Безопасность КИИ

В рамках поддержки хайпа вокруг законопроектов без 5 минут уже законов, вступивших в силу, о безопасности КИИ, попробую посмотреть на ситуацию глазами обывателя

Первое интересное наблюдение – в контур Субъектов КИИ включены не только близкие мне «информационно-телекоммуникационные сети», но и даже «индивидуальные предприниматели». Можно пофантазировать, как бабушка, продающая пирожки в нашем фойе центрального офиса, где собираются «покурить» вместе сотрудники из разных других зданий, и рассказавшая потом на лавочке подружкам, как она эффективно «обеспечивает взаимодействие» в одном из самых крупных субъектов КИИ в стране, присев после этого «за разглашение». Но в рамках этой заметки хотелось бы поговорить о другом. Тема кибератак именно на стратегические для страны предприятия сегодня освещается в широкой прессе и уже давно перестала быть кулуарной. По моим наблюдениям, родственники и знакомые, далекие от ИБ, всерьез стали рассуждать на тему: «А что будет, если вдруг…», понимаю, что распиаренные шифровальщики – это далеко не самое страшное. При всех очевидных минусах усиления зарегулированности, мне, как обывателю, будет спаться спокойнее, зная, что «Если кто-то кое-где у нас порой…», то за ними пристально наблюдает ведомство их 3-х букв «ФОИВ по обеспечению ИБ КИИ». Не секрет, что руководители силового блока правительства – самые популярные в стране, им доверяют больше многих. По крайней мере, тут нет внутренних противоречий и опаски за приватность, как в случае с СОРМ и т.п. Да, я, как гражданин, хочу мира во всем мире быть уверенным, что власть заботится не только о политических интересах, но и думает о минимизации опасности для жизни и здоровья своих граждан, которая может совершенно абсолютно реально возникнуть хоть в результате непреднамеренной ошибки, хоть по вине спланированной атаки на объекты КИИ в моем городе. И это не будет «как в кино», в таких вещах не бывает happy end’ов.

Культура кибербезопасности

Автоматизировать все – невозможно. Точнее возможно, но тогда уже однозначно будет человек=робот или робот=человек, в зависимости от того, что наступит раньше: искусственный интеллект будет так же хорош или лучше, чем человеческий, либо мы себя полностью модернизируем, используя полностью искусственные клетки. Пока такое светлое будущее не настало, придется смириться с существованием болезней, слабостей, наших с вами ошибок и необходимостью учиться. Лишь редкие наши коллеги не признают, что проблема низкой культуры кибербезопасности – одна из самых серьезных, а многие считают ее вообще основным фактором при просчете рисков ИБ. Существует куча разных громких исследований типа «80% людей открывают фишинговые письма» и т.п. Похоже, они не далеки от истины. Главная проблема здесь в том, что никакие курсы и тренинги ситуацию принципиально не поправят. Пока кибергигиене не будут учить со школы, пока родители не станут сами ответственно к этому относиться и своим примером воспитывать культуру поведения в цифровом пространстве, ничего не выйдет. Не знаю, как сейчас, но в мою школьную бытность на информатике учили офису, если ты не ходил на спецкурсы по программированию. Как по мне, вопросы образования по ИБ должны быть не только обязательно включены в Доктрины, Стратегии и прочие концептуальные документы, определяющие вектора развития страны, но и имплементированы конкретными мерами минобра, как вариант.

ИБ и пирамида потребностей Маслоу

В продолжение темы про регулирование и закручивание гаек. Нельзя отрицать тот факт, что с принятием ряда законов беспорядка в цифровом пространстве стало сильно меньше.

С выходом ФЗ-152 - стало меньше БД ПДн, это заметно. С введением механизма «black list» сайтов РКН – в целом меньше грязи, хотя бы в surface web. Примеров приводить можно много. Однако, как это все помогает не попадаться на удочки мошенников? Практически никак. Знать пользователю все не просто невозможно, но и не рационально, каждый профессионал в своей области. Незнание законов и методов защиты не освобождает не только от ответственности, но и от риска быть обманутым, к сожалению. Возвращаясь к прошлому кейсу про моментальные кредиты онлайн, принудительное внедрение средств автоматизированного анализа такого рода контента позволило бы думать за пользователей, т.к. мы подошли уже к тому барьеру, когда должный уровень гарантии предоставления любого сервиса как такового (будь то интернет-провайдер, контент-провайдер, хостер) не может быть обеспечен исключительно на стороне поставщика услуг. Вместе с тем, этого самого поставщика проблемы потребителя должны заботить все чаще и чаще. Не за горами день, когда при выборе того же провайдера за уверенность в собственной безопасности (а потом и за другие слои пирамиды потребностей Маслоу) люди будут голосовать кошельком, ведь как таковая «физиологическая потребность» при доступе к цифровому пространству по факту уже давно безлимитно удовлетворена.

Значимость интернета

В последнее время все чаще появляются громкие и не очень законодательные инициативы, подающиеся под соусом «антитеррора». При этом их реализация завершается с разным успехом, вспомнить, хотя бы, «замятую» теперь историю с Telegram или похоже уже решенный вопрос с переносом реализации «пакета Яровой» как минимум на 2022 год. В этой связи, напрашивается вопрос: «что это было?». Обычная для нашего времени проверка аудитории и сбор обратной связи? Игра в «плохого» и «хорошего» полицейского? Ведь пословица гласит: «Защищай бюджет и проси денег в 2 раза больше, чтобы дали сколько надо». Всегда проще потом сказать: «смотрите, как все жестко было задумано, мы собрали feedback и готовы слегка ослабить гайки». Однако, все эти «запреты VPN», которые на самом деле не запреты, а «обязательства VPN провайдеров закрывать доступ лишь к запрещенным ресурсам», настораживают все больше е больше. Что это значит для обычных людей? Для 99% - ничего. Много ли тех из нас, кто осознанно пользуется VPN? Да очень мало. Людям, по сути, вообще не важны технические подробности, они привыкли пользоваться сервисом и хотят, чтобы он работал, работал хорошо и удобно. В этой связи, «продать» приватность в обмен на услугу – абсолютно незаметная ежедневная процедура.
Как по мне, сейчас выбран очень удачный момент, когда интернет – не просто часть жизни, а это и есть наша жизнь, Интернет это – «КСИИ» для каждого из нас. Если предложить альтернативу: «не пользуйся вообще» или «не обижайся, если мы будем делать все, что нам вздумается» - выбор просто очевиден. Мой прогноз – Интернет-паспорт уже близко.

Информационная безопасность для обывателей

Уже очень давно читаю в качестве утренней прессы блоги уважаемых коллег.

Вдохновившись их идеей излагать свои мысли, решил попробовать поговорить о любимом деле и о том, как информационная безопасность касается каждого из нас, т.е. обычных людей.

На конференции после выступления #заИБэ ко мне подошел человек из одной общественной организации и за чашкой кофе мы с ним обсудили тему, о которой я обычно редко задумываюсь в силу, так уж получилось, сильной коммерческой ориентированности нашей с вами деятельности, да и, собственно, любой. А как, говорит, ваши, безусловно, передовые и почти даже футуристические технологии могут прямо сегодня помогать каждому из нас? И привел конкретный кейс, которым он сейчас активно занимается. После рассказа прозвучал вопрос. Вот Вы говорите о предотвращении кибер-атак, превентивном мониторинге и реагировании на инциденты, недопущении деструктивных последствий и убытков, даже если в них умышленно или нет виноваты сами пользователи. Но все это касается «богатых» организаций. А что делать обычному гражданину, который взял онлайн кредит в микро финансовой организации под 500% годовых? Послушайте, говорю я, есть же федеральный закон, нормативка ЦБ и прочие документы, обязывающие их размещать сведения, ограничивать суммы, информировать… Постойте, прерывает он, у нас же все как обычно пишется мелким шрифтом, а заключать договор физических лиц никто из под палки не принуждает.

Вот и получается, что защищать граждан в киберпространстве не только от банальных и не очень вирусов, сложных атак, но и от них самих, есть некая глобальная миссия интегратора/оператора/государства, выполнение которой должно в идеале привести к всеобщему счастью реализации концепции под условным названием «Чистый интернет».

Как при этом соблюсти баланс между реальной защитой, комфортной работоспособностью сервисов и «лобби всеобщей слежки», а так же о ситуации в области кибергигиены простых обывателей и как видим ее мы, параноики безопасники, поговорю в следующий раз.