевагу.

Підпорядкування керівнику — круто. Тепер залишилося його навчити розуміти, про що говорить особа, відповідальна за ІБ. Хтось наслухався пісень про “хороші практики” організації ІБ, які культивуються бухгалтерськими фірмами. Але в дійсності ІБ повинна підпорядковуватися найвищій посаді, на якій сидить людина, яка хоч трохи на цьому знається. Чи це керівник об’єкту критичної інфораструктури? Дуже сумніваюся.

Знову згадування про оцінку ризиків на об’єктах КІ. Не буду повторюватись.

Далі до п. 7 – тупо робіть КСЗІ. А давайте сформуємо собі ринок на 5 років наперед? А давай! Навіть не буду наводити.

Пункт 7 про Політику, яка насправді не політика, а повний пакет нормативки по процедурах ІБ. Цікаво як вона закінчується: може. А може й ні?

Доведення “під підпис” взагалі фіговий спосіб підвищення обізнаності, але що значить “в інший спосіб”?

Найважливіший пункт як завжди найкоротший та не містить жодних рекомендацій.

Далі декілька пунктів про мультифакторну автентифікацію. Прищебніть паски безпеки. Починається з такого. Нє ну взагалі то можете використовувати другий фактор. Якщо хочете. Але якшо ні то ок.

А згодом таке: всім використовувати багатофакторку. Але лише там, де вона є. Чи де її немає? Або використовувати скрізь багато факторів, але де є тільки два — то там два? Ось тут в мене вже сльози потекли.

Добрий ранок! Підвезли Secuirty Through Obscurity! А от просто взяти і виставити вимоги до імен та паролів неможна? Бо так же й зроблять як написано, і зупинять античні черв’яки з дев’яностих. А могли LAPS поставить і забити на це все. Ні! В України свій шлях!

Рукаліцо. А якшо ні то шо? Автор пробував примусити мережевий пристрій працювати без IP або MAC адреси? Як воно взагалі працює, ви не замислювались? Magic dust?

Ось тут одне з найшедевральніших формулювань, які я зустрічав в житті. Тобто – вічно!

Встановіть щось, щоб захищатися від маліварі, ШПЗ та вірусів. Але не переплутайте!

Наступний пункт наштовхує на думку, що десь на об’єктах критичної інфраструктури все ще існують мережі на хабах.

А тепер, мої шановні читачі, якщо стоїте, то присядьте, або візьміться за щось міцне. Увага…

Все. Я все. Збираю манатки і йду вчитися на комбайнера. Всі проблеми безпеки вирішено постановою Кабміну. Розходимось, хлопці та дівчата. Було приємно з вами мати справу.

“Як мінімум, захистіть все від зіродеїв.” Нонсенс за визначенням. Хіба що, як влучно помітив дехто з колег, це “заточка” під окремі “рішення безпеки”, які нахабно вихваляються такими фічами в своїх рекламних презентаціях.

А ось це новаторство, явно з нуля писано самостійно, як і в пункті з блокуваннями. Ось тут видно весь хист та професійність, так.

І там далі ще є пункти, в яких йдеться про ці зони, але дані означення не використовуються. Вводиться Security-zone. Нафіга порядок в нормативці? Її потім важче порушувать.

Далі моє найулюбленіше. Хтось в госусі дуже давно вирішив, шо робити пентести в критичній інфраструктурі – це хороша ідея. Ідея це відверто ідиотська, в мережах такого гатунку пекнути бояться, не те шо пентести робити. Способи та методи оцінки захищеності таких мереж — це окрема дисципліна. Але ж то треба було зробити домашню роботу та вивчити питання. Автори “вимог” цього робити не стали.

Тобто, пентести вимагаються. І знахідки треба буде усувати. А кого усувати, якщо все успішно навернеться під час такого пентесту? А знаєте що, в мене є здогад, що не навернеться. Бо робити ці “пентести” будуть експерти Держспецзв’язку, які їх робити не будуть. Завіса.

Наступний пункт треба читати з особливим таким пафосом.

Це неможливо. Фізично. Організаційно. Культурно. Неможливо. Але давайте впишемо в вимоги. Будемо “нейтралізувати” всіх, хто не ввімкнув режим польоту на прохідній.

О, а тут (пам’ятаєте, я обіцяв) — пряма вимога підключатися до інтернет через провайдерів з КСЗІ. Браво! В двох місцях документу написані принципово різні речі.

Далі, в відмовостійкості. Тобто, два провайдери з КСЗІ. Масштаб зростає!

Далі в мене з очей потекла кров і мене забрали в швидку. Пам’ятаю лише, що в документі багато разів згадується про роль Адміністратора, яка ніде не визначається. Як і відповідальність за порушення цих вимог.

Висновки зробимо згодом і разом. Зараз хочу нагадати про те, що запропонована мною Рада кібербезпеки України повинна в першу чергу виявляти та виносити на публічне обговорення ось такі приколади знахабнілої некомпетентності в державних установах. Цей документ або не буде прийнято до уваги, або не буде реалізовано, або він зашкодить більше, ніж допоможе. Я не побоюся цих слів та зроблю припущення, що висловлюю думку більшості моїх колег: Це жахливо, жалюгідно та образливо.