|
|
Обзор подготовлен
Для того, чтобы создать эффективную систему информационной безопасности, необходимо учитывать требования и возможности трех участников процесса: специалистов СБ, ИТ-шников и собственно киберпреступников. К сожалению, опыт последнего времени показывает, что первые и вторые из них явно проигрывают третьим.
Информационная безопасность в госсекторе (впрочем, как и на любом другом вертикальном рынке) – это попытка найти баланс между тремя противоречивыми сущностями. Во-первых, желанием и ресурсами службы безопасности. Во-вторых, уровнем раздражения ИТ-шников действиями первых, подкрепляемым претензиями пользователей ИТ. И, наконец, мощью противостоящих им всем киберпреступников и инсайдеров.
Казалось бы, преступность в этом случае оказывается в меньшинстве и должна быть быстро повержена. Но история доказывает обратное. Киберпреступность с годами только увеличивается, приобретая все новые и новые формы и расширяясь за счет новых участников.
За примерами далеко ходить не надо. Достаточно вспомнить героя нашего времени Джулиана Ассанжа и восставшее против информационной тирании «большого брата» сообщество Anonymous, породившее новое явление современного онлайн общества – «хактевизм». Здесь уместно вспомнить про червя Stuxnet, еще раз доказавшего, что если что-то очень надо сделать, то это будет сделано. Новости пестрят и от иных примеров лавинообразного роста киберпреступлений против государства.
В результате, упоминавшийся выше баланс сил нарушается. В то время, как киберпреступники совершенствуются, ИБ-шники не имеют достаточных ресурсов для того, чтобы противостоять новым вызовам, а ИТ-шники (если говорить о России) заняты строительством «Информационного общества», СЭД, МЭДО и т.д. Им не до этого. В результате обеспечение информационной безопасности сводится лишь к соблюдению минимальных требований.
Минимальные требования по ИБ
Источник: citforum.univ.kiev.ua, 2011г.
Чиновники, пользователи этих самых информационных систем, предпочитают планшетные компьютеры для выхода в web 2.0 через общедоступные сети налаживанию электронного взаимодействия с населением. Как следствие, почти ничего толком не работает. В итоге практически повсеместно роль того, что Комиссия по модернизации и технологическому развитию экономики России называет «МЭДО», усилиями Марка Цукенберга уже давно создано и называется Facebook. И в отличие от первой, самым активным образом используется как населением, так и чиновниками всех стран.
А что «безопасники»? Им, похоже, сейчас остается одно - огородить колючей проволокой государственные ЦОДы и сконцентрироваться на создании «китайских файерволов» для ограничения доступа населения в социальные сети. При этом довольны и ИТ-шники: обеспечивать работу офисных программ куда проще, чем всего многообразия государственной инфраструктуры. Довольны и хакеры – лучшей площадки для общения и координации, чем Facebook, придумать трудно.
В итоге все рассмотренные три силы довольны и находятся в равновесии. Но только в Facebook, а не на своих рабочих местах. А что же произойдет с государственными интересами?
Такое развитие событий серьёзно противоречит Концепции государственной безопасности РФ. Об этом прекрасно осведомлены первые лица страны, что привело к нескольким довольно резким шагам.
Первым из них стало заседание Комиссии по модернизации и технологическому развитию экономики России в офисе «Лаборатории Касперского» летом 2009г. Тогда президент РФ Дмитрий Медведев говорил о концентрации усилий государства и бизнеса на нескольких приоритетных направлениях развития, в т.ч. в области «стратегических» информационных технологий. Присутствие на этом заседании Евгения Касперского, которому незадолго до этого была присуждена Государственная премия РФ в области науки и технологий, доказывало, что ИБ вошло в список наиболее важных для государства приоритетов.
Это мероприятие проходило почти в одно время с показательной акцией НАТО в Эстонии. А до каких пределов может зайти НАТО «под эгидой ООН» в своих акциях сейчас знают уже все, Муаммар Каддафи в частности. «Еще несколько лет назад способность хакеров поставить мир на грань катастрофы казалась в лучшем случае сюжетом для голливудского боевика, - рассуждает по этому поводу аналитик издания The Guardian Бобби Джонсон. - Сейчас кибератаки стали обычным делом, и ведущие специалисты НАТО по компьютерной безопасности собрались в одном месте с целью разработать новые системы защиты. Собрались на новой военной базе Северо-Атлантического альянса, расположенной на окраине Таллинна. Официально она называется «Совместный центр по обеспечению безопасности в киберпространстве К-5».
О каких результатах концентрации усилий можно сказать сегодня?
Системный проект формирования в Российской Федерации инфраструктуры электронного правительства, очевидно, один из немногих документов в области государственных систем ИБ, где можно увидеть термин «оптимальность», что уже о многом говорит.
Например, там есть фраза: «Для сокращения расходов на создание систем обеспечения безопасности должен осуществляться оптимальный выбор соотношения между различными методами и способами противодействия угрозам безопасности информации. Дополнительно внедряемые средства защиты должны дублировать основные функции защиты, уже используемые в программно-аппаратной среде ИС, и по возможности иметь другое происхождение, чем сама эта среда, что позволяет существенно затруднить процесс преодоления защиты за счет иной логики построения защиты».
Но это пока проект. А что на практике? Александр Фоминенков, директор по развитию Group-IB, считает: «Президент Дмитрий Медведев действительно активно поддерживает развитие технологий и их внедрение. Из кардинальных шагов стоит отметить, во-первых, продолжающуюся информатизацию государственных услуг. Во-вторых, переход госсектора на использование свободного программного обеспечения. И, наконец, утверждение проектов по ИТ и ИБ в Сколково. В частности, наша компания прошла туда сразу с двумя проектами в области информационной безопасности. Подробности пока раскрывать, к сожалению, мы не можем. Но это свидетельствует о том, что происходит определенное движение в нужном направлении».
Специалистов в области ИБ нетрудно понять, когда они используют обтекаемые выражения. Но уже озвученные в коридорах власти мнения чиновников позволяют добавить в эти слова конкретики. Очевидно, что в дополнение к концентрации финансовых и интеллектуальных усилий на приоритетных направлениях совершенно необходима централизация технических и трудовых ресурсов. Речь идет, в первую очередь, о наличии политического вектора движения государственных ИТ в сторону «облачных вычислений» (cloud computing). В случае с Концепцией информатизации здравоохранения РФ об этом было заявлено открыто. Очевидно, что и другие ведомства находятся на тех или иных этапах трансформации своих ИТ-инфраструктур.
«Переход государственных служб на облачную модель – это неизбежный шаг на пути реализации глобальной концепции защиты персональных данных. Перенос обработки и хранения наиболее ценной информации в специализированные дата-центры позволит избежать дорогостоящих внедрений сертифицированных средств в каждом отдельном учреждении», - полагает Олег Глебов, продакт-менеджер компании «Информзащита».
«Основные внедрения средств ИБ будут производиться в ЦОДах, где гораздо проще соблюсти все требования регуляторов. Это касается, как положений ФЗ-152, так и других регламентирующих нормативных актов. Такая модель серьёзно упростит и, что более важно, ускорит процесс обеспечения соответствия государственных органов законодательству, – продолжает он. – Тормозящие факторы, это запаздывание появления сертифицированных для работы в России программных и аппаратных средств защиты «частных облаков», а также отсутствие стандартов построения облаков для государственных организаций».
Но Россия не была бы Россией, если бы не имела специфических проблем. Роман Карась, управляющий продажами в ритейле G Data Software в России и СНГ, рассказывает: «Действительно, при централизованном подходе к ИТ, обеспечить ИБ более чем реально. Однако бюджеты на государственные информационные системы выделяются разными структурами. Получается что-то наподобие дачного товарищества, когда трое из пяти согласны, а у двух денег нет. И из-за этого все вместе не могут сделать дорогу!»
Изменить сложившуюся ситуацию возможно только при наличии политической воли на самом верху. Только тогда можно будет говорить об эффективности связки централизации и концентрации. Но при этом надо сразу оговорить одно важное условие. Отечественный госсектор, и в частности его ИТ-архитектура, в определенной степени похож на то, что наблюдается в крупной вертикально интегрированной корпорации. Однако современная концепция корпоративной информационной безопасности, закрепленная стандартом ISO 27001 и основанная на управлении коммерческими рисками, не в полной мере подходит для государственных структур. Об этом ни в коем случае нельзя забывать. На что следует обратить внимание?
Роман Карась, комментирует: «Во-первых, в государственной структуре присутствует отличная от коммерческой организации типология самих рисков. Если посмотреть внимательно, то в коммерческом секторе наиболее опасными являются риски утери коммерческой тайны, ноу-хау, а также репутационные риски и риски, связанные с утечками персональных данных сотрудников или клиентов. В государственных структурах риски совсем другие – например, разглашение коммерческой тайны множества третьих (юридических) лиц, компрометация данных, содержащих тайну усыновления, сведений, которые могут нанести ущерб политической репутации. Или даже разглашение сведений, содержащих государственную тайну, отказ в обслуживании населения и т.п.»
«Во-вторых, различается масштаб и тяжесть инцидентов при реализации угроз ИБ в коммерческих и государственных структурах, - продолжает эксперт. - Данные государственных учреждений должны быть защищены лучше, чем корпоративные секреты. Отсюда и необходимость применять специализированные системы управления информационной безопасностью государственных структур, особенно в отдельных, критичных по утечке информации, отраслях государственного сектора. Поэтому для защиты государственных данных не применимы в чистом виде политики ИБ, связанные с управлением рисками. А применяются в основном специализированные системы ИБ, построенные на экспертных оценках уровня безопасности и экспертном анализе возможных рисков».
Тема рисков не ограничивается техническим аспектом. Частенько внутри организации находятся люди, готовые стать на сторону криминала. Их принято называть инсайдерами. Для борьбы с ними используются системы предотвращения утечек конфиденциальной информации (DLP) и проводится серьезная организационная работа. И непонятно, что из этих двух компонентов приносит большие плоды.
С хакерами и другими представителями компьютерного андеграунда все гораздо сложнее. Движение Anonymous доказало даже самому упрямому чиновнику, что организовать международное сообщество «борцов», направленных против любого противника, будь то платежная система или государственное ведомство, можно очень быстро. А организованная киберпреступность уже давно забыла, что такое государственные границы и национальное законодательство. Их интересуют только деньги. Поэтому требуется активное участие России в международных организациях, ставящих своей целью борьбу с этим явлением.
Олег Глебов уверен: «Пока что Россия находится на начальном этапе в борьбе против мировых хакерских групп. С уверенностью можно говорить о том, что в ответ на подписание конечной редакции стратегии мировой кибербезопасности США, наша страна внесёт корректировки и в свой взгляд на эту проблему. Как показывает практика, более 50% государственных и других значимых объектов имеют те или иные уязвимости. Так в США в прошлом году были выявлены серьёзнейшие нарушения в безопасности электроэнергетики. Очевидно, что и у России есть аналогичные «слабые места», но это не значит, что нам стоит опасаться Anonymous или иных групп. Современные хакеры настроены, скорее, на подрыв стабильности в глобальных масштабах. И пока их целями будут становиться такие объекты как Facebook или Apple, конкретным странам можно не беспокоиться».
Но это пока. Как только в РФ появится реально работающие системы МЭДО и электронного взаимодействия с населением, мнение хакеров по отношению к нашему госсектору может резко измениться. Но тогда ИТ-шникам уже некогда будет договариваться с «безопасниками». Поэтому баланс интересов нужно вырабатывать уже сейчас, и совместно с законодательными, регулирующими и правоохранительными органами выстраивать систему государственной информационной безопасности.
Вадим Ференец
На вопросы CNеws ответил Михаил Тюркин, генерал-лейтенант внутренней службы, начальник департамента информационных технологий, связи и защиты информации МВД России.
CNews: Департамент ИТ в МВД РФ был создан в начале 2011 г. Какие цели были поставлены перед новым подразделением руководством ведомства?
Михаил Тюркин: Очевидно, что в современных условиях эффективное развитие информационных технологий является ключевым фактором совершенствования деятельности любого федерального органа исполнительной власти. И министерство внутренних дел Российской Федерации здесь не исключение.
Указом президента РФ от 1 марта 2011 г. № 248 в структуре министерства внутренних дел был создан департамент информационных технологий, связи и защиты информации. Перед этим департаментом были поставлены задачи совершенствования информационных и телекоммуникационных технологий, а также автоматизированных информационных систем; координации работ по совершенствованию систем связи; противодействия техническим разведкам; технической, в том числе криптографической, защиты информации; формирования и ведения информационных ресурсов; межведомственного информационного взаимодействия; реализации государственных и ведомственных программ в области информатизации и другие.