Защитим самое дорогое

Как-то захотелось собрать в одном месте описания самых нашумевших компьютерных преступлений. И вот уже написали мы два толстенных тома, а впереди маячит еще и третий.

Но даже в этой массе есть те, которые выделяются. Вот несколько примеров из последних.

Ошибки информационных систем

Один уважаемый человек взял да и перевел с одного своего счета в «Альфа-банке» небольшую сумму денег на другой свой счет в этом же банке. В результате на его счете оказалось не много, не мало – а 20 000 000 рублей.

Вот некоторые вопросы, которые возникли на фоне инцидента.

1. Как это могло произойти?

2.Причина – человек или техника

3.Можно ли считать приемлемым уровень информационной безопасности для вкладчиков банка?

4.Вероятны ли рецидивы?

Попробую ответить.

Ну что же удивительного в том, что в программном обеспечении встречаются ошибки!? Большая система – много ошибок. Вот нашли еще одну, причем в совершенно предсказуемом месте – на стыке двух различных подсистем. «Любая программа содержит как минимум одну ошибку» - гласит программистская мудрость, и уж тем более ошибка есть на стыке программных систем. Оттестировали одну подсистему, оттестировали вторую – а чья же ответственность за их взаимодействие? Вот и оказалось у семи нянек дитя без глаза. Можно уверенно диагностировать отсутствие сквозного контроля целостности и достоверности электронных платежных документов, хотя такая система на основе защитных кодов аутентификации разработана давно и давно с успехом используется в банках, уважающих клиента. С такой же долей уверенности можно сказать, что используются незащищенные от информационных атак банкоматы – здесь не мешало бы ознакомиться с опытом Сбербанка. И так далее. Можно долго продолжать. Я когда-то пытался освоить «зоопарк» средств защиты, предлагаемый «Альфа-банком» для управления счетом через Интернет – и понял, что моего образования для этого не хватит. Думаю, у многих других тоже. Вывод – пользователи будут отключать средства защиты, создавая тем самым новые угрозы и себе, и другим. Так и будет, если стремиться не обеспечить дружественность для пользователя, а лишь формально выполнить формальные требования.

А вот рецидивы не только вероятны, но и будут. Нельзя избавиться от случайностей, можно лишь сократить количество таких инцидентов.

Утечка баз данных

Какие только базы не воровали! Налоговые, телефонные, ГИБДД, таможенные, Пенсионного фонда, операторов мобильной связи, Центрального банка, etc. Кто-то проводил расследование и устранял причины. Кто-то списывал на смежников, кто-то вообще отказывался – не мои базы, и все!

И вот новая беда – украдены базы, содержащие сведения о заемщиках банков, бравших потребительские кредиты. И украденные базы предлагают купить банкам же! Как они были украдены? Откуда? Опасно ли это?

В развернувшейся полемике обратил на себя внимание тон, прозвучавший в заявлениях ряда банковских структур – «Не настоящая это база. Мы проверили – есть там фальшивые записи». Так и хочется продолжить – а жаль. Была бы настоящей – купили бы! Да и не банки купили бы. И не только эти базы.

Вот и первая проблема – не стыдно купить краденое.

Еще пример из жизни. Однажды по моей просьбе мои сотрудники за меня заполнили бланк договора на предоставление услуг цифрового телевидения. Указали персональные данные мои, а вот адрес – моих родственников, сделав резонное предположение, что живем мы вместе. И вот с тех пор на мое имя по не моему адресу регулярно от различных мошенников приходят груды рекламного мусора и приглашений немедленно обогатиться. Так как этот адрес никогда и нигде более в ассоциации со мной не использовался, можно весьма обоснованно предположить, что не только телевидением занимается уважаемая организация, но еще и приторговывает персональными данными своих клиентов.

Это вторая сторона той же проблема – продавать тебе не принадлежащее тоже не стыдно.

Стремление обогатиться на чужой информации интуитивно понятно – затрат никаких, значит, норма прибыли колоссальна, намного больше 300 процентов, при которых, по Ленину, идут на любое преступление. Но почему же так многие позволяют себе преступать закон, продавая/покупая краденое? Видимо, не чувствуют неотвратимости наказания.

Это вторая проблема – слабость нормативного правового регулирования проблемы персональных данных. Закон наконец-то принят, но он далеко несовершенен, а уж говорить о правоприменительной практике и вовсе смешно (или грустно?).

А трудно ли украсть информацию? Даже при неполной, очень фрагментарной защите украсть информацию, не оставив следов – невозможно. Значит, не защищали совершенно. А почему? Хотели, чтобы украли, а следов не осталось? Вполне возможно.

А вот здесь формулируется третья проблема – не слабость, а полное отсутствие технической защиты.

Итак, проблемы три – ментальная, правовая и техническая. Любую из них без двух других решать бессмысленно. Все три нужно решать. Образованием, воспитанием и убеждением – ментальную проблему, чтобы краденым торговать стыдно было. Разработкой правовых актов, их принятием и обеспечением исполнения вплоть до лишения лицензий и уголовного преследования – правовой аспект. И, конечно, технический. Для начала – запретом использовать компьютерные средства для обработки персональных данных, если компьютеры не обеспечены техническими средствами защиты и система не аттестована.

Проблема авторских прав

С этим вообще интересно. Авторы получают свои гонорары двумя путями. Первый – продав по договору имущественные права третьему лицу. Для покупателя – это дорого. Второй путь – это взаимодействие с организацией по коллективному управлению авторскими правами. Это дешево для покупателя, и при этом устраивает автора (исполнителя) – он получает свой гонорар в полном объеме. И удобно – можно купить диск любимого исполнителя, не заключая с ним договора. Почему же так? Не получается ли, что в первом случае мы платим не исполнителю, а огромной армии посредников? Кажется, что именно так и получается. Хотя права и называются «авторскими», деньги мы платим вовсе не авторам.

В историческом смысле тенденция очевидна – Интернет вытеснит (в основном) с рынка музыку на носителях. Так стоит ли самому себе удорожать жизнь? Зачем мне платить неизвестным мне компаниям за изготовление диска, которым я не пользуюсь? И потом – если мне за разные деньги предлагают одну и ту же услугу, то, видимо, логично выбрать того продавца, который продает дешевле. Разве не так? А вот называть пиратами поставщиков услуг, ведущих деятельность на основе взаимодействия с организациями по коллективному управлению авторскими правами – не кажется обоснованным, ведь авторские отчисления осуществляются.

Не так давно мы разработали весьма надежную, на наш взгляд, систему защиты оптических дисков от несанкционированного воспроизведения. Пока индустрией звукозаписи она не востребована. Видимо, их задача не в защите прав авторов, а в защите своих прибылей. Но в этом случае так и нужно говорить – все на защиту прибылей индустрии звукозаписи. Только при чем тут авторы?

Состояние системы технического регулирования

Через три года должно быть завершено создание новой системы технического регулирования. Перестанут работать ГОСТы, их заменят примерно 3000 технических регламентов. Технические регламенты принимаются Федеральным законом или Постановлением правительства. За прошедшие 4 года подготовлено единицы регламентов, ни один из них не поступил в Госдуму, и только один принят Постановлением правительства. В этих условиях вопрос, будет ли своевременно создана новая система технического регулирования – становится риторическим. Нет, нет и нет. Что же получится? ГОСТы перестанут работать, техрегламенты не начнут. Страна превратится в свалку для некачественной продукции третьих стран. Вот такое вот регулирование.

Технология La Grande

Впервые о технологии La Grande заговорили в 2002 году. Суть ее заключается в том, что как бы «поверх» функциональных операций за счет специальных аппаратных средств организуется выполнение контрольных процедур. Для этого основные функциональные блоки компьютера снабжаются резидентными компонентами безопасности, взаимодействующими один с другим, и вырабатывающими сигнал тревоги, если нормальное течение операций нарушается.

Очевидно, что совсем несложно встроить такие РКБ в любую часть компьютера, кроме, разве что, процессора. Как объявлено, первым процессором, в котором полностью реализована поддержка Le Grande, будет (или уже есть?) Prescott.

Все РКБ взаимодействуют со специализированным доверенным модулем TPM, который и принимает решение, продолжить процесс или прервать его. Вот так.

На мой взгляд, именно это является правильным направлением обеспечения защиты на компьютере с Фон-Неймановской архитектурой. Более того, идея РКБ и теоретическое доказательство необходимости такой защиты впервые (как мне до сих пор кажется) было опубликовано именно мной. Здорово ведь – каждый процесс контролируется как при запуске, так и во время исполнения. Не обманешь такую защиту. Не запустишь вредоносную программу или программу, целостность которой была нарушена, не важно, по какой причине. Все очень просто. Проверил перед запуском процесса ЭЦП под ним – и будь уверен в безопасности. Одно тревожит – а будут ли исполняться на таких процессорах программы, не подписанные Майкрософтом? Например, операционные системы, лицензионность которых под сомнением? Да и вообще – вдруг кто-то когда-то при каких-то условиях захочет остановить наши компьютеры? Очень несложно это будет сделать.

Социальная инженерия

Все чаще организаторы компьютерных преступлений используют в своей практике методы социальной инженерии. Почему же эти методы не используются в практике защиты?

Однако есть хороший пример, внушающий оптимизм. Я имею ввиду работу, недавно выполненную в МАИ под руководством профессора О.М.Брехова. Это – организация контролируемого доступа нарушителя к ресурсам сети. Замечаем атаку, и начинаем не отбивать ее, а, подставляя псевдодостоверные данные, заманивать нарушителя все дальше и дальше в информационную ловушку, накапливая «по дороге» данные, которые позволят уличить злоумышленника и наказать его.

Здорово!

Что следует ожидать

Если ничего делать не будем, то следует ожидать:

Снижения уровня безопасности и качества информационных продуктов и средств информационных технологий

Разрушающих программных воздействий, внедряемых вместе с фальшивыми «обновлениями» программного обеспечения

Нашествия дилетантов в области микроплатежей, мобильных платежей, электронных аукционов и госзакупок, что повлечет колоссальный совокупный ущерб

Проблем с программно управляемым оборудованием всех типов, от телекоммуникационной инфраструктуры до холодильников, ванн и детских игрушек включительно

И т.д., и т.п.

Готовность наших технологий

А вот наши технологии не готовы пока.

Известно, что из года в год увеличиваются затраты на защиту информации, а защищенность не возрастает, возрастает лишь ущерб от успешных атак. Чувствуется наличие системной ошибки. Ситуация напоминает строительство забора на даче — его делают все выше, а клубнику как воровали, так и воруют. Видимо, где-то есть дыра. В этом случае важнее не наращивать высоту забора, а дыру забить.

В чем же системная ошибка? Где дыра? Мы, как можем, защищаем компьютеры, данные, каналы — а что забыто?

Что же такое – информационная технология?

Технология – всегда процесс производства продукта. ИТ – процесс производства информационного продукта. В процессе производства продуктов используются материалы, средства производства и технологии производства. В информационном производстве средства производства – это СВТ и ИС на их основе, технологии – это ИТ, а материалы – информация в том или ином виде – преимущественно в виде сообщений в электронной форме.

Основное требование к защите информации — сохранение отношения упорядоченности знаков, символов (изоморфности). Основное требование к защите технологии — сохранение отношения упорядоченности отдельных операций, ее составляющих. В этом случае можно определить и защищенную ИТ – как ИТ, обеспечивающую сохранение последовательности приемов, способов и методов применения средств вычислительной техники при выполнении функций сбора, хранения, обработки, передачи и использования данных.

Отсюда вытекают различия в методах защиты – от защиты объекта мы переходим к защите процесса.

Этим обосновывается выделение нового объекта защиты – информационной (компьютерной) технологии. Развитие методов защиты информационных технологий как нового предмета защиты кажется нам важнейшей задачей.

Что надо делать

1. Рассматривать возрождение отечественной микроэлектроники как национальный проект.

2. Создать национальную (дублирующую, на первых порах) телекоммуникационную инфраструктуру на основе отечественных средств.

3. Нормализовать отношения в области технического регулирования.

4. Обеспечить развитие системы страхования информационных рисков.

О двух последних задачах – чуть подробнее.

Нормализация отношений в области технического регулирования

При развитии системы технического регулирования предлагается реализовать следующие концептуальные положения.

В производственных отраслях экономики обязательные требования к информационным технологиям устанавливать техническими регламентами, регулирующими отношения в данных отраслях экономики.

При этом единство методики принятия и исполнения обязательных требования к информационным технологиям могут обеспечить соответствующие методические рекомендации и национальный стандарт в области безопасности информационных технологий, разрабатываемые Мининформсвязи России и рекомендуемые для использования в отраслях экономики.

Порядок введения, исполнения и контроля обязательных требований к информационным технологиям, используемым в сфере государственного и муниципального управления, а также при обработке информации, обладателем которой является государство, устанавливать законодательством в области информационных технологий, а сами требования определять Правительством Российской Федерации или уполномоченными федеральными органами исполнительной власти.

Правительство Российской Федерации также должно устанавливать обязательные требования к государственным информационным услугам и порядку их предоставления.

Такой подход позволит заметно ускорить развитие системы технического регулирования, и снизит неоправданную нагрузку на законодателя.

Важно поддерживать и инициативы по саморегулированию в инфокоммуникационном сообществе. Так, совершенно очевидно, что практически все напасти вроде вирусов приходят к нам не непосредственно, а через операторов связи. Абсолютно естественным при этом становится вывод о необходимости отражения значительной части атак именно у оператора. А раз зависимость от оператора так велика, то естественно потребовать, чтобы оператор гарантировал хотя бы какой-то минимальный уровень.

Эта работа начата. На заседании исследовательской комиссии Международного Союза Электросвязи МСЭ-Т по информационной безопасности были одобрены предложения по требованиям к базовому уровню информационной безопасности операторов связи. Конечно, эти требования еще несовершенны и их можно критиковать, но они вполне могут стать основой хорошего и полезного документа.

Страхование информационных рисков

Государство и бизнес вынуждены тратить на обеспечение информационной безопасности значительные средства, составляющие 10 – 20% от стоимости информационных ресурсов и систем. При этом затраты не исключают финансовых потерь. Ущерб от реализации угроз информационной безопасности исчисляется миллиардами долларов.

Выход видится в создании системы страхования информационных рисков.

Доктрина информационной безопасности РФ определила создание системы страхования информационных рисков юридических и физических лиц одним из экономических методов обеспечения информационной безопасности РФ. Эти методы дополняют применение традиционных методов защиты – в том числе организационно – технических.

Создание системы страхования информационных рисков обеспечит формирование условий для компенсации финансового ущерба владельцам, собственникам (страхователям) информационных ресурсов и систем и потребителям услуг связи и информатизации, наступивших в результате утраты или искажения информации. В свою очередь, обеспечение гарантий компенсации ущерба повысит уровень доверия между участниками информационного обмена, и, соответственно, обеспечит качественный и количественный скачок в развитии электронных торговых систем, электронного документооборота, систем телемедицины, удостоверяющих центров и всей инфраструктуры информационных технологий в целом.

Сколько же это стоит? Гораздо дешевле, чем может показаться. По данным Ингосстраха, полис страхования информационных рисков увеличивает затраты на обеспечение информационной безопасности на 0,5 – 1,5% от стоимости информационных систем.

Автор: Конявский В. А.

Дата публикации: 01.01.2006

Библиографическая ссылка: Конявский В. А. Защитим самое дорогое // Connect! Мир связи. М., 2006. № 10. С. 32–36.

---