Hari baik untuk semua Hari ini kami ingin membahas keamanan informasi di daerah-daerah, dan berbicara tentang Forum tahunan kedelapan "Isu Aktual Keamanan Informasi" yang diadakan pada 19-20 Juni, yang secara tradisional kami pegang sejak 2009 berdasarkan Administrasi Wilayah Primorsky di Vladivostok.
Itu tidak sia-sia bahwa saya mengatakan bahwa akan ada diskusi tentang masalah IS mendesak, saya tidak ingin menerbitkan siaran pers kering tentang acara di Habré, tetapi siapa yang membutuhkannya, Anda dapat membacanya di
sini . Anda juga dapat mengunduh presentasi pembicara di sana, di antaranya adalah perwakilan dari regulator, serta vendor dan integrator.
Di bawah potongan banyak foto, rengekan dan sinar optimisme.
Hari pertama
Kinerja regulator
FSB
Salah satu pembicara pertama adalah perwakilan dari Layanan Keamanan Federal Rusia di Wilayah Primorsky. Topiknya adalah persyaratan dari Layanan Keamanan Federal Rusia untuk penggunaan fasilitas perlindungan informasi kriptografis (selanjutnya - CIPF).
Secara keseluruhan, tidak ada perubahan revolusioner baru dalam pidato ini dibandingkan dengan tahun-tahun sebelumnya. Kami diingatkan bahwa perlakuan perlindungan informasi kriptografis diatur oleh
PKZ-2005 ,
152 atas perintah FAPSI dan
urutan ke-378 FSB .
Kami juga diingatkan bahwa:
- CIPF harus disertifikasi;
- kelas alat perlindungan informasi kriptografi harus menetralkan ancaman yang ada (lebih lanjut tentang pemilihan kelas perlindungan informasi kriptografis dapat ditemukan di sini );
- CIPF harus diperoleh dari pemegang lisensi FSB Rusia;
- Alat distribusi, formulir, dan aturan penggunaan harus tersedia di tempat pengoperasian CIPF;
- CIPF harus diperhitungkan sesuai dengan nomor rekening yang ditetapkan oleh FSB Rusia;
- pengguna perlindungan informasi kriptografis harus dilatih dalam aturan untuk bekerja dengan catatan dalam buku catatan pengguna keamanan informasi kriptografis;
- penyimpanan perlindungan dan dokumentasi informasi kriptografi harus diorganisasikan dengan pengecualian dari kemungkinan akses yang tidak sah;
- selama pengoperasian sistem perlindungan informasi kriptografi, perlu untuk mempertimbangkan dengan seksama pemenuhan persyaratan dan ketentuan yang ditentukan dalam bentuk dan ketentuan penggunaan.
Barangkali yang paling menghibur adalah slide dengan statistik cek.
Peningkatan dalam identifikasi pelanggaran pada tahun 2018 dibandingkan dengan periode sebelumnya disebabkan oleh perwakilan FSB dengan pendekatan yang lebih menyeluruh dari inspektur.
Saya pribadi mengharapkan beberapa informasi tentang penggantian FAPSI-152, yang dikabarkan, tetapi saya tidak menunggu.
FSTEC dari Rusia
Alexey Alexandrovich Baranov, perwakilan Kantor FSTEC Rusia untuk Distrik Federal Timur Jauh, berbicara tentang perubahan yang dilakukan terhadap tindakan hukum pengaturan yang dikeluarkan di bidang perlindungan objek infrastruktur informasi penting (selanjutnya - KII).
Setiap orang yang mengikuti topik KII tahu bahwa baru-baru ini telah ada perubahan aktif dalam undang-undang di bidang ini - baik Keputusan Pemerintah Federasi Rusia No. 127 dan perintah dari FSTEC. Saya tidak akan menceritakan kembali laporan itu. Dalam
presentasi, semuanya cukup jelas dan dapat dimengerti.
Diindikasikan di sini bahwa tugas utama mata pelajaran KII adalah menyerahkan informasi kepada FSTEC sebelum 1 September 2019. Pada saat yang sama, diumumkan bahwa banyak mata pelajaran KII yang telah mengirim informasi semacam itu tidak melakukannya dalam bentuk yang disetujui dengan informasi yang berlebihan atau tidak mencukupi.
Juga, seorang wakil dari administrasi pusat FSTEC Rusia, Anatoly Vasilyevich Marchenko, juga berbicara. Dia berbicara tentang masalah kekurangan personel yang berkualifikasi dalam keamanan informasi.
Saya pikir banyak orang akan tertarik pada slide dengan statistik pada jumlah spesialis keamanan informasi di berbagai industri. Jelas bahwa ini semua diambil dari data yang diserahkan organisasi ke FSTEC, sehingga tidak ada organisasi komersial yang tidak bersinggungan dengan FSTEC dengan cara apa pun, tetapi masih penasaran.
Oke, jumlah ini - 22 ribu orang, secara umum, banyak. Dan bagaimana dengan kualitas? Dan dengan kualitas, semuanya agak menyedihkan. Tidak ada komentar di sini, cukup saksikan slide.
Pada saat yang sama, dalam hal jumlah spesialis IS, sejumlah besar lowongan tidak ditutup di setiap industri, sekitar 2-3 ribu spesialis masih kurang.
Di sini, sebagai pemimpin dan majikan personel di bidang keamanan informasi, saya juga ingin menambahkan sedikit tentang kualitas pendidikan saat ini di bidang ini. Baru-baru ini, saya memiliki kuesioner di atas meja tentang kualitas pendidikan Ibshnikov, saya harus memberi nilai rendah dan itu sebabnya.
Pertama cerita dari hidupku. Ketika saya masuk universitas pada tahun 2000, saya benar-benar ingin mendaftarkan diri dalam spesialisasi "Keamanan Informasi" yang baru dan menjanjikan, tetapi tidak mendapatkan poin dan pergi untuk belajar fisika. Para penjaga keamanan adalah kelompok paralel kami, dan 3 dari lima tahun kami pergi bersama mereka ke kuliah yang hampir sama. Artinya, orang-orang keamanan sebagian besar waktu belajar fisika dan matematika bersama kami.
Dari percakapan dengan lulusan saat ini, saya menyadari bahwa sejak itu, tidak banyak yang berubah. Sekarang kami memiliki banyak pemuda dan pemudi berbakat di tim kami. Tetapi fakta bahwa mereka pada dasarnya mengatasi dengan baik tugas-tugas yang ditetapkan bukanlah prestasi universitas, tetapi tugas mereka sendiri (kemampuan untuk dengan cepat memahami materi baru dan belajar).
Akibatnya, lulusan dari arah "Keamanan Informasi" tahu fisika, matematika (termasuk kriptografi), mereka tahu teknologi informasi secara keseluruhan, dan dilatih untuk berbagai tingkat dalam pemrograman.
Dan di sini adalah apa yang mereka tidak tahu dan tidak tahu caranya:
- Tidak tahu undang-undang saat ini tentang perlindungan informasi;
- mereka tidak tahu cara menulis dokumen tentang keamanan informasi, mereka tidak tahu dokumen apa yang diperlukan;
- mereka tidak tahu bagaimana membangun sistem keamanan informasi di perusahaan yang kurang lebih besar;
- Mereka tidak tahu cara perlindungan informasi (yang asing, domestik), masing-masing, tidak tahu cara bekerja dengan mereka, mengonfigurasinya, dll.
- mereka tidak tahu alat untuk pentest (bahkan pemindai kerentanan biasa), mereka tidak tahu cara menggunakannya;
- Tidak tahu cara membaca dan menafsirkan laporan tentang kerentanan yang ditemukan, tidak tahu apa yang harus dilakukan dengan data yang diterima;
- dan masih banyak lagi.
Ini adalah pengalaman pribadi saya di kota Vladivostok. Mungkin di suatu tempat situasinya jauh lebih baik. Tetapi kami memiliki lulusan universitas dalam "Keamanan Informasi" khusus, sayangnya, tepat setelah menerima diploma yang didambakan, mereka tidak dapat melakukan tugas-tugas "kertas" atau keamanan informasi praktis. Dan ini menyedihkan.
Tetapi untuk tidak sepenuhnya sedih, simpan foto tim profesional kami! =)
Integrator
Jadi, pada kenyataannya, integrator hanya bertindak satu - yaitu kita. Pembicara pertama adalah CEO kami, Statsenko Pavel Sergeevich.
Laporan ini dikhususkan untuk pemantauan terpusat peristiwa keamanan informasi. Dikatakan bahwa memastikan keamanan informasi adalah proses yang berkelanjutan dan melacak peristiwa mencurigakan dalam sistem adalah bagian integral darinya.
Sayangnya, kita sering menemukan, terutama di lembaga pemerintah, pendekatan "menerima sertifikat kesesuaian dan lupa tentang keamanan informasi selama 5 tahun". Masalahnya di sini adalah bahwa sertifikasi sistem informasi untuk persyaratan keselamatan adalah proses konfirmasi kepatuhan sistem ini dengan satu atau persyaratan lain. Sertifikat kesesuaian itu sendiri tidak memberikan keamanan dan tidak memberikan jaminan apa pun (terutama jika, setelah menerima sertifikat, lepaskan semua peralatan pelindung, ya).
Pusat pemantauan kami masih sangat muda dan kecil, terutama dibandingkan dengan raksasa dari arah ini, tetapi menurut data kami jumlahnya cukup jelas.
Secara umum, pemantauan peristiwa keamanan informasi adalah penting dan tidak terlalu mahal.
Saya berpidato.
Saya memutuskan untuk mengangkat topik yang sering dibicarakan, tetapi masih diabaikan oleh banyak orang. Ini terutama masalah di kepala.
Hal pertama yang mereka ingat adalah Eternal Blue. Mengapa Dia baru berusia 2 tahun. Dan karena, menurut statistik kami, pada objek tempat kami bekerja, masih ada sejumlah besar node yang terpapar kerentanan ini. Sudah, tampaknya - kasus yang langka, mereka bahkan mengalahkan kerentanan pada saluran federal. Mungkin semua orang berlari, diperbarui. Bagaimanapun caranya, kenyataan jauh lebih menyedihkan. Dan kita berbicara tentang kerentanan 2 tahun lalu. Apa selanjutnya Apakah kerentanan baru akan dihilangkan selama bertahun-tahun juga?
Dia juga menyentuh masalah mengabaikan keamanan "kertas". Segalanya tampak jelas di sini, saya tidak akan memberi tahu Anda lebih ringkas daripada Tuan Fry.
Dia dengan santai menyebutkan satu masalah lagi yang menjadi masalah besar - menyalahkan masalah IS pada spesialis TI. Tetap hanya untuk menyampaikan kepada para pemimpin organisasi bahwa IS adalah bidang pengetahuan terpisah yang luas dan secara umum IT + IS dalam satu orang juga merupakan konflik kepentingan. Bagaimanapun, TI membutuhkan segalanya untuk bekerja dengan cepat dan andal, dan solusi IB dalam hal apapun memakan sejumlah sumber daya sistem tertentu.
Saya ingat publikasi di Habré tentang penipuan dengan tanda tangan elektronik. Mengapa Dan di sini mudah untuk menggambar analogi pusat sertifikasi dengan pusat sertifikasi. Masalahnya sama - klien ingin lebih cepat dan tanpa birokrasi, beberapa pemegang lisensi pergi tentang pelanggan, sebagai hasil dari "sertifikasi pada foto" dan fasilitas lainnya. Tetapi kita akan berbicara tentang layanan berkualitas rendah dari lisensi FSTEC.
Masalah selanjutnya adalah masalah pengembangan komponen sistem informasi yang berkualitas rendah. Masalahnya sangat relevan untuk sektor publik. Dan sebagian karena sistem pengadaan publik. Di sini agen negara mengumumkan tender untuk pengembangan portal. Pemenangnya adalah orang yang menawarkan harga lebih rendah. Di mana harga lebih rendah, ada kualitas yang lebih buruk (biasanya). Ketentuan referensi untuk kompetisi, sebagai suatu peraturan, tidak ditentukan dengan terlalu banyak detail, jadi Anda tidak akan bertanya nanti dari pemain yang lalai. Akibatnya, kita mendapatkan penyakit anak-anak: XSS, SQLi, kata sandi default, dan "kesenangan" lainnya.
Dan hal terakhir - apa yang cukup waktu untuk kinerja adalah masalah pusat data cloud bersertifikat. Untuk pengingat masalah mendesak ini, terima kasih kepada penulis
posting ini. Masalahnya relatif baru dan serius. Ini terhubung dengan fakta bahwa kadang-kadang sulit untuk mencari tahu apa dan bagaimana penyedia benar-benar disertifikasi, dan bahkan jika semuanya baik-baik saja di sana, maka biasanya tidak ada mekanisme untuk memastikan bahwa server virtual Anda benar-benar berjalan pada gugus bersertifikat.
Pada saat yang sama, saya sama sekali tidak mendesak untuk tidak melihat ke pusat data cloud tersertifikasi secara umum. Tetapi perhatikan reaksi penyedia terhadap permintaan untuk menunjukkan sertifikat dan, mungkin, situs itu sendiri diperlukan. Penting juga untuk menentukan tanggung jawab penyedia seperti itu dalam perjanjian layanan cloud.
Vendor
Karena acara kami gratis untuk pengunjung, akibatnya, ada banyak vendor di sana. Untuk yang terakhir, perlu dikatakan bahwa tidak ada banyak iklan langsung dalam pidato mereka. Hampir setiap pembicara dari vendor mencoba memberi tahu audiens sesuatu yang menarik dan bermanfaat, meskipun mereka juga menyebutkan produk mereka.
Saya pikir itu tidak layak menceritakan kembali pidato mereka secara terperinci, yang ingin berkenalan - Anda dapat mengunduh presentasi dari tautan di awal artikel.
Berdiri
Selain presentasi, stan demonstrasi disajikan di lobi Administrasi Primorsky Krai. Live menunjukkan karya pemindai kerentanan, sistem SIEM, solusi IDS / IPS.
Hari kedua
Hari kedua forum diadakan di tempat yang berbeda dan dalam format yang berbeda. Place - Teater Pushkin. Formatnya adalah tabel bundar.
Di pintu masuk, pengunjung disambut oleh seorang penjaga keamanan abad pertengahan.
Stan demonstrasi juga terletak di lobi.
Format tabel bundar menarik karena merupakan format untuk diskusi yang hidup. Misalnya, kepala pusat pemantauan kami, Alexei Isikhara, menegur vendor dengan mengatakan bahwa mereka tidak memperbarui tanda tangan untuk solusi IDS / IPS mereka terlalu cepat. Ke mana ia menerima jawabannya: "Kami akan mencoba!".
Ketika membahas topik "Sertifikasi objek informatisasi", sebuah diskusi terjadi pada topik layanan berkualitas rendah yang disediakan oleh pemegang lisensi FSTEC Rusia. Salah satu pengunjung forum menceritakan kisahnya. Tender mereka untuk penyediaan layanan untuk desain sistem keamanan informasi dimenangkan oleh salah satu pemegang lisensi, yang bahkan tidak ingin datang ke fasilitas untuk bekerja. Namun setelah pemegang lisensi ini dipaksa untuk melakukan pekerjaan langsung di fasilitas, hasilnya buruk.
Keunikan dari situasi ini adalah bahwa dalam hal ini pelanggan layanan mengungkapkan kualitasnya yang buruk sebelum menandatangani sertifikat penyelesaian. Sayangnya, lebih sering masalah teridentifikasi setelah kontrak ditutup. Di sini saya tidak bisa tidak mengatakan lagi tentang pentingnya meningkatkan kesadaran karyawan di bidang keamanan informasi. Sekalipun semua keamanan informasi seharusnya dilakukan oleh organisasi pihak ketiga, harus ada seseorang yang dapat menilai kualitas pekerjaan yang dilakukan.
Perwakilan FSTEC Rusia juga hadir di aula dan menjawab pertanyaan tentang dampak regulator pada pemegang lisensi yang tidak bermoral. Alexey Baranov mengatakan bahwa pelanggaran semacam itu harus ditekan sebagai bagian dari FSTEC Rusia yang memantau kegiatan berlisensi. Dalam kasus pelanggaran oleh regulator atau setelah menerima pengaduan terhadap pemegang lisensi, sebuah perintah akan dikeluarkan untuk menghilangkan pelanggaran. Dalam hal terjadi pelanggaran atau pengaduan berulang, penerima lisensi dapat dicabut.
Ringkasan
Saya menjanjikan secercah optimisme dalam artikel ini. Dan ini dia.
Kami telah memegang forum ini sejak 2009. Dan meskipun dari tahun ke tahun kami terutama membahas
masalah IS dan kemungkinan solusinya, ada dinamika positif. Dan itu terdiri dari kenyataan bahwa hari ini kita sudah membahas masalah yang sangat berbeda dari tingkat yang sama sekali berbeda. Dan masalahnya sendiri akan selalu begitu. Kecil kemungkinan bahwa suatu peristiwa keamanan informasi akan pernah diadakan, di mana para pembicara akan mengatakan bahwa selama tahun lalu tidak ada kerentanan baru telah diidentifikasi, tidak ada yang diretas dan tidak ada data pribadi yang bocor.
Adapun tingkat masalahnya, maka lihat sendiri.
Pada tahun 2009, kami berbicara tentang fakta bahwa dalam organisasi setidaknya seseorang harus diberi tanggung jawab untuk memastikan keamanan informasi. Pada tahun 2019, kita sudah berbicara tentang berapa banyak penjaga keamanan penuh yang tidak kita miliki dalam organisasi.
Pada 2009, kami berbicara tentang perlunya memperkenalkan setidaknya beberapa alat perlindungan informasi dan melindungi data pribadi. Pada 2019, kami berbicara tentang perlunya mengumpulkan log dari solusi ini, membangun korelasi dan melacak peristiwa keamanan informasi.
Pada tahun 2009, kami membawa informasi tentang sistem informasi mana yang harus disertifikasi. Pada 2019, keamanan informasi tidak berakhir dengan penerbitan sertifikat kesesuaian.
Karena itu, terlepas dari semua pesimisme saya dan masalah yang ditunjukkan, ada sesuatu yang perlahan tapi pasti berubah. Yang utama adalah meminta seseorang mendorong lokomotif yang disebut "IB" ini.
PSForum kami baru saja berakhir, dan kami sudah memikirkan bagaimana membuat acara kami selanjutnya menjadi lebih baik.
Tuliskan apa kesan positif atau negatif Anda dari peristiwa keamanan informasi. Acara apa yang diadakan di wilayah Anda? Format mana yang terbaik untuk Anda? Topik apa yang Anda anggap terlalu basi, dan mana yang tidak diperhatikan?
PPSFotografer:
Elena Berezova