Обзор плана мероприятий по ИБ программы "Цифровая экономика". Часть первая, поэтическая

Обзор плана мероприятий по ИБ программы "Цифровая экономика". Часть первая, поэтическая

Посмотрите на эту фотографию. Она очень хорошо отражает то, что сегодня происходит с направлением информационной безопасности в рамках правительственной программы "Цифровая экономика". Вроде бы и можно было свернуть с имевшего в последние годы пути ведущего нас в темноту и повернуть к свету, но нет, мы упорно премся вперед, не сворачивая и залезая все глубже и глубже в непроходимые снега, где вместо движения по проторенной кем-то дорожке, мы пытаемся тропить свою собственную лыжню, которая может нас и приведет в светлое будущее, но не завтра, не всех и верится в это с трудом. И все это на фоне новостей о том, что топ-менеджеры ряда компаний отечественной ИТ-индустрии (в том числе активно участвующих в разработке "Цифровой экономики" и ратующих за цифровой суверенитет и ИТ-патриотизм) в декабре получили гражданство Мальты. Как тут не вспомнить строки из "Геофизического танго" Владимира Туриянского:

"Во дни разлук и горестных сомнений"
Как нам писал из Франции Тургенев.
Не надо слез и горьких сожалений,
Она уехала с другим купаться в Крым...

Так вот о "Цифровой экономике". 18 декабря Правительство утвердило план мероприятий по направлению "Информационная безопасность" программы "Цифровая экономика". Я ознакомился с текстом  (124 страницы мелким кеглем) и могу сказать, что мои, не раз уже высказываемые опасения оправдались. Документ получился очень сырым, а местами просто безграмотным как с точки зрения здравого смысла (но это мы оставим на совести экспертов, вносивших предложения, и экспертов, пропустивших их дальше), но и с точки зрения юридической. Попробую тезисно отметить мягко говоря спорные идеи, которые, по мнению Правительства, должны сдвинуть нашу аналоговую экономику в сторону цифровой трансформации (перечислять буду не все 124 страницы, а только то, что запало мне в мозг во время прочтения):
  • Почему-то данный план никак не синхронизирован с планом законопроектной деятельности Правительства , утвержденного двумя неделями позже. Весь план по ИБ рассчитан до 2024-го года и начинается по нему работа с 2018-го, но Правительство не планирует готовить никаких НПА по этому направлению. Почему? У меня есть ответ на этот вопрос, но я его оставлю при себе. Пусть те, кто считают, что "Цифровая экономика" действительно взлетит, и дальше остаются в шорах своей предубежденности.
  • На 3-й странице плана представлены ключевые показатели и индикаторы достижения задач, стоящих перед направлением ИБ "Цифровой экономики". Это замечательно, что в Правительство и АНО "Цифровая экономика" знают, что такое KPI. Но как можно принимать план, в котором по 25% показателей стоят прочерки? То есть показатель есть, но достигать его не надо. Эти 25% касаются закупки иностранного оборудования (то есть даже в Правительстве понимают, что отечественная индустрия "железа" не взлетит?), населения, использующего средства защиты (не знают как заставить применять отсутствующие отечественные средства защиты для частных лиц?), юрлиц, использующих НПС, субъектов, использующих стандарты безопасного взаимодействия государственных и общественных институтов (что это?).
  • Кстати, обратили внимание, в предыдущем пункте упоминалась НПС? Это вообще песня. У нас сегодня ВСЕ хозяйствующие субъекты используют НПС, так как в соответствие с ФЗ-161 "НПС - это совокупность операторов по переводу денежных средств, банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры". То есть миновать этих субъектов НПС при оплате чего-то бы-то ни было нельзя. Авторы имели ввиду (скорее всего) не НПС, а НСПК, то есть национальную систему платежных карт и карту "Мир". Но никто почему-то не стал исправлять этот ляп (хотя про него говорили на встречах в Центре компетенций).
  • Как вам фраза "рассмотрены уязвимости, связанные с киберпреступностью"?..
  • К концу 2019-года должна быть запущена в эксплуатацию централизованная система управления российскими сетями общего пользования. Хакеры всего мира (ну и спецслужбы, конечно, тоже) ждут, когда же у нас появится единая точка отказа управления, которую можно будет DDOSить, перехватывать управление и т.п. Чтобы хакеры не смогли надолго вывести ее из строя (интересно, как будут работать сети, если система управления ими выведена из строя), она должна интегрироваться с ГосСОПКОЙ. И эта централизованная система мониторинга ССОП - это не ГИС "Интернет" из законопроекта Минкомсвязи о критической инфраструктуре Рунета.
  • ГИС "Интернет" занимается совсем другим - обеспечением целостности, устойчивости и безопасности функционирования Рунета. С этой целью к концу 2020-го года должно быть создано ПО для ведения реестра маршрутов, мониторинга маршрутов, замещения корневых DNS-серверов, блокирования противоправного контента, национального удостоверяющего центра, взаимодействия с ГосСОПКОЙ. Кроме того, планируется общероссийский WAF для защиты всех сайтов в Рунете от атак (мне кажется, я даже исполнителя для последней задачи знаю, но это не тот, о ком вы подумали). Правда, последний пункт про WAF, кажется, совершенно случайно затесался в план - в списке мероприятий он есть, а в ожидаемых результатах нет.
  • К маю 2018-го года (осталось 4 месяця) Фонд "Сколково" должен разработать требования к устойчивости и безопасности сетей связи и оборудования органов государственной власти (за исключением высших органов государственной власти) и организаций различных организационно-правовых форм. Что это и как соотносится с требованиями, которые содержатся в приказе №1 Минкомсвязи или в существующих приказах ФСТЭК и ФСБ? И причем тут вообще Сколково?
  • Отечественных разработчиков компьютерного, серверного и телекоммуникационного оборудования хотят стимулировать налоговвыми льготами и таможенными пошлинами, а разработчиков средств защиты почему-то забыли. Зато последних хотят стимулировать льготными кредитами и инвестициями ВЭБа.
  • К концу 2020-го года разработчики компьютерного, серверного и телекоммуникационного оборудования должны использовать преимущественно отечественную электронную компонентную базу (где она, ау?).
  • Российские ЦОДы хотят заставить перейти на отечественное компьютерное, серверное и телекоммуникационное оборудование к концу 2019-го, а всю информационную инфраструктуру России - к концу 2024 года. Тут правда есть косяк. В разделе ожидаемых результатов написано, что надо достичь целевых показателей, а эти значения, как я указал выше, как раз и не определены (в плане стоят прочерки).
  • К концу этого года должны быть определены методология оценки рисков, методы и меры обеспечения информационной безопасности систем, реализованных на технологиях облачных, туманных, квантовых, виртуальных [забыли слово "вычислений", похоже], искусственного интеллекта и дополненной реальности, требования к стандартизации в сфере оценки рисков и обеспечения безопасности таких систем. Все это должен разработать опять Фонд "Сколково". До конца года? Требования по безопасности туманных и квантовых вычислений (по виртуализации у нас, к счастью, есть ГОСТ Р 56938-2016, разработанный в ФСТЭКоском  ТК 362, а по облакам, помимо ISO/IEC 27036-4:2016, отечественный ГОСТ находится на стадии проекта)? У нас дофига специалистов по безопасности туманных и квантовых вычислений? Про виртуальную и дополненную реальность, а также искусственный интеллект вообщу молчу. У нас интеллекта-то еще нет искусственного, а требования по его защите уже разработают в самой инновационной организации России, куда хрен доберешься. Кстати, авторы этого куска, похоже сами путаются между "виртуализацией" и "виртуальной реальностью". Они постоянно смешивают и путают эти понятия по тексту. К сентябрю 2019-го у нас должны быть разработаны стандарты ИБ по этим направлениям, а приняты они к июню 2020-го. Тогда и заживем в виртуальной реальности безопасно.
  • К маю этого года ФСБ, ФСТЭК во главе с Минкомсвязью, должны провести анализ мировых тенденций и долгосрочный прогноз развития ИТ в области ИБ (именно так - ИТ в области ИБ), а к сентябрю должен быть уже сформирован перечень перспективных технологий, которые могут надеяться на инвестиционную поддержку от российского государства. Это будет очередной foresight, который у нас так любят проводить всякие АСИ, Минкомсвязи и другие инноваторы. Почему-то эти долгосрочные прогнозы они делают раз в год, но видимо это традиция в России такая. Дороги у нас тоже раз в год ремонтируют и перекладывают асфальт и тротуарную плитку. 
  • Чтобы подчеркнуть важность процесса анализа разрыва между ожидаемым и реальным, слово "gap" в плане мероприятий написано заглавными буквами (GAP-анализ). А может это просто фирма GAP проспонсировала ее упоминание :-)
  • К июню этого года лицензиатами ФСБ (вообще странная конструкция) должен быть разработан проект плана мероприятий ("дорожная карта") "Российская криптография в российском сегменте Интернет". И вот на этой странице я понял, что скоро всем наступит давно обещанный коллапс экстаз. Российский сегмент Интернет хотят перевести на российскую криптографию, Web-сервера должны будут использовать TLS на базе ГОСТ 28147-89 в варианте "Кузнечик", а все браузеры должны реализовывать российскую криптографию. В условиях, когда разработка СКЗИ - это лицензируемый вид деятельности, а 99% браузеров у нас иностранного происхождения (Chrome, IE, Safari, Firefox), я с трудом себе представляю, как легально встроить в иностранное ПО российскую криптографию... и получить на нее сертификат ФСБ до конца 2020-го года. На все про все дается 3 года. 
  • Центр компетенций по импортозамещению в сфере ИКТ должен до конца 2020-го года запустить государственную программу Bug Bounty, где "победители получают денежные призы (гранты) за найденные уязвимости, разработчики их исправляют, а программное и программно-аппаратное обеспечение становится надежнее" (ожидаемый результат из плана Правительства).
  • К концу этого года должны быть созданы прототипы, а к сентябрю 2020-го уже финальные версии отечественных ОС, СУБД (правда, в термине "системы управления базами данных" почему-то забыли слово "данных" и получилось "системы управления базами"), офисных и иных (каких?) прикладных пакетов.  
  • С какого-то перепугу в стратегический документ попал целый раздел, посвященный уязвимостям Web-приложений. Согласно нему до июля 2018-го года не только должен быть проведен анализ уязвимостей всех web-приложений Рунета (а после июля не надо, да?), но и должен быть к концу 2019-го года создан единый ресурс по информированию и проверке угроз уровня web-приложений, находящийся под крылом ГосСОПКИ. Это аналог английского Web Check ?
  • До конца 2020-го года хотят создать систему сертификации ПО, которое будет оцениваться по уровню локализации, степени правообладания и уникальности кода (ё, кто и как будет оценивать уникальность), после чего ПО будет присвоен определенный класс.
  • До конца этого года хотят определить (с помощью Роскомнадзора), как защищать массивы больших данных (видимо речь идет о Big Data), а до конца следующего года уже иметь стандарты по защите Big Data (их в мире-то еще нет, а у нас уже планы). В другом месте плана, правда, говорится, что эти стандарты должны быть готовы к марту 2019-го года. По тексту, кстати, постоянно смешивают то "массивы больших данных", то "большие данные". Сделано ли это специально или по недомыслию, не могу сказать. За разработку стандартов отвечает Сколково, а за инструментальный контроль использования Big Data ФСБ :-) 
  • С какого-то перепугу в раздел по ИБ попало регулирование онлайн-агрегаторов товаров, онлайн-рекламы, кинотеатров и средств виртуализации (что это и как соотносится с виртуальными вычислениями и виртуальной реальностью?).  И ведь на этапе обсуждения этот вопрос поднимали, что не место этой шняге в ИБ. Но нет. С упорством, достойным иного применения, эта тема теперь относится к ИБ.
  • К концу 2019-го года должны быть разработаны модели угроз и нарушителей для Интернета вещей для отраслей экономики (каких, не сказано).
  • Вместо "критической информационной инфраструктуры" План использует термин "критическая инфраструктура". Ну "экспертам" Правительства позволительно не знать уже принятого к моменту утверждения плана законодательства по КИИ.
  • К лету 2020-го года должны быть разработаны правила реагирования на инциденты безопасности киберфизических систем, включая Интернет вещей (пересекаются ли они с КИИ, ответить не могу, как и "эксперты"), а разработать их должны Минкомсвязь, Минпромторг, ФСТЭК и Роскомнадзор (ну эти-то куда). А как же ФСБ?
С русским языком по тексту тоже проблемы постоянно. Пропадают слова, меняющие смысл мероприятий дорожной карты. Например, в одном пункте написано "Утверждение национальных стандартов безопасности киберфизических систем, включая "Интернет вещей". Вроде все четко и понятно. Но сразу за ним, в итоговой строке раздела написано уже "Приняты национальные стандарты киберфизических систем, включая "Интернет вещей" (куда дели "безопасность"?), а в ожидаемых результатах опять "Национальные стандарты безопасности киберфизических систем, включая "Интернет вещей", утверждены". Тут впору вспомнить Тургенева, с упоминания которого я начинал заметку:

Во дни сомнений,
во дни тягостных раздумий
о судьбах моей родины,-
ты один мне поддержка и опора,
о великий, могучий, правдивый и свободный
Русский язык!

Не будь тебя -
как не впасть в отчаяние
при виде всего,
что совершается дома?
Но нельзя верить,
чтобы такой язык
не был дан великому народу!
Правдивый и свободный
Русский язык!

На этом заканчивается один из двух разделов Плана мероприятий по направлению ИБ в рамках "Цифровой экономики". Он посвящен обеспечению единства, устойчивости и безопасности информационно-телекоммуникационной инфраструктуры Российской Федерации на всех уровнях информационного пространства. Второй раздел, про обеспечение технической, организационной и правовой защиты личности, бизнеса и государственных интересов при взаимодействии в условиях цифровой экономики я рассмотрю в понедельник. Там бросившихся мне в глаза мероприятий не меньше, чем в первой части, и поэтому лучше посвятить ей отдельную заметку (хотя деление на эти два раздела весьма условное).

Можно ли было родить в сложившихся условиях адекватный документ? Не знаю. Я, к сожалению, выпал из процесса на второй стадии. После сбора и составления перечня проблем, которые происходили в условиях жесточайшего цейтнота (всего за неделю надо было сформировать список проблем с ИБ в России), вторым этапом должен был стать мозговой штурм (опять за неделю) по формированию перечня мероприятий, которые бы устраняли проблемы и выводили отрасль ИБ из тьмы веков на свет. Но, блин, я эту неделю пропустил, побывав в трех командировках и не успев подготовить свои предложения (хотя часть из них я успел отправить еще на первой стадии). И после этого я уже потерял контроль над процессом - в нем участвовало уже ограниченное число лиц, а промежуточных результатов плана мероприятий Центр компетенций не рассылал (несмотря на обещания). В итоге я увидел финальную версию только в декабре, когда было уже поздно что-то менять. Да и бессмысленно, если честно. Получая информацию не только из центра компетенций, но и из других источников, уже стало понятно, что благие намерения экспертного сообщества не очень стыкуются с тем, что хотели сделать на верху "пищевой цепочки". Покаялся и ну и ладно.

Завершить столь "позитивную" заметку я бы хотел вновь строками из Владимира Туриянского:

Я устал от идиотов
От вождей и патриотов
От безумных финансистов
Демократов от сохи
От бездарных Центробанков
От рок-музыки и панков
И от суверенитета
Для республики Сахи...
Ткни любого депутата
У него ума палата
Все он знает и предвидит
Как премудрейший пескарь
Как преодолеть разруху
Как пройти водой посуху
Выясняется, что это
Бывший третий секретарь...
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!