Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

«Понятие «Кибербезопасность» до сих пор не определено законодательно».

Аватар пользователя ElenaKharlamova
Автор: Харламова Елена,
(0)
()
Опубликовано в:

Наталья КАСПЕРСКАЯ, директор группы компаний InfoWatch:  «Понятие «Кибербезопасность» до сих пор не определено законодательно».

- На сегодняшний день существует большое количество вопросов, связанных как с вопросами информационной безопасности частных лиц, так и государства. Насколько защищен отечественный госсектор от утечки данных, если рассматривать проблему в международном контексте? И как бороться с нарушением права на конфиденциальность данных частных лиц? 

Н.К. – В стране, где большинство средств ИБ не принадлежат отечественному производителю, а закупаются за рубежом, говорить о вопросах безопасности достаточно проблематично.  Если с позиции программного обеспечения, мы хотя бы теоретически можем обеспечить себя, то с точки зрения «железа» дело обстоит достаточно печально. Причём в разных областях - начиная от мобильных устройств, смартфонов и заканчивая тяжёлыми серверами. Существуют отдельные предприятия, которые занимаются сборкой. Но это именно сборка, а не производство. Поскольку ключевым компонентом является наличие собственной научно-производственной базы. В Советском Союзе существовал мощный научно-практический задел по производству микроэлектроники. Возможно, советское производство немного отставало от западных аналогов – но это было свое.  Сейчас мы оказались в серьезной зависимости. Проблема с этим, во–первых, заключается в том, что чужое «железо»  можете содержать нежелательные элементы или закладки, которые влекут негативные последствия вплоть до одномоментного прекращения действия зарубежного ПО на территории России. На самом деле, все современное оборудование, как правило, обладает встроенными антеннами и так или иначе связано с Интернетом.  На сегодняшний день очень модной является тема интернет-вещей, которая все больше внедряется в нашу жизнь. У меня часто возникает вопрос: для чего чайнику нужен интернет? Но это современный тренд. Однако это небольшое улучшение функциональности сопряжено с весьма серьезными рисками. Наличие радиоантенны в том или ином компоненте позволяет говорить о возможности влияния на него извне.  

- Можем ли мы программно препятствовать доступу противника к нашим устройствам, поставить антивирус, который запретит отсылку условному iPhone какой-либо информации?

Н.К.: - Проблема заключается в том, в том, что, как правило, все антивирусы и аналогичные продукты работают на более высоком уровне. Да, есть железо, - это совсем низкий уровень,  уровень программных команд. Есть уровень операционной системы,  и уровень выше. Всё, что выше операционной системы – это приложения, с которыми обычно люди и работают.  Закладки в «железе» создаются  на уровне «железа». И если вы работаете на более высоком уровне, то, как ни старайтесь, проникнуть на более низкий уровень вы не можете.

Кибербезопасность: как защитить себя от интернет-атак

- Вы довольно часто предлагаете конкретизировать само определение информационной безопасности. Существует ли в стране понимание спектра угроз, с которыми она может столкнуться? 

Н.К.: - Понятие "кибербезопасность" является ключевым в современной системе определения угроз. У нас в стране сложилась довольно парадоксальная ситуация – с тем, что существуют киберугрозы, но отсутствует понятие кибербезопасности как таковое. Точнее – оно как бы есть, но законодательно не определено. При этом, когда мы говорим «киберугроза» или «кибербезопасность», все прекрасно понимают, о чем идет речь.  Однако законодательно оно не определено. Существует понятие «Информационная безопасность»: это совокупность информации, которая должна быть защищена определенными принципами: целостности, конфиденциальности, доступности. К примеру, может существовать вирусная атака, которая не нарушает конфиденциальности информации. А может быть троянский вирус – который просто внедряется в корпоративное ПО и наблюдает.  И с этой точки зрения он не представляет собой препятствия. И это достаточно странная ситуация – поскольку вирусы и прочие угрозы, наподобие закладок, должны быть специальным образом определены. К примеру, США проводит отдельные учения кибервойск. А у нас даже в этом плане существует некоторая неопределенность. И я совершенно не понимаю, почему мы не можем законодательно легализовать это понятие.  Проблема якобы официально не стоит – хотя и количество вирусов у нас не меньшее, как и прочих угроз.

- То есть, проблема лежит сугубо в юридической плоскости?

Н.К.: - Да. И я полагаю, что это серьёзная проблема. Видимо, существуют препятствия, о которых мы не знаем.

"Пакет Яровой": как удешевить хранение информации

- Как может изменить ситуацию нашумевший «Пакет Яровой»?

Н.К,: - Моя персональная позиция – это просто попытка обратить внимание общества на существующие проблемы. Он вызвал большое количество радикальных откликов в прессе – дескать, проводится политика ущемления свободы слова, бедным провайдерам и операторам нет житья. Безусловно, программа имеет свои недоработки. Мне кажется, и создавалась она с целью произвести так называемый эффект «шоковой терапии» - чтобы все вздрогнули, а когда первый шок пройдет, приняли уже более рациональный ограничительный закон.

 - Но, к примеру, в Соединенных Штатах все расходы по обеспечению информационной безопасности берет на себя государство.

Н.К.: - Я считаю, что это правильно. В вопросах обеспечения национальной безопасности государство должно брать на себя основную часть расходов. Разумеется, это достаточно дорого. Но, с другой стороны, можно снизить стоимость услуг путем определенных программных ухищрений, методами сжатия или определенным образом хранения по ссылкам.  Помимо этого, если каждый из провайдеров будет хранить у себя в одном и том же месте общий объем информации, то вынужден будет сохранять все сообщения между пользователями, к примеру, «Билайн» и МТС – а значит, хранить их персональные данные у себя. И объединять эти пакеты данных будет достаточно сложно. Помимо хранения, - и того, что можно на нем сэкономить, резко сокращается задача поиска необходимых данных. Поскольку, если данные находятся у трех операторов сразу, решать оперативно-розыскные задачи становится весьма затруднительно.

- Система оперативно-розыскных мероприятий, которая работает отдельно с каждым оператором, позволяет спецслужбам при необходимости получать информацию, с чем никто не спорит. Этого недостаточно?

Н.К: - Да, но речь идет о ретроспективе. О том, что данные будут храниться продолжительное время – которое определяется законодательством.

- Вопрос заключается в том, насколько отечественный сектор экономики способен обезопасить себя от утечек, насколько представители компаний умеют работать с информацией и её хранить. Можно ли на сегодняшний день поднимать вопрос о защите данных государственной важности? И может ли быть гарантия мобильной неутечки с персональных аппаратов сотрудников?

Н.К.: - на большинстве режимных предприятий, которые на сегодняшний день работают по гостайне либо оборонному заказу, мобильные устройства либо запрещаются, либо уже запрещены, либо изымаются на входе. Человек, находящийся на территории режимного объекта не может пользоваться смартфоном. С одной стороны, это хорошо. С другой стороны – это правило может нарушаться, если только не пользоваться глушилками. Системы безопасности некоторых объектов позволяют полностью глушить как входящие как исходящие сигналы. И пока мы не придумаем что с этим делать, мы будем жить в подобной дуальной логике.  Либо сигнал отсутствует полностью, либо при его включении ты оказываешься абсолютно открытым. Потому что спасти информацию с iPhone гораздо труднее. Система мобильной связи содержит большое количество протоколов, информация может отправляться через bluetooth, через Wi-Fi, она распространяется пакетами, кусками, её перехватить невозможно. В случае перехвата информация дешифруется фрагментами. Наша компания создала технологию, которая позволяет перехватывать информацию на самых низких уровнях телефонной связи. Однако проблема заключается в том, что количество смартфонов невероятное, а коль скоро модуль садится на низкий уровень, мы априори ограничены определенным количеством «железа». На сегодняшний день мы поддерживаем  шесть моделей Android и два iPhone. Всего же их порядка четырёх тысяч. Понятно, что такой количество устройств никто поддерживать не может. Это означает, что существует определенная надстройка, которая условно представляет собой систему безопасности. Существуют системы, которые носят название MDM – они представляют собой приложения, которые ставятся поверх основной системы контроля безопасности. По большому счету – это просто фикция.   

- Что мы можем сделать на законодательном уровне относительно регулирования нормативно-правовой деятельности создателей мобильных телефонов?

Н.К.: Мы пытаемся сделать свой смартфон. Думаю, рано или поздно он будет изготовлен. Это оказалось достаточно сложной задачей, но теоретически – мы вполне способны на это – и как страна, можем осилить создание своего собственного мобильного телефона. Если брать компьютер, это сложная задача – процессор и прочее.  А если перейти сразу к разработке планшетов, мы можем выделить большое количество разнообразных модификаций. Я знаю большое количество команд, которые выполняют разнообразные инженерные работы – по робототехнике и многому другому. Интернет вещей, о котором так много говорят, будет представлять собой набор технических компонентов, которые будут соединяться с интернетом. Вполне возможно, что они будут отечественного производства. 

- То есть,  Россия может сегодня сделать под ключ собственное устройство?

Н.К.: Отдельные его компоненты – безусловно, да. У нас существуют определенные проблемы с организацией массового производства. На сегодняшний день отсутствуют заводы, которые могли бы массово производить продукт. Мы искали подобные в стране – и отыскать их не смогли. Нам пришлось обращаться в Китай, чтобы заказать там партию. Хотя – если Россия является передовой страной по выпуску крылатых ракет, то уж производство смартфонов она освоить может.

- Безусловно – только как-то не получается. Наверное, тут еще и вопрос экономики.

Н.К: Я думаю, вопрос этот в значительной степени экономический. Хоть  Yota, YotaPhone пытались создать аналогичные модели. Однако опять-таки система создавалась в значительной степени на иностранных компонентах. Операционная система там, как правило, Android – а это, как правило, прореха в безопасности. Хотя можно взять линуксовую систему и точно так же «заточить» её под данное устройство.

Завтра война: страна останется без Интернета?

- В случае потенциального начала военных действий провайдеры сами смогут отключить интернет или его отключат недоброжелатели? Что тогда? Придется работать в локальном сегменте?

Н.К.: Я думаю, от Интернета страну отключать не будут -  поскольку это может оказаться невыгодным с экономической точки зрения. Гораздо выгоднее попытаться воздействовать на население теми или иными методами, обладая прямым доступом к применяемым ресурсам. Тем не менее, подобные вопросы могут подниматься – причем как на организационном, так и на административном уровне. Подобные вопросы поднимаются – я знаю, что дискуссии ведутся на различных уровнях – что делать и как нам спастись. В целом, если страну решат отключить от интернета, то сделать это представляется реальным.

- Мы не сможем автономно работать, как Китай, КНДР?

Н.К.: На данный момент  этому существует множество препятствий. Однако, как я могу предположить, подобный сценарий маловероятен. Я думаю, что скорее всего, может начаться мощная информационная атака с ведением продолжительной информационной войны.  Интернет представляет собой для этого идеальную среду. Использовать его весьма удобно – поэтому подобный сценарий я бы даже не рассматривала. Я бы рассматривала скорее сценарий борьбы с информационными атаками. Подобные концепции – своеобразные пробы пера – уже создавались правительственными структурами враждебных государств. Производились информационные атаки на банки и крупные системные учреждения. Достаточно вспомнить атаку 2014 года, когда с украинских аккаунтов просочилась информация о том, что грядет закрытие Сбербанка и необходимо спешно снимать деньги со счетов. К чести банка, необходимо отметить, что погасить конфликт они сумели быстро – вся раскрутка ситуации заняла от силы 12 дней.  Но 12 дней ситуация держалась на неопределенном уровне – поскольку огромные финансовые вливания произвел Центробанк. По рассказам очевидцев, деньги привозили самолетами.  И это ключевой банк страны – его бы, безусловно, поддержали. Если подобного рода атака была произведена на банк поменьше, подобной поддержки ожидать бы не пришлось. На сегодняшний день это хорошо известно – и за прошлый год проводилось уже три подобных атаки на такие системные банки. Но они адаптируются гораздо быстрее – и понимают, что с проблемой необходимо бороться. Хотя, конечно, атакующий всегда находится в привилегированном положении по сравнению с защищаемым объектом – поэтому он всегда может выбрать направление атаки, которое незнакомо атакуемому. Защититься от угроз полностью практически невозможно. Поэтому можно лишь рассматривать определенные модели угроз в их информационной совокупности.

- На данный момент широко распространена концепция интернета вещей: платежные системы, камеры ЦУД, светофорные объекты полностью «завязаны» на интернет. Смогут ли нашему государству серьезно навредить в случае целенаправленно поставленной задачи. И речь здесь будет идти в первую очередь, об экономике.  

Н.К.: - Больше всего, конечно, страшат, атаки на информационные объекты критической инфраструктуры. Правда, в последнее время наметилось заметное торможение во внедрении инновационных информационных технологий в данные системы – вплоть до того, что на некоторых предприятиях отказываются от современной техники и заново переходят на ламповые компьютеры. Говоря по правде – заметные риски, безусловно, существуют. Поскольку я сама продолжительное время занимаюсь решением вопросов информационной безопасности, я не сторонник подобного рода решений в плане развития технологий. Я полагаю, что прежде, чем внедрять те или иные инновации – хотя они все удобные и практически вполне применимые, необходимо тщательно просчитывать модель угроз и возможные пути решения проблемы. Тогда, возможно – мы полностью сумеем себя защитить.

- Какие первоочередные меры – помимо юридической направленности. О которой было сказано выше, необходимо принимать нашему государству, чтобы не отстать от ведущих производителей защитного ПО и быть защищенными извне?

Н.К.: С позиции распространения кибертерроризма, я бы рассматривала проблему в двух диаметральных плоскостях.  Первым делом – это принимаемые меры защиты. То есть, программные и аппаратные средства, которых большое количество и которые весьма разнообразны. Помимо этого, второе направление, как ни странно – это дезинтеграция: то, что весьма активно продвигают на сегодняшний день.  К проблеме интернета вещей я бы подходила с предельной осторожностью – особенно на предприятиях, так или иначе связанных с военной промышленностью, критическими объектами или иными предприятиями, которые управляются радиоэлектроникой. На сегодняшний день со сложной радиоэлектроникой у нас сопряжено практически всё: к примеру, система железных дорог или транспортные магистрали в целом. Представим, что в данную систему внесли хаос – мы получаем полностью дезинтегрированную структуру информационных объектов, которая начинает функционировать согласно собственным возможностям.

- Это автономные системы или они также подключены к сети Интернет?

Н.К.: - Подключение может производиться различными путями. Но все это производится автоматически  и управляется при помощи компьютерных систем. Причем данные компьютеры могут находиться на различных уровнях. Они довольно примитивны – поскольку могут выполнять лишь ограниченное количество команд. Однако распространение интернета движется семимильными шагами – и, безусловно, интернет всегда несет угрозу. Я не говорю о современных автомобилях – к примеру. BMW последней серии, которые в обязательном порядке обладают встроенной антенной. Выключить её невозможно, сервис не может самостоятельно определить, где находится вторая антенна.  о том, что машина работает и о ее техническом состоянии. В системе присутствует сим-карта Vodafone, которая оплачивается производителем данного автомобиля. Видимо, это им выгодно – поскольку техническое состояние автомобиля можно регулировать дистанционно.

И если автомобиль, к примеру, не проходит техосмотр, его можно удаленно остановить. Меня, к примеру, это несколько страшит – автомобиль в любой момент может превратиться в груду покореженного железа.  Хорошо, если это произойдет, когда он будет стоять в гараже. Гораздо хуже, если он превратится в эту груду, когда мчится по трассе со скоростью под 150 километров в час.

- С другой стороны, отечественные законодатели могут запросто подставить плечо и обязать производителей подобных систем не создавать.

Н.К.: - Это весьма непросто проверить, хотя определенным образом следует пропагандировать, наверное, необходимы качественные поправки в современное действующее законодательство – поскольку проблемы здесь на сегодняшний день существуют колоссальные. Известно большое количество случаев, когда закладки были обнаружены даже в китайских чайниках. Поэтому с какой стороны можно ожидать удара – совершенно непонятно. Некоторые просто развлекаются – для того, чтобы понять, насколько глубоко можно проникнуть в ту или иную систему. В принципе, существуют и целенаправленные разработки для создания тех или иных систем информационного контроля.

- Мы не можем затормозить развитие прогресса – пользование мобильными устройствами сегодня все демонстрируют на самом высочайшем уровне. Что можно предпринять в данном контексте и при учете подобных условий?

Н.К.: Я вижу лишь потенциальную возможность изобретать собственные устройства. Извлечь из бытового обихода привычные, приятные и весьма удобные гаджеты – задача малореалистичная. С другой стороны – ФСБ в свое время разработала концепцию защищенного мобильного телефона – был даже выпущен пробный экземпляр. Кнопочный и с закрывающейся крышкой – поскольку должно идти размыкание сигнала.  К сожалению, данная система оказалась нежизнеспособной – поскольку любая поломка означала, что устройство надо отправлять на завод и месяц ждать, пока его там починят. Причем критичным может оказаться практически любой сбой как в программном обеспечении, так и в самом устройстве.  Очевидно, требуется какой-то компромисс. Наверняка, не следует изобретать велосипед на ровном месте – а просто брать то, что мы можем проверить в плане сборки и качественной комплектации. Очевидно – требует некий компромисс. К примеру, не изобретать велосипед на ровном месте, а брать то, что можно проверить, из чего может производиться целенаправленная сборка.  Существует свободное программное обеспечение – даже если оно открытое. Это проприетарные коды их можно с легкостью изучать. Это не значит, что в ПО могут быть обнаружены закладки. Безусловно, обнаружены они быть могут – но уровень угроз в ПО с открытым кодом гораздо ниже. Приняв его за основу, можно устанавливать собственные свойства, параметры и политики безопасности. Я бы, скорее, смотрела туда, нежели решала вопросы обеспечения защиты от непосредственных угроз.  

- ФБР ставит терроризм на одно из последних мест среди потенциальных угроз кибербезопасности. Бытует мнение, что экстремистские группировки, включая ИГ, научились пользоваться интернетом для агитации и вербовки собственных сторонников. ФБР пока не отмечает, что они создают потенциал для компьютерных взломов.   

Н.К.: Заметьте, что здесь две угрозы смешаны в одну. Это угроза вербовки – то есть, информационное воздействие, психологическое воздействие, заманивание. И вторая – это собственно кибератаки.  Это надо разграничивать – поскольку вербовка проводится постоянно, были сайты, которые закрывались Роскомнадзором, у нас в стране – занимающиеся вербовкой в ИГИЛ. С другой стороны – могут ли они заниматься созданием боевых компьютерных вирусов? Мне это представляется возможным, но маловероятным: поскольку эти люди привыкли воевать в поле с винтовкой. А создание кибероружия требует, в первую очередь, мощного интеллектуального потенциала. Здесь следует ожидать либо возможного воздействия спецслужб, либо крупных группировок, состоящих из людей с высшим образованием, которые занимаются этим долго и целенаправленно. Здесь не стоит смешивать несовместимые понятия – иначе становится неясным, с какими угрозами бороться. Потому что угроза вербовки абсолютно реальна и серьезна. Зачастую в вербовочных целях активно применяются форумы. Блоги, социальные ресурсы. Соцсети вообще представляют собой достаточно интересный компонент – к примеру, Facebook это соцсеть, которая передаёт данные и, общается с пользователями по закрытому протоколу. То есть, просто войти в Facebook для того, чтобы вытащить необходимые данные и просмотреть их, невозможно. Причем владельцы социальных сетей все больше и чаще закрывают все форматы. Если раньше общение в основном происходило по протоколу. Если раньше общение основное проходило по протоколу HTTP, но сейчас протокол HTTPS. И это настойчиво пропагандируется как необходимый аспект безопасности. С одной стороны – это абсолютно верно. С другой же стороны – это некий аспект закрытости, что предполагает «ручной» поиск, сбор и хранение необходимой информации. Идти в открытую на сотрудничество как правило, хотят немногие. И единственным способом борьбы здесь является законодательный – передача сертификатов на дешифрацию в тот же Роскомнадзор. Сертификаты передаются в ведение уполномоченных органов, чтобы данные могли быть прочитаны в любой момент.  В противном случае выходит странная история – наши граждане абсолютно беззащитны перед влиянием внешних организаций.

- Помимо этого, министр информации поддерживает призыв родителей блокировать детям доступ в Интернет. Министр выступал с данным предложением на общероссийском родительском собрании. Как вы полагаете, насколько остро стоит вопрос и стоит ли уделять ему повышенное внимание?

Н.К.: - Вопрос насколько сложный, настолько и многогранный. Поскольку полностью запретить данные аспекты информационного взаимодействия в корне неверно.  История Советского Союза всем хорошо известна – много чего было под запретом, хотя уровень информационных угроз был гораздо ниже. Люди полагали, что если что-то запрещено – то это хорошее. И обязательно пытались это достать. К примеру, ту же запрещенную литературу, которая распространялась в самиздате. Поэтому, как только вы что-то запрещаете ребенку, у него появляется к этому предельный интерес.  А отыскать доступ в интернете на сегодняшний день не представляется возможным. Второй проблемой является то, что уровень подготовки родителей по информационным технологиям зачастую ниже, чем уровень подготовки их детей - потому что они рождаются с этими устройствами. Моя десятилетняя дочь совершенно свободно общается с гаджетами – если мне нужно отыскать нечто новое, я прошу об этом дочь. И перекрывать ей доступ в интернет в данном случае смешно. Я полагаю, что с одной стороны – необходимо проводить разъяснительную работу и с детьми, и с учителями, и с родителями. Причем с детьми её необходимо вести с детского сада, на простом и понятном им языке. Помимо этого, использовать технические средства – такие, как функции родительского контроля, которые не дают возможности получать доступ к противоправной, вредной для здоровья и интеллекта информации.

Вместо заключения: общий уровень информационных угроз на сегодняшний день достаточно высок – и представителям, как частных компаний, так и органов государственной власти необходимо обращать пристальное внимание на возникающие в современном обществе проблемы. Отдельная благодарность тем неравнодушным людям, которые желают внести свой вклад в общее дело обеспечения безопасности от внутренних и внешних угроз.

 

 

 

Оцените материал:
Total votes: 159
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.