EN

Кто они — киберзащитники Украины? Репортаж из штаба CERT-UA

3722
36

Украина втянута в кибервойну, но воевать она не может. Противник слишком хорошо подготовлен, а ресурсы его несравнимы с нашими. В один клик мышки из чужой страны у нас может прогреметь второй Чернобыль, а Дмитрий Ярош неожиданно для всех победит на выборах президента. Но ничего такого пока не случилось, и это заслуга невидимого отряда, о существовании которого большинство украинцев даже не подозревает — команды реагирования на компьютерные угрозы CERT-UA.

Только 15 мая 2014 года CERT-UA был впервые упомянут в Законе Украины — до этого о команде мало кто знал, хотя на самом деле она функционирует в составе Госспецсвязи с 2007 года. Публичности украинские киберзащитники не любят поэтому в СМИ почти не фигурировали. Однако AIN.UA удалось проникнуть в самое сердце отечественной “киберкрепости” и пообщаться с теми, кто стоит на страже информационной безопасности государства.

Журналистов на входе в Госспецсвязи встречают сотрудники — в здание пускают только по пропускам, на входе женщина в военной форме записывает паспортные данные

Подполковник Госспецсвязи, начальник Государственного центра защиты информационно-телекоммуникационых систем Игорь Козаченко:

“Структура военизированная, мы здесь все имеем звания, только мы не военные и не милиция — мы специальная служба. Сюда вообще журналистов не пускают. Это третий раз за всю историю ведомства, и то прошлые два были в день открытых дверей”.

Фотографировать нельзя — сотрудники CERT-UA не любят публичности. Познакомиться лично удалось только с их руководителем Иваном Соколовым, а комнату, где располагается команда реагирования, не показали — на мониторах сотрудников конфиденциальная информация, ее фиксировать нельзя.

Мировое признание CERT-UA

Команда реагирования на компьютерные угрозы в Украине начала зарождаться еще в 2000-х — тогда при Департаменте специальных телекоммуникационных систем и защиты информации СБУ появился государственный центр безопасности, на который возлагался ряд функций по информационной защите. Операторам связи он не нравился — его воспринимали, как спецслужбу, которая шпионит за пользователями.

Виктор Лещук, заместитель начальника Государственного центра защиты информационно-телекоммуникационых систем Госспецсвязи:

“Изучая опыт многих стран мира мы поняли, что нам лучше уйти от системы правоохранительных органов и СБУ и работать в секторе государственных органов, имеющих регуляторные функции. Так это организовано во всем мире. В 2005 году эту необходимость определил Указ Президента Украины «О соблюдении прав человека во время проведения оперативно-технических мероприятий». И с 2006 года в структуре Госспецсвязи был создан государственный центр защиты ИТС, в состав которого вошла команда реагирования на компьютерные угрозы CERT. Структура возникла, но в области кибербезопасности мы поехали изучать мировой опыт”.

Первая командировка украинской команды была в финский CERT, созданный при государтсвенном министерстве связи. Финны тогда уже обладали значительным опытом в сфере кибербезопасности и имели аккредитацию международной организации FIRST (Forum of Incident Response and Security Teams), которая объединяет все “церты” мира (на сегодня их 304) и определяет правила, которые они должны соблюдать. Если какой-то CERT не отвечает заявленным стандартам, то может лишиться аккредитации.

Аккредитация FIRST для команды реагирования означает признание другими “цертами”. Процесс ее получения может затянуться на пару лет — нужно не только продемонстрировать высокий уровень команды, но и получить рекомендации от нескольких членов FIRST. Первыми поручителями украинской команды стали финны, а сегодня CERT-UA — не просто достойный участник FIRST, но и одна из лучших команд, как показывают последние совместные “кибер-учения”.

В FIRST “церты” не только делятся опытом, но и напрямую сотрудничают. Например, если российский CERT фиксирует атаку из Украины, он передает данные в CERT-UA. Украинская команда расследует инцидент, после чего дело передают в СБУ, и правоохранители привлекают виновных к ответственности. Аналогично, если CERT-UA фиксрует нападение российских хакеров, она обращается к российской команде. Тут-то и возникает проблема.

Украинцы добросовестно выполняют свои функции, а вот у россиян особого рвения сотрудничать не наблюдается

Виктор Лещук: “Коллеги из российского CERT формально выполняют свои обязательства перед FIRST и перед нами — они передают в местные правоохранительные органы наши наводки на киберпреступников, которые атакуют украинские ресурсы. Но ФСБ и МВД отрабатывает далеко не все инциденты. Правила соблюдены, а по факту хакеры продолжают осаждать Украину и никто против них никаких действий не предпринимает”.

Кибернаступление из России: случай с Ярошем

За последние месяцы в CERT-UA фиксируют значительный рост атак со стороны России. Одним из ярчайших примеров стала попытка российского телевидения силами хакеров дискредитировать выборы в Украине. В Госспецсвязи исследовали атаку и нашли в ней явные следы телеканала ОРТ, который в горячке выпустил сюжет об инциденте, так и не состоявшемся по факту. Речь идет о якобы победе лидера «Правого сектора» Дмитрия Яроша на выборах президента Украины.

Скриншот, который ОРТ хотели показать на сайте Украинского ЦИК, да не вышло

Виктор Лещук: “Кибератаки на ЦИК во время выборов происходят постоянно, начиная с 2004 года. Но впервые в истории они направлены не та то, чтобы сорвать или сфальсифицировать, а на то, чтобы дискредитировать выборы в Украине. Они внедрились в систему непосредственно перед выборами и ждали, что система даст сбой. Однако CERT-UA вовремя обнаружила подлог и предприняла меры по локализации этого инцидента».

Сейчас команда готовит полную подборку информации для следственных органов, а пока выпустила статью о том, как команде удалось найти и обезвредить вброс ОРТ. В CERT-UA предполагают, что канал просчитался с исполнителями — заказали услуги не очень «дорогих» хакеров, которые не смогли завершить начатое.

В противостоянии с российскими хакерами, которые атаковали ЦИК и систему “Выборы”, команде CERT-UA помогали интернет-провайдеры — с киберзащитниками они сотрудничают давно и плодотворно.

Кибернаступление из России: Уроборос

Второй знаковый случай — нашумевший вирус “Уроборос”. Также его называют Trula, Snake, Red October, Flame — все это формы зловреда Agent.BTZ, известного уже лет семь. Он полиморфен, и ранее обнаруживался командами других стран, которые давали ему разные названия. Однако последний эпизод мировые эксперты признали военной кибероперацией против Украины по заказу российского правительства.

Атака поразила десятки украинских компьютерных сетей, включая правительственные, и стала одной из самых сильных среди зафиксированных в мире за последние несколько лет. Английские эксперты обнаружили, что вирус обладает очень высоким уровнем сложности, гибок и может развиваться — в нем присутствуют как известные, так и новаторские технологические функции.

Несмотря на то, что в “Уроборосе” нашли следы Москвы, доказать, кем и с какой целью производилась данная серия атак, почти невозможно.

Иван Соколов, руководитель CERT-UA:

“Тяжело установить, кто на самом деле атакует. И даже если эта атака производилась с территории Российской Федерации — это еще ничего не значит. Такие атаки на Украину ведутся постоянно, часто из России, но мы учимся с ними справляться.

Но кибервойна — это не только защита, но и нападение. У нас нет опыта кибератак — мы не воюем, мы только защищаемся.

Полноценного участия в кибервойне, которую нам навязывают, мы принимать не можем”

Угрозы таких масштабов, как “Уроборос”, в CERT-UA имеют статус киберопераций. Это атаки или серии атак, которые могут нанести существенный ущерб вплоть до инфраструктурных повреждений и парализовать работу таких жизненноважных объектов, как системы водо-, электро- и теплоснабжения. Чаще всего такие угрозы взаимосвязаны и носят системный характер.

Начинаются они с кибер-разведки — хакеры внедряются и наблюдают, как скоро и каким образом реагирует оппонент. Когда атака блокируется, они переписывают вирус и CERT приходится иметь дело с уже совсем другим ПО. Здесь, как и в реальной войне, бои идут за позиции — цель вражеских войск продвинуться вглубь, а цель защитников — отогнать их как можно дальше.

Иван Соколов: “Такие нападения не совершают простые хакеры или даже группировки, потому что на них нужны огромные ресурсы. А спецслужбы готовы тратить на это много денег”.

КиберУкраина в законодательной базе

В последнее время CERT-UA все чаще фиксирует случаи, имеющие характер киберопераций. Часто они направлены на Министерство иностранных дел или украинские посольства в других государствах, а также против центральных органов исполнительной власти Украины. Команде неоднократно приходилось противостоять крупным акциям. Например, из-за атаки на датацентр “Парковый” была практически парализована работа Бортнической станции аэрации, чьи системы хостились на этих серверах. Аналогичная ситуация на атомной станции угрожала бы Украине техногенной катастрофой. И хоть наша страна недостаточно компьютеризирована, это реальная угроза.

Иван Соколов: “Мы как-то проводили аудит информационной безопасности на одной из крупных электростанций. Там в сети около 10 000 компьютеров, и системами защиты все напичкано от пола до потолка. С мобильным телефоном туда не зайдешь. Так вот, когда мы представили им результаты нашего аудита, они были шокированы, потому что думали, что у них все хорошо. А на самом деле это не так”.

Чтобы понять, где делать аудит информационной безопасности в первую очередь, правительство Украины уже давно пытается родить закон о кибернетической безопасности. Писали его по очереди несколько ведомств — сначала СБУ, а теперь МВД. И вот, наконец, проект закона разместили на сайте Верховной Рады, но вопросы кибербезопасности в нем не урегулированы, поэтому проект нуждается в существенной доработке. Кибербезопасность лишь упоминается в базовых определениях, а сам закон касается регулирования распространения информации в СМИ. Поэтому Госспецсвязи будет настаивать на том, чтобы в нем был учтен опыт работы ГЦЗИТС или необходимости подавать отдельный проект закона «О кибербезопасности».

В этом законе CERT-UA представил перечень объектов критической информационной инфраструктуры, которую важно защитить от кибератак в первую очередь ради безопасности государства. Проблема в том, что согласно законопроекту их защитой занимается СБУ, МВД и даже Госпогранслужба, но не Госспецсвязи и CERT-UA…

Второй "блокпост" с проверкой документов находится непосредственно на входе в департамет защиты ИТС

Второй «блокпост» с проверкой документов находится непосредственно на входе в департамент защиты ИТС

Тем не менее, это первый законопроект, в котором появляются такие слова как “киберугроза” или “киберпреступник” — раньше в органах хакеров называли длинным набором слов — “субъект, который осуществляет несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи”.

До этого законопроекта единственным документом, который хоть как-то регулировал киберпространство в Украине, была международная конвенция про кибепреступность. Кстати, в отличие от Украины, Россия для себя ее не ратифицировала и никаких сдерживающих факторов в кибердеятельности государства, кроме внутренних (все мы знаем, что такое законы РФ), у нее нет.

Украинские чиновники не хотят, чтобы их «киберзащищали»

CERT-UA проводит аудиты не только в государственных, но и коммерческих структурах. Причем, реагирование на угрозы и ликвидацию инцидентов команда осуществляет бесплатно даже для коммерческих структур.

Виктор Лещук: “За границей, например, аудит информационной безопасности в банке стоит от $50-200 тыс. Я давно пытаюсь добиться от правительства, чтобы нам разрешили зарабатывать на коммерческом аудите и приносить деньги в бюджет, но пока безрезультатно”.

На самом деле именно из-за нерадивости и медлительности украинской власти наши госорганы постоянно страдают от кибератак. По законодательству они должны обращаться в Госспецсвязи при первом же сигнале тревоги. Но они этого не делают.

Иван Соколов: “Если кто-то прорвался в их систему — значит это их “косяк”. Поэтому каждое ведомство хочет создать такую команду, как наша, у себя внутри — чтобы, когда упадет сайт или случится несанкционированный доступ, они смогли разобраться своими силами и, как говорится, “не выносить сор из избы”. Как правило, у них это происходит очень долго и неэффективно, но ведь в киберпространстве счет идет на секунды!

Чем крупнее ведомство, тем сильнее нежелание его чиновников обращаться к нам

В итоге они звонят через через две недели после атаки, когда базы данных уже взломаны и скопированы. Все, что нам остается — это прийти и реанимировать систему. Чтобы на должном уровне защищать госорганы, нужно, чтобы чиновники не боялись признать свои ошибки и вовремя к нам обращались. Потому что лезть в систему без санкций владельца информации мы не можем”.

Украина — безнадежный лузер в информационной войне

Против Украины ведется масштабная информационная война со стороны России. Провластные СМИ, которые составляют абсолютное большинство в РФ, ведут активную пропаганду против нашей страны. И Украина должна не оправдываться, а действовать на упреждение, уверен замглавы департамента защиты ИТС.

Виктор Лещук: “Если тебя уже втолкали в грязь — отмыться нереально. Мы не должны ждать, пока они распространят о нас очередную ложь и робко оправдываться. Мы должны  сотрудничать со СМИ, блогерами, интернет-сообществом, чтобы доносить факты до людей. Так же, как это делает бизнес. Закрываться можно только тогда, когда лишняя информация может быть использована врагом против нас. Только так можно противостоять пропаганде, когда промывается мозг не только россиянам, но и всему миру. Когда военные действия ведутся в физическом пространстве, они ограничены кордонами страны. В информационном пространстве они ничем не ограничены.

В начале 2000-х, когда я был консультантом при Госспецсвязи, я очень тесно работал с журналистами, а сейчас этого не делается. Хотя СМИ начинают доносить до украинцев, что такое информационная война и насколько она опасна. Люди на себе это чувствуют, когда даже их родственники в России уверены, что здесь “озверевший конвой доедал беглеца”.

Когда информацию используют как оружие, распространяя фальшивые заявления, чтобы дискредитировать Украину — в CERT-UA это называют “социальным терорризмом”. В нашей стране этим занимается организация “КиберБеркут”, обезвредить которую команда реагирования не может — это задача СБУ.

Виктор Лещук: “Мы не имеем функций правоохранительных органов. Если бы имели, могли бы обращаться в суды, возбуждать уголовные дела, сопровождать и доказывать. Мы бы хотели иметь свою лабораторию и выступать экспертами в суде. Но пока нет законодательства о киберпреступности, и суды не могут назначать такие экспертизы, поэтому наши результаты не являются значимыми. В СБУ нам говорят: “Ребята, эти ваши крючечки, значки и скриншоты — это не доказательная база, суд это не примет”.

Компьютерщик без компьютера

Как и прочие украинские госструктуры, CERT-UA страдает от недофинансирования. Особенно с тех пор, как в Украине приняли антикризисный закон, в рамках которого сократили госзакупки.

Иван Соколов: “Нам нужна сильная система защиты, которая позволить уберечь Украину от поражения в кибервойне. А правительство запретило нам даже компьютеры покупать! Команда реагирования на компьютерные угрозы не может выполнять свои обязанности без компьютеров. Конечно, я люблю свою работу, понимаю, в каком экономическом положении оказалась страна и готов это пережить. Но это как минимум странно.

Все говорят, что Украина уже фактически проиграла информационную войну, тем не менее по номеру 565 мы скидываемся на «калаши» и бронежилеты. В ЦИК сидели автоматчики около серверной. И я с улыбкой спросил у них — мимо вас кто-то проходил? Они сказали — нет. Но я то знаю, что проходили, и все, что нужно, уже сделали. Можно обставить серверную БТРами по периметру, но это не поможет — сайт все-равно покажет, что у Яроша 37%.

Виктор Лещук: “Украина должна перестроиться и понять, что она не тем оружием воюет и выигрывет не ту войну. Война ведется в киберпространстве. В России очень хорошо понимают, что информация — это оружие, а у нас нет”.

Оставить комментарий

Комментарии | 36

  • Проблемы есть и их надо решать. И главное чтобы государство позаботилось об этом, нужно создавать информационное национальное поле и взывать к сознательности граждан. Даже банально троллей завести чтобы прославляли Украину и её народ

  • В такое время когда в стране твориться такое показывать лица людей которые борются с оккупантами это не совсем правильно. Страна должна знать своих героев только после победы а не во время войны.

  • Отличная статья. Очень рад что госспецсвязь становится публичнее и идёт на контакт. Огромный респект CERT-UA, считаю что это ведущие специалисты в нашем государстве в отрасли сетевой безопасности. Желаю всем, представленным в статье, признания чиновниками и всех возможных успехов.

    • О-о-о-очень, к сожалению, сомневаюсь в том что там присутствуют ведущие специалисты. В то время как ИТ-ки зарабатывают огромные деньги даже в Украине (не говоря уже за работу за бугром), сидеть на госслужбе без компа (ну платят я думаю так же как финансируют) будут или откровенные лузеры или неумолимые романтики (которые давно перевелись).

      • Зато можно почувствовать себя очень важным.

        • Именно так и есть. Люди решающие вопросы государственной важности, действительно важны для государства. И от того, что «ITшники зарабатывают огромные деньги даже в Украине», люди работающие в CERT, не перестают решать важные для государства вопросы.

      • Моя фраза «ведущие специалисты в нашем государстве в отрасли сетевой безопасности» — означает именно ведущие специалисты среди гос. структур. Я понимаю что в коммерческом секторе есть люди с большим опытом и большими знаниями.

        • Позвольте с вами несогласиться. 0. Люди работают по призванию в условиях жесткого недофинансирования 1.Дело в том, что в коммерческом секторе специалисты широкопрофильнее, что ли если так можно выразиться. Конкретно в нашей стране. О качестве знаний универсальных/широкопрофильных спецов лучше не говорить 2.Те кто работают на государство в военизированных специальных учреждениях свою ответственность несут добровольно и преследуются по решению не гражданского суда. 3.Бывают случаи миграции из спецслужб, с дальнейшим ростом, в бизнес. Но спецы растут именно «оттуда». 4. Спецов готовят специализированные иституты например «Інститут
          спеціального зв’язку та захисту інформації Національного технічного
          університету України «Київський політехнічний інститут»
          P.S. Историю со Сноуденом не забыли? Ну так вот нежилец он.

          • Ну в Политехе есть и другие профильные институты по ЗИ, а не только ВИТИ. Кстати была информация, что его уже из КПИ исключили. И спецы растут не только оттуда, но и из других вполне компетентных мест.
            Сейчас институты готовят не спецов, а ребят с мечтами, кучей фундаменталки без опыта. «Спецами» они становятся за 3-4-6 лет активной работы. Реальными специалистами — лет через 10 с постоянными повышениями квалификации. Ну и отличия реального профи от специалиста уже думаю все знают. Как говорят — вся суть в деталях.

            Я так понимаю, что Вы имеете непосредственное отношение к CERT (показалось по постам), поэтому должны знать насколько узкопрофильные специалисты есть в коммерсах. И какой заоблачный проффесионализм и опыт они имеют (кстати многие тоже работают на одном патриотизме и отбиваются от предложений GoogleIBM……). Не стоит говорить о некомпетентности «широкопрофильных» специалистов. Будем откровенны — спецов и одминочукчей хватает везде.

          • Те кто заканчивали ВУЗ и дошли до 2-ой ступени, знают, что в дипломе написано «Специалист». Специалист — человек обладающий широкими теоретическими навыками в определенной отрасли и способностью к дальнейшему обучению/поиску/систематизации/использованию полученной информации в своей профессиональной деятельности. Профессионалами действительно становятся с годами/опытом/взлетами/падениями. Те кто успешно прошли успешно учебную часть в специализированных Академиях/ВУЗах — специалисты. Это не гражданские ВУЗы. В дальнейшем муштруются на живом железе в условиях приближенных к реальным/критическим (дежурство в смене с старшими товарищами/физические нагрузки/сокращенный сон). В обыденной жизни/ритме работы на ШЭФа «за 3-4-6 лет активной работы» вы подготовленный не сможете конкурировать с профи подготовленным за 1год для работы в CERT по многим показателям. Например даже по такому показателю как работа в хорошо слаженной/эффективной команде не за деньги.
            Средний руководящий состав CERT (например лицо человека в начале статьи) кандидаты ( а может уже и доктора) математических наук. Про третьего паренька врядли что-то толковое скажу, но на Cisco Expo вы можете лично пообщаться с ним|ними в неформальной обстановке и понять с кем имеете дело. Ну конечно же вы скажете «Ну и знаем мы какие это кандидаты/доктора/мастера». Отвечу так — возможно вам в вашей деятельности нужны толко гайды по использованию оборудования/ПО/систем. Эти же люди занимаются самостоятельными разработками/аудитами/НИРами, поэтому им и нужны такие глубокие знания в этой отрасли. Ну вот например работа Александра Дирды ДССЗЗИ СБУ «Методы построения высокоскоростного порграммно-ориентированного потокового шифра», а в ней параграф «Оценка стастистической безопаности разработанного шифра» ну и как логическое завершение «Критерии оценки дефектов шифра по NIST SP800-22». Константин, хоть что-то понятно из того, что я хотел до вас донести?
            P.S. К CERT-UA не имею ни малейшего отношения. В свое время приложился в другой смежной отрасли, но на передовой.

          • Во-первых, переход на личности и тонкиетолстые намеки — не самый лучший вариант разговора для вроде бы взрослого опытного человека.
            Во-вторых, у Вас немного однобокое понятие о подготовке безопасников, все кто из военизированных вузов — специалисты, все гражданские — вообще неудачники и просто любители.
            В-третьих, в этом мире все относительно. специалист с подготовкой 1 год ЦЕРТ-а (как Вы сказали) вообще ничего не сможет противопоставить студенту последнего курса ЗИ из MIT. Точно так же толковый специалист с 1 годом подготовки ЦЕРТ-а (к примеру цискарь) ничего не сможет противопоставить аналогичному специалисту с 2-3 годами работы в коммерсах с аналогичной нагруженностью. Если смотреть по-Вашему, то можно всех CCNP, CCIE, CISSP, CEH реальных специалистов заменить на 1-2 годичных специалистов ЦЕРТ-а. И что тогда будет? Да у ребят есть спец навыки в форензике, аудитах, умении работать Metasploit, dd, Nessus, Nexpose, owasp tools, защите от ддоса и тд. Наверно все из них знают о CVE CWE и CVSS оценках. Хотя вот например с HDFS-кластерами и обеспечением их безопасности, безопасностью paas, saas, iaas ребята врятли сталкивались, а какраз это и есть передовые внедрения и разработки. Так что не надо идеализировать, ети навыки есть и у других слаженных комманд, котрые тоже патриоты. И таких людей не мало. И работы у них тоже сверх разумного.

            О ритме работы и тд. Не только в ЦЕРТ есть дежурства, слаженные комманды, недосыпы и тд. Есть ребята, которые по 3-4 суток и более отбиваются от атак и никуда не идут и ничего, звезду героя им не вешают и премий не дают.

            По поводу денег думаю стоит вообще подитожить. Специалист по информ безопасности не должен быть нищим. А они почти все такие, кто работает еще в Украине. Не патриоты едут из страны сразу, все остальные уже молодцы и ЦЕРТне ЦЕРТ тут не особенный.

            Надеюсь терминология и сокращения понятны неискушенному читателю, иначе /dev/hands + google в помощь
            П.С. Искренне и очень рад, что у таких занятых специалистов есть время на то, что б заниматься научной деятельностью. Конкретно эти работы не читал, но стат. тесты NIST песочат и полощут в определенных кругах уже давненько.

      • Виталий, романтики не переведутся никогда, но есть еще патриоты своей державы и их сейчас стало больше. Деньги в жизни не главное. Если вы этого еще не поняли, то поймете чуть позже.

      • Видите-ли, Виталий! Есть такое понятие у людей как призвание. Так вот могу
        вам сказать вам достоверно и определенно, люди работающие не за деньги в
        CERT-UA — профи в своих вопросах. Другое дело, что их деятельность не особо
        популяризируется в «массах», но это издержки и специфика профессии.
        То что, например ДСТЗИ решился показать свои лица им незачет. Но вероятно
        сейчас так построена работа, что риск работы человеческого фактора минимален.

        Есть так же уход от основной темы — коррупция в
        чиновьечем аппарате. И как следствие проталкивание средств защиты только одного
        производителя, которого как раз бесплатно прорекламировали в конце статьи.

        P.S. И конечно, же статья подана журналистом в стиле «Профессор
        изнасиловал журналиста»

  • Бе ме бе. Шпецы блин,и смех и грех.Госспецсвязь уже давно мёртвая,они там даже циски освоить не могут,откедаваж Сайбер Безапаснасть. Как и все в нашем царстве государстве.У нас эта линия работать не будет,никада.Патамушта сапоги.

    • Проблемы существуют, но сталкиваясь периодически с гос. структурами в области информационной безопасности, и имея некоторое отношение к системе образования, с полной ответственностью могу сказать — надежда есть. Пример тому — CERT UA. Да и в других подразделениях мне встречались очень толковые специалисты, жаль что их мало. Конечно, 5-10 человек всю страну не закроют, их просто не хватит. Но тот факт, что такие люди есть, вселяет надежду.

  • Какой еще закон о кибер безопасности?
    Что Вам мешало с 2007го года привести в порядок нормативку, соответствовать которой Вы требуете все госы (доки старье со времен УССР)? Почему до сих пор не национализированы мировые стандарты по безопасности серии ISO (которые в той же России давно действуют)?

    • Полностью поддерживаю. с 2007 года можно было бы не только ввести стандарты ISO, но и реально их внедрить и пару раз весь гос. сектор по ним проаудитить. Почему у нас вспоминают о ИБ только когда петух клюнет куда надо.

      Почему финансирование гос. структур на информ безопасность не превышает сумм на покупку скотча, что б запаковать обратно серверное оборудование (так безопасней)?

      На чем строить нормальные СЗИ, если у многих сетевая инфраструктура на неуправляемых dlink-ах в лучшем случае? Не каждая структура может себе позволить ASA, Checkpoint, SIEM, PIMPSM.

      По поводу защитников — скорее всего реальных имен людей, которые закрывают собой критическую инфраструктуру государства никто никогда не узнает. В сети возникали и будут возникать имена только тех, кто должен был бы это делать в первую очередь.

      Да и вообще не понимаю зачем такой резонанс киберзащитников из киберкрепости. МЧС, спецы АТО каждый день рискуют жизнями ради страны и оснащение у них еще хуже, наверно. При этом резонанса с фотографиями и дифирамбами я не наблюдал.

      • Почему Украина должна идти по пути ISO? Например есть же зачем-то у Англии свой родной ISO 27001 от BSI, который они навязывают всему миру и зарабатывают на этом деньги. Зачем платить деньги англичанам если можно работать на своём? По аналогии с дензнаками: Зачем люди с американских континентов толкают долар по всем миру?
        Под нашу нормативку уже разработаны методики/правила/опросники, пока не хватает спецов. Но их уже обучают и когда CERT-UA получит возможность зарабатывать деньги на аудите комерсов, уровень финансовой мотивационной составляющей вырастет, потянуться спецы из комерсов. Но олигархичной верхушке не выгодно, что бы государство стало сильнее/проворнее их управляющих компаний и департаментов по безопасности.

        • 1. Конечно можно не использовать мировой опыт, а придумать колесо. Так называемые «наши» методики и критерии — копипаст с канадских. Почему Украина должна идти по пути канадских критериев? Кстати покажите мне официальную методику анализаоценки рисков по нашей нормативке — это один из самых базовых [читать — нужных] документов в ЗИ Украины. Сейчас все оценки рисков — экспертные и провести контрольную оценку иногда проблематично. С ISO таких проблем нет вообще.[ только одна из сотен проблем].
          2.Никто никому не должен платить денег. Возможно Вы не в курсе, но в коммитет по разработке ISO входят в том числе и наши специалисты (конечно не разработка, но анализ и аудит драфтов точно проводят). Если ISO стает ДСТУ, то и использовать его можно без оплат.
          3. Под нашу нормативку уже тяжело реальный мир прикрутить. Часть НД ТЗИ так устарело, что ими вообще нельзя пользоваться. Вопрос использования ISO — вопрос использования постоянно актуализируемой нормативной базы в области ЗИ. Пускай ДСТСЗИ держит в актуальном состоянии нормативку и не нужны нам будут ISO.
          4. Не вполне понял про комерсы. CERT — подразделение ДСТСЗИ. Давайте превратим их в рубилку денег, выведем на рынок с комерсами, подкрепим админ ресурсом, пролоббируем где надо и постепенно вытесним всех коммерсов с этого рынка. По-моему, отличная схема для создания гос. монополии. Давайте позволим СБУ заниматься коммерческой деятельностью, ну и далее по тексту…… Наверняка от этого страна станет сильнее.
          5. А теперь мое предложение — давайте каждый будет заниматься своим делом. CERT — реагировать на инциденты. В идеале создать в нем подразделение Red Team — и проводить постоянные пентесты гос. структур. Понятно финансирование ребятам не на уровне уборщицы банка, а вполне достойное должно быть (что б к другим цертам сьездить можно было, в defconblackhat поучаствовать ). [Про остальных специалистов ИБ тоже не стоит забывать. Офицер безопасности не должен получать ниже junior developer-а].
          6. Спецов у нас в стране хватает. Они никому не нужны. Почему из 20-40 выпускников соответствующих специальностей в ЗИ идет 2-3 человека? Зачем в гос. структуре держать толкового технаря-безопасника с опытом противодействия атакам, если там нечем защищаться (пальцем и сборкой от зверя не повоюешь)? Надо отдельное финансирование под ИТ + ЗИ как обязательная статья, но с жестким контролем. Надо спонсировать вузы, что б студенты не смотрели как работает неуправляемый длинк, а реально видели, что такое активное оборудование ядра, кампуса, периметра, системы множественной аутентификации, DLP, системы виртуализации, ситуационные центры реагирования и тд.

          • Начну сразу с третьего. Первые два — это просто ваши догадки, но не аргументы. Поразузнайте у тех кто проходил обучение по ISO 27001 откуда беруться деньги на международные командировки ораторам, выступающим перед обучаемыми/оболваниваемыми?
            3. Реальный мир перестал строится из атомов? Изменились законы физики? Изменилось понятие об энтропии/границе Шэннона/количестве информации/принципам построения эшелонированных защит?
            Выборочно:
            6. «Спецов в стране хватает» — самозванцев хватает. Спецов крохи. Те кто прошел курсы в кроке — спецы?
            P.S. Скажите, как вы оцениваете оборудование, для построения СЗИ которое дорогое/коммерческое/именитое (иска), но подвержено Heartbeat уязвимости. «Они же обещали прислать патч в течении 24 часов по Premium Service SLA !» вот возглас старшего админа на пятиминутке/планерке у шэфа, который услышал по телеку про Heartbeat уязвимость. Список уязвимых устройств на сайте производителя или вот тут http://www.opennet.ru/openforum/vsluhforumID3/95324.html#36. Как вы собираетесь в прориетарном железе решать вопрос в реальном времени (как того требуют в органах гос.власти) без «извратов» типа IPFilter, Netfilter, Ipfw, Pf, NPF?

          • Позвольте не согласиться. Если ВЫ так в теме, то должны знать на чем основаны наши критерии. И это не мои догадки.
            Да ораторам по ИСО и прочим надо платить. согласен. А участие в наших конференциях по безопасности тоже вроде бы не всегда бессплатно.
            Вот есть у нас ДСТУ 3396. И все должны ему соответсвовать. Никто вроде обучения по этому стандарту не проводитне заставляет. В той же РФ приняты CC 15408 и ИСО. О том, что там всем поголовно надо ходить на обучения и платить деньги информации нету. Гос стандарты бесплатны. Если Вы говорите, что в ЦЕРТ и ДСТСЗИ работают такие крутые профи, то почему такой негатив. Крутым профи достаточно прочитать эти ИСО и они все поймут. Наверное они и так их уже чуть ли не наизусть знают, ведь частенько при експертизе пользуются наработками CC, Security Target-ами всяки и нистовскими документами.

            По поводу устаревания. Ну не стоит кривить и вбрасывать терминологию из теории информации и кодирования — читатели не поймут. Все прекрасно знают, что наши НД ТЗИ отстают примерно лет на 5+ от реальных вещей в области ИТ.
            Какой нормативный документ регламентирует :
            1.использовании виртуализации,
            2. организации Multitenancy;
            2.использования SAAS, IAAS, PAAS облаков, а также приватных, публичных, гибридных;
            3. SDN, SOA,
            4. вопросы внутренних и внешних независимых пентестов?
            5. методы и критерии оценки рисков в ИТС (порядок проведения работ по построению КСЗИ требует оценки рисков обязательно). Тоесть нд тзи требует того, чего ДСТСЗИ еще даже не добралась написать.
            6. и, как говорится, финальный кол в гроб непонимания — методики выбора функционального профиля (кроме стандартных). Знаю, что ДСТСЗИ еще даже не решила задачу формального представления функциональных услуг, а про методику выбора профиля пока еще можно и не вспоминать. Но ведь как такое может быть. Ведь ДСТСЗИ работают такие продвинутые специалисты и подкованные в фундаменталке.
            7. Про оценку уровней гарантий я вообще молчу.
            Может я конечно что-то пропустил и не заметил єтих всем нужніх вещей у нас в НД ТЗИ.
            Зато мы гордимся 2.5-010-03, в котом все ну оочень актуально (самый простой пример). Я не говорю, что НД ТЗИ плохие — они просто отстают, значит отстает и ЗИ, построенная на них. И самое главное — сколько лет существуюют уже эти проблемы? Сколько лет ведуться семинары, открытые обсуждения о гармонизации СС и ИСО? И к чему мы пришли за 20+ лет независимости? КТо-то уже все это порешал?

            Я, если честно, даже не вспомнил про крок. Так вот. Как Вы говорилии ранее если считать специалистом человека с профильным дипломом с заглавием «Специалист» в каком либо виде, то таких спецов у нас каждый год выпускается достаточно. Навскидку: ВИТИ (екс КПИ), Физтех (КПИ), НАУ, Харьковский и Днепропетровский политехи….. Также в Житомире готовят специалистов, в том числе не гражданских (информация старая, не уверен). Количество выпускников в каждом вузе можно посчитать на калькуляторе при желании. Количество рабочих мест для специалистов и их зарплаты тоже можно сравнить. Все открыто, никаких домыслов.

            Ответ на П.С: О хартблиде. Лично у меня проблем с хартблидом нету, так как системы с которыми работаю этой угрозе не подвержены. Хартблиду подвержены системы работающие c openssl. В гос. ssl невозможно использовать как механизм криптозащиты (не гост). Сертификаты SSL тоже не прикрутить к нашим критериям (Спасибо все тому же 2.5-010-03, в котором могли бы и прописать такое). Навскидку вариант исользования SSLTLS в услуге HK. В таком случае общение должно идти в рамках Т1, если Т2, то с закрытием гостом (нет openssl — нет проблемы). Тоесть внешнее подключение должно исключаться. Если инсайдер реализует хартблид (T1), то пардон кто дал ему право на запуск спец софта? где отрабатывает антивир? Если реализует системный админ, безопасник, то ему и не надо (права позволяют получить все это и более адекватным способом). Если же речь идет о гос веб-ресурсах с SSLTLS смотрящих в мир (интересно, а где ж такое регламентированно), то в нормальных случаях стоят системы SSL офлоадинг, так как веб трафик должен проходить через WAF, а они SSL не разбирают обычно. Вывод — актуальный хартблид в госе на периметре веб защиты. Те системы, которые я знаю, позволяют прикрывать хартблид методом костылей (патчинга либ или вообще не подвержены, отключения хартбита в конфигах). В качестве варианта прикрытия — ручная сигнатура на айпиескефаерволеWAF-e с пометкой дроп (реально делалось) или патчинг openssl на коленке с отключением хартбита и перекомпиляцией с исходников. Есть идея извращений с политиками SELinux для работы openssl (это слишком жестко). Отдельный вариант хартблида в системах управления внутри сети я не рассматриваю, так как к нему доступ должен быть ограничен только админами. Может что и пропустил, писал навскидку.
            Надеюсь я понятно изложил мысли.

  • Пора организовать национальный ботнет

  • «Кибератаки на Украину» звучит даже смешно.
    Мой файервол периодически
    (и даже регулярно) блокирует попытки вторжения на компьютер, все IP
    зарегистрированы на Украине. Ни одного из Нигерии, США или ещё какой
    либо страны не было. может раз или два из России.

    • Ну сеть сети рознь. У меня на honeynet в небольшой лаборатории переодически идут атаки из Китая, США, РФ. На некоторые гос. системы постоянно ломятся.
      Кстати интересный факт на заметку. По данным компании Trend Micro в Украине размещено большое количество управляющих серверов мировых ботнетов.

    • Вова, поступай в кибер войска России, там тебе объяснят, как можно ипадрес перенаправит по ложному следу. Будешь отличным кибер хакером в законе — интернет террористом, не беспокоящимся за свою физическую жизнь. «Классно». Правда?

    • нам очень важно твое мнение. Ты не думал что это твои соседи по локалке?

  • Фигасе путинские хомячки налетели

  • 14 лет назад я встречался с людями в погонах СБУ и говорил что за инфомационными войнами будущее. ДАвал прочитать книгу «Информационная война»(математика). Большие дяди кивали головой… им было похуй

  • Желающих быть взломанными хакерами здесь нет? А всего-то нужно поставить защиту и вовремя ее тестировать. Пентест — https://h-xtech.com/ru/services?r=ak&c=9

  • Истории компаний
  • НДС для Facebook и Netflix
  • Расследования AIN.UA
  • Спецпроекты
  • Безопасность номера
  • Безпека гаманця
Реклама на AIN.UA

Поиск