Конференционная часть одного из ключевых в России мероприятий по информационной безопасности, выставки-конференции “INFOBEZ-EXPO/ИнфоБезопасность '2011”, традиционно началась с пленарного заседания, председателем которого выступил заместитель директора департамента создания и развития информационного общества Минкомсвязи Александр Гермогенов. Однако по стилю и духу заседание соответствовало скорее круглому столу, поскольку каждая из его тем, выбранных для обсуждения, сама претендовала на отдельную конференцию.
Создание безопасных условий использования Интернетом
Оценка современного уровня защищенности Интернета для российского пользователя, данная г-ном Гермогеновым, весьма красноречива: “Когда утром я включаю свой компьютер для общения с коллегами в Интернете, то не знаю, чем закончится моя работа вечером. Я считаю, что Интернет лично для меня пока не безопасен, а содержащийся там контент зачастую просто ужасен”.
Однако из выступления директора Координационного центра национального домена RU Андрея Романова, представившего краткую справку об инициативах Центра в области обеспечения безопасности вверенных ему доменов, никак не следовало, что российский Интернет может казаться его пользователям именно таким. По его словам, уже немало сделано для борьбы с распространением противоправного контента. В качестве примера он сослался на проект, который ведет фонд “Дружественный Рунет”. Он сказал, что по поддерживаемой этим фондом “горячей линии” приема обращений от граждан и организаций в 2010 г. было принято более 22 тыс. сообщений о появлении противоправного контента (в основном речь идет о детской порнографии в Интернете), на основании которых было проверено примерно 11 тыс. интернет-адресов и проведено отделом “К” МВД несколько задержаний тех, кто размещал такой контент на веб-сайтах.
Кроме того, по словам г-на Романова, наиболее острые проблемы безопасности в Интернете, такие как распространение вредоносных программ, компьютерного мошенничества и особенно фишинга, поможет преодолеть готовящаяся новая редакция правил регистрации доменных имен в доменах RU и РФ.
Как утверждает г-н Романов, изолировать информационное пространство отдельной страны практически невозможно, ее границы открыты для кибер-угроз как внутрь, так и наружу, поэтому и решать проблемы безопасности Интернета на региональном уровне неэффективно, хотя и важно. “Проблема глобальная, и все решения ее должны иметь глобальный уровень. Для этого необходимо международное сотрудничество как на межправительственном уровне, так и с привлечением бизнеса и общественных международных организаций”, — заключил он, упомянув, что в ближайшее время Россия присоединится к ряду международных проектов, в том числе к международной организации по борьбе с кибертерроризмом IMPACT, что будет, как полагает г-н Романов, одновременно шагом к созданию современной эффективной системы защиты и национальных информационных систем.
С радужной оценкой эффективности международных форм борьбы с преступностью в цифровом информационном пространстве категорически не согласилась генеральный директор компании InfoWatch Наталья Касперская: “У меня есть сомнения насчет того, что IMPACT и другие подобные проекты могут повлиять на ситуацию с кибер-угрозами. Ведь до сих пор не повлияли же. Эти организации, которых существует немало, занимаются теоретизированием на тему безопасности, но эффективность их мала. Мы можем, конечно, присоединяться к ним, но вопрос с киберпреступностью остается для нас открытым, и Координационный центр на него пока не отвечает”.
Наталья Касперская напоминает, что, принимая участие в работе международных организаций, занимающихся вопросами информационной безопасности, нельзя забывать о безопасности национальной: “Мы находимся в отнюдь не всегда дружественном окружении. Если проанализировать современные североафриканские события, то можно увидеть, что на страны Африки и Арабского Востока идут массовые атаки через социальные сети, и правительства некоторых из них вынуждены блокировать социальные сети в целях защиты государственной безопасности. Нам тоже нужно об этом думать”.
По мнению заместителя директора по НИР ВНИИ ПВТИ Валерия Конявского, безопасности Интернета поспособствует его обязательное разделение на две части — аутентифицированную, где пользователи гарантированно будут знать, с кем взаимодействуют, и, как он сформулировал, неуправляемую “помойку” вроде той, которая есть сегодня. В результате, по его образному выражению, в Интернете появятся районы Беверли-Хилз и Гарлем с соответствующим пользовательским контингентом. Шаги в эту сторону, по его наблюдениям, уже делаются. В качестве примера он привел услугу “Детский Интернет” оператора “Мегафон”.
Решительное неприятие такого подхода к организации Интернета вновь выразила г-жа Касперская: “Навязывать пользователям всеобщую аутентификацию в Интернете вредно, да и недостижимо — существующая там организация обмена данными этого не позволяет. Если же все-таки разделить Интернет на Беверли-Хилз и Гарлем, то нужно быть готовым к тому, что киберпреступники осядут в Гарлеме и довольно просто смогут получать самые полные данные о жителях Беверли-Хилз, которые те добровольно предоставят в свой Интернет для “аутентифицированных”. Это самая благоприятная обстановка для кражи личной информации. При этом сами преступники останутся в совершенно непрозрачной зоне Интернета. Такая модель взрастит под боком у нас “сомалийских пиратов” от Сети”.
Директор по информационной безопасности корпорации Microsoft в России Владимир Мамыкин обратил внимание на то, что в большинстве жизненных ситуаций у нас в настоящее время просто нет потребности в аутентификации, и мы, как правило, обходимся без нее, хотя и технологии, и решения для ее применения есть, и они реально востребованы и применяются, правда, только в определенных случаях, например, для организации доступа дистанционно работающих сотрудников, для партнеров и клиентов. В целом же, по его словам, мы сами признаем небольшим тот риск, что нас в Интернете могут принимать не за тех, кто мы есть на самом деле.
Владимир Мамыкин подчеркнул также, что высокий уровень безопасности имеет и оборотную сторону: он возможен только при тотальном контроле. “Не все на это согласны, да и платить за это нужно, — подчеркнул он. — В целом же идея аутентификации в Интернете, которую несколько лет назад начал продвигать Евгений Касперский, на мой взгляд, правильная, и, кстати, саморазвитие Интернета идет именно в этом направлении”.
Безопасность облаков
Первого октября страна должна была перейти на предоставление госуслуг для населения в электронном виде. Одним из непременных условий внедрения таких услуг является их безопасность для граждан. Вместе с тем в современной реализации этих услуг с неизбежностью будет использоваться облачная архитектура.
По мнению г-на Мамыкина, облака — это всего лишь еще одна технология, и технологической проблемы в их использовании нет. Зато есть проблема законодательного регулирования применения облаков. Если законодательство в стране технологически нейтрально, то оно просто закрепляет законом то, что де-факто становится технологически стандартным.
Имея в виду применение облаков в реализации услуг электронного государства для населения, г-н Мамыкин отметил: “Если мы хотим использовать электронные государственные услуги, то должны быть уверены, что они сертифицированы в соответствии с государственными требованиями. Проблема в том, что ни водной стране мира сегодня не ясно, какими эти требования должны быть. Хотя действуют международные группы энтузиастов, которые разрабатывают проекты документов, направленные на то, чтобы помочь регуляторам решить эту проблему”.
Саморегулирование в ИБ
По мнению г-на Конявского, уровень доверия граждан к любым структурам, отвечающим за информационную безопасность (ИБ), в нашей стране крайне низок. Изменить ситуацию, как он полагает, можно, законодательно повышая требования к защите информации. При этом сложившуюся структуру регулирования ИБ он считает адекватной современной ситуации, а жесткость регулирующих документов предлагает увеличить: “Я настаиваю на том, чтобы требования не ослаблялись, а повышались. Это приведет к повышению уровня доверия и уже как следствие вызовет обратный процесс снижения требований”.
При этом особые надежды г-н Конявский возлагает на саморегулируемые организации, которые, как он выразился, “взывая к совести вендоров, будут рекомендовать хорошие ИБ-решения”, способствующие выстраиванию такой защиты информационных систем, которая устроит как хозяев этих систем, так и их клиентов. В инициаторы создания подобной саморегулируемой организации он предложил Ассоциацию защиты информации (АЗИ).
Президент АЗИ Геннадий Емельянов со своей стороны заметил, что саморегулируемые организации — тема важная и опробованная АЗИ при попытках наладить в стране работу удостоверяющих центров. По его оценкам, такая форма деятельности требует более высокой зрелости общества и признания государством его требований. “Пока же этого у нас в стране нет. Тем не менее АЗИ готова взять под свое крыло инициативные группы, желающие работать в этом направлении”.
Перспективы саморегулируемых организаций г-н Мамыкин оценивает скептически: “Требования эффективного ведения бизнеса заставляют бизнесменов игнорировать необязательные правила. Например, там, где закон не защищает окружающую среду, как сегодня в Китае или в свое время в Англии, промышленные выбросы загрязняют атмосферу и водоемы. Однако сегодня в Темзе ловят лосося. Почему? Беречь природу британские компании заставил закон, а не саморегулируемые механизмы”.
Защита персональных данных
Не обошли участники пленарного заседания и тему защиты персональных данных (ПД), хотя на этот раз она не была такой ажиотажной, как в предыдущие два года. Общую оценку состояния с защищенностью ПД в нашей стране и выполнением требований закона “О персональных данных” (ЗоПД) дал г-н Гермогенов: “Что касается больших государственных информационных систем, то их защищать мы умеем. Проблема с детскими садами, районными поликлиниками, школами…”
С принятием закона № 261-ФЗ “О внесении изменений в Федеральный закон “О персональных данных»” ЗоПД претерпел существенные изменения, особенно в пресловутой статье 19. Как проинформировал г-н Гермогенов, Минкомсвязи в содружестве с ФСТЭК, ФСБ и Роскомнадзором готовит предложение по реализации обновленного закона. В настоящее время оно находится в стадии проекта, но его разработчикам уже понятно, какие подзаконные акты должны быть изданы. Обещают, что это произойдет не позднее середины 2012 г.
За ФСТЭК и ФСБ сохраняются функции контроля за выполнением организационно-технических мер в государственных информационных системах, а в отдельных случаях (с учетом значимости обрабатываемых в них ПД) по решению правительства страны — и в негосударственных системах. До принятия новых подзаконных актов операторам ПД надлежит следовать действующим документам.
Несмотря на оптимистичную оценку защищенности государственных информационных систем, данную г-ном Гермогеновым, по мнению начальника отдела информационной безопасности департамента создания и развития информационного общества Минкомсвязи Александра Горовенко, немало предстоит изменить и в их защите. “Сегодня много слышно упреков в том, что основные утечки в России происходят из государственных баз данных. При разработке подзаконных актов это будет учтено. Госструктуры получат постановление правительства РФ о перечне мер для операторов ПД, являющихся государственными и муниципальными органами. Эти меры направлены на обеспечение выполнения обязанностей, предусмотренных ЗоПД и принятых в связи с ним нормативными актами”, — сообщил он.
Как положительный сдвиг начальник отдела ФСТЭК Виктор Жарчинский отметил, что отныне ст. 19 прописывает непосредственно в законе те меры, которые должны принимать операторы ПД. Он поддержал г-на Конявского в том, что в целях повышения доверия со стороны субъектов ПД к операторам ПД меры эти должны быть жестче.
Вернувшись при обсуждении ЗоПД к теме использования облачных вычислений и виртуализации, коммерческий директор компании РНТ Анатолий Шарков высказал мнение о том, что и в действующей редакции закона имеется механизм защиты ПД в распределенных облачных и виртуальных средах и им можно пользоваться до той поры, пока закон не получит более ориентированную на эти технологии редакцию.