By 
Вот уже как 5 месяцев прошло с официального запуска нашего Центра анализа и расследования кибер атак (официально наш центр заработал 01.06.15г., неофициально мы начали собирать команду еще год назад).
Хочу подвести небольшие итоги за прошедший период
1) Очень много айтишников\безопасников\руководителей\чиновников задумывались о создании подобной организации, НО процесс сдерживали три основные проблемы: Отсутствие уникальных специалистов, Отсутствие бюджета, Отсутствие поддержки. Причем главной проблемой было именно найти казахстанских уникальных специалистов и в этом нам повезло. Нам удалось собрать очень сильную команду и наши клиенты уже убедились в этом (отдельная им благодарность за доверие которое они нам оказали, на тот момент еще непроверенной команде).
2) Что такое пентесты в Казахстане на сегодняшний день? Компаниями подрядчиками покупается сканер уязвимостей (я думаю вы знаете какие сканеры в Казахстане самые популярные) и в течение определенного времени проводится сканирование и изучение/тестирование организации методом «белого ящика». В итоге получается 200-300 страничный стандартный, малоинформативный и в итоге никому ненужный отчет. Один из наших клиентов после аудита проведенного одной из компаний из «большой четверки», с положительным отчетом, попросил нашу команду перепроверить их организацию на безопасность. Взлом системы занял всего 2 часа, причем найденная уязвимость не была обнаружена сканером. По нашей статистике, автоматический поиск уязвимости это не более 30% работы, все остальное должно делаться руками. Кстати, аудит в отличии от пентеста, не предполагает применения социальной инженерии (в серьёзных организациях стоит очень много дорогого железа и ПО для обеспечения ИБ, однако это не может остановить утечку данных при социальной инженерии). Также, чаще всего, пентесты просто отдаются на субподряд зарубежным компаниям (обычно россиянам). То есть многие наши государственные и национальные компании, основные порталы и информационные ресурсы проверяются на безопасность зарубежными специалистами, что априори неправильно, как минимум не в интересах национальной безопасности.
3) Государственные органы не признают уязвимость своих систем и игнорируют утечку персональных данных в руки злоумышленников. Более того, наши попытки помощи, выраженные в виде безвозмездно передаваемой информации о критических уязвимостях, натыкаются на негативную реакцию. Чаще всего звучат обвинения следующего характера: «Какое вы имели право проверять наш ресурс? Мы на вас в суд подадим!»; «Мы знаем, что наши системы уязвимы, но мы ничего не будем делать для устранения (нет денег, нет специалистов, есть более важные вещи)»; «Это фича такая, ничего страшного в ней нет». Именно такое отношение приводит к взломам государственных сайтов и размещению на них грозных сообщений ИГИЛа (это в лучшем случае).
4) К сожалению, за информационную безопасность сейчас в стране готов платить только финансовый сектор. Наибольшую поддержку и понимание мы видим со стороны банковского сектора. Этому есть простое объяснение, банкиры при взломе их систем несут реальные финансовые и репутационные потери, а руководитель государственного органа не теряет ничего, только бюджетные средства и данные граждан. Репутационные убытки при взломе государственных сайтов у нас к сожалению считать не принято.
5) Стартапы и уже состоявшиеся крупные IT-компании не готовы платить за аудит. Нам известны множество потенциальных уязвимостях на топовых ресурсах Казнета. Рынок не готов выделять бюджет для реальной информационной защиты, компания Колеса\Крыша\Маркет является в этом списке редким исключением. Сегодня каждый пользователь регистрируясь на большинстве казахстанских ресурсов, для покупки товара, услуги или просто почитать новости, сильно рискует потерять свои данные (пароли, емеилы, данные кредитных карт, адреса), так как владельцы ресурсов экономят на сохранности данных своих клиентов. Есть примеры такого отношения к клиентам и среди компаний выходящих в ближайшее время на IPO.
6) Даже если вы обнаружили взлом, то дальше вам придется столкнутся с отсутствием в
Казахстане отработанного механизма реагирования на компьютерные инциденты. Чтобы привлечь злоумышленника к ответу, вам придется самому собрать всю информацию по взлому и предоставить ее в уполномоченный орган, практика показывает, что за вас эту работу никто не сделает.
В итоге про информационную безопасность в нашей стране можно сказать словами моего товарища, озвученную в начале запуска проекта ЦАРКА: «Представь самую худшую ситуацию по инфобезу в стране. На самом деле все намного хуже…»
(c) Сатиев Олжас https://www.facebook.com/satiev/posts/10203552146762619
