«Умом Россию не понять, аршином общим не измерить», — сказал поэт Тютчев в 19 веке, а в 21 веке нынешний Президент страны Путин процитировал эти строчки французскому экс-президенту Шираку. Россия, мягко говоря, не совсем обычная страна, с самой большой территорией и самой низкой плотностью населения, культура и идеология — симбиоз противоположных друг другу восточных и западных взглядов на жизнь, и в мировой истории Россия занимает свое особенное место. Не удивительно, что российский бизнес информационной безопасности также весьма самобытен. Не берусь утверждать, что излагаемых ниже «инновационных» подходов не применяется нигде в мире, но в совокупности они представляют собой именно те российские феномены, которые не подвластны разумению как восточников, так и западников.
Оглавление
1. Клонирование мейнфреймов IBM System 360
Массовое промышленное производство компьютеров в СССР началось в начале 70-х годов с клонирования мейнфреймов IBM System 360, а затем и ПК этой же фирмы. Клонирование осуществлялось и на программном и на аппаратном уровне без всяких лицензий и патентов. Все добывалось, разбиралось, дисасемблировалось и собиралось вновь на наших заводах. Советские клоны назывались ЕС ЭВМ. Мы работали на этих монстрах в начале девяностых и последний из них назывался EC 1220. После него в 1995 году производство клонов было свернуто. Как то в машинный зал, где это все стояло, забрел американец и увидев консоль ОС EC, заявил «Так это же наша OS/360» и в подтверждение своих слов ввел какую-то команду. На сером экране зелеными буквами действительно высветилось OS/360 ….
Производство клонов умерло в связи с бурным революционным развитием вычислительной техники. Клоны стали резко отставать от оригиналов, производство которых непрерывно совершенствовалось. Клонирование обходилось все дороже. Ужесточились меры со стороны американцев по охране своей интеллектуальной собственности. В конце концов, с развалом СССР закончилась холодная война и открыто тырить чужие «ноу-хау» стало как-то неловко, ведь это только на войне все методы хороши.
С тех пор вся аппаратная и программная база российских АС — продукты импортного производства. Сетью Интернет тоже управляют американцы (корневые DNS серверы находятся в США). Наша национальная ИТ-инфраструктура практически полностью зависима от иностранных компаний. Как в таких условиях обеспечить национальную информационную безопасность? Крупные американские производители (Microsoft, Intel, IBM, Google, Apple, Cisco и др.), любой из них, теоретически могут выпустить патч или активизировать закладки в своих продуктах, которые единовременно вырубят подавляющее большинство компьютеров и сетей. Наши прославленные хакеры со своим кибероружием ничем не смогут помочь, т.к. они все тоже работают на импортной технике и на импортных ОС. Это угроза национального масштаба, хотя и смутно, но осознаваемая власть придержащими. Способы противодействия, такие как создание логически и физически изолированных сегментов «национальной» сети, специсследования и спецпроверки оборудования, сертификация ПО на НДВ, разработка «национальной ОС», замещение некоторого импортного ПО и СЗИ отечественными аналогами и т.д. данной проблемы не решают, хотя и снижают риск.
Положительным моментом можно считать то, что, во-первых, у любого из иностранных производителей будет возможность реализовать угрозу с масштабной активизацией своей закладки, скорее всего, только один раз. Это побуждает беречь данную возможность, как атомную бомбу, только на самый крайний случай. Во-вторых, уязвимости ПО обнаруживаются независимыми исследователями постоянно. Часть этих уязвимостей — ошибки программирования, но есть среди них и умышленно внесенные «ошибки» и закладные элементы. Хакеры и спецслужбы многих стран пытаются использовать эти находки в своих интересах, однако эффекта атомной бомбы пока никому добиться не удалось, хотя и приблизились. Широкомасштабное воздействие на ИТ-инфраструктуру целой страны реализовать крайне сложно с организационной точки зрения. Это не проще, чем спланировать наземную военную операцию. В-третьих, все стороны не могут не осознавать, что закладки, также как и бомба, могут сработать против них самих.
2. Особый класс российского ПО — «СЗИ от НСД»
Самым востребованным продуктом в области защиты информации в России является не антивирус и не МЭ, а так называемые СЗИ от НСД. Такие СЗИ, выпускаемые многими российскими разработчиками, наверное, применяются только в России и применяются они не для защиты информации, а для выполнения требований регуляторов по защите информации, что ни одно и то же. Назначение СЗИ от НСД заключается, в основном, в дублировании встроенных в ОС базовых механизмов безопасности, таких как аутентификация, управление доступом, контроль целостности системных файлов, регистрация событий, очистка областей оперативной памяти и др. Разработка подобных СЗИ началась (и была тогда оправдана) еще в эпоху MS DOS, когда ОС не содержала практически никаких механизмов ИБ, а все приложения выполнялись в общем адресном пространстве и мешали друг другу. С тех пор ОС повзрослели, стали многократно более надежными и защищенными, вобрали в себя все современные механизмы безопасности, включая криптографию и антивирусы, а отечественные СЗИ от НСД странным образом продолжили свое существование поверх данных защищенных ОС, дублируя их функции.
Конечно, каждый разработчик СЗИ от НСД сможет назвать вам несколько «особых» функций безопасности, которые в ОС не реализованы, но суть вопроса это не меняет, т.к. на 90% функции ОС дублируются, а смысл приобретения СЗИ от НСД заключается не в тех 10% доп. опций (которые намного эффективнее реализуются специализированными продуктами класса EndPoint Security), а в приобретении сертификата соответствия требованиям регуляторов. Это называется «формально закрыть требования» при помощи сертифицированных СЗИ. В основе данной практики, не имеющей на первый взгляд разумного объяснения, лежит все то же ощущение зависимости от западной элементной базы и недоверие к импортным ОС, которые могут содержать закладки. (Хотя конечно проблема закладок в ОС никак не решается использованием СЗИ от НСД, работающих поверх этих ОС, но это понимают только те, кто выполняет требования, а не те, кто их пишет).
3. Феномен сертифицированных СЗИ
Основными вопросами ИБ в России являются вопросы, во-первых не имеющие прямого отношения к обеспечению безопасности, а во-вторых не имеющие прямого ответа. Вопросы эти следующие:
- обязательно ли использовать сертифицированные СЗИ?
- кому обязательно использовать сертифицированные СЗИ?
- все ли СЗИ должны быть сертифицированы?
- как сертифицировать все СЗИ?
- как использовать сертифицированные СЗИ не нарушая работу системы?
- что считать СЗИ?
- как сертифицировать не все СЗИ?
- на соответствие каким требованиям сертифицировать СЗИ?
- и т.д.
4. Как быстро и недорого выпустить собственный продукт для обеспечения ИБ?
Здесь и думать то особо нечего. Склонировать импортный open source продукт. Вариантов очень много, например:
- берем набор open source сканеров безопасности, делаем русскоязычный веб-интерфейс для их запуска, заливаем на импортный ноутбук, все это сертифицируем и называем как нибудь этак: «рабочее место аудитора ИБ»
- берем open source антивирус, руссифицируем, сертифицируем производство и производим собственный антивирус под своей торговой маркой (GPL лицензия это делать позволяет)
- берем файервольный тулкит, пишем несколько прокси и оболочку на русском языке, сертифицируем по высшему классу, (опционально) устанавливаем на сертифицированную железку, получаем отечественный МЭ
- берем дистрибутив linux, ……
- берем любой open source продукт, ….. см. выше
5. Сертифицированные отечественные криптосредства
Здесь ситуация такая же, как и с сертифицированными СЗИ от НДС. Поскольку встроенной импортной криптографии мы не доверяем, мы везде встраиваем или накладываем свою сертифицированную отечественную криптографию, удорожая и замедляя системы и сети. Разработка криптосредств — лицензируемый вид деятельности, поэтому конкуренция здесь не велика, а цены неоправданно завышены.
6. СОИ в защищенном исполнении
Наша зависимость от импортной элементной базы проявляется и в том, что у нас востребованы СОИ «в защищенном исполнении». Например, в ПК можно установить плату доверенной загрузки, добавить мышь со считывателем отпечатков пальцев, предустановить сертифицированный антивирус, а также провести специсследования и спецпроверки системного блока и монитора. Вот и новый продукт получился под вашим собственным брендом.
7. Аттестация АС по требованиям ИБ
Аттестация по требованиям ИБ обязательна для гос. организаций и учреждений. Весь вопрос по каким требованиям она проводится. Эти требования были установлены 20 лет назад (в 1992 году) и, такое впечатление, что раз и навсегда:
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ
к программам
к томам, каталогам, файлам, записям, полям записей
1.2. Управление потоками информации
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему (узел сети)
выдачи печатных (графических) выходных документов
запуска (завершения) программ и процессов (заданий, задач)
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей
изменения полномочий субъектов доступа
создаваемых защищаемых объектов доступа
2.2. Учет носителей информации
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей
2.4. Сигнализация попыток нарушения защиты
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах
3.3. Использование аттестованных (сертифицированных) криптографических средств
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации
4.2. Физическая охрана средств вычислительной техники и носителей информации
4.3. Наличие администратора (службы) защиты информации в АС
4.4. Периодическое тестирование СЗИ НСД
4.5. Наличие средств восстановления СЗИ НСД
4.6. Использование сертифицированных средств защиты
Когда на представительной конференции по ИБ в Москве на секции облачной безопасности робко встал представитель Microsoft и выразил сомнение в том, что данных требований достаточно для обеспечения ИБ облачных сервисов и виртуальных платформ, авторитетные товарищи посмотрели на него как на чудака. Содержание их ответа было примерно следующим: «Безопасность — она и есть безопасность. Какая бы не была АС или платформа, требования то к ней применяются те же самые, что и к любому СОИ. В нормативных документах все основные требования уже сформулированы. Аттестуйтесь по этим требованиям и ничего не выдумывайте».
8. Сертификация СМИБ по ГОСТ Р от 30 т.р.
В России, в отличие от Запада, не склонны переоценивать значимость формальных процедур и стандартов. Если международная практика внедрения и сертификации СМИБ по требованиям ISO 27001 предполагает значительные затраты и средние сроки реализации проектов — 1.5-2 года, то у нас не принято так сильно с этим заморачиваться. В системах сертификации по ГОСТ Р дела обстоят значительно проще и дешевле по тарифу 30х30, что означает 30 дней и 30 т.р. и сертифицированная по ГОСТ Р СМИБ готова.
Феномен 9. Государственное регулирование и бюрократизация отрасли
Бюрократизация — это болезнь в той или иной степени свойственная любому обществу, устройство которого основано на насилии, т.е. любому современному государству. (Существуют духоборческие, толстовские и аналогичные им общины, в достаточной степени обособленные от государства. Религиозное сознание людей, живущих в таких сообществах, не допускает проявления насилия. И в таких общинах нет насилия и нет бюрократии, но это пока редкие исключения). Бюрократия не занимается производительным трудом на благо общества и не обеспечивает сама своей жизнедеятельности. Вместо этого, она берет на себя управленческие, законотворческие и распределительные функции. На практике это приносит значительно большую материальную выгоду, чем созидательный труд. Поэтому бюрократический класс разрастается, а нагрузка на население, задействованное в созидательном труде (производстве материальных, интеллектуальных и духовных ценностей) возрастает.
Деятельность бюрократа на практике сводится к следующим трем составляющим:
1) разговоры (обсуждения, совещания, выступления, дискуссии) о том, как улучшить жизнь общества (это официоз)
2) бумаготворчество и бумагообмен (Это материальная составляющая деятельности. На разговорах денег не заработаешь, если только это не концерт. Для формирования денежного потока и соответствующих бюрократических рабочих мест необходим бумагообмен)
3) распределение денежных средств и товарно-материальных ценностей, создаваемых трудящимися массами (это смысл деятельности)
Бюрократизация отрасли ИБ стартовала в начале девяностых годов выпуском первых руководящих документов Гостехкомиссии по защите от НСД к информации. Основой такой бюрократизации является распространение методов и подходов, используемых государственными органами для защиты государственной тайны, сначала на защиту государственных информационных ресурсов в целом (СТР-К в 1999 г.), а затем и на защиту вообще любой информации, включая персональные данные граждан (152-ФЗ в 2006 г.). К настоящему времени бюрократизация отрасли ИБ достигла впечатляющих масштабов. Образовалась надстройка над отраслью ИБ, превышающая размеры самой отрасли, в которой осуществляется формирование бумагооборота (нормативные документы, лицензии, сертификаты, аттестаты и сопутствующие им горы бумажной документации) и связанных с этим восходящих денежных потоков. Это означает, что преобладающая часть денег почти уже миллиардного (в долларах) российского рынка ИБ осваивается в этой бюрократической надстройке.
Проявляется бюрократизация возрастанием гос. регулирования, выпуском большого количества нормативных документов, устанавливающих новые требования по защите информации и ужесточающих существующие. Вокруг этих документов и требований формируется целая отрасль продуктов и услуг, контролирующих органов и общественных организаций. Нормативные требования по защите информации имеют следующие особенности:
- носят обязательный характер вне зависимости от особенностей организации, существующих рисков, потребностей бизнеса или граждан (вопрос применимости не рассматривается)
- устанавливаются «сверху» и не требуют технико-экономических обоснований
- не могут быть полностью реализованы в большинстве организаций и не связаны с бизнес-процессами
- носят слишком общий и неопределенный характер, оставляя вопрос об их трактовке на усмотрение контролирующего органа
- требуют обязательного формального подтверждения (обязательное условие для формирования бумагообмена и восходящего денежного потока)
Можно взять практически любое требование любого нормативного документа по защите информации и показать либо его абсурдность, либо его неприменимость к конкретным организациям, либо его необоснованность, либо доказать экономическую нецелесообразность и невозможность реализации данного требования. Это делается на многих сайтах, в статьях и блогах различными авторами. Если бы это были не обязательные требования, а рекомендации, подобные тем, которые содержаться в международных стандартах, то и проблемы бы для бизнеса не было. Прочитал, принял к сведению, взял что тебе нужно, интерпретировал применительно к конкретной ситуации, выразил благодарность авторам за систематизацию данной области знаний. С обязательными требованиями ситуация совершенно иная. Специалист понимает, что требование не обосновано, не проработано, противоречиво, не применимо, не целесообразно, не улучшает защищенности информационных активов и т.д., и по этим причинам не может быть реализовано на практике, но на бумаге надо показать, что требование выполняется. Тут и возникает бумагооборот, не связанный с реальной практикой и забирающий деньги с рынка ИБ.
Феномен 10. Защита сделок и борьба с конкуренцией
Механизм защиты сделок сейчас имеется практически у любого вендора. Данный механизм используется для того, чтобы стимулировать поставщиков СЗИ активно заниматься продажами продуктов данного вендора, т.е. общаться с клиентами, продвигать именно эти продукты, делать презентации, устраивать поощрительные мероприятия для клиента и т.д. Действительно, кому захочется тратиться на рекламу и пресейл, если в результате всех усилий по убеждению клиента в том, что он не сможет дальше жить без вашего продукта, клиент, в конечном счете, приобретет продукт не у вас, а у кого-нибудь из сотни других поставщиков, в зависимости от того, кто больше скинет или больше откатит. Поэтому как только продавцу становятся известны координаты потенциального клиента, имеющего интерес к продукту, продавец сражу же регистрирует данного клиента у вендора. В дальнейшем, когда клиент соберется приобретать продукт, вендор будет создавать преференции для того продавца, за которым данный клиент зарегистрирован. Преференции эти выражаются в том, что другим поставщикам либо вообще не дадут скидки на данную поставку, либо эта скидка будет мизерной, либо вендор вообще может отказаться продавать поставщику продукт для передачи данному клиенту, который ранее был зарегистрирован за другим поставщиком.
На практике, с учетом неразвитости российского антимонопольного законодательства, а также отсутствия контроля со стороны ФАС такого «незначительного» рынка, как рынок ИБ, механизм защиты сделок срабатывает следующим образом:
Правило 1. Все заказчики уже за кем-то закреплены
Правило 2. Все заказчики получают продукт с минимальной скидкой и/или максимальным откатом
Правило 3. Не имеет смысла участвовать в тендере или аукционе на поставку СЗИ, который ты сам не подготовил и не согласовал с вендором
Феномен 11. Государственные закупки продуктов и услуг в области защиты информации, 94-ФЗ и электронные торги
Электронные торги по закупке СЗИ гос. заказчиками (а также открытые и закрытые тендеры по закупке СЗИ коммерческими организациями) проводятся чисто формально, поскольку все клиенты, хотя могут и не подозревать об этом, уже зарегистрированы у вендора за конкретным поставщиком. Даже если предположить, что идея закупки продукта рождается у заказчика спонтанно и он сразу же объявляет аукцион, то и в этом случае, клиент будет зарегистрирован за тем поставщиком, который первый узнает об аукционе и дозвонится до вендора. У остальных поставщиков шансов получить прибыль от сделки не будет. А заказчик получит продукт не по минимальной, а по максимально возможной цене.
94-ФЗ о гос. закупках в данном случае по другому работать и не может. Клиент уже выбрал вполне определенное СЗИ и объявляет по нему открытый аукцион — кто дешевле продаст. Очевидно, что в этом случае цена будет стремиться к той входящей цене, которую вендор дает поставщикам и аукцион выиграет тот поставщик у кого эта цена ниже (больше скидка от вендора), либо (если вендор предоставляет всем поставщикам одинаковую скидку) тот, кто демпингует и будет согласен продать без прибыли (в этом случае маржа стремится к нулю). При таком раскладе реальный аукцион и не может состоятся.
Аукцион — это кто больше даст за мой товар (вспомним классический аукцион в 12 стульях), а не кто дешевле мне его продаст (представьте себе если бы Остап выбирал на аукционе, кто из продавцов дешевле продаст ему один из 12 идентичных стульев). На таком аукционе никакой конкуренции быть не может. Через какого поставщика пойдет поставка и по какой цене — будет решать вендор (реальный обладатель всех 12 идентичных стульев). Другими словами эффект 94-ФЗ прямо противоположен декларируемому.
Электронные аукционы не работают не только при поставке СЗИ, но при поставке услуг в области защиты информации. Например, объявляется аукцион на выполнение комплекса работ по защите персональных данных. На электронной площадке регистрируются штук 20 компаний, из которых 18 никакого отношения к защите персональных данных никогда не имели. Но в аукционе учитывается только цена и формальные требования к поставщикам по наличию лицензии ФСТЭК. В результате аукцион выигрывает компания из региона, которая никогда раньше не имела отношения к защите информации и ПДн, предложившая цену в 50 т.р. за работы, включающие в себя обследование и классификацию ИСПДн и процессов обработки ПДн, моделирование угроз, анализ защищенности, разработку ТЗ на создание СЗПДн, техническое проектирование СЗПДн, разработку всего комплекса ОРД по обработке и защите ПДн и т.д. Очевидно, что цена контракта в данном случае едва ли может покрыть командировочные расходы данной компании, если бы работы реально проводились. И столь же очевидно, что никакие работы проводиться не будут (все останется на бумаге), а также то, что реальная защита ПДн и соблюдение прав субъектов ПДн ни заказчика ни исполнителя не интересуют.
Кроме этого, электронные торги, в отличие от традиционных способов закупки продуктов и услуг, предоставляют дополнительные уникальные возможности для недобросовестной конкуренции. Лишних участников за 5-10 минут до окончания торгов просто отключают от электронной площадки посредством DoS-атаки. Очень эффективно и недорого. Могу предположить, что раскрываемость таких дел нулевая.
Comments (4)
Посетитель 05-04-2013 05:24
у каждого своя точка зрения
Трудно согласиться, в основном от вольного — ничем не подтвержденная информация.
Практически с каждым утверждением я готов поспорить!
Да что говорить, банально, вот это вы откуда взяли: Нормативные требования по защите информации имеют следующие особенности: •носят обязательный характер вне зависимости от особенностей организации, существующих рисков, потребностей бизнеса или граждан (вопрос применимости не рассматривается)
При этом приводится в пример СРК-К. Автор, вы ГОСТ и СТР-К не поняли, если заявляете такое.
Александр Астахов 08-04-2013 11:59
у каждого своя точка зрения
Спорьте, конечно. Тема весьма дискуссионная. Только спорьте с аргументами. Вы не согласны с тем, что требования СТР-К обязательно применять в гос. организациях при защите конфиденциальной информации? Или что понятие риска ИБ в нормативных документах даже не упомянается? или с тем, что официальной методики оценки ущерба субъектам ПДн не существует, но существуют обязательные для операторов требования по предотвращению такого ущерба? и при чем здесь ГОСТ, если мы говорим о нормативных требованиях?
Посетитель 20-04-2013 04:52
О зрении и точках
Автор обладает гражданской смелостью и свободным оригинальным мышлением, что становиться большой редкостью. Выскажу свои соображения, их немного.
1. «документов Гостехкомиссии»
Документы были не очень прямо скажем хорошие, но время их выпуска было такое же. Государство как могло защищало «свою» информацию. Вроде как успешно.
2. »152-ФЗ»
Нет большого секрета в том, почему возник этот документ — требования государств-партнеров (кстати, по аналогии возникли требования по запрету курения — в стране, в отдельных регионах которой курит 65% мужского населения и примерно по 35% женщин и молодежи, я имею ввиду, что этот запрет, это подписать себе приговор, но так хочет ООН и ВОЗ).
«либо доказать экономическую нецелесообразность»
Есть еще Государственная целесообразность, например в том, чтобы рос рынок ИБ и отчислялись налоги.
«Защита сделок и борьба с конкуренцией», «Государственные закупки»
Если конкурс объявляется на конкретный продукт (кроме поддержки, обновления, лицензий), то это уже не правильно. Нормальный конкурс проводиться по желаемым характеристикам, причем если они уникальны, то это предмет интереса (для коммерческих структур — сл.эконом.безопасности, для крупных гос.-соотв.гос.стуктур, мелкие гос.структуры выпадают, но контролируются общественностью).
Чтобы что-то изменилось, Вы можете высказать свои пожелания на:
— сайте общественного обсуждения законодательства (в разделе 94-ФЗ) http://zakonoproekt2012.ru
— на сайте электронных торгов
— направить протест в конкурсную комиссию
— обратиться в арбитражный суд
— написать в РосПил
Александр Астахов 21-04-2013 09:36
чтобы что-то изменилось
Чтобы жизнь изменялась не как-нибудь, а к лучшему, от каждого члена общества требуется всего три простых вещи: не быть дармоедом (т.е. стараться отдавать обществу больше, чем ты от него берешь), не врать и не воровать. Не буду отрицать возможной полезности приведенных вами примеров гражданского самовыражения, но по большому счету, это не более чем возня, направленная на отстаивание интересов одних членов общества против других.