В 90-х годах Россия пережила тихую революцию, не замеченную общественностью и не оцененную по достоинству аналитиками. Речь идет о такой специфической области, как информационная безопасность.
На рубеже 80-х и 90-х гражданин СССР, имевший ясные представления о криптографии, мог быть только сотрудником спецслужб или иностранным шпионом. Открытая литература на эту тему исчерпывалась “Золотым жуком” Эдгара По и “Пляшущими человечками” Артура Конан-Дойля. Проблем с защитой корпоративных сетей не существовало, поскольку сети были, а корпораций - не было. Интернет и СПИД еще не охватили страну, и вирусная опасность ассоциировалась только с гриппом. Промышленный шпионаж считался такой же экзотикой, как и Таиланд. Все, что защищалось в области информации, - защищалось государством, которое определяло что, как и кем, не слишком задаваясь вопросом “сколько стоит?”. Львиная доля информационного поля относилась к государственной тайне. Другие виды тайн серьезно не воспринимались.
За прошлое десятилетие положение кардинально изменилось. Полки книжных магазинов теперь завалены литературой по криптографии и защите информации. Возникает впечатление, что стоит коммерческой структуре заработать большие деньги - и она тут же начинает шифровать информацию о том, куда они деваются. У корпораций появились не только коммерческие тайны, ценимые ими гораздо выше государственных, но и отделы информационной безопасности, укомплектованные квалифицированными профессионалами. Заинтересованные стороны регулярно воруют финансовые секреты и различные технологии. Судя по сообщениям СМИ, иностранные разведки предпочитают технологии (не зря же то один, то другой российский ученый оказывается в суде по делам о шпионаже), а конкуренты - финансовые секреты. Интернет стал неоценимым преимуществом и одновременно главной головной болью. Хакеры совершенно распоясались, хотя и принесли определенную пользу, обеспечив приличную зарплату специалистам по защите и безбедное существование многим фирмам - производителям ПО. Список угроз безопасности для корпоративных сетей способен ошеломить слабонервных руководителей. Персонал, который в прежние времена можно было обвинить разве что в прожигании рабочего времени в курилках, теперь стал объектом постоянных подозрений в нелояльности и использовании Интернета для просмотра порнографии.
С другой стороны, рынок и возможности программных средств защиты также потрясают воображение. Антивирусные системы, шифрующие пакеты, системы обнаружения уязвимостей, вторжений, активного аудита, фильтрации контента и т. д. и т. п… Есть даже изящные технологические решения, позволяющие владельцу при поступлении сигнала на сотовый телефон дистанционно уничтожить любую конфиденциальную информацию на сервере (по-видимому, для заказчиков, рассматривающих виртуальные угрозы как абстракцию, а прокуратуру - как суровую реальность). Правоохранительные органы, в свою очередь, перестроились и при обысках в офисах недобросовестных компаний сразу изымают жесткие диски, вынося их почему-то вместе с полуторатонными серверами и рапортуя об успехах по изъятию электронной документации не в килобайтах, а в килограммах.
Короче говоря, революционные перемены в области информационной безопасности (ИБ) сравнимы по своей масштабности с переходом от рабовладельческого строя к феодальному. Причем переход этот произошел в полном соответствии с известной формулой: “То, что мы называем прогрессом, представляет по сути замену одних неприятностей другими”.
Действительно, если отвлечься от впечатляющего факта, что развитие в данном секторе вышло на новый виток спирали, то оказывается, что имеются серьезные причины задуматься. Попробуем непредвзято оценить ситуацию.
Очевидно, что уровень развития сектора информационной безопасности может играть роль как косвенного ускорителя, так и мощного тормоза для информационных технологий (ИТ). (Например, востребованность и распространение Интернет-банкинга в значительной степени определяется безопасностью финансовых транзакций.) А состояние ИТ непосредственно влияет на экономическое благосостояние страны. Более того, уровень ИТ стал своего рода индикатором технологической развитости и экономической конкурентоспособности на мировой арене.
Государство выступает естественным регулировщиком процессов, происходящих в данной области. Но если в целом в ИТ основным рычагом воздействия государства является финансирование (прежде всего - федеральных целевых программ), то в секторе ИБ определяющим оказывается законодательный фактор. В принципе это вполне понятно, поскольку вопросы защиты информации напрямую связаны с защитой государственных тайн и интересов, т. е. с национальной безопасностью. Трудно преуменьшить значение продуманной политики государства в этой сфере. Вопрос состоит лишь в том, насколько она продумана.
Регламентацию деятельности в области ИБ (лицензирование, сертификация, подготовка проектов законодательных актов и т. д.) до сих пор осуществляли ФАПСИ, ФСБ и Гостехкомиссия (летом 2003 г. эти полномочия ФАПСИ были переданы ФСБ). Законодательная база ИБ состоит из ряда федеральных законов, президентских указов и множества других документов. Наиболее остро стоит проблема применения криптографических средств.
В отношении государственных организаций существует полная ясность. Они обязаны использовать сертифицированные средства защиты и отечественные криптоалгоритмы. То же самое приходится делать и коммерческим структурам при соответствующих контактах с государственными. Здесь все логично и замечания излишни.
Другое дело - правила игры внутри коммерческого сектора. Основной федеральный закон “Об информации, информатизации и защите информации” от 20.02.95 г. содержит положение о том, что юридическое лицо признается собственником своих информационных ресурсов и вправе устанавливать режим и правила защиты этих ресурсов. Указывается, что риск, связанный с использованием несертифицированных средств защиты, лежит на владельце информации, но применение их не запрещается. Можно было бы удивиться демократичности такого подхода, если бы не Указ Президента РФ № 334 от 03.04.95 г., по силе слова напоминающий знаменитый приказ военного времени №227 “Ни шагу назад!”. В нем и в последующих законодательных актах была определена стратегическая линия, которую можно передать одной фразой: “В области ИБ шаг вправо, шаг влево без соответствующей лицензии - попытка побега за рамки закона; применение несертифицированных средств - если и не провокация, то, безусловно, нежелательная деятельность”.
Можно согласиться, что правила “суровы, но справедливы” во всем, что касается лицензирования разработки, производства, реализации криптосредств и контроля над импортом иностранных. Однако, например, требование обязательного лицензирования эксплуатации криптосредств не только для государственного, но и для коммерческого сектора вызывает недоумение. Рациональна ли эта обязательность в коммерческой сфере, когда отсутствуют сведения, относящиеся к гостайне? Ведь в этом случае государство признает принадлежность информации частному владельцу и его право на защиту. Рынок как сертифицированных, так и несертифицированных средств находится под государственным контролем. Разве этого не достаточно? Конечно, лицензирование может быть полезно как инструмент давления в плане применения сертифицированных средств. Но зачем? Не столь важно, что отечественные криптоалгоритмы являются, как правило, более стойкими, чем иностранные. Если европейские банки используют алгоритм RSA с ключом в 1024 бит (а немецкие вообще только заканчивают к 01.01.04 г. окончательный переход с 512 бит) и не имеют проблем с безопасностью по данному параметру, то стоит ли навязывать российскому коммерческому банку использование ГОСТ, который, может, и надежнее, но менее технологичен и более дорог при внедрении? Почему не облегчить и не удешевить коммерческим структурам интеграцию в мировой бизнес в сфере ИТ? Излишний государственный патернализм здесь ничем не оправдан. Странно требовать от владельца садового участка постройки каменного дома, если он считает, что его вполне устроит деревянный.
Главным недостатком существующего положения дел является слабая дифференциация по отношению к использованию средств защиты (прежде всего - криптографических) в государственном и коммерческом секторах. Упомянутые выше ведомства искренне хотят “как лучше” и переносят на коммерческую почву значительную часть требований, обязательных для госсектора. Но для государственного сектора “лучше” - значит “надежнее”, а для коммерческого приоритет имеет “удобнее и экономичнее”. Параллельно могут и должны существовать два основных уровня защиты: государственный (подразумевающий определенную гарантированную стойкость) и коммерческий (означающий стойкость, достаточную с точки зрения владельца). Они предполагают принципиально разные подходы. Никто не оспаривает права уполномоченных организаций жестко регламентировать применение средств защиты в госсекторе. Автоматически все контакты юридических и физических лиц с российскими госорганизациями будут проходить с использованием только сертифицированных средств шифрования и электронной цифровой подписи (ЭЦП), на основе отечественных криптоалгоритмов. Но невозможно понять, почему нельзя либерализовать и упростить использование признанных международных криптоалгоритмов внутри коммерческого сектора, если ПО, поддерживающее их, законно продается и покупается на территории России.
Хорошей иллюстрацией сложившейся ситуации служит история принятия и применения Закона об ЭЦП. Закон был подписан президентом 10.01.02 г. Основной его задачей являлось создание условий для перехода от использования ЭЦП на уровне корпоративных сетей к юридически значимому - на уровне телекоммуникационных сетей общего пользования (без каких-либо дополнительных письменных соглашений между сторонами). Прошло два года - он так и не заработал. Спрашивается, почему? Закон не задевал финансовых интересов каких-либо влиятельных групп, речь шла не о приватизации имущества, не о распределении доходов от нефти и даже не о закрытии информации, а лишь об идентификации владельцев электронной цифровой подписи. Это был тест на государственную мудрость “в чистом виде”. И тем не менее…
Группа разработчиков, состоявшая из представителей нескольких госструктур, после весьма длительного подготовительного периода пошла по самому простому пути: взяла вариант ФАПСИ (обеспечивавший максимальную надежность для всех пользователей и как следствие - минимальную применимость), а все остальные отбросила. Но ведь проект проходил не одно чтение в парламенте. Разумеется, объяснять широким массам депутатов разницу между кэшем и хэшем нецелесообразно. Однако что мешало Комитету по информационной политике Думы учесть альтернативные проекты, мнения независимых специалистов из коммерческих структур и общественных организаций, которые добросовестно пытались предупредить о последствиях? Наконец, ведь был еще этап подписи президентом, у которого имеется аппарат, а в аппарате советники по техническим вопросам (предположительно - толковые). Перед глазами разработчиков и законодателей были свежие законы об ЭЦП ряда развитых стран, прежде всего США и Германии. Все они имели четко выраженный разрешительный характер, не углублялись в технические аспекты и ставили своей целью ускорение развития ИТ за счет обеспечения законодательной базы использования ЭЦП. Наш закон сделал основной упор именно на техническую сторону дела, причем принял не менее четко выраженный ограничительный характер. То есть был не просто заново изобретен велосипед: это оказался четырехколесный велосипед, который, разумеется, устойчивее, но сильно напоминает старое доброе средство передвижения - телегу. Можно ли на нем, точнее, на ней, угнаться за прогрессом в сфере ИТ?
Что же получилось? Базирующаяся на отечественных криптоалгоритмах единая инфраструктура федеральных удостоверяющих центров (УЦ) пока не создана, да и создавать ее на основе до сих пор несовместимого между собой ПО от разных производителей нелогично. После же создания (а это случится еще не скоро) она сможет обеспечить массовость сервиса ЭЦП только в границах России, поскольку иностранных алгоритмов поддерживать не станет. Закон об ЭЦП имеет и ряд других недостатков, но этот - главный. А ведь для алгоритма RSA проблем совместимости ПО в рамках стандарта Х.509 вообще не существует. Если бы было реализовано компромиссное решение, т. е. для госсектора в качестве обязательного алгоритма ЭЦП - ГОСТ, а для коммерческого - возможность выбора, то федеральная инфраструктура УЦ (по крайней мере для RSA) заработала бы уже давно и обеспечила не только технологически простую унификацию применения ЭЦП в коммерческом секторе РФ, но и выход российского электронного бизнеса на международный уровень. Приняв ущербный закон, Россия затормозила собственное развитие в этом секторе ИТ и обеспечила как минимум два года форы другим странам. Можно оправдать отставание в технологической гонке по недостатку финансов. Но по недомыслию?
В 1628 году в Швеции был построен огромный для того времени флагманский военный корабль “Васа”, названный по фамилии правящей династии. Король Густав II Адольф принимал живое участие в процессе и для увеличения мощи распорядился удвоить количество пушек, хотя некоторые строители и пытались возражать. Балансировка корабля нарушилась, он перевернулся и пошел ко дну вместе с командой прямо в гавани Стокгольма, сразу после спуска на воду. Событие произвело такое глубокое впечатление на нацию, что три столетия спустя шведы подняли корабль и устроили из него “Васа-музей”, призванный, по-видимому, служить предостережением против неразумной королевской политики.
Если представить себе ИТ как корабль, то ИБ на этом корабле, очевидно, будет проходить по категории вооружений. Не пора ли федеральным ведомствам и законодательным органам обратиться к здравому смыслу и снять лишние пушки?
Информация об авторе статьи
Информация взята с сайта www.infosecurity.ru
Автор: В. Пономарев