Куда дует ветер перемен?

Куда дует ветер перемен?
Написал по глупости в Твиттере, что мозаика сложилась и я теперь знаю, куда дует ветер, и вот приходится раскрывать вырвавшееся высказывание ;-) Итак, что мы имеем? Ст.19, инициированная ФСБ, и приведшая к серьезному ужесточению ситуации на рынке ИБ, которая, как писали многие СМИ, ставит многих под контроль наших регуляторов. Причем ФСТЭК мало кто упоминает, эта структура в парочке совсем неглавная и в нормативной базе она прописана, видимо, до кучи. Одна из самых распространенных версий сделанных поправок - желание урвать побольше и расширить кормушку. Версия допустимая, но... очень уж много этих "но". Я лично в нее не очень верю - у регуляторов и до нового старого ФЗ было много способов заработать достаточно законными методами. Все на самом деле просто и вполне открытоне раз декларировалось сотрудниками ФСБ на мероприятиях и в прессе. Мотив такой - "национальная безопасность". Из него вытекает множество иных субмотивов - "борьба с терроризмом и экстремизмом", "поддержка отечественного производителя", "обеспечение безопасности" и т.д. Что говорит в пользу такого, лежащего на поверхности, тезиса? Начну с фрагмента годового отчета одного из ведущих отечественных разработчиков средств защиты (отчет найден путем использования правильных запросов в Google; тайной этот отчет не является, т.к. по закону должен быть доступен акционерам). В нем, в разделе рисков, он на первое место ставит "риски, связанные со все более укрепляющимся положением международных производителей на отечественном рынке программного обеспечения в сфере ИБ, особенно принимая во внимание фактическую либерализацию импорта СКЗИ". Дальше идет вывод - "Рост роли международных стандартов на национальном рынке информационной безопасности, перекос регулирования [экспорт/импортk может привести к падению спроса на  продукцию отечественных производителей программного обеспечения". Могу предположить, что аналогичные опасения есть и у других игроков рынка, а также у самих регуляторов. Идем дальше. По данным Совета Безопасности, в российских информационно-коммуникационных технологиях используется до 98% зарубежных разработок и оборудования. ФСБ в первую очередь беспокоит именно это и они это не раз заявляли. Например, на Неделе российского бизнеса в 2009-м году об этом прямо говорил начальник отдела Центра лицензирования, сертификации и защиты государственной тайны ФСБ Леонид Беляев. В своем интвервью он, кстати, ссылается на проект Указа, который я уже обсуждал в блогетут ). Основной упор делается на два аспекта - недопущение на российский рынок западных продуктов и сертификация средств защиты информации. Спустя полтора года об аналогичной проблеме заговорили в Совете Безопасности и информация об этом просочилась в прессу . Если убрать постоянные нападки на Cisco и забавные высказывания, что через маршрутизаторы Cisco проходят линии правительственных АТС-1 и АТС-2 (автору стоило бы добавить для красоты изложения, что через Cisco циркулирует трафик "Кавказа", "Севера", "Ай-Петри-Памира", "Росы" и "Интеграл-Градиента"), то идея материала понятна - все под колпаком и нужно что-то делать. А годом ранее, в конце 2009-го года в Госдуме проходило заседание экспертного совета при Комитете по безопасности, посвященное той же проблеме. Там также заявлялось о том, что Россия зависима от западных технологий, разработчики которых пляшут под дудку западных же спецслужб. Говорилось про невозможность бороться с киберпреступниками, про готовящиеся кибервойны, законодательство других стран, дающее право спецслужбам контролировать весь Интернет-трафик и т.д. Были предложены ряд мер по недопущению развития ситуации. Число их было магическим - 7. Среди них - "выработка мер по минимизации непосредственного участия иностранных компаний в информатизации процессов государственного управления". Некоторые из мер уже реализовываются. Это все? Нет. В утвержденной в 2000-м году Доктрине информационной безопасности (а именно она является основополагающим документов в области ИБ в России) среди угроз безопасности информационным и телекоммуникационным средствам и системам, как уже развернутых, так и создаваемых на территории России, числится среди прочего и "использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры". "Сложившееся положение дел в области обеспечения информационной безопасности Российской Федерации требует безотлагательного решения ряда задач", среди которых и "разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств". А какие системы сертификации средств защиты и каковы их требования все и так знают. Это далеко не все доказательства моей гипотезы, но достаточно и их (тем более, что учитывая специфичность темы, многие доказательства непубличны). В целом, все это крутится вокруг одного ключевого тезиса - западные продукты доминируют на рынке и продолжают усиливать свои позиции, а это создает угрозу для национальной безопасности России. Посыл понятен и многие развитые страны следуют той же идеологии, защищая собственные интересы. Только вот методы там выбирают немного иные. Собственно, сценариев на Западе или Востоке ровно два: Развивать свое, постепенно выдавливая все зарубежное. Яркий пример страны, действующей по этому сценарию, - Китай. То, что Китай развивает "свое", сначала скопировав чужое в нарушении прав на интеллектуальную собственность, немного в стороне от темы обсуждения. По этому пути идут страны либо с большим самомнением, либо с большими ресурсами.Дать возможность применять для гражданского применения все, что угодно, контролируя наиболее критичные сферы (гостайна, КВО, военка и т.п.), пытаясь внедрить в них собственные разработки. Так поступает большинство стран, иногда даже в критичных приложениях используя западные наработки. Могу сказать, что часто приводимый пример США (мол они используют только свое и т.д.) в данном случае неприменим. В США разрабатывается чуть ли не 90% всего мирового ПО и железа. Я имею ввиду не физически, а юридически. Собирая железо в Китае или привлекая программистов в Индии, разаботанный продукт все равно считается разработанным в США. Но хочу заметить, что даже в США не гнушаются применением для критичных применений произведенных за пределами США технологий (есть четкое деление продуктов на GOTS и COTS - для применения в государственных и коммерческих организациях соответственно). Только с соблюдением определенных требований и правил. На упомянутом выше заседании Госдумы было предложена достаточно здравая идея - о содействии развитию отечественного производства средств связи и телекоммуникаций, ПО (хотя все заявления о взятом курсе на собственное СПО после объявления Microsoft основным поставщиком ПО для Сочи-2014 выглядят забавно), микроэлектронной базы. Правда, здравым выглядело бы сначала развить отечественные технологии, а потом минимизировать влияние западных. У нас же получилось наоборот - сначала по сути запретили западные, а как развивать отечественные никто не думает (либо ФСБ поторопилась запретить, либо Минкомсвязи не успевает развить). Что в итоге? А ничего ;-( Я вижу несколько сценариев развития событий с разными их вероятностями. Описывать их сейчас не буду - задачи такой не стоит. Могу только предположить, что пока, по инерции, многие потребители (включая государственных) будут жить по старым правилам игры, покупаю то, что им надо, а не то, что им навязывают. Ведь мало кого из государевых потребителей волнует (а многие и не знают), что в госорганах уже почти год как должны использоваться средства защиты, сертифицированные в системе ФСБ, а не ФСТЭК. Постепенно ситуация начнет меняться и в среднесрочной перспективе регулятор (или регуляторы), усиливший свое влияние (что будет зависеть от результатов выборов, которые многие считают уже предрешенными), начнет закручивать гайки и требовать применения только решений, соответствующих требованиям (как правило, секретным). А вот в долгосрочной перспективе потребитель столкнется с тем, что спектр предлагаемых ему продуктов очень узок и не позволяет решать все поставленные бизнесом или государством задачи (особенно в рамках госпрограммы "Информационное общество 2012 - 2020"). И тут мне сложно уже предсказывать последствия. Или требования регулятора будут пересмотрены или Россия будет отброшена в своем инновационном развитии далеко назад. Зато с национальной безопасностью у нас все будет в порядке. Террористы безусловно будут применять только сертифицированные ФСБ продукты. Экстремисты конечно же будут размещать свои материлы только на отечественном хостинге (причем тут экстремисты читайте тут и тут ). А диссиденты будут использовать только сети 3G большой тройки (причем тут диссиденты, читайте тут ). И все у нас будет в порядке. Кружит Земля, как в детстве карусельА над Землей кружат Ветра ПотерьВетра потерь, разлук, обид и злаИм нет числа, им нет числа Им нет числа - сквозят из всех щелейВ сердца людей, срывая дверь с петельКруша надежды и внушая страхКружат ветра, кружат ветра...
тенденции ФСБ Россия
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей, киберпреступники и вирусы-вымогатели продолжают атаковать пользователей по всему миру. Смотрите новый выпуск на нашем Yotube канале