Вообще писать я хотел совсем про другое, но тут, на День России, американцы опять учудили и приняли новые санкции — на этот раз в отношении целых сегментов ИТ-рынка. И да, это может быть серьезно. И нет, это не повтор ранее принятых санкций, так как уход почти всех иностранных ИТ-компаний из России был самодеятельностью этих компаний, исключая запрет на поставку подсанкционным компаниям. А теперь они, как бы не хотели, не могут поставлять в Россию свои решения. Но давайте разбираться.
Сразу скажу, что это моя точка зрения, насколько я понял то, что написано в документах Минфина США. В реальности ситуация может быть и немного иной. И дело не только в осенних выборах, но и в широком толковании ряда терминов из новых санкций, а также из-за того, что многие компании захотят «перебдеть» и могут заблокировать то, что блокировать не нужно.
Итак, в пресс-релизе Минфина говорится о 300 новых санкциях против России, среди которых, не только новые имена, связанные телекомом и ИТ, типа «Микрана», «Ситроникса КТ» и т.п., но и целые ИТ-сектора. В частности, с 12 сентября 2024 года в Россию будут запрещены поставки:
услуг консалитнга и проектирования («IT consultancy and design services»)
услуг поддержки и облачные сервисы («IT support services and cloud-based services»)
для ПО, которое американцы называют «enterprise management software and design and manufacturing software». Ранее говорилось, что США хотят ограничить доступ России к микроэлектронике и возможностям по ее созданию. Поэтому можно было бы предположить, что речь идет о софте, который связан именно с проектированием чипов, их созданием, разработкой, производством и поддержкой. Но проблема в том, что термин «enterprise management software«, упомянутый в новых санкциях очень широк и под него подпадает почти любое ПО, которое используется в корпоративном сегменте.
Например, быстрый поиск показывает, что под это определение попадает Jira Service Management или ServiceNow ESM, продукты, которые некоторые компании используют как тикетницу в своих SOCах. Кто-то к решениям класса EMS относит продукты CRM, ПО для e-mail-рассылок, CMS для поддержки и управления сайтами, ПО для управления проектами и, конечно, решения класса ERP.
Отсюда возникает, как минимум, два вопроса. Какой-нибудь WordPress, являющийся одной из самых популярных площадок для работы сайтов в Интернет, попадет ли под этот запрет? А, например, MS Project, входящий в состав O365 от Microsoft? Не будет ли это значить, что Microsoft заблокирует работу всего своего офисного пакета в России только из-за одного компонента, входящего в O365?
Да, многие облачные сервисы Microsoft уже заблокированы, но всегда есть, куда и ужесточить блокировки. Например, по GeoIP.
С open source тоже много непонятно. В 2022-м году та же Canonical, стоящая за Ubuntu, приняла решение уйти из России и перестать поддерживать пользователей из нашей страны. Но это было ее собственное решение. А что если теперь такое вынужденное решение должны будут принять и другие американские компании, стоящие за open source проектами? Вопрос не праздный.
То есть вроде как это и не касается напрямую кибербезопасности, но по касательной может накрыть второстепенные элементы системы ИБ на предприятии — порталы, wiki-платформы, системы управления заявками, системы планирования, системы коммуникаций и т.п.
Кстати, о системах коммуникаций. Минфин пишет, что данные ограничения не коснутся гражданского общества и гражданских телекоммуникаций. Специально для этого он выпустил отдельное приложение, которое описывает исключения из основных ограничений. В частности, там говорится, что санкции не распространяются на мессенджеры, чаты и e-mail, соцсети, сервисы обмена фото и видео, браузеры, платформы для блогеров, платформы для взаимодействия, видеоконференцсвязь, игровые порталы, порталы для электронного обучения, средства автоматического перевода, веб-карты, веб-хостинг, сервисы регистрации доменов и, особо отмечено, сервисы аутентификации пользователей.
То есть рядовые пользователи могли бы выдохнуть, если бы не одно «но». Кто проведет грань между использованием в гражданских целях и оборонных? Как определить, покупаю я Zoom для личного использования или для проведения встреч относительно создания чипов? И таких вопросов возникнет немало и что будут делать ИТ-компании? Те, что посмелее или помельче, продолжать работать с россиянами. Те, что покрупнее и где мощные юридические службы, будут дуть на воду и могут заблокировать любые свои сервисы для России по принципу «как бы чего не вышло».
Как видно выше, у меня в заметке больше вопросов, чем ответов, но по-другому и быть не могло. Слишком свежие санкции и правоприменения по ним еще нет. Но есть три месяца, чтобы подготовиться к ним, а это не так уж и мало. Я бы сейчас сделал следующее:
Оценил все используемое в кибербезе корпоративное ПО, которое имеет приставку enterprise на сайтах у его производителей. Как я уже отмечал выше, это могут быть вики, CMS, тикетницы, ПО для коммуникаций, ПО для планирования, ПО для управления механизмами ИБ в сетевой инфраструктуре, сканеры уязвимостей и т.п. Особое внимание бы уделил облачному ПО, которое может быть использовано для хранения файлов, для онлайн-обучения, для ВКС, для аутентификации и т.п. Если есть средства защиты иностранного, в первую очередь, американского происхождения, также отнес бы их в этот список.
Приоритизировал бы список ПО, определенного на предыдущем этапе, и стал бы искать ему замену, если этого не было сделано за последних 2 года.
После оценки всех рисков, осуществил бы оперативную замену ПО первого приоритета и готовился бы к импортозамещению ПО остального приоритета. Особое внимание уделил бы средствам защиты. Все-таки они также могут быть отнесены к корпоративному ПО и вполне способно попасть под раздачу. SIEM, VM, PAM, IAM, DLP, GRC, SOAR — это то, с чего бы я точно начал.
Продумал компенсирующие меры в виде резервного копирования используемого ПО и его конфигураций, а также обновил его до последних доступных версий (с учетом рекомендаций ФСТЭК по обновлению иностранного ПО).
Зафиксировал бы все коммуникации используемого ПО с внешними сервисами и IP для потенциального блокирования доступа (там, где это возможно) к сайтам производителей, с которых могут прилететь команды на блокировки. Для составления такого перечня хорошо подойдут решения класса NGFW и NTA/NDR.
Рекомендации выше даны только для служб кибербезопасности. Что-то может быть применено и ИТ/АСУ ТП подразделениями, но последним гораздо сложнее. Часто ПО завязано на работу с конкретным оборудованием и просто взять и заменить софт не всегда возможно.
В любом случае, мы переживем и это. Прошедшие два года показали, что пока это удавалось. Есть надежда, что удастся и сейчас! Поживем-увидим…
Заметка Новые ИТ-санкции против России. Что важно знать?! была впервые опубликована на Бизнес без опасности.
Сообщения блогов группы «Личные блоги» (www.securitylab.ru)