Вчера @LMonoceros опубликовал пост с более чем 1000 плюсами. Подобных горячих ИБ статей и на Хабре и на других ресурсах я за свои 13 лет в ИБ видел немало.


Но меня привлекло вот это:

Скрин сделан на момент 21-15 по московскому времени 13.01.2020.


Поразительно! 1002 плюса и ни одного минуса. НИ ОДНОГО!


С точки зрения критического мышления тут либо "консенсус широких масс", либо Хабр взломали. :)


Я верю в первое.


Это значит массы готовы и пора думать как системно решать проблемы ИБ в нашей стране. Лично у меня нет желания уезжать куда-либо, собираюсь растить своих детей у нас, поэтому мне далеко не всё равно чем всё это закончится. Огромное количество компаний, таких как РЖД, кладут болт на ИБ и… их не клюёт жареный петух.


А всё потому что "Закон Батенёва", опубликованный в виде шуточной статьи 1 апреля — это действительно фундаментальный закон информационной безопасности:


Предположим, что верны условия:
  1. Есть различные, публично известные объекты: А и Б
  2. Стоимость взлома А больше стоимости взлома Б
  3. Выгода от взлома А меньше от взлома Б


Тогда верен Закон:
Объект А не будет взломан до тех пор, пока не взломан объект Б

Вы думаете у нас только РЖД такое?.. Мало… ой мало вы в ИБ работали.


История 1.
В достаточно крупном банке Васе Первому поручили ерундовую штуку: сделать автоматические отчёты начальнику по ряду вопросов.

Вася пишет админам. Админы дают Васе доступ к SMTP.

SMTP протокол старый, аж 1982 года; когда его проектировали думали что все админы порядочные и честные люди. И Вася Первый обнаруживает, что он может отправить письмо от любого почтового ящика любому почтовому ящику. Так как банк достаточно крупный, то очевидно, что возможен взлом при первом нечестном работнике.

Вася как честный сотрудник спокойно пишет напрямую админам. Те его посылают в духе "Ты кто такой? Сколько тебе лет? Каков табель о рангах?". Вася пожимает плечами.

Через два года Вася нашёл новую работу и уволился. Перед увольнением проверил — по прежнему всем налево и направо раздают SMTP "без презерватива".

Зная природу банковских служащих я на 90% уверен что дыра и поныне там. А знаете почему? Потому что плохишам лень реализовывать такую сложную схему:


  1. устроится в банк на любую IT должность
  2. добится задания, в котором нужно что-то автоматизировать и отпралять отчёты по почте
  3. получить доступ к SMTP
  4. придумать схему социальной инженерии
  5. наварить кашу, получить бабки, свалить по быстрому

Согласитесь, нужно поднять свою попу с дивана. Сложно как-то.


Но банк пухнет… Становится всё больше и больше… Рано или поздно "Закон Батенёва" перестанет действовать...


Но почему? Почему так происходит?...


Опережающий маркетинг.


Есть такая штука: опережающий маркетинг. Это когда вы заявляете что у вас есть функциональность Х, хотя на самом деле у вас ещё конь не валялся. Я знаю компании, которые сначала начинают продавать продукт, а когда получат первый контракт — судорожно ищут разработчиков чтобы начать этот продукт разрабатывать. :)


Но такое бывает не только в бизнесе.


Есть внутренний опережающий маркетинг. И тут ИБ — это просто благодатная тема.


Вы скажете, а как же пентест? А я отвечу словами панка из 19 века, Саши Чацкого: "А судьи кто?". Ведь сами же руководители и выбирают компанию для пентеста. Для того чтобы иметь возможность выбрать нормальную пентест-команду на стороне вы должны хотеть услышать правду. А если эта правда повлияет на вашу премию? оклад? Зачем вам такие проблемы?


"Да и кому в Москве не зажимали рты, // Обеды, ужины и танцы?". И сплетни коллег вам тоже ни к чему!


Проблема эта государственная или крупных частных компаний? И тех, и этих. Был такой успешный критик Карла Маркса, Йозеф Шумпетер. В его книге "Капитализм, социализм и демократия" есть инетересная мысль: с социально-экономической точки зрения нет никакой особой разницы между чиновником и топ-менеджером крупной компании! В долгосрочной перспективе они ведут себя одинаково.


Кто любит много букв
1) Сталкиваясь с растущей враждебностью окружения и законодательной, административной и судейской практикой, порожденной этой враждебностью, предприниматели и капиталисты — а на самом деле, весь социальный слой, воспринявший буржуазный уклад жизни, — со временем перестают функционировать.

Традиционные цели становятся все более недостижимыми, а усилия — тщетными. Самая заветная из буржуазных целей — основать собственную промышленную династию — во многих странах уже стала недостижимой, но даже цели поскромнее настолько труднодостижимы, что по мере того, как все осознают, что неблагоприятные условия установились навсегда, они могут перестать бороться за эти цели.

Учитывая ту роль, которую играла буржуазная мотивация в экономической истории за последние два или три столетия, ее подавление вследствие недоброжелательности общества или ее ослабление вследствие неупотребления, несомненно, представляет собой фактор, адекватно объясняющий провал капиталистического процесса, — если нам когда-нибудь доведется наблюдать этот провал как перманентное явление, — причем фактор гораздо более существенный, чем любые из тех, что выдвигаются так называемой "теорией исчезающих инвестиционных возможностей". Интересно поэтому отметить, что этой мотивации угрожают не только силы, являющиеся по отношению к буржуазному складу ума внешними, но и то, что она имеет тенденцию угасать также под воздействием внутренних причин. Между теми и другими существует, разумеется, тесная взаимосвязь. Но мы сможем поставить правильный диагноз только, если попытаемся их разъединить. С одной из этих "внутренних" причин мы уже встречались. Я назвал ее "размыванием субстанции собственности".

Мы видели, что современный бизнесмен, будь то предприниматель или директор-распорядитель, принадлежит, как правило, к категории исполнителей. В силу логики занимаемого им положения его психология начинает приобретать некоторые черты, характерные для чиновников. Независимо от того, является такой бизнесмен держателем акций или нет, его воля к борьбе и выживанию уже не та, да и не может быть такой, какой обладал человек, знакомый с тем, что такое собственность и личная ответственность в первозданном смысле этих слов. Его система ценностей и его представление о долге претерпевают глубокое изменение. Рядовые держатели акций, разумеется, теперь вообще не принимаются в расчет — совершенно независимо от урезания их доли регулирующим и взимающим налоги государством. Таким образом, современная акционерная форма организации бизнеса, хотя она и является продуктом капиталистического процесса, социализирует буржуазное мышление; она беспрестанно сужает горизонт капиталистической мотивации; но и это еще не все — в конечном итоге она убивает его корни (...)

2) Однако еще важнее другая "внутренняя причина", а именно распад буржуазной семьи. (...). Для мужчин и женщин в современном капиталистическом обществе семейная жизнь и дети значат меньше, чем прежде, и потому их роль в качестве мотивационного фактора снизилась; строптивые сыновья и дочери, осуждающие нормы "викторианской" морали, на самом деле пусть неумело, но выражают непреложную истину. Весомость этих фактов не снижается от того, что мы не умеем измерить их статистически. Коэффициент брачности ничего не доказывает, поскольку сам термин "брак" охватывает так же много социологических значений, как и термин "собственность", и такой союз, какой раньше заключался посредством брачного контракта, может вообще отмереть, никак не затронув при этом ни юридическую форму, ни частоту заключения таких контрактов. Не более содержателен в этом смысле и коэффициент разводимости. Не важно, сколько именно браков расторгается в судебном порядке, — важно то, сколько браков лишено содержания, составлявшего существо брака прежнего образца. (...). На сегодняшний день это явление в большей или меньшей степени распространилось уже на все классы, но впервые оно возникло в буржуазном (и интеллектуальном) слое, и его симптоматическое в причинное значение с точки зрения того вопроса, который мы здесь рассматриваем, целиком связано именно с этим слоем. Явление это можно полностью отнести на счет сплошной рационализации жизни, которая, как мы видели, является одним из результатов капиталистической эволюции. На самом деле оно представляет собой лишь один из результатов распространения этой рационализации на сферу частной жизни. (...) Но это значит, что если говорить о гедонистской
компоненте в структуре мотивов совершения покупок, то за определенным порогом желательность доходов начинает снижаться. Чтобы в этом убедиться, читателю достаточно лишь взглянуть на ситуацию чисто практически: преуспевающий человек (один или со своей женой) или человек "из общества" (один или со своей женой), которые могут позволить себе снять самый роскошный номер в гостинице (каюту или
купе) и покупать самые высококачественные предметы личного потребления — а
высококачественных благ конвейер массового производства производит все меньше и
меньше — при нынешних условиях скорее всего будут
приобретать все, что захотят, и в любых количествах, но только для себя. И
нетрудно понять, что связанные с этим расходы будут намного меньше тех
требований, которые предъявлялись стилем жизни "сеньоров" прошлых лет.

3) Чтобы понять, что все это значит для эффективности капиталистической
производственной машины, достаточно лишь вспомнить, что в прежние времена
именно семья и семейное гнездо были главной движущей силой того мотива к
извлечению прибыли, который был типичен для буржуазии.

Й.Шумпетер "Капитализм, социализм и демократия" (Capitalism, Socialism and Democracy, 1942), жирный текст мой.

На пальцах и грубо:


  1. люди НЕ ХОТЯТ создавать семейные династии. Люди хотят комфорта. Комфорт дешевеет.
  2. следовательно — смерть духу капитализма ("размывается субстанция собственности")
  3. следовательно капитализм "вырождается" в нечто чиновнечеподобное

Далее Шумпетер приходит к выводу что любой капитализм либо революцией (СССР), либо эволюционным путём придёт к социализму. Но тут уже всю книгу цитировать нужно :)


Итак: в мотивации нет никакой существенной разницы между топ-менеджерами и чиновниками. В частности в мотивации внедрения качественного ИБ.


После внутреннего опережающего маркетинга история с галимым внедрением ИБ системы хотя бы в курилке всплывает наружу. И тут приходит сестричка опережающего маркетинга — круговая порука


Круговая порука


Кругова́я пору́ка — групповая солидарная ответственность. Заключается в том, что вся группа людей отвечает по нарушенным обязательствам одного из них.

Она формируется в обществе, где нет пафоса, цели, ценности. Без круговой поруки подобные системы рассыпались бы.


Накосячил кто-то и если его сразу же не наказали (замечание, выговор, лишение премии, увольнение), то это становится системной проблемой.


Когда возникает факап, любой руководитель сразу же задаст вопрос: а как так получилось, что мы РАНЕЕ не предвидели эту ошибку? И что же ему ответит ответственное лицо?


До тех пор пока скрывать проблемы (любые, не обязательно ИБ) дешевле, чем набраться мужества и признать свою ошибку, чиновники/менеджеры будут скрывать проблему.


В системах, в которых есть настоящий пафос, цели, ценности даже у самого слабого духом менеджера/чиновника "накапливается стыд", либо он накапливается у его подчинённых. Человек без ценностей с социальной точки зрения лишён совести. Общество таких людей не имеет внутренней обратной связи. Его можно лечить только извне — пинками.


И тут ИБ очень благодатная почва. Ведь если доложишь о проблеме — это 100% головная боль и втык (пусть и маленький). А если не доложишь? При правильном поведении всегда можно прикинутся дурачком, ведь это "так сложно" всё предвидеть, а по бумагам — всё ок.


История 2.

Самое главное (sic!) ведомство нашей страны по вопросам Х (важные вопросы, поверьте на слово).

Вася Второй обнаружил, что в этом ведомстве стоит Windows Server 2000, пароль из семи символов. Всё дырявое настолько, что не имея никакого опыта в пентесте (Вася спец по другим вопросам), Вася это всё поломал за полтора часа.

Все в шоке. Васе бутылку, конфеты, женщин.

Никто не наказан, так как "у нас же нет специалистов, что поделать".

Ничего не сделали, так как для того чтобы что-то сделать, "нужен бюджет", а бюджета нет. Попросить неверх — нельзя! "Если доложим в министерство, то Петю-алкоголика (юридически отвечает за ИБ) уволят, всем выговор сделают, а руководство лишат премий".

Думаю на Петю-алкоголика всем было наплевать, это маральное прикрытие. Дело в выговорах и лишении премий...


ИБ продукты и их продажи.


Про пентесты поговорили… А что же с продуктами? Ну во-первых без хорошего пентеста вы не поймёте какой продукт нужно внедрять. Во-вторых с ИБ-продуктами такая же дичь.


История 3.
Один весьма успешный стартапер ИБ продуктов рассказал мне как нужно продавать. Вначале Вася Третий ходил к ИБ-шникам.

Но серьезные ИБ-шники как в гос.органах, так и в крупных частных компаниях говорили, что у них "всё впорядке".

Вася не падал духом и нашёл решение! Он шёл… в другой (не ИБ) отдел и говорил, что при внедрении его системы сократятся риски. А если риски сократятся, то система Х и Y будут не нужны. И тогда можно сэкономить.

Звучит странно… Если тебе жарко, то вместо вентилятора купи половой веник и маши им. Из этой же серии...


Но тут есть важный вывод: продавать ИБ отделам невозможно без "жареного петуха".


Но и когда "клюнет", то как выбрать хороший продукт? Каков механизм проверки качества этого продукта?


Что общего между медициной и ИБ? В том что вы идете к врачам сами. Так же и в ИБ на мой взгляд вообще не должно быть сэйлов. Должна быть репутация и социальный механизм обратной связи, для влияния и оценки этой репутации.


Вместо этого маркетинг, много красивых картинок и булшита…


Так и живём.


Общая схема ИБ процессов в крупных компаниях (частных и государственных)


Итак, мы созрели до общей схемы.


  1. Внутренним опережающим маркетингом проводится ИБ-аудит и/или устанавливается ИБ-решение. "Всё хорошо". Хотя на самом деле не сделано нихрена. Ведь вероятность "жареного петуха" очень мала. А сделать по нормальному: во-первых лень, во-вторых трудно, в третьих рисковано (вдруг порядочный подрядчик ещё больше проблем увидит)
  2. Менеджера/чиновника хвалят, дают премию, повышают
  3. Проходит время. Вскрывается проблема. В курилках её обсуждают.
  4. Круговая порука "закупоривает" проблему.

Вот и всё! Весь секрет Полишинеля. Скука! Нет вам ни криптокатоликов в РПЦ, ни жидомассонов в Кремле...


Уверен на 99% что в РЖД всё знали. От простого клерка, то руководителей.


Ну как же так, скажете вы?


А так! Таким способом можно целую страну разрушить. Только в качестве цели берётся не техническая система, а сознание граждан. Вы знаете что такое "Гласность" во время Перестройки? А вы никогда не задумывались КАК в условиях государственного СМИ и отсутствия интернета (и следовательно социальных сетей) вы будите ТЕХНИЧЕСКИ обеспечивать Гласность?


Ответ

Сначала создать систему. Внедрение интернета например, или систему аренды печатных станков и распределения газет. После — осущиствить Гласность.


Гласность физически была невозможна в СССР, возможен был беспредел (или управляемый беспредел?) чиновников на местах и полный разброд государственных СМИ. Что и было сделано.


Хабр не место для подобных тем, а то обвинят в "пропаганде". Но ведь не в пропаганде идей и ценностей дело! Просто я знаю очень много талантливых и умных людей, которые всё видели и не имели возможности озвучить свою точку зрения. Потому что "Гласность" была в одни ворота. Письмо Нины Андреевой 1988 года — исключение.


Осуждение Гласности как ТЕХНИЧЕСКОЙ глупости равносильно осуждению главы государства. А это 100% смерть карьере и, может быть, жизни.


Что же делать?


Надо мной будут смеятся, но я человек смелый, поэтому скажу: нужна разделяемая и обществом и государством… идеология. Любая. Ещё десять лет духовной нищеты и лично я буду согласен даже на монархию… Только честную, пожалуйста. Без бутафорий. Дуэли тоже верните. И всем получившим высшее образование — личное дворянство автоматически.


После формирования идеологии формируется нечто большее чем жалкая "теория игр", в рамках которой "живи сам и дай жить другому". Появляется возможность выращивания не только профессионального этикета и высших (т.е. вне зависимости от мнения начальника) норм поведения.


Тогда и только тогда появится система обратной связи в обществе, которая позволит таким как @LMonoceros не просто залатать дыры в РЖД, но и стать ведущим консультантом по ИБ с правом написать письмо если не главе государста, то ОЧЕНЬ высокому чиновнику. И это письмо гарантировано рассмотрят и либо тырнут левого РЖД менеджера, либо встретятся очно с LMonoceros и объяснят его непровату. Но никогда, никогда не засунут "в стол". А если LMonoceros начнёт играть в аппаратные игры, то гласным судом его будут судить. И, соблюдая презумпцию невиновности, если докажут — то посадят, разумеется.


России нужны ИБ-опричники. Только профессиональные и без особой дури. Головы отрубленых собак носить с собой не нужно, а вот ходить в чёрном — наверное правильный дресс-код :)


Для их появления нужен конструктивный гнев народа и государственная воля. Всё остальное есть — и адекватные люди, и техника, и деньги.


Вместо кавайного котика

Когда я закончил писать этот текст, было уже полночь (00:16 по московскому времени).


Перепроверил рейтинг поста-повода.


Всё-таки нашёлся, но РОВНО ОДИН человек, который поставил минус :)



КОНКУРС для дизайнеров

Нужно нарисовать "жареного петуха" в контексте ИБ проблемы.


Обязательно должен быть петух. Его вид должен говорить что он жареный либо в прямом, либо в переносном смысле. По изображению должно быть понятно, что речь об ИБ.


Не забываем ставить хештег: #конкурс_петух_жареный. Именно по ним я буду эти сообщения смотреть.


Дедлайн: 23 января, 23:59.


24 января я подвожу результат.


Автор изображения, которое наберёт большее количество плюсов, получит от меня символический приз: 5000 рублей, если дам больше то меня жена побьёт. Изображения, получившие 2,3,4,...10 места — поощрительные 2500, 1250, 700, 600, 500, 400, 300, 200, 100 рублей.


Будет небольшой рандом, так как я открою пост 24 января в удобное для меня время. Так что может не повезти. :)


Если найдёте орфографическую ошибку — напишите в личку.