Обеспечение информационной безопасности насквозь пронизывает современный социум — от отдельного индивидуума до государственных и межгосударственных структур. Об актуальных проблемах обеспечения ИБ в эпоху построения информационного сообщества научный редактор PC Week/RE Валерий Васильев беседует с генеральным директором Международного центра по информатике и электронике, директором Федерального государственного научного учреждения “Центр информационных технологий и систем органов исполнительной власти” Александром Старовойтовым.
Александр Владимирович с 1991 по 1998 гг. возглавлял Федеральное агентство правительственной связи и информации при Президенте Российской Федерации. В октябре прошлого года он отметил свой 70-летний юбилей.
PC Week: Какое место отводится ИБ в реализации национальной безопасности нашей страны?
Александр Старовойтов: Об этом говорит уровень принимаемых в данной области документов. Исполнилось 10 лет с момента утверждения Президентом России “Доктрины информационной безопасности Российской Федерации”. Красной нитью вопросы ИБ проходят в “Стратегии развития информационного общества в Российской Федерации” (2008 г.). Значительное место отведено ИБ в “Стратегии национальной безопасности Российской Федерации до 2020 г.”, разработанной в 2009-м. Приняты законы “Об информации, информационных технологиях и о защите информации”, “О персональных данных” и др.
PC Week: Чьи интересы первичны в реализации национальной ИБ: государства, общества или личности?
А. С.: Даже беглый анализ положений “Доктрины информационной безопасности Российской Федерации” показывает, что сама ее философия исключает в целом противопоставление личного, общественного и государственного аспектов. Хотя вопрос приоритетов не так прост: всегда были, есть и будут текущие противоречия между потребностями общества и отдельных граждан в свободном информационном обмене и стремлением государства регламентировать отдельные ограничения на распространение информации, нацеленные на соблюдение высших интересов того же общества и отдельной личности, касающихся защиты основ конституционного строя, нравственности, здоровья, и законных прав граждан, обеспечения обороноспособности страны и безопасности государства, т. е. всего того, без чего невозможно комфортное и цивилизованное существование.
Наверное, нет ничего парадоксального в том, что государство всей мощью своих институтов власти, наличием рациональных регуляторов (об их совершенстве мы не говорим, это отдельная тема!) обязано всесторонне гармонизировать иногда противоречивые интересы всех сторон, которые обозначены в вопросе.
PC Week: Как Россия увязывает стремление к международной интеграции с национальной ИБ?
А.С.: Если рассматривать интеграцию как тотальную открытость и вседозволенность, то, наверное, никакое государство этого не потерпит ввиду угрозы утраты суверенитета. Другое дело — сотрудничество, объединение усилий против общих угроз, обмен достижениями и опытом в защите информационной инфраструктуры экологически опасных производств и т. п. Здесь международная интеграция только на пользу. А возьмите наши инициативы в ООН по созданию системы международной информационной безопасности! А наши предложения в Международный союз электросвязи об интернационализации управления Интернетом! Тут все увязывается как с позиции национальных интересов России, так и с учетом прагматизма для всего международного сообщества.
PC Week: Эпизоды войн на Среднем Востоке, Балканах, недавняя атака червя Stuxnet на энергетические объекты Ирана косвенно свидетельствуют о ведении межгосударственных кибервойн. В США для этого даже сформирован новый вид войск. Готова ли Россия к кибервойнам?
А. С.: Известно, что США — один из главных “игроков” в киберпространстве — оценили всю важность проблемы, приняв два системных, доктринальных документа в области кибербезопасности — Национальную стратегию кибернетической безопасности и Национальную стратегию физической защиты критической инфраструктуры и создав исполнительный орган, реализующий государственную политику в этой сфере — Министерство внутренней безопасности США. Примечательно, что понятие критической инфраструктуры в США толкуется в содержательном плане очень сходным образом, как это принято в Российской Федерации (объекты обороны, инфраструктура национальной экономики, транспорт, телекоммуникации, сельское хозяйство, системы управления и т. п.). Трезвая оценка американских аналитиков уровня киберустойчивости критической инфраструктуры США свидетельствует о ее высокой потенциальной уязвимости. В этой связи упомянутые документы являются “идеологической” основой создания национальной системы реагирования на кибератаки как внутреннего, так и внешнего происхождения.
Вернемся к вашему вопросу о готовности России к кибервойнам. Ответ однозначный — нет, не готова. Во первых, находится в стадии теоретического осмысления сама проблема кибербезопасности с учетом встраивания Российской Федерации в мировое информационное пространство и темпов информатизации нашего государства. Совершенно очевидно, что в этом свете требуют уточнения многие положения “Доктрины информационной безопасности Российской Федерации”. Я надеюсь, что усилия Совета Безопасности Российской Федерации, участие российского ИТ-сообщества в реализации государственной программы “Информационное общество” даст ответы на многие вопросы. Во-вторых, если говорить о материальной стороне решения проблемы кибербезопасности, то выделяемых в настоящее время ресурсов абсолютно недостаточно для противодействия кибератакам даже внутри страны. По различным оценкам, преступные сообщества хакеров на территории России исчисляются десятками тысяч человек. Близки по численности и специальные войсковые подразделения стран НАТО и Китая, специализирующиеся на проведении молниеносных кибератак. Такие атаки имеют главной целью дезорганизацию системы государственного управления неприятеля, его жизнеобеспечивающей инфраструктуры. Не секрет, что одним из главных компонентов такой инфраструктуры является ИКТ-система государства. В России ее роль выполняет Единая система электросвязи (ЕСЭ). За прошедшие годы были допущены серьезные отступления от системообразующих принципов развития ЕСЭ, что значительно ухудшило ее надежность и защищенность.
В настоящее время сложилась критическая ситуация в области ИКТ-систем, работающих на государственное и военное управление, а также передачу закрытой информации. Практически все ИКТ-системы федерального масштаба построены с использованием импортного оборудования, произведенного в США, Евросоюзе, Японии и Китае. Нужно учитывать, что реально возможно деструктивное воздействие на программную часть устройств передачи и обработки информации гражданских операторов связи.
О существовании подобной угрозы свидетельствует опыт вооруженных конфликтов в Югославии (1999 г.) и Ираке (2003 г.). В ходе этих столкновений получено подтверждение того, что ИКТ-системы, построенные на оборудовании западных фирм, имеют скрытые, недекларированные средства управления, при помощи которых они выводятся из строя незамедлительно после принятия соответствующего политического решения.
Совершенно очевидно, что в случае возникновения политической конфронтации между Россией и Западом или Китаем ЕСЭ будет выведена из строя. А значит, будут выведены из строя и все наложенные сети государственного и военного управления, построенные на ресурсах “Ростелекома”, “Транстелекома”, “Синтерры” и прочих операторов. Главное из возможных последствий развития событий по такому сценарию — потеря управления государством и войсками в особый период. Сложившаяся ситуация незащищенности ЕСЭ от внешних деструктивных воздействий является мощным фактором политического давления на руководство страны в случае обострения внешнеполитической обстановки в будущем.
Для преодоления сложившейся критической ситуации с магистральными сетями связи России необходимо создавать отечественную доверенную производственную базу для ИКТ-оборудования. Тем более что уже сейчас есть примеры отечественного оборудования и существуют российские производители для построения ИКТ-систем, в том числе и федерального масштаба. Однако микроэлектронные компоненты для производимого в России высокотехнологичного оборудования закупаются в странах Юго-Восточной Азии, и нет полной гарантии, что они не содержат скрытых блоков, способных вывести микросхему из строя при поступлении специальной команды. Подобные команды могут быть переданы через орбитальные спутники или каналы публичных сетей.
Даже при условии выполнения всех специальных исследований и проверок остается большая вероятность наличия закладок непосредственно в микропроцессорных устройствах, используемых в составе данного оборудования. Специальные проверки на микропроцессорном уровне сравнимы по финансовым затратам, трудоемкости и наукоемкости с разработкой аналогичного микропроцессорного устройства. Поэтому совершенно необходимо создание доверенного отечественного производства для нужд российской телекоммуникационной отрасли. Для обеспечения устойчивости ЕСЭ РФ к деструктивным воздействиям, в обязательном порядке нужно подготовить программы целевого государственного финансирования соответствующих научно-технических разработок.
Среди таких исследований и разработок непременно должны быть НИР по исследованию возможности построения отечественной доверенной платформы ИКТ-оборудования для задач организации как первичных, так и вторичных сетей связи, а также ОКР по разработке отечественного доверенного каналообразующего оборудования для использования в опорной сети ЕСЭ РФ.
PC Week: Российская ИБ-общественность с недавней поры заговорила о создании в России доверенной среды, необходимой в том числе для реализации концепции “электронного государства”. Что это такое — доверенная среда? Когда можно будет сказать, что она сформирована в нашей стране? Что можно ожидать в этом плане от проекта в Сколкове?
А. С.: К понятию доверия — доверия к полученной информации, к ее источнику — мы приходим, когда говорим об информационном взаимодействии. Уровень проникновения ИКТ во все сферы человеческой деятельности привел к появлению потребности в установлении многосторонних доверительных отношений, т. е. в создании пространства доверия.
На мой взгляд, пространство доверия — это организационно-техническая структура, в границах которой определены правила и технологии установления доверительных отношений, а также юридические последствия нарушения принятых правил.
Работы по становлению “электронного государства” и “информационного общества”, развитие систем электронных торгов, другие значимые проекты выдвигают естественное требование обеспечения не просто доверия, а юридически значимого информационного взаимодействия как коммерческих организаций, так и органов государственной власти между собой, с гражданами и организациями. О юридически значимом информационном взаимодействии можно говорить, только имея в виду применение электронной цифровой подписи (ЭЦП) и создание инфраструктуры открытых ключей и тем самым обеспечение единого пространства доверия, в котором находятся доверенные удостоверяющие центры (УЦ), а изданные ими сертификаты ключей подписей признаются всеми участниками информационного взаимодействия в границах структуры.
Особенно принципиально эта проблема выглядит в контексте построения “электронного государства”, “электронного правительства” не только как эффективной системы предоставления государственных услуг (это очень важный социально-экономический аспект), но и как системы собственно государственного управления, “генерирующей” и реализующей стратегические направления и цели развития общества, обеспечивающей сохранение целостности и суверенитета России.
В настоящее время Госдума РФ рассматривает новый законопроект “Об электронной подписи”. Одной из целей, преследуемых разработчиками законопроекта, является гармонизация российского законодательства в данной области с соответствующими европейскими законами с целью развития торгово-экономических отношений. Согласно стандартам ЕС (Европейская директива 1999/93), только один вид подписи — квалифицированная электронная подпись, имеющая квалифицированный сертификат и созданная с использованием персональных криптоустройств, — приобретает тот же юридический статус, каким обладает собственноручная подпись по отношению к документу на бумажном носителе. И это обязательно следует учесть в законопроекте.
Работы по формированию пространства доверия в нашей стране ведутся давно и активно. Это диктуется потребностями развития экономики. Сегодня в стране действует более 300 УЦ, образующих зоны доверия. Основные усилия в данном направлении, видимо, будут сосредоточены при реализации проекта “Электронное правительство”, выполнение которого и определит срок формирования пространства доверия в России. Успех данного проекта, на наш взгляд, обеспечивается и привлечением к его реализации ведущих российских ИТ-компаний, таких как “Ростелеком”, обеспечивающих создание развитой федеральной инфотелекоммуникационной инфраструктуры “электронного правительства”.
Другим важным условием построения единого пространства доверия является, на мой взгляд, создание отечественного доверенного технологического инструментария проектирования и поддержания жизненного цикла информационно-телекоммуникационных систем, в первую очередь, автоматизированных систем управления, функционирующих в критических сегментах инфокоммуникационной инфраструктуры России. Наш институт рассматривает это направление научно-производственной деятельности как приоритетное, закончив, в основном, и подготовив к сертификации и дальнейшей промышленной эксплуатации собственный программно-инструментальный комплекс (рабочее обозначение “Сириус”).
Что касается проекта “Сколково”, то создаваемый центр должен заниматься исследованиями по приоритетным направлениям модернизации России, среди них — информационные технологии и телекоммуникации. А, следовательно, проблемные вопросы ИБ должны найти свое отражение в блоке проектов, которые будут создаваться там. Конкретные планы разработок по ИБ, намеченные к реализации в иннограде, пока не опубликованы.
PC Week: Какие шаги государству следует сделать в дальнейшем для повышения ИБ на всех уровнях — личностном, общественном, государственном?
А. С.: На основе уже упомянутых мною концептуальных и стратегических решений составляются планы действий, принимаются законы, другие нормативные акты на уровне государства, органов власти, включенных в систему обеспечения ИБ страны. Далеко не все поставленные задачи выполнены, а уже возникают новые проблемы. По-моему, здесь не хватает последовательности и системного подхода к практической реализации намеченного. Сказывается также отставание правового регулирования и надзора в информационной сфере от практики, причем, зачастую, именно в вопросах ответственности. Ответственности должностных лиц, граждан не только за правонарушения, но и за неисполнение обязанностей. К социальной же ответственности можно только призывать. Вероятно, поэтому Интернет используется как средство для мошенничества, недобросовестной конкуренции и в других противоправных целях? Загляните в Уголовный кодекс РФ. За преступления в компьютерной сфере там установлена ответственность только в случаях, связанных с охраняемой законом информацией или с созданием программ, нарушающих работу информационной инфраструктуры. А как быть, к примеру, с угрозами нарушения работы публичных информационных систем, квалификация которых не “вписывается” в явно выраженные противоправные деяния? На мой взгляд, требуется серьезное теоретико-правовое осмысление новых явлений, связанных со злоупотреблениями в информационном пространстве.
Возвращаясь к вашему вопросу, следует отметить, что государство обеспечивает в рамках реализации своей научно-технической политики систематическую деятельность в области развития методологической, понятийной сферы ИБ, создания организационной инфраструктуры обеспечения ИБ, формирования законодательной, нормативно-правовой и научно-технической базы. Однако можно констатировать явное запаздывание в решении практических вопросов противодействия киберопасностям в условиях нарастающей информатизации всех сторон жизни нашего общества. Так, при построении критически важных сегментов информационно-телекоммуникационной инфраструктуры государства, к примеру, первичной и вторичных телекоммуникационных сетей, являющихся основой специальных систем связи и управления, ничтожно мала доля доверенного оборудования отечественных производителей. С этой проблемой тесно смыкается проблема сохранения технологического суверенитета в сфере создания национальной электронной компонентной базы и высокотехнологичных функционально законченных ИТ-изделий через восстановление и развитие отечественного научного, проектного, технологического и производственного базиса, ранее существовавшего под эгидой Минэлектронпрома СССР и других профильных министерств и ведомств. Нельзя обойти молчанием и вопросы совершенствования программ подготовки специалистов в сфере инфокоммуникационных технологий, которые должны быть нацелены на гармонизацию лучшего международного научно-технологического опыта с потребностями Российской Федерации как значимого субъекта мирового информационного общества.
Если говорить о личностном и общественном аспектах ИБ, то они связаны, прежде всего, с созданием и использованием единого информационного киберпространства в Интернете, являющимся мощным средством преодоления т. н. “цифрового неравенства”. Наряду с позитивным информационным и коммуникационным потенциалом, Интернет в силу своей открытости и беспрецедентной доступности является потенциально уязвимой средой, источником распространения информационных “инфекций”. И в данном направлении Минкомсвязи России как уполномоченный федеральный орган исполнительной власти, совместно с российским ИТ-сообществом должно активнее проводить свою деятельность в сфере совершенствования общей государственной политики в сфере обеспечения информационной безопасности Российской Федерации, в том числе и через возможности государственной программы “Информационное общество”.
PC Week: Благодарю за беседу.