Обзор "Средства защиты информации и бизнеса 2007" подготовлен При поддержке
CNewsAnalytics Radware

Сергей Ковалевский: В России нет четкой политики, которая предусматривала бы развитие собственных ИТ-решений

Сергей КовалевскийНа вопросы CNews отвечает Сергей Ковалевский, академик РАЕН, д.т.н., заместитель председателя Фонда социального страхования.

CNews: Справедливо ли по-прежнему утверждение, что Россия слишком уж «подсела» на иностранное программное обеспечение и аппаратные средства? Наметились ли какие-то сдвиги в этой ситуации, на ваш взгляд?

Сергей Ковалевский: Россия уже давно, к сожалению, находится в зависимости от программно-аппаратных продуктов крупных западных компаний. Однако свои наработки есть и в нашей стране. В России создавались и собственные операционные системы, и системы управления базами данных. Однако дальше разработок дело, как правило, не шло, поскольку в стране отсутствует необходимая государственная поддержка. К тому же нет и соответствующего финансового интереса, в то время как рынок уже сформирован, и занять свою нишу многим софтверным  компаниям бывает весьма непросто. Например, у нас в стране была такая известная разработка, как «Лексикон», однако серьезного дальнейшего развития она не получила. Впрочем, определенная  надежда на то, что системные отечественные решения будут востребованы, есть. Так, многие зарубежные страны — Япония, Китай, Норвегия, Германия, Бразилия, ЮАР и другие - осознали бесперспективность закупки импортных решений  и то, что переход на собственное программное обеспечение должно основываться на разработках на базе открытых исходных кодов. Пока же в стране нет государственной политики, которая бы предусматривала развитие российских ИТ-решений. Причем если даже осуществить определенное перераспределение финансовых потоков, то средств на создание собственного программного обеспечения, системного и прикладного, было бы достаточно. Просто в России этому внимания почти не уделяется. Такое направление, как нанотехнологии, к примеру, вероятно, и не получило бы развития, если бы не поддержка президента страны.

CNews: Как сложившаяся «зависимость» от западных продуктов отражается на уровне информационной безопасности корпоративного сектора? Насколько далеко «ушел» от него госсектор?

Сергей Ковалевский: Отражается пагубно. Россия зависит от западных разработок и вынуждена платить западным компаниям за лицензии на всё новые продукты. С точки зрения информационной безопасности я уже неоднократно высказывал свою позицию. Дело в том, что ни концепция информационной безопасности, ни доктрина информационной безопасности, подписанная президентом, в нашей стране не работают, поскольку носят исключительно рекомендательный характер. Ученые и специалисты неоднократно выступали с инициативой по созданию отечественной операционной системы и системы управления базами данных. Выходили с предложениями, чтобы использование зарубежного ПО было запрещено на законодательном уровне. Речь идет не обо всех правительственных структурах,  а лишь о стратегических отраслях, особо опасных объектах, функционирование которых играет ключевую роль в обеспечении национальной безопасности страны. А сейчас на большей части таких предприятий установлены иностранные разработки, которые могут в себя включать недокументированные функции. В таких условиях ни о какой информационной безопасности не может идти и речи. В частном же секторе, это уже, как говорится, дело хозяйское, пусть устанавливают ПО по своему усмотрению.

CNews: Насколько, в таком случае, со своей стороны, могут представлять опасность за рубежом (в Германии, Франции или Великобритании) продукты, например, «Лаборатории Касперского» или ABBYY?

Сергей Ковалевский: Мы говорим все-таки о разных проблемах. Так называемые «распознаватели текстов» и антивирусы не угрожают жизнеспособности системы. Я не против текстовых редакторов и электронных таблиц и т.д.: они не представляют опасности. Главная угроза сосредоточена в сфере ОС и СУБД. И  сколько бы нас не убеждали в том, что соответствующие продукты Microsoft или Oracle не имеют «закладок», они не могут быть сертифицированы, и никто не докажет, что в них нет недокументированных функций. Осуществить сертификацию «черных ящиков» не реально. Приятно отметить, что некоторые российские ведомства уже стали уделять внимание отечественным ОС и СУБД. А во многих странах на использование зарубежных программных продуктов в критических отраслях наложен запрет.

CNews: Как известно, мировые лидеры ИБ, производители баз данных и систем хранения данных — Symantec, EMS, RSA, Orаcle, IBM - давно соединили в понятии «хранение данных» полный цикл обеспечения сохранности, доступности и безопасности данных на всех этапах жизненного цикла информации. Не считаете ли Вы, что, делая ставку на применение отечественных разработок в области ИТ и ИБ, мы начинаем двигаться в этом сегменте со слишком уж низкого старта?

Сергей Ковалевский: Что касается «полного цикла обеспечения сохранности данных», то здесь надо остановиться более подробно. Обратите внимание — частные зарубежные компании предлагают государственным структурам свою технологию и средства обеспечения безопасности данных. При этом на всех «этапах жизненного цикла» информационными ресурсами будут управлять ИT-средства «черные ящики», «прозрачные» только для самих фирм-разработчиков. Это можно сравнить с ситуацией, когда некий частный банк предлагает для хранения служебных, секретных или совершенно секретных документов воспользоваться их ячейкой… И правление банка будет уверять, что на «всех этапах жизненного цикла» они обеспечат требуемый уровень защиты документов. Абсурд, не правда ли? А с информационными ресурсами ситуация еще более критичная. Информацию можно не только «выкрасть», но и нарушить работу системы и т.д. А это могут быть стратегические отрасли или особо важные и опасные объекты.

Насчет «низкого старта», я могу заверить, что это не совсем так. Если начинать все «с нуля», то тогда действительно «старт низкий». На самом деле в России есть самые передовые ИT-технологии, на основе которых созданы и функционируют самые крупномасштабные информационные системы. Эти отечественные ИT-решения и есть доказательство того, что они достаточны для решения самых сложных задач в масштабах Российской Федерации. Вся самая подробная информация о реализованных ИT-решениях размещена на портале Фонда социального страхования.

CNews: Как известно, ИБ не только софт и «железо», это еще и организационные мероприятия, регулируемые стандартами. Должны ли, на ваш взгляд, в России главенствовать российские стандарты ИБ, как считает ЦБ РФ, выпустив СТО БР ИББС — 1.0 — 2006, или же все отдать на откуп ISO 27001?

Сергей Ковалевский: У нас есть стандарт ЦБ РФ. Тем не менее, если вспомнить громкую историю прошлого года, когда был осуществлен взлом базы данных, то становится очевидным,  что в таких случаях важную роль играет человеческий фактор. Поэтому какой стандарт лучше или хуже, я не берусь судить. Хотя, надо отметить, что наши стандарты более требовательные и жесткие.

CNews: По словам экспертов ЦБ РФ, за 40 лет существования z/OS так и не была взломана, поэтому активно идет адаптация западного софта под Linux и работу в этой среде на менфреймах. Насколько правильнее было бы сделать основной упор все-таки на разработке более безопасной операционной системы? В частности, недавно эту идею еще раз озвучил депутат ГД Алкснис.

Сергей Ковалевский: Мне конечно приятно, что через полтора года еще один депутат подключился к нашей инициативе. Но перед тем, как эту проблему поднимать, надо было посмотреть, какой путь прошли мы. И какие вопросы поднимали. Вопросы информационной безопасности и независимости носят комплексный системный характер. И, если говорить только об операционной системе, то это половинчатое решения, которое не решит ни одну из вышеназванных проблем. Я уже давно объяснял, что не только операционная система представляет опасность. «Управляет» информационными ресурсами система управления базами данных (СУБД). А о ней никто речи не ведет. Только создание отечественной операционной системы либо использование Linux и разработка СУБД позволит решить все вопросы информационной безопасности и частично — информационной независимости. При этом мы избавимся от необходимости пускать деньги на ветер, то есть осуществлять приобретение лицензий на операционную систему и СУБД зарубежных компаний.

Обращаю особое внимание оппонентов — речь идет исключительно о серверах. Переход на «открытые коды» на рабочих станциях пользователей — это уже другая проблема, никак не связанная с информационной безопасностью. Использование OpenSourse на рабочих станциях — решает проблемы информационной независимости и значительной экономии бюджетных средств, поскольку речь идет только о государственных структурах.

СNews: К вопросу об открытых кодах. После известного случая в Пермском крае, многие средние образовательные учреждения объявили о намерении перейти на ПО с открытыми исходными кодами. Как вы могли бы прокомментировать эту инициативу?

Сергей Ковалевский: Насчет перехода на открытые коды — я двумя руками «За». Обучать школьников и студентов работе с компьютером, электронной почтой, текстовыми редакторами, архиваторами и т.д. можно и на бесплатных продуктах. Почему в России мы должны обучать работе с конкретными программными продуктами конкретных частных компаний? И при этом, помимо государственных затрат на содержание ВУЗов и школ, оплате работы учителей и т.д., мы еще обязаны закупить лицензии — право на оказание им бесплатной рекламы. Абсурд. Это они должны оплачивать российским школам и ВУЗам, хотя бы, зарплату преподавателей.

Давайте на минуту задумаемся — чем наша великая страна принципиально отличается от всех других стран? Как развитые, так и развивающиеся страны, осознав бесперспективность и опасность закупок лицензий монополистов, переходят на открытые коды. При этом, также обращаю внимание оппонентов, все страны готовы преодолевать любые трудности такого перехода. И ситуация у всех ничем не отличается от российской. Ничем!. Всем надо переучиваться, всем будет первое время сложно и т.д. Но, тем не менее, они все принимают такие решения. Альтернативы нет. Мне не хотелось бы лет через 5 — 10 увидеть картину, когда подавляющее большинство стран будут работать на открытых кодах, а Россия в гордом одиночестве будет «идти своим путем».

CNews: Спасибо.

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Toolbar | КПК-версия | Подписка на новости  | RSS