И вновь о "Цифровой экономике" :-(

И вновь о "Цифровой экономике" :-(
Последние две с лишним недели я занимался тем, что принимал участие в программе "Цифровая экономика", а точнее в одном из ее пяти направлений, посвященных информационной безопасности. Мне можно возразить и спросить, зачем я это делал, если ранее крайне непозитивно высказался о том, что из себя представляет эта программа. Тут надо сделать пару замечаний. Во-первых, сейчас я высказываюсь по поводу самой программы, а не работы над ней, которая ведется в Сбербанке. Про эту работу я напишу отдельно и позже, когда основная работа будет завершена и можно будет подводить некоторые промежуточные итоги. Поэтому нижеприведенный текст к Сбербанку отношения никакого не имеет. Во-вторых, я стараюсь следовать принципу, что если что-то критикуешь, то не только предлагай улучшения/изменения, но и участвуй. Например, выборы. Я знаю много людей, которые считают, что хождение на выборы ничего не изменит и лучше пожарить шашлыки на даче или сходить на день города. Я так тоже раньше считал, пока не спроецировал на выборы опыт работы над проектами документов в ЦБ, ФСТЭК, СовБезе, Госдуме, Совете Федерации. Не нравится что-то - попробуй поменять. Не получилось поменять, ты хотя бы попробовал и можешь смело и открыто высказывать свое мнение по данному вопросу, так как имеешь на это полное право. Понятно, что есть люди, которые считают иначе и думают, что могут критиковать нормативку, не участвуя в ее разработке. Ну чтож, возможно. Хотя, если возможность участвовать была, а ты ей не воспользовался, то с какого перепуга ты считаешь, что можешь потом критиковать?.. Примерно так рассуждая я и ввязался в эту программу, хотя и скептичен в ее отношении, - все-таки это далеко не первая попытка улучшить отрасль ИБ в России.

В прошлой заметке, когда я перечислял попытки реформировать ИБ в нашей стране, я упоминял форум "Интернет Экономика", который посчитал самостоятельной, хотя и некомпетентной попыткой изменения происходящего в РФ. Оказалось нет и подтверждение тому, монолог Игоря Ашманова на последнем собрании в Сбербанке, который потом был практически слово в слово озвучен в Фейсбуке. Иными словами, работа над "Цифровой экономике" ведется больше полутора лет. И, оказывается, в ней якобы принимали участие эксперты и ФСБ, и Минэка, и других игроков рынка.


Когда я услышал про ФСБ я сразу усомнился. Мне приходилось сталкиваться с юристами ФСБ, которые десятки раз вычитывают документы и врядли могли пропустить такой фрагмент как "сертифицированные криптографические алгоритмы". А этот фрагмент внесен в распоряжение Правительства. Как бы я не относился к представителям 8-го Центра, но я не верю, что они могли допустить такой ляп.


Особо интересно выглядит данная задача, установленная Правительством, на фоне того, что изменения в КоАП в части наказания за неиспользование несертифицированных средств шифрования (а не алгоритмов) уже были внесены больше года назад. Эксперты, работавшие почти 2 года (еще готовя идеи к форуму "Интернет Экономика"), видимо, оказались не в курсе внесенных изменений в законодательство.

Кстати, таких вот ляпов с установленными сроками для задач, которые уже реализованы полно. Например, п.5.11.5 требует определить перечень необходимых стандартов безопасной разработки приложений к 3-му кварталу 2018-го года, а ввести их в действие в конце 2019-го. Но дело в том, что данный стандарт был разработан еще в прошлом году, а с 1-го июня 2017-го года стандарт ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» уже вступил в силу. То есть эксперты при Правительстве ждут разработки уже разработанных и вступивших в действие стандартов. Прекрасная демонстрация уровня компетенций. Или вот еще:


Я всегда считал, что все формы денежных переводов в России покрываются национальной платежной системой, регулируемой 161-м ФЗ и перевести деньги, минуя ее нельзя в принципе. Работа через Visa, НСПК, Золотую корону, платежную систему Банка России... - все это НПС. Это уже все реализовано и не надо ждать 2024-го года, как написано в программе Правительства. Что подразумевали авторы в п.5.10.13? Отказ от наличности?

Я уже в прошлый раз писал про БКИИ, но повторюсь. Согласно экспертам Правительства к концу 2018-го года должны быть разработаны требования по безопасности КИИ. А вот само Правительство в своем плане нормотворческой деятельности определило, что эти требования должны быть разработаны к 1-му января 2018-го года. Левая рука не знает, что делает правая?


Попробуйте прочитать нижеприведенный фрагмент из распоряжения Правительства:


Вас ничего в нем не смущает? Лично я не понимаю, к чему там относится фраза "технологии искусственного интеллекта"? Она совсем не в том падеже. Вот если ее переставить после "квантовых технологий", то фраза будет звучать вполне адекватно. А тут, видимо, эксперты очень спешили или вставляли то, что вдруг вспомнили, но ошиблись с местом вставки. Да и сама фраза выедает мозг своим построением. Как можно оценивать адекватность стандартов рискам и угрозам? Может быть все-таки технологий?.. Если же посмотреть на п.5.4.7, который является развитием п.5.4.5, то в нем почему-то отсутствует виртуальная реальность. Видимо, на этапе 5.4.5 уже решили, что виртуальная реальность неадекватна рискам и угрозам и ее исключили из дальнейшего рассмотрения. Ну или надо признать, что эксперты, 1,5 года корпящие над программой "Цифровой экономики", делали свою работу спустя рукава. Ну или это были не эксперты... Правда, в п.5.4.11 виртуальная реальность вновь вернулась.

С русским языком у авторов вообще сложности. Вот этот фрагмент я не осилил:


А вот еще один фрагмент:


П.5.4.18 требует к 3-му кварталу 2020-го года разработать отечественные ОС, СУБД, офисное и иное прикладное ПО. Очень пафосная задача, которая звучит уже не первый раз в разных документах, стратегиях и доктринах. Но меня цепанула задача из п.5.4.19. Она слишком выбивается на фоне остальных стратегических задач. Почему угрозы именно для web-приложений? Почему не для ОС или СУБД? Потому что у кого-то из участников экспертной группы есть свой WAF? Не знаю. Врядли. Все-таки эксперты у нас все сплошь независимые и беспокоящиеся о национальной безопасности, а не интересах собственных компаний.

А потом читаешь вот такое:


Ну что это за целевые алгоритмы систем обработки массивов больших данных? Кстати, по тексту распоряжения встречаются то "большие данные", то "массивы больших данных", то "большие массивы данных", а то и вовсе "большие пользовательские данные". И как они отличаются (и отличаются ли?) никто не знает. На встрече в Сбербанке г-н Ашманов заявил, что не надо ничего менять в программе, над которой работали солидные люди и надо только разработать план мероприятий (видно за 1,5 года никто его так и не сделал) для всей программы "Цифровой экономики". Но вот объяснить, что имели ввиду авторы программы и распоряжения Правительства, никто так и не удосужился. Это, кстати, одна из серьезнейших проблем с реализацией всей программы - кураторы групп в Центрах компетенций сами не знают, что имеется ввиду под той или иной задачей, по своему толкуя то, что кем-то разрабатывалось 1,5 года.

Кстати, еще один удивительный момент с этой программой, над которой 1,5 года трудились лучшие умы России. Почему-то первое, с чего была начала работы в экспертных группах в Сбере, это составление списка проблем, для уже разработанных задач! Вы можете себе представить? Обычно (ну, по крайней мере, мне кажется что именно это обычно и нормально) сначала формулируются проблемы, затем способы их решения, потом конкретные вехи и планы мероприятий. В программе же цифровой, мать, ее экономики, все было сделано гораздо инновационнее - сначала разработаны задачи, которые надо решить, а потом уже началась работать над проблемами, которые должны свестись в итоге к уже разработанным задачам. Видимо эксперты так стремились утвердить задачи и бюджеты для их реализации, что забыли сформулировать проблемы, которые должны были лежать в основе всего.

А кто может мне объяснить (эксперты Правительства, увы, не смогли, так как в Центре компетенций Сбербанка они не участвуют), как онлайн-реклама и Интернет-кинотеатры относится к кибербезопасности? Я наделен богатой фантазией, но тут спасовал.


Как и спасовал, когда прочитал, что эксперты Правительства решили вновь вернуть вещное право применительно к информации, а точнее к пользовательским данным, у которых теперь появляется собственник (а не обладатель, как написано в законе "Об информации, информационных технологиях и защите информации").


Отдельно стоит отметить раздел 5.13, который целиком посвящен ЕАЭС, то есть евразийскому экономическому союзу, в который входят 5 государств, а еще 12 хотят стать его членами. Тут, видимо, у экспертов Правительства во всей красе проявился имперский синдром, когда за членов ЕАЭС все решения принимает Россия. Я еще могу поверить, что Россия продавит свои интересы в Армении, Беларуси, Казахстане и Киргизии, но вот что делать с КНР, Ираном, Индией, Турцией? Они врядли захотят "ложиться под" Россию и использовать с ней единые стандарты и отечественные антивирусы (уж Китай так точно).

Раздел 5.14 в очередной раз продемонстрировал, что программа готовилась, мягко говоря, спустя рукава. Название раздела посвящено международной ИБ, а его наполнение целиком и полностью - суверенного Рунету и невмешательству в его дела иностранных держав. Ни слова про кибертерроризм, международную киберпреступность, атрибуцию, кибервойны и т.п. При этом почти все пункты из раздела уже выполнены - в ООН внесены документы, подготовлены всяческие проекты Конвенций, Концепций и т.п., которые представлены в международных организациях.

Вновь вернусь к началу, к словам Игоря Ашманова, который написал, что регуляторы участвовали в работе над программой "Цифровой экономики". Свое сомнение про участие ФСБ я уже выше высказал. А в конце 5-го раздела наткнулся на доказательство, что и ФСТЭК врядли участвовала в этой работе. Есть там такой KPI:


Вспоминая, что такое "средство защиты информации" по версии ФСТЭК, понимаешь, что этот KPI уже достигнут, так как средством защиты является любое ИТ-решение, в котором есть механизм защиты, например, подсистема аутентификации (а это любая ОС). Получается, что любой ПК, стационарный или мобильный, подключенный к Интернет является средством защиты в трактовке ФСТЭК. Иными словами, данный KPI всегда будет равен 100%. ФСТЭК врядли допустила бы такое в документах, которые с ними согласовываются.

Что-то длинно сегодня получилось. Но зато выплеснул все, что накопилось за эти две недели погружения в программу "Цифровой экономики". Давно не наблюдал более некомпетентно подготовленного документа :-( Есть малая надежда, что хоть что-то удастся выправить в рамках Центра компетенции Сбербанка, но шансов на это не так уж и много с моей точки зрения. 

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!