На днях СМИ сообщили, что представители российских кредитных организаций отрицательно отнеслись к новым требованиям ЦБ, согласно которым они обязаны передавать информацию об использовании VPN в Роскомнадзор по незащищённому каналу — электронной почте.
Директор по продуктам компании «Гарда Технологии» Павел Кузнецов считает, что специализированные защищённые каналы, конечно, лучше подходят для таких целей, но не следует абсолютизировать принцип security through obscurity.
«Безусловно, специализированные защищённые каналы связи для обмена информацией подходят для раскрытия данных о применяемых в инфраструктуре технических решениях лучше, нежели электронная почта. Однако же не стоит забывать, что принцип security through obscurity (англ. «безопасность посредством неясности»), предполагающий сокрытие от внешнего мира состава технического решения в целях усложнения задачи взлома атакующему, подвергается жёсткой и конструктивной критике уже десятки лет», — говорит эксперт.
По его словам, в одном из фундаментальных направлений информационной безопасности — в криптографии — специалисты давно пришли к консенсусу, что надёжность шифра обеспечивается как базис непосредственно его криптостойкостью, а не искусственным усложнением системы использования или сокрытием отдельных её элементов.
«Поэтому беспокоиться следует скорее о безопасности используемых решений, нежели о том, что сам факт их использования станет известен широкой публике, включая потенциальных злоумышленников», — считает Кузнецов.
.png)