Отрасль защиты информации в России развивается бурно. Тысячи новых СЗИ НСД и сотни новых СКЗИ подтверждают это. Развитие стимулируется Законом о персональных данных, а сейчас активное воздействие начинает оказывать Закон о национальной платежной системе. Заметное влияние оказывают федеральные и региональные программы построения информационного общества, ведомственные и территориальные информационные системы.
Рассматривая осознанные проблемы в нашей отрасли, будем придерживаться трех направлений развития - нормативной, организационно-технической и ментальной, культурологической.
Важнейшими проблемами в сфере нормативного регулирования является проблема расплывчатости многих требований, отсутствия показателей качества, а также негармонизированность требований, предъявляемых регуляторами. Так, например, требования к электронным замкам, которые выполняют, как минимум, контроль целостности, идентификацию и аутентификацию, у различных регуляторов различаются принципиально. Если в одном случае обеспечиваются достаточные условия для создания и поддержки СФК, то в некоторых реализациях вендор ограничивается довольно примитивной имитацией защитных функций, благо, что никаких конкретных требований в ряде случаев не предъявляется. В результате получается изделие, защитными функциями не обладающее, но вполне способное получить сертификат. Замок в дверь вставляется, а не рисуется на ней. Нарисованный замок нельзя запереть. Нельзя программой контролировать программу. Много лет мы говорим о пагубности «синдрома Мюнгхаузена», но попытки продолжаются.
Казалось бы - ладно, рынок рассудит, но все не так просто. Упрощенные решения, в силу слабого понимания требований со стороны потребителей и определенной недобросовестности некоторых вендоров, начинают применяться там, где применяться не могут - например, для создания СФК. И даже если сегодня в ряде «защищенных» открытых систем не используется криптография - завтра она будет использоваться, по крайней мере, электронная подпись наверняка. При этом ведомство, уже однажды потратившее много средств на создание такой псевдозащиты, будет вынуждено почувствовать себя «обманутым вкладчиком». Вряд ли такой подход можно назвать государственным.
Не лучше обстоят дела и с требованиями по разграничению доступа. Судя по руководящим документам, достаточно управлять атрибутами чтения, записи и запуска задач. Возможно, 20 лет назад этого было достаточно, но уже 15 лет как существуют потоки и процессы, а запись и модификация отличаются возможностью удаления, изменения, переименования и так далее. Очевидно, что минимизированная система разграничения доступа может быть по формальным принципам сертифицирована, но не сможет противостоять практически ни одной современной атаке даже хакера-любителя.
Сегодня эти проблемы осознаны, готовятся новые документы, мы надеемся на их скорую презентацию.
Рассматривая направления развития с точки зрения организационно-технической, можно сделать довольно очевидный прогноз. Этот прогноз основан как на наблюдениях, так и на анализе развития элементно-компонентной базы СВТ и успехов национальной программной платформы, а также взрывного роста инструментальных средств создания функциональных программных систем.
Итак, думается, что в ближайшие несколько лет уже трудно будет разыскать персональный компьютер в формате «десктоп». Основными вариантами будут моноблоки, неттопы и нетбуки. Далеко не очевидно при этом, что все они будут в архитектуре x86, скорее всего, на смену компьютерам с архитектурой фон-Неймана придут компьютеры с Гарвардской архитектурой. Одно только это приведет к смене логики технической защиты информации, а если учесть, что превалирующими ОС будут ОС на базе Linux, то понятно, что от многих применяемых сегодня решений, особенно в области СЗИ НСД, не останется камня на камне.
Второе очевидное направление изменений - переход на использование ЦОД и облачных сервисов. Время пришло. Это вторая сторона медали. Многие ведомства уже поняли, что содержание вычислительных центров в центре Москвы - неудобно. Не хватает электричества для кондиционеров и физических серверов. Проще сделать хороший канал и построить ЦОД в подмосковье или дальше, что еще лучше. Чем толще ЦОД, тем тоньше терминалы. Это выгодно. И правильно. Загвоздка в том, что виртуализация пока не может обеспечить выполнения требований по доверенности среды функционирования. Только сейчас появляются решения, обеспечивающие защиту виртуализации оборудования, разрабатываются решения по защите виртуализации приложений, и никто еще не приступил к защите виртуализации ОС. Это с одной стороны. С другой стороны, а именно со стороны клиента, тоже множество проблем. Зачем, например, использовать процессор с поддержкой команд виртуализации на тонком клиенте? Не давая никаких преимуществ, такой подход создает множество новых уязвимостей, что неизбежно приведет к вытеснению архитектуры x86 из зоны клиентов ЦОД.
Нам нужно готовиться к этим изменениям. Но стоит попросить о поддержке и регуляторов. Пока нет общепринятого понимания уязвимостей компьютеров с Гарвардской архитектурой, зато в них не найти привычных для нас уязвимостей. Защищаясь от несуществующих уязвимостей - мы зря тратим деньги и силы, а не защищаясь от имеющихся - просто обманываем заказчика. Этот разрыв нужно осмыслить и устранить.
Переход на WEB-технологии неизбежен, это очевидно. Инструментальные средства сегодня позволяют за считанные недели создавать крупные функциональные программные комплексы, но затем обычно начинается разработка подсистемы обеспечения информационной безопасности, которая, как и раньше, длится годами. Этот айсберг нужно разрушить, и сделать это можно только одним методом - переходом на использование типовых решений по ИБ.
Конечно, ни один вендор и интегратор не станет самостоятельно поднимать этот пласт научно-технических решений. Инициировать эти работы - задача государства. Форма - частно-государственное партнерство. Участники - регуляторы, МинПром и Ростехнологии с одной стороны, и Ассоциация Защиты информации с другой стороны.
Ментальный аспект сегодня, видимо, наиболее важен. Здесь можно в качестве основной выделить проблему разрыва в понимании понятия «профессионал». Многие члены ассоциации не без оснований считают себя профессионалами, и являются таковыми. Профессионалами считают себя и инженерно-технические сотрудники предприятий, которым поручают выполнение заданий по защите информации. Как правило, это недавние выпускники вузов, которые зачастую слово «безопасность» пишут через «т». Если исключить из рассмотрения выпускников буквально 5-6 вузов, то окажется, что у остальных уровень подготовки удручающе низкий, и они не могут справиться не только с проектированием системы, но и просто с выбором тех или иных средств защиты.
Ситуация усугубляется тем, что штатные расписания не предусматривают наличия групп специалистов по информационной безопасности. Например, в 45% банков работает всего один (!) специалист по защите информации. Известен знаменитый диалектический закон перехода количества в качество. А вот здесь намечается закономерность «обратного перехода». Действительно, каким бы высоким профессионалом ни был человек, если он один в структуре, работающей с миллиардными оборотами, через весьма небольшое время он неизбежно дисквалифицируется и не сможет выполнять необходимые функции. Он будет занят, но совершенно другими делами. Не может один человек настраивать межсетевые экраны, сопровождать системы обнаружения вторжений, контролировать события безопасности, генерируемые СЗИ НСД и так далее.
Выходом здесь может быть организация дистанционного обучения, подготовки и переподготовки кадров со стороны АЗИ. Кадровый потенциал Ассоциации сегодня очень большой, и представляется, что Ассоциация могла бы использовать его для того, чтобы снизить хаос в случайных наборах сведений, которыми зачастую оперируют на местах. Ключевым моментом здесь является то, что обучение может проводиться не только и не столько использованию тех или иных продуктов, чем обычно успешно занимаются учебные центры вендоров, а организации безопасных систем в целом.
Вполне возможно, что необходимо продумать и систему информирования граждан о тех возможностях, которые сегодня мы можем для них предоставить. Не секрет, что практически все мы работаем на корпоративных рынках. В то же время проблемы у граждан уже возникают. Это и доступ к сервисам Электронного правительства, ДБО, и многое другое. Конечно, вендору одному сложно организовать цикл просветительских программ по ТВ, а вот АЗИ это вполне может быть под силу, особенно при поддержке регуляторов. Более того, представляется, что в этом должны быть заинтересованы и регуляторы. Такое предложение вполне может быть поддержано и ФСБ, и ФСТЭК, и Минкомсвязью.
ДБО
Настоящие проблемы в ДБО начались с появления трояна, который похищал ключи, размещенные на дискете. Конечно, этой проблемой стоило заняться. Решение пришло, казалось бы, само собой - раз с дискеты воруют, положим ключи в другое место. И положили. На токен.
Абсолютно очевидно, что это ни на йоту не безопасней, но нашлись люди, которые в эти абсурдные рекомендации поверили. С этого момента началась вакханалия бессмысленных, с очки зрения безопасности, решений. Виртуальные клавиатуры - якобы хакера, способного внедрить клавиатурного шпиона для физической клавиатуры, затруднит внедрить его же, но для виртуальной! Далее - списки одноразовых паролей, SMS-информирование и так далее, и тому подобное, продолжая и продолжая бороться со следствием, и не обращая внимания на причину. Причина же очевидна -работать с документами можно только в доверенной среде. Волеизъявление человека гарантировано защищено от изменений только в доверенной среде. Доверенная среда обеспечивает достаточные условия для функционирования криптографии - и еще, еще, еще!
Знания эти давно не являются сакральными, они доступны всем желающим, и для того, чтобы не знать этого - нужно сильно постараться или притвориться. Большинство добросовестных вендоров это знают и понимают. По оценкам экспертов, «банки выдали клиентам почти миллион защищенных носителей ключей ЭП (USB-токенов), соответственно, поле для деятельности хакеров крайне велико». Думается, не к лицу вендорам обманывать потребителей, обещая им защиту от хакеров с помощью средств, не обеспечивающих создание доверенной среды. Если человек доверяет плохому или некомплексному продукту, у него возникает ощущение безопасности. В данном случае это играет отрицательную роль - безосновательная успокоенность при реальной незащищенности обычно приводит к печальным последствиям. Как результат - 3 млрд. долларов потерь в 2010 году, и 7 - в 2011. Кто-то зарабатывает миллионы, а многие теряют свои деньги. Это плохой результат.
Дешево, быстро, опасно - вот как расшифровывают сегодня ДБО.
На счетах банков вкладчики разместили около 11 триллионов рублей, и значительная часть их может быть утрачена в результате хакерских атак. Куда могут пойти эти деньги? К каким экономическим и даже геополитическим потрясениям это может привести? Проблема достаточно серьезная для того, что бы считать ее проблемой национальной безопасности.
Потеря возможна потому, что реальные меры безопасности по уже приведенным выше причинам подменяются имитацией защиты. Ни одна система ДБО сегодня не обеспечивает создания доверенной среды исполнения СКЗИ со стороны клиента, в результате применение средств защиты осуществляется с нарушением обязательных условий, что и приводит к потерям. Полноценная защита слишком дорогая, а усеченная - не дает ожидаемого эффекта, но рекомендуется банками, поскольку создает у клиентов ложную, но все же уверенность в безопасности.
Ответственность за финансовые потери банки переносят на клиентов, хотя понимают опасность «усеченных» решений, и в целом совсем не хотят намеренно никому вредить. Клиенты соглашаются, потому что не понимают реальных рисков и потому, что не видят альтернативы. И в первом и во втором случае ситуация чревата колоссальными репутационными рисками, особенно для крупных банков. При потере средств клиент испытывает огромное разочарование услугой банка и банком в целом. В этом случае клиент не будет считаться с тем, что «так у всех», он все равно будет винить именно тот банк, который так его подвел. Но и понимание клиентами того, что банк покрывает свои риски их деньгами, не способствует привлечению новых клиентов.
Продолжение следует
Опубликовано на портале http://www.sec.ru/