Недавно обнаружил, что в почтовой переписке очень часто приходится отвечать на одни и те же вопросы. Поэтому решил опубликовать несколько ответов на самые распространенные вопросы. Начнем с самой сложной темы – темы регуляции, сертификации и обеспечении ИБ на государственном уровне в целом.
Итак,
Что вы можете сказать про регуляторов (ФСТЭК и ФСБ)? Справляются ли они со своей работой? Что вы думаете, про сертификацию в области ИБ?
Постараюсь, не вдаваясь в подробности и пренебрегая точностью формулировок, донести суть происходящего в России в области регулирования ИБ (в т.ч. в части сертификации) и выскажу свое мнение по этому поводу.
В России есть две центральных, с точки зрения регулирования ИБ, организации:
ФСБ России
ФСТЭК России
Первая регулирует вопросы, связанные с криптографией, вторая в принципе вопросы технической защиты информации. Обе службы имеют свои системы сертификации.
В современном мире любое нормальное государство стремится отстоять свой суверенитет, в том числе и в информационном пространстве. Начинается эта работа с создания механизмов контроля ввозимого и используемого оборудования и ПО. Особо выделяется вопрос использования криптографии. Собственно этими вопросами и занимаются, указанные выше службы.
Рассмотрим подробнее:
Оборудование и ПО и недекларированные возможности в них
Идеальным вариантом для самодостаточного государства является использование оборудования и ПО собственного производства. В реальном мире это невозможно. И важнейшим вопросом становится:
Каков же уровень зависимости от экспорта? Так вот в России зависимость от экспорта не менее 95%.
Другими словами мы ввозим практически все.
Нельзя сказать, что зависимы только мы. Даже хваленые американские производители почти всю свою продукцию изготавливают в континентальном Китае. И здесь тоже есть свои риски, но у нас они просто запредельные.
Не секрет, что аффилированные с правительствами других стран структуры, да и сами иностранные производители, не стесняются [закладыватьk в свое оборудование и ПО недекларированные возможности (НДВ). Для упрощения объединим в это понятие любые “закладки” в ПО и железе. Какие? Например, вы купили некий программный продукт для бизнеса, однако помимо выполнения заявленного функционала, ПО стабильно отправляет куда-то (неизвестно куда) в зашифрованном виде сообщения, при этом активно маскирует эти действия. “Ну и что”, скажете вы “это обновления и прочие обслуживающие мероприятия” А вы уверены? Особенно если учесть, что производитель изо всех сил отрицает возможность такого [поведенияk своего продукта…
Несколько лет назад был скандал с запретом Skype в ряде структур государственного и областного масштаба. Запрет исходил от ФСБ. И на то были свои объективные причины.
Одна из причин заключается в том, что Skype отказывался разместить свои сервера на территории РФ. В результате чего, у ответственных структур, терялся даже теоретический контроль над данным средством связи. “Ну и что”, скажете вы, “я не хочу, чтобы меня [слушалиk”. На самом же деле проблема глубже
Представим себе, что подавляющее большинство российских государственных структур работает на Skype. Замечательно. Операционные затраты сокращаются, удобство коммуникаций повышается Сказка! Но кто владеет системой связи? Skype! А это американская компания, имеющая [плотные контактыk с самыми разными структурами на территории США. И что эта компания сделает с этой системой связи, например в случае разрыва дипломатических отношений, между РФ и США? Или если начнется война? В этом случае, как известно, одной из первых задач является максимально возможное нарушение штатного функционирования систем связи противника. А тут даже мучится не нужно. Система связи-то и так твоя.
Именно поэтому все операторы связи обязаны быть резидентами РФ и обязаны получать лицензии ФСБ. В первую очередь это вопрос контроля системы связи.
Еще более серьезные проблемы возникают с оборудованием. Существуют недекларируемые возможности на аппаратном уровне. Был поругались с Huawei и ZTE. Примеров конфликтов море, а вообще не найденных НДВ – океан.
Для нас ситуация усугубляется де-факто отсутствием полноценных исследований по части недекларированных возможностей во ввозимых продуктах. Конечно, есть сертификация ФСТЭК, которая как раз таки и направлена на поиск НДВ. Однако, не все сертифицируем, да и любой профессионал подтвердит, что наличие сертификата на отсутствие НДВ вовсе не означает, что этих самых НДВ нет.
Средства криптографии/Шифровальные средства
Да простят меня коллеги, проведем аналогию с оружием. В этом случае оборудование и ПО с [заложеннымk в него НДВ это мины замедленного действия, рассыпанные по всей стране, а вот криптография это полноценное и управляемое оружие, скажем танки, авиация и т.п. Поэтому внимание к вопросам криптографии, должно быть особо пристальным.
В наследство от СССР нам достался очень и очень удачный ГОСТовый криптоалгоритм. Даже сегодня он считается одним из самых стойких. В свою очередь у американцев есть свои криптоалгоритмы. С 80-х годов оборудование на основе западных криптоалгоритмов активно продвигалось на международный рынок. В результате сегодня оборудование на ГОСТе (которое производится в России) технологически не может сравниться с продукцией мировых лидеров. Оно откровенно хуже.
Глядя на все это, потребители (все предприятия в т.ч. и государственные) не хотят покупать российские [поделкиk, ведь им нужно работать, а не мучиться с настройкой криптографической системы. Здесь и появляется ФСБ России, задача которой контролировать ввоз и использование шифровальной техники на территории РФ. Инструментов осуществлять такой контроль несколько, самый известный из них сертификация. Т.е. если оборудование сертифицировано оно может использоваться, если нет возникают вопросы. Если покопаться, то формально использовать западную криптографию на территории РФ нельзя. Даже наши мобильные телефоны являются средством шифрования с западной криптографией, которые даже через границу в кармане просто так провозить нельзя.
Но это формально, в реальной жизни не все так строго. Например, есть такой инструмент, как “разрешение ФСБ” на ввоз и использование конкретных экземпляров, конкретным заказчиком в конкретном исполнении. И это относится к самой стойкой криптографии, которая также ввозится в страну.
Однако, как бы страшно все не звучало, вопросами криптографии в России занимаются. ФСБ в этом направлении работает, и это радует. При этом у нас крайне тяжелая ситуация с отечественным производством средств шифрования. Те продукты, которые есть на рынке, технологически отстали лет на 10, что для ИТ-отрасли очень и очень много.
Вывод
Регуляция ИБ нуждается в системных преобразованиях. Если система регуляции криптографии у нас в целом налажена и функционирует, то со всем остальным у нас серьезные проблемы. Все это усугубляется де-факто бессмысленной, а временами и вредной сертификацией ФСТЭК, которая кроме прямых затрат ничего не дает.
Для решения вопросов доверия к средствам защиты, ИТ-оборудованию и ПО нужны новые инструменты и новые институты. Это может быть добровольная сертификация (необходимость в которой назрела уже давно), система рейтингов и т.п.
Самое главное, это осознание всей серьезности проблемы и выработка полноценной государственной программы по усилению информационной безопасности России.
Война уже идет и мы в ней пока проигрываем…
