Цифровизация, автоматизация, компьютеризация — процессы непрерывные. Поэтому смена календарного года практически не является точкой отсчёта. Однако последние полгода принесли нам несколько примечательных событий в области информационной безопасности.
С 1 октября 2019 года вступил в силу закон «О персональных данных». Очевидно, это самое начало большого пути по защите персональных данных. Закон только в самых общих чертах устанавливает регулирование сферы. При изучении положений закона возникает множество вопросов по его практической имплементации. Их, надеемся, со временем снимут комментарии к закону и разъяснения от уполномоченного органа ‑ Государственного центра персонализации при Кабинете Министров Республики Узбекистан.
На днях принято постановление Кабинета Министров № 71 от 08.02.2020 «Об утверждении Положения о Государственном реестре баз персональных данных». В нём разъясняются процедурные вопросы по регистрации баз персональных данных. В течение двух месяцев планируется запуск системы, в которой через интернет можно будет провести регистрацию базы ПДн в государственном реестре, внести изменения в регистрационные данные, осуществить проверку факта регистрации базы ПДн в реестре. Для идентификации будет использоваться единая система идентификации id.gov.uz. Однако, вопросы по применению закона на практике пока остаются.
Аналогичный закон в РФ принят аж четырнадцать лет назад и все эти годы является предметом споров специалистов и несмотря на множество поправок и разъяснений продолжает порождать правовые коллизии.
Для нас сейчас актуальным является вопрос, кто именно на предприятии должен будет взяться за его реализацию на практике. Требования закона междисциплинарные, затрагивают и технические, и юридические, и управленческие аспекты. Кто же будет «старшим» за это направление на предприятии?
Другим, возможно незаметным, но значимым событием стало преобразование Центра кибербезопасности, которые за последние годы претерпел несколько реорганизаций. Надеемся, что в нынешнем статусе коллеги продолжат ранее начатые дела и инициативы. В частности, будут и далее делиться статистикой по инцидентам в национальном сегменте сети интернет.
Заметным трендом за последние пару лет стало влияние новых, нетрадиционных каналов доставки информации. В первую очередь это соцсети и telegram-каналы. Получается, что те, кто работает в правовом поле (традиционные СМИ) — стеснены ограничениями. Остальные — свободнее, им легче приобретать подписчиков за счет сенсационных новостей, слухов, а любые новости публиковать проще без дополнительной верификации. Твиттер Дональда Трампа тоже вряд ли имеет лицензию СМИ, при этом влияние его мировое сообщество огромное. Как часто в управлении информационной безопасностью, запретом тут ничего не добьешься, нужна какая-то компенсирующая мера. Как говорят: «Если безобразие нельзя предотвратить — его нужно возглавить!». Поэтому чуть ли не единственной защитной мерой является формирование у граждан критического отношения к получаемой информации, а особенно — получаемым из анонимных источников. Другим важным аспектом взаимодействия людей в интернете является возможность оставаться анонимными, это может порождать чувство вседозволенности и безнаказанности. Как результат в интернете делаются высказывания и утверждения, которые человек никогда не сделал бы лично. Авторы публикаций, блогеры вынуждены или отключать комментарии вовсе, или вводить режим премодерации, а это некоторыми воспринимается как ограничение свободы слова. Чувство ответственности за высказывания в интернете приходит не сразу и не ко всем.
Буквально на днях стало известно, что в Узбекистане планируется принять меры по формированию правовых основ кибербезопасности ‑ разработать проект закона «О кибербезопасности» и Национальную стратегию кибербезопасности на 2020−2023 годы. Т.е. некоторый правовой вакуум этой сферы очевиден и для высшего руководства страны. Подробностей пока почти никаких нет, но эти задачи внесены в проект указа президента о Государственной программе 2020 года «Год развития науки, просвещения и цифровой экономики».
В Узбекистане всё ещё эксплуатируется значительное число компьютеров под управлением операционной системы Microsoft Windows XP, расширенная поддержка которой закончилась ещё в 2014 году. Тем временем нас настиг ещё один рубеж — окончание расширенной поддержки чрезвычайно популярной системы — Windows 7. Microsoft заранее уведомил, что после 14 января 2020 года система перестанет получать обновления по безопасности и необходимо спланировать миграцию на более новые версии. На самом деле существует возможность на платной основе приобрести специальную подписку и продлить срок получения обновлений ещё ориентировочно на три года. Но, вполне вероятно, Microsoft всё-таки будет иногда выпускать публичные обновления для Windows 7 для ликвидации совсем уж серьезных уязвимостей. Ведь именно так было с давно неподдерживаемыми Windows XP, Server 2003, Vista. Для них в порядке исключения выпустили в 2017 году патч-заплатку для удаления уязвимости, которую использовал наделавший много шума вирус-шифровальщик WannaCry.
В ближайшее время мы почти наверняка услышим об инцидентах, взломах, утечках данных, связанных с контейнерами. Технология контейнеризации стремительно набирает популярность особенно в среде web-разработчиков. Если раньше виртуализировалась операционная система, т.е. на одном физическом компьютере можно было одновременно запустить несколько виртуальных систем, то теперь каждое отдельное приложение можно запускать в отдельной среде — контейнере. Отсюда и название технологии. Теперь, чтобы запустить, например, web-сайт, уже не нужно устанавливать операционную систему, затем отдельно web-сервер, сервер базы данных. Всё это «собирается» из «кирпичиков» — контейнеров. Простота развертывания контейнеров является и слабым местом технологии. Службы безопасности предприятий могут и не знать сколько и каких контейнеров разворачивают разработчики. Поэтому специалистам ИБ стоит внимательнее отнестись к этой технологии, чтобы она принесла только удобства, а не новые проблемы.
Наметилась тенденция — все более-менее крупные предприятия создают свои собственные мобильные приложения. Банки стараются «заманить» пользователей в мобильные приложения. Понятно, что если упростить процедуру оформления, например, срочного депозита, то на него соблазниться большее число клиентов, ведь не все имеют время и желание ехать в офис банка. Тут особое внимание нужно уделять вопросам ИБ, ведь разработка таких приложений осуществляется в вопросах цейтнота. Даже на полноценную отладку и тестирование кода часто нет времени, уже не говоря о его проверке (ревизии) кода на безопасность. Поэтому тут нужно трезво оценивать риски, что важнее — быстрее выпустить «сырой» продукт или чуть позже, но более надёжный.