RA: В поисках "цифры"

Будучи скептиком в вопросе возможности количественной оценки рисков информационной безопасности, не смог пройти мимо факта, лишний раз иллюстрирующего природу моего "неверия".

Вспомним один из последних громких инцидентов: успешную атаку на RSA. Воспользуемся  кратким описанием "анатомии" атаки и небольшим исследованием ее последствий.

Возможно ли было заранее "просчитать" этот риск и получить цифру "694 млн. долларов"?

Сторонники количественных оценок, для расчета Риска рекомендуют различные формулы и подходы, которые опираются на "классику":

Риск = Вероятность * Воздействие

В этот раз, сознательно, не буду даже пытаться определить Вероятность инцидента, более того, готов принять ее за «единицу» (мы то знаем, что это случится :-)), здесь мне интересно проанализировать возможность определения  величины Воздействия.

То, что инциденты ИБ будут влиять на стоимость акций - очевидно. Даже очевиден характер такого влияния - акции будут падать в цене, да, но это рассуждения в сторону качественной оценки, а нас Бизнес ведь интересует оценка количественная.

На самом-то деле, проблем для такой оценки никаких нет, для этого нужно знать ответ на три простых вопроса:

1.       Когда (дата) произойдет инцидент?

2.       Какая будет стоимость акций компании на указанную дату?

3.       Как отреагирует "биржа"  на сообщение о инциденте?  (т. е. на сколько "упадут" акции в цене: на 1%, или на 10%, а может на 5%).

---

Неужели кто-то не смог определить, что данное безобразие инцидент будет оценен падением на 1.25% в тот момент когда капитализация компании достигнет 55.55 млрд?

PC Security Checklist

Решили набросать небольшой checklist по функциям требующим реализации для защиты ПК/ноутбуков.

С большой благодарностью приму замечания и критику по данному списку. 

Парк развлечений и отдыха

Вы когда-нибудь замечали, как меняется поведение людей, когда они узнают, что их действия записывают?

Представьте огромный Парк с различными аттракционами, кафе, кинотеатрами и разными прочими приятными заведениями. Парк огромен. Места много. Зеленая трава. Специальная крыша: никакого тебе дождя или снега. Всегда только солнце, тепло, а где надо приятная прохлада.

Вы хотите отдохнуть? Провести деловые переговоры? Нет проблем, здесь всегда найдется удобное местечко в удобное для Вас время.

А дети-то как любят здесь отдыхать и резвиться. Если бы не Ваша воля, то они бы от сюда никогда бы и не уходили.

Все хорошо, но есть один нюанс. Что бы Вы не делали (гуляли, говорили, работали, с кем встречались и т.п.)  все Ваши действия будут записаны. Даже будет сделана попытка (часто в ненавязчивой форме) записать Ваши Имя, Фамилию и все остальное, что Вы сообщите, чем похвастаете…

Да не просто записаны, а надежно сохранены. Сохранены и защищены от случайной потери. Большинство записей будет доступно каждому для ознакомления и копирования, причем в любой точке замечательного Парка. А если, вдруг Вам захочется, что то припрятать – не проблема, Вы только  скажите ЧТО и Вам тут же выдадут листок нужного размера, растения специального: инжир называется (также известен под именем смоква или фига)…

Как туда попасть? Найти дорогу в Парк не сложно. Вход бесплатен, разве, что дорогу оплатить придется.

Хотя как я погляжу – Вы уже здесь!

Добро пожаловать в Интернет!

Ответственность за "пиратство"

Свели воедино информацию об ответственность за нарушения в области права на интеллектуальную собственность (см. требования раздела 15.1.2  ISO/IEC 27 002, а, следовательно, и СОУ Н НБУ 65.1 СУІБ 2.0:2010).

При нашей действительности при оценке рисков без этого не обойтись.

Заранее благодарен, за найденные неточности и пожелания.

Фальшивый банкомат. Советы по безопасности.

Две недели назад в Киеве в солидном торговом центре был обнаружен фальшивый банкомат, установленный мошенниками с целью кражи данных платежных карт, с последующим хищением денег.

Эта новость, широко и подробно представлена в Интернете. Наряду с описаниями данного события, можно было встретить и рекомендации о том, как не попасться на удочку мошенников. В силу профессионального интереса эти рекомендации и привлекли мое внимание.

Могу сразу сказать - мне не повезло, все что попадалось мне на глаза, все больше было размышлениями банковских сотрудников о недостатках в управлении  сетями банкоматов и как не странно инструкциями для мошенников.

Мошенникам очень подробно сообщалось, что их аппарат выглядел плохо, что на нем отсутствовали многие наклейки, которые должны быть, в выдаваемом чеке, отсутствовала информация, которая делала эти чеки не правдоподобными, и т.д. и т.п.

Безусловно, авторы рекомендаций обращались  к потенциальным жертвам: владельцам пластиковых платежных карт, но с моей точки зрения, большую полезность, того не понимая, они несли другим лицам.

Очень неплохим выглядит совет по использованию особенностей SMS-банкинга (когда о движении по карточному счету банк  информирует Вас при помощи SMS-сообщений).

Я тоже, настоятельно рекомендую использовать данный сервис там, где это возможно, но в случае с "фальшивым банкоматом" он может оказаться малоэффективным.

И так, рекомендуется в случае "непроверенного банкомата" при первой попытке использования ввести неправильный PIN код, если в течении нескольких минут Вы получите сообщение от банка, что  вам отказано в операции, то все нормально, банкомат настоящий и работает нормально.

Согласен. Все верно, но у меня вопрос, а если сообщение в течении нескольких минут не поступит?

О чем это говорит? Да, ни о чем , так как оно может поступить в течении нескольких часов (время банком, как правило, не регламентируется) или не поступит вовсе (мобильные операторы не гарантируют доставку всех сообщений) .

Что делать владельцу карты? Звонить в банк и блокировать ее? Или бежать в милицию?

Если Вы находитесь в незнакомом месте и у Вас не хватает наличности, помимо возможностей проверки при помощи SMS-банкинга, я бы рекомендовал Вам взять на вооружение еще очень простые три совета:

1. Отыщите отделение  любого банка и воспользуйтесь их банкоматом. Не беспокойтесь о комиссии, помните, что, чисто случайно, мошенники могут фальшивый банкомат сделать похожим на банкомат вашего банка.

2. Если отделение банка искать не охота, подождите пару минут, пусть кто-то перед Вами успешно воспользуется стоящим банкоматом. Это место может быть незнакомо для Вас, но знакомо для других.

3. Если 1 и 2 недоступно (вы находитесь на заброшенной улице заброшенного поселка)  представьте, что Вы просто забыли деньги.

Будьте бдительны! 

Беспечности храбрых поем мы песню

Ну не бывает месяца, что бы от того или иного эксперта не услышать (прочесть), в сердцах сказанное "Ну как же так?!". Речь идет не только о ИБ, а о любой сфере деятельности направленной на "заботу о человеке".

---

Так почему же так происходит? Первое, что приходит на ум:

1. В одном из исследовании, социологами был установлен факт, что уровень доверия «себе равным», гораздо выше чем эксперту.
А разве не так?  Мы всегда способны провести грань и отделить где нас учат, а где поучают? А чем мы руководствуемся при этом? 

2. Наблюдению, что «пока гром не грянет мужик не перекрестится» уже много веков. В свою очередь, хочу обратить на стилистику выражения:  оно скорее всего написано экспертом/исследователем, а не самим мужиком услышавшим раскаты грома.
Несколько лет назад (до изменений правил дорожного движения) в Украине пристегиваться начинали только те, кто испытал на себе или стал очевидцем ДТП.
Чем мы руководствуемся при принятии решения установки железной двери в квартиру? Рекламой? Нет. Мы руководствуем конкретными фактами ограбления конкретного человека (а не телевизионного образа). Реклама нам нужна для поиска самой двери. При этом рекомендации "экранов центральных каналов" и  экспертов - ничто, по сравнению с советом друга.
 
3.  Кто Вам больше поможет "молодой и энергичный" из платной мед. клиники или "старый терапевт"  из районной поликлиники? 
Знания получаемые за деньги лучше усваиваются и больше ценятся, даже если они реально хуже тех, которые  можно приобрести бесплатно. 
Здесь "деньги" могут носить условный характер, кому вы больше поверите оратору на людной площади, куда вы пришли "по зову сердца" под мокрым дождем и снегом, да еще и прождав его несколько часов? Или страничке в Интернете, пару десятков которых вы просмотрели за последний час скучая на работе? 

---

Мы все время пытаемся до кого-то достучаться. Рассказать, посоветовать. Мы тратим уйму своего времени, что бы найти и донести эту информацию, а когда видим равнодушие мы теряемся "Ну как же так?!" 

---

Прочел собою написанное, и сделал для себя три вывода:
1. Не выпендривайся. Будь проще и люди потянуться.
2. Будь реалистом: Ищи что болит, а не то что может начать болеть. Пророки становилась таковыми только если их прогнозы сбывались, но не всегда это случалось при их жизни. Ну а если перспектива манит - пиши и не ратуй!
3. Люди любят когда с них берут деньги.

---

А вообще-то: 
Процесс "оценки и обработки риска" также многогранен и противоречив, как и сущность тех, кто их обрабатывает.

Методика оценки рисков ИБ от НБУ


На выходных просмотрел  проект «Методики оценки рисков информационной безопасности» изданный Национальным Банком Украины.

Хорошо, что у нас не принято указывать автора документа, не то можно было бы смело «ставить крест» на карьере методиста столь замечательного опуса.

При  разработке Методики авторы руководствовались  стандартом ISO/IEC 27005:2008 "Information technology - Security techniques - Information security risk management". Стандарт представляет собой высокоуровневый документ, который  хорош как некое концептуальное ядро, требующее методологического сопровождения, чего, откровенно говоря, не получилось:
крайне плохой (а часто некорректный) перевод текста стандарта, абсолютно неудачное сокращение  текста  (из более 50 страничного стандарта была создана 17 страничная методичка со шрифтом мене убористым, чем в оригинале) привел к результату, когда есть много сомнений возможности практического использования документа, особенно в организациях, где оценка рисков информационной безопасности будет проводиться впервые.

Первичное прочтение вызвало много эмоций, в массе своей - отрицательных. Но все таки хочется быть конструктивным, так как все таки НБУ предпринимает реальные шаги по изменению украинского infosec-ландшафта.

Что не понравилось и что бы хотелось бы исправить:
1. Убила первая фраза Методики, оказывается, что внедрение в банках Украины стандартов ИБ продиктован требованиями Базельского комитета. Даже если это правда, ни ужели на сегодняшний день нет других причин внедрять стандарты ИБ?  Нужна более сильная мотивация.
2. Ввиду того, что обсуждается Методика (а не, например, стандарт) и идет ссылка на нормативные требования Basel II, следовало бы, более подробно остановится на рисках, которые могут возникать в результате нарушений ИБ. Потому как операционные риски, в данном случае могут вызывать - юридические и репутационные риски. А согласно §732 (Базеля): В процессе оценки достаточности капитала должны учитываться все существенные риски, с которыми сталкивается банк.
3. Обязательно должен присутствовать раздел терминологии, который, в свою очередь должен согласовываться с ранее принятыми НБУ стандартами (СОУ Н НБУ 65.1 СУІБ).
4. Проиллюстрировать процессы оценки и обработки рисков графически, сопроводив более подробным описанием.
5. Отдельным пунктом вынести требования по организации необходимого обмена информацией связанной с Рисками ИБ (см ISO/IEC 27005:2008 -  §11 Information security risk communication)
6. Количественные оценки требуют формул. Решение, авторов Методики, о замене формулы ее словесным описанием мне кажется крайне неудачным.
7. Может оказаться полезным введением и пояснением терминов Single Loss Expectancy (SLE), Annual Rate of Occurrence (ARO), Annual Loss Expectancy (ALE), Risk On Security Investment (ROSI), и т.п. Потому как, при выборе банком иностранной методики оценки информационных рисков, желательно не допускать разночтений в терминах при аудите.
8. Почему не анализируются риски связанные с нарушениями в части "автентичності" та  "спостержності"?
9. Проиллюстрировать примерами качественную и количественную оценку рисков.
10. Еще раз критически посмотреть на неиспользованный материал ИСОшного Стандарта.
11. …

Методика оценки рисков ИБ является одним из сложнейших этапов построения СУИБ и за одну-две итерации разработать качественную методику никому не удавалось, тем более в условиях «поля непаханого», каким сегодня выглядит нива ИБ в Украине.
Так, что : «В добрый час».