Введение

«Вообще, я окончил МИРЭА по информационной безопасности. Но от этого безопасником не стал. То, чему нас учили в институте, было насквозь неинтересно».

Вступление

Одни из самых древних, обнаруженных антропологами, отчетов принадлежали инкам и представляли собой сложные верёвочные сплетения и узелки, изготовленные из шерсти альпака или ламы. За без малого пять тысяч лет человечество проделало долгий путь. Гаджеты стремительно ворвались в нашу жизнь, и теперь никого не удивит картина с человеком, изучающим диаграммы и таблицы на планшете, сидя в шезлонге на берегу моря. Давайте рассмотрим, какие же они — современные цифровые отчеты, какие новые возможности открывают, а также окунемся в специфику отчетности в сфере информационной безопасности и рассмотрим несколько реальных ситуаций с заказчиками.

Преимущества «цифры»

Электронные версии отчетов появились раньше, чем отпала необходимость в печати, и первым значительным преимуществом цифрового отчета была возможность предпросмотра. Данные можно было изучить и при необходимости подправить, прежде чем нести на стол начальнику. Но аппетит, как известно, приходит во время еды, и электронные носители стали сами подсказывать новые возможности.

К примеру, вы помните из исторических кинолент длиннющие свитки, по которым глашатаи зачитывали народу царскую волю? Такой вид документа был начисто лишен навигации: чтобы найти какое‑то конкретное место в документе, надо было пробегать его глазами, ориентируясь только на собственную память и смысл написанного. Когда люди научились резать свитки на равные куски (формата А4) и нумеровать их, появились оглавление и возможность ссылаться на определенные фрагменты текста. Так родилась навигация в документах. Электронные документы стали ещё удобнее, потому что переход по гиперссылке мгновенно переносил вас к нужной части текста.

Всем привет, меня зовут Фуркат. Я занимаюсь сетевой безопасностью в ИБ‑интеграторе, и в процессе работы к нам попадают новые системы и «железки». Прежде чем передать их клиентам, мы все проверяем, смотрим, на что ПО и оборудование способно, а на что — нет. Недавно к нам таким же образом попала на тот момент последняя UserGate (7.0.1 build 7.0.1.826R от 27 апреля 2023). Ее мы тоже потестили, и сейчас я вам покажу и расскажу, что из этого получилось.

Нередко в потоке рабочей рутины и при постоянном погружении в процесс опытный руководитель может сразу подметить первые признаки усталости и выгорания среди аналитиков и операторов SOC. С еще большей частотой команды, непрерывно, замотивированно и с энтузиазмом работающие над сложными или однообразными задачами, замечают свое «нерабочее» состояние уже по факту.

В сухом остатке получается, что команда преобразилась в группу бесконечно уставших людей, которым не помогают ни отпуск, ни деньги, и которые готовы прямо завтра «бросить это ваше ИБ» и уйти в закат. Казалось бы, работа в целом и не связана с помогающими профессиями, однако постоянный интеллектуальный труд, отягощаемый переработками, все же сказывается на состоянии работников вопреки отрицанию проблемы.

Не секрет, что нашумевший в кинотеатрах и на торрентах фильм «Барби» оставил много поводов для раздумий над слоями иронии, а также над политическими и идеологическими посылами, которые там присутствуют.

Но, помимо этого, Барбиленд — ещё и хороший пример того, как не надо выстраивать информационную безопасность. Под катом разберём, какие классические проблемы ИБ можно найти в фильме и что мы можем из этого вынести.

«Ваши ученые так сильно беспокоились о своих талантах, что даже забыли подумать, стоит ли вообще это делать».

Эта цитата принадлежит доктору Иэну Малкольму (математику из «Парка юрского периода» в кожаном пиджаке), однако вполне применима не только к возрождению велоцирапторов, но и к недавнему взрыву популярности инструментов на основе ИИ.

На самом деле, современная ситуация с ИИ может быть даже более угрожающей, чем “Парк юрского периода”. По крайней мере, в фильме возвращение динозавров ограничилось одним островом и управлялось одной корпорацией. В нашей же реальности динозавры вырвались на свободу и с ними может поиграть любой желающий.

Спустя шесть месяцев после публичного релиза ChatGPT появилось множество браузерных расширений на основе ИИ. Их уже сотни — поищите по запросу «AI» в Chrome web store, и вы утомитесь скроллить, ещё не добравшись до конца списка.

Студенты-первокурсники колледжа вполне обоснованно могут быть раздражены тем, что им не удаётся выбрать популярные факультативные дисциплины. Но обычно они лишь ворчат. Парас Джа стал исключением. Разгневанный тем, что старшекурсникам отдаётся приоритет при выборе курса computer science в Ратгерского университета, Парас решил обвалить веб-сайт регистрации, чтобы записаться не смог никто.

Всё началось с того, как один мой друг пожаловался, что его телефон каждые несколько секунд выполняет запрос к одному и тому же приложению. Сначала я предположил, что телефон заражён вирусом, но через пару минут стало ясно, что все запросы поступали от приложения Swing VPN, которое было обычным образом установлено в телефон как VPN-сервис. Оно делало запросы к одному веб-сайту, которым мой друг никогда не пользовался, а в полезной нагрузке запроса находились конкретные данные с целью отправки запросов к конечной точке, требующей большого объёма ресурсов этого сайта.

И снова здравствуй, дорогой читатель. В предыдущем материале мы в общих чертах рассмотрели сложности обеспечения информационной безопасности в финансовых организациях, посетовали на большое количество регулирующей документации и немного посмеялись с мемасиков. Но делу время, а потехе час. Необходимо всё-таки разобраться с тем, что с этим делать и кто, как обычно, виноват.

И чтобы представителям некредитных финансовых организаций было легче дойти до понимания того, с чего стоит начать свой путь по осуществлению защиты информации (ну и, разумеется, побыстрее выполнить требования регуляторов), в этой статье рассмотрю вопрос обеспечения защиты информации, и как выполнять требования 757-П и всех вытекающих из него дополнительных требований.

Я пришёл к выводу, что 2048-битный криптографический алгоритм RSA достаточно безопасен, когда работал над недавним проектом. Канада1), в которой я живу, да и другие страны2), заявили, что 2048-битный RSA будет считаться потенциально небезопасным после 2030 года. Минимальная длина надежного ключа — это 3072 бита. Осталось всего семь лет до нового стандарта.