Опубликован годовой отчет Cisco по информационной безопасности за 2016 год.
В отчете содержится множество статистической и аналитической информации. Ниже мы приводим самые интересные, на взгляд специалистов IT-TEAM SERVICE, выдержки из отчета.

• "... шифрованный трафик по протоколу HTTPS достиг переломного момента: скоро этот протокол станет основным для интернет-трафика."
• "... шифрование может не только решать проблемы информационной безопасности, но и быть их источником, например создавать ложное чувство защищенности."
• "В 2015 году руководители по информационной безопасности в компаниях выражали меньшую уверенность в своих инструментах и процессах обеспечения информационной безопасности, чем в 2014 году."
• "Заражение веб-браузеров: широко распространенный и главный источник утечки данных."
• "Недавно мы проанализировали 115 000 устройств Cisco в Интернете и средах заказчиков, чтобы привлечь внимание к рискам безопасности, обусловленным устаревающей инфраструктурой и невниманием к уязвимостям. 92 % проанализированных устройств Cisco в Интернете подвержены известным уязвимостям. ... Устаревающая и устаревшая ИТ-инфраструктура полна уязвимостей для организаций."
• "По мере того как специалисты по безопасности узнают об угрозах подробнее, они могут начать искать пути укрепления систем защиты. Все больше специалистов по безопасности поручают сторонним компаниям по крайней мере некоторые функции обеспечения информационной безопасности."
• "... организации, ставшие жертвами взлома общедоступных баз данных, с большей вероятностью усовершенствуют свои процессы обеспечения информационной безопасности."

Отчет доступен на русском и английском языках.
ITTS являетcя партнером компании Cisco.

28 октября 2015 года в очередной раз состоялся республиканский семинар "Информационная безопасность в сфере связи и информатизации. Проблемы и пути их решения".
С докладом "Поле боя - киберпространство .UZ" выступил представитель Совета национальной безопасности при Президенте Республики Узбекистан Д.Умаров. В ходе доклада рассмотрено, кто является противоборствующими сторонами, что движет злоумышленниками. В качестве серьёзной силы отмечены спецслужбы государств, крупных компаний, а также, особенно, производители ПО, которые часто закладывают скрытый функционал по сбору данных.
С обзором национального законодательства в области ИБ выступил начальник юридического отдела ЦОИБ Н. Бахридинов. Ранее эта тема уже частично раскрывалась и в публикациях нашей компании. Докладчик также обозначил проблемы и свой взгляд на перспективы развития нормативной базы - важным шагом, по его мнению, могло бы стать создание концепции обеспечения информационной безопасности Республики Узбекистан.
О тенденциях развития угроз информационной безопасности в доменной зоне UZ рассказал ведущий специалист ЦОИБ С. Садиков. Были приведены некоторые статистические данные по инцидентам в национальной доменной зоне.
Тимур Салиев, ведущий специалист UZINFOCOM, выступил с докладом "Киберпреступления и методы борьбы с ними на примере угроз информационной безопасности, направленных на веб-сайты и сервера. Методы противодействия". Были освещены основные типы уязвимостей сайтов и такие методы подготовки к атаке как google-хакинг, социальная инженерия.
Впервые на таком высоком уровне были подняты вопросы страхования информационных рисков, развития интернет-культуры - отмечена ответственность блогеров за размещаемые ими данные, механизмы противодействия вызовам ИБ средствами научно-педагогической и учебно-методической работы.
В ходе дискуссии по итогам семинара были обсуждены вопросы проведения экспертиз уровня обеспечения информационной безопасности, при этом директором ЦОИБ Зафаром Рахматуллаевым было отмечено, что такие экспертизы могут проводиться не только самим ЦОИБ, но и другими организациями - как государственными (например, UNICON.UZ, UZINFOCOM), так и коммерческими.

Антон Ракитский, начальник отдела ИБ ITTS, выступил в качестве эксперта в работе секционного заседания «Информационная безопасность» на форуме по информационно-коммуникационным технологиям ICTFORUM 2015 и участвовал в работе президиума.
Также экспертами выступили Люк Дандюран - начальник департамента Международного Союза Электросвязи (МСЭ) из Швейцарии и Пак Кван Джин из Корейского агентства по Интернет и безопасности (KISA). Модерировал заседание директор Центра обеспечения информационной безопасности Зафар Рахматуллаев.
В кулуарах мероприятия Антоном Ракитским также было дано интервью для Национального информационного агентства Узбекистана.
Днем ранее, 16 сентября, специалист ITTS принял участие в конференции "Bestsoft Uzbekistan" и "Интернет и информационные ресурсы", которая также прошла в рамках ICTFORUM 2015. Особый интерес вызвал доклад "Защита программ и баз данных или можно ли защитить код?" в котором рассмотрены сложности, связанные с юридической защитой исходных кодов программ, идей и технологий в сфере IT.

Подготовлена очередная статья для информационно-аналитического журнала сферы связи и информатизации ICTNEWS. Статья вышла в шестом номере журнала за 2015 год.

Авторы статьи:
- Ксения Шудрова, специалист Госкорпорации «Росатом», эксперт BISA, SEC.RU, Securitylab.ru, аспирант Сибирского государственного аэрокосмического университета, Россия;
- Антон Ракитский, начальник отдела информационной безопасности ООО «IT-TEAM SERVICE», Узбекистан.
Ниже приводим оригинальный текст статьи с дополнениями.

С чего начинается информационная безопасность на предприятии?
Кадры решают всё.

Статья ориентирована на руководителей, начальников служб ИТ и ИБ небольших организаций с ограниченным штатом специалистов, в том числе и без наличия выделенного штата по ИБ.
Вопросами обеспечения информационной безопасности сейчас озабочены, пожалуй, все современные руководители, особенно в компаниях ИТ-отрасли, а также руководители всех государственных организаций, которым требования по ИБ диктуются со стороны регуляторов и нормативных актов. Приводимые в статье рекомендации давно знакомы профессионалам, но, уверены, будут полезны начинающим специалистам и всем тем, кто по долгу службы выполняет задачи по обеспечению ИБ, совмещая их с основными функциями – поддержкой ИТ-инфраструктуры, локальной сети, программированием и разработкой.
В небольших организациях, особенно государственных, с общей численностью сотрудников до 100 человек, как правило, общий штат ИТ состоит из максимум 2-3 человек, чаще это один опытный сотрудник, на котором всё держится, и студент, работающий на полставки. При этом на ИТ-службу возложено всё - от закупки и ремонта техники (бывает и электрочайников), до поддержки пользователей, сопровождения сайта. Руководство организации, по требованиям регуляторов определить ответственных за обеспечение ИБ – возлагает на ИТ-службу ещё и функции обеспечения ИБ. Что в итоге получается – хорошо известно, безопасности время уделяется по остаточному принципу - отсутствие инцидентов, вирусных эпидемий, утечек данных   руководством обычно никак не оценивается, считается, что так и должно быть.
В случае совсем ограниченного штата есть ещё и психологическая проблема – обеспечение ИБ подразумевает контроль и критический взгляд на ИТ, при самоконтроле объективный взгляд на проблему отсутствует. В случае возложения задач по ИБ на «молодого специалиста» проблема тоже не решается – он не захочет конфликтовать со старшим коллегой, который ещё и будет являться его начальником. Идеальным решением в этом случае является выведение штата ИБ в отдельное, независимое подразделение, с прямым подчинением высшему руководству, но это доступно далеко не всегда. Поэтому руководству нужно учитывать момент возможных конфликтов интересов ИТ и ИБ, столкновение парадигм «авось обойдется, столько раз уже проносило» и  «держать, не пущать и запрещать, как бы чего не вышло».

Отступление для руководителя: Тезис про проникновение ИТ во все сферы жизни давно набил оскомину. Но в вопросах кадров это не всегда работает. С одной стороны прогресс очевиден, к примеру, уходит в прошлое профессия машинистки, вряд ли кто-то будет держать отдельного человека только для набора текстов, ведь сейчас у всех специалистов есть компьютеры, и они сами готовят документы. С другой стороны, штат ИТ по-прежнему состоит из одного-двух специалистов, которые раньше обслуживали вполне скромный парк техники, теперь же отвечают за работу всех информационных систем предприятия. Как долго сможет проработать предприятие без системы бухучета, ЭДО, электронной почты, локальной сети, общих сетевых ресурсов? Скорее всего, без этого теперь предприятие вообще не сможет работать. Многие задачи производства зависят от ИТ-подразделения, а штат специалистов остался тот же, что и во времена, когда большинство операций выполнялось вручную или можно было, в крайнем случае, обойтись без компьютера. Эту особенность можно наблюдать и в повышении зависимости от ИТ-сервисов. Раньше большинство компьютеров работали изолированно, обмен данными производился через дискеты. Теперь компьютер без подключения к сети остался только в режимном отделе, в остальных случаях автономно работать довольно сложно. А ведь поддержка ЛВС это тоже нагрузка на ИТ-персонал. И таких, внешне не очень важных задач – много. Логичным будет увеличение штата ИТ соразмерно проникновению информационных технологий и их важности для работы предприятия. Руководителю лучше пораньше озаботиться вопросом кадрового резерва, человек может (и должен) уйти в отпуск, перейти на другую работу, уйти на пенсию.

Для тех, кто давно занимается вопросами ИБ и/или кого проверяют вышестоящие органы, вопрос нормативной базы не стоит, при первой же проверке регулирующим органом будет указано, какие требования конкретных нормативов нарушены. Новоиспеченным специалистам можно порекомендовать конкретный стандарт ISO/IEC 27002:2008 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования», для Узбекистана ещё более конкретным и кратким является руководящий документ RH 45-185:2011 «Порядок разработки программы обеспечения информационной безопасности органов государственной власти и управления» (этот документ утратил силу, но может быть использован в качестве ориентира).
Практически все специалисты рекомендуют начинать с создания политики обеспечения ИБ. Здесь многие совершают распространенную ошибку: находят готовый шаблон в Интернете или просят у коллег, которые его уже сделали, редактируют, утверждают и рапортуют о выполнении этого пункта плана. Без учета специфики предприятия такой документ будет чистейшей формальностью, но может ещё и сослужить не очень хорошую службу – ведь при слепом копировании часто утверждается множество процедур, которые на практике в небольших организациях зачастую не применяются, например, процедуры резервного копирования, создание резервных центров обработки данных. Проверяющий орган наверняка обратит внимание на утвержденную процедуру и отсутствие её реализации на практике.
Если нет возможности привлечь внешних специалистов для разработки политики ИБ, то хорошим решением будет документирование существующих практик по обеспечению ИБ, например, процедур предоставления доступа к информационным сервисам предприятия, управления антивирусным ПО. Таким образом, постепенно будет формироваться действительно работающий документ, и для администратора, и для пользователей, и для руководства   будут проясняться «правила игры», а значит, станет меньше обид у пользователей, которым перекрывают доступы.
Другой плюс создания политики ИБ   это единообразие принимаемых решений, что очень полезно при текучке кадров, новым сотрудникам можно будет апеллировать не к сложившейся практике и собственному опыту, а к конкретному документу. Важно понимать, что политика ИБ это «живой» документ, его положения должны пересматриваться под нужды предприятия, только тогда он будет работать.

Высшему руководству, а особенно тем его представителям, на которых возложены обязанности по контролю за обеспечением ИБ, важно понимать, что в условиях ограниченного штата невозможно ожидать от администраторов по ИТ и ИБ высокого качества работ по всем направлениям, никто не сможет объять необъятного. Нужно быть готовыми к привлечению сторонних экспертов, которые смогут помочь и в разработке нормативов и подборе рациональных, адекватных механизмов обеспечения безопасности. К сожалению, часто как экспертами по ИБ себя позиционируют специалисты по продажам различных средств обеспечения безопасности. Средства и продукты действительно могут быть полезными, но на начальном этапе создания системы обеспечения ИБ значительно больший эффект даст переосмысление производственных процессов, разработка политики, обучение специалистов. А закупка конкретных продуктов должна стать лишь частью процесса обеспечения ИБ. Поэтому оптимальным вариантом является привлечение экспертов, несвязанных непосредственно с продажами ПО, в этом случае выше шанс получить объективную и беспристрастную оценку и совет.

Как и в вопросах пожарной безопасности, в ИБ задействованы все сотрудники, правильные действия рядового пользователя могут предотвратить возникновение больших проблем. Для этого все должны иметь общее представление о защите информации и быть лояльными к администраторам, а не считать их душителями свобод и бездельниками. Для этого желательно проводить семинары по ИБ для всех сотрудников предприятия (лучше регулярно), их можно организовать силами тех же внешних экспертов, о которых писали выше. На таких занятиях в понятной всем форме будет рассказано о проблемах, которые решает администратор ИБ, какие угрозы таит в себе использование современных технологий. Не лишним будет поведать и о, казалось бы, очевидных мерах по работе с носителями информации, необходимости информирования администраторов о подозрительной активности компьютеров, осторожности при работе с соцсетями и т.д.

Готовых специалистов по ИБ очень мало, а с опытом работы – и того меньше, все они как правило уже хорошо трудоустроены в крупных компаниях или сами работают консультантами, аудиторами. Поэтому предприятию придется способствовать повышению компетенции имеющихся специалистов – направлять на профильные курсы, способствовать самообразованию. Очень хорошо, если специалисты всегда в курсе современных тенденций по ИБ, благо сейчас есть несколько авторитетных ресурсов, в том числе русскоязычных, откуда можно почерпнуть, например информацию об обнаруженных уязвимостях и способах их устранения. Поможет и поддержка контакта с внешними экспертами по ИБ, которые в случае общего доверительного общения, смогут дать совет.

Дружный коллектив – это не только эффективный совместный труд и постоянное повышение квалификации, но и интересный досуг. В субботу 25 апреля 2015 г. коллектив ITTS посетил ледовое шоу, в котором принял участие Миша Ге – узбекистанский фигурист, двукратный чемпион Узбекистана, участник Олимпийских игр в Сочи, чемпионатов мира.
После выступления Миша Ге имел краткую беседу с сотрудником нашей компании, в ходе которой были обсуждены особенности формирования программ выступления, включения в них прыжков различной сложности, специфику судейства. Также Миша Ге специально для нас дал свой автограф и пожелал успехов.

Начальником отдела информационной безопасности IT-TEAM SERVICE Ракитским А. дано интервью для информационно-аналитического журнала сферы связи и информатизации ICTNEWS. Интервью вышло в журнале №3 (113) за 2015 г. На сайте издания ICTNEWS 14 апреля 2015 года было опубликовано данное интервью, издание самостоятельно подготовило его перевод на узбекский язык. Ниже приводим текст оригинального интервью, данного журналисту издания ICTNEWS

Информационная безопасность. Угрозы и решения.

Беседовала Назира Аманова

- Есть ли специальные ИБ-задачи в финансовом и банковском секторе?
- Пожалуй, самой насущной проблемой по ИБ в этом секторе является соответствие требованиям регуляторов. Существует значительное количество инструкций, положений, регламентов, выполнение которых регулярно проверяется как государственными контролирующими органами, так и независимыми аудиторами. Яркий пример – международные платежные системы Visa, MasterCard и т.д. требуют от участников соответствия отраслевому стандарту по безопасности PCI DSS. Организация (банк) должна за свой счет оплачивать услуги по проведению независимого аудита на соответствие этому стандарту. Цель такого аудита – убедиться, что все участники платежной системы выполняют единые (весьма строгие) правила по ИБ. А за требованиями стандарта стоят значительные расходы на приобретение специфического оборудования, ПО, привлечение грамотных специалистов. Если какие-то требования по ИБ не выполняются, на банк со стороны международной платежной системы могут накладываться штрафы. И это только одна статья расходов, а ведь есть ещё и требования национального законодательства, соответствовать которым нужно в первую очередь.

- Нужно ли выделять отдельные бюджеты на обеспечение ИБ?
- Да, конечно. В более-менее крупных организациях часто бюджетирование по ИБ производится отдельно. Если отдать на откуп вопрос формированию бюджетов ИТ и ИБ одному подразделению, чаще это бывает ИТ-подразделение, как более крупное, то возникает соблазн сформировать его с явным перекосом в сторону ИТ. Ведь и ИТ отрасль требует значительных затрат, а доказать высшему руководству эффективность вложений в ИТ-инфраструктуру чаще проще, чем в ИБ, ведь ИБ по своей природе никогда не приносит прибыли, только расходы, в то время как для ИТ можно показать рост производительности труда и т.д.

- Какие проблемы в сфере ИБ сегодня актуальны?
- Остро ощущается нехватка кадров в области ИБ. Сама отрасль развивается так быстро, что даже более-менее опытному специалисту по ИБ нужно постоянно заниматься повышением своей квалификации. А повышение квалификации специалистов в условиях производства – это ещё одна статья расходов. Специалисты по ИБ часто хорошо разбираются и в смежных областях, владеют иностранными языками, поэтому удержать таких специалистов – трудная задача для кадровых служб.
- Сложные процедуры формирования бюджета на ИТ и ИБ. Размеры фондов скорее зависят от умения руководителей соответствующих подразделений убеждать высшее руководство, чем от реальных нужд. Также бюджеты редко когда пропорциональны росту роли ИТ и ИБ в отрасли.
- Слабо развит опыт привлечения экспертов по ИТ и ИБ на коммерческой основе в качестве консультантов, для экспертизы проектов. Конечный заказчик, принимая системы, формируя ТЗ, должен рассчитывать на собственные силы и знания. В итоге часто бывает перекос – внедряется излишний функционал, а значительные моменты упускаются.
- Процедура отбора исполнителей услуг исходя лишь из стоимости работ – у кого дешевле, тот и выбирается исполнителем. Проблемы начинаются на этапе приемки работ, когда предоплата оплачена, а сроки сдачи систем – «горят».
- В банковском секторе решения часто принимаются исходя из требований регуляторов, однако, собственная инициатива по совершенствованию бизнеса – редкость. Показательный пример – низкий уровень стандартизации систем управления качеством (ISO 9001), информационной безопасностью (ISO 27001), проведения независимых экспертиз ИТ и ИБ. Стандартизацией больше озадачены предприятия ориентированные на экспорт.
- По собственному опыту отмечаем большую закрытость финансового сектора для различных нововведений, среди наших клиентов банков значительно меньше ожидаемого, хотя ИТ и ИБ в их работе сейчас имеют ключевую роль.

- Зачем нужен ИБ-аудит в финансовой сфере и можно ли говорить о его рентабельности?
- Как уже отмечалось выше – часть аудитов это жизненная необходимость для банков. В целом же задача расчета рентабельности – ещё одна сложная тема. Сейчас для её решения всё чаще используются подходы риск-менеджмента, когда взвешиваются с одной стороны расходы на проведение аудитов, с другой – возможные риски и потери, в случае если аудит проведен не будет и многие проблемы останутся неизвестными до момента, когда они начнут приносить убытки. Для банковской сферы большое значение имеет ещё и репутация, престиж, а выразить эти понятия в деньгах ещё труднее.

- С помощью каких инструментов можно оценить реальный уровень защищенности периметра?
- К сожалению единого, простого инструмента для оценки защищенности нет. Достаточно заглянуть в любой стандарт по ИБ, чтобы увидеть, что на безопасность влияет всё, начиная от наличия кадрового резерва до кондиционеров в серверной комнате. Но в целом чтобы понять в первом приближении уровень ИБ можно пользоваться различными опросными листами, листами самооценки, но опыт показывает, оценивать самого себя объективно – трудно. Именно в этом и состоит задача независимого аудитора – с высоты своего опыта выявить болезненные точки по ИБ, дать совет как добиться максимальной отдачи в части ИБ в условиях ограниченного финансирования. Поэтому большинство стандартов (ISO 9001, ISO 27001) и рекомендует проведение как внутренних аудитов (одно подразделение проверяет другое), так и внешних.

- Какие хакерские атаки способны нанести наибольший вред финансово-кредитным организациям?
- Для банков опасность представляют опасность все виды атак. Если просто будет выведен из строя какой-либо сервис – то можно говорить об упущенной прибыли, если будут незаконно переведены (украдены) средства – это уже прямые финансовые убытки, если произойдет утечка данных клиентов – сильный удар по репутации. Что хуже – в каждом случае определяет бизнес. В этом и состоит сложность ИБ – нужно закрыть все возможные бреши в защите и поддерживать такое состояние постоянно, в то время как злоумышленнику достаточно найти одну лишь уязвимость и успеть использовать её.

- Как бороться с инсайдерами и какой ущерб могут принести финансовой компании их действия?
- Злоумышленники из числа сотрудников представляют, пожалуй, самую большую угрозу, ведь у них и есть доступ ко всем системам предприятиям, они знают внутреннее устройство, сильные и слабые стороны защиты, то, что неведомо злоумышленнику «с улицы». Единого рецепта опять нет, это и труд служб безопасности, и задача кадровой службы и высшего руководства – создать в коллективе климат, исключающих возможность появления инсайдера, обиженного сотрудника, или его скорейшее обнаружение. Т.е. ИБ это не только бумаги и техника, это ещё и психология.

- Существуют ли универсальные средства защиты систем ДБО?
- Средств для защиты таких систем – много. Вряд ли их можно назвать универсальными, т.к. и требования по защите у всех систем разные. Часто базовый функционал ИБ реализуется уже самим разработчиком систем ДБО. В остальном же основные требования по уровню защиты определяются отраслевыми стандартами по ИБ, поэтому производители решений по защите стараются должным образом сертифицировать свои разработки.

- Как влияют на безопасность финансово-кредитных компаний новые ИТ-тренды?
- Да, любое нововведение это ещё и возможный риск ИБ, т.к. увеличивается т.н. «поверхность атаки». Например, решение о ведении своей странички в соц.сети ставит определенные задачи и по ИБ, ведь должны быть определены лица, ответственные за публикацию, порядок работы комментариями, контроль за соблюдением правил ИБ при работе уполномоченных сотрудников – используют ли они многофакторную аутентификацию и т.д. Поэтому, наверное, многие финансовые учреждения достаточно консервативны, т.к. видят за каждой новинкой, ещё дополнительные риски.

- Могут ли финансовые и кредитные учреждения перейти на обеспечение ИБ из облака? Если да, то когда. Какие услуги могут стать облачными, на ваш взгляд?
- Финансовый сектор достаточно осторожно относится к применению облачных технологий, особенно в вопросах связанных с непосредственной операционной деятельностью. Ведь, как отмечалось выше, к обеспечению ИБ инфраструктуры финансовых организаций предъявляются весьма строгие требования. Касательно применения облачных технологий для обеспечения ИБ, в первую очередь можно упомянуть системы управления уязвимостями, поставляемыми по технологии SaaS (Security as a Service), например QualysGuard. В этом случае вся инфраструктура разворачивается в облаке, а сама система управляется через web-консоль, критичная финансовая информация в таких системах не циркулирует. Вывод – облачные технологии в ИБ применяются уже сейчас, но скорее в виде вспомогательных сервисов.