Кому сообщить об инцидентах ИБ или кому нужна защита персональных данных?

Не секрет, что покопавшись на управляющих серверах бот-сетей можно найти много интересного, но вот что делать человеку, который не желает использовать разного рода ключики в корыстных целях? Можно ли сообщить о скомпрометированных данных их владельцам или собственникам сервисов? Как показал последний скандал с Group-IB, компании далеко не всегда настроены на прием данных об инцидентах.

И вот новое исследование, которое сделали ребята из Украины, говорит о том, что некоторые очень известные компании также не всегда создают систему сбора сведений об инцидентах от «добрый людей». Среди тех кому пытались сообщить об инцидентах: Ebay, Google, LinkedIn, Facebook, MSN, VISA, Mastercard, а также ряд украинских банков. Исследование действительно занятное, рекомендую.

Безопасность терминалов опаты. Диалог на СИТИ-FM

Слушать программу
Про деньги Про деньги
от 23 января
на Сити-FM

Пригласили в программу «Про деньги» на радио СИТИ-FM. Проходила она в воскресенье. Прослушать можно по ссылке вверху. Это моя первая программа в прямом эфире так что не обессудьте. Суть передачи сводилась к безопасности терминалов оплаты и банкоматов. Если с банкоматами все более или менее ясно, то проблемы безопасности терминалов не так очевидны. Собственно об этом сегодняшний пост.

Начнем со схемы работы «терминального» рынка.

Цепочка операторов следующая:

Терминальные сети – Платежная система – Компании, чьи услуги оплачиваются.

Начнем с первых — терминальные сети. Как организована их работа?:

Когда пользователь вводит деньги в терминал и набирает реквизиты для оплаты, вся сумма мгновенно падает на счет поставщика услуг (сотовому оператору, интернет-провайдеру или поставщику услуг ЖКХ) в безналичном виде. Перевод происходит при посредничестве платежной системы, с которой у владельца терминальной сети заключен договор. Наличные остаются в терминале до тех пор, пока собственник приходит освобождать купюроприемник и отвозит деньги в банк. Обычно периодичность выемки денег 1 раз в неделю. Однако большинство терминальных сетей небольшие – несколько единиц, десятков или сотен терминалов. Владельцы таких терминалов экономят на инкассации и предпочитают возить деньги в банк сами (иногда на метро). Себе владелец оставляет небольшие комиссионные, остальные деньги переводит платежной системе.

Теперь техническая часть:

В основном в платежных терминалах устанавливается пиратская Windows Embedded, иногда лицензионная Windows XP Home Edition (которая дешевле). Также собственники не гнушаются установкой ее пиратской копии. Для легальной же работы аппарата требуется лицензионная «Windows Embedded», стоящая дороже, чем «Home Edition». Очевидно, что за счет своих особенностей, Windows Embedded значительнее безопаснее обычной XP. Тоже самое касается пиратского антивируса, который не обновляется.

Почему собственники платежных терминалов не обращают много внимания на информационную безопасность? Можно выделить 2 основные причины:

1) Самые распространенные инциденты – физические взломы терминалов.
2) Жесткая конкуренция

В первом случая все понятно, число физических взломов просто колоссальное. По статистике, подавляющее число терминалов, которые устанавливают на улице, переживают хотя бы один взлом.
Что касается высокой конкуренции, то согласно экономической теории это хорошо. Однако это утверждение справедливо только для тех экономик, где ценят «правила игры» (платят налоги, покупают лицензионный софт, выполняют обязательства и т.п.). У нас же «игра не по правилам» создает конкурентное преимущество. Если владелец терминальной сети сокращает статьи расходов вроде лицензионного ПО, то у него появляется возможность, например, заниматься демпингом и продолжать свой бизнес. «Честный» конкурент с рынка уходит, т.к. его бизнес не работает даже на самоокупаемости. В результате вопросами ИБ терминальные сети занимаются очень слабо.

Отдельный разговор — номер телефона владельца. Он должен быть на каждом аппарате, однако сплошь  и рядом встречаются терминалы без указания номеров телефонов поддержки. Очень удобно для собственника, особенно, если деньги на счет клиента не дойдут (таких случаев немало).

Платежная система.

С платежными системами ситуация значительно лучше. На рынке появились монополии. Сегодня крупнейшие игроки рынка моментальных платежей — ОСМП, с маркой Qiwi (36%,), «Киберплат» (25%), E-port (13%). Они имеют хорошие обороты, прибыль и серьезно вкладываются в репутацию, поэтому инцидентов в этой части цепочки немного.

В результате самым слабым звеном остается терминальная сеть и ее собственник.

Что говорит Закон?

В настоящий момент действует закон «О деятельности по приему платежей физических лиц, осуществляемой платежными агентами». Принимался он с большим трудом. Был редкий случай, когда Дума приняла закон в 3-х чтениях, а Совет Федерации дал отказ, после чего была создана совместная комиссия по доработке законопроекта. В результате закон вступил в действие только с 1 января 2010 года. По сути, этот закон стал первой ласточкой в регуляции этого рынка. К плюсам можно отнести:

• Определение того, что если гражданин внес моментальную оплату через терминал, то свою обязанность по оплате услуги он уже выполнил. И услуга должна быть ему предоставлена.
• Требование к собственникам терминала предоставлять информацию о размере комиссии.
• Требования к выдаваемым чекам.

Раньше эти вопросы регулировались только гражданским законодательством (ГК РФ).

Сейчас принимается новый законопроект, за которым давно и очень внимательно следит сообщество ИБ – законопроект «О национальной платежной системе» (об очередном скандале с которым я недавно говорил). Новый законопроект предполагает отмену закона «О деятельности по приему платежей физических лиц, осуществляемой платежными агентами» и, по сути, платежные терминалы превращаются в один из элементов национальной платежной системы. По этой же причине рынок платежных терминалов начинает выглядеть более «банковским».

Итого

Все-таки технология платежных терминалов очень «нишевая». Сеть платежных терминалов в России разветвлена необычайно сильно. В сравнении с Европой у нас слишком много платежных терминалов и они значительно слабее защищены. Комиссии очень высокие. Все это делает их непривлекательными для оплаты крупных счетов (например, квартплаты). Кроме того, сегодня есть альтернативные более удобные, безопасные и безкомиссионные способы оплаты услуг.

Выбор поставщиков продуктов и услуг по информационной безопасности

презентацияПрактически закончив работу над слайдкастом пришел к выводу, что материал тяжеловат для такой подачи информации, и решил остановиться. В любом случае, выкладываю полный текст:

В России сложно найти две одинаковые службы ИБ. Где-то вопросами ИБ занимается служба ИТ, где-то функцию ИБ возлагают на операционный или производственный департамент, где-то слова «информационная безопасность» вызывают недоумение. Да, это наша действительность. Однако необходимо знать тенденцию, видеть тренд развития отрасли, и понимать куда мы рано или поздно придем? Тренд, на мой взгляд, следующий. В подавляющем большинстве средних и крупных компаний служба ИБ будет отделена от ИТ и встанет под контроль ТОР-менеджмента. Руководитель службы ИБ станет, в первую очередь, МЕНЕДЖЕРОМ, человеком бизнеса, чья основная задача — управлением рисками. Рынок услуг ИБ будет расти и расти быстро вне зависимости от новых законов, требований регуляторов, да и кризисы не помешает развитию рынка. Также будут меняться предпочтения отдельных участников рынка, которые стараются «все делать своими силами» (риск-менеджмент исключает такой подход).

К чему я виду? К тому, что сталкиваться со всякими консультантами, интеграторами и еже с ними, придется все чаще. А значит, будет полезно получить инструментарий по работе с ними.

На сегодняшний день, по моей оценке, 9 из 10 выборов консультанта, к сожалению, осуществляются просто непрофессионально. Более подробно я об этом говорил в предыдущем слайдкасте.

Собственно сегодняшний слайдкаст материал о том, как наиболее профессионально отбирать поставщика услуг ИБ. Вернее о том, какая модель прошла проверку временем и о том как ей вообще пользоваться.

Начнем с начала

Выбор поставщика услуги это такой же бизнес-процесс как и любой другой, а значит цивилизованный мир уже давно придумал общие и частные рецепты, как это делать наиболее эффективно. Опыт и практика у мирового сообщества уже есть, нужно лишь переложить существующие рекомендации на нашу специфику.

Известный для нашего рынка, благодаря одноименному «циклу» профессор Деминг, еще пол века назад сформулировал свои «14 принципов», которые легли в основу серии ISO 9000 (Стандарты менеджмента качества). На основе этих принципов выросла вторая экономика мира (да и первая тоже). Так вот, 4-й, из этих принципов, звучит так:

Покончите с практикой закупок по самой низкой цене. Вместо этого, наряду с ценой, требуйте серьезных подтверждений ее качества. Уменьшите число поставщиков одного и того же продукта путем отказа от услуг тех из них, кто не смог статистически подтвердить его качество. Стремитесь к тому, чтобы получать все поставки данного компонента только от одного производителя, на основе установления долговременных отношений взаимной лояльности и доверия. Целью в этом случае является минимизация общих затрат, а не только первоначальных.

Другими словами, вместо попыток строить долговременную стратегию бизнеса на основе низких цен продажи и/или закупок, Э. Деминг советует:

1) Свести к минимуму совокупные затраты;
2) Стараться работать с 1 поставщиком.

Вот так!

Что такое совокупные затраты? Совокупные затраты – это не только цена товара, а еще и затраты на контроль, на исправление дефектов, плюс разнообразные риски.

Формулу можно представить следующим образом:

(Зс = Совокупные затраты) = (Цк = контрактная цена) + (Зк = затраты на контроль) + (Зи = затраты на исправление дефектов) + (R = риски – финансовые, репутационные и т.д.)

Совокупные затраты нужно посчитать по каждому поставщику, а после этого, если рассматривается много потенциальных поставщиков, поделить их на группы:

Группа А, те у кого Зс ≈ Цк
Группа В, те у кого Зс ≈ 1,2 Цк
Группа С, те у кого Зс ≈ 1,4 Цк
С группами D, E, F и G – не работают в принципе.

После деления поставщиков на группы следует их разделение по направлениям сотрудничества.

Например:

  • для аутсорсинга важных процессов привлекается только группа А,
  • для аутсорсинга менее важных процессов достаточно группы В,
  • для закупок в режиме быстро и качественно только группа А,

и т.д.

Отсюда следует объяснение, почему в Европе и Штатах проводится на порядок меньше тендеров, чем у нас. Все дело в том, что заказчик выбирает только одного поставщика и планомерно «доращивает» его до требований своего потребителя. Иногда оказывается выгодно выбрать уже очень компетентного поставщика, а иногда выбрать перспективного и «заточить» его под себя (все зависит от показателя совокупных затрат). И тот и другой вариант возможен, т.к. контракты выстраиваются на долгосрочную перспективу.

Отсюда же вытекает принцип «выйграл-выйграл», когда поставщик и заказчик становятся партнерами, а не стремятся «прогнуть» друг друга по цене.

Сделаем небольшое отступление

Предложенная схема, работы с поставщиками используется не только в General Electric, Toyota, Mercedes или Shell, точно по такому же принципу отбирают поставщиков и под государственные контракты в ФРГ, США, Японии, Канаде и т.д.

А теперь вспомним наш замечательный 94-ФЗ о госзакупках («О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд»), который приняли в 2005 году. Суть этого закона сводится к необходимости государственных закупок по самой низкой цене.

Всего в законодательстве определены две основные процедуры: аукционы и конкурсы.

В Аукционе единственный критерий выбора – цена. Проводить аукцион просто, и эта процедура используется для закупок типовых вещей. Хотя даже тут понятно, что самые дешевые стол и стул очевидно не прослужат долго и через год-два их придется закупать вновь.

Если речь идет о технически сложных товарах или услугах, то организуется Конкурс/Тендер. Здесь заявки претендентов оцениваются по специальной системе баллов. Эта система учитывает и цену, и качество, и сроки и т. п. Но цена все равно главный фактор.

А теперь ответим на вопрос:

Как эта схема согласуется с принципами Деминга?

Да, НИКАК!

Руководствуясь этой схемой, получается, что наше государство в принципе не должно покупать качественных технически сложных товаров и услуг. Если даже исключить всю коррупционную составляющую (а будем правдивы, воровать меньше не стали) государство будет по прежнему покупать дорого. Дело в том, что цена контракта будет низкой, а Зс останутся высокими, т.к. за низкую закупочную цену придется расплачиваться, обслуживанием, сопровождением, модификацией и т.д.

Что ж, это все о выборе поставщиков в общем…

Чем описанная выше схема выбора поставщиков интересна для закупок в области ИБ?

Итак, оценка поставщиков производится ДО ПОДПИСАНИЯ КОНТРАКТА, ее Цель — оценить соотношение контрактной цены и совокупных затрат.

Оценка производится косвенно по специальным оценочным анкетам. В крупных компаниях это около 2000 вопросов – частных критериев оценки. Некоторые опросники крупных закупщиков (Boeing, Ford, Wal-Mart и т.д.) при желании можно найти в интернете и адаптировать под себя. Если ваша компания небольшая, то вы можете выбрать свою систему оценки. Тем, кто проводил аудиты ИБ будет проще, здесь нужно выбрать критерии и свидетельства оценки.

Критерии лучше сразу выбирать таким образом, чтобы было понятно на какие групповые критерии в формуле они влияют:

(Зс = Совокупные затраты) = (Цк = контрактная цена) + (Зк = затраты на контроль) + (Зи = затраты на исправление дефектов) + (R = риски – финансовые, репутационные и т.д.)

Критериями могут быть надежность решений, удобство эксплуатации, расторопность поставщика, способность поставщика доработать решение в ходе проекта и т.п. В зависимости от компании и поставленной задачи таких критериев может быть от 10-20 до несколько сотен. После того как критерии определены, нужно субъективно расставить веса по каждому критерию в зависимости от его значимости и приступить к сбору свидетельств. Часть свидетельств можно легко собрать задав короткие вопросы самим поставщикам, а некоторые (вроде «расторопность поставщика») проще оценить исходя из собственного опыта, если такового не достаточно, то можно поспрашивать друзей, знакомых, да и просто «коллег по цеху». Получить 3-5 отзывов и сделать вывод.

Итак, критерии разработаны, веса по каждому критерию расставлены, свидетельства собраны, выводы сделаны, осталось проанализировать результаты, и если необходимо сгруппировать поставщиков. Проще всего взять шкалы в процентах (от 100%) или 90-балльную VDA (к ней привыкли немцы).

Группируем поставщиков (по 100% шкале):
1. Группа А — ≥ 92%
2. Группа В — ≥ 80%
3. Группа С — ≥ 65%
4. Группа D — ≥ 50%

Традиционно в группу А войдут 1-3 поставщика. В группы B и C попадет бОльшая часть рассматриваемых поставщиков. С поставщиками группы D, большинству средних (и уж тем более, крупных компаний) лучше не работать.

В результате мы оценили поставщиков и разделили их по группам. Если вы рассматривает небольшое число потенциальных поставщиков, то соответственно разделять по группам их не нужно.

Теперь если у вас несколько направлений сотрудничества по ИБ, то можно для каждого направления определить свою группу (или поставщика).

В итоге

Что ж, с таким анализом можно и проект защитить и деньги быстрее выделить, да и с профессиональной точки зрения это выглядит значительно лучше, чем «Ну… по деньгам победили вот эти». Предложенная модель будет понятна любому грамотному руководителю или собственнику. В результате получается, что навык оценки поставщика по предложенной схеме добавляет еще одну монету в копилку бизнес-ориентированности службы ИБ.

Теперь коротко.

Последовательность работы с поставщиками:
1. Разработали систему оценки поставщиков;
2. Получили ценовое предложение;
3. Оценили по групповым критериям Цк, Зк, Зи и R;
4. Выбрали и утвердили поставщиков по направлениям сотрудничества;
5. Разработали меры по управлению рисками;
6. Начались поставки (работы по договору) – ведем мониторинг по R;
7. Анализируем результаты мониторинга и принимаем управленческие решения.

Тезисы:
• Руководитель службы ИБ – Риск-менеджер.
• Поставщик выбирается не по цене контракта, а по показателю Совокупных затрат.
• Навык оценивания поставщиков поднимает ценность Руководителя службы ИБ для бизнеса.