Когда финансы поют романсы и дифирамбы ЦБ и ФинЦЕРТ.

Когда речь заходит о нашей любимой информационной безопасности, воображение обычного человека часто рисует страшные кибератаки хакеров и утечки данных из каких-то там далеких крупных корпораций. Только когда начинаешь задумываться и анализировать, в голову приходят защита личных данных, безопасность операций, доступность привычных сервисов. И только когда дело доходит до реальных инцидентов, выраженных в денежных потерях, сразу становишься осведомленным хотя бы на минимальном уровне как в профильном законодательстве, так в методах защиты. Схожая ситуация и с корпоративной кибербезопасностью, когда зафиксированные факты прямых убытков кардинально меняют отношение к теме абсолютно всех по всем вертикалям, доходя до необходимости личного погружения в тему непрофильного топ-менеджмента.

Именно поэтому финансовый сектор, как правило, является крупнейшим драйвером развития рынка информационной безопасности во всех странах, ведь здесь все понятно: вот живые настоящие деньги, вот их по-настоящему крадут. Мы все упорно движемся к миру, когда физический обмен наличностью останется в прошлом, посмотрите на некоторые страны (для резидентов во Франции, Португалия – до 1000 евро), которые искусственно ограничивают максимально возможные «натуральные» платежи, тем самым толкая не просто отрасль, но весь привычный жизненный уклад в безвозвратную цифру. В этих условиях значимость проблем ИБ сложно переоценить, о ней будут заботиться все чаще и кропотливее.

Вернемся к нашей специфике, согласно которой никакие мало-мальски значимые процессы в стране не могут обходиться без регулирования со стороны государства. Уже неоднократно в своих заметках я говорил о необходимом балансе между обеспечением национальной безопасности и нормальным функционированием бизнес-процессов в компаниях и, пожалуй, всем остальным отраслям нашей экономики здесь в пример можно поставить регулирование финансового сектора. Еще раз подчеркну, что проблем хватает и тут, однако, политика ЦБ РФ, как мегарегулятора, мне лично весьма импонирует. О причинах такого здравого подхода говорить не будем, гораздо интереснее поговорить о его результатах, применительно, само собой, к направлению информационной безопасности.

Давайте посмотрим на основную идею по иерархии законодательства по ИБ.

Я намеренно ее упростил и убрал ветвления (Указы президента, Нормативные акты региональных правительств, Ведомственные вертикальные приказы и т.п.), чтобы проиллюстрировать посыл: самый основной блок – Отраслевые документы, на этом уровне как раз и должно быть «разжевано» соответствующим организациям (хорошо, не всем, а только тем, которые нуждаются в этом и сами просят, а таких очень немало) что конкретно нужно (рекомендуется) делать во исполнении тех или иных вышестоящих нормативных актов. Вернемся к ЦБ, здесь он выступает сразу в 2-х ролях – Регулятор ИБ и одновременно Отраслевой регулятор. И это очень круто, что ему удалось указанную позицию занять. В итоге – никакая новая тема (сначала ПДн, потом Цифровая экономика, теперь КИИ и ГосСОПКА) не обходится без его участия в рамках поднадзорной сферы.

Общаясь с компаниями из совершенно разных отраслей на тему ИБ, я составил весьма неоднозначное мнение по факту ответов на вопрос: «а как вам помогают головные по вертикали ФОИВ или ГК?». В этой ситуации в пример я уверенно ставлю ЦБ, об адекватном и грамотном подходе которого говорят практически все заинтересованные игроки. Действительно, увидим, как сложится ситуация с коммерческими SOC, самой ГосСОПКОЙ, вендорскими центрами компетенций, но работа ФинЦЕРТа заметна невооруженным взглядом уже сейчас. Приведу пример. На майском заседании ПК1 ТК122 в ЦБ очень живо обсуждали с экспертами формат обмена информацией об инцидентах между финансовыми организациями и ФинЦЕРТом (речь о СТО БР ИБФО–1.5–2018), более того, регулятором были предприняты реальные шаги к тому, чтобы облегчить жизнь представителям отраслям, в частности, путем снятия обязанности передачи напрямую в ФСБ со стороны объектов КИИ без присвоенной категории значимости. Кстати, к таким объектам, по мнению ЦБ, относятся вообще все, включая ломбарды. Кроме того, описываемый формат был уже заранее гармонизирован с подписанным чуть позже законом, вносящим поправки в законодательство об антифроде и отмывании денег (банки получат право приостанавливать денежный перевод на срок до двух дней, если появится подозрение, что эта операция совершается без ведома владельца банковской карты и другие нововведения). И подобных примеров решения конкретных жизненных кейсов немало, важно, что в процессе их решения дается ответ на вопрос «что делать?».

Признаемся честно, до 100% рыночных отношений и чисто «риск-ориентированного» подхода к регулированию нам еще не близко. Однако, среди «отраслевиков» еще раз особенно выделяю ЦБ, как образец максимально адекватного и конструктивного в условиях сегодняшнего политического курса взгляда на проблематику ИБ в финансовой отрасли, который по-настоящему старается.

Оставайтесь на светлой стороне.

Оффтопик. Работа для нас или мы для работы.

В рамках своего личного блога позволю себе отойти от общей темы ИБ для людей и в данной заметки оставить только вторую ее часть, т.е. человеческую. Порассуждаю, как же так умудриться и выбрать союз «и» в выражении «семья и/или работа». Исходные данные - вопрос любви к своей работе здесь не поднимается, мне нравится то, чем я занимаюсь.

Раньше, когда я ездил в командировки один раз в пару месяцев, мне казалось, что это достаточно часто. Кроме того, почти все поездки были запланированы заранее, что позволяло достаточно комфортно готовиться, иметь на руках обратные билеты, синхронизироваться с домашними делами. При этом много работать для меня – это обычное дело практически с самого начала трудовой деятельности, однако, это происходило в офисе или дома, так или иначе, без длительного отрыва от семьи.

Сейчас же редкая неделя обходится без командировки куда-либо, причем они, зачастую, больше двух дней. В итоге, разлуки с семьей становятся довольно продолжительными, а сами поездки не тянут на легкие путешествия с целью развеяться или сменить обстановку. Пообщавшись с друзьями и коллегами из нашего поИБэ, составил для себя три (нет, два с половиной) варианта, как же максимально безболезненно для себя и своих родных находить выход из этой истории.

Первый вариант, очевидно, ничего не предпринимать и договориться самому с собой и с семьей, быть честным. Так или иначе каждый сам кузнец своей судьбы, занимаясь той или иной деятельностью в определенной компании, мы знаем, на что идем. Аналогично, наши супруги и дети принимают это, с оговорками или без. Однако, изначальную проблему такой подход не решает, в некоторой степени он лишь дает моральную индульгенцию, в которой утешение, лично для меня, весьма слабое, я всегда сильно переживаю и скучаю, что для моей семьи взаимно.

Второй вариант – брать семью с собой, особенно, если поездки долгие. У такого подхода есть масса ограничений, связанных с разными привязывающими к дому факторами. Такой вариант подходит далеко не всем, нужно отталкиваться от возраста детей, степени занятости и зависимости от локации второй половинки, я уж не говорю про финансовую сторону вопроса. Однако же, крайне заманчивым выглядит быть с семьей, быть всегда как будто дома, быть гражданином мира, если угодно.

Третий вариант (двух с половинчатый) – организация длительных отпусков для семьи. Этот вариант имеет те же ограничения, что и предыдущий, но зато нет необходимости постоянно переезжать из одного места в другое, есть возможность повысить комфорт пребывания за счет выбора климата, варианта размещения, доступной инфраструктуры, иных благ на заказ. Такой подход также имеет и ряд новых недостатков. Во-первых, это - фактор сезонности, круглый год такое не провернешь. Во-вторых, длительное пребывание вне дома в формате отдых или путешествие в одно место рано или поздно надоедает, кроме того, накапливается усталость от необходимости быть в постоянном тонусе за пределами своей, родной территории. В-третьих, сама по себе организация такого длительного отпуска для семьи и постоянные поездки к ним явно обходятся не слишком бюджетно и не всегда подъемно.

В качестве заключения, друзья, прошу, делитесь своими мыслями, опровергайте, расскажите свои лучшие практики и как вам удается, в ряде случаев, вообще не вылезать из командировок и быть при этом примерными супругами и родителями. Я убежден, что ответ на вопрос, заданный в заголовке, должен быть однозначным, понятно какой он. Или, может, я все преувеличиваю и “work-life balance” сильно смещен только у меня?

Оставайтесь на светлой стороне.

Киберустойчивость или удар в спину

Кто ожидал, что так сильно зацепить осколками в итоге битвы "за Телеграм"? Думаю, не очень многие. О рисках в контексте кибербезопасности не говорят сейчас только самые ленивые, уровень проникновения интересов топ-менеджмента и высшего руководства в эту тему становится неожиданно глубокий. Даже при отсутствии реальных инцидентов или подозрений на таковые, большой начальник вполне способен поинтересоваться у ИБ-шника: «А как у нас с киберустойчивостью, парень?». Это не спроста, они прекрасно видят, что происходит у некоторых своих партнеров и коллег, причем это происходящее выражено в деньгах. Да, слишком много жизненно важных систем нынче завязано на цифру, нарушение режима их штатного функционирования каким угодно способом может привести к катастрофе для человека, компании, страны. Понятие киберустойчивости несколько шире, чем думают некоторые и связано не только с вирусами или хакерскими атаками.

Так уж получается, что мы видим много различных кейсов, когда сбои в работе сотового оператора, проблемы с автоматикой управления движением метро, баги в государственных информационных системах (недавний случай с недействительными паспортами). Причем в большинстве ситуаций нет ни хакерских атак, ни иных целенаправленных умышленных действий, т.е. до настоящих киберпротивостояний мы еще даже не дошли, а проблемы уже испытываем. Давайте посмотрим на то, что происходит сейчас. С начала попыток блокировок Телеграм многие компании уже потеряли реальные и притом немаленькие деньги, не испытав при это никаких злоумышленных вторжений. На мой взгляд, мы исторически слишком недооцениваем нарушения «Ц» и «Д» (ну вы понимаете, о чем я). Кроме того, никакой реальной ответственности и осознания за неожиданную недоступность, наверное, уже сотни – не меньше, сервисов причастные к этой всей истории не несут и не будут нести, что-то мне подсказывает.

Мы постоянно говорим про виртуализацию, облака, гаджеты, интернет вещей, умные города и машины. А что будет, если отключат рубильник? Есть резервный план? VPN на всех не хватит, если они вообще выживут. Кроме того, при таком подходе и таких «учениях», которые невольно пришлось проходить многим организациям страны за эту весну, нет никаких гарантий в безупречности сервисов с отечественной локацией. Вообще, разделять национальности в Интернете - это отдельная история. 

Как же обеспечить киберустойчивость в условиях пресловутой «Цифровой экономики» и что нас ждет, когда придут в массы настоящие целенаправленные атаки – придется изучать на собственном опыте. А пока есть очень хороший повод по отстройке защиты от ударов в спину, работы безопасникам, причем в ряде случаев прилетевшей с самого верха, точно прибавится.

Оставайтесь на светлой стороне.