Применение ЭП и авторизация граждан в системах электронного правительства

При анализе применимости тех или иных механизмов идентификации /аутентификации (ИА) для целей электронного правительства важен не столько выбор типа идентификатора, сколько обоснование того, какие именно услуги можно предоставить гражданину, идентифицировавшемуся тем или иным способом. Действительно, многие граждане уже имеют средства идентификации - ими могут быть любые банковские пластиковые карты, социальные карты, Универсальная электронная карта, USB-идентификаторы, TM-идентификаторы, отпечатки пальцев, сосудистое русло, номер мобильного телефона, логин и пароль e-mail и многое другое. Пользуясь идентификацией на основе этих средств, граждане получают немало услуг, и эти услуги зачастую весьма значимы. Можно управлять своим счетом, можно войти к себе домой или к себе на работу, можно открыть свой сейф, чтобы взять или положить свои документы.

Иначе дело обстоит тогда, когда гражданин обращается в госорганы. Здесь недостаточно идентифицироваться ключом от подъезда. Для того чтобы получить водительское удостоверение, диплом, зарегистрировать собственность, нужен паспорт. Информационные ресурсы в системах электронного правительства - государственные ИР, и своими для любого гражданина они являются лишь в части персональных данных.

Доступ к чему-то своему гражданин может осуществлять так, как хочет. Для изменения своих прав и волеизъявления - он должен предъявить паспорт.

Во втором случае более строгие методы авторизации применяются лишь по той причине, что волеизъявление и изменение прав могут оказать влияние не только на гражданина, выступающего в данный момент субъектом отношений, но и на многих других членов гражданского общества.

Для того чтобы идентифицироваться в платной справочной службе и узнать, во сколько и откуда отходит поезд, достаточно позвонить с частного телефона, номер которого определяется АОНом. А вот внести расписание движения поездов в компьютерную систему можно только в том случае, если оно заверено подписью должностного лица - иначе неприятностей не оберешься.

Эти два случая отличаются не содержанием данных, а направлением их движения - из системы или в систему.

Только при установлении наличия и подлинности правоустанавливающих документов можно изменить в системе состав данных о собственности и персональных данных гражданина. Наличие тех или иных прав у одного человека существенно влияет на права других людей. Именно поэтому волеизъявление (понимаемое как изменение правоотношений), изменение прав и персональных данных фиксируются в информационной системе только при предъявлении документов, т. е. сведений, снабженных реквизитами, фиксирующими факты, в этих сведениях содержащиеся.

Подлинность подписи на бумаге устанавливается визуальными, приборными и криминалистическими методами. Цель - убедиться в достоверности волеизъявления гражданина.

В цифровом мире роль подписи выполняет криптографическое преобразование, которое называется ЭП - электронная подпись. При этом достоверность ЭП обеспечивается доверенной средой выполнения процедуры подписи, и поэтому достоверной ЭП является только та ЭП, которая устанавливается на доверенном компьютере. Недостаточно использовать сертифицированные средства ЭП, необходимо также, чтобы компьютер был доверенным. Это требование обеспечивается процедурами проверки правильности встраивания.

Для нужд электронного правительства могут применяться различные методы ИА. Человек вправе сам выбрать, какой метод авторизации достаточен для того, чтобы просто, недорого и с достаточной надежностью получать данные из системы. Иначе обстоит дело с включением данных в состав системы. Источник этих данных должен быть зафиксирован, следовательно, они должны быть подписаны, значит, должны поступать из доверенной системы.

Из доверенной системы должны поступать:

  • регистрационные данные и данные об изменении параметров регистрации (персональных данных);
  • данные, содержащие волеизъявление граждан;
  • данные об изменение прав;
  • данные, содержащие сведения о юридических фактах.

Эти данные должны быть подписаны в доверенных системах или в доверенных сеансах.

Таким образом:

  • если обеспечивается доверенное взаимодействие, то могут предоставляться любые услуги;
  • если доверенное взаимодействие не обеспечивается, то могут предоставляться только те услуги, риски по которым
  1. допустимы для систем электронного правительства
  2. приемлемы для гражданина.

Только в доверенной среде могут предоставляться услуги, связанные с:

  • волеизъявлением граждан;
  • управлением собственностью;
  • управлением персональными данными.

Только в доверенной среде взаимодействуют с системами электронного правительства смежные подсистемы и должностные лица.

Для реализации описанного подхода необходимо:

  • перечислить все услуги электронного правительства гражданам;
  • классифицировать их по принципам, описанным выше, т. е. разделить на услуги информирования и доверенные;
  • попытаться услуги информирования классифицировать по степеням важности, с тем чтобы поставить в соответствие различным идентификаторам различные (пересекающиеся, и даже расширяемые) группы услуг;
  • систему идентификации и аутентификации проектировать с учетом наличия доверенного взаимодействия и возможности предоставления различных наборов услуг гражданам, использующим различные методы авторизации, вплоть до полного набора услуг;
  • исходя из такого подхода доработать модели нарушителя и угроз;
  • для организации доверенного взаимодействия разработать пункты доступа в защищенном исполнении, а для наиболее активных категорий граждан предложить использовать технологию доверенных сеансов.

Остается только отметить, что, судя по всему, сервисы электронного правительства рано или поздно будут облачными сервисами, что внесет свои корректировки. Как бы то ни было, анализ направления передачи данных в информационных системах может серьезно уменьшить затраты на создание системы защиты, а в открытых системах даже сделать их реализуемыми.

 Проблема проприетарности

И еще. ИС информационного общества создаются для оказания услуг гражданам, для снижения нагрузки (временной, эмоциональной, коррупционной) на граждан, связанной с их взаимодействием с государством.

С системами граждане взаимодействуют, явно или неявно используя те или иные протоколы. Протоколы могут быть общеизвестные, открытые, а могут быть проприетарные, фирменные, нераскрываемые.

В первом случае цена доступа регулируется рынком. Во втором она становится практически налогом (скорее, сбором) с населения в пользу одной компании.

Протоколы должны быть открытыми. Полагаю, что регуляторы могли бы обратить на это внимание.

Проблема среды

И еще. Большинство популярных СКЗИ сертифицировано сегодня по двум классам - КС1, если они используются на незащищенном компьютере, и КС2, если они установлены на компьютере с сертифицированным электронным замком, обеспечивающим доверенность среды применения СКЗИ и контроль целостности СКЗИ, как минимум.

Получив сообщение, подписанное ЭП с помощью такой СКЗИ, невозможно определить, устанавливалась ЭП в доверенной среде или в недоверенной. Тем более нельзя установить, в какой среде хранились ключи, как они вырабатывались, не изменились ли за последнее время должностные обязанности лица, подписавшего сообщение, и т. д., и т. п. Так как для корпоративных систем эта ситуация невозможна, то она и не рассматривалась в нормативных документах. Теперь пришла пора обратить внимание на то, что сертификат подписи должен включать и информацию о том, в какой среде устанавливалась ЭП, иначе в будущем не удастся избежать множества недоразумений.

Облачные вычисления в контексте оптимизации расходов

Как правило, об оптимизации расходов вспоминают во времена, когда иные бизнес стратегии перестают отвечать ситуации.  Современные экономические условия являются прекрасным фоном для отстаивания тезиса, что стоимость - это убедительный аргумент для применения облачных вычислений, особенно для выполнения  некритических ИТ-операций или ресурсоемких, но с низким уровнем риска задач.

В отличие от общих рассуждений действительно существенными являются следующие три вопроса.

1) Во-первых, будет ли стоимость перехода на облачные вычисления достаточно низкой для того, чтобы ожидаемый результат проявился уже в среднесрочной перспективе?

2) Оптимизация расходов не может быть основной стратегией для развивающегося бизнеса, и поэтому второй вопрос может быть сформулирован следующим образом: являются ли облачные вычисления платформой для роста и развития предприятия?

3) Естественным третьим вопросом будет вопрос о безопасности - обеспечит ли переход на облачные вычисления уровень безопасности, достаточный для того, чтобы считать отличающие его риски приемлемыми на новом уровне развития предприятия?

Попробуем кратко остановиться на том, что следует считать результатом перехода на облачные вычисления. На наш взгляд, говорить о переходе можно только в том случае, когда облако используется полномасштабно, как ресурс по взаимодействию, доставке и привлечению клиентов. При этом используется мультипликативный характер «экспорта» внутренних бизнес процессов предприятия в общую среду взаимодействия - издержки на ИТ начинают носить характер прямых затрат на производство и реализацию продукции вне зависимости от вида бизнеса.

Важно понять, что облачные вычисления - это гораздо больше, чем просто новый «более оптимальный» способ организации ИТ-инфраструктуры или новый «веб канал»  взаимодействия с клиентом.

Принципиальное отличие «облака» - это возможность построения в нем «бизнес сервисов», использовать которые другие участники облака не просто смогут, а будут заинтересованы по объективным причинам .

Сказанное выше дает базис для ответа на первый вопрос. Ответ такой: расходы на переход в облако оправданы только тогда, когда инициатор перехода оказывается в состоянии разместить в облаке сервис, востребованный не только им одним. Под «внешней востребованностью» необходимо понимать не только иные бизнес структуры, но и подразделения внутри одной компании.  С точки зрения бизнеса это означает переход ИТ-инфраструктуры из раздела обеспечения в раздел производства. ИТ подразделение теряет преимущества «своего», которое нужно содержать за счет основного бизнеса, и начинает открыто конкурировать  за «своих» потребителей с внешними поставщиками услуг.

Ответ на второй вопрос конкретизирует условия, при которых переход в облако становится двигателем развития. Таких условий три. Первое - модульность и интероперабельность  сервисов, позволяющая объединять их понятным для любого внешнего потребителя образом. Второе - масштабируемость и наполненность (законченность), дающие возможность обрабатывать большой поток входных запросов, и при этом отсутствие необходимости производить настройку внутренних процессов (справочников, логики) сервиса.  Третье - «истинная облачность», сервис должен быть в целом перенесен в облако - в нем не должно остаться участков, зависящих от работы человека или иных факторов, которые могут привести к отказу в обслуживании запроса с ожидаемой скоростью и качеством.

И, наконец, наиболее сложный аспект - обеспечение информационной безопасности.  Здесь остановимся только на условиях, при которых возникающие у предприятия риски допустимы.

Реализация политики и мероприятий по обеспечению безопасности облачных вычислений лежит как на операторе облака, так и на пользователе.  Создание условий для функционирования средств защиты информации в первую очередь подразумевает формирование доверенной среды. Для облачной платформы это означает тотальную организацию процессов развертывания и корректного завершения доверенных контейнеров (виртуальных машин  или приложений)  изолированно, внутри системы. Путем контролируемого процесса загрузки формируются и доверенные сервисы участников облака.  

Внутри доверенной среды такие сервисы, как подпись, аутентификация, идентификация и т.п. также становятся облачными сервисами, доступными всем доверенным пользователям на общих основаниях.

Перенос основных сервисов защиты информации в облачную среду снимает с участника инфраструктурно сложную часть средств защиты информации и предъявляет практически единственное требование к пользователю среды облачных вычислений: доверенность среды компьютера (устройства, терминала),  который подключается к облаку.

Таким образом, в контексте оптимизации расходов задача по обеспечению безопасности информации на стороне участника (пользователя) облака сводится  фактически к задаче формирования на рабочих местах доверенной среды, удовлетворяющей требованиям облака. 

Описанный подход ставит задачи и перед вендорами и системными интеграторами в области ИБ - осознание границ, отделяющих владельца облака и клиента облака, и решение задач для каждого из них.

Открытые коды

Фундаментальным понятием безопасности (защищенности) является доверие. Это связано с человеком как субъектом безопасности. Любая защита, сколь бы надежной она ни была, не создаст ощущения безопасности, если человек ей не доверяет.

Доверие тем труднее обеспечить, чем выше уровень недоверия в обществе. Иногда для сделки достаточно только репутации участников, а зачастую недостаточно даже страхового полиса. Дальнейшие рассуждения мы приводим, исходя из существующего (здесь и сейчас) уровня недоверия.

Последние события в нашем обществе показали, что уровень доверия в нем никак не возрастает, скорее наоборот. Конечно, это следствие десятилетиями формируемого в прошлом недоверия ко власти, а также ростом политической активности «креативного класса» в наши дни. Как бы то ни было, считать, что в обществе сформировано доверие к базовым информационным системам информационного общества - значит, сильно ошибаться. Много ли граждан доверяет ГАС «Выборы»?

Доверие обеспечивается двумя составляющими - возможностью проверки и продолжительным положительным опытом. Опыта (продолжительного положительного) применения системы пока нет. Сосредоточимся тогда на возможности проверки. А это значит - открытые коды.

Тенденция развития очевидна - хотим мы этого или нет, следующие версии социально значимых информационных систем будут основаны на открытых кодах. Допускаю, что коды будут выложены для анализа всеми желающими. Естественно, таким же образом должны будут оформляться и решения по защите информации. Пока нам трудно представить, как именно мы это сделаем, но нет сомнения, что делать придется. Ну, а раз так, то уже пора начинать готовиться к этому.

Подводя итог, можно сказать, что начинается принципиально новый этап развития безопасных информационных технологий. Основные его характеристики - это переход на новую централизованную архитектуру обработки данных, новую архитектуру клиентских компьютеров, новые требования к доверенности среды информационного взаимодействия.

Об авторе Конявский В. А., научный руководитель ВНИИПВТИ, научный консультант ОКБ САПР

Доклад сделан  на XVII Международной научно-практической конференции  «Комплексная защита информации»  г. Суздаль, 15-18 мая 2012 г.

Подробнее о конференции: http://www.okbsapr.ru/news.html?new=511 или: http://www.avangardpro.ru/suzdal/gal.php.