Перезагрузка: Таллиннское руководство 2.0
В начале февраля центр повышения квалификации киберзащиты НАТО (CCDCOE) опубликовал [1] новую версию Таллиннского руководства, которое определяет рекомендации по международному праву в части так называемых киберопераций. Причем изменилось не только содержание, но и название – в первой версии речь шла исключительно о кибервойне, а сейчас рекомендации расширены, в частности, на операции спецслужб в киберпространстве (кибероперации). Как и предыдущая версия, данное руководство является рекомендательным и пока не имеет юридической силы, хотя принципы, заложенные в первой версии, оказались достаточно популярны.
Творческим вдохновителем Таллиннского руководства является Майкл Шмитт, эксперт в области права вооруженных конфликтов, профессор международного публичного права юридического факультета «Эксетера», а также старший научный сотрудник Военно-морского колледжа Соединенных Штатов. Он вместе с другими 19 экспертами и разработал данное руководство. Оно, в частности, рекомендует не атаковать критическую инфраструктуру иностранного государства. И если компания была атакована в рамках какой-то кибероперации, то отвечать на агрессию компания не имеет права – это может делать только само государство. Собственно, аналогичный принцип заложен и в российской системе защиты критической информационной инфраструктуры ГосСОПКА, где предполагается, что именно государство реагирует на атаку против защищаемой системой компании.
Нью-йоркские власти пересмотрели требования к ИБ банков
Нью-йоркский финансовый регулятор New York Department of Financial Services (NYDFS) обновил [2] требования для своих подотчетных организаций – банков, страховых компаний и других финансовых учреждений – в части обеспечения информационной безопасности. В новых правилах появились требования сформировать в компаниях должность руководителя службы ИБ (CISO), пересмотреть политику в области защиты информации и обеспечить управление рисками ИБ. Причем рекомендуется не страховая схема возмещения убытков после инцидента, а реальное обеспечение защиты банковских сервисов, т. е. обеспечение для них конфиденциальности, целостности и доступности. Аналогичные правила для российских банков в виде рекомендаций существуют уже достаточно давно на уровне стандарта, а сейчас планируется сделать эти правила обязательными.
Защита IoT – общее дело
В феврале компании AT&T, IBM, Nokia, Palo Alto Networks, Symantec и Trustonic сформировали [3] альянс IoT Cybersecurity Alliance, в рамках которого предполагается разработать рекомендации по обеспечению безопасности экосистем IoT. Причем защищать нужно все компоненты сервисов: устройства, сетевое взаимодействие, облачное хранилище данных и приложение, работающее с данными. У участников альянса есть эксперты по защите каждой из этих компонент, и они готовы разрабатывать типовые решения в таких направлениях, как подключенные авто (Connected Car), «умные города», медицинские сервисы и промышленность. Очевидно, что сейчас, после успешных атак зомби-сети Mirai, назрела необходимость в создании IoT-сервисов, которые изначально имели бы встроенные механизмы информационной безопасности.
Защита некомпетентностью
Компания CrowdStrike попыталась через суд запретить [4] публикацию сравнительного отчета компании NSS Labs на конференции RSA. Дело в том, что в отчете по сравнению решений класса «Интеллектуальная защита устройств» (Advanced Endpoint Protection – AEP) решение CrowdStrike Falcon Host показало себе с не лучшей стороны и было отнесено к провальной категории «Предупреждение». Фактически это означает, что NSS Labs не рекомендует использовать подобный продукт в качестве современного средства защиты оконечных устройств. CrowdStrike потребовала через суд запретить публикацию данных отчета на конференции RSA, обвинив организатора тестов в некомпетентности – они якобы причислили к вредоносным вполне легальные программы, разработанные Skype и Adobe, – и в нарушении контрактов на приватные исследования [5]. Однако суд не «впечатлился» и разрешил NSS Labs публиковать результаты исследований.
Следует отметить, что именно компания CrowdStrike, которая участвовала в расследовании взлома электронной почты Демократической партии США, объявила о «российском следе» [6]. Не удивлюсь, если юристы этой компании зарегистрирует торговую марку «Русские хакеры» и попытаются получить от нее максимум прибыли.
Невидимка из реестра
«Лаборатория Касперского» объявила [7] об обнаружении вредоносного приложения, которое не записывает своего тела на диск. По этой причине его не могут обнаружить антивирусные продукты, которые пытаются найти и обезвредить программы на диске. В то же время вредонос запускается с помощью специального сценария PowerShell, полностью записанного в реестр. После запуска вредонос занимается сбором паролей и отсылкой их на контрольный сервер. По данным компании, вредонос был обнаружен в информационных системах 140 компаний различных индустрий – финансовых, телекоммуникационных и государственных – из 40 стран, включая Россию, хотя больше всего заражений обнаружено в США.
[1] http://www.securityweek.com/nato-publishes-tallinn-manual-20-international-law-applicable-cyber-ops
[2] https://www.paulhastings.com/publications-items/details/?id=f87deb69-2334-6428-811c-ff00004cbded
[3] https://iotbusinessnews.com/2017/02/08/31644-att-ibm-nokia-palo-alto-networks-symante7c-trustonic-form-iot-cybersecurity-alliance/
[4] https://www.nsslabs.com/company/news/press-releases/nss-labs-announces-advanced-endpoint-protection-group-test-results/
[5] http://www.darkreading.com/endpoint/crowdstrike-fails-in-bid-to-stop-nss-labs-from-publishing-test-results-at-rsa/d/d-id/1328154?_mc=RSS_DR_EDT
[6] https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/
[7] https://threatpost.com/fileless-memory-based-malware-plagues-140-banks-enterprises/123652/