Российские феномены информационной безопасности
"Умом Россию не понять, аршином общим не измерить", - сказал поэт Тютчев в 19 веке, а в 21 веке нынешний Президент страны Путин процитировал эти строчки французскому экс-президенту Шираку. Россия, мягко говоря, не совсем обычная страна, с самой большой территорией и самой низкой плотностью населения, культура и идеология - симбиоз противоположных друг другу восточных и западных взглядов на жизнь, и в мировой истории Россия занимает свое особенное место. Не удивительно, что российский бизнес информационной безопасности также весьма самобытен. Не берусь утверждать, что излагаемых ниже "инновационных" подходов не применяется нигде в мире, но в совокупности они представляют собой именно те российские феномены, которые не подвластны разумению как восточников, так и западников.
1. Клонирование мейнфреймов IBM System 360
Массовое промышленное производство компьютеров в СССР началось в начале 70-х годов с клонирования мейнфреймов IBM System 360, а затем и ПК этой же фирмы. Клонирование осуществлялось и на программном и на аппаратном уровне без всяких лицензий и патентов. Все добывалось, разбиралось, дисасемблировалось и собиралось вновь на наших заводах. Советские клоны назывались ЕС ЭВМ. Мы работали на этих монстрах в начале девяностых и последний из них назывался EC 1220. После него в 1995 году производство клонов было свернуто. Как то в машинный зал, где это все стояло, забрел американец и увидев консоль ОС EC, заявил "Так это же наша OS/360" и в подтверждение своих слов ввел какую-то команду. На сером экране зелеными буквами действительно высветилось OS/360 ....
Производство клонов умерло в связи с бурным революционным развитием вычислительной техники. Клоны стали резко отставать от оригиналов, производство которых непрерывно совершенствовалось. Клонирование обходилось все дороже. Ужесточились меры со стороны американцев по охране своей интеллектуальной собственности. В конце концов, с развалом СССР закончилась холодная война и открыто тырить чужие "ноу-хау" стало как-то неловко, ведь это только на войне все методы хороши.
С тех пор вся аппаратная и программная база российских АС - продукты импортного производства. Сетью Интернет тоже управляют американцы (корневые DNS серверы находятся в США). Наша национальная ИТ-инфраструктура практически полностью зависима от иностранных компаний. Как в таких условиях обеспечить национальную информационную безопасность? Крупные американские производители (Microsoft, Intel, IBM, Google, Apple, Cisco и др.), любой из них, теоретически могут выпустить патч или активизировать закладки в своих продуктах, которые единовременно вырубят подавляющее большинство компьютеров и сетей. Наши прославленные хакеры со своим кибероружием ничем не смогут помочь, т.к. они все тоже работают на импортной технике и на импортных ОС. Это угроза национального масштаба, хотя и смутно, но осознаваемая власть придержащими. Способы противодействия, такие как создание логически и физически изолированных сегментов "национальной" сети, специсследования и спецпроверки оборудования, сертификация ПО на НДВ, разработка "национальной ОС", замещение некоторого импортного ПО и СЗИ отечественными аналогами и т.д. данной проблемы не решают, хотя и снижают риск.
Положительным моментом можно считать то, что, во-первых, у любого из иностранных производителей будет возможность реализовать угрозу с масштабной активизацией своей закладки, скорее всего, только один раз. Это побуждает беречь данную возможность, как атомную бомбу, только на самый крайний случай. Во-вторых, уязвимости ПО обнаруживаются независимыми исследователями постоянно. Часть этих уязвимостей - ошибки программирования, но есть среди них и умышленно внесенные "ошибки" и закладные элементы. Хакеры и спецслужбы многих стран пытаются использовать эти находки в своих интересах, однако эффекта атомной бомбы пока никому добиться не удалось, хотя и приблизились. Широкомасштабное воздействие на ИТ-инфраструктуру целой страны реализовать крайне сложно с организационной точки зрения. Это не проще, чем спланировать наземную военную операцию. В-третьих, все стороны не могут не осознавать, что закладки, также как и бомба, могут сработать против них самих.
2. Особый класс российского ПО - "СЗИ от НСД"
Самым востребованным продуктом в области защиты информации в России является не антивирус и не МЭ, а так называемые СЗИ от НСД. Такие СЗИ, выпускаемые многими российскими разработчиками, наверное, применяются только в России и применяются они не для защиты информации, а для выполнения требований регуляторов по защите информации, что ни одно и то же. Назначение СЗИ от НСД заключается, в основном, в дублировании встроенных в ОС базовых механизмов безопасности, таких как аутентификация, управление доступом, контроль целостности системных файлов, регистрация событий, очистка областей оперативной памяти и др. Разработка подобных СЗИ началась (и была тогда оправдана) еще в эпоху MS DOS, когда ОС не содержала практически никаких механизмов ИБ, а все приложения выполнялись в общем адресном пространстве и мешали друг другу. С тех пор ОС повзрослели, стали многократно более надежными и защищенными, вобрали в себя все современные механизмы безопасности, включая криптографию и антивирусы, а отечественные СЗИ от НСД странным образом продолжили свое существование поверх данных защищенных ОС, дублируя их функции.
Конечно, каждый разработчик СЗИ от НСД сможет назвать вам несколько "особых" функций безопасности, которые в ОС не реализованы, но суть вопроса это не меняет, т.к. на 90% функции ОС дублируются, а смысл приобретения СЗИ от НСД заключается не в тех 10% доп. опций (которые намного эффективнее реализуются специализированными продуктами класса EndPoint Security), а в приобретении сертификата соответствия требованиям регуляторов. Это называется "формально закрыть требования" при помощи сертифицированных СЗИ. В основе данной практики, не имеющей на первый взгляд разумного объяснения, лежит все то же ощущение зависимости от западной элементной базы и недоверие к импортным ОС, которые могут содержать закладки. (Хотя конечно проблема закладок в ОС никак не решается использованием СЗИ от НСД, работающих поверх этих ОС, но это понимают только те, кто выполняет требования, а не те, кто их пишет).
3. Феномен сертифицированных СЗИ
Основными вопросами ИБ в России являются вопросы, во-первых не имеющие прямого отношения к обеспечению безопасности, а во-вторых не имеющие прямого ответа. Вопросы эти следующие:
- обязательно ли использовать сертифицированные СЗИ?
- кому обязательно использовать сертифицированные СЗИ?
- все ли СЗИ должны быть сертифицированы?
- как сертифицировать все СЗИ?
- как использовать сертифицированные СЗИ не нарушая работу системы?
- что считать СЗИ?
- как сертифицировать не все СЗИ?
- на соответствие каким требованиям сертифицировать СЗИ?
- и т.д.
4. Как быстро и недорого выпустить собственный продукт для обеспечения ИБ?
- берем набор open source сканеров безопасности, делаем русскоязычный веб-интерфейс для их запуска, заливаем на импортный ноутбук, все это сертифицируем и называем как нибудь этак: "рабочее место аудитора ИБ"
- берем open source антивирус, руссифицируем, сертифицируем производство и производим собственный антивирус под своей торговой маркой (GPL лицензия это делать позволяет)
- берем файервольный тулкит, пишем несколько прокси и оболочку на русском языке, сертифицируем по высшему классу, (опционально) устанавливаем на сертифицированную железку, получаем отечественный МЭ
- берем дистрибутив linux, ......
- берем любой open source продукт, ..... см. выше