Статьи
Держава і революція в сфері інформаційної безпеки
РЕГУЛЮВАННЯ
У 90-х роках Росія пережила тиху революцію, ми помічену громадськістю і не оцінену по достоїнству аналітиками. Йдеться про таку специфічну області, як інформаційна безпека.
На рубежі 80-х і 90-х громадянин СРСР, який мав чіткі уявлення про криптографії, міг бути тільки співробітником спецслужб або іноземним шпигуном. Відкрита література на цю тему вичерпувалася "Золотим жуком" Едгара По і "Танцюючі чоловічки" Артура Конан-Дойля. Проблем із захистом корпоративних мереж не існувало, оскільки мережі були, а корпорацій - не було. Інтернет і СНІД ще не охопили країну, і вірусна небезпека асоціювалася тільки з грипом. Промислове шпигунство вважався такою ж екзотикою, як і Таїланд. Все, що захищалося в області інформації, - захищалася державою, яке визначало що, як і ким, не надто переймаючись питанням "скільки коштує?". Левова частка інформаційного поля ставилася до державної таємниці. Інші види таємниць серйозно не сприймалися.
За минуле десятиліття становище кардинально змінилося. Полиці книжкових магазинів тепер завалені літературою по криптографії та захисту інформації. Виникає враження, що варто комерційній структурі заробити великі гроші - і вона тут же починає шифрувати інформацію про те, куди вони діваються. У корпорацій з'явилися не тільки комерційні таємниці, цінуються ними набагато вище державних, а й відділи інформаційної безпеки, укомплектовані кваліфікованими професіоналами. Зацікавлені сторони регулярно крадуть фінансові секрети і різні технології. Судячи з повідомлень ЗМІ, іноземні розвідки вважають за краще технології (не дарма ж то один, то інший російський вчений виявляється в суді у справах про шпигунство), а конкуренти - фінансові секрети. Інтернет став неоціненним перевагою і одночасно найбільшим головним болем. Хакери зовсім розперезалися, хоча і принесли певну користь, забезпечивши пристойну зарплату фахівцям із захисту і безбідне існування багатьом фірмам - виробникам ПО. Список загроз безпеки для корпоративних мереж здатний приголомшити людей зі слабкими нервами керівників. Персонал, який в колишні часи можна було звинуватити хіба що в прожигании робочого часу в курилках, тепер став об'єктом постійних підозр в нелояльності і використанні Інтернету для перегляду порнографії.
З іншого боку, ринок і можливості програмних засобів захисту також вражають уяву. Антивірусні системи, шифрувальні пакети, системи виявлення вразливостей, вторгнень, активного аудиту, фільтрації контента і т. Д. І т. П ... Є навіть витончені технологічні рішення, що дозволяють власнику при надходженні сигналу на стільниковий телефон дистанційно знищити будь-яку конфіденційну інформацію на сервері (мабуть, для замовників, що розглядають віртуальні загрози як абстракцію, а прокуратуру - як сувору реальність). Правоохоронні органи, в свою чергу, перебудувалися і при обшуках в офісах компаній відразу вилучають жорсткі диски, виносячи їх чомусь разом з півторатонний серверами і рапортуючи про успіхи по вилученню електронної документації не в кілобайтах, а в кілограмах.
Коротше кажучи, революційні зміни в області інформаційної безпеки (ІБ) можна порівняти за своєю масштабністю з переходом від рабовласництва до феодального. Причому перехід цей відбувся в повній відповідності з відомою формулою: "Те, що ми називаємо прогресом, представляє по суті заміну одних неприємностей іншими".
Дійсно, якщо відволіктися від вражаючого факту, що розвиток в даному секторі вийшло на новий виток спіралі, то виявляється, що є серйозні причини задуматися. Спробуємо неупереджено оцінити ситуацію.
Очевидно, що рівень розвитку сектора інформаційної безпеки може грати роль як непрямого прискорювача, так і потужного гальма для інформаційних технологій (ІТ). Наприклад, затребуваність і поширення Інтернет-банкінгу в значній мірі визначається безпекою фінансових транзакцій. А стан ІТ безпосередньо впливає на економічний добробут країни. Більш того, рівень ІТ став свого роду індикатором технологічної розвиненості та економічної конкурентоспроможності на світовій арені.
Держава виступає природним регулювальником процесів, що відбуваються в цій галузі. Але якщо в цілому в ІТ основним важелем впливу держави є фінансування (перш за все - федеральних цільових програм), то в секторі ІБ визначальним виявляється законодавчий чинник. В принципі це цілком зрозуміло, оскільки питання захисту інформації безпосередньо пов'язані із захистом державних таємниць і інтересів, т. Е. З національною безпекою. Важко применшити значення продуманої політики держави в цій сфері. Питання полягає лише в тому, наскільки вона продумана.
Регламентацію діяльності в області ІБ (ліцензування, сертифікацію, підготовку проектів законодавчих актів і т. Д.) До сих пір здійснювали ФАПСИ, ФСБ і Держтехкомісії (влітку 2003 року ці повноваження ФАПСИ були передані ФСБ). Законодавча база ІБ складається з ряду федеральних законів, президентських указів і безлічі інших документів. Найбільш гостро стоїть проблема застосування криптографічних засобів.
Відносно державних організацій існує повна ясність. Вони зобов'язані використовувати сертифіковані засоби захисту і вітчизняні криптоалгоритми. Те ж саме доводиться робити і комерційним структурам при відповідних контактах з державними. Тут все логічно і зауваження зайві.
Інша справа - правила гри всередині комерційного сектора. Основний федеральний закон "Про інформацію, інформатизації і захисту інформації" від 20.02.95 р містить положення про те, що юридична особа визнається власником своїх інформаційних ресурсів і має право встановлювати режим і правила захисту цих ресурсів. Вказується, що ризик, пов'язаний з використанням несертифікованих засобів захисту, лежить на власника інформації, але застосування їх не забороняється. Можна було б здивуватися демократичності такого підходу, якби не Указ Президента РФ N 334 від 03.04.95 р, по силі слова нагадує знаменитий наказ військового часу N 227 "Ні кроку назад!". У ньому і в наступних законодавчих актах була визначена стратегічна лінія, яку можна передати однією фразою: "В області ІБ крок вправо, крок вліво без відповідної ліцензії - спроба втечі за рамки закону, застосування несертифікованих засобів - якщо і не провокація, то, безумовно, небажана діяльність ".
Можна погодитися, що правила "суворі, але справедливі" у всьому, що стосується ліцензування розробки, виробництва, реалізації кріптосредств і контролю над імпортом закордонних кріптопродуктов. Однак, наприклад, вимога обов'язкового ліцензування експлуатації кріптосредств не тільки для державного, а й для комерційного сектора викликає подив. Раціональна ця обов'язковість в комерційній сфері, коли відсутні відомості, що відносяться до держтаємниці? Адже в цьому випадку держава визнає приналежність інформації приватному власнику і його право на захист. Ринок як сертифікованих, так і несертифікованих засобів знаходиться під державним контролем. Хіба цього не досить? Звичайно, ліцензування може бути корисно як інструмент тиску в плані застосування сертифікованих засобів. Але навіщо? Не настільки важливо, що вітчизняні криптоалгоритми є, як правило, більш стійкими, ніж іноземні. Якщо європейські банки використовують алгоритм RSA з ключем в 1024 біт (а німецькі взагалі тільки закінчують до 01.01.04 р остаточний перехід з 512 біт) і не мають проблем з безпекою по даному параметру, то чи варто нав'язувати російському комерційному банку використання ГОСТ, який , може, і надійніше, але менш технологічний і дорожчий при впровадженні? Чому не полегшити і не здешевити комерційним структурам інтеграцію в світовий бізнес в сфері ІТ? Зайвий державний патерналізм тут нічим не виправданий. Дивно вимагати від власника садової ділянки споруди кам'яного будинку, якщо він вважає, що його цілком влаштує дерев'яний.
Головним недоліком існуючого стану справ є слабка диференціація по відношенню до використання засобів захисту (перш за все - криптографічних) в державному і комерційному секторах. Згадані вище відомства щиро хочуть "як краще" і переносять на комерційну грунт значну частину вимог, обов'язкових для держсектора. Але для державного сектора "краще" - значить "надійніше", а для комерційного пріоритет має "зручніше і економічніше". Паралельно можуть і повинні існувати два основних рівня захисту: державний (що припускає певну гарантовану стійкість) і комерційний (що означає стійкість, достатню з точки зору власника). Вони припускають принципово різні підходи. Ніхто не заперечує права уповноважених організацій жорстко регламентувати застосування засобів захисту в державному секторі. Автоматично всі контакти юридичних і фізичних осіб з російськими держорганізаціями будуть проходити за допомогою тільки сертифікованих засобів шифрування та електронного цифрового підпису (ЕЦП), на основі вітчизняних криптоалгоритмів. Але неможливо зрозуміти, чому не можна лібералізувати і спростити впровадження визнаних міжнародних криптоалгоритмів всередині комерційного сектора, якщо ПО, що підтримує їх, законно продається і купується на території Росії.
Доброю ілюстрацією ситуації, що склалася служить історія прийняття та застосування Закону про ЕЦП. Закон був підписаний президентом 10.01.02 р Основним його завданням було створення умов для переходу від використання ЕЦП на рівні корпоративних мереж до юридично значущого - на рівні телекомунікаційних мереж загального користування (без будь-яких додаткових письмових угод між сторонами). Минуло два роки - він так і не запрацював. Питається, чому?
Закон не зачіпав фінансових інтересів будь-яких впливових груп, мова йшла не про приватизацію майна, яке не про розподіл доходів від нафти і навіть не про закриття інформації, а лише про ідентифікацію власників електронного цифрового підпису. Це був тест на державну мудрість "в чистому вигляді". І тим не менш...
Група розробників, що складалася з представників декількох держструктур, після досить тривалого підготовчого періоду пішла найпростішим шляхом: взяла варіант ФАПСИ (забезпечував максимальну надійність для всіх користувачів і як наслідок - мінімальну застосовність), а всі інші відкинула. Але ж проект проходив не одне читання в парламенті. Зрозуміло, пояснювати широким масам депутатів різницю між кешем і хешем недоцільно. Однак що заважало Комітету з інформаційної політики Думи врахувати альтернативні проекти, думки незалежних фахівців з комерційних структур і громадських організацій, які сумлінно намагалися попередити про наслідки? Нарешті, адже був ще етап підпису президентом, у якого є апарат, а в апараті - радники з технічних питань (імовірно - тлумачні). Перед очима розробників і законодавців були свіжі закони про ЕЦП ряду розвинених країн, перш за все США і Німеччини. Всі вони мали чітко виражений дозвільний характер, не заглиблювалися в технічні аспекти і ставили собі за мету прискорення розвитку ІТ за рахунок забезпечення законодавчої бази використання ЕЦП. Наш закон зробив основний акцент саме на технічну сторону справи, причому прийняв не менше чітко виражений обмежувальний характер. Тобто був не просто заново винайдений велосипед: це виявився чотириколісний велосипед, який, зрозуміло, стійкіше, але сильно нагадує старі добрі засіб пересування - віз. Чи можна на ньому, точніше на ній, наздогнати прогресом в сфері ІТ?
Що ж вийшло? Базована на вітчизняних криптоалгоритмах єдина інфраструктура федеральних центрів, що засвідчують (УЦ) поки не створена, та й створювати її на основі досі несумісного між собою ПЗ від різних виробників нелогічно. Після ж її появи (а це трапиться ще не скоро) вона зможе забезпечити масовість сервісу ЕЦП тільки в межах Росії, оскільки іноземних алгоритмів підтримувати не стане. Закон про ЕЦП має і ряд інших недоліків, але цей - головний. Але ж для алгоритму RSA проблем сумісності ПО в рамках стандарту Х.509 взагалі не існує. Якби було реалізовано компромісне рішення, т. Е. Для держсектора в якості обов'язкового алгоритму ЕЦП - ГОСТ, а для комерційного - можливість вибору, то федеральна інфраструктура УЦ (принаймні для RSA) заробила б уже давно і забезпечила не тільки технологічно просту уніфікацію застосування ЕЦП в комерційному секторі РФ, але і вихід російського електронного бізнесу на міжнародний рівень. Прийнявши ущербний закон, Росія загальмувала власний розвиток в цьому секторі ІТ та забезпечила як мінімум два роки фори іншим країнам. Можна виправдати відставання в технологічній гонці через брак фінансів. Але через недогляд?
У 1628 р в Швеції був побудований величезний для того часу флагманський військовий корабель "Васа", названий за прізвищем правлячої династії. Король Густав II Адольф брав живу участь в процесі і для збільшення потужності розпорядився подвоїти кількість гармат, хоча деякі будівельники і намагалися заперечувати. Балансування корабля порушилася, він перекинувся і пішов на дно разом з командою прямо в гавані Стокгольма, відразу після спуску на воду. Подія справило таке глибоке враження на націю, що три століття тому шведи підняли корабель і влаштували з нього "Васа-музей", покликаний, мабуть, служити пересторогою проти нерозумної королівської політики.
Якщо уявити собі ІТ як корабель, то ІБ на цьому кораблі, очевидно, буде проходити по категорії озброєнь. Чи не час федеральним відомствам і законодавчим органам звернутися до здорового глузду і зняти зайві гармати?
З автором статті, кандидатом технічних наук, можна зв'язатися за адресою: [email protected]
Версія для друку
Тільки зареєстровані користувачі можуть залишати коментарі.
Все, що захищалося в області інформації, - захищалася державою, яке визначало що, як і ким, не надто переймаючись питанням "скільки коштує?Раціональна ця обов'язковість в комерційній сфері, коли відсутні відомості, що відносяться до держтаємниці?
Хіба цього не досить?
Але навіщо?
Чому не полегшити і не здешевити комерційним структурам інтеграцію в світовий бізнес в сфері ІТ?
Питається, чому?
Чи можна на ньому, точніше на ній, наздогнати прогресом в сфері ІТ?
Що ж вийшло?