Bad usb что это
История превращения накопителей с интерфейсом USB в хакерский инструмент получила продолжение. Обратная разработка прошивки популярного контроллера переводит методику на новый уровень доступности. Теперь атаку под названием Bad USB может провести любой желающий, не обладая при этом достаточными познаниями для самостоятельного написания микрокода.
Все операции с памятью на USB-Flash обрабатываются контроллером, управляющий микрокод которого хранится в служебной области адресного пространства. У пользователя нет доступа к ней штатными средствами, а некоторые модели и вовсе требуют использования аппаратного программатора. Сегодня для упрощения процедуры записи и обновления прошивки многие производители выполняют эту операцию непосредственно через интерфейс USB. Обычная прошивка – это закрытый (проприетарный) код, поэтому считается, что изменить его может только сам разработчик.
На проходившей в штате Кентукки ежегодной конференции DerbyCon Адам Коудил (Adam Caudill) и Брэндон Уилсон (Brandon Wilson) в совместном докладе рассказали об успешной обратной разработке прошивки для контроллера Phison 2303 (2251-03) и показали практические варианты реализации атаки Bad USB.
Универсальный контроллер Phison 2251-03 (фото: Adam Caudill and Brandon Wilson).
Такой двухканальный контроллер USB 3.0 со встроенным восьмиразрядным микропроцессором архитектуры Intel 8051 встречается во многих съёмных носителях. Для демонстрации авторами был выбран сменный носитель Patriot Supersonic Xpress ёмкостью 8 ГБ.
Изначально Phison 2303 поддерживает создание нескольких дисковых разделов. Он может ограничивать доступ к одному из них паролем, скрывая присутствие других логических дисков. Последнее обстоятельство используется в некоторых вариантах атаки Bad USB. Во-первых, на скрытом разделе удобно хранить «боевую нагрузку». Во-вторых, так можно подсунуть «сейф без задней стенки»: пользователь будет продолжать считать скрытый раздел своего USB-Flash носителя защищённым, в то время как контроллер с изменённой прошивкой откроет его при вводе любого пароля.
Обратная разработка и модификация подразумевает получение копии исходной прошивки. Для этого USB-Flash накопитель надо перевести в служебный режим с помощью инженерной утилиты, или просто закоротив определённые контакты в момент подключения.
Оригинальная прошивка занимает не весь отведённый для неё объём, поэтому увеличение размера микрокода после добавления новых функций не стало проблемой.
По результатам реверс-инжиниринга была создана альтернативная прошивка с открытым исходным кодом. Её можно записать на любой USB-Flash носитель с соответствующим контроллером, превратив его в хакерский инструмент.
При подключении к компьютеру такая флэшка (от flash, а не flesh) с модифицированной прошивкой может опознаваться как другое устройство и скрыто выполнять функции, предусмотренные атакующей стороной. В приводимой на DerbyCon презентации флэшка опознаётся как клавиатура и отправляет команды от имени вошедшего в систему пользователя. В большинстве случаев им окажется администратор, а если и нет – существуют способы повышения привилегий, основанные на различных эксплоитах.
В примере флэшка запускает «Блокнот» и пишет в нём текст с ASCII графикой, но это могут быть совершенно любые действия. Как вариант – загрузка трояна через Wget или скрытая отправка приватных данных.
Автоматическое создание текстового документа с ASCII-графикой с помощью BadUSB (изображение: DerbyCon 4.0).
Вероятность успеха такой сложной тактики в неизвестном системном окружении считается низкой, однако она ненулевая. Действительно, для слепой атаки этот метод подходит мало: трудно предугадать конфигурацию компьютера, к которому подключат хакнутую флэшку, и перечень незакрытых на нём уязвимостей. Скорее, метод упрощает проведение целенаправленной атаки на компьютер конкретного пользователя, чьи данные требуется получить или от чьего имени совершить какую-то операцию.
Сходным образом реализована атака Bad USB группой Offensive Security в специализированном дистрибутиве Kali Linux NetHunter. Это дальнейшее развитие проекта BackTrack, предназначенного для выполнения тестов на проникновение с использованием мобильных устройств. Его можно установить на современные смартфоны и планшеты серии Nexus. Поддерживаются Asus Nexus 7 (версии 2012 и 2013 года), Samsung Nexus 10 и LG Nexus 5. Любой из этих гаджетов NetHunter превращает в мощный инструмент для выполнения аудита безопасности.
В режиме Bad USB на Nexus с NetHunter выполняется вариант атаки посредника (MITM). Смартфон или планшет подключается к компьютеру по USB под предлогом зарядки или копирования файлов. Далее гаджет подменяет сетевую карту, выполняя перенаправление трафика.
Фрагмент файла kali_linux_nethunter_nexus7_2012.zipsystemxbinstart-badusb
Появление подробных инструкций и готовых программных инструментов для реализации Bad USB с использованием различных серийно выпускаемых устройств свидетельствует о широком интересе к данному виду атаки. Не надо быть аналитиком, чтобы спрогнозировать резкое повышение частоты её применения в ближайшее время.
Вероятно, разработчики антивирусных решений скоро добавят отдельные модули для более гибкого дополнительного контроля над подключаемыми по USB устройствами. Ограничивать доступ к сменным носителям и разрешать активацию согласно «белому списку» уже сейчас умеют ESET Endpoint Antivirus, Kaspersky Endpoint Security, компонент «Родительский контроль» у Dr.Web AV-Desk и другие современные средства комплексной защиты. Другое дело, что в случае Bad USB таких мер может оказаться недостаточно. Скорее всего, пользователь сам разрешит подключение опасного устройства, опрометчиво считая его неспособным навредить.
Реализация Bad USB с использованием серийно выпускаемых устройств (коллаж А.В.).
Особо подчеркну, что Bad USB – это не какая-то недавно открытая проблема на уровне самого интерфейса. Речь идёт лишь о том, что благодаря работе нескольких гиков пользователю без соответствующей квалификации стало значительно проще вмешаться в работу контроллеров некоторых устройств, допускающих обновление прошивки без использования специализированной техники.
Если раньше желающие подсунуть под видом флэшки виртуальную клавиатуру или сетевой контроллер использовали штучные экземпляры таких устройств, то сейчас их можно штамповать в домашних условиях. Малоизвестные методы, которые были прерогативой спецслужб и продвинутых хакерских групп, стали более доступны – только и всего.
В самой возможности сделать это мне трудно усмотреть что-то негативное. Часть пользователей получит более глубокие представления о работе современных устройств и ещё один стимул быть осторожнее. Просто теперь флэшку нельзя считать безопасной, даже если её дисковый раздел совершенно чист.
Думаю, пару месяцев назад многие слышали из новостей про уязвимость в USB-контроллерах, которая может превратить любое периферийное устройство, подключаемое по usb, в инструмент кибершпионажа. В англоязычной компьютерной прессе эта проблема получила название «BadUSB». Первым о ней сообщил Карстен Нол (Karsten Nohl), секьюрити-эксперт и исследователь из берлинской компании SR Labs на конференции BlackHat USA. Из-за серьезности проблемы и опасений, что уязвимость сложно устранить, Нол не стал публиковать эксплойт, пытаясь дать время вендорам на ее устранение.
С тех пор прошло 2 месяца и все уже напрочь забыли о «плохом юэсби», пока неделю назад, уже на другой хакерской конфе — Derbycon — не выступили еще двое исследователей: Адам Кадилл и Брэндон Уилсон (Adam Caudill, Brandon Wilson).
Не буду полностью пересказывать их выступление, просто посмотрите видео, объясняют парни вполне доступно.
Основная идея в том, что нужно отказаться от мысли о любом usb-драйве как о простом носителе информации и начать рассматривать его как полноценный компьютер, который может быть запрограммирован на выполнение любых команд.
Всё становится еще серьезнее, если принять во внимание, что вредоносный код, записанный в модифицированную прошивку usb-драйва, полностью скрыт, не детектится антивирусами и не может быть удалён при форматировании устройства. Вспоминается Stuxnet — история с заражением компьютеров иранского ядерного центра — тоже с использованием инфицированных usb-девайсов.
В отличие от первооткрывателя «BadUSB», Адам и Брэндон еще и выложили код своего proof-of-concept на GitHub, мотивируя это отсутствием уверенности в том, что вендоры не закрыли глаза на проблему и считая, что только публикация общедоступного эксплойта заставит компании-производители USB-контроллеров начать работать над патчем. Так что, хоть эксплойт и не универсален и написан для определенного USB-контроллера одного из Тайваньских производителей (Phison 2251-03), появление других модификаций теперь только вопрос времени.
Моя вольная компиляция опубликованной на Wired статьи «Why the Security of USB Is Fundamentally Broken».
- изменение файлов;
- исполнение файлов;
- перехват интернет-траффика.
По словам исследоватетей, эту уязвимость настолько сложно устранить, что проще полностью отказаться от работы со стандартом USB. Nohl и Lell оказались едва ли не первыми, кто указал на способ хранения и распространение вредоносного кода данным способом. После нескольких месяцев работы бул получен код, позволяющий обмениваться данными между флэшкой и компьютером. Основной вывод работы состоит в том, что все существующие прошивки можно переписать, спрятав изменения.
«Вы можете отдать флэш-карту на анализ вашим IT-специалистам, и те, удалив некоторые файлы, скажут вам, что карта чиста. Однако, они даже не коснулись того, о чём говорим мы» — Nohl
Проблема не ограничивается флэш-накопителями. Все виды USB-устройств, от клавиатур до смартфонов имеют драйвера, которые могут быть подвержены той же атаке, что и флэш-карты. Nohl и Lell говорят, что проверили это на BadUSB-инфецированном Android-телефоне. В их опыте телефону удалось выдать себя за клавиатуру и начать вводить команды от её лица.
BadUSB-инфецированные машины могут перехватить Интернет-траффик, изменить настройки DNS; если BadUSB-код находится на телефоне, то телефон может выступать в качестве MITM.
Большинство из нас привыкло не запускать левые исполняемые файлы, однако, этих мер недостаточно для остановки эпидемии BadUSB: ведь USB-устройства не имеют подписи кода, и проверить «оригинальность» прошивки проблематично.
Исследование Nohl и Lell показывает, что BadUSB-инфекция может путешествовать как с устройства на компьютер, так и обратно. Каждый раз, когда флэш-устройство подключено к компьютеру, его прошивка может быть перепрограммирована, и владельцу это будет непросто заметить.
Nohl соглашается, что быстро проблема не решится: она настолько обширная, что надо писать не патч, а полностью перерабатывать концепцию USB. Что надо не подключать устройств USB к компьютерам, которым не доверяете.
«В новом образе мышления вы не можете доверять флэш-носителю просто потому что знаете, что там вируса быть не должно. Доверие может быть только тогда, когда вы знаете, что USB этого устройства никогда не касался компьютера. Это несовместимо с тем, как мы используем устройства сейчас» — Nohl
Тенденции
Механизм в процессорах Intel может привести к целому классу новых атак типа «Bad USB»
Современные процессоры Intel позволяют использовать отладочный интерфейс через доступный на многих платформах порт USB 3.0 для получения полного контроля над системой, что дает возможность проводить атаки, которые не отслеживаются современными системами безопасности. Доклад об этих механизмах, а также о способах защиты от подобных атак, был представлен экспертами Positive Technologies 28 декабря на конференции Chaos Communication Congress (33C3) в Гамбурге.
Эксперты Максим Горячий и Марк Ермолов в своем докладе отметили, что зачастую подобные аппаратные механизмы используются как вполне легальные инструменты, которые внедряются еще на стадии производства − например, специальные отладочные возможности, оставленные разработчиками для настройки аппаратуры и других «благих целей». Однако сейчас такие механизмы оказываются доступны и для злоумышленников, причем цена вопроса настолько низка, что для организации подобных атак уже не нужно быть государственной спецслужбой и иметь специальное оборудование.
Один из таких механизмов был подробно проанализирован и показан в исследовании. В качестве опасной возможности, оставленной производителем, здесь фигурирует отладочный интерфейс JTAG (Joint Test Action Group), доступ к которому теперь открыт через USB-интерфейс. Данный способ доступа к процессору работает «ниже» всего программного обеспечения, позволяя осуществлять аппаратную отладку гипервизоров, ядра ОС и драйверов. Однако тот же механизм может использоваться и для несанкционированных вторжений.
В старых процессорах Intel доступ к JTAG требовал подключения специализированного устройства через отладочный разъем на некоторых системных платах (ITP-XDP). Это усложняло доступ к данной технологии, в том числе, и для злоумышленников.
Однако, начиная с процессоров семейства Skylake, запущенных в производство в 2015 году, компания Intel внедрила технологию Direct Connect Interface (DCI), которая предоставляет доступ к JTAG через популярный порт USB 3.0. При этом на целевом компьютере не требуется каких-либо программных или аппаратных агентов − необходимо лишь, чтобы интерфейс DCI был активирован. Как выяснили исследователи, это можно сделать несколькими способами, и на множестве современных компьютеров этот функционал оказался доступен буквально «из коробки» − то есть по умолчанию возможность активации DCI не заблокирована.
Демонстрация
В докладе также был представлен видеоролик, показывающий, насколько легко злоумышленники могут получить полный доступ к процессору с помощью такого механизма. По мнению исследователей, данный механизм в процессорах Intel может привести к целому классу новых атак типа «Bad USB» – но уровень проникновения будет гораздо глубже.
Описания атак с применением особенностей работы отладочного механизма процессоров были переданы Intel, однако официального ответа исследователи пока не получили.
Халло, коллеги. Намедни уважаемый коллега опубликовал в сообществе заметку в которой защищает решение передачи данных через оптический носитель, дескать, USB это не только ценные устройства, но и потенциальная угроза информационной безопасности. Всё так, да не совсем так.
Начну, как водится, с объяснения о чём, собственно, сыр-бор. Дело в том, что USB это последовательная шина. Она исходно была рассчитана на то, что в один порт может быть натолкана целая прорва устройств. Я сегодня очень ленив, поэтому соответствующую картинку чёрно-белого содержания, пожалуйста, представьте себе сами. Такой подход в общем и целом правильный: никто кроме вас не знает, сколько вам потребуется подключить устройств, и вы этого тоже часто не знаете. Суть атаки BadUSB состоит в том, что устройство может оказаться не совсем тем, за что оно себя выдаёт. И действительно - иногда оказывается. Если вы ломали голову, мол, почему современные Android-телефоны требуют руками указать, что нам требуется подключение к компьютеру, а не просто зарядка, то ответ как раз BadUSB. Нехорошие личности повадились встраивать всякую гадость в публичные розетки и даже в кабеля. Атака прекрасно описана в википедии, и состоит в тривиальном факте - до недавних пор производители никак не защищали контроллеры USB от перепрошивки чем попало, включая устройства, которые к нему подключены. В результате к полезным для вас функциям устройство возможно добавить функции полезные кому-то другому. Поэтому, кстати, ваша любимая флешка тоже может превратиться в рассадник заразы.
Однако так ли всё страшно? Во-первых - нет. Контроллеров USB чёртова прорва. Их действительно очень много и КАЖДЫЙ требует индивидуального подхода для заражения вредоносным кодом. Так что панику - отставить, а валидол выбросить. Сейчас есть конфетки повкуснее. Во-вторых любому взаимодействующему с компьютером или смартфоном (иначе говоря с хостом) USB устройству требуется некоторая поддержка от хоста. Что толку представляться сетевым адаптером устройству, которое попросту знать не знает что такое сеть? Это в качестве примера. То есть по факту заражённое устройство может представиться чем угодно, что только бывает по USB. Если "постороннее" устройство в ходе нормальной деятельности составляет угрозу информационной безопасности, то подобная атака действительно представляет вектор угрозы. А посторонним устройством может оказаться абсолютно всё что угодно: виртуальный принтер, который перехватывает документы на печать и по встроенному в устройству мобильному модему шлёт данные врагу. Вроде бы всё правильно, да? Для защиты от вредоносных устройств вполне нормально требовать носитель данных неуязвимый для подобных атак, ведь так?
Нет и вот почему. Как я уже сказал выше - для того, чтобы подобные атаки имели хоть какой-то шанс на успех им требуется взаимодействие с операционной системой хоста. Более того, ущерб целиком и полностью ограничен правами пользователя, под которым подключено устройство. Не сиди под рутом! Сколько можно говорить? Если пользователь работает с критическими данными под административной учётной записью, то никакой информационной безопасности в конторе нет и, в принципе, от размещения прямо за спиной пользователя агентуры Mossad, NIO и Syrbar в этом плане сильно хуже не станет. Правда первые будут требовать прекратить трескать бутерброды с салом, вторые прикидывать можно ли вас самих съесть, а третьи возмущаться фильмом "Борат", но давайте это спишем на неизбежные последствия игнорирования правил, которые старше большинства из нас. А вот ограниченная учётная запись называется ограниченной не просто так. Например, можно запретить изменения в конфигурации устройства, что перекроет кислород к подключению чего бы то ни было вообще, а можно запретить устанавливать вполне конкретные классы устройств. То есть можно запретить устанавливать к чёртовой бабушке всё, что не USB Mass Storage. Это требует некоторой компетенции, но вполне выполнимо. Вкупе с грамотным планированием сети (мы же не будем кого попало пускать во внутреннюю сеть организации, правда? Мы же не дураки какие-то чтобы так делать) эти две меры перекрывают этот вектор риска почти целиком.
В комментариях к заметке, которая вызвала к жизни данный пост, уважаемый автор говорит, что, дескать, так как заражённое устройство представляется оборудованием совершенно стандартным, то воспрепятствовать его установке никак нельзя. Он, естественно, заблуждается, если у вас нет прав на установку новых устройств, то системе абсолютно безразлично есть драйвер или нет. Это, знаете, как с автомобилем. Вы можете проникнуть в гараж, в сам автомобиль, но всё равно никуда не уехать, т.к. из автомобиля слили всё топливо и сняли аккумулятор. Я предлагаю всем желающим провести эксперимент: запретить какое-либо устройство на своей машине и удалить его. Драйвер, смею вас заверить в системе останется, однако до того как вы разрешите устройство обратно хоть обпереподключайтесь - оно не заработает.
Всё та же википедия нам любезно сообщает несколько векторов атаки. Имитация клавиатуры и сетевой карты? Мы перекрыли это, они не установятся и работать не будут. Выход из виртуального окружения? Гм, простите, а вы уверены, что надо подключать что попало к гипервизору? Я уверен, что НЕ надо и любой человек, ответственный за информационную безопасность скажет ровно то же самое. Это тоже мимо, с неизвестно чем при наличии реальной тайны, хоть коммерческой, хоть государственной, мы работаем на отдельных выделенных специально физических машинах. Ах да, загрузка с вредоносной флешки. Мне, право, несколько неловко, но я об этом уже писал. Даже дважды. Secure Boot. Рабочий компьютер, который грузится с бог знает чего? Перечитайте первую половину предыдущего абзаца.
В принципе, нормальные потребительские материнские платы уже умеют даже защищаться от флешек - убийц, просто обрубая питание при превышении тока или напряжения. Однако, защитится от подобных устройств ещё проще - продаются готовые "кондомы", причём чуть ли не на развес. Проверить их работоспособность можно собрав киллера собственноручно, это уровень студента политеха курса эдак второго. Он же сможет, кстати, спаять и сам "кондом". Что мешает фасовать готовые аппаратные комплексы для защищённых станций, если позарез необходима работа именно с чужими устройствами? Я не знаю, стоимость сборки из готовых компонентов да сами готовые компоненты для любой конторы национального масштаба это семечки. Стоимость E-mail рассылки по филиалам с инструкциями как всё оборудовать на месте может себе позволить даже Силенд.
Это, кстати, не единственное решение. Можно изготовить микроконтроллер, который будет модерировать проходящие через него данные USB. Это только в качестве примера. Можно использовать компьютеры с экзотической архитектурой или экзотическими ОС, что для нас одно и то же. По сути это всё то же препятствование запуску вредоносного виртуального устройства. Вариантов решения вопроса чёртово множество, одно из которых - освойте уже системы электронного документооборота и контроль целостности, наконец, и прекратите этот флоппинет в 21-то веке. И не защищайте тех, кто настаивает на решениях времён ардипитеков. Тем более, что CD в своё время тоже доставили пользователям немного радости.
P.S. Вы, конечно, можете меня спросить, мол, @ahovdryk, а как же домашний пользователь? А никак, он в заднице. Особенно если сидит под рутом и суёт в свой компьютер что попало.
Лига Сисадминов
743 поста 13.6K подписчиков
Правила сообщества
Довольно здравый пост. У которого, почему-то, в 17 раз меньше рейтинг, чем у той панической страшилки.
А мне понравились устройства которые являлись мини ЮСБ хабом с обычной флешкой и виртуальной ХИД клавиатурой, которая быстро прописывал скрипты, как решение.
прочитав все Комменты - я, понял одно - залить порты USB эпоксидной ! написать свой BIOS с отключением всяк контроллеров по "лишнему"питанию. И корпус компа при вскрытии должен - сгореть!
ЗЫ На каждый лом - есть два магнита. Человеческий фактор Не отменить!
Конечно хорошие советы, но явно не для гос контор. Такие вещи контролируют регуляторы фстэк, ФСБ и пока они у себя не решат, что можно использовать флешки в каком то защищённом исполнении все будут страдать.
А что будет если ты узнаешь что пентагон использует дискеты?)
Уязвимость BadUSB теория и практика
Уязвимость, позволяющая перепрошить флешку так, чтобы компьютер думал что это например USB клавиатура. Это позволит подавать на компьютер команды от лица юзера.
Владимир Путин подписал Указ «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»
Владимир Путин подписал указ президента РФ от 1 мая 2022 года № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
В целях повышения устойчивости и безопасности функционирования информационных ресурсов РФ постановляю:
1. Руководителям федеральных органов исполнительной власти, высших исполнительных органов государственной власти субъектов РФ, государственных фондов, государственных корпораций (компаний) и иных организаций, созданных на основании ФЗ, стратегических предприятий, стратегических акционерных обществ и системообразующих организаций российской экономики, юридических лиц, являющихся субъектами критической информационной инфраструктуры РФ:
Под критической информационной инфраструктурой РФ (КИИ) подразумевается совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов РФ и обеспечивающих их взаимодействие информационно - телекоммуникационных сетей, а также IT-систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка.
То есть мы видим, что данный указ распространяется не только на все органы государственного управления, стратегические и системообразующие предприятия, но и на все организации и предприятия в которых работают с информацией государственной важности.
а) возложить на заместителя руководителя органа (организации) полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты;
Почему на заместителя? Руководитель отвечает за всё, что происходит у него в организации или на предприятии. Руководитель несёт ответственность в любом случае. Хороший и грамотный руководитель так и поступает – разделят зоны ответственности, а затем осуществляет общий контроль. В случае возникновения любой критической или внештатной ситуации, он знает кто конкретно в его организации или на предприятии отвечает за это направление. Данный подпункт указа просто предписывает руководителю возложить все полномочия по обеспечению информационной безопасности на одного конкретного своего зама. Конкретно и вполне понятно происходит выстраивание структуры ответственности за информационную безопасность.
б) создать в органе (организации) структурное подразделение, осуществляющее функции по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, либо возложить данные функции на существующее структурное подразделение;
в) принимать в случае необходимости решения о привлечении организаций к осуществлению мероприятий по обеспечению информационной безопасности органа (организации). При этом могут привлекаться исключительно организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации;
г) принимать в случае необходимости решения о привлечении организаций к осуществлению мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. При этом могут привлекаться исключительно организации, являющиеся аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, за исключением случая, предусмотренного подпунктом "б" пункта 5 настоящего Указа;
Даже государственные организации, работающие с информацией государственной важности, бывают небольшого размера. Даже в государственных организациях бывает так, что весь IT-отдел - это один человек, который отвечает за всё. Он обычно вполне справляется со всеми своими обязанностями по сетевой безопасности предприятия, обеспечению работоспособности компьютеров и компьютерных программ. Больше IT-специалистов, организации просто не нужно. Вот подобные случаи и предусматривает данный пункт указа. Он предписывает подобным организациям, в целях обеспечения должного и высокого уровня обеспечения информационной безопасности на организации, привлекаться для этого сторонние организации. Чётко регламентирует список привлекаемых сторонних организаций, наличием специальной лицензии на осуществление подобной деятельности. Он отсекает организациям возможность привлечь для обеспечения информационной безопасности непонятного программиста с непонятными профессиональными качествами, который всё сделает "быстро и подешевле". Для обеспечения должного и высокого уровня информационной безопасности, организации должны привлекаться тех, кто лицензировано работает на рынке подобных услуг, кто дорожит репутацией своей фирмы, и кто сможет реально быть ответственным за выполнение надлежащим образом комплекса мер по обеспечению информационной безопасности.
д) обеспечивать должностным лицам ФСБ России беспрепятственный доступ (в том числе удаленный) к принадлежащим органам (организациям) либо используемым ими информационным ресурсам, доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети "Интернет", в целях осуществления мониторинга, предусмотренного подпунктом "в" пункта 5 настоящего Указа, а также обеспечивать исполнение указаний, данных ФСБ России по результатам такого мониторинга;
е) обеспечивать незамедлительную реализацию организационных и технических мер, решения о необходимости осуществления которых принимаются ФСБ России и ФСТЭК России в пределах их компетенции и направляются на регулярной основе в органы (организации) с учетом меняющихся угроз в информационной сфере.
На ФСБ России и ФСТЭК России возлагается не только контроль за выполняем надлежащим образом всех мер по обеспечению информационной безопасности в организациях и на предприятиях, но и фактически обязанности по конкретной помощи и подсказу ответственным лицам этих предприятий и организаций как именно должна у них быть организовано обеспечение информационной безопасности.
2. Возложить на руководителей органов (организаций) персональную ответственность за обеспечение информационной безопасности соответствующих органов (организаций).
Как уже было сказано выше, руководитель в любом несёт ответственность за всё, что происходит у него в организации или на предприятии.
3. Правительству РФ в месячный срок:
а) утвердить:
- типовое положение о заместителе руководителя органа (организации), ответственного за обеспечение информационной безопасности органа (организации);
- типовое положение о структурном подразделении органа (организации), обеспечивающем информационную безопасность органа (организации);
б) определить перечень ключевых органов (организаций), которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем с привлечением организаций, имеющих соответствующие лицензии ФСБ России и ФСТЭК России.
Данный пункт указа обязывают правительство РФ в месячный срок определить не только список всех организаций и предприятий, на которые распространяется действие данного указа, но и разработать типовые положения для должностных инструкций на всех ответственных за информационную безопасность на предприятиях и в организациях - от зама руководителя до IT-специалиста.
4. Органам (организациям), включенным в перечень, определенный в соответствии с подпунктом "б" пункта 3 настоящего Указа, осуществить мероприятия по оценке уровня защищенности своих информационных систем и до 1 июля 2022 г. представить доклад в Правительство РФ.
5. Федеральной службе безопасности Российской Федерации:
а) организовать аккредитацию центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ;
б) определить переходный период, в течение которого допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах органов (организаций) на основании заключенных с ФСБ России (Национальным координационным центром по компьютерным инцидентам) соглашений о сотрудничестве (взаимодействии) в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;
в) определить порядок осуществления мониторинга защищенности информационных ресурсов, принадлежащих органам (организациям) либо используемых ими, и осуществлять такой мониторинг.
Данные пункты указа фактически определяют, что именно на ФСБ России ложится вся ответственность не только по контролю за мерами обеспечения информационной безопасности на предприятиях и организациях, но на время переходного периода, за все мероприятия по выстраиванию работы этой системы информационной безопасности.
6. Установить, что с 1 января 2025 г. органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении РФ, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.
Список недружественных государств на данный момент следующий - Австралия, Австрия, Албания, Андорра, Бельгия, Болгария, Великобритания (включая остров Джерси и подконтрольные заморские территории - остров Ангилья, Британские Виргинские острова, Гибралтар), Венгрия, Германия, Греция, Дания, Ирландия, Исландия, Испания, Италия, Канада, Кипр, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Микронезия, Монако, Нидерланды, Новая Зеландия, Норвегия, Польша, Португалия, Румыния, Сан-Марино, Северная Македония, Сингапур, Словакия, Словения, США, Тайвань (считается территорией Китая, но с 1949 года управляется собственной администрацией), Украина, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония, Южная Корея, Япония.
Данный пункт указа обязывает с 1 мая текущего года все организации и предприятия больше не привлекать к осуществлению мер по обеспечению информационной безопасности ПО от недружественных государств, а те ПО о недружественных государств которые уже непосредственно работают в организациях и предприятиях и обеспечивают информационную безопасность – должны быть отключены 1 января 2025 года.
7. Настоящий Указ вступает в силу со дня его официального опубликования.
Читайте также: