Информационное общество: глобальные проекты - глобальные риски Борис Симис Директор по развитию Positive Technologies

Современные тенденции - государство Информационному обществу ДА! Бумажной бюрократии НЕТ!

Концептуальные решения – приняты! Концепция создания международного финансового центра в Российской Федерации Проект Концепции был одобрен на заседании Правительства РФ 5 февраля 2009 г. Развитость ИТ инфраструктуры – один из факторов успешного построения МФЦ ГП РФ Информационное общество (2011 – 2020) Утверждена распоряжением Правительства Российской Федерации от 20 октября 2010 Цель – получение преимуществ гражданами и организациями от применения ИТ

Многое меняется … Государственные структуры госпорталы и электронный документооборот Производство информатизация производственных процессов, в частности АСУТП Банки электронная коммерция, предоставление банковских услуг через Интернет Граждане информационные технологии стали неотъемлемой частью жизни граждан.

Государственные порталы в Интернете Тысячи Интернет сайтов: федеральный уровень школы, сады и муниципальные образований Доступ к госуслугам с личных компьютеров 1,5% сайтов в Интернете взломано Миллионы рабочих станций в ботнетах

Безопасный Интернет серфинг 78% российских Интернет пользователей уязвимы для удаленного взлома Источник: Positive Technologies, 2011

Что для них - риски, то для нас - цель US Federal Cyber Security Outlook 2010 Наибольшие риски

Современные тенденции - производство АСУ ТП – ДА!Технологиям прошлого века – НЕТ!

Информатизация производственных процессов Исторически АСУТП системы это: Закрытые разработки Изолированные сети от внешних пользователей Специальные протоколы, не совместимые с Интернет технологиями Спроектированы без учета требований по информационной безопасности

Тенденции в АСУТП системах Использование широко распространенных технологий: Операционные системы – Windows, WinCE, Linux, Приложения – БД, web-сервера, web-браузеры Протоколы – HTTP, RPC, FTP, DCOM, XML, SNMP Новые компоненты АСУТП работают на IP иногда до уровня датчиков

Что это означает для АСУТП? Добро пожаловать в мир ИТ безопасности! Ежедневное появление новых уязвимостей Общеизвестное описание методов взлома Возможность удаленного взлома системы Вирусы, трояны и прочие зловредные программы

Пароли для доступа к критичным ИТ ресурсам По материалам исследований компании Positive Technologies: «Анализ проблем парольной защиты в российских компаниях»

Современные тенденции - банки Интернет-банкингу – ДА!Очередям у кассы – НЕТ!

Перевод банковских услуг в Интернет среду Тенденции Взрывной рост мошенничества с системами дистанционного банковского обслуживания Взломы банкоматов – как традиция Кража информации о кредитных картах – обычное событие

Защищенность частных пользователей Ежегодные конференции специалистов DefCon, BlackHat Взлом рабочей станции с предварительно установленными СЗИ – до 2 минут Взлом смартфона - секунды

Подходы к ИБ. Мировая практика «Кибер угроза – одна из наиболее серьезных вызовов экономике страны и национальной безопасности» «Обозначить кибер безопасность как одну из приоритетных задач президента, находящуюся на постоянном контроле » Президент США, 2009

Это при том, что Основные ИТ корпорации находятся США Computer Security Division NIST: c 1990 года – больше сотни практических документов: безопасность WiMax, виртуализации, КПК и т.д. постоянный выпуск бюллетеней по ИБ National Vulnerability Database информирование об уязвимостях – более лучше практики по ИБ для сетевого оборудования, ОС, БД – 164 конкретных технических политик

Программа кибер безопасности США Верхний уровень Назначение ответственного за кибер безопасность страны Подготовка стратегии национальной кибер безопасности Законодательные инициативы Программа повышения осведомленности граждан

Программа кибер безопасности США Основные мероприятия (всего 12 инициатив) Создание единого центра обнаружения и предотвращения атак в сети госорганов …… Соединить существующие центры контроля и мониторинга в единую ситуационную сеть Провести общую координацию планов реагирования на компьютерные инциденты

Министерство национальной безопасности США Для граждан: Форма для заявления об инциденте ИБ Множество справочной информации MS-ISAC, Центр – постоянно отслеживающий индикатор киберугроз, информирование госорганов и коммерческих предприятий Координирует процесс обучения ИБ в школах, проводит национальную кампанию созданию «цифровой нации»

Оценка практической защищенности предприятий России Источник: Positive Technologies, 2010

Варианты развития - информатизацию остановить? Не наш путь!

Чего ждем от государства Стратегии доктрина информационной безопасности год Реализации объединения усилий обмена опытом, наработками, стандартами Создания условий для воспитания профессиональной среды Программы информирования граждан

Ответственность бизнес сообщества Многие критичные элементы инфраструктуры в России – в частных руках Бизнес – признавая важность информатизации, не понимает ИТ рисков ПД - единственный вопрос по информационной безопасности обсуждавшийся бизнесом Повышения приоритета темы информационной безопасности в обществе – задача государства

Бизнес сектор. Положительные примеры Центр мониторинга и контроля ИБ: От сетевого оборудования до ERP Контроль подразделений по всему миру Отчетность от технического специалиста до руководителя предприятия

Мудрость полководца Опасности лучше идти навстречу, чем ожидать на месте Александр Васильевич Суворов

Спасибо за внимание! Симис Борис Борисович