Статьи и публикации

Мы денег не просим. Дайте нам рынок!

Интернет-портал anti-malware.ru, ноябрь, 2018

Интервью с генеральным директором компании "Аладдин Р.Д." Сергеем Груздевым.

Сергей Груздев, генеральный директор "Аладдин Р.Д.", рассказал Anti-Malware.ru о выходе на новые сегменты рынка ИБ, новых продуктах компании и о том, какие опасности как для корпоративной, так и национальной безопасности таят с виду безобидные мобильные телефоны и процессоры.

За последние несколько лет ваша компания прошла огромный путь в сторону технологической самостоятельности: появилась своя продуктовая линейка, свое производство устройств — навскидку я не найду другой такой компании у нас в стране. Почему компания пошла по этому сложному пути? И какие у вас планы на ближайшее время?

С. Г.: Долгое время компания работала по схеме Value Added Distribution (VAD) — в те времена, когда были нормальные отношения с Западом, у нас был прямой доступ к лучшим практикам, технологиям, документации, и поэтому мы жадно учились. Фокус был на продажи, локализацию и сертификацию продуктов по российским требованиям (та самая добавленная стоимость), глубокой разработкой мы не занимались, потому что у нас были комфортные отношения с иностранными вендорами, и они делали то, что мы их просили. И на этом мы построили бизнес.

Мы находили новые ниши, а не выходили на сложившиеся рынки. Например, двухфакторная аутентификация и защита программного обеспечения от несанкционированного использования с помощью аппаратных ключей — мы были первыми, кто серьезно вложился в раскрутку этих направлений и фактически создал эти рынки в России.

Основы успешности нашего пути — активное формирование потребности на рынке, потребность порождает спрос, а спрос рождает предложение.

Первыми всегда тяжелее идти.

С. Г.: Нам неинтересно повторять то, что кем-то уже было сделано, неинтересно быть вторыми. Это заложено в нашей "корпоративной религии", и люди, которые работают в ней, разделяют эти ценности. Повторять что-то, копировать и идти за кем-то в хвосте — это тоже стратегия, но нам это неинтересно.

Внутренняя свобода — дорогого стоит заниматься тем, что тебе нравится, что приносит удовлетворение.

Мы постоянно ищем новые направления. Не всегда новые наработки выстреливают, иногда они "ложатся на полку" до лучших времён или включаются в состав других решений. Но когда новая технология или продукт на её основе "выстреливает", получается серьезный скачок. Так было, например, пару лет назад — мы утроили оборот за два года за счёт вывода на рынок нового продукта (защищенный служебный носитель) и выхода с ним на новый для нас рынок гостайны.

Первым быть всегда тяжело, но и награда в случае успеха тоже существенная — при успешном выводе на рынок нового продукта хочешь не хочешь, а 70% процентов рынка будут твои, пока рынок не достигнет зрелости. Когда рынок насыщается, пора искать новые точки роста. Мы давно перестали быть "продавцами токенов", сейчас у нас в портфеле несколько новых уникальных технологий.

А какие, если не секрет?

С. Г.: В первую очередь, это технология защиты баз данных — система "Крипто БД", что, кстати, хорошо ложится в тему импортозамещения.

Разработать с нуля отечественную СУБД, способную заменить Oracle, MS SQL, ни одна российская компания не сможет. И основная проблема не в самой СУБД, а в совместимости и преемственности — наработано огромное количество различных приложений, переписать, переделать и заново протестировать всё просто нереально. И безумно дорого. А работать надо, в том числе и в КИИ.

Поэтому мы и постарались реализовать другую нашу идею — импортозаместить не сами иностранные СУБД, а встроенные в них иностранные средства защиты, причём так, чтобы ни сами СУБД, ни работающие приложения этого не почувствовали.

Вроде получилось. Эту технологию реализовали в своём продукте "Крипто БД" для Oracle, MS SQL, Tibero и PostgreSQL. При этом нам удалось заменить импортную криптографию на отечественную, реализовать механизмы прозрачного шифрования критически важных данных и изолировать эти данные от самой недоверенной СУБД, сделать защиту от администраторов (хотя и считается, что администратор — царь и бог и защититься от него нельзя), персонифицированный аудит — знание, что наказание неизбежно — очень сильный сдерживающий фактор для потенциальных нарушителей!

На "Крипто БД" мы уже получили сертификаты ФСБ России по классам КС1, КС2 и КС3. Это прямая дорога в объекты КИИ и госпроекты. В последнее время у нас существенно возросло количество пилотов по "Крипто БД", идет активная работа над коммерческими внедрениями.

Вы разрабатываете служебную флешку. В чем особенность этого устройства?

С. Г.: Многие из нас пользуются флешками. И это крайне небезопасно.

Мы постарались создать продукт, который защищает не компьютер, а данные в процессе их жизненного цикла. Это новый продукт и новый для нас рынок гостайны. Называется этот продукт JaCarta SF/ГОСТ. Это защищенный USB-флеш-накопитель для безопасного хранения и контролируемого переноса (отчуждения) служебной информации (ДСП, гостайны) на компьютеры, предназначенные (разрешённые) для её обработки.

Доступ к защищаемой информации на служебном флеш-накопителе может получить только её владелец после успешной его аутентификации и только на разрешённых для этого компьютерах. Получить доступ к информации, сохраненной на защищенном диске, на чужом (неавторизованном) компьютере или неавторизованному пользователю нельзя. Даже администратору.

Для защиты от копирования служебных данных со служебного компьютера на неавторизованные съёмные носители мы выпустили еще один продукт — Secret Disk LP (Leak Prevention), также сертифицированный для работы с гостайной до степени секретности СС. В рамках двух этих проектов нам удалось решить очень важную задачу — защиту от внутреннего нарушителя. Например, если кто-то (нарушитель) решит скопировать важные данные, принадлежащие компании (или государству), со своего служебного компьютера на принесенную из дома USB-флешку, то Secret Disk LP не позволит это сделать — ведь единственным разрешенным съёмным носителем является JaCarta SF/ГОСТ. А легально записав служебную информацию на этот носитель, скопировать её на свой личный ноутбук у нарушителя также не получится, поскольку даже являясь владельцем такого служебного носителя и зная PIN-код на монтирование защищённого диска, носитель "не откроется", поскольку не пройдет аутентификация неслужебного ("неразрешённого") компьютера. При этом попытка монтирования защищённого диска на неизвестном (неразрешённом) компьютере будет зафиксирована во встроенном защищённом журнале USB-накопителя и при первом же подключении к служебному компьютеру передана администратору ИБ для разбора инцидента.

Продукт был сертифицирован по линии Министерства обороны РФ. Сейчас мы готовим к выпуску на рынок вторую версию, с сертификатами по линиям ФСБ и ФСТЭК России на соответствие требованиям "Профиля защиты средств контроля отчуждения (переноса) информации со съемных машинных носителей информации".

Последние несколько лет "Аладдин Р.Д." инициирует темы, связанные с созданием доверенной среды…

С. Г.: Практически вся электроника, которая нас окружает — телефоны, Smart TV, бортовая электроника, управление светофорами и другими объектами городской инфраструктуры, — все построено на процессорах ARM-архитектуры. Эти процессоры 5-7 лет назад стали производиться по технологии TrustZone или "два в одном", когда процессор аппаратно разделён на два изолированных друг от друга "мира" — Secure World и Normal World, что позволяет запущенным в них операционным системам и приложениям работать независимо друг от друга с использованием одного ядра процессора и набора периферии.

При загрузке процессора сначала загружается Secure OS, находящаяся в Secure World и контролирующая все коммуникации процессора с внешним миром (контроллеры и периферию). Она же формирует и профиль безопасности, с которым будет работать "основная" ОС. Таким образом, Secure OS, работающая в TrustZone, имеет полный доступ ко всем ресурсам процессора, управляет всеми коммуникациями с внешним миром, загружается раньше "гостевой" ОС и полностью контролирует ее работу.

Грех не встать посередине между операционкой и внешним миром. А дальше сценарий атаки зависит от целей злоумышленников, но мы же понимаем, что сталкиваемся с риском полного контроля действий процессора. Кто мешает делать предобработку, например, менять GPS-координаты или сохранять копии документов в скрытой памяти?

Ваши клиенты понимают эти риски? Что надо смотреть в сторону защищенной среды, доверенных платформ?

С. Г.: Если посмотреть интегрально на рынок, к сожалению, таких пока меньшинство. Об этих проблемах надо рассказывать, надо заниматься евангелизацией, надо делать технологии, которые помогут снизить риски, и надо работать с тем, что есть. Мы не можем сказать: "Давайте прекратим пользоваться этими импортными недоверенными технологиями". Большинство ответит, что это ерунда и главный критерий — это цена.

С другой стороны, если посмотреть на процессы, которые происходят в государстве — этим озаботились. Государство это понимает, принята стратегия, делаются конкретные шаги, в развитие электроники вкладываются деньги.

Вы видите какой-то возможный ответ на такие серьезные вызовы?

С. Г.: Ответ очевидный — развивать отечественную электронику, но тут возникает ряд проблем. Во-первых, мы намного отстали, во-вторых, а на чём мы её будем развивать и как? Если смотреть на наши заводы — идёт глобальное противостояние, и против тех, кто пытается что-то делать, объявлены санкции. Ставятся блоки против тех, кто им продает химию, кремний, технологии. Большинство компаний десять раз подумает, надо ли рисковать бизнесом ради этой сделки. Американцы делают всё, чтобы не позволить России наладить собственное производство. Если мы сделаем что-то своё, они лишатся права "всё знать", всё контролировать, всем управлять и подавлять.

Чипы для отдельных сегментов микроэлектроники, я думаю, мы сможем сделать.

С. Г.: Сможем, но не сразу. Если мы стартуем с нуля, то мы ещё больше отстанем. Надо пытаться пользоваться тем, что уже разработано. Есть готовые IP-блоки — из них, как из кубиков, собираются чипы, а дальше возникает собственная проблема безопасности, которую каждый определяет для себя сам, другими словами, до какой степени паранойи надо смотреть, что внутри кубиков. Как показывает опыт с эстонской ID-картой — не все с этим справляются.

Иногда мы слышим: "У нас отечественный чип". Но ты его из чего сделал, и сколько там чужих IP-блоков? В лучшем случае своих IP-блоков в таком чипе — 30%. А в других блоках, купленных, могут быть закладки? Да, и чужой опыт это доказывает. А мы на чем все это проектируем? На САПР. А САПР мы где берём? За границей. Это огромная проблема, и кто знает, что мы получаем на выходе?

Удалось ли перейти от концептуальных идей по созданию доверенной среды к разработке?

С. Г.: Мы проработали технологию TrustZone и на некоторых западных процессорах реализовали свою технологию — "стерилизации" импортных ARM-процессоров, позволяющую заменить заводской загрузчик на собственный, доверенный, загрузить собственную реализацию Secure OS (TEE — Trusted Execution Environment) и обеспечить контроль над коммуникациями и процессами, загрузку и взаимодействие с любой "гостевой" системой, без внесения каких-либо изменений в неё или в используемые приложения.

Разработанная технология позволяет "перепрошивать" некоторые современные импортные ARM-процессоры, загружая в них российскую доверенную Secure OS с функциями "электронного замка", обеспечивающего доверенную загрузку, контроль целостности как Secure OS, так и любой "гостевой" ОС и всех файлов программ и данных. За этим следуют защита данных от НСД, утечки, искажения, перехвата, контроль каналов и способов распространения защищаемых данных и многие другие функции ИБ.

Где это может применяться?

С. Г.: Эта технология позволит использовать самую современную, надёжную и недорогую элементную базу там, где необходимо обеспечить высокий уровень безопасности, например, в КИИ, АСУ ТП, для навигационного и коммуникационного оборудования.

Применяться это может везде, где впаян процессор — планшет, телефон, встраиваемая электроника, всё, что ездит, плавает и летает.

Сейчас этот продукт находится на финальной стадии сертификации во ФСТЭК России (по требованиям для защиты гостайны со степенью секретности до СС).

Государство помогает?

С. Г.: Векторы государством обозначены правильно: надо заниматься своей доверенной электроникой. А полное доверие обеспечивается, когда оно сквозное. Взять сертификацию приложений. Что раньше делало государство (немного утрирую): принеси приложение, принеси мне исходник, а затем докажи, что его не отключат и не заблокируют. Сейчас мы имеем правильные критерии помещения программного обеспечения в Единый реестр: владельцы — резиденты России, нет запрета на продажу в Крым и Севастополь, а это самый больной вопрос для любой иностранной компании, которая зарегистрировала ООО и на следующий день стала российской. А вот под продажей в Крым они не могут подписаться. Почему не можете, вы же российские?

Мы денег не просим. Многие российские компании могут инвестировать в новые направления. Дайте нам рынок! Рывок, который мы сделали в прошлом году, произошел потому, что для нас открыли рынок. Дальше — наши трудности: найти деньги, разработать технологии. Сформируйте спрос — и российские компании в состоянии его удовлетворить. Так же как с сельским хозяйством — убрали иностранных производителей, и наши подтянулись. И ещё, не надо нам мешать, не надо регулировать, как нам ходить и как дышать.

Программа цифровой экономики создает для вас новые рынки? Там заложены большие деньги. Есть у вас оптимизм по поводу этой программы?

С. Г.: Попробую сказать мягко: пугает предыдущий опыт. Относительно цифровой экономики — очень много слов из предыдущих проваленных программ

С другой стороны, не пытаться чего-то делать тоже нельзя. Насколько это будет эффективно — не знаю.

Хотелось бы подробнее поговорить о продуктах вашей компании. Что нового вышло, и что следует ожидать в ближайшее время?

С. Г.: Мы выпустили новый токен второго поколения для ЕГАИС. Он разработан по технологии Secure by design, он неклонируемый, упор в нем сделан на совместимость, поддержку новых вводимых российских ГОСТов 2012 года, для плавного перехода на них. Токен кардинально переработан, в нем увеличен ресурс, мы делали его не только для ЕГАИС, но и под весь сегмент M2M. Основное внимание уделено надёжности, ресурсу, долговечности.

Когда выйдет третье поколение JaCarta?

С. Г.: Готовимся к запуску новой платформы в начале 2019 г. JaCarta третьего поколения сделана на новой схемотехнике: в ней будет всё свое, доверенное — и загрузчик, и собственная встроенная операционка, и приложения, реализующие PKI и российские ГОСТы, и модуль безопасного обновления "прошивки" для токенов, уже находящихся "в полях".

Развивать проект JaCarta-3 будем в сторону повышения уровня доверия и безопасности при работе в недоверенной среде (это когда на компьютере пользователя трояны, вирусы, но тому, что он подписал своей ЭП, можно доверять).

А JMS развивается в какую сторону? Новая функциональность какая-то ожидается? Кажется, придумать что-то новое тяжело.

С. Г.: Да, нам казалось, что мы всё знаем, всё, что можно придумать и реализовать в системе, мы реализовали, но нет предела совершенству и креативу наших заказчиков, которые изобретают новые сценарии, которые мы реализуем. Сейчас мы смотрим на смежные рынки и новые возможности применения. Мы идем фазами — когда систему выводили на рынок, была задача "догнать и перегнать Америку", в данном случае под Америкой я понимаю лучшие практики.

В прошлом году мы решали задачу масштабирования с учётом внедрения у очень серьёзных заказчиков с распределённой инфраструктурой. Одно дело работать с предприятиями, где число сотрудников от 1,000 до 100,000, но как только ты перешагиваешь планку 100,000 — это уже немного другое. Сейчас мы поднимаем для себя эту планку.

А для вас принципиальным моментом стала разработка собственной системы управления?

С. Г.: Мы долго думали над этим, рассматривали покупку стартапов, но все же пересилила идея — давайте сделаем всё правильно, своими силами. Мы понимали, что переделывать будет дороже. Ну и опять же, система управления — это основа инфраструктуры, и для заказчика намного правильнее и комфортнее брать и токены и систему управления токенами из одних рук, от одного вендора, потому что они тонко должны друг друга "чувствовать".

Например, JMS позволяет взять под управление токены, которые есть "в полях", снизить затраты заказчика на персонализацию токенов. Мы сделали так, что с завода приходят токены, мы отдаем их "в поля", а система управления о них уже знает.

В системе JMS минимизировано число ручных операций, реализован автоматический учёт используемых СКЗИ — средств криптографической защиты, и наших (аппаратных токенов и смарт-карт), и чужих, в том числе программных СКЗИ, разработанных нашими коллегами. На практике это сумасшедший ручной труд, и только ради одной этой функции у нас было несколько продаж.

Насколько я понимаю, сторонние средства аутентификации тоже поддерживаются?

С. Г.: Да, это был принципиальный момент, мы ушли от моновендорности и поддерживаем не только свои токены и смарт-карты, но и токены наших коллег-конкурентов, и российских, и зарубежных.

Какие шаги вы сами предпринимаете в вопросах импортозамещения? Удалось ли перейти на полностью отечественную элементную базу?

С. Г.: В качестве первого шага, поскольку мы делаем программно-аппаратные средства — токены, смарт-карты для PKI, электронной подписи, — мы поставили задачу написать свою операционную систему и свои загрузчики для импортных микроконтроллеров. Соответственно, если чип импортный или мы предполагаем, что там есть аппаратные закладки, наша задача — максимально снизить риски его использования. При проектировании мы делаем так, чтобы криптографический ключ и данные не попали наружу.

Затем мы тщательно выбирали фабрики, где могли бы "приземлиться" для сборки. Помимо технической оснащённости основным критерием были люди. Мы искали таких же "чокнутых", как и мы сами, чтобы быть с ними на одной волне. Везде разная культура производства. Пришлось много поездить, посмотреть, вникать в процессы. Считаю, что мы справились и нашли людей, которые болеют за дело.

Как вы выбирали чипы?

С. Г.: Мы подошли аккуратно — чипы чипам рознь. Ключевым моментом при выборе для нас была возможность использования собственного загрузчика. Главный вопрос — чья первая команда? Если там есть чужой загрузчик — чем это отличается от того, с чем мы боремся? Для нас было важно, чтобы первая команда была наша. Свои встроенные загрузчики вендоры, как правило, не отдают. Их можно понять, они отшучиваются — "KGB, russian hackers", если мы откроем вам, как мы будем в глаза смотреть всем остальным? Нас научили, дали документацию — как сделать свой загрузчик, прогрузить свой чип. Критические данные мы храним в криптоконтейнерах, шифруем, собираем в разных частях на регистрах.

И напоследок хотел задать вопрос, связанный с биометрией. Приняли 482-ФЗ. Создается Единая биометрическая система (ЕБС). Способна ли биометрия заменить токены, смарт-карты и другие средства аутентификации?

С. Г.: Интерес к биометрии возникает с какой-то цикличностью. До этого были утверждения в стиле фильма "Москва слезам не верит", где была фраза, что "везде будет сплошное телевидение", я это слышал и про биометрию. Прежде всего, надо уточнить терминологию: биометрия — это идентификация, а не аутентификация.

В масштабах предприятия биометрические технологии применять можно, там они достаточно эффективны, но не в масштабах страны с таким количеством жителей.

Банки пытаются делать удалённую аутентификацию клиентов по образцу голоса и фотографии для открытия счетов без визита клиента в свое отделение... С точки зрения бизнес-идеи — она красивая, позволит экономить время.

Учитывая, что ИБ — это управление рисками, то своими рисками банки научились хорошо управлять. И перекладывать их на плечи своих клиентов — как они это делают в системах ДБО.

А вот что делать нам, клиентам этих банков? Мы как-то сможем управлять своими рисками, когда наши биометрические данные соберут и положат в единые ЦОДы, на серверы, которые работают на какой-то облачной или не очень технологии, их обслуживают какие-то люди…

Когда накопили более 140 миллионов образцов, эта база может быть кому-то интересна, правда? Кто даст гарантию в надёжности людей, которые имеют к ней доступ? Кто будет нести ответственность за утечку моих биометрических данных? И были ли в нашей стране такие прецеденты? Хоть кого-то за это посадили? Нет. А деньги со счетов угоняют, и вполне конкретные.

Так что в коллективную безответственность я не верю. Надёжнее иметь свой собственный электронный ключ со своей ЭП в кармане, с неизвлекаемым ключом ЭП, и самому контролировать его использование.

Спасибо за интервью. Желаем успехов!