КИИ пришла, откуда не ждали

Сегодняшняя тема как нельзя кстати подходит под общую канву заметок в данном блоге, ибо вот уж точно касается каждого. Ночь, улица, фонарь, деревня… онлайн касса?! Да, я с улыбкой относился к идее создания централизованной системы «под эгидой» ФНС, которая в режиме реального времени (или близком к тому) должна будет агрегировать информацию о розничных продажах и по QR-коду предоставлять физическим лицам факт и информацию о совершенной покупке. Да, я считаю рынок ОФД (операторы фискальных данных – как раз те организации, которые должны обрабатывать фискальные данные и отправлять в ФНС) централизованной монополией, т.к. 15 организаций в списке по стране по состоянию на декабрь 2017 на 1.8 млн. торговых точке – что же это еще? И то, по разным данным, год назад ФНС упорно «не хотела» регистрировать больше 5 организаций. Делалось это разными способами, в том числе через искусственный дефицит так называемых серверных частей модулей криптографической защиты (МКЗ). Автор блога сам не понаслышке знает о регистрации и проблемах создания собственного ОФД, т.к. принимал непосредственное участие в этом процессе на одной из стадий в некой крупной компании, которая пыталась ранее получить аккредитацию ФНС. А теперь попробуем прикинуть масштаб возможных проблем и пофантазировать, система целиком всей розничной торговли в России подходит под описании КИИ?

Однако же, с лихим принятием 54-ФЗ стало совершенно ясно, что это все всерьез. Малым и средним предпринимателям стало очень быстро не до смеха, равно как и когда вводили ЕГАИС (единая государственная система учета алкогольной продукции)  в рознице и маркировку шубных изделий. В рамках данной заметки опустим технические сложности исполнения закона, возросшую финансовую нагрузку и очень длительную невозможность в принципе его исполнять (монополия на продажу фискальных накопителей (ФН) и темная история с компанией РИК). Поговорим об одном из свойств любимой триады – доступности.

                В свое время, когда я был вовлечен в процесс возможного создания ОФД, изучал методику проведения приемочных испытаний ОФД. Так вот, большое внимание там было уделено, как принято, ГОСТовой криптографии, функционированию самой ККТ, требованиям к размещению серверов под ОФД. Что же с доступностью? На стороне ОФД – все реально обеспечить. На стороне предпринимателей - казалось бы, тоже просто, особенно когда есть большой супермаркет, несколько каналов связи, дополнительное резервирование через мобильный трафик. Даже для отдаленных пунктов продаж с нестабильной связью, есть решение: передавать информацию о чеках в ОФД не моментально, а порциями, когда появится связь. Все нюансы учтены, кроме одного: кассир обязан выдать кассовый чек при совершении покупки в 100% случаях, и здесь отложенное право не сработает. Именно опасение нарушить закон и попасть на 10000 руб. штрафа за каждый не выданный чек и парализовали 20 декабря 2017 работу по всей стране 80 000 онлайн касс (или 5% всех в России) самого популярного производителя – «Штрих-М». «Эльдорадо», DNS, аптеки «Ригла», АЗС «Газпром нефти», «Лукойла», «Роснефти», магазины «Магнит», «Пятерочка», «Перекресток», «Карусель» - это далеко не полный список всех ритейлеров, вынужденных отказывать в покупке продукции клиентам. Не беря во внимание миллиардные убытки компаний, констатируем факт: люди остались без возможности срочно заправить машину, купить лекарства или продукты. Суть сбоя ККТ была в том, что, что при конвертации даты 20.12.2017 операция «печать чека» становилась циклической, касса уходила в ребут.

Кто-нибудь проверял на НДВ ПО ККТ или хотя бы делал анализ кода на корректность? В требованиях к функционированию всей цепочки – ККТ-ОФД-ФНС я этого не увидел, в отличие от кучи других требований, по типу СКЗИ (отечественной криптографии) и ФН в виде неизменяемого «черного ящика»: вынул-вставил. Если бы масштаб сбоя по количеству был не 5%, а 50%, признавалось бы происшествие ЧС? Все чаще в последнее время мы с коллегами рассуждаем на тему того, что в погоне за внедрением продвинутых технологий часто забывают о стандартных методах обеспечения информационной безопасности. Отсюда - «позор» с шифровальщиками и другими «стандартными» атаками, с которыми NEXT-GENERATION устройства не могут справиться, ведь они заточены под сложные APT. На мой субъективный взгляд, что-то подобное произошло и в случае с кассами. Приняли закон, внедрили оборудование, а риски совершенно не просчитаны или, если угодно, просчитаны совсем не те. Страшно даже предположить, какие последствия могут случиться, если ошибки в ПО, либо специально внедренные закладки на этапах производства, поставки, инсталляции, станут причинами отказа еще более чувствительных федеральных информационных систем (процессов), чем ритейл.

Все ли на самом деле учтено в перечне КИИ и самом ФЗ-187? На мой взгляд, покажет исключительно время и, к сожалению, грабли, на которые еще наступать и наступать, увы, это неизбежная реальность. А мы, коллеги, просто обязаны оставаться на светлой стороне.

Информационная безопасность vs тайна личной жизни.

Очень часто на протяжении всего времени, что я занимаюсь темой ИБ и участвую в различного рода дискуссиях, сталкиваюсь с вопросами, непониманием и даже войной между спорящими, когда дело касается защиты от внутренних угроз. Какое решение не возьми, будь то MDM(EMM), DLP, SOC (да-да), DAM, PUM и даже IdM, так или иначе появляется поле для рассуждений. Да, я умышленно смешал в одну кучу много видов продуктов, т.к. при обсуждении каждого из них всплывали так или иначе вопросы privacy. Обоснование и мотивацию отстаивать ту или иную точку зрения я бы классифицировал следующим образом:

ЗА

1. Лайт. Предполагает концепцию «посмотрим одним глазком», только за реально критичными для бизнеса системами. Возможно, вообще исключая мониторинг сотрудников или ограничиваясь несколькими группами.
2. Стандарт. Обычное внедрение, мониторинг всех корпоративных систем, основной фокус на недопущение/минимизацию ущерба от утечек, халатности, стандартных ошибок, неграмотного администрирования.
3. Полный комплект. Установка максимального количества сенсоров, в том числе и на мобильные устройства, контроль личных мессенджеров, почты, соцсетей, скриншоты и кейлоггеры. Реализация концепции «рабочие устройства могут быть использованы исключительно в производственных целях» в полный рост. Кстати, личных устройств это тоже нередко касается, если подробно описан режим и политики BYOD.
4. Тотальный контроль. Фокус на поведенческом анализе сотрудников, в том числе на базе их увлечений, связей вне организации, семейном и финансовом положении. При такой концепции могут быть использованы методы фальшивых вбросов, психологического давления, а так же полный и подробный профайлинг.

ПРОТИВ

1. Радикально нет. Полное доверие к коллективу, никогда в жизни не буду рассматривать внутреннего нарушителя с любой точки зрения и с любым уровнем доступа, т.к. если что – я всегда узнаю, кто и смогу наказать так, что мало не покажется. Враг снаружи и, как правило, на другом континенте. Вопросы реальности наказания сотрудников по закону (а не «по справедливости») я оставлю за скобками, это тема для целого поста. 
2. Бумажные и юридические трудности. Тема интересная, но я никогда не смогу грамотно обосновать и внедрить у себя подобного рода системы крайне затруднительно и бюрократично.
3. Технические трудности и окупаемость. Сложность или дороговизна внедрения не пропорциональны получаемому эффекту. Долго можно пенять либо на некомпетентность заказчика, либо на недостаточные скиллы вендора/интегратора, но указанный стоп-фактор часто имеет место быть.
4. Этика. Микроклимат и отношения между сотрудниками политически и процессно выстроены таким образом, что такого рода вмешательство в рабочий процесс и давление на работников (особенно, если речь идет о скрытном мониторинге) ни в каком виде не допустимы.

Стоит отметить, что некоторые виды приведенной мотивации сходу кажутся утопичными и утрированными, однако, каждый из описанных сценариев я наблюдал лично на практике.

            Цель поста – не дать оценку тому или оному подходу или выявить золотую середину, но порассуждать на тему: останется ли у нас хоть толика личного пространства. Казалось бы, незыблемым является принцип «мой дом – моя крепость», но с приходом нового жизненного уклада и современных технологий понятие периметра личной жизни размывается точно так же, как и в случае с сетевым периметром организации. Объективно и бесспорно то, что на работе невозможно (по крайней мере, пока мы не стали роботами) отключиться от личной жизни и удовлетворять лишь «производственную необходимость», при этом запрещая вообще все. А ведь правы психологи, которые говорят, что мы прикованы к телефонам и соцсетям, равно как к необходимости есть, спать и дышать, можно долго дискутировать насколько это хорошо, но сам факт оспорить сложно. Аналогична и обратная ситуация, когда рабочие вопросы решаются в нерабочее время и за пределами офиса, которого в ряде случаев вообще нет. Умение, не взирая на сценарии и личные интересы, находить компромисс и идти на уступки как со стороны сотрудника, так и работодателя, обернется итоговой победой для всех в вопросах одновременно как обеспечения безопасности компании, так и «допустимого уровня» контроля работников.

В современном мире мы и так находимся в плену «интересов национальной безопасности» и тотальной слежки, помноженных на отечественный менталитет и принцип «главное – найти человека, дело всегда найдется». С другой стороны, почетным у нас почему-то считается обмануть работодателя/государство, развести их на деньги, ведь «от них не убудет». Так и хочется закончить фразой Кота Леопольда, но его призыв, к сожалению, нечасто оказывается услышанным.

Оставайтесь на светлой стороне!

Мы в ответе за тех, кому рассказали или поколение, воспитанное на блогах.

На протяжении всей жизни у нас, пока мы взрослеем, учимся, общаемся, познаем, слушаем и впитываем информацию, возникают кризисы доверия, по отношению к тем или иным людям или группе людей. Причин появления таких этапов много: осознание, что родители не могут знать все; первые подставы от друзей; юношеский максимализм; первые думы над смыслом жизни и т.п. Каждый из рубежей мы проходим по-своему, иногда с пофигизмом, иногда с обидой или злостью, с разочарованием, с вдохновением. А если попробовать взглянуть на это с противоположной стороны – с позиции проводника информации.

В каких ситуациях мы сильно задумываемся, о чем рассказываем людям? Да не так уж и много таких, если проанализировать. Правильно, я, например, ведь не президент, не глава корпорации или ведомства, чтобы брошенная мной в пылу фраза, содержащая buzz words, типа «атака» или «вирус-шифровальщик», могла влиять на мировой рынок акций. Вместе с тем, чем более публичными мы становимся внутри своих компаний или за их пределами, чем больше собираем «лайков», желая или иногда даже не желая этого, возрастает и ответственность за то, какую информацию и каким образом мы (назовем далее – спикеры) доносим до аудитории. Абсолютно объективно не имея возможности знать/читать/изучать все на свете, даже внутри своей сферы деятельности, да еще и из первоисточников (а нынче это понятие так же дискуссионной), люди внимательно слушают и доверяют спикерам, ведь они пропустили «первоисточники» через себя и донесли своими словами суть. Боясь проверить, опровергнуть, поспорить с признанными авторитетами, опасаясь, наверное, выглядеть неловко и некомпетентно, люди зачастую не подвергают слова спикеров сомнению, либо оставляют его при себе, в последствии забывая, забивая, никому его не рассказывая. А, между тем, умышленно или неумышленно, спикеры так или иначе, больше или меньше врут, допускают ошибки, неточности и т.п. В этом случае катастрофически важно спикеру получать обратную связь в любых формах.

Сутью поста ни в коем случае не является закидывание камней в огород спикеров ИБ (и не дай Бог конкретных личностей, все совпадения случайны), напротив, это попытка проанализировать и в хорошем смысле усомниться в каналах получения информации, что, по моему мнению, наоборот полезно спикерам. Сейчас у нас вырастает или уже выросло целое поколение специалистов, воспитанное на блоге одного или нескольких человека. Только представьте, какая ответственность на этих людях? Убежден, что скоро можно будет выпускать брендированную сувенирку. И в современных технологических условиях каждое высказывание или мысль распространяется прямо в мозг с огромной скоростью. Выводы будут простыми и сложными одновременно: начинаешь понимать, что при подготовке материала обязательно надо думать о восприятии людьми, масштабах, репутации, но как же чертовски сложно иногда удержать вырвавшиеся «не те» слова, а готовить, проверять, перепроверять, перемалывать, адаптировать снова и снова материал, который несешь в массы, это очень тяжелая работа, хоть со стороны раньше мне, например, совсем так не казалось.

Информационная безопасность по ту сторону экрана монитора.

За последнее время приходилось достаточно много общаться с людьми не из отрасли ИБ, но так или иначе переживающими за нее: общественные некоммерческие организации, преподаватели вузов, учителя школ, различные комитеты и объединения. Причем переживают они совсем по-другому поводу, чем мы: «Вот вы большие серьезные компании, рассказывающие про борьбу с киберугрозами», говорят они, «Хакеры и ddos атаки? Да 99% обычных людей это вообще не касается, зато есть большая проблема – «Кибернасилие в интернете», как вы планируете бороться с этой проблемой?». А ведь и правда, абсолютное большинство взрослых (я уж не говорю про детей) даже не задумываются над тем, как устроена сеть, по каким законам она живет, какие правила кибергигиены нужно соблюдать при использовании соцсетей и других сервисов. Уже наше поколение совершенно не задумывается откуда берется контекстная реклама, почему всплывает тот или иной баннер, относимся без особого осуждения к неожиданному появлению перед глазами порно-ролика, рекламы казино, странных ненавязчивых призывов к чему-либо. А ведь следующие поколения (миллениалы и далее) вообще воспринимают это, как само собой разумеющееся, всегда «так и было». Нормальным становится кибербуллинг, стриминг своей интимной жизни для всех, киберсекс, вербовка и зависимость от «фан-групп». Учителя и родители начинают бить тревогу только тогда, когда ситуация заходит слишком далеко. И в этом, на самом деле, не только их вина. У нас нет абсолютно никакой госполитики в отношении повышения киберграмотности населения, прививания культуры позиционирования себя и поведения в интернете, а между тем я убежден, что это уже давно насущная необходимость, как любой другой базовый предмет, изучаемый начиная с детского сада и в последствии по спирали преподаваемый на все более высоких уровнях.

Итак, дети и родители, совершенно одни по ту сторону монитора. И что большие ИБ-дядьки могут им сегодня предложить? Вообще ничего. Просвещающие инструкции интернет-сервисов? Смешно. Подумайте, сколько таких инструкций вы на своем предприятии уже написали для сотрудников, и что, они перестали открывать фишинговые письма или вставлять в компьютеры флешки, найденные перед дверью с надписью «фотки с корпортаива»? Программы родительского контроля и блокировки роскомнадзора? Пффф. 8-ми летний сын моего знакомого лекго «наютубил» на планшете, как обойти блокировку интересующего его игрового сайта, установив популярный vpn-сервис. Читать длинные user agreement, да даже просто полстраничные памятки – это не работает. Что реально работает (не кидайтесь помидорами, это не реклама) или по крайней мере делает – так это приложения по типу Сберовского, когда оно «проверяет прошивку» и «ищет вирусы» на телефоне перед тем, как дать доступ пользователю к платежным инструментам. Да, существуют огромные, в том числе, технологические, социальные и юридически проблемы в вопросах «думать за пользователя», «уберегать его от возможных действий, которыми он сам того не осознавая, может навредить себе». Отсюда потом и претензии к производителям прикладных программ, операционных систем, антивирусам, операторам связи, в конце концов, что «не уберегли» и «как же вы такое могли допустить, вы же специалисты и предоставляете мне «компьютерные услуги», значит, должны отвечать за все». Про концепцию «чистого интернета» я уже писал и это, скорее, технологические свершения будущего. И что же, мы совсем ничем не можем помочь тем, что по ту сторону монитора, кроме общих советов: воспитывайте, думайте головой, идите к психологу?

Я считаю, что можем. Прежде всего, донесением информации. Как показал мой опыт общения с не-ИБ и не-ИТ гражданами, у них информации просто 0, о том, как совершаются компьютерные преступления, какие технологии и люди (и машины) стоят за кибернасилием и т.п. Не знаю, как дела обстоят в столицах, но в моем регионе мне неизвестны сколь либо популяризируемые курсы, лекции, программы, да просто собрания на базе каких-то институтов или объединений по вопросам повышения киберграмотности. Причем не с той позиции «торговли страхом» и не с позиции нас, как ИБ-сообщества, а с точки зрения обычных пользователей: детей, студентов, учителей, родителей. Для каждой из этих групп донесение информации должно быть адаптировано и лекции должны готовиться ИБ-специалистами совместно с преподавателями, социологами, психологами. Им катастрофически не хватает нас, а мы, если не посмотрим на нашу профессию под социальным углом, так и будем обсуждать лишь «SOC’и, DDOS’ы, Bad Rabbit’ов» в своих закрытых клубах, а массовое кибернасилие в сети среди населения  - только возрастать.

Сертификаты по ИБ: благо или зло

Сначала хотел сделать обобщенную заметку еще и про силу авторитет и меру ответственности «больших дядек по ИБ» за тех, «кого приручили», но про это напишу в следующем посте.

Не так давно прочитал у одного из мэтров по ИБ пост из копилки «против» получения/имения у кандидатов в его команду признанных сертификатов (таких как CISA, CISSP и прочие). Мотивация такого подхода, как я ее понял, заключается в том, что такие сотрудники будут «решать тесты» вместо реальных практических задач. Для начала я чуть-чуть соглашусь, а потом буду много не соглашаться =). Соглашусь в том, что работники, имеющие в принципе множество различных корочек (сейчас даже не только про ИБ речь), зачастую имеют симптомы «звездной болезни» по этому поводу. Кроме того, фразы типа «Сертифицированный менеджер…», напоминают постоянно тебе о том, что ты же лицензированный руководитель или специалист слишком высокого уровня, вот и руководи, делегируй, а не опускайся до решения горящей скучной задачи, разве ради нее ты сдавал экзамены? Попробуем посмотреть на это с другой стороны. 

У нас у всех сейчас куча задач, проблем, семьи, многое приходится делать одновременно, а держать в своей «оперативке» в голове еще больше. Однако вспомните, сколько мы способны были переварить в школе, институте? Да еще и по разноплановым предметам. Процесс обучения, подготовки к экзаменам, самооценки, разочарований, побед и непосредственно сама сдача очень сильно тренируют мозги. Это как бег, плавание или отжимания – эффективно нагружают все группы мышц. Обучение (в широком смысле, как процесс) позволяет держать в тонусе, развивает совершенно разносторонние навыки, позволяет прокачать не только профильные компетенции в процессе решения тестов, но и шаг-в-лево, шаг-в-право. Я убежден, что кто найдет в себе силы (а это ни разу не просто) так применить тайм-менеджмент, чтобы находить возможность учиться (речь о реальном обучении, а не «съездить на неделю в УЦ – выпить») и, что самое важное, получать от этого удовольствие удовлетворение, тот и в работе будет более организован, усидчив и пресловуто «нацелен на результат».

Все ради себя, а как же цели компании? Не совсем так. Если полученные знания и проводимые практические эксперименты не отрабатываются на практике в боевых условиях, то и смысла нет. Еще один двоякий аргумент (для кого-то плюс, для кого-то минус) – успешно сданные экзамены, особенно по международным сертификациям, говорят об амбициозности и даже нестандартности человека. В моем понимании, для любого крутого руководителя – это само собой плюс. Но могут быть варианты. Еще один позитивный момент для всех сторон: уже отучившийся сотрудник не будет тратить рабочее время на оный процесс в будущем, а работодателю не придется заключать ученическое доп. соглашение и тратить деньги. Вообще, чем больше живешь, тем больше наступаешь на грабли убеждаешься, что без хороших знакомств и связей – никуда: что врачи, бригада отделочников, что автосервис, что качественные сотрудники по ИБ, и сертификаты здесь играют предпоследнюю роль.

Вывод, как и обычно, будет простой: все люди разные, нет универсального рецепта, нужен баланс во всем. Вместе с тем, я считаю, что сдавший сертификационное экзамены ИБшник - это безусловное благо, да что там греха таить, зачастую даже мечта работодателя.

ИБ Цифровой экономики и наше будущее в ее условиях

Продолжая тематику обеспечения ИБ при лавинном проникновении современных технологий в жизнь обывателей, сегодня хотелось бы затронуть то, как государство в ближайшие годы намерено заботиться о собственных национальных интересах и безопасности каждого из нас в рамках «заболевания» проектом Цифровая экономика. Не мог обойти эту тему стороной, т.к. являюсь членом одной из экспертных подгрупп в рамках реализации ее стратегии.

Каждый день ловлю себя на позитиве: в интересную же эпоху мы живем. Солидные политические деятели и чиновники всерьез комментируют рэп-баттлы и то, какими благими намерениями они стелют дорожку культурного просвещения для молодежи, слова «блокчейн» и «эджайл» не обсуждает у себя на кухне только самый ленивый, СМИ только и ждут очередного выступления главы Зеленого банка, чтобы не оказаться в конце очереди за трендами в лексиконе, а всеобщая «цифровизация» так и стучится в двери всех ванных комнат и спален страны.

Итак, мы все дружно строим коммунизм Цифровую экономику, определяем будущее нашей жизни и жизни наших детей в ее условиях, а в нашем узком случае защищаем ее. На самом деле, все не совсем так. Помните предыдущий пост про «управляемые предсказания»? Так вот, оказывается, взгляды на то, как стратегически строить ИБ Цифровой экономики, уже украдены определены кем-то Дмитрием Анатольевичем и закреплены в Постановлении правительства до нас, привлечение же экспертов обусловлено необходимостью разработки тактических шагов, которые и будут имплементировать по пунктам стратегические вехи.

Во главу угла ставятся вполне ожидаемые приоритеты национальной безопасности и цифрового суверенитета, причем в ряде случаев достижимые не только силами нашей страны, но и в принудительном порядке (а так можно?) соседей по содружествам. Вообще, прочитав программу, у меня возник вопрос не «что это?», а «кто все эти люди?», которые сочиняли стратегию. Привыкнув к некой последовательности действий и устоявшимся правилам игры на ИБ-поле, когда вполне ясно, чем занимается ФСТЭК, какая зона ответственности у ФСБ, что может и должен делать РКН или ЦБ, я сначала и с легкостью расставил напротив доброй половины задач «зона ответственности того-то, провести анализ требований и подготовку рекомендаций в рамках экспертных советов». Однако, оказывается, все работает не так, и мы, возможно никогда ранее не погружающиеся в кухню разработки концепций и НПА конкретных регуляторов, должны этим самым регуляторам навязать предложить свои методы решения задач, поставленных в рамках реализации Цифровой экономики, через ответственный за консолидацию ФОИВ – Минкомсвязи. Тот факт, что названные регуляторы не подчиняются Правительству, а некоторые и вовсе номинально независимы от ветки исполнительной власти, никак в расчет не берется, но коли вся эта каша заварилась, значит, это не такая уж и проблема. Абстрагируясь от формальностей, соглашусь с мнением уважаемого мной человека: если выпадает возможно изменить мир к лучшему, надо ей пользоваться, в крайнем случае, ты хотя бы попробовал.

Позиционируя свои заметки, как рассуждения, касающиеся каждого из нас, не стану погружаться в технические детали и тонкости поставленных в рамках Цифровой экономики задач. Скажу лишь, что огромным позитивом является тот факт, что на самом высоком уровне ставится задача решения не просто абстрактных проблем ИБ, вроде кибервойн и защиты от всех возможных атак, но глубокого погружения (на моей памяти первого на таком высоком уровне) в конкретные отдельные главы обеспечения ИБ: сети связи, IoT, когнитивные интерфейсы, аппаратные средства, критические инфраструктуры, большие данные и т.п.

Резюмируя, теперь мы работаем не просто ради защиты от мифических и не очень хакеров, но и для обеспечения безопасности простых людей в условиях Цифровой экономики, по факту затрагивающей все больше сфер нашей повседневной жизни.

Информационная безопасность и «покупай на слухах, продавай на фактах».

Когда речь заходит про информационную безопасность, в голову приходят ассоциации, связанные с взломами и кибератаками. Сегодня я бы хотел порассуждать про ту ИБ, в которой решающая роль не принадлежит именно хакерам.

Известная финансовая мудрость, отраженная в заголовке, в последние годы все чаще находит имплементацию в громких и известных событиях, связанных с реальными убытками компаний, даже серьезно смотрящих за ИБ. Причем каждый из нас ощущает эффект на себе, либо на близких людях или просто знакомых. Помните начало кампании Э. Набиуллиной во главе ЦБ по зачистке банковского сектора? Тогда чуть не каждый месяц, а может и чаще от разных источников приходили сообщения с текстом: «Внимание, инсайд: банк «ХХХ» испытывает финансовые трудности, будьте осторожны». В реалиях, когда лицензии отзывают направо и налево (был период – ежедневно), у тебя, как простого обывателя, просто не остается вариантов «верить или не верить», а когда аналогичные сообщения веерно получают знакомые, то какой это имеет эффект мы все вместе наблюдали. Отсюда – вывод: близость и родство информационных и кибервойн не вызывает сомнений, учитывая развития технологий и в тех и в других и сравнимые по чеку убытки. Интересно другое: проследить эволюцию методов и скорости развития такого рода атак.

1 этап. Могущество СМИ уже давно ни у кого сомнений не вызывает. 2004 год – ошибочная публикация «Коммерсанта», когда отток «Альфа-банка» оценил в $650 млн. (правда по итогам всего кризиса 2004 года), а в суде «отыграл» только около ₽40 млн

2 этап. Тот же «Альфа», 2015 год, лавинное распространение sms с сообщением о «выводе денег из России акционерами банка», тогда отток средств за один только месяц составил примерно ₽15 млрд. В этом же году «Сбербанк» по причине рассылки похожих фейковых смс не досчитался суммы, измеряемой так же в млрд. рублей.

3 этап. Наши дни. Поднимите руки, кто до обеда «читает советские газеты». Хорошо, одна четверть. Из тех, кто поднял руки, оставьте их поднятыми те, кто читает их в бумажном виде. А теперь те, кто читает ленту из таких газет в новостных агрегаторах. А кто теперь проверяет достоверность, хотя бы зайдя на указанный сайт-источник? Таким образом, уже сегодня манипулирование общественным мнением и настроениями масс стало вполне регулярным: «эти-враги, те-друзья», «этого - казнить, того – помиловать», цветные революции и т.д. Да что там уходить далеко в большую политику, давайте признаемся себе честно, как в бытовом плане, так в ИБ мы привыкли доверять выжимкам, пересказам, рейтингам, отчетам о тестированиях, пересказам личного опыта. Это удобно, это экономит время, это оказывает поддержку при принятии решений. Но только ли поддержку, не подменяют ли собой google и yandex центр принятия этих решений

4 этап. Будущее. А, возможно, уже не будущее, но настоящее. У фокусников есть такой термин «детерминируемые предсказания», когда они предлагают вам выбрать якобы случайную карту из колоды, уже заранее определив выбор за вас, при этом благодаря «ловкости рук» все выглядит вполне случайно и естественно. Итак, утверждения «управляй коллективным сознанием», «кто владеет информацией – владеет миром» далеко не новые, однако, способы их реализации прогрессируют с пугающей скоростью. Уже в скором будущем абсолютно каждому из нас можно будет предложить навязать такую модель ежедневного поведения, при которой мы будем абсолютно уверены, что «так и должно быть». Причем здесь речь не об смс, постинге, поисковиках (это уже все эксплуатируется), а о реальном мире, когда вокруг нас абсолютно все (задумайтесь, ведь теперь все вокруг – это компьютеры) будет диктовать нам следующий шаг, а наш мозг будет воспринимать это как должное. Просто попробуйте спроецировать ту борьбу с хакерами, атаками, зловредами, которая у нас с вами ежедневно происходит приминительно к серверам, сетевому оборудования и АРМ, на зубные щетки, чайники, светофоры, кардиостимуляторы, подключенные к Интернету.

Таким образом, наше, коллеги, ИБ-противостояние, будет проходить главным образом не внутри корпораций, а на каждом шагу реальной жизни, битвы за Матрицу не за горами, хакеры-программисты-поведеньщики не дремлют. Еще один факт в копилку предсказаний зомби-апокалипсиса интересного будущего: практически все передовые технологии обкатываются сначала на b2b-секторе, а потом уже идут в массовый сегмент. Так что падение котировок акций компаний или отток капитала на фоне fake news это только цветочки.

Оставайтесь на светлой стороне =).

ФБ (финансовая безопасность) и мобильные операторы

... или хвалебный пост Теле2 от чистого сердца.

Я проверяю баланс на личном сотовом номере телефона раз в 3-4 месяца, чаще смысла нет. Удобные тарифы позволяют легко планировать: пакета за 200 руб. в месяц хватает с лихвой на необходимые звонки, всяческий интернет и неиспользуемые совершенно смс. Поэтому я кладу на баланс 3000 руб. 1 раз в год. По личному телефону я не звоню практически межгород. Однажды вечером, взяв телефон, чтобы позвонить супруге, я услышал приветливый голос робота: "на вашем счете недостаточно средств для совершения звонка". Вот так сюрприз. Зайдя в личный кабинет, я обнаружил расходы, более чем в 2000 руб. за 2 месяца по статье затрат "Контент". Надо ли говорить, что сервисы типа «смешные анекдоты по СМС каждый день» я вообще ни разу в жизни не подключал. Самая фишка была в том, что подключенные подписки никак не подтверждались по СМС, причем ни в качестве уведомления, ни в качестве вопроса, ни в просто как факт подключения. Я специально поискал в истории СМС что-то похожее – ничего.

Написал в техподдержку Теле2, объяснил ситуацию. Причем понимая, как ни крути, свою долю возможной ответственности (нажал какую-то кнопку во сне носом и случайно подключил подписки), я честно попросил оператора предоставить мне информацию о хоть каких-то смс или звонках на платные номера, которые хоть в какой-то мере подтверждали бы мой акцепт по подключенным подпискам. После пары-тройки уточняющих вопросов, Теле2 совершенно неожиданно, если честно, ВЕРНУЛИ мне деньги на баланс, причем все до копейки за те самые мифические подписки. Кроме того, они еще подсказали, как включить бесплатную услугу «Контентный счет», который отвязан от основного баланса номера телефона и пополняется отдельными платежами.

Да, я сам неправ, что слежу за своим счетом столь редко. Но компания, которая реально встает на сторону клиента в таких щекотливых и не очевидных вопросах, реально ответственно относится к своим клиентам. Кроме того, такой компании веришь, когда на очередной конференции по ИБ она в очередной раз заявит, что развивает свою систему антифрода, по-настоящему борется с мошенничеством в мобильных технологиях и непрерывно и на деле совершенствует систему борьбы с «грязным мобильным бизнесом», а не только декларирует это как факт, неправдоподобно рассказывая, что операторские комиссии в копилку дохода от таких подписок их совершенно не интересуют.