Информационная безопасность. Остановиться, оглянуться…

BIS Journal №2(37)/2020

13 мая, 2020

Информационная безопасность. Остановиться, оглянуться…

Вглядимся в прошлое, чтобы разглядеть Будущее.

Наступает новое десятилетие – двадцатые годы XXI века. Cмутные очертания будущего частично проглядывают, частично угадываются. Каким оно будет? Какие новости преподнесёт нам стремительно ускоряющийся научно-технический прогресс на фоне разворачивающихся в мире событий, какие новые проблемы, задачи, трудности, успехи и разочарования придётся нам пережить? Какие цели сформулировать и поставить перед собой, как их достичь и можно ли их будет достичь?

Контуры будущего сейчас в деталях рассмотреть невозможно, но уже вполне различимы общие тренды. И некоторые вещи выглядят, скажем мягко, недружественными.

Вполне очевидна перспектива утраты нами того самого «прайвеси», ради чего поднималась и разрабатывалась проблема персональных данных. С одной стороны, понятно наше желание ограничить круг собираемых данных о нас, с другой – становится очевидным, что без массового сбора и обработки ПД государство не в состоянии справляться с вызовами преступности, терроризма, а сейчас и массовых заболеваний.

При нынешнем качестве образования и поголовном использовании с пелёнок современных «гаджетов» - впереди массовое переформатирование сознания и мышления, вместе с деградацией у новых поколений способности к длительному целенаправленному восприятию и анализу информации. Следствие этого - потеря квалифицированных кадров, утрата гуманитарных завоеваний, изменение и деградация общественного и индивидуального сознания.

Непонятно, куда нас заведёт «цифровая» гонка. Не потеряем ли мы реальную экономику, которая является фундаментом жизни?

Очевиден растущий разрыв между внедряемыми всё в возрастающей степени на бизнес-уровне прикладными технологиями и обеспечением их безопасности. И так далее.   

Всё это означает, что, решая задачу развития проблематики информационной безопасности, просто жизненно необходимо понимать, что мы делаем, иметь ясную, понятную стратегию действий и активно её реализовывать, настойчиво «формировать будущее» в благоприятном для нас направлении, иначе это будущее будет сформировано кем-то другим и не в наших интересах.

 

НАЗАД В БУДУЩЕЕ

Весьма полезно, для примера, взглянуть на методологию, используемую военной наукой, которая предполагает постоянное изучение опыта прошлых войн одновременно с активным поиском тактики и стратегии в условиях ускоряющегося научно-технического прогресса. При появлении новых видов оружия такая методология часто приводит к качественному изменению тактики ведения боевых действий.

Очевидно, что тут крайне важна роль опережающих исследований на стратегическом уровне, чем занимается, например, Управление перспективных исследовательских проектов Министерства обороны США DARPA.  

Попробуем и мы использовать старый и надёжный приём – вспомнить, понять и оценить прошлое, а через него - будущее. Вспомнить те мотивы, которые двигали нами, цели, которые мы ставили, и беспристрастно оценить результаты, которых мы достигли.

К тому же приближается ещё один славный юбилей - тридцатилетие начала работ по проблематике информационной безопасности в том её понимании, которое доминирует сегодня в нашем профессиональном сообществе.

 

1980-90-Е ГОДЫ

Итак.

90-е годы, если рассматривать их через призму информатизации информационной безопасности и права, выглядят совершенно не в негативном свете, не так, как мы привыкли рассматривать их в экономической, социальной и политической сферах. В зарождавшейся сфере информационной безопасности они были поступательными и крайне позитивными.

Во всём мире, включая нашу страну, в 80-е и 90-е годы шёл масштабный процесс внедрения «цифры» в практические сферы деятельности общества, включая науку, военное дело, промышленность, финансовую сферу. Коротко обозначим вехи: суперкомпьютеры, СУБД, всевозможные АСУ, персональные ЭВМ, Интернет, электронные платёжные и расчётные системы, кредитные карты, гражданская криптография+электронная цифровая подпись, система SWIFT.

Так совпало, что в это время в нашей стране происходила смена парадигмы государственного регулирования: осуществлялся переход от административно-командных способов управления к правовым, базирующимся на верховенстве закона. В экономике стала доминировать концепция рыночного саморегулирования. При этом выбраны были не лучшие модели управления, а накопленный ранее опыт оказался невостребованным и был проигнорирован. В результате были утрачены в том числе целые отрасли промышленности, например, станкостроение и электронная промышленность, разрушена система стандартизации. Государственные стандарты утратили статус закона, что несомненно было существенным шагом назад, в архаику и дикие рыночные отношения. Как-то незаметно и тихо ушли корифеи, у которых мы учились.

 

В НАШЕЙ ПРОФЕССИОНАЛЬНОЙ СФЕРЕ

А что происходило в нашей профессиональной сфере? Вопросы информационной безопасности (тогда защиты информации АСУ, ЭВМ и ТСПИ) носили сугубо прикладной, закрытый характер и фактически были недоступны широкому кругу специалистов. Но работы велись, и они были адекватны реалиям. Приоритет отдавался вопросам защиты от утечки информации по радиотехническим каналам. Проблематика защиты от несанкционированного доступа была проработана недостаточно. Что касается моделирования угроз, то этот подход был в зачаточном состоянии, а такой класс нарушителей, как внутренний, тем более инсайдер, практически вообще не рассматривался в нашей стране, и что интересно – за рубежом тоже.  

Именно в это время появилось само понятие «информационная безопасность», в которое разными специалистами вкладывался разный смысл: технические специалисты считали его родственным ранее возникшему понятию «защита информации» и определяли его как «деятельность», в отличие от «состояния».

Вторая группа специалистов рассматривала это понятие более широко, ставя во главу угла социально-политические и психологические аспекты существования и развития государства и общества. Собственно, это противопоставление существует и до сих пор, хотя в последнее время среди технических специалистов всё шире начинает использоваться понятие «кибербезопасность», которое ограничивает сферу рассмотрения и более точно отображает сущность феномена, с которым мы имеем дело.

 

ПРО ТУЛЬСКОГО ЛЕВШУ

Компьютерной преступности, то есть собственно основного противника, в стране практически не существовало (пожалуй, за исключением единичного случая махинации с платёжными базами данных в ВЭБ в начале 1980-х годов), поэтому специалисты в области защиты информации, формулируя концепции развития и планы работ, были вынуждены пользоваться либо моделированием будущих угроз, либо примерами из зарубежных источников, к чему руководство министерств и ведомств, от которых зависело принятие решений, относилось с серьёзной долей скепсиса.

Но тем не менее, мы получили гигантскую фору и могли самым серьёзным образом подготовиться к будущему.

Впрочем, плохое прогнозирование, реагирование на негативный результат только тогда, когда отклонение от желаемого становится заметным и раздражающим (в теории автоматического управления этот метод «управления по отклонениям» классифицирован как как самый простой и неэффективный) - наша национальная забава. Вспомним знаменитого тульского Левшу, за много лет до Крымской войны кричавшего о серьёзном отставании России в создании современного нарезного огнестрельного оружия. Смотрели на него как на чудака. Да кому он был нужен, зануда – в результате его на всякий случай споили.  Ну, он и умер от белой горячки. А ведь неправильное конструирование угроз стало одной из причин, если не поражения, то крайне высоких потерь Русской армии в Крымской компании в середине XIX века.

В конце ХХ века созданная в стране по отраслевому принципу система защиты информации начала умирать вместе с отраслями промышленности, в первую очередь, из-за недостатка финансирования, пока не умерла вместе с ними в начале 90-х годов. В результате катастрофически сжалась научно-методологическая база. В созданных на месте почивших министерств бизнес-корпорациях эта тема должного развития не получила. Как следствие страну стала накрывать волна зарубежных стандартов и последовавших за ними продуктов и решений, прежде всего в IT- сфере, а потом и в безопасности. Собственно, сильнейшая зависимость от импорта не преодолена до сих пор.

 

ПЕРЕКОС В ДОКТРИНЕ

В этих условиях, усилиями специалистов и руководителей Гостехкомиссии СССР (России), Совета Безопасности России, КГБ СССР (МГБ, ФАПСИ, а впоследствии ФСБ России) были разработаны первые документы, регламентирующие вопросы защиты информации от несанкционированного доступа, а также, с участием специалистов Академии наук, сформированы первые концептуальные взгляды на направления развития проблематики информационной безопасности, впоследствии нашедшие своё отражение в первой Доктрине информационной безопасности Российской Федерации, утверждённой Президентом Российской Федерации 9 сентября 2000 г. (N Пр-1895).

В этой Доктрине были сформулированы национальные интересы Российской Федерации в информационной сфере, а под информационной безопасностью понималось состояние защищённости и баланс интересов личности, общества и государства, что в определённой степени перекосило понимание и развитие проблематики информационной безопасности.

 

НЕОПТИМАЛЬНАЯ КОНСТРУКЦИЯ

Законодательства в области информатизации и информационной безопасности в начале 90-х годов не было вообще. Но складывающаяся обстановка диктовала необходимость быстрого создания основополагающих законов, регулирующих отрасль информационной безопасности.

В результате удалось сформировать стратегию действий, заложить и в целом реализовать приоритетные направления работ, что и определило на длительный срок направления развития проблематики информационной безопасности.

К ним относятся:

Создание Государственной системы защиты информации.

Развитие законодательства в области:

  • информатизации, информационной безопасности и защиты информации;
  • административного законодательства и уголовного права в части установления ответственности за совершение компьютерных преступлений;
  • персональных данных;
  • использования электронной цифровой подписи.

Развитие необходимой нормативной базы по технической защите, с последующим выходом на систему стандартизации.

Развитие государственной системы лицензирования, аттестации и сертификации.

Создание системы подготовки кадров в области информационной безопасности.

Следует отметить, что традиционно регулированием вопросов, связанных с проблематикой информационной безопасности, у нас занимались два известных ведомства, строго соблюдая баланс интересов друг друга.

Известно также из теории и практики управления, что система управления, имеющая два центра управления, – конструкция не оптимальная и требует наличия арбитра (суверена), коим во времена СССР являлись ВПК при СМ СССР и по отдельным вопросам - ЦК КПСС. Эта схема была вполне работоспособной и эффективной. В новые времена все попытки реформировать систему безопасности государства оказались неудачными и снова привели к прежней конструкции, только место арбитра занял совещательный орган - СБ РФ.

 

ПРОМЕЖУТОЧНЫЕ ИТОГИ

Каковы итоги этой деятельности? Многое удалось сделать.

Создана Государственная система защиты информации.

Однако приоритеты системы оказались сдвинуты в сторону обеспечения интересов государства. Да по-другому и не могло быть.

Сдвиг приоритетов привёл к необходимости создания сильных отраслевых систем безопасности (ЦБ РФ), ориентированных на иные модели угроз и на решение практических задач, возникающих в банковском бизнесе. Одновременно началась дефрагментация системы управления, в результате чего число регуляторов по направлениям работ достигло пяти (вместе с Минюстом, утверждающим проекты НПА - шести), и это, не считая традиционно стоящих особняком отраслевых систем безопасности силовиков.

Последствия такого подхода просто бросаются в глаза – управление по сложившейся схеме, при слабой вертикали управления, через нормативное регулирование, становится всё более сложным, запутанным, управленческий цикл (от возникновения проблемы до появления нормативного акта) растягивается на годы, вызывая отставание от реальных потребностей. Возник и совершенствуется новый казуистический юридический язык, которым излагаются документы по информационной безопасности. В сообществе специалистов по безопасности появился новый термин – «бумажная безопасность». А на практике, между «бумажной» и практической, реальной безопасностью бывает очень большой разрыв, в который и пролезает преступность.

Хрестоматийный пример подобной практики регулирования – сначала аккредитация 500 удостоверяющих центров в России, потом осознание полной потери управления и контроля за их деятельностью и попытки резкого сокращения их числа. В результате резать уже придётся по живому.

 

В период с 1994 года (выход I части ГК РФ) по 2006 год (ФЗ «О персональных данных») сформирована в первом приближении необходимая законодательная база.

В более поздние времена шло интенсивное внесение изменений в ранее упомянутые ФЗ и Кодексы, а также был принят ФЗ «О безопасности КИИ РФ». Вместе с тем, нельзя считать этот процесс завершённым, так как ещё не нашли своего практического решения вопросы архивного хранения электронных документов и оборота юридически значимых электронных документов, присутствуют целые терминологические ямы, не покрытые НПА.

Возникло новое направление «цифровое право», в котором, правда, ученых-юристов гораздо меньше, чем IT-шников, а следовательно и правового осмысления происходящего. Но всё уже было, как говорил мудрый Екклесиаст. И проходило. Достаточно вспомнить императора Клавдия, который после того, как преданные подданные накормили его блюдом из бледных поганок, тут же написал Указ о том, чтобы эти грибы всегда подавали к царскому столу. И умер в муках. Вывод простой - не всегда следует сразу заниматься законотворчеством, особенно в неизвестном деле. Нужно помнить историю. Без этого двигаться вперёд, конечно, можно, но результат будет далеко не тот, на который мы рассчитываем.

 

В целом сформирована необходимая нормативная база по технической защите и стандартизации, определены регламенты и процедуры разработки и приёмки в эксплуатацию систем информационной безопасности.

Работы по совершенствованию нормативной базы ведутся с нарастающей интенсивностью.

Однако, есть вопросы к методикам оценки защищённости системы, иногда сливающихся с весьма древними методиками аттестации объекта. На этом фоне наиболее продвинутыми выглядят взаимоувязанные ГОСТЫ (57580.1 и 57580.2), разработанные Банком России, однако они распространяются только на финансовую сферу и только начинают применяться.

К сожалению, на фоне практически полной обеспеченности нормативными требованиями, остаётся невнятной ситуация со стандартизацией. Законодательный, то есть обязательный к исполнению, статус стандартов отменён вместе с распадом СССР. С этих пор стандарты приобрели статус рекомендательных, то есть необязательных к исполнению документов. Процедура придания им обязательности через включение ссылок на них в НПА организации вызывала жёсткое сопротивление юридических служб на всех уровнях. Это надолго остановило процесс использования стандартов в сфере информационной безопасности.

Потребовалось разработать и утвердить в июне 2015 года ФЗ "О стандартизации в Российской Федерации", чтобы на основании ст. 27 этого Закона стало возможным включение в НПА ссылок на национальные стандарты и (или) информационно-технические справочники (однако только в том случае, если Правительство Российской Федерации, заинтересованные федеральные органы исполнительной власти, Государственная корпорация по атомной энергии "Росатом", иные заинтересованные государственные корпорации уполномочены на установление соответствующих требований). Чтобы решить эту проблему ЦБ РФ потребовалось включить в Закон о ЦБ отдельную статью, предоставляющую ему такое право.

То есть мы видим, что при соблюдении принципа добровольности применения стандартов реализуется не общее, а избирательное предоставление такой возможности отдельным ФОИВ (только через внесение изменений в права органа, как правило определёнными Законом). Процесс внесения поправок в ФЗ сложён и неоднозначен, а уж времени занимает - годы! Это не работа, это бюрократия в чистом виде.

В результате, в России вроде есть основные аутентичные международным стандарты, но нет правил, по которым ими можно пользоваться (не приняты и не введены системы оценки по этим стандартам, результаты оценок официально не признаются, сами оценки делаются по нормативным документам Банка России, ФСБ и ФСТЭК). При этом все банки, параллельно с реализацией отечественных требований по безопасности, проводят оценки по стандартам PCI DSS, отчитываются по ним перед уважаемой международной организацией PCI Security Standards Council со штаб-квартирой в г. Нью-Йорке.

По факту в стране действуют две как бы не замечающих друг друга системы регулирования в банковской сфере. Список можно продолжить и расширить.

 

Анализируя эффективность функционирования Государственной системы лицензирования, аттестации и сертификации, следует отметить, что огромными усилиями регуляторов в лице ФСБ и ФСТЭК несомненно достигнут положительный результат, что позволило не потерять управление отраслью. Ну, а слабости системы известны и заслуживают отдельного анализа.

 

Что касается системы подготовки кадров, то формально вроде она действует, десятки, если не сотни ВУЗов готовят специалистов по утверждённым образовательным программам и специальностям.

При ежегодном выпуске сотен дипломированных специалистов по информационной безопасности на рынке ощущается всё больший дефицит кадров. Специалистов, знающих современные продукты и имеющих практический опыт работы, становится всё меньше. Очевиден перекос в сторону формального знания, все готовы быть аудиторами и контролёрами, а на практике ощущается острый дефицит по техническим специальностям, не хватает программистов, инженеров, архитекторов, аналитиков, способных работать на рабочих местах операторов SOC и SIEM. Молодых специалистов приходится доучивать на рабочем месте, и при этом практически сразу терять, потому что они, немного освоившись в жизни и профессии, находят работу с более высокими окладами и уходят. Небольшие и средние коммерческие фирмы не заинтересованы в таком исходе. Отсюда и дефицит. Что-то в этой системе не так.

 

А ТЕМ ВРЕМЕНЕМ…

Радикально выросла и изменилась за прошедшие годы компьютерная преступность. Соответственно состав и содержание угроз и рисков, составляющий основу модели нарушителей и угроз, претерпели существенные изменения. В целом с начала 2000-х мы наблюдаем возникновение новых форм, общее развитие, консолидацию и взлёт уровня технической подготовки киберпреступности.

Изменяются источники угроз. В качестве таковых для систем бизнес-уровня нам теперь приходится рассматривать не только криминальную среду, многократно нарастившую силу и квалификацию за счёт похищенных средств, но и соответствующие правительственные структуры ведущих государств, а это совершенно иная квалификация и возможности.

Приобрёл особую актуальность фактор «инсайдера», доля которого, по некоторым источникам, доходит уже чуть не до 90% в общем объёме киберпреступлений.

Да и сами информационные системы усложнились настолько, что уследить за их настройками и администрированием становится всё более сложно. Это привело к созданию новой идеологии управления безопасностью – с использованием SOC и SIEM. Субъекты защиты тратят значительные средства на их приобретение и внедрение с учётом дефицита специалистов. Однако пока незаметно, что стало легче.

 

ПО-ПРЕЖНЕМУ…

По-прежнему вопрос практической реализации требований безопасности и выполнения норм ФЗ находятся под вопросом. Рекомендательные механизмы действуют плохо, механизмы принуждения к исполнению требований толком не работают. Ответственность за некачественное исполнение требований по безопасности должным образом не определена.

Механизмы ответственности за искажение или сокрытие информации об инцидентах не установлены. А их много, достаточно вспомнить о частых отказах платёжных сервисов наших крупнейших банков.

 

КАК ОЦЕНИВАТЬ?

Задаюсь ещё одним вопросом. Эффективность работы системы должна быть оценена. А каковы критерии оценки состояния информационной безопасности? Что используется в качестве показателей, метрик и индикаторов эффективности? Какова методика измерений и расчёта? Насколько она публична и доступна обществу. Вопрос не простой.

Паспортом национальной программы «Цифровая экономика Российской Федерации» установлен единственный целевой показатель эффективности системы информационной безопасности: средний срок простоя ГИС в результате компьютерных атак (раздел 2, п.2.5).

Но по этому частному показателю невозможно оценить уровень информационной безопасности в целом. Очевиден перекос в приоритетах, о чём уже было сказано. Не оценивается ни объём преступных действий, ни хищений денежных средств у граждан, ни потери и хищения информации, в том числе ПД, ни простои платёжных систем, негативно влияющие на деловую активность того самого малого бизнеса, ни соответствие негосударственных систем требованиям по безопасности.

Не заданы и не описаны ни соответствующие индикаторы, ни критерии. Таким образом, оценить уровень информационной безопасности ни в общем, ни в частном случае невозможно.

А как же тогда квалифицировать крупнейший прокол системы защиты в последние несколько лет - поголовное хищение баз данных из банков и операторов сотовой связи? Ведь похищенные базы данных, содержащие весьма значительные объёмы сведений о нас (персональные данные, кстати) стали источником ценной и точной информации для мошенников, в массовом порядке начавших обманывать граждан и совершать хищения денежных средств у них и юридических лиц с применением методов социальной инженерии. Рост объёма хищений составил за 2 года свыше 30%. А до этого были АРТ-атаки. А до этого вирусы. А до этого хакеры. И т.д.

Пока дела у нас в целом выглядят довольно неплохо и обращать внимание на истерики в стиле «Шеф, всё пропало» не нужно и вредно, система защиты борется, но постепенно ситуация становится более тревожной.

 

ВЫВОД

Вывод напрашивается сам собой.

Времена изменились, назрела проблема системного порядка, её нужно решать. Киберпреступность – вещь гибкая, подвижная и агрессивная.

Мировое окружение тоже не сахар. Почти у всех окружающих нас стран есть и действуют кибервойска.

Новые информационные технологии меняют подходы к работе и изменяют сознание и психологию людей.

Противостояние этим угрозам – задача сложная и требует адекватной модификации системы защиты. А лучше – работа на опережение. Иначе нельзя.

На классический вопрос «Что делать?» постараемся ответить в следующей статье.

 

BIS-комментарии к статье от Алексея Лукацкого – «Верхи не могут, а низы не хотят» и Карла Сумманена – «Главная проблема – отсутствие в стране единого института, ответственного за развитие системы ИБ в целом»

Смотрите также