Развитие рынка информационной безопасности. Взгляд из России.

Отрасль защиты информации в России развивается бурно. Тысячи новых СЗИ НСД и сотни новых СКЗИ подтверждают это. Развитие стимулируется Законом о персональных данных, а сейчас активное воздействие начинает оказывать Закон о национальной платежной системе. Заметное влияние оказывают федеральные и региональные программы построения информационного общества, ведомственные и территориальные информационные системы.

Рассматривая осознанные проблемы в нашей отрасли, будем придерживаться трех направлений развития - нормативной, организационно-технической и ментальной, культурологической.

Важнейшими проблемами в сфере нормативного регулирования является проблема расплывчатости многих требований, отсутствия показателей качества, а также негармонизированность требований, предъявляемых регуляторами. Так, например, требования к электронным замкам, которые выполняют, как минимум, контроль целостности, идентификацию и аутентификацию, у различных регуляторов различаются принципиально. Если в одном случае обеспечиваются достаточные условия для создания и поддержки СФК, то в некоторых реализациях вендор ограничивается довольно примитивной имитацией защитных функций, благо, что никаких конкретных требований в ряде случаев не предъявляется. В результате получается изделие, защитными функциями не обладающее, но вполне способное получить сертификат. Замок в дверь вставляется, а не рисуется на ней. Нарисованный замок нельзя запереть. Нельзя программой контролировать программу. Много лет мы говорим о пагубности «синдрома Мюнгхаузена», но попытки продолжаются.

Казалось бы - ладно, рынок рассудит, но все не так просто. Упрощенные решения, в силу слабого понимания требований со стороны потребителей и определенной недобросовестности некоторых вендоров, начинают применяться там, где применяться не могут - например, для создания СФК. И даже если сегодня в ряде «защищенных» открытых систем не используется криптография - завтра она будет использоваться, по крайней мере, электронная подпись наверняка. При этом ведомство, уже однажды потратившее много средств на создание такой псевдозащиты, будет вынуждено почувствовать себя «обманутым вкладчиком». Вряд ли такой подход можно назвать государственным.

Не лучше обстоят дела и с требованиями по разграничению доступа. Судя по руководящим документам, достаточно управлять атрибутами чтения, записи и запуска задач. Возможно, 20 лет назад этого было достаточно, но уже 15 лет как существуют потоки и процессы, а запись и модификация отличаются возможностью удаления, изменения, переименования и так далее. Очевидно, что минимизированная система разграничения доступа может быть по формальным принципам сертифицирована, но не сможет противостоять практически ни одной современной атаке даже хакера-любителя.

Сегодня эти проблемы осознаны, готовятся новые документы, мы надеемся на их скорую презентацию.

Рассматривая направления развития с точки зрения организационно-технической, можно сделать довольно очевидный прогноз. Этот прогноз основан как на наблюдениях, так и на анализе развития элементно-компонентной базы СВТ и успехов национальной программной платформы, а также взрывного роста инструментальных средств создания функциональных программных систем.

Итак, думается, что в ближайшие несколько лет уже трудно будет разыскать персональный компьютер в формате «десктоп». Основными вариантами будут моноблоки, неттопы и нетбуки. Далеко не очевидно при этом, что все они будут в архитектуре x86, скорее всего, на смену компьютерам с архитектурой фон-Неймана придут компьютеры с Гарвардской архитектурой. Одно только это приведет к смене логики технической защиты информации, а если учесть, что превалирующими ОС будут ОС на базе Linux, то понятно, что от многих применяемых сегодня решений, особенно в области СЗИ НСД, не останется камня на камне.

Второе очевидное направление изменений - переход на использование ЦОД и облачных сервисов. Время пришло. Это вторая сторона медали. Многие ведомства уже поняли, что содержание вычислительных центров в центре Москвы - неудобно. Не хватает электричества для кондиционеров и физических серверов. Проще сделать хороший канал и построить ЦОД в подмосковье или дальше, что еще лучше. Чем толще ЦОД, тем тоньше терминалы. Это выгодно. И правильно. Загвоздка в том, что виртуализация пока не может обеспечить выполнения требований по доверенности среды функционирования. Только сейчас появляются решения, обеспечивающие защиту виртуализации оборудования, разрабатываются решения по защите виртуализации приложений, и никто еще не приступил к защите виртуализации ОС. Это с одной стороны. С другой стороны, а именно со стороны клиента, тоже множество проблем. Зачем, например, использовать процессор с поддержкой команд виртуализации на тонком клиенте? Не давая никаких преимуществ, такой подход создает множество новых уязвимостей, что неизбежно приведет к вытеснению архитектуры x86 из зоны клиентов ЦОД.

Нам нужно готовиться к этим изменениям. Но стоит попросить о поддержке и регуляторов. Пока нет общепринятого понимания уязвимостей компьютеров с Гарвардской архитектурой, зато в них не найти привычных для нас уязвимостей. Защищаясь от несуществующих уязвимостей - мы зря тратим деньги и силы, а не защищаясь от имеющихся - просто обманываем заказчика. Этот разрыв нужно осмыслить и устранить.

Переход на  WEB-технологии неизбежен, это очевидно. Инструментальные средства сегодня позволяют  за считанные недели создавать крупные функциональные программные комплексы, но затем обычно начинается разработка подсистемы обеспечения информационной безопасности, которая, как и раньше, длится годами. Этот айсберг нужно разрушить, и сделать это можно только одним методом - переходом на использование типовых решений по ИБ.

Конечно, ни один вендор и интегратор не станет самостоятельно поднимать этот пласт научно-технических решений. Инициировать эти работы - задача государства. Форма - частно-государственное партнерство. Участники - регуляторы, МинПром и Ростехнологии с одной стороны, и Ассоциация Защиты информации с другой стороны.

Ментальный аспект сегодня, видимо, наиболее важен. Здесь можно в качестве основной выделить проблему разрыва в понимании понятия «профессионал». Многие члены ассоциации не без оснований считают себя профессионалами, и являются таковыми. Профессионалами считают себя и инженерно-технические сотрудники предприятий, которым поручают выполнение заданий по защите информации. Как правило, это недавние выпускники вузов, которые зачастую слово «безопасность» пишут через «т». Если исключить из рассмотрения выпускников буквально 5-6 вузов, то окажется, что у остальных уровень подготовки удручающе низкий, и они не могут справиться не только с проектированием системы, но и просто с выбором тех или иных средств защиты.

Ситуация усугубляется тем, что штатные расписания не предусматривают наличия групп специалистов по информационной безопасности. Например, в 45% банков  работает всего один (!) специалист по защите информации. Известен знаменитый диалектический закон перехода количества в качество. А вот здесь намечается закономерность «обратного перехода». Действительно, каким бы высоким профессионалом ни был человек, если он один в структуре, работающей с миллиардными оборотами, через весьма небольшое время он неизбежно дисквалифицируется и не сможет выполнять необходимые функции. Он будет занят, но совершенно другими делами. Не может один человек настраивать межсетевые экраны, сопровождать системы обнаружения вторжений, контролировать события безопасности, генерируемые СЗИ НСД и так далее.

  Выходом здесь может быть организация дистанционного обучения, подготовки и переподготовки кадров со стороны АЗИ. Кадровый потенциал Ассоциации сегодня очень большой, и представляется, что Ассоциация могла бы использовать его для того, чтобы снизить хаос в случайных наборах сведений, которыми зачастую оперируют на местах. Ключевым моментом здесь является то, что обучение может проводиться не только и не столько использованию тех или иных продуктов, чем обычно успешно занимаются учебные центры вендоров, а организации безопасных систем в целом.

Вполне возможно, что необходимо продумать и систему информирования граждан о тех возможностях, которые сегодня мы можем для них предоставить. Не секрет, что практически все мы работаем на корпоративных рынках. В то же время проблемы у граждан уже возникают. Это и доступ к сервисам Электронного правительства, ДБО, и многое другое. Конечно, вендору одному сложно организовать цикл просветительских программ по ТВ, а вот АЗИ это вполне может быть под силу, особенно при поддержке регуляторов. Более того, представляется, что в этом должны быть заинтересованы и регуляторы. Такое предложение вполне может быть поддержано и ФСБ, и ФСТЭК, и Минкомсвязью.

ДБО

Настоящие проблемы в ДБО начались с появления трояна, который похищал ключи, размещенные на дискете. Конечно, этой проблемой стоило заняться. Решение пришло, казалось бы, само собой - раз с дискеты воруют, положим ключи в другое место. И положили. На токен.

Абсолютно очевидно, что это ни на йоту не безопасней, но нашлись люди, которые в эти абсурдные рекомендации поверили. С этого момента началась вакханалия бессмысленных, с очки зрения безопасности, решений. Виртуальные клавиатуры - якобы хакера, способного внедрить клавиатурного шпиона для физической клавиатуры, затруднит внедрить его же, но для виртуальной! Далее - списки одноразовых паролей, SMS-информирование и так далее, и тому подобное, продолжая и продолжая бороться со следствием, и не обращая внимания на причину. Причина же очевидна -работать с документами можно только в доверенной среде. Волеизъявление человека гарантировано защищено от изменений только в доверенной среде. Доверенная среда обеспечивает достаточные условия для функционирования криптографии - и еще, еще, еще!

Знания эти давно не являются сакральными, они доступны всем желающим, и для того, чтобы не знать этого - нужно сильно постараться или притвориться. Большинство добросовестных вендоров это знают и понимают. По оценкам экспертов, «банки выдали клиентам почти миллион защищенных носителей ключей ЭП (USB-токенов), соответственно, поле для деятельности хакеров крайне велико». Думается, не к лицу вендорам обманывать потребителей, обещая им защиту от хакеров с помощью средств, не обеспечивающих создание доверенной среды. Если человек доверяет плохому или некомплексному продукту, у него возникает ощущение безопасности. В данном случае это играет отрицательную роль - безосновательная успокоенность при реальной незащищенности обычно приводит к печальным последствиям. Как результат - 3 млрд. долларов потерь в 2010 году, и 7 - в 2011. Кто-то зарабатывает миллионы, а многие теряют свои деньги. Это плохой результат.

 Дешево, быстро, опасно - вот как расшифровывают сегодня ДБО.

На счетах банков вкладчики разместили около 11 триллионов рублей, и значительная часть их может быть утрачена в результате хакерских атак. Куда могут пойти эти деньги? К каким экономическим и даже геополитическим потрясениям это может привести? Проблема достаточно серьезная для того, что бы считать ее проблемой национальной безопасности.

Потеря возможна потому, что реальные меры безопасности по уже приведенным выше причинам подменяются имитацией защиты. Ни одна система ДБО сегодня не обеспечивает создания доверенной среды исполнения СКЗИ со стороны клиента, в результате применение средств защиты осуществляется с нарушением обязательных условий, что и приводит к потерям. Полноценная защита слишком дорогая, а усеченная - не дает ожидаемого эффекта, но рекомендуется банками, поскольку создает у клиентов ложную, но все же уверенность в безопасности.

Ответственность за финансовые потери банки переносят на клиентов, хотя понимают опасность «усеченных» решений, и в целом совсем не хотят намеренно никому вредить. Клиенты соглашаются, потому что не понимают реальных рисков и потому, что не видят альтернативы. И в первом и во втором случае ситуация чревата колоссальными репутационными рисками, особенно для крупных банков.  При потере средств клиент испытывает огромное разочарование услугой банка и банком в целом. В этом случае клиент не будет считаться с тем, что «так у всех», он все равно будет винить именно тот банк, который так его подвел. Но и понимание клиентами того, что банк покрывает свои риски их деньгами, не способствует привлечению новых клиентов.

Применение ЭП и авторизация граждан в системах электронного правительства

При анализе применимости тех или иных механизмов идентификации /аутентификации (ИА) для целей электронного правительства важен не столько выбор типа идентификатора, сколько обоснование того, какие именно услуги можно предоставить гражданину, идентифицировавшемуся тем или иным способом. Действительно, многие граждане уже имеют средства идентификации - ими могут быть любые банковские пластиковые карты, социальные карты, Универсальная электронная карта, USB-идентификаторы, TM-идентификаторы, отпечатки пальцев, сосудистое русло, номер мобильного телефона, логин и пароль e-mail и многое другое. Пользуясь идентификацией на основе этих средств, граждане получают немало услуг, и эти услуги зачастую весьма значимы. Можно управлять своим счетом, можно войти к себе домой или к себе на работу, можно открыть свой сейф, чтобы взять или положить свои документы.

Иначе дело обстоит тогда, когда гражданин обращается в госорганы. Здесь недостаточно идентифицироваться ключом от подъезда. Для того чтобы получить водительское удостоверение, диплом, зарегистрировать собственность, нужен паспорт. Информационные ресурсы в системах электронного правительства - государственные ИР, и своими для любого гражданина они являются лишь в части персональных данных.

Доступ к чему-то своему гражданин может осуществлять так, как хочет. Для изменения своих прав и волеизъявления - он должен предъявить паспорт.

Во втором случае более строгие методы авторизации применяются лишь по той причине, что волеизъявление и изменение прав могут оказать влияние не только на гражданина, выступающего в данный момент субъектом отношений, но и на многих других членов гражданского общества.

Для того чтобы идентифицироваться в платной справочной службе и узнать, во сколько и откуда отходит поезд, достаточно позвонить с частного телефона, номер которого определяется АОНом. А вот внести расписание движения поездов в компьютерную систему можно только в том случае, если оно заверено подписью должностного лица - иначе неприятностей не оберешься.

Эти два случая отличаются не содержанием данных, а направлением их движения - из системы или в систему.

Только при установлении наличия и подлинности правоустанавливающих документов можно изменить в системе состав данных о собственности и персональных данных гражданина. Наличие тех или иных прав у одного человека существенно влияет на права других людей. Именно поэтому волеизъявление (понимаемое как изменение правоотношений), изменение прав и персональных данных фиксируются в информационной системе только при предъявлении документов, т. е. сведений, снабженных реквизитами, фиксирующими факты, в этих сведениях содержащиеся.

Подлинность подписи на бумаге устанавливается визуальными, приборными и криминалистическими методами. Цель - убедиться в достоверности волеизъявления гражданина.

В цифровом мире роль подписи выполняет криптографическое преобразование, которое называется ЭП - электронная подпись. При этом достоверность ЭП обеспечивается доверенной средой выполнения процедуры подписи, и поэтому достоверной ЭП является только та ЭП, которая устанавливается на доверенном компьютере. Недостаточно использовать сертифицированные средства ЭП, необходимо также, чтобы компьютер был доверенным. Это требование обеспечивается процедурами проверки правильности встраивания.

Для нужд электронного правительства могут применяться различные методы ИА. Человек вправе сам выбрать, какой метод авторизации достаточен для того, чтобы просто, недорого и с достаточной надежностью получать данные из системы. Иначе обстоит дело с включением данных в состав системы. Источник этих данных должен быть зафиксирован, следовательно, они должны быть подписаны, значит, должны поступать из доверенной системы.

Из доверенной системы должны поступать:

• регистрационные данные и данные об изменении параметров регистрации (персональных данных);
• данные, содержащие волеизъявление граждан;
• данные об изменение прав;
• данные, содержащие сведения о юридических фактах.

Эти данные должны быть подписаны в доверенных системах или в доверенных сеансах.

Таким образом:

• если обеспечивается доверенное взаимодействие, то могут предоставляться любые услуги;
• если доверенное взаимодействие не обеспечивается, то могут предоставляться только те услуги, риски по которым

1. допустимы для систем электронного правительства
2. приемлемы для гражданина.

Только в доверенной среде могут предоставляться услуги, связанные с:

• волеизъявлением граждан;
• управлением собственностью;
• управлением персональными данными.

Только в доверенной среде взаимодействуют с системами электронного правительства смежные подсистемы и должностные лица.

Для реализации описанного подхода необходимо:

• перечислить все услуги электронного правительства гражданам;
• классифицировать их по принципам, описанным выше, т. е. разделить на услуги информирования и доверенные;
• попытаться услуги информирования классифицировать по степеням важности, с тем чтобы поставить в соответствие различным идентификаторам различные (пересекающиеся, и даже расширяемые) группы услуг;
• систему идентификации и аутентификации проектировать с учетом наличия доверенного взаимодействия и возможности предоставления различных наборов услуг гражданам, использующим различные методы авторизации, вплоть до полного набора услуг;
• исходя из такого подхода доработать модели нарушителя и угроз;
• для организации доверенного взаимодействия разработать пункты доступа в защищенном исполнении, а для наиболее активных категорий граждан предложить использовать технологию доверенных сеансов.

Остается только отметить, что, судя по всему, сервисы электронного правительства рано или поздно будут облачными сервисами, что внесет свои корректировки. Как бы то ни было, анализ направления передачи данных в информационных системах может серьезно уменьшить затраты на создание системы защиты, а в открытых системах даже сделать их реализуемыми.

 Проблема проприетарности

И еще. ИС информационного общества создаются для оказания услуг гражданам, для снижения нагрузки (временной, эмоциональной, коррупционной) на граждан, связанной с их взаимодействием с государством.

С системами граждане взаимодействуют, явно или неявно используя те или иные протоколы. Протоколы могут быть общеизвестные, открытые, а могут быть проприетарные, фирменные, нераскрываемые.

В первом случае цена доступа регулируется рынком. Во втором она становится практически налогом (скорее, сбором) с населения в пользу одной компании.

Протоколы должны быть открытыми. Полагаю, что регуляторы могли бы обратить на это внимание.

Проблема среды

И еще. Большинство популярных СКЗИ сертифицировано сегодня по двум классам - КС1, если они используются на незащищенном компьютере, и КС2, если они установлены на компьютере с сертифицированным электронным замком, обеспечивающим доверенность среды применения СКЗИ и контроль целостности СКЗИ, как минимум.

Получив сообщение, подписанное ЭП с помощью такой СКЗИ, невозможно определить, устанавливалась ЭП в доверенной среде или в недоверенной. Тем более нельзя установить, в какой среде хранились ключи, как они вырабатывались, не изменились ли за последнее время должностные обязанности лица, подписавшего сообщение, и т. д., и т. п. Так как для корпоративных систем эта ситуация невозможна, то она и не рассматривалась в нормативных документах. Теперь пришла пора обратить внимание на то, что сертификат подписи должен включать и информацию о том, в какой среде устанавливалась ЭП, иначе в будущем не удастся избежать множества недоразумений.

Облачные вычисления в контексте оптимизации расходов

Как правило, об оптимизации расходов вспоминают во времена, когда иные бизнес стратегии перестают отвечать ситуации.  Современные экономические условия являются прекрасным фоном для отстаивания тезиса, что стоимость - это убедительный аргумент для применения облачных вычислений, особенно для выполнения  некритических ИТ-операций или ресурсоемких, но с низким уровнем риска задач.

В отличие от общих рассуждений действительно существенными являются следующие три вопроса.

1) Во-первых, будет ли стоимость перехода на облачные вычисления достаточно низкой для того, чтобы ожидаемый результат проявился уже в среднесрочной перспективе?

2) Оптимизация расходов не может быть основной стратегией для развивающегося бизнеса, и поэтому второй вопрос может быть сформулирован следующим образом: являются ли облачные вычисления платформой для роста и развития предприятия?

3) Естественным третьим вопросом будет вопрос о безопасности - обеспечит ли переход на облачные вычисления уровень безопасности, достаточный для того, чтобы считать отличающие его риски приемлемыми на новом уровне развития предприятия?

Попробуем кратко остановиться на том, что следует считать результатом перехода на облачные вычисления. На наш взгляд, говорить о переходе можно только в том случае, когда облако используется полномасштабно, как ресурс по взаимодействию, доставке и привлечению клиентов. При этом используется мультипликативный характер «экспорта» внутренних бизнес процессов предприятия в общую среду взаимодействия - издержки на ИТ начинают носить характер прямых затрат на производство и реализацию продукции вне зависимости от вида бизнеса.

Важно понять, что облачные вычисления - это гораздо больше, чем просто новый «более оптимальный» способ организации ИТ-инфраструктуры или новый «веб канал»  взаимодействия с клиентом.

Принципиальное отличие «облака» - это возможность построения в нем «бизнес сервисов», использовать которые другие участники облака не просто смогут, а будут заинтересованы по объективным причинам .

Сказанное выше дает базис для ответа на первый вопрос. Ответ такой: расходы на переход в облако оправданы только тогда, когда инициатор перехода оказывается в состоянии разместить в облаке сервис, востребованный не только им одним. Под «внешней востребованностью» необходимо понимать не только иные бизнес структуры, но и подразделения внутри одной компании.  С точки зрения бизнеса это означает переход ИТ-инфраструктуры из раздела обеспечения в раздел производства. ИТ подразделение теряет преимущества «своего», которое нужно содержать за счет основного бизнеса, и начинает открыто конкурировать  за «своих» потребителей с внешними поставщиками услуг.

Ответ на второй вопрос конкретизирует условия, при которых переход в облако становится двигателем развития. Таких условий три. Первое - модульность и интероперабельность  сервисов, позволяющая объединять их понятным для любого внешнего потребителя образом. Второе - масштабируемость и наполненность (законченность), дающие возможность обрабатывать большой поток входных запросов, и при этом отсутствие необходимости производить настройку внутренних процессов (справочников, логики) сервиса.  Третье - «истинная облачность», сервис должен быть в целом перенесен в облако - в нем не должно остаться участков, зависящих от работы человека или иных факторов, которые могут привести к отказу в обслуживании запроса с ожидаемой скоростью и качеством.

И, наконец, наиболее сложный аспект - обеспечение информационной безопасности.  Здесь остановимся только на условиях, при которых возникающие у предприятия риски допустимы.

Реализация политики и мероприятий по обеспечению безопасности облачных вычислений лежит как на операторе облака, так и на пользователе.  Создание условий для функционирования средств защиты информации в первую очередь подразумевает формирование доверенной среды. Для облачной платформы это означает тотальную организацию процессов развертывания и корректного завершения доверенных контейнеров (виртуальных машин  или приложений)  изолированно, внутри системы. Путем контролируемого процесса загрузки формируются и доверенные сервисы участников облака.  

Внутри доверенной среды такие сервисы, как подпись, аутентификация, идентификация и т.п. также становятся облачными сервисами, доступными всем доверенным пользователям на общих основаниях.

Перенос основных сервисов защиты информации в облачную среду снимает с участника инфраструктурно сложную часть средств защиты информации и предъявляет практически единственное требование к пользователю среды облачных вычислений: доверенность среды компьютера (устройства, терминала),  который подключается к облаку.

Таким образом, в контексте оптимизации расходов задача по обеспечению безопасности информации на стороне участника (пользователя) облака сводится  фактически к задаче формирования на рабочих местах доверенной среды, удовлетворяющей требованиям облака. 

Описанный подход ставит задачи и перед вендорами и системными интеграторами в области ИБ - осознание границ, отделяющих владельца облака и клиента облака, и решение задач для каждого из них.

Открытые коды

Фундаментальным понятием безопасности (защищенности) является доверие. Это связано с человеком как субъектом безопасности. Любая защита, сколь бы надежной она ни была, не создаст ощущения безопасности, если человек ей не доверяет.

Доверие тем труднее обеспечить, чем выше уровень недоверия в обществе. Иногда для сделки достаточно только репутации участников, а зачастую недостаточно даже страхового полиса. Дальнейшие рассуждения мы приводим, исходя из существующего (здесь и сейчас) уровня недоверия.

Последние события в нашем обществе показали, что уровень доверия в нем никак не возрастает, скорее наоборот. Конечно, это следствие десятилетиями формируемого в прошлом недоверия ко власти, а также ростом политической активности «креативного класса» в наши дни. Как бы то ни было, считать, что в обществе сформировано доверие к базовым информационным системам информационного общества - значит, сильно ошибаться. Много ли граждан доверяет ГАС «Выборы»?

Доверие обеспечивается двумя составляющими - возможностью проверки и продолжительным положительным опытом. Опыта (продолжительного положительного) применения системы пока нет. Сосредоточимся тогда на возможности проверки. А это значит - открытые коды.

Тенденция развития очевидна - хотим мы этого или нет, следующие версии социально значимых информационных систем будут основаны на открытых кодах. Допускаю, что коды будут выложены для анализа всеми желающими. Естественно, таким же образом должны будут оформляться и решения по защите информации. Пока нам трудно представить, как именно мы это сделаем, но нет сомнения, что делать придется. Ну, а раз так, то уже пора начинать готовиться к этому.

Подводя итог, можно сказать, что начинается принципиально новый этап развития безопасных информационных технологий. Основные его характеристики - это переход на новую централизованную архитектуру обработки данных, новую архитектуру клиентских компьютеров, новые требования к доверенности среды информационного взаимодействия.

Автор: Конявский В. А.

Дата публикации: 01.01.2012