2 июня, 2010, BIS Journal №1(1)/2011

Перековать «слабое звено»


Сычев Артём

Заместитель директора Департамента безопасности, начальник Управления информационной безопасности (ОАО «Россельхозбанк»)

Новый порядок ввоза на территорию Таможенного союза шифровальных (криптографических) средств снижает надёжность информационной защиты банковской системы

Отдельные недостаточно продуманные решения способны значительно подпортить эффект самых благих начинаний. Образование Таможенного союза России, Белоруссии и Казахстана – шаг, безусловно, прогрессивный. Правоприменительная практика в части ввоза средств шифрования разъяснена письмом Федеральной таможенной службы № 01-11/6832 от 15 февраля 2010 года.

ТАМОЖНЯ ГОВОРИТ «СТОП»

Однако, одна из проблем заключается в том, что под действие новых правил неожиданно для всех участников рынка попало IT-оборудования (маршрутизаторы, каналообразующее оборудование, межсетевые экраны и т.д.), для которого наличие аппаратных блоков стойкой криптографии скорее правило, чем исключение. И это существенно осложнило жизнь банкам, да и другим пользователям подобной продукции.

Множатся жалобы: документы на оформление разрешений на ввоз поданы в соответствующие органы ещё в декабре прошлого года, сейчас начало июня, а конца-края волоките не видно. Ранее все процедуры поставки занимали, как правило, пару месяцев. Не очень быстро, но эти сроки аккуратно выдерживались, и можно было точно рассчитывать дату завершения того или иного проекта или этапа модернизации сетей.

Теперь провозить оборудования через государственную границу стало не просто втрое дольше. Приходится гадать, сколько же времени можно ждать от компетентных органов «добро». Подобная неопределённость в таком математически точном процессе, как информационная безопасность банков, просто неприемлема.

Новые правила мало называть «тяжёлыми», ещё больше угнетает пугающая неопределённость. Среди пострадавших – многие, поскольку подавляющее большинство профессионального IT-оборудования за рубежом производится либо в плотной привязке программного обеспечения к «железу», либо с криптографическими блоками достаточно высокой степени защиты.

ПЕРЕВОД В ОТСТАЮЩИЕ

Из негосударственных потребителей, которые закупают за рубежом технические средства, наибольшие затруднения в связи с новыми обстоятельствами испытывают подразделения информационной безопасности банков, службы информатизации и поставщики, работающие на этом рынке. Кредитно-финансовая сфера, наряду со связью и телекоммуникационным бизнесом, наиболее зависима от использования IT-оборудования, в том числе со стойкой криптографией. И, как правило, это зависимость от импорта.

Что для банков означает замедление или прекращение ввоза из-за рубежа оборудования с высокой степенью шифровальной защиты? Снижается скорость обновления оборудования и технологий информационной защиты банковской информации. Технологическое отставание в этой сфере от импортных разработок ни для кого не секрет. Причём это отставание нарастающее.

Допустим, у нас доработанное по всем правилам оборудование содержащее отечественные средства криптозащиты ? условной «версии 1.1», в то время как за рубежный вендор уже наладил массовое серийное производство «версии 1.2». Пока его ввозили в Россию за два месяца, «там», «у них» успевали перейти на версию «1.3». Если этот срок возрастает до полугода, то за время, пока мы перейдём на «версию 1.2», «там», «у них», будет уже «версия 1.4», если только не «1.5». Если учесть, что повышение версий, как правило, связано с устранением ошибок и уязвимостей, то становится неочевидной польза от затягивания процесса обновления.

Новый порядок ввоза импортного криптографического оборудования снижает уровень защиты банковской информации, в одночасье ожидание разрешения на ввоз превратилось в слабое звено. Потому как злоумышленники,  независимо от их национальной принадлежности, пытаясь преодолеть всё более совершенные механизмы защиты банковской информации, ежедневно и ежечасно изобретают всё более изощрённые способы несанкционированного доступа.

ПОДОРОЖЕ ИЛИ ПОХУЖЕ?

Под угрозу поставлено не только развитие в ногу со временем информационной защиты отечественных банков, но даже нормальное повседневное функционирование. Система резервирования мощностей на случай поломок повсеместно выстраивалась из расчёта на прохождение нового оборудования таможни максимум за два месяца. Сейчас, если непредвиденно выйдут из строя какие-либо из основных технологических блоков, их просто нечем будет заменить, и обслуживание клиентов придётся приостановить.

У банков есть два способа выйти из затруднения, адаптироваться к новым условиям. Первый путь – закупать «сверхнормативные запасы» оборудования, или вообще создавать резервные мощности, как на случай ядерной войны. Второй путь – обходить новые правила прохождения таможни сравнительно законными путями. Однако в любом случае от банков требуются значительные дополнительные затраты. И эти дополнительные затраты они будут вынуждены перекладывать на клиентов.

Например, можно закупать нужное оборудование без опций стойкой криптографии. Но это существенно дороже, так как такие блоки встроены «в базовой комплектации», их демонтаж обходится недёшево. Также есть возможность сравнительно быстро ввозить оборудование с низкой степенью криптозащиты, а здесь, в России снабжать его отечественной криптографией с помощью местных умельцев – наследников Левши, умевшего подковать аглицкую блоху.

Новые правила ввоза технологического оборудования, в котором есть поддержка сильной криптографии, ставят банки перед нелёгким выбором. Приходится существенно повысить расходы на обеспечение информационной безопасности, тем самым сделав для клиентов обслуживание более дорогим. Или же сознательно пойти на ухудшение качества своих услуг, рисковать снижением уровня защиты банковской информации, что чревато нарастающими рисками.

Для клиентов банков, что называется, любой вариант хуже: банковские услуги станут дороже или станут дороже и менее надёжными. Иначе обслуживающий банк вообще может не выжить в жёсткой конкурентной борьбе.

ТАНК – НЕ ЛЕГКОВУШКА

Мотивация введения новых правил на таможне понятна – защита государственных интересов, действенный контроль использования криптографии. Однако возникает вопрос: как получилось, что разработчики новых правил не учли существенных неудобств, которые создаются для отечественных банковских и кредитных организаций? Да и для других сфер деятельности тоже.

Возможно, разработчики нового порядка полагали, что в России производится аналогичное оборудование. Ведь для информационной защиты правительственной связи, государственных органов на вполне удовлетворительном уровне используются отечественные разработки, прошедшие все процедуры в установленном законом порядке.

Действительно, информационная безопасность работы служб государственной безопасности и оборонного ведомства, МВД и других государственных структур осуществляется при помощи российских решений, которые в чем-то может не уступают лучшим зарубежным аналогам. Почему же, так сказать, не провести конверсию, – создать подобный продукт «двойного назначения», адаптировать к потребностям информационной безопасности банковской сферы?

Закавыка в том, что по характеру и параметрам решаемых задач аналоги шифровального чудо-оборудования, которое обслуживает государственные нужды, решают определенную узконаправленную задачу. Банкам же приходится решать совсем другие типы задач, у них куда большее количество пользователей, объёмы защищаемой информации, скорости передачи и пропускная способность каналов связи. Это приводит к тому, что требуются высокопроизводительные маршрутизаторы и межсетевые экраны для каналов передачи данных с гигабитными скоростями.

Вряд ли компетентным органам приходилось за месяц открывать по сотне дополнительных офисов в разных регионах, что для банков – довольно типичная задача. В таких условиях адаптация решений для нужд банков, да и телекоммуникационных компаний, иногда просто невозможна, И если возможна, то это дополнительные деньги. И деньги немалые.

БУМЕРАНГОМ ПО БАНКАМ

Для банковских задач требуется оборудование с сочетанием приемлемых показателей по ключевым параметрам: высокая скорость передачи больших объемов данных, обслуживание широкого перечня пользователей и доступная цена. В России в настоящее время нет отечественного телекоммуникационного оборудования с необходимым для банков сочетанием характеристик.

Нужных отечественных разработок, тем более в серийном выпуске, попросту не существует, ни на рынке, ни в природе. Возможно, в сколь-нибудь обозримом будущем такие появятся, но пока дату этого события предсказать невозможно, вот и приходится закупать за рубежом.

Выходит, что новые правила проведения через таможню IT-оборудования со стойкой криптографией повышают степень государственного контроля, но одновременно существенно затрудняют жизнь банкам. А следовательно, и клиентам банков. Бумеранг, пущенный против потенциальных недругов, вернулся и ударил по своим.

Разве устойчивое функционирование банковской системы является, с точки зрения государственных интересов, второстепенным вопросом? Вспомним, как осенью 2008 года, когда «первая волна» глобального кризиса перекинулась на Россию, именно банки стали одними из первоочерёдных получателей государственной поддержки.

Решить обрисовавшуюся «проблему с таможней» важно и ещё по соображениям государственной безопасности. На глазах кибер-преступность, одним из главных объектов для которой служат банки, разрастается в масштабную глобальную проблему. Эксперты отмечают возникновение международных преступных сообществ, работающих в сфере IT-технологий, предупреждают об опасности их смыкания с международным терроризмом.

КИБЕР-ТЕРРОРИЗМ НЕ ПРОЙДЁТ

Нетрудно предвидеть возникновение нового уровня угроз международной и национальной безопасности, двух направлений сотрудничества кибер-преступников и международных террористов. Одно ? виртуальные хищения банковских средств, в том числе с целью финансирования терроризма. Другое, ещё более опасное, ? организация крупномасштабных информационных атак, по сути диверсий, способных в самый неподходящий момент дестабилизировать или даже обрушить национальную финансовую систему.

«Государевых людей» понять можно: защита государственных тайн и правительственной связи ? дело важное и ответственное. Но отечественное криптографическое оборудование, которое используется для этих надобностей, непригодно для банковских нужд. Защита «военной тайны» ? деятельность по своему характеру куда более инерционная и менее динамичная, чем банковская сфера, где иной, куда более высокий темп возникновения новых угроз.

Российским банкам нельзя не поспевать вырабатывать механизмы нейтрализации всё новых и новых технологий информационных атак, взлома и несанкционированного доступа. Иначе отечественная финансовая система может стать уязвимой для злоумышленников. И меньшим злом станет, если пострадает отдельное кредитное учреждение, а не пул ведущих системообразующих банков.

Оперативно сократить время прохождения через таможню оборудования со стойкой криптографией ? в интересах всех, и государственных служб, и банков. Первыми выиграют, конечно, банки в лице своих подразделений, отвечающих за обеспечение информационной безопасности и информатизацию. Одновременно ? клиенты банков, физические и юридические лица, которые сохранят надёжную защиту банковской информации без повышения стоимости обслуживания.

Оптимизация ситуации с ввозом оборудования, содержащего криптографию, конечно, отвечает стратегическим интересам государства. Будут созданы условия для оперативного повышения степени информационной защиты банков ? не запаздывающих, но предупредительных реакций на новые типы угроз.

Без этого нет твёрдых гарантий устойчивого функционирования национальной банковской системы, надёжного обеспечения информационной безопасности, которую нельзя ослаблять ни в одном звене. Решение напрашивается не слишком сложное: «слабое звено», ввоз криптографического оборудования, используемого банками, надо срочно «перековать».

Требуется выработать и принять чёткий государственный регламент ввоза оборудования со стойкой криптографией, процедуры декларирования и проверки, а главное – жёстко ограниченный по срокам. Прописать условия в нормативном документе. Упорядоченный ввоз криптографического оборудования встретит только всеобщее понимание, если выстраивается не в ущерб, а на пользу банковской отрасли, финансовой системе и национальной экономической безопасности в целом.

 

Смотрите также

Подпишись на новости!
Подписаться