В рубрику "Регулирование и стандарты" | К списку рубрик | К списку авторов | К списку публикаций
Новые технологии предполагают использование специфического оборудования и программного обеспечения. В случае если развитие таких сквозных технологий не будет сопровождаться созданием соответствующей отечественной производственной базы, которая обеспечивала бы их внедрение, возможно резкое увеличение импортозавимости вследствие необходимости импорта зарубежных компонентов и устройств.
Широкое распространение зарубежных сервисов определяет зависимость отечественных информационно-телекоммуникационных систем, в том числе российского сегмента сети Интернет, от зарубежных компаний.
В этих условиях внедрение новых технологий будет означать инвестиции в экономики других государств без соответствующего развития отечественных отраслей. Эти инвестиции будут вестись за счет российского бюджета. Поэтому каждая попытка внедрения новых технологий должна предваряться проведением оценки ее экономической целесообразности и эффективности, возможных рисков и угроз, в том числе санкционных.
Немаловажным является тот факт, что технологическая трансформация приводит к появлению потребности общества в специалистах нового профиля и отмиранию некоторых существующих в настоящее время профессий. Это требует заблаговременной разработки программ подготовки и переподготовки кадров.
Цифровая экономика в настоящий момент связывается в первую очередь с развитием ряда сквозных технологий, таких как большие данные, нейротехнологии, искусственный интеллект, системы распределенного реестра (блокчейн), промышленный Интернет и сенсорика.
Цифровизация любых видов деятельности сопровождается увеличением объема хранимой, передаваемой и обрабатываемой информации, что несет угрозу защите конфиденциальных данных, в частности персональных данных пользователей. В настоящее время возникает проблема защиты больших пользовательских данных, то есть разнородной информации о поведении пользователей (так называемых профилей), собираемой в сети устройствами и сервисами в течение продолжительного времени. Такие данные, хотя изначально и не являются персональными, в совокупности и при дополнительной обработке позволяют восстанавливать персональные данные пользователей. Развитие технологий делает возможным сбор такой информации не только для спецслужб, но и для коммерческих организаций, последние ее активно продают.
Внедрение технологии искусственного интеллекта рассматривается как один из стимулов развития бизнеса и экономики в целом. Однако использование самообучающихся нейронных сетей как основного способа реализации данной технологии порождает совершенно новые, не рассматриваемые ранее типы угроз. В настоящее время только зарождается область исследований, связанная с обеспечением безопасности процессов обучения и функционирования самообучающихся нейронных сетей. Поскольку нейронная сеть определяется как исходным кодом, так и данными, поступившими в нее в процессе обучения, возможны ситуации, когда нарушитель влияет на процесс обучения, пытаясь сформировать входные данные, которые будут классифицированы неправильно, или в процессе обучения предоставляет специальным образом сформированные данные, приводящие к неправильному обучению сети (Data Poisoning). Пока нет эффективных методов противодействия таким атакам.
Широко обсуждаемая сегодня технология блокчейн является ярким примером попытки поиска новых парадигм взаимодействия в цифровом мире.
Единственным реально состоявшимся примером применения блокчейна, по сути, являются криптовалюты. Соответственно, функционал систем, его использующих, и в целом их архитектура в классическом ее понимании (децентрализованная, анонимная/псевдонимная система, распределенный (реплицированный) реестр и т.д.) сформированы исходя именно из такой области применения. Попытки же применения блокчейна в других областях, связанных с уже существующими финансовыми и правовыми отношениями (регистрация прав, контроль за движением товаров и др.), наталкивается на неадекватность такой архитектуры решаемым задачам и необходимость ее изменения (например, требование аутентификации абонентов, что в свою очередь требует изменений протоколов консенсуса).
В связи с этим наибольшей уязвимостью блокчейна является сама постановка вопроса о том, как внедрить блокчейн. Для большинства современных вариантов его применения ответ на вопрос, возможно ли реализовать аналогичную систему без блокчейна, будет положительным. Более того, как показывает анализ, децентрализованный блокчейн в своем современном виде не подходит для использования в масштабных высоконагруженных системах вследствие естественных ограничений по производительности (сложности достижения консенсуса и необходимости хранения больших объемов данных).
В случае использования его (частично) централизованных вариантов информационные системы близки по своим функциональным характеристикам к уже используемым в настоящее время.
C точки зрения вопросов информационной безопасности необходимо рассмотреть два аспекта – теоретический и практический.
Теоретический прежде всего связан с общей научной непроработанностью обоснования безопасности протоколов консенсуса. Для наиболее старого, используемого в криптовалюте биткойн протокола Proof-of-Work к настоящему моменту предложено большое количество различных атак, некоторые из которых достаточно просто могут быть реализованы практически. Большинство из них связано с отсутствием управляющего центра и основано на воздействии на сетевые протоколы и изменении параметров внутреннего трафика сети: Punitive and Feather Forking, Transaction Malleability, Sybil, DDoS, Eclipse, Tampering. Узлы, занимающиеся подтверждением транзакций (майнеры), также могут действовать вопреки правилам системы: атака 51%, подкуп майнера, изменение системного времени майнера, Selfish Mining, Finney Attack.
Другие варианты достижения консенсуса, такие как Proof-Of-Stake, Delegated Proof-Of-Stake, Proof-Of-Space, которые активно рассматриваются в настоящее время, обладают еще большим набором уязвимостей или слабо изучены.
В целом пока до конца не понятно, каким должен быть безопасный протокол консенсуса с тем, чтобы обеспечивать стабильное функционирование блокчейн-системы продолжительное время с учетом возможного воздействия нарушителей.
С практической точки зрения разрабатываемые энтузиастами современные блокчейн-системы зачастую обладают серьезными уязвимостями, которые позволяют проводить хакерские атаки. Это в большей степени справедливо для области криптовалют. Широко известны атаки на криптовалютные биржи (Mt. Gox, Bitfinex, Coincheck и др.) и отдельных пользователей, направленные прежде всего на кражи данных криптовалютных кошельков.
Попытка использования блокчейна вне замкнутой цифровой среды, например для регистрации объектов недвижимости, контроля за движением товаров, ставит вопрос юридической значимости регистрационных действий. Даже не рассматривая нормативные и организационно-технические вопросы применения электронной подписи, критическим в таком случае является вопрос достоверности регистрации в системе событий или объектов, происходящих в реальном (физическом) мире. Это крайне проблемный вопрос и для существующих систем, который остается и в случае применения технологии блокчейн. На данный момент отсутствуют доверенные способы такой (автоматической) регистрации. Ряд исследователей связывают вопрос внедрения блокчейна именно с решением задачи разработки таких способов.
Вопрос о доверенном внесении информации в блокчейн напрямую соприкасается с понятием Интернета вещей, существующим с 1999 г. Несмотря на долгую историю, ключевые вопросы безопасности в этой области до сих пор не решены. Широко известны многочисленные примеры критических атак на устройства, подключаемые к сети Интернет. В частности, у всех на слуху история с ботнетом Mirai, использовавшим устройства Интернета вещей для организации DDoS-атак.
При этом многие принципы обеспечения безопасности, широко используемые в классической криптографии, не работают в мире Интернета вещей: возможность доступа нарушителя непосредственно к устройству затрудняет использование секретных ключей, хранение сертификатов ключей защищенным образом.
Как следствие, возникают серьезные сложности с доверенной идентификацией/аутентификацией IoT-устройств, реализацией безопасных механизмов обновления и обеспечением достоверности получения информации от таких устройств.
При этом существующие национальные стандарты Российской Федерации в области криптографической защиты информации в достаточной степени удовлетворяют эксплуатационным требованиям, накладываемым характеристиками устройств Интернета вещей. Алгоритм шифрования "Магма", определяемый стандартом ГОСТ Р 34.12– 2015, является одним из мировых лидеров среди низкоресурсных алгоритмов по эффективности реализации и обеспечиваемому запасу стойкости.
Раздел 4 рекомендаций по стандартизации Р 50.1.114 "Информационная технология. Криптографическая защита информации. Параметры эллиптических кривых для криптографических алгоритмов и протоколов" определяет крайне эффективные способы представления эллиптических кривых, удовлетворяющих требованиям ГОСТ Р 34.10– 2012, тем самым обеспечивая возможность реализации считающейся "тяжеловесной" асимметричной криптографии на устройствах с ограниченными ресурсами.
Наиболее сложным вопросом для Интернета вещей являются широко используемые криптографические протоколы, требующие передачи существенных объемов служебных полей, что зачастую крайне нежелательно для устройств с ограниченными ресурсами. В настоящее время в Техническом комитете по стандартизации "Криптографическая защита информации" (ТК 26) создана рабочая группа "Криптографические механизмы для М2М и индустриальных систем", задача которой состоит в разработке и стандартизации "низкоресурсных" протоколов индустриального Интернета вещей.
Биометрическая идентификация и аутентификация в настоящее время является еще одной из активно обсуждаемых технологий. Однако система биометрической идентификации/аутентификации, состоящая из подсистем считывания биометрического образа, обработки биометрического образа, хранения биометрических данных, сравнения и принятия решения, в силу своей сложности и разнородности используемых механизмов позволяет нарушителям реализовывать новые векторы атак.
Можно выделить следующие проблемные моменты:
Важно, что для биометрии, как ни для какой другой технологии, развитие методов распознавания (синтеза биометрических систем) влечет за собой соответствующее развитие угроз.
В этой связи рассматривать биометрию исключительно в качестве единственной альтернативы существующим методам идентификации/аутентификации нецелесообразно.
Вопрос неотчуждаемости биометрических данных требует разработки жестких мер обеспечения безопасности их обработки и хранения операторами, в особенности при реализации разрабатываемой в настоящее время национальной биометрической платформы.
Опубликовано: Каталог "Системы безопасности"-2018
Посещений: 5308
Автор
| |||
В рубрику "Регулирование и стандарты" | К списку рубрик | К списку авторов | К списку публикаций
