КИИ пришла, откуда не ждали

Сегодняшняя тема как нельзя кстати подходит под общую канву заметок в данном блоге, ибо вот уж точно касается каждого. Ночь, улица, фонарь, деревня… онлайн касса?! Да, я с улыбкой относился к идее создания централизованной системы «под эгидой» ФНС, которая в режиме реального времени (или близком к тому) должна будет агрегировать информацию о розничных продажах и по QR-коду предоставлять физическим лицам факт и информацию о совершенной покупке. Да, я считаю рынок ОФД (операторы фискальных данных – как раз те организации, которые должны обрабатывать фискальные данные и отправлять в ФНС) централизованной монополией, т.к. 15 организаций в списке по стране по состоянию на декабрь 2017 на 1.8 млн. торговых точке – что же это еще? И то, по разным данным, год назад ФНС упорно «не хотела» регистрировать больше 5 организаций. Делалось это разными способами, в том числе через искусственный дефицит так называемых серверных частей модулей криптографической защиты (МКЗ). Автор блога сам не понаслышке знает о регистрации и проблемах создания собственного ОФД, т.к. принимал непосредственное участие в этом процессе на одной из стадий в некой крупной компании, которая пыталась ранее получить аккредитацию ФНС. А теперь попробуем прикинуть масштаб возможных проблем и пофантазировать, система целиком всей розничной торговли в России подходит под описании КИИ?

Однако же, с лихим принятием 54-ФЗ стало совершенно ясно, что это все всерьез. Малым и средним предпринимателям стало очень быстро не до смеха, равно как и когда вводили ЕГАИС (единая государственная система учета алкогольной продукции)  в рознице и маркировку шубных изделий. В рамках данной заметки опустим технические сложности исполнения закона, возросшую финансовую нагрузку и очень длительную невозможность в принципе его исполнять (монополия на продажу фискальных накопителей (ФН) и темная история с компанией РИК). Поговорим об одном из свойств любимой триады – доступности.

                В свое время, когда я был вовлечен в процесс возможного создания ОФД, изучал методику проведения приемочных испытаний ОФД. Так вот, большое внимание там было уделено, как принято, ГОСТовой криптографии, функционированию самой ККТ, требованиям к размещению серверов под ОФД. Что же с доступностью? На стороне ОФД – все реально обеспечить. На стороне предпринимателей - казалось бы, тоже просто, особенно когда есть большой супермаркет, несколько каналов связи, дополнительное резервирование через мобильный трафик. Даже для отдаленных пунктов продаж с нестабильной связью, есть решение: передавать информацию о чеках в ОФД не моментально, а порциями, когда появится связь. Все нюансы учтены, кроме одного: кассир обязан выдать кассовый чек при совершении покупки в 100% случаях, и здесь отложенное право не сработает. Именно опасение нарушить закон и попасть на 10000 руб. штрафа за каждый не выданный чек и парализовали 20 декабря 2017 работу по всей стране 80 000 онлайн касс (или 5% всех в России) самого популярного производителя – «Штрих-М». «Эльдорадо», DNS, аптеки «Ригла», АЗС «Газпром нефти», «Лукойла», «Роснефти», магазины «Магнит», «Пятерочка», «Перекресток», «Карусель» - это далеко не полный список всех ритейлеров, вынужденных отказывать в покупке продукции клиентам. Не беря во внимание миллиардные убытки компаний, констатируем факт: люди остались без возможности срочно заправить машину, купить лекарства или продукты. Суть сбоя ККТ была в том, что, что при конвертации даты 20.12.2017 операция «печать чека» становилась циклической, касса уходила в ребут.

Кто-нибудь проверял на НДВ ПО ККТ или хотя бы делал анализ кода на корректность? В требованиях к функционированию всей цепочки – ККТ-ОФД-ФНС я этого не увидел, в отличие от кучи других требований, по типу СКЗИ (отечественной криптографии) и ФН в виде неизменяемого «черного ящика»: вынул-вставил. Если бы масштаб сбоя по количеству был не 5%, а 50%, признавалось бы происшествие ЧС? Все чаще в последнее время мы с коллегами рассуждаем на тему того, что в погоне за внедрением продвинутых технологий часто забывают о стандартных методах обеспечения информационной безопасности. Отсюда - «позор» с шифровальщиками и другими «стандартными» атаками, с которыми NEXT-GENERATION устройства не могут справиться, ведь они заточены под сложные APT. На мой субъективный взгляд, что-то подобное произошло и в случае с кассами. Приняли закон, внедрили оборудование, а риски совершенно не просчитаны или, если угодно, просчитаны совсем не те. Страшно даже предположить, какие последствия могут случиться, если ошибки в ПО, либо специально внедренные закладки на этапах производства, поставки, инсталляции, станут причинами отказа еще более чувствительных федеральных информационных систем (процессов), чем ритейл.

Все ли на самом деле учтено в перечне КИИ и самом ФЗ-187? На мой взгляд, покажет исключительно время и, к сожалению, грабли, на которые еще наступать и наступать, увы, это неизбежная реальность. А мы, коллеги, просто обязаны оставаться на светлой стороне.

Информационная безопасность vs тайна личной жизни.

Очень часто на протяжении всего времени, что я занимаюсь темой ИБ и участвую в различного рода дискуссиях, сталкиваюсь с вопросами, непониманием и даже войной между спорящими, когда дело касается защиты от внутренних угроз. Какое решение не возьми, будь то MDM(EMM), DLP, SOC (да-да), DAM, PUM и даже IdM, так или иначе появляется поле для рассуждений. Да, я умышленно смешал в одну кучу много видов продуктов, т.к. при обсуждении каждого из них всплывали так или иначе вопросы privacy. Обоснование и мотивацию отстаивать ту или иную точку зрения я бы классифицировал следующим образом:

ЗА

1. Лайт. Предполагает концепцию «посмотрим одним глазком», только за реально критичными для бизнеса системами. Возможно, вообще исключая мониторинг сотрудников или ограничиваясь несколькими группами.
2. Стандарт. Обычное внедрение, мониторинг всех корпоративных систем, основной фокус на недопущение/минимизацию ущерба от утечек, халатности, стандартных ошибок, неграмотного администрирования.
3. Полный комплект. Установка максимального количества сенсоров, в том числе и на мобильные устройства, контроль личных мессенджеров, почты, соцсетей, скриншоты и кейлоггеры. Реализация концепции «рабочие устройства могут быть использованы исключительно в производственных целях» в полный рост. Кстати, личных устройств это тоже нередко касается, если подробно описан режим и политики BYOD.
4. Тотальный контроль. Фокус на поведенческом анализе сотрудников, в том числе на базе их увлечений, связей вне организации, семейном и финансовом положении. При такой концепции могут быть использованы методы фальшивых вбросов, психологического давления, а так же полный и подробный профайлинг.

ПРОТИВ

1. Радикально нет. Полное доверие к коллективу, никогда в жизни не буду рассматривать внутреннего нарушителя с любой точки зрения и с любым уровнем доступа, т.к. если что – я всегда узнаю, кто и смогу наказать так, что мало не покажется. Враг снаружи и, как правило, на другом континенте. Вопросы реальности наказания сотрудников по закону (а не «по справедливости») я оставлю за скобками, это тема для целого поста. 
2. Бумажные и юридические трудности. Тема интересная, но я никогда не смогу грамотно обосновать и внедрить у себя подобного рода системы крайне затруднительно и бюрократично.
3. Технические трудности и окупаемость. Сложность или дороговизна внедрения не пропорциональны получаемому эффекту. Долго можно пенять либо на некомпетентность заказчика, либо на недостаточные скиллы вендора/интегратора, но указанный стоп-фактор часто имеет место быть.
4. Этика. Микроклимат и отношения между сотрудниками политически и процессно выстроены таким образом, что такого рода вмешательство в рабочий процесс и давление на работников (особенно, если речь идет о скрытном мониторинге) ни в каком виде не допустимы.

Стоит отметить, что некоторые виды приведенной мотивации сходу кажутся утопичными и утрированными, однако, каждый из описанных сценариев я наблюдал лично на практике.

            Цель поста – не дать оценку тому или оному подходу или выявить золотую середину, но порассуждать на тему: останется ли у нас хоть толика личного пространства. Казалось бы, незыблемым является принцип «мой дом – моя крепость», но с приходом нового жизненного уклада и современных технологий понятие периметра личной жизни размывается точно так же, как и в случае с сетевым периметром организации. Объективно и бесспорно то, что на работе невозможно (по крайней мере, пока мы не стали роботами) отключиться от личной жизни и удовлетворять лишь «производственную необходимость», при этом запрещая вообще все. А ведь правы психологи, которые говорят, что мы прикованы к телефонам и соцсетям, равно как к необходимости есть, спать и дышать, можно долго дискутировать насколько это хорошо, но сам факт оспорить сложно. Аналогична и обратная ситуация, когда рабочие вопросы решаются в нерабочее время и за пределами офиса, которого в ряде случаев вообще нет. Умение, не взирая на сценарии и личные интересы, находить компромисс и идти на уступки как со стороны сотрудника, так и работодателя, обернется итоговой победой для всех в вопросах одновременно как обеспечения безопасности компании, так и «допустимого уровня» контроля работников.

В современном мире мы и так находимся в плену «интересов национальной безопасности» и тотальной слежки, помноженных на отечественный менталитет и принцип «главное – найти человека, дело всегда найдется». С другой стороны, почетным у нас почему-то считается обмануть работодателя/государство, развести их на деньги, ведь «от них не убудет». Так и хочется закончить фразой Кота Леопольда, но его призыв, к сожалению, нечасто оказывается услышанным.

Оставайтесь на светлой стороне!