19.09.2001, среда

 

Валерий Конявский: Коллеги, на каждом сайте должны быть меточки

В беседе корреспондента CNews.ru с Валерием Конявским, директором Всероссийского научно-исследовательского института проблем вычислительной техники и информатизации (ВНИИ ПВТИ) речь зашла о роли государства на рынке ИБ, о развитии системы страхования информационных рисков в России, о региональных проектах информатизации, осуществляемых институтом.

Корр.: Специалисты ВНИИ ПВТИ являются соавторами многих нормативных документов в сфере информатизации, разрабатываемых по поручению Минсвязи. Хотелось бы максимально точно обозначить ваш взгляд на роль государства в сфере ИБ.

В.К.: Безусловно, соответствующий орган госрегулирования должен быть. Сейчас по поручению Минсвязи мы создаем систему центров безопасности технологий связи, в состав которых входит система антивирусной защиты, по крайней мере, по связи. Представьте себе, ведь каждый вирус, который попадает к нам на компьютер, прошел через провайдера. Почему бы его не нейтрализовать уже на этом уровне? Потому что это малоинтересно для провайдера?

Задача государства - выработать правила, в соответствии с которыми кто-то должен следить за уровнем информационной безопасности услуг всех поставщиков в данной сфере. По моему мнению, государство не должно осуществлять диктат и говорить что хорошо, а что плохо, но должно обеспечить информированность пользователя о качестве услуг. Для примера представим себе ситуацию, когда вы покупаете сигареты в ларьке. На каждом ларьке висит лицензия: кто хозяин, что можно продавать, а что нельзя. Мы знаем точно, к кому придет возможный иск. Хоть на одном сайте есть что-то подобное? Я не видел. Указан ли уровень информационной безопасности на вашем сайте? Этого нет.

Корр.: То есть вы предлагаете лицензировать каждый сайт?

Нет, не обязательно лицензировать. Вовсе нет. Просто человеку надо дать право выбора. Вот, например, в позапрошлом месяце мы получили счет от провайдера на тысячу долларов больше чем обычно. То есть кто-то совершенно спокойно пользовался нашим ip-трафиком. Начали в этом разбираться. Кто пароли разгласил? Мои сотрудники? Их перехватили хакеры в сети? Или виновник провайдер? Кому предъявлять претензии? Некому. Этот вопрос не решается. Я со своей стороны могу добиться, чтобы ко мне не лезли, и мы это делаем, но как разрешать суть конфликта? Очень просто. Существует два провайдера. У одного висит меточка "Я обеспечиваю уровень защиты информации по классу "1В". Нравится. На втором "1Д". Нравится, но меньше. На третьем указано "Я не обеспечиваю никакого уровня защиты информации". Вот для меня "1Д" мало, а "1В" достаточно, и я иду туда. Мне как пользователю нужно дать выбор. Для этого на каждом сайте нужно всего лишь размещать адекватную информацию о предоставляемых услугах. Перечень минимальной обязательной информации должен быть нормативно закреплен.

Подобные правила стихийно будут складываться очень долго. Путем воспитания соответствующей культуры. О себе нужно говорить. Вот покупаешь пачку мюсли, а там фото того человека, который их выпускает, вот я ему верю. Такого уровня доверия к лицу у нас пока еще нет. Государство на мой взгляд могло бы выработать правила для всех провайдеров интернет-услуг. Коллеги, на вашем сайте должны быть меточки: кому это принадлежит, какой уровень защиты вы обеспечиваете. Больше ничего не надо. Ты можешь работать и с отсутствием системы ИБ, но это необходимо объявить. Уровень должен быть ясен, и пользователь должен понимать, какого класса услугу ему предоставляют. Есть у меня шанс подхватить какой-нибудь вирус, или приняты меры по экологической чистоте. В случае реализации данной системы те, кто предоставляют более качественные услуги, смогут зарабатывать больше денег. Потому что люди будут пользоваться только услугами тех организаций, которые обеспечивают достаточный уровень безопасности. Диктовать ничего не придется. Все сделает рынок.

Простой пример. Ежемесячно мы покупаем в Amazon.com от трех до пяти книг. И вдруг я читаю на вашем же сайте, что Amazon.com объявил о готовности мои персональные данные кому-то продать. Если это случится, практику закупок мы прекратим мгновенно. Я не хочу получать груды спама и участвовать в ненужных мне коммерческих предприятиях. Я хочу покупать то, что мне нужно, и у меня должно быть на это право. Когда правила меняются на ходу - это плохо, и здесь регулирующая роль государства для меня очевидна. Государство должно сказать, выполнение какого минимально необходимого набора требований необходимо.

Корр.: Роль государства в лицензировании средств информационной защиты средств криптографии, ПО, аппаратных средств. Варианты тут есть?

В.К.: Лицензирование абсолютно необходимо. В условиях рынка, как только появляется новая рентабельная отрасль, в нее сразу набегает масса дилетантов, которые делают что не попадя. Некоторые средства ИБ и назвать таковыми нельзя. Простейший пример, почерпнутый опять же с вашего сайта, - ситуация с "Бифит". Типичнейший пример того, что получается, если сделать продукт без ума, безграмотно.

Корр.: Но исходя из вашей же теории у пользователя должно быть право выбора нелицензированного продукта.

В.К.: Согласен на 100%. Даже больше. Логика выбора должна быть, а для выбора необходима информированность. Системы сертификации Гостехкомиссии в области защиты от несанкционированного доступа, и ФАПСИ в области криптографических средств - это системы добровольные. Никто никого не заставляет. Но все почему-то прислушиваются. Значит, работают законы рынка, и мнение государства принимается во внимание. Имеете ли вы право продавать такие системы? Этот вопрос лучше обсуждать со специалистами в области права, например, с известным вам господином Лебедевым. Мы не продаем.

Корр.: Какой смысл разрабатывать продукты, если вы сомневаетесь в том, что их можно продавать?

В.К.: Несертифированные средства защиты от НСД точно можно продавать. И они продаются. Кое-кто их покупает, серьезный собственник не купит. Криптография - это особая штука.

Корр.: Значит в криптографии мы потребителю права выбора не даем?

В.К.: Это не зона моей компетенции. Мы лицензиатами ФАПСИ являемся. Лично мое мнение: должны цвести все цветы. Но дело в том, что шансов создать хорошую систему, не пройдя обучающих ступенек очень мало. Логика ситуации очевидна. Есть такая компания "Российские Финансовые Коммуникации" (РФК), которая сделала систему "Клиент-банк". "Клиент-банк" - это торговая марка (кстати она зарегистрирована нами) и люди, которые сейчас работают в "Бифите", в свое время работали в РФК. Освоив финансовую технологию, они решили, что могут делать системы. Хотя лично я им говорил: "Коллеги, может не получиться, потому что там есть свои тонкости". Они заявили, что они теперь самостоятельные. Результат известен. Трудно сделать систему, надежно защищенную.

"Бифит" говорит: "Мы сделаем так, что в нашей системе можно будет использовать любые средства защиты". Но так не бывает. Так нельзя. Это должно быть единое целое. Не буду больше говорить о других, скажу о себе. Первую программу шифрования мы написали очень давно. Если бы не было ограничений на продажу - уже были бы богатыми. Но было бы стыдно за качество продукта, и героями скандалов были бы тоже мы. Только сейчас мы подошли к созданию настоящих криптографических средств, раньше - учились. Мы чего-то не заработали, но зато можем гордиться своими продуктами, а не стыдиться их.

Связи в системе безопасности сквозные, очень тонко и ясно построенные. К сожалению, сегодня очень мало предприятий, которые могут осуществлять проекты на хорошем уровне. Желающих поработать на этом рынке много. Поэтому существующие меры должны быть четкими. В первую очередь, сертификация, но на мой взгляд без запретов. Почему? Сертификат, я об этом уже лет десять говорю и пишу, это мнение государства о качестве продукта. Не более. Никаких гарантий, что там чего-то не произойдет сертификат не дает. Гарантию может давать только страховой полис. Необходима система страхования информационных рисков.

Пример. Есть сейф нулевой категории, который надо пилить автогеном сорок минут. Вопрос: мои деньги в нем защищены? Я не знаю, потому что это зависит от того, где этот сейф находится. Если он стоит под лестницей, где его можно пилить не 40 минут, а 4 часа, то цена защиты - ноль. Значит, даже применение сертифицированного продукта проблемы не решает. Анализировать нужно всю систему, свойства системы шире суммы свойств ее элементов.

Другой пример. Два сейфа. Один нужно пилить 40 минут, а другой 4 часа. Мне все равно в каком хранить ценности, если они застрахованы. А вот за какую сумму будут застрахованы риски сохранности ценностей в этих двух сейфах? Видимо, за разную. Точно также с системами защиты. На рынке должны быть все. Пользователь должен иметь возможность застраховать свои риски. Когда он покупает дешевый продукт - он несет повышенные риски и, следовательно, он платит больше.

К нашей большой радости, необходимость механизма страхования информационных рисков (лет 6 назад мы начинали об этом говорить) сейчас уже осознан в обществе. Он уже отражен в Доктрине информационной безопасности страны, где система страхования рисков названа одним из основных экономических механизмов ИБ. Поэтому мы считаем, что в ближайшее время страхование на этом рынке станет возможным. С нами уже работают серьезные страховые компании. "Ингострах" и многие другие уже заключили договоры с Министерством связи и информатизации по ведению и развитию систем информационных рисков. Уже есть реальные застрахованные ситуации и выплаты.

Корр.: Это инициатива страховщиков?

В.К.: Это наша совместная инициатива. Когда-то это была группа людей, которые осознали роль страхования в информационной сфере и стали писать об этом статьи. Потом данная инициатива стала продвигаться не только этими людьми, но и Ассоциацией российских банков, Всероссийским союзом страховщиков. Были письма в Правительство, поручения Правительства. Министерство связи поддержало. В области связи мы рассчитываем, что к середине следующего года такая система заработает.

Корр.: Институт занимается разработкой аппаратных средств или их внедрением?

В.К.: ВНИИ ПВТИ, проанализировав рынок, выбрал для себя изделия серии "Аккорд", производимые ОКБ САПР, и применяет их в тех системах информатизации, которые разрабатывает и внедряет. ОКБ САПР - известный разработчик в сфере ИБ - занимается разработкой аппаратуры, программных средств, систем защиты информации, созданием систем защиты предприятий.

Наше НИИ занимается реализацией достаточно крупных проектов. Региональная информатизация - это тот хлеб, на котором живет институт. Решения по защите информации в этой сфере институт реализует на основе систем "Аккорд".Мы их знаем, принимали участие в их создании, верим в них. Например, территориальная информационная система Московской области (ТИСМО). Тендер на роль головного предприятия в создании этой системы выиграл наш институт. Это очень серьезный проект, который имеет и веб-аспект и элементы защищенного электронного документооборота. Информационная система области, производящей 10% валового продукта страны.

Корр.: Почему институт остановил свой выбор именно на решениях ОКБ САПР? Каковы были основные критерии выбора?

В.К.: Еще семь лет назад все системы защиты информации носили явно выраженный программный характер. Люди, которые знали как писать программы, переходили в эту часть рынка для того, что "писать" системы безопасности. Был очевидный перекос в сторону программных средств. Постепенно все поняли, что безопасностью должны заниматься "безопасники", те, кто понимает, как она устроена. Нам стало очевидно, что попытка защищать программные средства с помощью программных же средств неверна. Подобную схему мы называем "Синдромом Мюнгхаузена" - вытаскивание себя самого из болота за волосы.

Логика такая: для того, чтобы проверить уровень безопасности программного средства нам нужно проверить его целостность, то есть нужно проверить контрольную сумму и с чем-то ее сравнить. А почему мы доверяем тому программному средству, с помощью которого проверяем целостность нашего средства? Значит кто-то должен проверить целостность и этого программного средства. Соответственно, кто-то должен проверить целостность программного средства, проверяющего целостность программного средства, которым мы проверяем целостность нашей информационной системы. И так далее. Замкнутый круг. Разорвать его невозможно без специализированного оборудования, которое выполнено так, что оно технологически не может быть изменено. Оно как бы внутри компьютера, но элементом компьютера не является. Вот если существует такой элемент, тогда с помощью пошагового механизма контроля целостности, эту целостность можно обеспечить. То есть, нужна точка опоры, нужно применить "Принцип Архимеда".

Началось то, что мы называем "эрой аппаратной защиты информации". Сегодня уже практически все понимают, что без использования специализированных аппаратных средств обеспечить нормальную защиту компьютера от несанкционированного доступа и разграничение доступа к ресурсам компьютера и сети невозможно. Поэтому в этой части мы попытались описать эту цепочку и показать, что защита бывает либо комплексной, либо она не защита. Нет смысла строить высокий забор, если в нем есть дыры. От высоты в данном случае ничего не зависит.

Выбирая замок, как электронный, так обычный, целесообразно подумать, что потребует от Вас его эксплуатация. Допустим на секунду, что Вам необходим надежный замок в дорогую металлическую дверь, а в инструкции по эксплуатации приглянувшегося Вам замка написано, что в металлическую дверь врезать его можно, но требуется сначала в эту дверь сделать деревянную вставку, а лишь затем в эту вставку можно установить замок. Купите ли Вы такой замок? Видимо, нет.

Такая же ситуация может быть и с электронными замками. Например, Вы используете на своем компьютере Windows NT, ориентируясь на его систему безопасности, обеспечиваемую файловой системой NTFS, а для установки электронного замка Вам рекомендуют установить на диск раздел с файловой системой FAT, так как замок использует программы (!), которые должны быть размещены в этом разделе. Стоит ли Вам покупать такой замок? Очевидно, что нет.

Инвариантность к окружению - это важнейшая характеристика электронного замка, хотя она не так уж просто реализуется. Видимо, в этой связи не все предлагаемые на рынке изделия подобным свойством обладают.

Ассоциации из этого ряда вполне можно продолжить. Понравится ли Вам, если в инструкции к дверному замку будет предложено изменить интерьер квартиры? Если нет, то вряд ли Вам стоит покупать электронный замок, требующий изменения CONFIG.SYS и отключения функции быстрой перезагрузки менеджера памяти QEMM.

Даже в страшном сне трудно представить, что для правильной работы дверного замка нужно отказаться от уборки в прихожей - абсурдность этого предложения очевидна. Трудно понять в этом случае, почему некоторые "электронные замки" считают возможным выдвигать требование не осуществлять сжатие того или иного жесткого диска.

Когда Вы заходите в свою квартиру, Вы вольны вести себя, как хотите. Это неотъемлемая характеристика свободы частной жизни. Вряд ли кто-нибудь из нас согласится, чтобы кем-то регламентировался порядок перемещения по квартире - сначала на кухню, затем в гостинную, только потом в ванную. Куда идти и что делать в компьютере на начальном этапе определяется посредством применения менеджеров загрузки операционных систем (boot manager). Нормально ли, если применение электронного замка требует от Вас запретить использование boot manager?

Если же перечисленные особенности и многие другие такого же уровня для Вас не важны, то тогда электронные замки можно спокойно отличать только по цене.

Изделия серии "Аккорд - АМДЗ" (Аппаратный Модудь Доверенной Загрузки) по своим функциональным возможностям отличаются от обычных электронных замков как сертифицированный замок для дверей банковского хранилища от задвижки на двери в малозначащее помещение. "Аккорд-АМДЗ" дороже обычных электронных замков примерно на 20%, но его впоследствии не приходится ни менять, ни подпирать чем-нибудь тяжелым.

Мне кажется, что "Аккорд" - это единственная система, соответствующая данным принципам. Сейчас многие идут по этому пути, но, надо сказать, с переменным успехом. Я бы не сказал, что на рынке присутствуют продающиеся системы помимо "Аккорда", в которых принцип аппаратурной защиты, отчужденности от компьютера контрольных процедур реализован полностью. Архитектура IBM РС, о которой мы сейчас говорим, построена по принципу "Кто первый тот и прав". Кто первый стартовал, тот любого другого может обмануть. Поэтому задача состоит в том, чтобы осуществить контрольную процедуру еще до появления самого компьютера. Когда питание есть, а компьютера еще нет. Когда еще не раскрутились диски, отсутствует драйвер, отсутствует ОС. Потому что если ОС уже подгрузилась, значит там уже может быть разрушающее программное воздействие. И тогда его проверить нельзя. Поэтому что-то должно проверить заранее: операционка той же осталась? Никто туда вирусы не посадил? Потом скакать дальше. Это наш принципиальный тезис, на котором мы настаиваем: точка опоры - хард.

Клиенты часто говорят, что их система защищена. Чем она защищена? Все зашифровано. Прекрасно. А где лежат ключи? А они на диске (!) Понятно, что что-то должно отчуждаться. Каким бы сильным не был бы криптографический алгоритм, если ключи доступны, то в чем его сила? Всегда надо куда-то что-то прятать. Безопасность должна отчуждаться от компьютера - принцип совершенно ясен и абсолютно понятен.

Удивительно, что до ОКБ САПР этот механизм никто не запатентовал. Сегодня же принцип отчуждения элементов безопасности является частью патентов, полученных "Аккордом". Поэтому если кто-то использует эту схему, то нарушает авторские права, а если не использует, то там есть дыра. Одно из двух.

Корр.: Можно ли говорить, что переход на аппаратные средства защиты не частный случай, а тенденция на рынке?

В.К.: Да, сейчас она уже сформулирована.

Корр.: То есть эта тенденция поддержана другими производителями и потребителями по всему миру?

В.К.: На Западе я думаю нет. Там аппаратурные средства выпускаются сейчас только для криптографических систем. В системах защиты от НСД совсем простенькие, на подобие e-token. Есть аппаратура, но функции безопасности она не обеспечивает. Устройство должно работать тогда, когда проходит загрузка. У них страховые компании правильно работают. Там принципиально другой механизм защиты. Риски защищены. Мы знаем, например, что потери VISA всегда застрахованы.

У нас реалии другие - хакеры получше и вообще люди поумнее. В России мало "расслабленных людей" (в отличие от Запада). Поэтому у нас идея аппаратной защиты в умах и сердцах. Практически ни один серьезный поставщик средств защиты без аппаратуры не делает и это повсеместно.

Корр.: То есть по вашему мнению, эта тенденция начинается с России?

В.К.: Да. Более того, она началась с нас и наших партнеров - в первую очередь, фирмы "Инфокрипт" и некоторых других.

Корр.: Это тенденция исключительно среди производителей или можно говорить о том, что она поддержана потребителями? Насколько созрело понимание этого тезиса на рынке?

В.К.: На рынке корпоративных систем - безусловно. На рынке частных потребителей - нет. Там единицы. Общий объем поставленных технических средств в сфере ИБ на рынке России измеряется сотнями тысяч. Мы продали порядка 60 или 70 тысяч изделий: плат, контролеров, которые работают. Наверное, не мы одни на этом рынке работаем. В этом объеме доля частных лиц мизерна - может быть, тысяча устройств. Соотношение примерно такое. Серьезные корпорации, которые обеспокоены нормальным уровнем защищенности, давно и однозначно сделали вывод в пользу аппаратуры. А вот в области частных лиц это еще не на слуху, не в головах.

Корр.: Предприятия каких отраслей наиболее восприимчивы к идее аппаратных средств как основы систем ИБ?

В.К.: Почти все финансовые организации с этим согласны. Банковская система очень хорошо защищена. Серьезное внимание ИБ уделяют организации, которые легко перечислить: это ЦБ, Сбербанк, Таможенный комитет, Пенсионный фонд, силовые структуры, другие. Всех и не перечислить. Крупные корпорации осознают необходимость аппаратурных средств. Коммерческие банки тянутся за ними, страховые компании следом. Энергетика, нефтедобывающие компании. Там, где есть серьезный бизнес, в котором люди осознали ценность информации, там это начинают понимать.

Корр.: Когда говорят о типах средств ИБ, в которых российские разработчики предлагают продукты мирового класса, в первую очередь упоминают антивирусные пакеты и криптографические системы. Каков уровень разработок российских поставщиков в сфере аппаратных средств защиты информации?

В.К.: Я думаю, что наши средства защиты от НСД лучшие в мире. Это мое мнение. Что касается положения на рынке, то тут ситуация несколько иная. Мы не продаем ничего за пределами страны. Это связано с тем, что для этого необходимы ресурсы для хорошей рекламной кампании. Зачем? Наш рынок и так велик. Нам не хватает мощностей по производству для отечественных заказов. Наша продукция раскупается практически с колес. Российского рынка нам вполне хватает. Хотя интерес к нашим изделиям есть со стороны Индии, Кубы, других стран. Очень интересуются системами такого класса немцы. Все те, кто вынужден делать выбор между системами российскими и американскими, обращают внимание на российские решения. Да, действительно, у нас очень хорошие разработчики антивирусных программ. Но это фирмы, которые "делают лекарства" - "фармацевтика". Должны ли быть у нас дома аптечки? Конечно, да. Вот это и есть антивирусный пакет на домашнем компьютере. Но этого мало - должны быть поликлиники, больницы, кто-то должен организовывать карантин. Можно ли без рецепта продавать сильнодействующие средства? Это и есть та зона, которая должна регулироваться государством.

Корр.: Но наши поставщики антивирусных программ предлагают и корпоративные решения.

В.К.: Да. Но кто-то должен осуществлять управление всей этой сложной системой в комплексе. Кроме того, сейчас появились вирусы, связанные не только с уязвимостями в программном обеспечении. Возьмите "I love you" и "Анна Курникова". Распространение таких вирусов связано, в первую очередь, с мотивацией людей. Легко ли удержаться от того, что бы узнать, кто "love you"? Создание и применение таких вирусов так же цинично, как и применение противопехотных мин, замаскированных под детские игрушки. Все это понимают, но отдельных уродов это не останавливает. Власть следует употребить.

Если не говорить о технической стороне дела, то система безопасности начинается с разработки нормативной базы в организации. В стране сегодня существует более 400 технических, нормативных правовых, нормативно-технических документов, и выработать политику безопасности под силу не каждой организации. Поэтому лучше взять ту политику, которая учитывает текущее состояние нормативной базы сегодня и доработать ее под себя. Это не под силу поставщикам антивирусов. Система безопасности должна быть комплексной. Материалы, разработанные нашим НИИ, содержат общесистемные документы. База обновляется по мере изменений в законодательстве. Сегодня это коммерческий продукт. Мы предлагаем его организациям.

Корр.: Спасибо

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2001 г.

Toolbar | КПК-версия | Подписка на новости  | RSS