Недавний хак Кадрового управления США (U.S. Office of Personnel Management) поставил логичный вопрос - А вероятно ли такое в России?
Проверим наш вопрос доказательством противного, т.е. что хак соответствующей базы данных правительства невозможен. В качестве контекста примем следующие предпосылки:
И тут мы сразу попадаем в ловушку - в текущей ситуации уровень ИБ БДЧ России не может быть выше уровня ИБ БДЧ США, в силу целого ряда причин:
Проанализировав отчет по аудиту ИБ OPM (майнд-карты в подвале истории) приведу только одну иллюстрацию уровня ИБ OPM - "Недостаток" - SIEM OPM собирает данные только из 80% целевых систем". Тем временем согласно исследованию закупок ведомств России SIEM закупались в объемах настолько меньших чем все подряд СЗИ от НСД, VPN, и прочие commodity-системы, что даже не были выделены в отдельную категорию.
Если уж такая мощная программа ИБ как OPM оказалась недостаточной, то что говорить о организациях, которым не нужно отчитываться о инцидентах? Скорее всего в сетях давно сидят трояны, и качают все что необходимо. И не нужно "закладок" в иностранном ПО, если достаточно сделать небольшую атаку целевого фишинга и похитить всю интересующую информацию.
Отвечая на логичный вопрос "И что делать?" предлагаю задуматься о повышении открытости отрасли. Лишь тогда когда отрасль гражданской ИБ будет открытой и прозрачной организации будут заинтересованы заниматься обеспечением ИБ вверенной им информации по настоящему. Лучшие практики США по открытой публикации результатов аудита, метрик ИБ и оповещений о инцидентах могут помочь любой стране улучшить состояние ИБ.
Источники:
Проверим наш вопрос доказательством противного, т.е. что хак соответствующей базы данных правительства невозможен. В качестве контекста примем следующие предпосылки:
- Под данной базой данных (БДЧ) подразумеваем как гипотетическую единую БДЧ правительства, так и совокупность гражданских БДЧ крупнейших государственных организаций в сферах внутренних дел, социального обеспечения, финансового регулирования и т.п.
- Привлекательность БДЧ России не меньше привлекательности БДЧ США (вариант "Джо неуловим потому что он никому не нужен" не рассматривается).
- БДЧ России не содержат государственную тайну.
- США и Россия примерно одинаково обеспечены человеческим капиталом по ИБ БДЧ и имеют примерно одинаковую зрелость процессов ИБ БДЧ.
- Из-за проблем экономики уровень ИБ БДЧ не менялся существенным образом с 2013
И тут мы сразу попадаем в ловушку - в текущей ситуации уровень ИБ БДЧ России не может быть выше уровня ИБ БДЧ США, в силу целого ряда причин:
- По сравнению с США это не нужно государственным организациям.
- В России нет единой точки ответственности за ИБ (в США это CISO, U.S. OMB).
- Уровень ИБ OPM очень и очень высок.
Проанализировав отчет по аудиту ИБ OPM (майнд-карты в подвале истории) приведу только одну иллюстрацию уровня ИБ OPM - "Недостаток" - SIEM OPM собирает данные только из 80% целевых систем". Тем временем согласно исследованию закупок ведомств России SIEM закупались в объемах настолько меньших чем
Если уж такая мощная программа ИБ как OPM оказалась недостаточной, то что говорить о организациях, которым не нужно отчитываться о инцидентах? Скорее всего в сетях давно сидят трояны, и качают все что необходимо. И не нужно "закладок" в иностранном ПО, если достаточно сделать небольшую атаку целевого фишинга и похитить всю интересующую информацию.
Отвечая на логичный вопрос "И что делать?" предлагаю задуматься о повышении открытости отрасли. Лишь тогда когда отрасль гражданской ИБ будет открытой и прозрачной организации будут заинтересованы заниматься обеспечением ИБ вверенной им информации по настоящему. Лучшие практики США по открытой публикации результатов аудита, метрик ИБ и оповещений о инцидентах могут помочь любой стране улучшить состояние ИБ.
Майндкарты по ИБ OPM
Источники:
Комментариев нет:
Отправить комментарий