Из кулуаров Рускрипто: в фамилии Лютиков корень не «лютик», а «лют». Лютует он со своими требованиями ;-)

Тема... коэффициент обезличивания. Если введут в законодательство, то будет круто

В продолжение

Не надо путать шифр Плейшнера и шифр Плейфера (с) #ruscrypto
— Alexey Lukatsky (@alukatsky) March 25, 2021

Когда чиновник говорит «криптошифрование», он, видимо, имеет ввиду двойное шифрование - сначала на американской криптографии, а потом на нашем ГОСТе #ruscrypto
— Alexey Lukatsky (@alukatsky) March 25, 2021

Челендж Тьюринга, состоящий из 11-ти пазлов https://t.co/sL6Jj1lLXj - pic.twitter.com/s38Pcthdnx
— Alexey Lukatsky (@alukatsky) March 26, 2021

Honeywell заразили шифровальщиком - https://t.co/FWJ9aZvA22 По слухам REvil. Требуют 100 млн.долларов выкупа. Рекорд на текущий момент!
— Alexey Lukatsky (@alukatsky) March 26, 2021

https://dsopas.github.io/MindAPI/play/ - A really comprehensive API security testing mind-map!

Обещанный на Рускрипто проект профессионального стандарта «Специалист по информационной безопасности в кредитно-финансовой сфере» http://cbr.ru/Content/Document/File/119656/210324-56_1.pdf Правда, на вопрос, будет ли он обязательным при приеме на работу представитель ЦБ так четко и не ответила

Исследователя сначала поблагодарили за сообщение об утечке, а потом сдали его в полицию https://t.co/jpL6AQdnKf
— Alexey Lukatsky (@alukatsky) March 26, 2021

PCI DSS на русском, официальный перевод. https://t.co/SlojJQG8oc
— Кривонос Виталий (@N0S313) March 25, 2021

Gartner назвала основные тренды в сфере ИБ и управления киберрисками https://t.co/RaEHnB03lx
— TAdviser (@TAdviser) March 24, 2021

Недавно вышло руководство ENISA по информированию об инцидентах ИБ. У них есть онлайн тулза CIRAS для этого. В шаблоне приводятся такие показатели инцидента как:
Service impacted,
Number of users,
Duration,
Root cause category,
Service technology… https://t.co/Po7oZWmem9 pic.twitter.com/8rBGmuImlW— Sergey Borisov (@sb0risov) March 24, 2021

В этом кейсе, видимо, опять не будет никакой реакции ФСТЭК и ФСБ.

Свежая статья на хабре о том что исходные коды приложения ФНС более года были в открытом доступе [1], при этом хотелось бы чтобы это было решение ФНС и код бы официально публиковалсян а Github.com или Gitlab.com или появление их российского аналога, но реальность такова что это ошибка разработчиков этого приложения и, как выясняется, делали его не в ГНИВЦ при ФНС России, а в некой организации с доменом studiotg.ru, похоже, являющейся частью или аффилированой с Группой комплексных решений ГКР [2], в первую очередь потому что домен studiotg.ru ведет на тот же сайт что и support.pmp.gkr.su и сам засвеченный репозиторий кода относится к подсети ГКР 95.79.121.*

Иначе говоря, ситуация не доброй воли ФНС, а в отсутствии контроля за безопасностью среды разработки в компании подрядчике.

Казалось бы вопрос только в этом, но, ситуация сложнее и возникает немало вопросов:
1. У ГКР нет контрактов с ФНС и дочерними структурами ФНС [3], вопрос, как оказалось что разработчики использующие их инфраструктуру, выполняют работу для ФНС ?
2. Мобильное приложение сервиса ФНС разьве не является частью государственной информационной системы? Если там действительно были пароли для доступа к базам данных, то не является ли это предметом расследования регуляторов?
3. Отдельный вопрос о том почему репозитории госприложений были и остаются за пределами инфраструктуры органа власти/его подведов. Это, скажем так, не вполне нормально.

Я, при этом, понимаю все риски и издержки возникающие с задачами быстрого запуска каких то госсервисов, но, если это делать без оглядки на безопасность, то случается то что случается.

А было бы прекрасно если бы само ФНС начало публиковать исходные коды, но каким-нибудь менее скандальным способом.

Ссылки:
[1] https://habr.com/ru/post/547272/
[2] https://gkr.su
[3] https://clearspending.ru/supplier/inn=5262103820&kpp=526201001

#opensource #fns #taxes #mobileapps

Презы с прошедшей встреча ISACA по SecDevOps