5 мая 2017 сотрудник ITTS принял участие во встрече в формате «круглого стола», который был организован Центром обеспечения информационной безопасности. Основная тема встречи - упорядочивание процессов экспертизы объектов информатизации по требованиям информационной безопасности.
Высшее руководство и сотрудники центра подробно объяснили свою позицию и внимательно выслушали мнения представителей организаций, которые проводят экспертизы ИБ, среди них были и коммерческие структуры, и государственные предприятия (ГУП). В заключение встречи её участники признали эффективность подобной формы диалога

Начальник отдела ИБ Антон Ракитский стал победителем (дипломантом I степени) международной олимпиады 2017 г. для студентов и выпускников вузов по профилю «Управление информационной безопасностью». Олимпиада проводится российским национальным исследовательским университетом «Высшая школа экономики».
Постоянное образование, повышение квалификации очень важно и даже обязательно для многих профессий – учителя, врачи. Но, пожалуй, в области информационной безопасности тенденции, проблемы и угрозы меняются быстрее всего. С позиций университета участие в олимпиаде – отличная возможность заявить о себе как специалисте, имеющем потенциал развития и профессионального роста. Также считаем, что проблемные вопросы, с которыми не удалось справиться на олимпиаде в этом году, также задают направление для дополнительного обучения в будущем.
В прошлом, 2016 году, Антон смог стать дипломантом III степени этой же олимпиады, но год подготовки и постоянная практика в реальных проектах принесла свои плоды.
Текст олимпиадного задания и полный список победителей и призёров этого года уже доступны на сайте НИУ ВШЭ.

Уже второй год подряд коллектив ITTS принимает участие в международной образовательной акции «Тотальный диктант». В этом году в качестве диктанта в разных городах были представлены три текста Леонида Юзефовича, посвященные рекам Кама, Селенга и Нева. Сам диктант в Ташкенте прошел в большой лекционной аудитории в филиале Российского государственного университета нефти и газа имени И.М.Губкина в городе Ташкенте.
Организаторы подчеркивают, что готовность проверить себя и написать диктант - большое достижение, а каждый написавший может гордиться собой.
Участие в Тотальном диктанте бесплатное и вообще не предполагает каких-либо поощрений по результатам, но в этом году организаторы приняли решение вручить написавшим диктант на 4 и 5 словари и памятные сертификаты. По опыту прошлого года можем сказать, что написать диктанта на положительную оценку очень непросто.

15 марта 2017 сотрудник ITTS принял участие в ежегодном мероприятии Oracle Technology Day в Ташкенте.
Встреча началась с опроса, проведенного сотрудником Oracle Семёном Поповым, о том, кто из участников мероприятия так или иначе использует облачные хранилища в личных целях. Оказалось, что облачными технологиями пользуются все. Докладчик отметил, что, несмотря на ряд законодательных ограничений и проблемы с интернет-каналом в Узбекистане, облачные технологии уже начинают использоваться и в производственных процессах.
С приветственным словом к участникам конференции обратился директор Центра развития системы "Электронное правительство" Шерзод Хабибуллаев.
Директор Департамента Технологического Консалтинга Oracle Марк Ривкин заметил, что сейчас IT - черная дыра, которая потребляет всё больше средств на повышение производительности, обновление оборудования. В случае же облачных вычислений оплата ведется только за реально потребленные ресурсы и только на нужный период, т.е. простоя оборудования не будет. А использование облачных технологий переводит расходы на ИТ из разряда капитальных в операционные расходы.
IaaS - облачная инфраструктура, фактически виртуальный компьютер/сервер на котором всё остальное устанавливается и настраивается самими пользователями.
SaaS - облачное ПО, т.е. используемое ПО теперь расположено в облаке, офисные пакеты, бухгалтерское ПО устанавливается и поддерживается теперь поставщиком, заказчик только приобретает подписку.
PaaS - облачная платформа. Применяется, когда нужно перенести часть информационной системы в облако, самый яркий пример - облачная база данных.
Переход в облака - неизбежен, если не заняться этим сейчас, потом придется догонять.

Начальник отдела ИБ ITTS Антон Ракитский дал второе интервью для информационно-аналитического журнала ICTNEWS. Статья «Защита информации: что советуют эксперты» с интервью вышла в журнале №3 (125) за 2016 г. Ниже приводим текст оригинального интервью, данного журналисту издания ICTNEWS.

Беседовала Валентина Шатуновская

1. Какие тенденции в области информационной безопасности (ИБ) наблюдаются в последнее время в мире и в Узбекистане (в плане угроз и средств защиты)?
Тенденции в целом общие для всех участников информационного пространства. Это рост проникновения ИТ во все сферы жизни, повышение сложности информационных систем, и как следствие, повышение зависимости от таких систем. То есть одновременно с удобствами ИТ появились и неизвестные ранее риски. Особенно хорошо взрывной рост технологий заметен, если почитать публикации 10-15 летней давности - виден рост скоростей передачи данных, производительности, объемов хранения, сложности систем. Также стремительно возрастает и сложность обеспечения ИБ.

2. Какие новые разработки в этой сфере появились за последнее время?
Говорить о каких-то революционных изобретениях и открытиях в области ИБ за последнее время (3-5 лет) не приходится. Ранее изобретенные механизмы обеспечения ИБ эволюционируют, совершенствуются. Производители средств обеспечения ИБ внимательно следят за трендами - множество решений по ИБ теперь реализуется с использованием облачных технологий. Параллельно развивается и методология обеспечения безопасности - выходят новые версии стандартов и руководящих документов.

3. Какие услуги в обеспечении информационной безопасности наиболее востребованы?
Информационная безопасность - целая отрасль. В неё входят и технические, и организационные, и методические решения. Само собой, что логично вкладывать в решения, дающие максимальную отдачу на единицу вложений. Вся сложность управления ИБ как раз и заключается в правильном выборе приоритетов при ограниченном бюджете. Если говорить именно об услугах, то самыми востребованными являются консалтинг и проведение независимых экспертиз. Не каждая организация может позволить себе иметь в штате профильного высококлассного специалиста по ИБ в штате. Но даже если такие специалисты на предприятии есть, очень важно получать независимый взгляд на проблему, у штатных специалистов со временем «глаз замыливается».

4. Какая сфера деятельности, на ваш взгляд, больше всего нуждается в обеспечении информационной безопасности?
Насколько важен для потребителя какой-то конкретный сервис, услуга, продукт - настолько же важна и его безопасности. Например, пользуясь услугами связи и интернета, мы рассчитываем, что услуги эти будут доступны нам в любое время дня и ночи и с должным качеством. Для этого операторы связи должны позаботиться о доступности сервиса, а это как раз один из критериев ИБ. Обращаясь за справочной информацией, мы надеемся, что она будет точной, без искажений - будет обеспечена её целостность. Сообщая свои персональные данные в банке, мы ожидаем, что доступ к ним получат только уполномоченные лица, то есть будет обеспечена конфиденциальность. Нельзя сказать, что что-то важнее. Задача предприятия - обеспечить приемлемый уровень ИБ, удовлетворяющий клиента и требованиям нормативов.

5. Ваша компания предоставляет услуги по ИБ в разных организациях. В чём основные отличия обеспечения ИБ в государственных учреждениях, финансовой сфере и коммерческих организациях?
Для государственных структур в большей степени характерна зависимость от требований нормативных документов, стандартов, инструкций. Многие слышали про различные грифы секретности, уровни допуска. Всё это элементы обеспечения безопасности. Бывает, что подобные строгие меры осложняют жизнь сотрудников, но такова плата за высокие требования уровня безопасности. Ведь информация, циркулирующая в таких организациях важна для страны в целом. Для коммерческих организаций важна в первую очередь финансовая составляющая обеспечения ИБ. Если затраты на ИБ превышают доходы - существование предприятия теряет смысл, вряд ли предприниматель будет работать себе в убыток. В то же время, если не тратиться на ИБ разбегутся клиенты, недовольные сервисом, а производственные секреты утекут к конкурентам. Тут важен баланс между уровнем ИБ и затратами на её поддержание. Для финансовых организаций (банки), операторов связи и подобных им организаций действуют оба фактора. С одной стороны, вопросы рентабельности, с другой требования регуляторов. Хочешь, не хочешь, а нужно в обязательном порядке обеспечивать режим банковской тайны, уровень доступности, качество сервиса - за этим следят уполномоченные органы и в случае нарушений можно понести убытки в виде штрафов, а то и вовсе - отзовут лицензию.

6. Что, на ваш взгляд, лучше – содержать в штате организации сотрудников по ИБ или обратиться за помощью к сторонней фирме?
В идеале на предприятии должно быть отдельное, максимально независимое подразделение по обеспечению ИБ, которое ещё и пользуется услугами внешних специалистов-аудиторов, экспертов для получения беспристрастной оценки своего труда. В условиях ограниченности штата разумным компромиссом может быть выделение группы сотрудников для обеспечения ИБ, которые будут привлекать внешних экспертов для периодических консультаций. Передать вопросы обеспечения ИБ полностью внешним исполнителям - вряд ли возможно. Вопросы ИБ в любом случае должны курироваться, поддерживаться, контролироваться высшим руководством самой организации.

7. Если информационной безопасностью занимается сторонняя организация, какие существуют риски, и как их избежать?
Пожалуй, основным риском в данном случае является утечка критичной для предприятия информации "на сторону". Также есть риск купить не то что заказывали, когда недостатки продукта или услуги выявляются слишком поздно. Единого простого решения этой проблемы нет. Как и при выборе других поставщиков и исполнителей - важен тщательный их отбор. И уж точно единственным критерием выбора не должна быть цена. Само собой, желательно подстраховаться и подписать соответствующие соглашения о неразглашении с исполнителями. Но полной гарантии не даёт и это. В качестве дополнительной меры по снижению рисков ИБ можно предложить привлечение третьей, независимой стороны при проведении выбора поставщиков. Внешние независимые эксперты должны быть достаточно компетентными, чтобы защитить интересы заказчика и не зависеть от поставщиков или исполнителей. Когда одна и та же компания и занимается консалтингом и продаёт профильные решения, очень сложно удержаться от соблазна советовать покупать у себя же.

8. Можете привести примеры из зарубежного опыта по эффективному обеспечению ИБ или же наоборот провальные решения в этой области?
Гарантировать полное обеспечение ИБ практически невозможно, всегда есть некоторый остаточный риск. Пример тому - многие громкие случаи, связанные с нарушение ИБ в крупных организациях, имеющих огромные бюджеты на ИБ. Информационная безопасность как отрасль вообще формируется на наших глазах, единых решений, дающих гарантированный результат тоже нет. Но, пожалуй, основным мотивом будущего ИБ становится понимание того, что информационная безопасность не удел только "узких специалистов", а всех нас. Должен будет повышаться общий уровень грамотности, технической культуры.

Специалисты ITTS подготовили краткий обзор основных статистических и аналитических отчетов по информационной безопасности ISTR и DBIR, вышедших в 2016 году.
От ITTS: Статистика в области информационной безопасности - вещь специфичная, мало кто хочет публиковать информацию о взломах своих сетей, утечках данных клиентов, убытках. Но для принятия решений важно понимать масштаб проблем. Тут может помочь или собственная, внутренняя статистика по инцидентам ИБ (очень редко где такая статистика ведется), либо приходится апеллировать к данным признанных авторитетов отрасли. Мы приводим самые впечатляющие, на наш взгляд, данные из отчетов, в скобках даны страницы соответствующих отчетов, на которых приведены указанные факты.

Ежегодно Symantec готовит большой отчет о безопасности и угрозах в интернете (Internet Security Threat Report), который содержит множество статистических и аналитических данных. Полная версия отчета ISTR за 2016 год доступна по ссылке.

• Мобильные устройства становятся всё более привлекательной целью для криминала, который готов тратить бОльшие деньги на взлом таких устройств. Пять из шести всех купленных в 2015 году устройств работают под управлением ОС Android, именно эта ОС является основной целью преступников. При этом успешные атаки продемонстрированы и на iOS даже без джейлбрейка. (стр. 10)
• Производительность современных смартфонов больше, чем у космических кораблей Спейс шаттл. По прогнозу Gartner, количество устройств подключенных к интернету в 2016 году достигнет 6,4 миллиарда (и до 20,8 миллиардов в 2020 году). Интернет вещей (IoT - Internet of Things) уже стал реальностью - современные телевизоры, медиа-плееры и даже некоторые модели автомобилей уже сейчас имеют постоянное подключение к интернету. (стр. 16)
• В течение 2015 года обнаруживалось по одной уязвимости нулевого дня в неделю (стр.39), в Adobe Flash Player в 2015 году обнаружено 10 уязвимостей нулевого дня и проблемой этого приложения озабочены все крупные производители программного обеспечения. В целом в течение года ожидается сокращение, а затем и прекращение поддержки Flash-технологий большинством ПО. (стр. 20)
• До половины (48%) всех случаев утечки персональных данных были связаны с собственными непреднамеренными ошибками персонала организаций, и около 52% утечек связаны с деятельностью злоумышленников. (стр. 55)
• Цены на теневом криминальном рынке составляют до $1000 в день за организацию распределенных атак в обслуживании (DDoS) и до нескольких тысяч долларов за инструменты для эксплуатации уязвимостей нулевого дня. (стр. 57)
• Злоумышленники способны организовывать масштабные DDoS-атаки, требуя выкуп у владельцев ресурсов для её прекращения. Одна из самых масштабных таких атак достигала в пике 602 ГБит/с. (стр. 65)

Статистические и аналитические аспекты утечек данных традиционно освещаются в отчете Verizon Data Breach Investigations Report (DBIR). Полная версия отчета DBIR 2016 доступна по ссылке.

• Подавляющее количество инцидентов безопасности приходится на сектор государственного управления, а среди инцидентов с подтвержденной утечкой данных преобладает финансовый сектор. (стр. 4 и 5)
• Когда это возможно, компрометация (взлом) осуществляется злоумышленниками в течение нескольких минут, а утечка (кража) данных происходит в течение нескольких дней. (стр. 10)
• 63% всех подтвержденных утечек данных связаны со слабыми, украденными паролями или паролями «по-умолчанию». (стр. 20)
• 95% всех утечек данных, связанных с web-приложениями, имели финансовые мотивы. (стр. 28)
• Часто причиной утечек становиться не только действия инсайдеров, но и так называемый эффект TGYFBFTDHRA (That guy you fired but forgot to disable his remote access), когда уволенный сотрудник продолжает пользоваться доступом к информационным системам. БОльшая часть работающих в организациях инсайдеров занимают нижние ступени иерархии. (стр. 35 и 36)
• Данные (носители, ноутбуки) теряются в сто раз чаще, чем крадутся. (стр. 44)