Особенности национальной технологической инфобезопасности
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."
Термина "технологическая инфобезопасность" не существует в официальных документах, и введение его в тему круглого стола, признаем, было некой провокацией, которая неожиданно дала интересные результаты: понимая этот термин по-разному, эксперты российского рынка информационной безопасности пришли к многостороннему, но вполне единому, пониманию его проблем и задач.
По мнению некоторых экспертов, существует два основных внешних фактора, неблагоприятно воздействующих на обеспечение технологической инфобезопасности в России: техническая зависимость от какой-либо страны в отрасли экономики, имеющей стратегическую важность; отсталость в научном и техническом развитии. Согласны ли вы с этим утверждением? Насколько, с вашей точки зрения, эти проблемы решаемы в русле политики импортозамещения?
Алексей Сабанов, заместитель генерального директора ЗАО "Аладдин Р.Д."
Понятие технологической инфобезопасности не имеет общепризнанного толкования. Что подразумевается под этим? Если подразумевается защищённость информации в технологических процессах (к примеру, в АСУ ТП), то задача действительно весьма актуальна и не до конца проработана как в научном, так и в практическом смысле. Если подразумевается безопасность технологий обработки информации, то имеются не только научные, но и сертифицированные решения, а также стандарты - отечественные и международные. Однако можно предположить и другое понимание национальной технологической инфобезопасности. Попробуйте поупражняться - увидите многообразие вариантов.
Кроме того, оба утверждения достаточно спорны и неоднозначны. Кратко рассмотрим первое утверждение. Да, сегодня имеется некоторая зависимость от импортного оборудования, и не в одной отдельно взятой отрасли. Отечественное оборудование и системное программное обеспечение зачастую пока не обладает рядом необходимых потребительских свойств. Однако о полной зависимости от импортных поставок из отдельно взятой страны говорить не приходится. Диверсификация поставок из различных регионов мира, не входящих в круг санкций, всегда выполнялась большей частью предприятий стратегических отраслей.
Второе утверждение об отсталости в научном и техническом развитии ещё более спорно. Да, научно-исследовательские институты уже более 30 лет не получают надлежащего финансирования, и, тем не менее, разработки российских учёных как в фундаментальной, так и в прикладной науке по-прежнему широко востребованы в международном научном сообществе. Новейшие исследования отслеживаются и тщательно анализируются за рубежом.
Другое дело - восполнение людского научного потенциала. Систематическое уничтожение системы образования, выразившееся в бесконечной реформе начальной, средней и высшей школы, насаждение зарубежных стандартов без учёта российской истории и традиций системы обучения, безусловно, даст отрицательный результат для отечественной науки уже в ближайшем будущем.
Рассмотрим вторую часть утверждения. Да, мы потеряли значительную часть машиностроения, отстаём в микроэлектронике и ряде других отраслей. Но пользуемся плодами не только своего труда, ной новейшими мировыми достижениями. Поэтому в целом говорить об отставании в техническом развитии я бы не стал.
Дмитрий Костров, директор по ИБ SAP СНГ
Как мы видим, в последнее время "политика импортозамещения" не даёт ожидаемого результата в области развития технологий и новых решений. Мы помним, что премьер- министр России Дмитрий Медведев подписал постановление, вносящее изменения в запрет от 2013 года на закупку импортного оборудования для нужд обороны и безопасности государства. Новый указ отменяет действие данного запрета для МВД, ФСБ, ФСО, Службы внешней разведки (СВР), Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Управления делами президента (Постановление Правительства Российской Федерации от 18.07.2016 №684 "О внесении изменения в постановление Правительства Российской Федерации от 24 декабря 2013 г. № 1224").
При этом некоторые компании стараются придумать собственные технологические решения, такие как "российские" защищённые операционные системы, базы данных, "тяжёлые" приложения, которые имеют сертификаты по требуемому уровню информационной безопасности от ФСТЭК РФ, ФСБ РФ и МО РФ. Разработчики начинают активное взаимодействие с иностранными поставщиками технологического оборудования, подсистем АСУ ТП и т.п. для создания более защищённых систем управления критически важными объектами и инфраструктурами.
Надо отметить, что не всегда можно найти замену серьёзному импортному программному и/или аппаратному продукту на нашем рынке. В этом случае предприятия идут на использование иностранного продукта, но после сертификации его по требованиям безопасности (например, отсутствие недекларированных возможностей и технические условия).
Александр Суханов, эксперт по ИБ "МФИ Софт"
Политика импортозамещения ПО в текущем году не сильно отражается на сфере информационной безопасности в госсекторе. Требования регуляторов в области ИБ (ФСБ, ФСТЭК), как правило, выполняются только российским ПО. Например, почти никто из иностранных производителей не предоставляет исходный код для сертификации по требованиям безопасности информации, а для госструктур это важное требование. Поэтому российские продукты занимают здесь доминирующее положение.
А вот запрет "иностранного железа" должен сильно отразиться на обеспечении информационной безопасности в госструктурах. На данный момент почти все программное обеспечение ИБ работает на иностранных платформах, что чревато рисками наличия "закладок" на аппаратном уровне. Поэтому импортозамещение "железа" необходимо. Но тут важно осознавать, что даже при поддержке этого процесса государством, он не будет быстрым. Надо не только развить и вывести на промышленный уровень элементную базу, но и адаптировать или разработать заново все программное обеспечение под такую аппаратную часть.
Валерий Андреев, заместитель директора по науке и развитию ЗАО ИВК
На мой взгляд, оба фактора - стороны одной медали. Техническая зависимость существует не только от США и некоторых стран Европы, но и от Китая и ряда государств Юго-Восточной Азии, то есть невозможно определить, от какой конкретно страны мы находимся в зависимости. С другой стороны, в какой части мы отстаём - в научной или технической? Наверное, и там, и там. В технической больше. Именно вопросы восстановления суверенитета в этих областях и призвана решать политика импортозамещения. А не просто замены одного продукта на другой.
Главный вопрос - каким путём снижать зависимость? Два полярных подхода - китайский и северокорейский. Первый предусматривает почти легальное копирование всего и вся, наращивание внутренней экспертизы и тренировку вендоров на внутреннем рынке (до выхода на внешний). Второй - сосредоточен на решении чисто внутренних проблем, но только за счёт своих ресурсов. Однако внутренний рынок всегда мал, и почти абсолютная изоляция - это тупик. А что с нами? Первый путь нам "заказан", второй - бесперспективен. Однако в нашей стране был успешный опыт быстрого создания целых отраслей, чрезвычайно передовых для своего времени. И сегодня именно этот путь, пожалуй, более всего подходит нам для восстановления технологического суверенитета. В том числе, и в ИТ.
Важно не изобретать велосипед. Например, на ИТ-рынке сейчас уповают на Open Source, который при должном развитии поможет нам выйти на необходимый уровень технологической независимости. Однако надо учитывать, что этот феномен недостаточно понятен не только для среднего россиянина, но и для большинства ИТ-профессионалов. Требуется скорейшее преодоление мифов и заблуждений. В сфере свободного ПО есть великолепные продукты и технологии, но правда и то, что среди "открытых" проектов очень много всякого хлама, плохо поддерживаемых и вовсе тупиковых разработок. Поэтому хорошее чутье здесь необходимо. ИТ-история знает массу примеров неудачного применения как довольно известных открытых проектов, так и проприетарного ПО. В любом случае, наращивание собственной компетенции необходимо!
Эксперты выделяют шесть внутренних факторов, которые могут неблагоприятно воздействовать на обеспечение технологической безопасности: отсутствие единообразной правительственной политики по научному и техническому развитию; недостаточная правительственная защита российских технологий и потеря научных и технологических секретов; неспособность внедрить зарубежные передовые технологии из-за отсутствия благоприятных экономических и юридических условий и гарантий; утрата конкурентоспособности национальной техники и технологий; неспособность в полной мере использовать интеллектуальный потенциал и подготовленные кадры страны; отсутствие условий для использования инновационных технологий в производстве. Какие из этих проблем ваша компания ощущает на собственном опыте наиболее остро?
Д.Костров. Понятие "технологической инфобезопасности" отсутствует в российских документах. Есть понятие информационная безопасность, кибербезопасность до сих пор не прижилось. В мире есть чёткое разделение ИТ безопасности и ОТ безопасности (Operational Technology). А понятие "технологической безопасности" ещё рассматривают как обеспечение устойчивости высоких технологий при осложнениях, возникающих в связи с неблагоприятными тенденциями или конкретными событиями в государстве. Также технологическую безопасноть можно рассматривать как состояние защищённости жизненно важных интересов личности, общества и государства от внутренних и внешних угроз при реализации используемых или проектируемых технологий производственной активности человека, которая обеспечивается выполнением научно обоснованных требований к разрабатываемым и используемым технологиям. В системе обеспечения национальной безопасности - как компонент, отражающий национальные интересы технологического развития и обусловливающий развитие системы технологической безопасности с учётом особенностей её объектов, факторов и угроз. Стратегия в области технологической безопасности зависит от оценок уровня технологической уязвимости как страны в целом, так и отдельных объектов экономики и организаций, а также от условий поддержания технического баланса в системе международных связей.
Из описанных шести факторов, которые могут неблагоприятно воздействовать на обеспечение технологической безопасности для моей компании, являются наиболее значимыми: отсутствие единообразной правительственной политики по техническому развитию, а также неспособность внедрить мировые передовые технологии из-за отсутствия благоприятных экономических и юридических условий и гарантий.
В.Андреев. Для нашей компании наиболее существенными являются, пожалуй, первый и последний факторы. Уверен, если бы все вышеперечисленные условия были созданы, то и кадры бы нашлись, и секреты вспомнились бы, и конкурентоспосбность бы повысилась. Отмечу острую для ИТ проблему неясных требований. Для военного заказчика все несколько проще, если вы его понимаете и имеете приличный опыт работы с ним. "Автомат Калашникова" (в том числе и в ИТ) - именно то, что ему нужно. А вот внятных требований для чего-то ещё правительство высказать не в состоянии. Вот и занимается бизнес этим самостоятельно.
Технологическое партнёрство: насколько сегодня осложнены взаимоотношения с зарубежными вендорами?
В.Андреев. Осложнены, это ощущается во всем. Сегодня, например, слишком долго нужно ждать ответы на вопросы; вдруг неожиданно выясняется, что закупленная продукция не может быть активирована на объектах заказчика по причинам, неизвестным даже европейскому представительству вендора, а прояснение вопроса затягивается на кварталы. Это все что угодно, только не бизнес. Очень трудно им будет вернуться обратно. Мы же помним, как они сюда заходили, сколько сил и денег потратили.
Однако надо понимать, что полноценного технологического партнёрства никогда не было. Зарубежный бизнес не собирался создавать себе российских конкурентов. Только потребителей продукции, а также квалифицированных и недорогих работников. Теперь российским разработчикам нужно как можно быстрее учиться взаимодействовать друг с другом, формировать деловые сети и кластеры разных размеров. Некоторые такие кластеры и сети со временем выйдут за границы страны. К этому надо стремиться. Но от нас этого пока не ждут. Нужно создавать и защищать свою интеллектуальную собственность, а не пытаться как можно скорее сбыть её зарубежным инвесторам.
А.Сабанов. Период безоглядной любви с ведущими мировыми вендорами канул в Лету. Мировая политическая элита не заинтересована в том, чтобы Россия встала с колен. Санкции направлены на то, чтобы российские разработки ещё долго не создавали конкуренцию, особенно в военно-технических и стратегических отраслях. Если бы в отношения с вендорами не вмешивалась политика, в которой совершенно не заинтересован бизнес, мы продолжали бы импортировать все новое, что необходимо для построения своей инфраструктуры и прикладных систем. Бизнес циничен: спрос всегда рождает предложение. Однако сейчас есть шанс, несмотря на кризис, сделать сверхусилие для создания своей независимой от ведущих мировых поставщиков системы, которая будет полностью реализована российскими разработками и разработками стран- союзников России. В контексте вопроса само по себе технологическое партнёрство не поменяло своей сущности - мы успешно взаимодействуем в плане интеграции наших решений и внедрения отечественных разработок в существующую и проектируемую инфраструктуру. Более того, те вендоры, которые стремятся сохранить своё присутствие на российском рынке, несмотря на санкции, проявляют интерес к более тесному сотрудничеству.
Каких первоочередных мер в целях повышения технологической инфобезопасности вы ожидаете от госрегулирования? Какие изменения в законодательстве назрели?
Д.Костров. Полагаю, что два регулятора в данной области (ФСБ РФ и ФСТЭК РФ) должны определиться с законодательной базой: чётко определить первоочередные меры в целях повышения технологической инфобезопасности. Это модернизация и расширение требований приказа ФСТЭК №31 от 14.03.2014 года по защите АСУ ТП, а также принятие "долгожданного" закона о КВО.
А.Суханов. Законодательства в текущем его виде вполне достаточно для регулирования технологической информационной безопасности. Политика импортозамещения работает, но необходимо "довести до ума" процесс реализации. Прежде всего, следует разработать методики контроля исполнения существующей политики импортозамещения, так как есть целый ряд компаний, которые вместо закупки подходящих отечественных решений пытаются обосновать закупку иностранного ПО, с которым привыкли работать.
Единственное, что хотелось бы предпринять на государственном уровне - это повышение финансирования наукоёмких отраслей и увеличение грантов на разработку отечественных решений в сфере технологий.
А.Сабанов. Одной из самых актуальных задач видится срочная реформа системы государственного технического регулирования. Недаром 184-ФЗ "О техническом регулировании" на протяжении последних лет является одним из наиболее подверженных бесконечным правкам. Развал системы государственных и отраслевых стандартов и отсутствие более 10 лет обещанных технических регламентов пагубно сказывается на развитии предприятий и отраслей. В итоге страдают не только отдельные предприятия, но и потребители, и страна в целом. В отличие от федеральных законов, проекты которых на практике согласовываются годами без видимого результата, эту реформу можно сделать достаточно быстро.
Система законов также нуждается в реформировании. В России на сегодня около 5400 законов, и часто они не в полной мере взаимосвязаны и согласованы между собой. Нет главного "архитектора" системы. Федеральные законы нуждаются в "реинжиниринге", ключевым фактором которого видится создание согласованной системы своеобразных "технических заданий" (включающих список задач, которые закон должен решать в своей области действия) на каждый закон. Если такой реинжиниринг не сделать, по-прежнему будут "дыры", которые используются для обхода закона, и число неработающих законов не уменьшится.
В.Андреев. Мне кажется, что в законодательной сфере почти все необходимое уже сделано. Осталось только дождаться, когда это заработает. Причём неотвратимо и одинаково для всех участников рынка, без "священных коров".
На мой взгляд, пока недостаточно используется регулирование через стандарты и требования, хорошо продуманные и чётко сформулированные государством как конечным заказчиком не только информационных систем в госсекторе и госкомпаниях, но и выращивания всей отрасли качественных отечественных ИТ-продуктов и услуг. Сейчас это отдано на откуп отдельным организациям, что создаёт разнобой, дублирование работ, несогласованность, которую потом придётся устранять. И очень сильно усложняет импортозамещение, так как квалификация большинства СЮ явно недостаточна, чтобы принимать такие ответственные решения. Государству нужен своего рода главный конструктор, но только равноудалённый от всех заказчиков и поставщиков решений. Возможно ли появление такого главного конструктора сегодня? Не уверен. Но его отсутствие - источник проблем.
Какие средства обеспечения технологической инфо- безопасности предлагает бизнес в лице вашей компании?
В.Андреев. Наша компания разрабатывает инфраструктурное ПО уже 20 лет и за это время создала десятки продуктов. Мы продвигаем их под своей торговой маркой, среди них имеются и общесистемные средства, и средства защиты информации, и средства предоставления доступа. Классикой уже можно назвать шинное решение на базе ПО "промежуточного слоя” (middleware) "ИВК Юпитер", позволяющее строить безопасные и надёжные территориально распределённые информационные системы, в том числе обрабатывающие сведения, составляющие государственную тайну России.
К действительно новым продуктам могу отнести две полнофункциональные технологические платформы для создания автоматизированных систем любого масштаба - с высокими требованиями к сложности обработки информации в масштабах сети, а также безопасности не только информации, но и всей системы в целом. Причём одна из этих платформ - полностью проприетарная, а другая на 85% состоит из свободного ПО. С помощью этих разработок, первые версии которых появились в 2012 и 2015 годах, заказчик радикально упрощает и ускоряет создание прикладного ПО и целых территориально распределённых систем, упрощает их эксплуатацию и развитие.
А.Сабанов. Классическим решением, существенно повышающим уровень защищённости информации для всех типов корпоративных информационных систем, стало внедрение системы строгой аутентификации, основанное на применении цифровых сертификатов, незаслуженно обойдённой в нормативно-правовой базе. Подтверждающей информацией (аутентификатором) в данном случае является закрытый ключ, сгенерированный внутри специально разработанного чипа, имплантированного в смарт-карту или USB-ключ. Это решение чаще всего называют двухфакторной аутентификацией (один фактор - закрытый ключ, второй фактор - доказательство владения смарт-картой). Решение повышает гибкость и удобство администрирования системы управления доступом пользователей, оно же является существенной частью средств технической защиты информации от несанкционированного доступа к критически важным информационным ресурсам. Применение интеллектуальных смарт-карт позволяет интегрировать системы защиты информации и доступ ко всем прикладным программам на рабочем месте пользователя. Это удобно: вместо необходимости запоминать несколько, паролей, пользователю надо знать всего лишь один PIN-код к своему электронному носителю JaCarta. В случае необходимости применения электронной подписи потребуется знание ещё одного PIN-кода - ещё один фактор безопасности.
А.Суханов. "МФИ Софт" - многопрофильный разработчик систем ИБ. Наиболее узнаваемым решением среди заказчиков стала DLP-система "Гарда Предприятие", в этом году существенно выросло количество пилотных проектов, клиентам стала важна удобная аналитика ИБ. Банковский сектор очень интересует система защиты баз данных и веб-приложений "Гарда БД", особенно после ряда крупных инцидентов и введением реестра отечественного ПО.
В этом году мы дополнили группу "Гарда" новинкой - системой расследования сетевых инцидентов "Гарда Монитор". Заказчики называют её "системой последнего шанса": когда инцидент все-таки прошёл мимо всей инфраструктуры безопасности, она даёт возможность "проиграть" любое сетевое событие в обратную сторону, выявить причины и закрыть уязвимости - открытые порты, аномальные всплески трафика от кибератак или вирусной активности, аномалии в локальной сети, "слепые зоны" в трафике, недостаток или избыток ресурсов сети. "Гарда Монитор" обеспечивает потребности регионально распределённых организаций, центров по мониторингу и реагированию на инциденты (SOC), а также экспертов компьютерной криминалистики.