#Эксперт по информационной безопасности, #судебная экспертиза

+7 (495) 309-31-25 | tsarev@tsarev.biz

Недавно обнаружил, что в почтовой переписке очень часто приходится отвечать на одни и те же вопросы. Поэтому решил опубликовать несколько ответов на самые распространенные вопросы. Начнем с самой сложной темы - темы регуляции, сертификации и обеспечении ИБ на государственном уровне в целом.

Итак,

Что вы можете сказать про регуляторов (ФСТЭК и ФСБ)? Справляются ли они со своей работой? Что вы думаете, про сертификацию в области ИБ?

Постараюсь, не вдаваясь в подробности и пренебрегая точностью формулировок, донести суть происходящего в России в области регулирования ИБ (в т.ч. в части сертификации) и выскажу свое мнение по этому поводу.

В России есть две центральных, с точки зрения регулирования ИБ, организации:

• ФСБ России • ФСТЭК России

Первая регулирует вопросы, связанные с криптографией, вторая в принципе вопросы технической защиты информации. Обе службы имеют свои системы сертификации.

В современном мире любое нормальное государство стремится отстоять свой суверенитет, в том числе и в информационном пространстве. Начинается эта работа с создания механизмов контроля ввозимого и используемого оборудования и ПО. Особо выделяется вопрос использования криптографии. Собственно этими вопросами и занимаются, указанные выше службы.

Рассмотрим подробнее:

Оборудование и ПО и недекларированные возможности в них

Идеальным вариантом для самодостаточного государства является использование оборудования и ПО собственного производства. В реальном мире это невозможно. И важнейшим вопросом становится:

Каков же уровень зависимости от импорта? Так вот в России зависимость от импорта не менее 95%.

Другими словами мы ввозим практически все.

Нельзя сказать, что зависимы только мы. Даже хваленые американские производители почти всю свою продукцию изготавливают в континентальном Китае. И здесь тоже есть свои риски, но у нас они просто запредельные.

Не секрет, что аффилированные с правительствами других стран структуры, да и сами иностранные производители, не стесняются «закладывать» в свое оборудование и ПО недекларированные возможности (НДВ). Для упрощения объединим в это понятие любые "закладки" в ПО и железе. Какие? Например, вы купили некий программный продукт для бизнеса, однако помимо выполнения заявленного функционала, ПО стабильно отправляет куда-то (неизвестно куда) в зашифрованном виде сообщения, при этом активно маскирует эти действия. "Ну и что", скажете вы… "это обновления и прочие обслуживающие мероприятия…" А вы уверены? Особенно если учесть, что производитель изо всех сил отрицает возможность такого «поведения» своего продукта...

Несколько лет назад был скандал с запретом Skype в ряде структур государственного и областного масштаба. Запрет исходил от ФСБ. И на то были свои объективные причины.

Одна из причин заключается в том, что Skype отказывался разместить свои сервера на территории РФ. В результате чего, у ответственных структур, терялся даже теоретический контроль над данным средством связи. "Ну и что", скажете вы, "я не хочу, чтобы меня «слушали»". На самом же деле проблема глубже…

Представим себе, что подавляющее большинство российских государственных структур работает на Skype. Замечательно. Операционные затраты сокращаются, удобство коммуникаций повышается… Сказка! Но кто владеет системой связи? Skype! А это американская компания, имеющая «плотные контакты» с самыми разными структурами на территории США. И что эта компания сделает с этой системой связи, например в случае разрыва дипломатических отношений, между РФ и США? Или если начнется война? В этом случае, как известно, одной из первых задач является максимально возможное нарушение штатного функционирования систем связи противника. А тут даже мучится не нужно. Система связи-то и так твоя.

Именно поэтому все операторы связи обязаны быть резидентами РФ и обязаны получать лицензии ФСБ. В первую очередь это вопрос контроля системы связи.

Еще более серьезные проблемы возникают с оборудованием. Существуют недекларируемые возможности на аппаратном уровне. Был скандал с Intel, на днях американцы поругались с Huawei и ZTE. Примеров конфликтов море, а вообще не найденных НДВ - океан.

Для нас ситуация усугубляется де-факто отсутствием полноценных исследований по части недекларированных возможностей во ввозимых продуктах. Конечно, есть сертификация ФСТЭК, которая как раз таки и направлена на поиск НДВ. Однако, не все сертифицируем, да и любой профессионал подтвердит, что наличие сертификата на отсутствие НДВ вовсе не означает, что этих самых НДВ нет.

Средства криптографии/Шифровальные средства

Да простят меня коллеги, проведем аналогию с оружием. В этом случае оборудование и ПО с «заложенным» в него НДВ – это мины замедленного действия, рассыпанные по всей стране, а вот криптография – это полноценное и управляемое оружие, скажем танки, авиация и т.п. Поэтому внимание к вопросам криптографии, должно быть особо пристальным.

В наследство от СССР нам достался очень и очень удачный ГОСТовый криптоалгоритм. Даже сегодня он считается одним из самых стойких. В свою очередь у американцев есть свои криптоалгоритмы. С 80-х годов оборудование на основе западных криптоалгоритмов активно продвигалось на международный рынок. В результате сегодня оборудование на ГОСТе (которое производится в России) технологически не может сравниться с продукцией мировых лидеров. Оно откровенно хуже.

Глядя на все это, потребители (все предприятия в т.ч. и государственные) не хотят покупать российские «поделки», ведь им нужно работать, а не мучиться с настройкой криптографической системы. Здесь и появляется ФСБ России, задача которой – контролировать ввоз и использование шифровальной техники на территории РФ. Инструментов осуществлять такой контроль несколько, самый известный из них – сертификация. Т.е. если оборудование сертифицировано – оно может использоваться, если нет – возникают вопросы. Если покопаться, то формально использовать западную криптографию на территории РФ нельзя. Даже наши мобильные телефоны являются средством шифрования с западной криптографией, которые даже через границу в кармане просто так провозить нельзя.

Но это формально, в реальной жизни не все так строго. Например, есть такой инструмент, как "разрешение ФСБ" на ввоз и использование конкретных экземпляров, конкретным заказчиком в конкретном исполнении. И это относится к самой стойкой криптографии, которая также ввозится в страну.

Однако, как бы страшно все не звучало, вопросами криптографии в России занимаются. ФСБ в этом направлении работает, и это радует. При этом у нас крайне тяжелая ситуация с отечественным производством средств шифрования. Те продукты, которые есть на рынке, технологически отстали лет на 10, что для ИТ-отрасли очень и очень много.

Вывод

Регуляция ИБ нуждается в системных преобразованиях. Если система регуляции криптографии у нас в целом налажена и функционирует, то со всем остальным у нас серьезные проблемы. Все это усугубляется де-факто бессмысленной, а временами и вредной сертификацией ФСТЭК, которая кроме прямых затрат ничего не дает.

Для решения вопросов доверия к средствам защиты, ИТ-оборудованию и ПО нужны новые инструменты и новые институты. Это может быть добровольная сертификация (необходимость в которой назрела уже давно), система рейтингов и т.п.

Самое главное, это осознание всей серьезности проблемы и выработка полноценной государственной программы по усилению информационной безопасности России.

Война уже идет и мы в ней пока проигрываем...

Автор статьи: Царев Евгений

8 комментариев

    ФСБ надо продолжать стоять на своем — еще чуть-чуть и все эти Эплы/Ораклы дрогнут

    pushkinist:

    в чем именно?

    Дрогнут или не дрогнут — не знаю, но вот сохранят контроль нужно. Возможно другими инструментами, но кричать, что сертификация ФСБ — зло, в корне не верно.

    Turkish:

    На фоне планируемых изменений ЦБ (в части идентификации по ПОД/ФТ), которые просто блокирует использование ДБО в большинстве случаев, «дожимание» Эпплов и иже с ними всего лишь вопрос времени. Причем дожимание будет в виде отказа от использования пользователями :))
    Эпплы и сотоварищи правда мало что потеряют

    ansv:

    В случае со скайпом с такими стратегическими соображениями было бы проще продумать порядок связи по альтернативным контролируемым каналам на случай диверсии, а не пытаться запретить продукт, которым все пользуются.

    Если есть риск, что китайская микроволновка однажды перестанет работать в самый ответственный момент, лучше запастись дровами и спичками для разведения костра, а не тащить ее на помойку…

    ZW:

    > одной из первых задач является максимально возможное нарушение штатного функционирования систем связи противника.

    Одна из первых задач — прослушивание систем связи. А в идеале ещё и дезинформирование через системы связи противника. Контроль над Skype позволяет делать и то, и другое. Особенно хорошо то, что что можно простым апдейтом добавить нужный функционал, мотивируя необходимость апдейта закрытием очередной дыры.

    > Не секрет, что аффилированные с правительствами других стран структуры, да и сами иностранные производители, не стесняются «закладывать» в свое оборудование и ПО недекларированные возможности (НДВ).

    В ослабление криптографии — да, безусловно.
    В отсылание сообщений — сомнительно, так как такой трафик выявляется на раз-два.
    В удалённое управление/отказ в обслуживании — нет. без участия технического персонала атакуемого нереально. С другой стороны, изучение багрепортов разных вендоров неизбежно приводит к выводу, что с такими ошибками никаких закладок не нужно. За примером далеко ходить не надо — Stuxnet использует обычный набор багов. Особенно, когда это баг не конкретного вендора, а ошибка в протоколе, тогда баг становится межвендорным/межплатформеным и один эксплоит укладывается оборудование/софт любого вендора. Разумеется вендор имеет некое преимущество, так как имеет доступ исходным кодам продукта и постоянно анализирует его на ошибки.
    Достаточно посмотреть на ботнеты, которые успешно реализуют уязвимости без всяких закладок, что сразу станет понятно — закладки (кроме ослабления криптографии) могут использоваться ограничено, внедряясь в ограниченные партии продукта, предназначенных для конкретного покупателя. Учитывая очень запутанный путь товра от завода до покупателя, закладки будет внедрять не производитель, а вероятнее всего одно из промежуточных звеньев (интегратор, дистрибьютер) или сервисный центр.

    > В наследство от СССР нам достался очень и очень удачный ГОСТовый криптоалгоритм. Даже сегодня он считается одним из самых стойких.

    Морально устаревший и ресурсоёмкий. А уже как он обычно внедряется в ОС…

    > Одна из первых задач – прослушивание систем связи.

    Во время конфликта слушать уже поздно, нужно выводить из строя, чтобы получить преимущество в боевых действиях.

    ZW:

    > Во время конфликта слушать уже поздно, нужно выводить из строя, чтобы получить преимущество в боевых действиях.

    Несогласен. Возможность прослушивания и дезинформации предпочтительнее, чем неработоспособность системы, так как нанесёт больше ущерба.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*

Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания Google.