Ну начнем. Пришел я значит в больницу. На дворе июль 2024 год. Там уже три месяца как выделили несколько объектов критической информационной инфраструктуры, но не знали что с ними делать. Цитирую: я читаю 187 - ФЗ, но не понимаю, как его реализовать. За обеспечение безопасности ЗОКИИ на 0.25 ставки были устроены два программиста, но они ничего не делали, т.к., со слов одной: "вот пришел к нам запрос от регулятора, что - то просят, а я понять не могу, о чем вообще речь. У меня есть специальная папочка, я беру её и пуляю им. Пусть сами разбираются". К слову, в папочке под полтинничек экз. документов, приказов и прочего. БОльшая часть из которых потеряла актуальность. Но из - за всеобщей расхлябанности ребята просто не знают, как СУИБ должна быть организована и работать.
Я несколько дней потратил на ознакомление с документацией, составил план действий. Первичный конечно же. Среди первых шагов выявил необходимость реализации запрета подключения личных устройств к АРМам - клиентам. Столкнулся с отсутствием вообще какой - либо документации, хотя бы в виде технического паспорта на ИС. Сколько в ИС АРМов? "Ну примерно......" и начиналось гадание на кофейной гуще. Окей. Сколько коммутаторов? "А это тебе ещё зачем? вся информация обрабатывается на серверах". Но предоставить доказательства этого, никто не мне не торопился.
Ну да ладно. В моем понимании работа должна была быть реализована так: я ставлю в известность начальника о какой - либо необходимости, мы это перетираем, составляем "дорожную карту" (т.к. организация большая, только клиентов более 2 тысяч) и с этой точки пляшем.
Но у начальника было другое мнение. Забыл упомянуть. Я как спец по инфобезу числился в отделе информационных технологий. Для тех, кто задаст справедливый вопрос, а как же "конфликт интересов", отвечу: он был. То, что необходимо было реализовать - очень сильно мешало. Соответственно, я разрабатываю проект, а начальник его отвергает. Мол, это усложнит работу.
Прихожу к начальнику. А он такой - да какой запрет флэшек? Ну давай как - то без этой паранойи. В его кабинете сидел один из программистов и он мне задал вопрос с подковыркой, мол, вот запретим мы флэшки, нам тут будут звонить отовсюду, мы что, будем здесь сутками сидеть и отвечать, почему мы осложняем людям работу? Вообще-то людям нужно информацию с флэшек кидать на комп и обратно.
Для этой организации это было нормой.
Это было первым звоночком того, что там лютое очко и работы нормальной не будет. Именно тогда нужно было сказать: окей, вот заявление, увольте меня одним днем и до свидания. Но задачи были сложными, плюс нужно было как - то доносить о необходимости все же внедрять защиту информации.
Ну да ладно. Через неделю я заболеваю короной, ухожу на больничный, а когда возвращаюсь, коллега мне говорит: Автор, ты сейчас очешуеешь!
Случился несанкционированный доступ к информационной системе.
В условиях тотального разгильдяйства, заведующий отделением передал подчиненной на время своего отпуска логин и пароль от своей учетной записи в ОС и в МИС . Да, там разные учетки. Через некоторое время подчиненная увольняется.
Проходит пол года, она уже не работая в учреждении, приводит пациентку частной клиники. Одевает белый халат, идет в ординаторскую приемного покоя. Там естественно никого. Садится за рабочее место, в котором торчит ЭЦП. Оформляет пациентку частной клиники и экстренно направляет на КТ.
Подписывает это все дело вставленной ЭЦП. Выходит так, что заведующий отделением оформил пациентку, а другой врач это дело подписал.
Все вскрывается в тот момент, когда эта бумага ложится на стол зама. главного врача по хирургической части.
Он смотрит, проводил осмотр зав. отделением, который находился в отпуске!
Что думаете случилось, когда дело дошло до главного врача? Аа он принял решение все это дело замолчать. Об этой ситуации гудела вся больница, свидетелей была орда. Я говорил начальнику, что необходимо это дело провести официально, ибо есть много людей, которые захотят по той или иной причине это все вывести на свет. Но он был неприхотлив. Через время пришел запрос из ФСБ по этой ситуации. Я лично проводил "внутренне расследование" и отправлял отчеты.
По итогу - тишина.
Да, здесь конечно ситуация не касается личных накопителей. Здесь она касается безалаберности и всеобщего наплевательства. С тем же успехом человек мог получить доступ к любому компьютеру и слить любую информацию из обменника. А её там много.
Следующая ситуация касалась личных накопителей. Когда встал вопрос, а какого хрена люди приходят с личными устройствами и подключают их. Мне был ответ - ну там же антивирус есть, что случится?
Как пример: к нам в отдел пришел с претензией врач. Говорит, я скачал себе приблуду, пытаюсь её установить, а она не устанавливается. Вы тут чем занимаетесь вообще? Вы должны помогать, а вы только работать мешаете.
Ко мне его привел программист, который первым попался ему на глаза. Я стал задавать ему вопросы. Мужичек сначала вскипел, мол, а че это ты мне тут вопросы свои задаешь? Мне работать нужно. Давай устанавливай мне приблуду и я пошел.
Пришлось немного "обломать" ему рога. Объяснить, что он вставил флэшку в АРМ, на флэшке был троян, этот троян скопировал с его рабочего места конфиденциальную информацию и слил в сеть. В данный момент я провожу внутреннее расследование, готовлю материалы для отправки в ФСБ, поэтому и задаю вопросы. Он не поверил, я показал ему старое письмо с грифом "дсп" от конторы, показал мельком. Говорю, можем не общаться, глав врач дал указание провести расследование и результат ему на стол. Я просто пишу служебку, что такой - то отказался, а результаты я сам накопаю. Мужичок притих, а я ему говорю - ну вот так могло бы оказаться.
Этот индивид дома скачал архиватор который ему "удобнее", скинул его на флэшку, которую он пихает вообще везде, принес на работу, а в архиваторе троян. АВЗ сработала и удалила его. А человек даже не поняв, что произошло, пришел "качать АСУшников", ибо бездельники.
Я снова поднял вопрос о запрете подключений личных устройств, но у начальника как обычно "не было времени" проводить работы по этой теме.

Переходим к МВД.
Высшего образования у меня нет. Недавно на собеседовании мне задали вопрос: а вот почему тебе уже 30 лет, а ты до сих пор вышку не получил? Вопрос честно говоря, поставил меня в ступор.
1. Мне диплом ради диплома не нужен. Мне нужны знания, которые будут подкреплять мой опыт, и которые я смогу применять на практике, а не работать водителем такси с высшим образованием. Да и вообще у меня не было возможности получить вышку.
2. Со мной в одном кабинете работали два человека. Обоим по 45 лет. ВО у них тоже нет. Это не мешает им быть как минимум хорошими специалистами в своем деле. Как минимум.
Как - то искал работу. На ххру была вакансия в МВД, связанная с ЗИ. Отправил им резюме. Мне звонит девушка, говорит - ой, а у вас вышки нет, да? Ну тогда мы не сможем вас взять. У нас только с вышкой (с того момента прошло более года, вакансия до сих пор висит). К слову, в данный момент меня берут на должность, где точно также требуется наличие высшего образования. Но т.к. у меня опыт работы в сфере ИБ более трех лет и в следующем году я получаю вышку, то берут так. Ибо там требуется специалист, а не диплом.
До этого у них работал мальчик. Просто мальчик. Закончил мальчик какой - то институт по специальности ИБ и..... сидел антивирус обновлял. Что такое техпаспорт? Да зачем он нужен. Я и так знаю, что и где у меня стоит. Писать политику ИБ и внедрять ее - это вообще был недосягаемый для него уровень. Делал документы по строго по шаблону. Но потом пришла проверка из ФСБ и мальчику говорит: ты уху ел? С какого перепугу у тебя журнал учета СКЗИ в электронном виде? Почему у тебя координаторы не учтены? Мальчик до увольнения ходил в непонятках, зачем какой - то журнал вести вручную, если уже все давно в электроне? Ведет он таблицу и чего с ней будет?
И много других вопросов. Недолго он там проработал. Первый штраф - и ушел на вольные хлеба.
Зато у него диплом о ВО есть.

Ну и напоследок самая мякотка. Районная администрация. Все как обычно. Начальник АСУ не осложняет себе жизнь какими - то защитами конфиденциальной информации, а руководитель вообще очень слабо разбирается во всех этих ваших интернетах. Вот есть АСУшник, он пусть и разгребает. Ну паренек Валера и разгребал, как умел.
Все началось с того, что Валера без собеседования пригласил меня работать. Но из - за "реорганизации", пока что не мог найти помещение и рабочее место.

Но через время собеседование все таки понадобилось.
Прихожу, разъясняют. Нужно с нуля организовать СУИБ (ПДн) в администрации и продумать момент, где в ближайшем будущем будут присоединены ещё пара организаций в виде ЗАГСа и управления хозяйством. Но они будут выведены как отделы, просто территориально находятся в за пределами границы контролируемой зоны. Также необходимо выполнять работы, связанные с защитой гос. тайны. Лично для меня ничего нового или сверхсложного.
Мне задают вопрос.
Вот у нас есть подрядчик, связанный с защитой информации, он говорит, что может организовать все наши ИСПДн, ИС, СКУД в одну ИСПДн. Насколько актуальна эта информация и сможете ли это сделать сами??
Я понимаю, что подрядчик просто хочет срубить баблишка на работе, не имеющей смысла, но в слух не проговариваю.
Говорю - нужно вникнуть в суть работы, сделать проект. Но самое важное - определить цели.
Собеседник онемел, в глазах пустота.
Ну да, хороший вопрос. О целях мы как - то не думали - и сидят переглядываются с сис. админом.
Далее меня "сшибают" с ног вопросом о том, как я буду строить им СУИБ, с учетом того, что нужно выполнить требования регуляторов, но при этом "не уйти в бюрократию, чтобы все работало быстро, без ограничений".
Сопоставив два факта, а именно то, что передо мной типичный айтишник и то, что он явно плавает в теме ИБ, говорю: прежде чем ответить, мне необходимо задать некоторые уточняющие вопросы.
К слову, были идиоты, которые не давали мне задать вопросы и собеседование завершалось по моей инициативе, досрочно. Я думаю вы согласитесь с тем, что если на собеседовании тебе запрещают задавать вопросы, то это как говорится "ред флаг" и не стоит тратить на них время.
Первым делом я задал вопрос об ответственности. Кто будет нести ответственность, допустим, при утечке данных из ИС. В ходе диалога выяснилось, что за это буду нести ответственность я, как профильный специалист, но все меры по СУИБ согласовывать будет нач. АСУ. "А утечек данных у нас не было никогда. Ну если есть какие - то нарушения, то мы на них закрываем глаза. Вот у нас даже в СЗИ от НСД журналы отключены. Чтобы проверяющие не видели, что у нас тут делается".
Второй вопрос был посвящен этим самым журналам. В случае какого - либо инцидента, как мы будем устанавливать злоумышленника и степень ответственности пользователя ?
Человек явно не понял мой вопрос, ибо потребовалось прояснить, что ещё за "злоумышленник" такой. Ведь у них таких никогда не было.
Я прояснил. Заодно выяснил, что человек глубоко плавает в луже, ибо даже понятие "модель угроз безопасности" ему не знакомо. Это айтишник со стажем более 10 лет работы, который в том числе "обеспечивал" защиту персональных данных в ИС. Ну как обеспечивал? С его слов, документация по ИСПДн неактуальна уже лет 5.
В конечном итоге я задал вопрос по флэш накопителям и подключениям личных устройств к АРМам. Этот вопрос я задаю всегда. Он ярко демонстрирует состояние дел внутри организации. Да, находятся индивиды "ачотакова, у нас нормально с этим все, никто ничего не вставляет". В этом случае мне ответом было то, что у них "никто ничего не подключает". И улыбочка. Под столом стоял системный блок в котором торчал флэш накопитель. Да, вы можете возразить, "а может это рабочая флэшка". Но я думаю, что нет. Исходя из состояния дел в организации.
Мы попрощались и человек пропал. Я через две недели дозвонился до него, он не узнал меня, либо сделал вид что не узнал. Не важно. Сказал "перезвоню" и исчез. Я все же дожал его. Через ххру написал, что жду от него ответ, он в этот же день перезвонил и признался, что мою кандидатуру не рассматривает, ибо "у нас тут будет не система безопасности, а бюрократия какая - то, все станет сложнее и будет работать медленнее". К тому моменту я взвесил все "за" и "против", и уже не собирался туда идти. Но все же сторонник обратной связи. А всякие наглые Валеры пусть динамят кого другого.
Забыл упомянуть. Во время разговора выяснилось, что парнишка все контейнеры эл. подписи держит.... в реестре. "Мне так удобнее". Для тех кто не сталкивался. Когда приходит проверка из ФСБ, они за это натягивают. Разбирать почему нежелательно хранить в реестре - не буду. А то вылезут свидетели секты "ачотакова, даничонебудет, унасжнебылоникогда", а я даже смотреть в их сторону не хочу.

В общем, вот такой получился длиннопост. Поэтому когда автор сказал, что звонил девушке в МВД и она ему буднично ответила "хорошо" - нет ничего выдающегося. Девушка гуманитарий, в этих ваших интернетах скорее всего шарит на уровне включить впн и зайти в инстаграмм. А ситуация такая же, как с Валерой из Администрации.
Начальник не понимает, а Валеру не дрючат. Либо он хитро выкручивается. Вот и все.

Пришел домой. Было поздно. На следующий день, то есть сегодня, решил воткнуть флешку себев ПК, смотрю — а на флешке в корневой папке просто ярлык с названием флешки. Каюсь, на автомате пытался открыть ярлык. И тут начал понимать, что поймал вирус, благо, Windows11 с встроенным антивирусом заблокировал мои необдуманные действия. В журналах вот это:

Позвонил сотруднице — предупредил, что, скорее всего, у них на компьютере вирус и надо бы проверить, потому что после посещения у меня система заблокировала подозрительный троян. Вместо ожидаемой реакции, услышал её спокойный, монотонный ответ: "да, хорошо", как будто ничего страшного не случилось, и будто ей вообще не хотелось разговаривать. Я надеюсь, что-то будет предпринято...

Вот сижу и думаю. А потом еще думаю. И еще думаю. Я бы мог грешить, что это я его подхватил сам еще до похода в отделение — и такой вариант был бы намного лучше. Но покоя не дает, что есть полная уверенность, что ничего вирусного не было во флешке ранее. Страшно ведь. Что это за троян, как он долго там у них в системе, что уже могло случится из-за этого — это ведь критически важная структура со многими данными людей.

P.S.: Dr.Web Cureit определил его как LNK.Starter.56. Файлы я восстановил, вирус закинул их в папку с названием "-" и сделал папку системным (по умолчанию скрытые, невидимые).