Кибербезопасность России держится над бюрократической бездной - спасибо ФСБ за это

Сразу скажу, что кибербезопасностью всё не так уж и плохо. Но нынешняя spez-operazionnaya обстановка заставляет обратить пристальное внимание на этот вопрос. Лучше заранее проверить слабые места на наличие проблем, чем потом осуждающе вытряхивать из государственных штанов последствия ошибки.


Меня в комментариях к недавнему посту (извиняюсь за ссылку на Дзен-канал) спросили, сколько же тратят на VPN западные госкомпании? Я начал искать и не нашёл ответа. Пришлось побеседовать со знакомыми безопасниками, которые много удивительного рассказали. Далеко не всё понял, но как получилось запомнить и записать, передаю вам. Думаю, тут на Пикабу много специалистов, поэтому ваше мнение, дополнения и критику будет важно услышать в комментариях.


Что такое VPN? Virtual private network - виртуальная частная сеть. Проще говоря - это возможность безопасно обмениваться информацией, не выкладывая её куда-то в общий доступ. Например, если сотрудник сидит на удалёнке у себя дома и ему нужно подключиться к облачному сервису, который находится на серверах компании.


Важно! VPN НЕ гарантирует полную безопасность. Он лишь защищает передачу данных, но можно, например, взломать компьютер пользователя, который сидит дома на удалёнке, и через него воспользоваться внутренними ресурсами компании.


Почти весь мир пользуется либо VPN решениями от топ-4 брендов: Cisco, CheckPoint, Fortigate, Palo Alto. Либо это облачные VPN IPSEC (Azure, AWS, GKS), либо это в принципе какой-нибудь опенсорс на базе OpenVPN. Наши коммерческие организации тоже отдают предпочтение вышеперечисленным вариантам. Интересно, почему?

Кибербезопасность России держится над бюрократической бездной - спасибо ФСБ за это VPN, ФСБ, Информационная безопасность, Кибервойны, Управление, Иерархия, Бюрократия, Госструктуры, Государство, Длиннопост

Российское правительство, как всегда, идёт своим путём. У нас есть свои скрепные "Континент" и ViPNet. Они точно так же сделаны на базе Линукса и Опенвпн, только в качестве шифрования используют ГОСТовый алгоритм. И, конечно же, сертифицированы через ФСБ (точнее, через специальные центры, которые следуют протоколам спецслужбистов).


Ни один западный сервис для работы с российскими госслужбами не сертифицирован. ФСБ, очевидно, не хочет показывать западным компаниям ключевой элемент криптографии, которому должны проктолы ВПН соответствовать - таблицу подстановки. Западные компании не хотят раскрывать свои внутренние алгоритмы и протоколы. Поэтому все полтора-два миллиарда, которые расходуются на защиту коммуникаций госучреждений, уходят в две-три российские конторы.

Кибербезопасность России держится над бюрократической бездной - спасибо ФСБ за это VPN, ФСБ, Информационная безопасность, Кибервойны, Управление, Иерархия, Бюрократия, Госструктуры, Государство, Длиннопост

А как в западных странах? Я нашёл много коммерческих предложений VPN for government, но никаких больших централизованных закупок. Возможно, конечно, я не знаю, где искать в англоязычных источниках такую информацию.


Но из общения с безопасниками и просмотру офферов у меня сложилось впечатление, что каждая госструктура в западных странах сама выбирает себе поставщика VPN, исходя из рекомендаций (это важно!) и своих представлениях о необходимом уровне защищённости.


При этом западные VPN-сервисы не должны сертифицироваться у конкретных спецслужбистов. Они регулируются своей деловой репутацией, оценкой профессиональной среды, стандартами ассоциаций, проверками коммерческих центров и саморегулируемых организаций и (еще раз) рекомендациями от спецслужб о необходимых элементах защиты.

Кибербезопасность России держится над бюрократической бездной - спасибо ФСБ за это VPN, ФСБ, Информационная безопасность, Кибервойны, Управление, Иерархия, Бюрократия, Госструктуры, Государство, Длиннопост

Очевидно, что монолизация рынка приводит к ухудшению качества и увеличению цены. Так же понятно, что единое простое решение может быть более защищенным, чем зоопарк из различного софта. Так какой подход лучше? Тут мы подходим к ключевой проблеме, которую я обозначил ранее.


VPN закрывает только малую долю проблем безопасности. В России, к сожалению, вся инфраструктура безопасности дырявая, непатченые сервисы, нет проверки исходных кодов, контролеры доменов и политики не настроены, операционные системы работают по дефолту в большинстве организаций и прочее, прочее, прочее.


Причина этого - бумажная безопасность важнее, чем реальная. Любая госструктура озабочена только тем, чтобы соответствовать протоколам и проверкам, которые им централизовано назначают их соответствующих служб. Но качество этих стандартов безопасности крайне низкое.


Кто идёт на работу в айти-безопасность госструктуры? Зарплата... 30, ну 40 тысяч. Если станешь начальником, то 50-60к. Квалифицированный специалист в коммерческой фирме за такие деньги даже задницу себе чесать не будет.


А теперь добавим еще кривое распределение ответственности. Если ты, работая безопасником в госструктуре, предложишь какое-то новое и качественное решение, то на тебя ополчатся там все. «Зачем суетишься, нагнетаешь, создаёшь всем сложности, если приказа не было? Вот бумажка сверху придёт, тогда и будешь работать!» Но если что-то произойдет, то безопасника оштрафуют, хотя он мб и предлагал заранее решение.


Не нужно идеализировать Запад. Там в госструктурах похожая ситуация, но из-за того, что в целом рынок больше, богачее, менее централизован и с большим числом внутрипрофессиональных связей, то среднее качество там выше. Хотя всё равно безопасность страдает.


Что мы получаем в российских госструктурах? Плохие специалисты работают по плохим протоколам, повторяя как обезьянки решения интеграторов, закупая не самый лучший софт у монопольных поставщиков, главная задача которого - соблюдение требований бумажной, а не реальной безопасности.


Но тут нам помогает проверенность и простота решений, которые сейчас внедрены. Плюс запуганность сотрудников госслужб, которые боятся сделать шаг вправо-влево. Я не могу оценить, насколько сильно сейчас подвергаются атаке наши государственные сервисы, но то, что «Госуслуги» стабильно работают, показывает, что пусть дорого, частенько топорно, но защитить цифровую часть государства получается.


Разумеется, это прям очень краткий обзор крайне большой и важной проблемы - при централизации управления критичным становится качество менеджмента на вершине иерархии. Но при этом любая организация (включая государственное управление) достигает стадии бюрократизации, когда бумаги становятся важнее реальных дел.


Выхода из этого всего два - либо постепенная смерть организации, либо эволюция, когда происходит уничтожение части бюрократии и «аристократии» внутри организации, повышение децентрализации управления и принятие нового вызова для развития.


А что вы думаете об этом? Как вы видите дальнейшее развитие бюрократической иерархии? Есть ли другие сценарии? Поделитесь в комментариях!

2
Автор поста оценил этот комментарий

зочем? 

раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

патамушто?

3
Автор поста оценил этот комментарий

Интрига! И где же у нас такой эксперт работает, что  он один - д’Артаньян?

раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

Не знаю, у меня знакомых гасконцев нет.

1
Автор поста оценил этот комментарий

Я знаком с тем, как мыслят безопасники.

раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

э... поздравляю?

3
Автор поста оценил этот комментарий

Полная лажа написана. Пиздят тебе твои "безопасники". Не работали они со службами безопасности госструктур, а

Вот бумажка сверху придёт, тогда и будешь работать!»

были на шестёрками побегушках и общались с такими же. 

раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

Окей, если вы эксперт, расскажите, как оно на самом деле?

показать ответы
3
Автор поста оценил этот комментарий

Как раз в табличке указано, что это их плюс - почти невозможно скомпрометировать. Насколько мне известно, конкретных случаев взлома шлюза не было.

в табличке указано


Очень долгое внесение изменений и закрытие обнаруженных дыр

Покажи мне эти дыры.



исправление натыкается на бюрократическую сложность.

Нет там никаких сложностей. Не придумывай.

раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

Уважаемый, вы мыслите только в категориях прошедшего времени?


Если будет обнаружена уязвимость, то выпущенное исправление обязано пройти всю процедуру сертификации и проверки.

показать ответы
8
Автор поста оценил этот комментарий

да нифига не изменится, потому что есть ФСБ со своими хотелками все сертифицировать... И если сертификация в местах с допуском гостайне еще как-то объяснима, то в части сертификации криптографии на обычных сетях....

раскрыть ветку (1)
1
DELETED
Автор поста оценил этот комментарий

Тут нужно ставить правильно вопрос - а почему ФСБ главное?)

3
Автор поста оценил этот комментарий
Интересный (как мне кажется), но сложный материал. Явно не для всех

Сразу видно умного человека, не то что большинство посредственной серости на пикабу. Жалко такие в управление не попадают, а то там одни дураки сидят и не понимают, что делают

раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

исправил

4
Автор поста оценил этот комментарий

Правда то, что материал ты элементарно скопипастил и не читал толком.

И осуждение российского правительства тут совсем не к месту. Как показывает практика, использование своего - единственно правильный шаг для страны, претендующей на независимость.

раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

Интересно. Откуда же я его скопипастил?

показать ответы
раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

Огонь, спасибо

5
Автор поста оценил этот комментарий

В минусах "скрепной российской защиты сети" некорректно занесен пункт "Очень долгое внесение изменений и закрытие обнаруженных дыр (нужно заново пройти сертификацию)".


Сертификацию заново проходить не нужно а скорость внесения изменений зависит не от этого.


И хотелось бы услышать несколько примеров таких обнаруженных дыр в "Континент" и ViPNet.  Есть у тебя такие примеры?

раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

Как раз в табличке указано, что это их плюс - почти невозможно скомпрометировать. Насколько мне известно, конкретных случаев взлома шлюза не было.


Но и не указано, что они были. Рассматриваем ситуацию, что сейчас из-за повышенного к ним внимания удаётся найти уязвимость. ТОгда под удар ставится вся инфраструктура государственная, а исправление натыкается на бюрократическую сложность.

показать ответы
2
Автор поста оценил этот комментарий

А теперь добавим еще кривое распределение ответственности. Если ты, работая безопасником в госструктуре, предложишь какое-то новое и качественное решение, то на тебя ополчатся там все. «Зачем суетишься, нагнетаешь, создаёшь всем сложности, если приказа не было? Вот бумажка сверху придёт, тогда и будешь работать!» Но если что-то произойдет, то безопасника оштрафуют, хотя он мб и предлагал заранее решение.

Че?  Ты с работой госструктур, не иначе как,  только по телесериалам знаком?

раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

Я работал с ними лет семь. Но конкретно этот пункт написан по словам безопасников, которые в том числе в интеграторах работали и напрямую общались со службами безопасности госструктур.

показать ответы
3
Автор поста оценил этот комментарий
А теперь добавим еще кривое распределение ответственности. Если ты, работая безопасником в госструктуре, предложишь какое-то новое и качественное решение, то на тебя ополчатся там все. «Зачем суетишься, нагнетаешь, создаёшь всем сложности, если приказа не было? Вот бумажка сверху придёт, тогда и будешь работать!»
Всё, дальше не читал, идите нахуй, пожалуйста.
раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

А обоснование вашего возмущения будет?

5
Автор поста оценил этот комментарий

ФСБ, очевидно, не хочет показывать западным компаниям ключевой элемент криптографии, которому должны проктолы ВПН соответствовать - таблицу подстановки.

Не надо грязи, они показывали всем желающим, когда пытались протащить "Кузнечика" ЕМНИП в качестве стандарта ISO. Желающие сытно поели ухи на той презентации...

раскрыть ветку (1)
1
DELETED
Автор поста оценил этот комментарий

А можно конкретнее про эту ситуацию?

показать ответы
3
Автор поста оценил этот комментарий
Интересный (как мне кажется), но сложный материал. Явно не для всех

Сразу видно умного человека, не то что большинство посредственной серости на пикабу. Жалко такие в управление не попадают, а то там одни дураки сидят и не понимают, что делают

раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

Ахаха) Да, пожалуй, уберу этот пункт. НА пикабу много тех, кто разбирается в этом вопросе гораздо лучше

2
Автор поста оценил этот комментарий

И сейчас ты нам будешь рассказывать, что использовать свои VPN-решения вместо зарубежных - ошибка?

раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

Где это я в тексте указываю?))

показать ответы
2
Автор поста оценил этот комментарий
Почти весь мир пользуется либо VPN решениями от топ-4 брендов: Cisco, CheckPoint, Fortigate, Palo Alto.
Российское правительство, как всегда, идёт своим путём. У нас есть свои скрепные "Континент" и ViPNet.
раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

Что здесь неправда?

показать ответы
4
DELETED
Автор поста оценил этот комментарий

Мы думаем что вам сначала нужно изучить хоть немного современную криптографию, чтобы знать хотя бы азы и понимать, что "Security through obscurity" не работает.

Просто наши органы твердо убеждены что в AES и прочем есть какие-то сверхсекретные уязвимости (которых, конечно же нет на самом деле), а их, такие же тупые и параноидальные, то же самое думают поо ГОСТовский алгоритм.

раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

Я сразу сказал, что не разбираюсь, а только пересказываю) Конкретно моё там в первую очередь это про структуру управления и про госуслуги. Все безопасники, с которыми я общался, очень хейтили государственную кибербезопасность. Но я в целом не могу вспомнить сильно резонансных взломов