30 ноября 2019, 11:34
Как я перестал беспокоиться и полюбил диджитализацию (в фоне крутится финал фильма Кубрика и играет песня Веры Линн "We'll meet again...")
Вчера сразу несколько коллег безопасников прислали ссылку на интерью г-на Федорова. Я бы с удовольствием выдал бы каждому из них по системе MCAS от Боинга, чтобы предотвратить срыв потока, бьющего реактивной струей в невинную мебель. "Я думаю, что роль кибербезопасности немного преувеличена", - прогудел главный цифровой трансформатор. Впрочем, не исключено, что господин министр верит в то, что электричество наливают в розетки из лейденских банок и имеет о трансформаторах самое смутное представление.
Мне кажется, что вам уже всем надоело объяснять происходящий пиздец эффектом Данинга-Крюгера, потому лучше сошлюсь на принцип Питера - в иерархической системе каждый человек поднимается до уровня своей некомпетентности. О том, что бывает, когда какая-либо компетентность отсутствовала изначально, наука умалчивает. Подобные эксперименты считаются крайне опасными, негуманными и запрещены во всем мире комиссиями по этике и защите прав мыслящего меньшинства.
Я даже догадываюсь откуда у подобных смелых заявлений растут ноги (если вы забыли откуда, посмотрите в зеркало). Индустрия безопасности всегда преувеличивала угрозы, а иногда нагнетает истерию. Как например, поступил Crowdstrike (тот самый) в случае с кибер-атакой на украинскую артиллерию. В 2012 году тогдашний министр обороны США Леон Панетта заявил, что США ожидает "Кибер Перл Харбор", на что исследователи, например Эндрю Одлыжко, отвечают, что США пережили *настоящий* Перл Харбор и мир не кончился и не пошел в разнос.
Есть два возражения. Мир конечно до сих пор не рухнул и по-прежнему устойчиво стоит на китах и черепахах all the way down, и именно потому, что ежедневно сотни тысяч людей пытаются заткнуть пальцами дыры в плотине технологического прогресса. Составы с костылями и синей изолентой идут непрерывно. Чтобы говорить о том, что "безопасность не важна", нужно её обеспечить хотя бы на троечку из десяти (так оценивает положение дел в штатах генерал Кейт Александр, глава киберкомандования, директор АНБ, ему же принадлежит цитата о том, что киберпреступления привели к величайшему переделу собственности в истории).
Второе возражение связано с тем, что мы бы ещё худо бедно разобрались бы с нашими кибер-шалашами из говна и палок, если бы те оставались неизменными. Но прогресс не остановить. Интернет вещей - это не бытовые эко-дилдо из Китая, это софт отпечатанный в материи. Программы, которые действуют *автонономно* и непосредственно в *физическом* мире. Два Boeing Max отправились грызть землю из-за софта. Убер на автопилоте сбивает пешехода. Российские диверсанты с помощью продажного мента и камер "безопасного города" выслеживают и убивают полковника ГУР. "О безопасности много говорят, но по факту привести каких-то реальных кейсов киберугроз мало кто может", я хотел бы, чтобы эту фразу Михаил Альбертович повторил родственникам погибшего разведчика.
"Приведу простой пример. Когда мы пришли в Офис президента, it-команда показала дашборды с тысячью атак в день, перегрузкой сайтов и тд. Через две недели мы их уволили". Пока Федоров увольнял IT-команду, один из коллег, нашел беспарольную систему, которая записывала все телефонные звонки на одном из режимных объектов. В случае полномасштабной атаки в Украине не останется бита на бите от государственной, военной и критической инфраструктуры. Возможно вам и не придётся отбиваться шваброй от обезумевшего робота-пылесоса, атомные электростанции, предприятия ВПК, государственные учреждения и сами правоохранительные органы - цель номер один. Мы не знаем, кто там лазит прямо сейчас, пока не станет слишком поздно.
И вишенка на торте, популярный миф о том, что кто-то в Украине извлёк урок из тех атак, что уже произошли. "После этого [атак 2016 года] кибербезопасность вышла на другой уровень. На базе Госспецсвязи созданы новые киберцентры. В это достаточно много инвестировалось. Можно смело себя чувствовать нормально защищенным. Сильно выросло и СБУ в плане киберразведки". Даже если представить, что "киберцентры" работают так как должны, нужны ещё и люди, которые будут реагировать на сигналы мониторинга. Когда в штатах проходили кибер-учения Eligible Receiver, в реальных условиях, а не на макетах, как любят у нас. Красная команда АНБ разнесла всю цепь военного командования в течение суток.
Выжила только какая-то всратая база в Тихом Океане, где администратор, вопреки приказу вырубил компьютер. Мониторинг не помог, некому было реагировать на сигналы. Точно так же и у нас, после того, как киберцентр СБУ предупредил Антонов, что у них в сети лазят хакеры, никто ничего не сделал и система была взломана дважды. Другую систему, относящуюся к судовой владе, россияне просто разнесли в пыль. Ни один инцидент в Украине не был расследован должным образом, ни по одному расследованию нет результатов. Когда наступит час "Ч", господин министр будет наблюдать из киберцентра, как вырубаются системы одна за другой, потому что чтобы что-то делать нужны не только глаза, но и руки.
И вы знаете. Пусть диджитализируются. В мире сложных систем, автономных программ и дураков-министров, которым "безопасность не нужна", хакер и безопасник никогда не останется без работы.