Контакты
Подписка
МЕНЮ
Контакты
Подписка

Информационная безопасность: время новых решений

Информационная безопасность: время новых решений

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Информационная безопасность: время новых решений

Судьбоносные вехи

Итак, какие основные вехи в уходящем году пройдены нами в области информационной безопасности? Таких вех было четыре.

Первая веха - структурная перестройка государственных органов, связанных с управлением в сфере информационной безопасности. С этого момента прошло немного времени, но уже очевидно, что данное решение привело и продолжает приводить к существенному упорядочиванию их полномочий и функций. Вторая - Федеральный закон "О техническом регулировании", открывший принципиально новые возможности для выработки современных технических регламентов, определяющих безопасность информационных отношений. Третьей вехой является - Федеральный закон "О связи", ставший перспективным правовым регулятором сверхдоходной телекоммуникационной отрасли, в том числе - эффективным механизмом защиты информации, циркулирующей в сетях связи.

И, наконец, четвертая - это Федеральный закон "О коммерческой тайне". Госдума в третьем чтении наконец-то одобрила этот долгожданный закон, регулирующий отношения, связанные с передачей и охраной такой информации вне зависимости от вида носителя, на котором она зафиксирована. В законе четко прописано, что под "коммерческой тайной" понимается конфиденциальные сведения, позволяющие их обладателю увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров и услуг.

ФЦП "Электронная Россия" отстает от жизни

Напомним, что основными целями не так давно принятой Федеральной целевой программы (ФЦП) "Электронная Россия" явились: повышение уровня открытости власти и органов местного самоуправления, а также эффективности функционирования экономики за счет внедрения и массового распространения информационно-коммуникационных технологий. Кроме того, программа "Электронная Россия" призвана завершить компьютеризацию образовательных учреждений.

Если говорить о количественных характеристиках ФЦП, то к 2010 году число компьютеров на 100 человек должно возрасти до 25 по сравнению с 7-8 в 2002 году. При этом доля государственных расходов на внедрение информационных технологий должна увеличиться через 7 лет до 2-2,5% в ВВП против 1-1,2% в 2002 году. Но ситуация на российском рынке информационных технологий меняется настолько стремительно, что ФЦП уже нуждается в серьезной корректировке и, по мнению Министерства связи и информатизации РФ, в следующем году будет изменена. Основные проблемы ФЦП в ее нынешнем виде - нечеткость целей, дублирование положений с региональными программами информатизации и, более того, слабая интегрирующая роль в информатизации России. А самое главное - существенное недофинансирование на 80%! Не потому ли на вопрос специалистов ВЦИОМ, какое направление развития информационных технологий в нашей стране наиболее важно, 44% ответили - закупка компьютеров и оргтехники, 27% - повышение компьютерной грамотности (рис. 1). Характерно, что вопрос о применении более совершенных технологий информационной безопасности даже не стоял, возможно, косвенно скрываясь в вопросе о построении качественных сетей.

Не потому ли россиянам достаточно трудно понять проблемы кибертерроризма, пугающие население США, больше половины которого регулярно подключается к Интернету. У нас же количество регулярных пользователей Сети колеблется на отметке 5-7%.

По последним данным Минэкономразвития, у нас только сайты МНС, Минобразования, Минобороны, Минприроды, ФКЦБ и Госатомнадзора соответствуют требованиям безопасности и информационной прозрачности, сформулированным в постановлении Правительства РФ от 12 февраля 2003 года.

Лейтмотивом развития информационных технологий следующего года, вероятнее всего, станет реализация разработанной Минсвязи концепции использования информационно-коммуникационных технологий в органах государственной власти. Именно на ее основе будут утверждаться все ведомственные программы информатизации. При этом органы власти более не смогут заказывать многочисленные и дублирующие друг друга информационные системы на свой вкус. По данным Минсвязи, в 2001-2003 гг. органами федеральной власти потрачено на информационные системы 22,8 млрд руб., из них только 13% средств (не фатальное ли число?) пошло на федеральные программы. Остальные потрачены по собственной инициативе ведомств. В результате "шьется" не единое информационное поле страны, а некое лоскутное одеяло из несовместимых друг с другом автоматизированных систем. Очевидно, что безопасность в таком поле оставляет желать лучшего. 0 негативности такой практики, например, говорят следующие факты. Цифровые карты территории России создавались за счет бюджетных средств различными ведомствами четыре раза, но в результате они не стыкуются между собой. Сейчас в органах государственной власти функционирует полтора десятка финансовых систем, не только не имеющих общего интерфейса и общих форматов передачи данных, но и не взаимодействующих с казначейской системой Министерства финансов. Принципиальным положением концепции является также выбор информационных систем на основе показателей их эффективности. Ведь до сих пор внедрение информационных систем было исключительно затратным.

И ситуация воспроизводства затратного механизма в информатизации страны во многом усугубляется тем, что только чуть более половины населения видит в реализации Программы личную пользу для себя (рис.2).

Время системных проектов

Весь ход событий дня сегодняшнего свидетельствует о том, что в России пришло время реализации системного проекта, который повысит эффективность управления информационными ресурсами государственных органов, оптимизирует информационный обмен между властью и обществом.

Минсвязи России уже начало решать эту перспективную задачу. В частности, продолжается процесс подключения государственных налоговых инспекций к Интернету и создания федеральной корпоративной сети для МНС России. Кстати, те страсти, которые разгорелись в связи с арестом известного олигарха, со всей очевидностью показали, что совершенствование налоговых органов в России - это не только экономический, но и политический вопрос.

Получение и обмен информацией граждан с налоговыми органами, а также налоговых органов с другими государственными структурами в режиме реального времени и в любой географической точке России поумерит аппетит отечественных акул капитализма, стремящихся уйти от своих налоговых обязанностей. Проект такого уровня, который планируется завершить в первом полугодии 2005 г., реализуется впервые, и Министерство РФ по налогам и сборам является своего рода "испытательной площадкой" и для поискаэффективных программ по обеспечению информационной безопасности глобальной мультисервисной сети. В ближайшем будущем предстоит построение корпоративных сетей Федерального казначейства и Государственного таможенного комитета России. Неразрывно связаны с применением Интернет-технологий и перспективы развития почтовой связи. Намечены к реализации такие проекты, как "КиберПочта", "КиберПресса" и "КиберПеревод", а также организация пунктов коллективного доступа к Интернету, проводимая в рамках Федеральной целевой программы "Электронная Россия".

Поэтому с точки зрения обеспечения системной безопасности новых глобальных сетевых решений важно постоянно анализировать ход реализации проекта для МНС, вносить коррективы, учитывать возникающие частные и системные ошибки.

ЭЦП - поиск разумных решений

Подводя итоги года, нельзя не затронуть вопросы, связанные с практической реализацией Федерального закона "Об электронной цифровой подписи" со дня, принятия которого прошло уже более года. Сейчас уже всем стало очевидно, что обмен информацией в Интернете никак не защищен. Однако и Закон фактически не работает. Отсутствует формат сертификата, нося рекомендательный характер, окончательно не решен вопрос о федеральном лицензирующем органе. Поэтому реализация Закона на практике ставит перед специалистами непростые задачи по поиску разумных решений, обеспечивающих безопасное использование электронной цифровой подписи (ЭЦП). Перспективным вариантом развития ЭЦП может быть ее интеграция с системами, использующими биометрические методы аутентификации личности (примерами являются устройства, построенные на анализе особенностей лица, руки, отпечатка пальца и т.д.). Также интересны устройства и биометрические программные продукты, реализованные на основе анализа динамических образов личности (почерк, речь и т.п.), которые исключительно сложно подделать. Преимуществом использования биометрических ключей, интегрированных с ЭЦП, является их неотделимость от личности владельца и возможность исключения промежуточных носителей секретной информации (магнитные карточки, дискеты и т. д.).

Однако здесь есть и свои "но"... Так, в статье 3 Закона однозначно определен способ формирования электронной цифровой подписи - асимметричные криптографические преобразования с использованием сертификатов открытых ключей. Это, конечно же, сдерживает интеграцию ЭЦП с биометрическими системами. Но все же специалистам по безопасности в банковской сфере в ближайшее время придется вооружиться подобными биометрическими системами в связи с их широким внедрением за рубежом.

Системы с открытым кодом

Новым веянием стала резкая активизация российских разработчиков программного обеспечения на основе систем с открытым кодом. На всех стадиях они лоббируют его продвижение на государственный уровень. Их основная цель - создать национальные базовые компоненты корпоративного программного обеспечения - операционной системы, офисных и серверных приложений.

И вода камень доточила, их усилия в уходящем году увенчались успехом - при Минсвязи была создана рабочая группа по вопросам использования программного обеспечения с открытым кодом в государственных учреждениях России. Среди достоинств открытого программного обеспечения можно отметить отсутствие лицензионных отчислений и существенное уменьшение проблем, связанных с безопасностью.

В случае успеха группы, инвестиции от использования такого программного обеспечения пошли бы на отечественный IT-рынок. По оценке компании Lynx BCC, в государственных учреждениях России используется более 2 млн персональных и серверных систем, в основном - продукты Microsoft.

Борьба предстоит нелегкая. Почуяв перспективу утраты огромного российского рынка, корпорация Microsoft подписала соглашение с Правительством РФ о передаче исходного кода операционной системы Windows, а ее представители в один голос заговорили об инициативе как о попытках ряда частных фирм получить огромные субсидии из бюджета. Тревожные звонки для Microsoft раздались из Европы, где Еврокомиссия распространила для стран-членов Евросоюза рекомендации о переходе государственных организаций на открытые стандарты программного обеспечения. Особое внимание в них уделено вопросам безопасности взаимодействия компьютерных сетей и поддержки все увеличивающегося числа удаленных и мобильных пользователей.

Международные тенденции

Таким образом, происходит пересмотр проблемы информационной безопасности и на международном уровне. Так, сорок три государства - члены Совета Европы проголосовали в Страсбурге за принятие Конвенции о борьбе с киберпреступностью. Она стала первым международным документом по борьбе с преступлениями в Интернете.

Целью конвенции является международное сотрудничество в борьбе против киберпреступлений и принятие согласованных законодательных мер. Государства, подписавшие ее, должны бороться с незаконным использованием сетей, фальсификацией данных, распространением вирусов, нанесением ущерба интеллектуальной собственности, распространением порнографии.

На рис. 3 приведен рейтинг десяти наиболее распространенных в 2003 году вирусов (по данным антивирусной компании Panda Software).

Анализ приведенных данных позволяет сделать, по крайней мере, два интересных вывода.

Во-первых, общий высокий рейтинг вирусов типа Bugbear.B, ставших уже своеобразными "ветеранами" в своем мире "паразитов", свидетельствует о том, что многие владельцы компьютеров не только не обновляют антивирусную защиту, но даже и не устанавливают ее. Об этой беспечности пользователей писалось неоднократно, но, видимо, каждый из них должен найти свое виртуальное "приключение". Во-вторых, то обстоятельство, что большинство активных вредоносных кодов (например, Blaster, Klez.l) используют бреши в программном обеспечении, в основном - производства Microsoft, дает основания предполагать, что многие пользователи до сих пор не установили официальные "заплатки".

Характерно, что с середины января 2004 года названная корпорация прекращает выпуск своих "старых" продуктов (Windows 98, Windows NT4, Outlook 2000 и т.п.), ориентируясь на новую операционную систему Longhorn. Ее недавно представил Билл Гейтс, сказав, что эта ОС ликвидирует многие недостатки, разочаровавшие пользователей в последнее время. В частности, это касается вопросов надежности и защиты.

По мнению аналитиков, такая переориентация отца "окон" во многом связана с усилившимся давлением на рынок открытых систем типа Linux, среди часто упоминаемых преимуществ которых являются надежность, безопасность, модульность и высокая производительность. Кстати, в России "свободные программы" могут стать серьезной альтернативой компьютерному "пиратству" и немалым, по российским меркам, затратам на лицензионный "софт".

Практически во всем мире активизировалась борьба с электронным спамом, который подчас занимает до 50-80% электронного трафика, и это направление имеет тенденцию к ухудшению. Так, в Европейском союзе вступили в силу новые законы, призванные уменьшить количество спама в Интернете. Например, в Италии за рассылку писем без согласия на это получателя грозит штраф на сумму до €90 тыс. и тюремный срок - от шести месяцев до трех лет.

Интересна еще одна тенденция. Желая сделать Интернет более безопасным, целый ряд стран намеревался поставить на Всемирном саммите информационного общества (WSIS), который прошел в Женеве в начале декабря 2003 года, вопрос об учреждении под эгидой ООН специального контролирующего органа, который бы занимался администрированием Сети. Среди этих стран была и Россия. Напомним, что в настоящее время административные функции в Интернете выполняет ICANN (Корпорация по распределению номеров и имен в Интернете). Деятельность этой общественной организации сводится к распределению блоков IP-адресов и регулированию прав на доменные имена верхнего уровня. Страны - инициаторы проекта передачи функций считают, что с помощью нового контролирующего органа можно будет эффективнее осуществлять борьбу с преступлениями в сфере высоких технологий и авторского права. И в то же время правительства заинтересованных стран смогут через механизмы ООН более эффективно разрешать возникающие инциденты. Однако крупный бизнес не захотел упускать огромные возможности, открывающиеся с использованием Интернета. Против этой инициативы высказались США, страны Евросоюза, Япония и другие индустриально развитые государства, заявившие о вмешательстве государственных структур в регулирование Интернета.

И это якобы ущемит свободу слова и самовыражения граждан, будет препятствовать динамичному развитию информационного общества.

Эта проблема стала таким камнем преткновения, что возникла реальная опасность срыва первой в истории Сети встречи на высшем уровне, посвященной проблеме устранения так называемой "цифровой пропасти", разделяющей богатейшие и беднейшие страны мира. Но в ходе экстренных переговоров был достигнут компромисс: вопрос о контроле над Интернетом снят с повестки дня WSIS и отложен как минимум на год.

"Цифровое неравенство" и Россия

К настоящему времени только десятая часть землян использует Интернет, из них девять десятых - жители развитых стран (данные Международного комитета потребителей). И вот десять лет тому назад придуман термин "цифровое неравенство", который по замыслу его авторов должен обозначать разницу возможностей разных слоев населения в смысле доступа к Интернету и другим информационным технологиям. Специалисты априори полагали, что степень цифрового неравенства однозначно связана с благосостоянием общества.

Однако каково же было их удивление, когда они увидели результаты исследований ассоциации Global Consumer Advisory Board (GCAB), которые свидетельствовали, что такое неравенство - проблема не только развивающихся, но и передовых стран.

Так, в Германии, Италии и Южной Корее женщины приобщаются к Интернету и сотовой связи медленнее, чем в ряде мусульманских стран, отличающихся своими средневековыми традициями по отношению к слабому полу. А в США, в отличие от азиатских и европейских стран, медлят с освоением таких передовых технологий, как мобильный и широкополосный доступ к Сети. Более того, пятая часть американцев, имеющих доступ в Интернет, считает, что он им не нужен. Таким образом, мало обеспечить население компьютерами и доступом к Сети, необходимо убедить людей, что это им практически нужно. Ведь возможность доступа в Интернет не равносильна его разумному и эффективному использованию.

А это уже психология и сложившийся менталитет, поскольку даже высшие приматы имеют способности к работе с компьютером. Последнее доказали специалисты из Стэмфордской зоологической школы (данные компании Primate Programming Inc.), проведя ряд экспериментов по обучению бабуинов работе с переносными персональными компьютерами, показали, что они вполне могут заниматься тестированием программного обеспечения и даже программировать. Правда, если в меню больше двух уровней, то для бабуина оно представляет некоторую сложность.

Учитывая довольно высокий уровень грамотности российских граждан и их интеллектуальный потенциал, стремление россиян найти новые механизмы выхода из экономического кризиса, да и просто извечный "синдром кулибиных", Россия может ликвидировать цифровое неравенство быстрее, чем более благополучные государства. К такому же выводу приходит и GCAB.

Разноцветная паутина

Интернет-сеть все больше покрывает российские города, достигает небольших поселков и даже деревень. Новое дело порождает новых бизнесменов, возникает "бизнес-накипь" в лице тех, кто хочет быстро сорвать свой куш, особенно не выкладываясь и не задумываясь о будущем отрасли, не говоря уж об информационной безопасности и вообще о безопасности, в том числе экологической, своих клиентов и окружающих. Поэтому каждый день в стране возникают и закрываются десятки нелегальных Интернет-провайдеров. Так, совсем недавно был разоблачен подпольный провайдер "Академнет", обеспечивающий доступ в глобальную сеть целого микрорайона в Черемушках. Несколько ранее был выявлен организатор крупной подпольной сети в районе метро "Университет". Но здесь, как в сказке, отрубили две головы, а вместо них появились четыре, поскольку прибыль от сети может составлять несколько десятков тысяч долларов в месяц. Вот и плетется паутина из "белых", "серых" и "черных" сетей.

Прогноз развития сферы информационной безопасности

В 2004 году активизируется работа по созданию технических регламентов, касающихся сферы информационной безопасности. Наряду с ускорением нормотворческой деятельности в этой области, это однозначно приведет к усилению лоббистских попыток крупных структур, работающих здесь, перетянуть канат на себя. Такие тенденции стали заметны уже в 2003 году, особенно это касается зарубежных технологий защиты информационных систем. В частности, возросло давление на российский рынок со стороны разработчиков средств защиты информации в крупных корпоративных системах. Ориентация Минсвязи на построение глобальных системных проектов в России только усилит этот прессинг.

Касаясь средств и систем связи, видимо, можно прогнозировать появление более перспективных технологий защиты мобильных переговоров.

Продолжается процесс наращивания компьютерных баз, включающих персональные данные на граждан России. А закон о персональных данных отсутствует. И до тех пор, пока он не принят, на всех перекрестах и различных рынках типы подозрительного вида будут "впаривать" диски не только с конфиденциальными, но даже с секретными сведениями. Вот и МВД России планирует в следующем году создание единой интегрированной компьютерной базы данных, в которую будут занесены сведения о российских паспортах. Она включит электронные базы паспортных данных, созданных во многих региональных подразделениях органов внутренних дел. К сожалению, при сложившемся подходе к защите информации и отсутствии вышеназванного закона, можно ожидать начала нелегальных продаж носителей с более серьезной информацией. Поэтому о мерах противодействия любителям подзаработать на "сливе" информации следует позаботиться заранее, стоя, как говорят, еще на берегу. И это касается не только баз данных МВД. Мы знаем много громких примеров, когда противозаконное распространение компьютерных баз данных наносило существенный материальный урон, а также ущерб репутации не менее уважаемым организациям и компаниям.

Прогнозируемое ускоренное развитие Интернет-технологий придаст новый импульс усилиям по внесению поправок в закон об ЭЦП, уже очевидно выступающим тормозом расширению электронного бизнеса в России. А возможность достаточно легкой наживы усилит притязания строителей "черных сетей" на расширение своего "бизнеса". Так что работы борцам с преступлениями в сфере высоких технологий прибавится.

Думается, что уже одержанная победа сторонников российских систем с открытым кодом и наращивающиеся усилия зарубежных гигантов софта во главе с Microsoft приведут к более обостренному витку борьбы за наш рынок. И это заставит отечественных разработчиков задуматься о новых аргументах преимущества открытых систем, в первую очередь касающихся их информационной защищенности.

Таким образом, новый информационный год будет для всех нас нескучным. Уверен, он принесет и законодательные новации, и новые прорывные решения в сфере информационной безопасности.

В.А. Минаев,
д.т.н., профессор, академик РАЕН

Опубликовано: Каталог "Пожарная безопасность"-2004
Посещений: 10518


  Автор
Минаев В. А.

Минаев В. А.

д.т.н., профессор, академик РАЕН

Всего статей:  1

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций