Что вызвало бурю обсуждений проблем кибербезопасности в соцсетях

Телеком-сообщество переживает: гарантирована ли безопасность  киберпростраства страны?  Массово стали выходить материалы на страницах фейсбук с хештегом #двадцатьсемь. Возникло много вопросов, что это такое, о чем речь?  Почему оператор, который имеет сертификат КСЗИ, не может защитить информационную систему своего клиента?

            Все началось с того, что ко многим государственным структурам начали поступать письма, в которых им предписывалось закупать услугу доступа к сети Интернет исключительно у оператора, который имеет в наличии сертификат КСЗИ (комплексная система защиты информации).

            Начнем с того, что сама мысль потребления защищенного доступа к сети Интернет, уже попахивает несвежестью. Интернет это открытая публичная сеть.

            Теперь разберем «типовые» атаки, которые могут быть нацелены на вас.

            Например, вы распорядитель, создатель, хранитель информации (реестры, базы данных, и.т.д.) госпредприятия.

Вы получили письмо, где сказано, что вам предписано закупить сервис доступа к сети Интернет только через оператора, имеющего у себя КСЗИ, потому, что это безопасно для вашей информационной системы.

            Покупая сервис доступа к сети Интернет, через оператора с аттестатом КСЗИ, у вас возникает заблуждение, что теперь ваша информационная сеть и информация в ней - защищены.

Я знаю прецеденты, когда сокращался ИТ персонал этих государственных предприятий!  

Господа, хочу вас расстроить, при таком включении, КСЗИ относится к защите именно оператора. Оператор при создании КСЗИ, точно наведет у себя порядок, но это никак не касается ваших сетей!

 Оператор этим подтвердил, что его система соответствует каким-то там «правилам» КСЗИ (определяется, модели угроз информации, модель защиты, определение программы испытаний, испытаний и.т.д.).

Пока мы работаем в текущем правовом поле, а в будущем (проект закона 9042) о защите информации в информационно-телекоммуникационных сетях, где вводится уже стандарты ISO/IEC 27001 (ДСТУ ISO/IEC 27001) – существенно ужесточит нормы безопасности.

Однако, оператор не защищает ВАШУ информационную систему. Для, вашей защиты, ваша система, должна иметь ваш соответствующий сертификат по безопасности КСЗИ.

Атаки могут быть активными, когда на ваш информационный ресурс через оператора идет внешняя атака DDoS. В этом случае, оператор сможет вас защитить от них (при наличии у него такого сервиса) ваши системы, но это не есть вопрос КСЗИ, это отдельный сервис.

Атака может быть на вашу информацию, когда атакующий в вашей системе находят внешнюю уязвимость, и далее производят какие-то действия с вашей информацией (удаление, изменение, управление, скажем атомным реактором, или насосной станцией), от таких атак, оператор вас не сможет защитить.

Это так же отдельный закупаемый сервис. Скажем SIEM, когда оператор сможет вам дать анализ видимых атак на вашу систему.  

Может быть вариант, это когда вы разместили, в облаке оператора, или в датацентре оператора свою информацию. Вот тогда, конечно мы можем говорить о том, что оператор должен защитить в этом варианте сотрудничества вашу информацию.

Существует ошибочное мнение, некоторых клиентов оператора, что если его информация, передается с использованием канала Интернет оператора с сертификатом КСЗИ, то канал имеет криптованный (закодированный) уровень защиты. Это заблуждение.

Да, оператор может виртуализировать ваши каналы связи (VPN), это уже приведет к какой-то минимальной защите, но защита информации в канале, это уже непосредственно ваша ответственность, как распорядителя этой информации, если мы говорим об информации критического уровня, передаваемая между объектами посредством сетей Интернет, она должна уже выходить от распорядителя зашифрованная.

Я уверен, что в ближайшие годы, мы существенно продвинемся в вопросе цифровизации страны. Это означает, возникновение различных электронных информационных платформ. Но уже сегодня нужно на государственном уровне внедрять программы (законы), которые будут регламентировать защиту информационных платформ, защиту информационных сайтов, критических государственных ресурсов и систем.

В стране готовится квалифицированный персонал, но их не видно на предприятиях - потому, что уровень их оплаты труда, крайне низкий. Господа управленцы, если вы точно хотите, чтоб ваше предприятие попало в цифровую индустрию, или индустрию 4:0, запомните, что это не просто системный администратор, это ваша правая и левая рука, которые нужно беречь. А иначе мы их растим для других стран.

Я много слышу, о запуске на различных уровнях государственной пирамиды электронных платформ, и потом, точно так же я слышу, как эти платформы были подвержены внешним атакам.

При внедрении цифровых сервисов, цифровой индустриализации, мы должны находиться в полном понимании, что эти системы имеют гарантированную защиту от кибератак, и только тогда они принесут пользу, и только тогда цифровая экономика, так же будет в безопасности.