PC WEEK/RE — 20 ЛЕТ ИННОВАЦИЙ!
Уважаемые читатели!
Данный материал публикуется в рамках юбилейного проекта «PC Week/RE — 20 лет инноваций!». Нашему изданию в
2015-м исполняется 20 лет, и мы решили отметить юбилей серией интересных материалов (обзоров, экспертных статей, интервью), в которых представляем различные направления ИТ-отрасли и ИТ-рынка через призму их исторического развития, особенно в плане прохождения кризисных периодов, с акцентом на анализе их нынешнего состояния и дальнейших перспектив.В предлагаемом вашему вниманию интервью с Сергеем Вихоревым, одним из ведущих российских экспертов в области безопасности информации, отражены важные вехи на пути становления направления информационной безопасности в России и его современная проблематика.
Редакция
На фоне обостряющихся в России и в мире экономических и политических проблем обеспечение безопасности при использовании инфотелекоммуникационных технологий (ИКТ) приобретает все большее значение как в плане соблюдения интересов личности, так и в плане отстаивания национальных интересов страны.
Актуальность поиска адекватных нынешней ситуации решений информационной безопасности при использовании ИКТ подтверждается такими факторами, как рост затрат в этой области (мировой и национальные рынки ИБ растут, разрабатываются новые технологии, многие из которых уже реализованы в виде рыночных продуктов) и усложнение структуры решений (различая безопасность приложений, сетевую безопасность, безопасность в Интернете, безопасность критических инфраструктур, кибербезопасность и информационную безопасность, специалисты начинают обсуждать задачи построения комплексной безопасности при использовании ИКТ).
Один из ведущих экспертов России в области безопасности информации, проработавший в ней без малого сорок лет, Сергей Вихорев рассказывает о том, как развивалась сфера обеспечения безопасности при использовании инфотелекоммуникационных технологий, вспоминая время перехода нашей страны на рыночную экономику и останавливаясь на наиболее значимых событиях и явлениях.
Структура обеспечения безопасности при использовании ИКТ усложняется. В кругу коллег-специалистов вы неоднократно высказывали мысль о различиях между безопасностью информации (БИ) и информационной безопасностью (ИБ). Пожалуйста, объясните эти различия нашим читателям.
Безопасность информации и информационная безопасность — вещи разные по сути. Информационная безопасность — это состояние защищенности национальных интересов в информационной сфере, определяемое совокупностью сбалансированных интересов личности, общества и государства. Именно так и в такой последовательности: на первом месте в балансе интересов — личность.
Но и сама информация в контексте ее обработки, передачи и хранения может быть объектом обеспечения безопасности; при этом, однако, содержание процесса обеспечения безопасности меняется: это прежде всего обеспечение защищенности информации и соответствующей поддерживающей инфраструктуры.
Вот тут-то и выходят на первый план задачи обеспечения безопасности информации, такого состояния ее защищенности, при котором обеспечены ее конфиденциальность, доступность и целостность. В данном случае объектом обеспечения безопасности выступает сама информация.
Казалось бы, это философствование (или софистика, как скажут некоторые). На самом же деле от правильного понимания объекта защиты зависит правильность действий и результатов, в том числе и исторических.
Информационная безопасность, т. е. радение за интересы государства и личности в нем, сегодня в нашей стране является уделом Совета безопасности РФ. Более приземленной задачей защиты информации в информационных системах, техническими аспектами этой защиты занимаются ФСТЭК РФ (ранее Гостехкомиссия) и ФСБ (ранее КГБ и ФАПСИ). Защита информации строится в первую очередь не на гуманитарных, а на физических и математических законах.
А знаете, ведь в пору появления персональных компьютеров мы по решениям БИ были впереди планеты всей, включая США. Почему? Да потому, что там ПК был действительно персональным, то есть им пользовался только один человек, и проблем с разграничением доступа к информации не было. А мы такую роскошь позволить себе тогда не могли: на одном ПК работало сразу несколько пользователей. Вот и приходилось изыскивать методы разграничения информации и доступа к ней. Так что мандатный принцип доступа к информации впервые появился у нас, а уже потом, когда компьютеры стали увязывать в сети, в том числе и с помощью Интернета, когда проблемы многопользовательского режима возникли на Западе, вот тогда и там стали применять мандатное разграничение.
Тем не менее довольно быстро это первенство было утрачено...
Да, лихо было в те времена. Конец
В Гостехкомиссии тогда образовалась группа энтузиастов, пытавшихся как-то наладить процесс обеспечения БИ. Нельзя не вспомнить уже ушедших от нас Евгения Анатольевича Беляева и Виктора Александровича Вирковского, а также ныне здравствующих Андрея Петровича Курило, Александра Ивановича Ефимова, Анатолия Александровича Стрельцова, Бориса Ивановича Пальчуна, Анатолия Васильевича Шеина, Илларию Лаврентьевну Бачило и многих, многих других (уж простите меня те, кого не упомянул!).
Начали-то, однако, не с техники, а с Закона. Долго и кропотливо писали первый «трехглавый» закон, вносили изменения в УК РФ (знаменитая
Разрабатывали «Руководящие документы» (РД). Вы не задумывались, почему эти РД до сих пор живут? Да потому, что писались они тщательно — каждое слово выверялось и взвешивалось. Помню, когда встал вопрос о переходе к методологии международного стандарта «Общие критерии», его переводом занимались не только наши специалисты-технари — привлекались лингвисты из Института русского языка имени В. В. Виноградова, а также американские специалисты и как носители языка, и как специалисты.
Кроме формирования нормативной базы приходилось параллельно прививать «вкус» к защите информации «в массах». В то время многие должностные лица Гостехкомиссии частенько выступали на конференциях и в СМИ, разъясняя, насколько важны задачи защиты информации, — вели по сути просветительскую деятельность.
Говорят, чтобы изменился менталитет народа, должно пройти как минимум полтора десятилетия — пока вырастет новое поколение. Вначале наши граждане, воспитанные на том, что частной собственности не должно быть, не задумывались, что и у них могут быть тайны. Проблему защиты информации они воспринимали как «игрушку в войнушку». Это уже потом, когда частная собственность как-то закрепилась в стране, они начали понимать эти проблемы.
Сегодня люди не представляют себе жизни без современных инфотелекоммуникационных технологий. Носимые гаджеты, «умные» автомобили и домашние хозяйства стали вполне привычным явлением. Столь бурное развитие ИКТ обострило вопросы безопасности информации, перевело поиск ответов на них в повседневную плоскость. Пароли, защищенный Wi-Fi, шифрование — теперь это уже нормально и обыденно даже на бытовом уровне.
Однако еще много надо сделать. К сожалению, не имея должной культуры обращения с информацией, люди в эйфории от возможностей средств коммуникации бездумно разбрасывают личную информацию где попало. Это серьезная проблема, над которой каждому из нас стоит задуматься...
Трудно ли специалисту по БИ заниматься задачами ИБ?
Важно понимать, что задачи БИ и ИБ нельзя отрывать друг от друга: ИБ без технических возможностей БИ — это профанация, а БИ без ИБ выхолащивается, лишается правильных конечных целей. Кстати, когда я работал в Гостехкомиссии, т. е. был сосредоточен на задачах именно БИ, мы тесно взаимодействовали с Советом безопасности РФ, который, как я уже сказал, занимается задачами ИБ.
Возвращаясь непосредственно к вопросу, скажу, что технаря в силу природной организации его ума проще научить понимаю гуманитарных аспектов ИБ, чем гуманитария (например, юриста) пониманию технических.
Есть ли различия в обеспечении ИБ в России и в других странах?
Покажу на конкретном примере — на различиях в защите персональных данных (ПДн). В нашем законе «О персональных данных» четко сказано, что он направлен на защиту субъекта, и потому подавляющая его часть сосредоточена на защите обращения ПДн, а не на защите непосредственно ПДн. Наше законодательство направлено на предотвращение утечек и незаконного использования ПДн, а западное — на наказание за последствия этих действий. Получается, что из-за превентивности защиты ПДн защита интересов личности у нас тесно увязана с техническими аспектами.
В то же время Россия продвигает идеи международного сотрудничества в области ИБ, которая, как я сказал, сосредоточена на социальных аспектах безопасности в информационном пространстве. Ну а западные страны в международных отношениях демонстрируют технократический подход, оперируя понятием кибербезопасность, сфокусированном на технологиях и технических решениях задач безопасности в информационном пространстве и являющимся более узким по сравнению с понятием ИБ.
Какие стратегические подходы к решению задач БИ вы считаете наиболее эффективными?
Особо хочу сказать о системах лицензирования деятельности в области БИ и о сертификации продуктов, предназначенных для обеспечения БИ. Это два серьезных инструмента внерыночного регулирования.
На заре перехода нашей страны к рыночным отношениям было создано немало добросовестных специализированных компаний, которые учились вместе со страной, искали новые методы и способы защиты информации. Но рядом появлялись и такие фирмы и фирмачи, которые паразитировали на этой мало паханной в то время ниве. Они халтурили, а нередко просто обманывали заказчиков. Надо было как-то защищать интересы потребителей.
В том, что касалось защиты гостайны, все было ясно — здесь действовали, да и сейчас действуют те самые директивные методы. Но вот что было делать с коммерческими секретами? Уже запущенные тогда в стране рыночные законы не позволяли применить устаревшие директивные методы регулирования (а попросту — запреты). Надо было искать новые методы регулирования отношений на рынке, чтобы и бизнес не душить, и потребителю помочь.
Лицензирование позволило поставить под контроль разработку средств защиты информации (СЗИ) и оказание услуг в этой сфере и тем самым, с одной стороны, оградить потребителя от недоброкачественных продуктов, а с другой — защитить интересы специалистов.
Знаете, а ведь лицензирование в сфере защиты информации появилось раньше, чем издали закон «О лицензировании». Намного раньше! Оно и тогда помогало, и сейчас и помогает отсеивать тех, кто пытался неквалифицированно решать задачи БИ.
Теперь о сертификации. Сейчас много говорят о том, что не надо сертифицировать СЗИ. Но скажите, кто купит электрочайник, если у него нет сертификата электрической безопасности? Думаю, никто. Потому что каждому дорого его здоровье и имущество. Вот потому и была создана система испытательных лабораторий, в которых сосредоточены специалисты, способные оценивать качество СЗИ.
Между прочим, вспоминаю, как впервые сертифицировали операционную систему Windows для Минатома. Ведь мы эту работу делали вместе со специалистами из США. И они к нам в Саров приезжали, и мы к ним в Кремниевую долину. И проверяли исходные коды Windows. Наши-то требования были посерьезнее, чем «штатовские», и они это признавали и считали их правильными.
Кстати, ОС Windows тогда не могла всем этим требованиям соответствовать. Искали компромисс, даже выпустили под этот случай специальный вариант РД, который учитывал некоторые организационные особенности использования этой операционной системы. В общем, с задачей справились.
Сегодня ФСТЭК России стала шире привлекать экспертное сообщество к разработке нормативных документов, что гарантирует упрощение их имплементации в повседневную практику. Появилась «дорожная карта», позволяющая подходить к решению задач БИ системно. Можно сказать, что направление обеспечения БИ в нашей стране сегодня в принципе стало саморегулируемым.
При этом отрадно отметить, что в структурах лицензирования и сертификации сохранилась преемственность. В общем, созданная много лет назад система работает. Однако это не означает, что в сегодняшнем качестве этих институтов нечего улучшать.
А каковы рыночные механизмы регулирования БИ и ИБ? Насколько они сегодня эффективны?
Рыночный механизм регулирования один — конкуренция. При этом решение о качестве товара принимает потребитель. Но если потребителю в этом не будут помогать специалисты (в нашем случае — сведущие в вопросах БИ и ИБ), то может случиться так, что ему придется платить очень высокую цену (не всегда, кстати, измеряемую деньгами) за свои пробы и ошибки. Именно поэтому низкая культура обращения с персональными данными потребовала серьезного вмешательства в эту область регуляторов.
Принятый девять лет назад закон «О персональных данных» долгое время игнорировался большей частью представителей бизнеса и формально исполнялся в госструктурах (где контроль регуляторов жестче). И тем не менее именно благодаря усилиям регуляторов, требования которых первое время опережали реальные угрозы и ущербы от необдуманного обращения с ПДн или злоупотребления ими, начиная с принятия этого закона понимание необходимости соблюдения правил ИБ стало проникать в повседневную жизнь граждан, организаций и предприятий нашей страны. Поэтому соответствие СЗИ регулятивным требованиям в области БИ и ИБ сегодня становится конкурентным преимуществом. Правда, на это потребовалось пятнадцать лет усилий ИБ-специалистов и регуляторов.
Импортозамещение. Как вы оцениваете эту политику в области ИБ и БИ?
Сегодня для России импортозамещение в этой области, как и в ИКТ в целом, не более чем популизм. Допустим, отечественные специалисты разработали новое высококлассное СЗИ, аналогов которого нет в мире. Можно гарантировать, что ПО, включая криптографию, там будет наше, российское. Но откуда возьмется корень доверия к этому СЗИ, если оно построено на иностранных чипах? К сожалению, сегодня наш технологический уровень не позволит не то что сделать чип более высокого качества, чем существующий на международном рынке, но даже повторить подходящий готовый.
Нам приходится идти путем гибридного импортозамещения, т. е. замещать только то, что нельзя не замещать. Приемлемый уровень доверия в таких случаях достигается за счет дополнительных проверок (сертификации) продукции и за счет организации контроля корректности выполнения своих функций (в том числе и ИБ-функций) данным продуктом с помощью дополнительных наложенных средств. В связи с этим возрастает роль так называемой апостериорной защиты, связанной как раз с контролем корректности функционирования СЗИ, с расследованием обнаруженных инцидентов и устранением их причин. Именно поэтому ЦБ России создал FinCERT, а правительство — систему ГосСОПКА.
Как вы оцениваете уровень индивидуального понимания российскими гражданами важности обеспечения ИБ?
Невысоко, чтобы не сказать более резко. Это, кстати, касается не только наших сограждан. Люди в мире пока еще далеки от массового осознания важности идеалистической составляющей информации. Они еще не научились ценить информацию.
Последствия случающихся ИБ-инцидентов все еще не показательны для большинства людей. Ситуация изменится, когда ущербы от недостатка ИБ мы начнем ощущать на собственной шкуре. Тех, у кого хоть раз украли деньги с банковской карты, кто хоть раз видел на экране своего компьютера сообщение от шифровальщика-блокиратора, уже не нужно убеждать в необходимости принятия мер по повышению ИБ банковских бизнес-процессов и установки хорошей антивирусной системы на компьютере.
Разумеется, не нужно ожидать, когда клюнет жареный петух, — людей надо воспитывать и образовывать, и это дело в нашей стране на государственном уровне потихоньку развивается. Например, недавно Минобразования и Роскомнадзор разработали для средней школы факультативную программу, нацеленную на обучение школьников безопасному обращению с персональными данными. Превращения ИБ в обыденность, по моим прикидкам, можно ожидать лет через десять — пятнадцать.
За физическую безопасность граждан отвечает полиция. А кто в стране должен отвечать за их информационную безопасность?
Больной вопрос. Еще в ту пору, когда инфотелекоммуникационные технологии только начали приобретать нынешние значимость и масштабы, предпринимались шаги к объединению усилий ИБ-специалистов, работающих в различных государственных структурах под одной крышей (условно эту структуру можно назвать Министерством безопасности информации). Однако до сих пор в стране нет такой структуры, для которой БИ являлась бы главенствующей задачей, а как мы знаем, у семи нянек дитя остается без нужного догляда.
Скажу, что подобные болезни роста переживает не только наша страна. В разных странах государственные ведомства, между которыми разделены задачи ИБ, нередко конкурируют между собою в поисках общих подходов и на пути к формированию лидирующих специализированных структур. Например, в США до недавнего времени наиболее «продвинутыми» в масштабах страны в области ИБ были ВМС, и только недавно там было сформировано единое Кибернетическое командование страны.
Не устарела ли триада «конфиденциальность, целостность, доступность»?
Если модели угроз строить правильно, то каждое из этих понятий работает в своем сегменте угроз и не пересекается с двумя соседними. Например, если у меня нелегально скопировали файл, то нарушена конфиденциальность содержащейся в нем информации; если в файле было удалено несколько слов, то пострадала целостность информации, а если файл был удален целиком, то я лишился доступа к нему.
Попытки расширить эту классическую триаду другими понятиями вроде неотказуемости, юридической значимости и т. п. мне кажутся неверными, потому что временем доказана ее полнота и состоятельность. Любое ИБ-событие может быть отнесено к одному из понятий этой триады. Соблазн расширения возникает из-за неумения провести правильную классификацию ИБ-угроз и ИБ-событий.
На какие новые тенденции в сферах БИ и ИБ вы хотели бы обратить внимание обычных пользователей и специалистов?
Следует обратить внимание на то, что организация надежной защиты информации — это 70% организационных мероприятий и только 30% технических. Мой личный опыт это подтверждает. Такое соотношение должно стать краеугольным камнем комплексного подхода к решению задач обеспечения безопасности информации. Идеи комплексного подхода продвигаются наиболее передовыми компаниями-интеграторами, хотя слабо воспринимаются рынком в целом.
Интересно также, что начинает меняться сама область применения средств обеспечения БИ. Если раньше речь в основном шла об обеспечении конфиденциальности информации, составляющей ту или иную тайну, то теперь уже говорят об обеспечении не только конфиденциальности, но также целостности и доступности даже открытой информации.
Но вообще-то, на мой взгляд, любой рынок, в том числе и ИБ, формируется маркетологами, на поводу которых идут все остальные его участники, включая разработчиков и самих потребителей, хотя желания потребителей могут не совпадать с предложениями маркетологов.
Если же попытаться выделить направления, которые сформировались как ответ на потребности широкого круга потребителей (то есть не только владельцев производств и эксплуатационников), то к ним, пожалуй, следует отнести безопасность АСУ ТП. Широкому кругу потребителей эта безопасность нужна, хотя и не осознается ими и не формулируется четко — ведь никто не хочет хаоса и катастроф из-за аварий на АЭС. Но владельцы производств и эксплуатационники АСУ ТП, преследуя сиюминутную выгоду, не спешат что-либо менять в своем хозяйстве в сторону повышения ИБ.
Обществу в целом и отдельным гражданам остается надеяться на регуляторов. Мировой и национальные рынки ИБ в каждой стране в силу своей специфики находятся под строгим контролем национальных и международных регуляторов. Во многом под их воздействием и формируются тенденции развития ИБ. При этом радует, что регуляторы (во всяком случае в нашей стране) все шире включают в процесс регулирования специалистов.
Ну а когда область ИБ достигнет такого же уровня развития, как, например, энергетика, где существуют строгие нормы и стандарты, отступать от которых не могут те, кто хочет работать в этой отрасли, соблюдение ИБ станет таким же комфортным и привычным делом, как потребление электроэнергии, а регулирование ИБ — прозрачным и обычным.