НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Обмен данными по ИБ-инцидентам и координация ИБ-усилий в России

Андрей Колесов
20.05.2016 09:52:20

Вчера Валерий Васильев в своем посте Особенности сегодняшней корпоративной ИБ "у них" написал о такой тенденции:

Цитата
Совсем недавно клиенты этого ИБ-вендора (и это типично и для клиентов других вендоров) были закрыты, прежде всего от других компаний-клиентов, в части обмена информацией об ИБ-инцидентах.

Всего за два-три года ситуация изменилась: заказчики стали понимать, что все они "плывут в одной лодке". Чтобы противостоять киберугрозам, они создают открытые общественные каналы обмена информацией о киберугрозах и инцидентах, такие как National Cyber-Forensics & Training Alliance (NCFTA). Они делегируют туда специалистов, которые работают в одном офисе плечом к плечу, быстро распространяя актуальную ИБ-информацию, доводя ее в том числе и до менеджмента компаний.

Создаются также неформальные каналы общения между ИБ-специалистов – чаты, электронная почта… Сотни профессионалов за считанные минуты распространяют по ним информацию о зафиксированных ими инцидентах (например, фишинговых письмах).


Вчера же с отчетом о работе перед журналистами выступили представители Центра информационной безопасности компании "Инфосистемы Джет" (Центр через несколько дней отмечает 20-летие, поздравляем!). В частности, интересный доклад о ситуации и тенденциях ИБ-рынка сделал руководитель отдела консалтинга ЦИТ Андрей Янкин. И в нем он рассказал ровно о такой же тенденции в России.

Речь идет о создании центров типа CERT (Computer Emergency ReadinessTeam)и SOC (Security Operations Center) – ведомственных, коммерческих. В качестве конкретных примеров упоминались FinCenter (для банковской системы под эгидой Центробанка) и ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, для госструктур под руководством ФСБ).

Но, как можно было понять из слова Андрея Янкина, процесс создания такой "коллективной системы безопасности" пока находится в начальной стадии.
Основная причина нежелания организация делиться данными о своих инцидентах – недоверие к "центрам", в том плане, насколько те способны обеспечить анонимность участникам. А "светить" своими проблемами никто, естественно не хочет.

Проблемой тут является еще и то, что в подавляющем числе случаев причиной инцидентов являются нарушения нормативных требования со стороны потерпевших, то есть они могут подвергнуться еще и наказанию (примерно, как сообщая о своем ДТП в подобный "центр координации", вы еще и укажете, что были в нетрезвом состоянии).

Судя по всему, тут тон может задавать в первую очередь ЦБ, который может вполне перейти от добровольной сдачи информации об ИБ-инцидентах к обязательной.

Комментариев: 6

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

21.05.2016 00:35:43

А еще непонятно кто будет финансировать такой центр. Сама по себе это убыточная деятельность

21.05.2016 08:14:20

Почему убыточная? С таким же успехом можно сказать, что охранные предприятия убытны.
Как может быть деятельность убыточной? Она или есть (приносить прибыль), или нет (не приносит).

Финансируют, скорее всего, пользователи. Как обычно smile:-)
FinCenter - банки (через ЦБ, которые собирает с них деньги)
ГосСОПКА - все налогоплательщики

Сложнее с чисто коммерческими - тут пользователей не заставишь платить. Нужно предложить адекватные услуги.

21.05.2016 12:59:41

Аналогия нерабочая, т.к. охранные предприятия в первую очередь предотвращают инциденты, а CERT их выявляют. И охранника видно, а что такое "управление инцидентами"? Если мои ИБшники хотят выявлять инциденты значит они плохо работают - не могут их предотвратить?

Хороший пример убыточного CERT (единственный коммерческий CERT в России) - Group IB https://roem.ru/06-02-2015/183263/group-ib/
Это очень просто - когда организация делает что-то что сейчас не нужно рынку в таком количестве и\или качестве. Убыток покрывается кредитами или инвестициями

21.05.2016 13:13:30

Мы тут, кажется, пытаемся обсуждать какие-то азы бизнеса. Если бизнес успешный (есть спрос), то оно живет и процветает, если нет - умирает.
Понятно, что для старта бизнеса нужны инвестиции. Но в целом бизнес существует не на инвестиции (их нужно отдавать!), а на деньги клиентов.
А кто будет давать инвестиции (в том числе кредиты) под заведомо проигрышное дело?

Если вы откроете охранное предприятие в Антарктиде, то, скорее всего, прогорите. А в Москве - может быть. получите прибыль, особенно, если дружны с главной Национальной гвардии smile:)

21.05.2016 13:34:50

Надо различать бизнес (генерирующий прибыль стартап). В ИТ много стартапов успешно придурившихся бизнесами -
это проявление карго-культа и усилий СМИ по воспеванию "милллиардов-миллиардов в ИТ". Которые многим строителям-нефтяникам-другим в общем-то простым конкретным бизнесменами кажется протяни руку и вот они. Классический пример http://www.rbc.ru/opinions/own_business/16/02/2016/56c2033d9a794732800f1cfb­

Кстати, можно написать запрос в Груп ИБ какой банк их кредитуетsmile:)

21.05.2016 14:27:41

Не очень понятно, о чем у нас разговор. Бизнес - это риски, в которых можно и проиграть. И что из этого?

Цитата
Кстати, можно написать запрос в Груп ИБ какой банк их кредитует


Напишите. И расскажите о результатах smile:-)

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии