В рубрику "Комплексные системы безопасности" | К списку рубрик | К списку авторов | К списку публикаций
Поскольку тема защиты уязвимых мест комплексной системы безопасности обширная, в данной статье мы рассмотрим первый (и, по мнению многих специалистов, – главный) аспект – безопасность системы связи.
Этот "кит", пожалуй, имеет особый приоритет. Сюда входит и организация связи "в поле", и передача информации на верхний уровень, и использование защищенного программного обеспечения, и внедрение системы определения "свой – чужой", и многое-многое другое. По большому счету, даже такая область, как информационная безопасность, является частным случаем безопасности системы связи. Каждое из этих направлений представляет собой сложную задачу.
Возьмем такой пример: есть некий периметр, оснащенный техническими средствами охраны (ТСО) и патрулируемый группой быстрого реагирования. ТСО "видят", что кто-то идет по маршруту, но не могут определить, кто именно. Чтобы отсеять патрули от нарушителя, вводится система определения "свой – чужой". Некоторые "интеграторы" предлагают выдавать патрульным смартфон, оснащенный специальной программой, которая будет сообщать комплексу безопасности, что срабатывание в этом месте – не нарушение, а движение патруля. В качестве дешевого простого решения, применяемого на малозначительных гражданских объектах, такой подход допустим.
В частности, некоторые работодатели подобным приложением на смартфонах своих сотрудников фиксируют их приход на работу в торговый центр. Однако не в случае с периметром объекта особой важности! Ведь любому специалисту по безопасности понятно, что местоположение этих смартфонов легко может быть определено преступником. Фактически, нарушив правила безопасности системы связи, мы вместе с устранением проблемы отделения своих от чужих раскрываем местонахождение и маршруты патрулей! Таким образом, техническая уязвимость может быть снижена благодаря грамотным техническим решениям.
Для внедрения надежных ТСО нужна определенная нормативная база, а вот с этим у нас беда. Нет регламентов оснащения, нет даже нормальных требований от заказчика: у большинства ведомств они отсутствуют в принципе. Это касается всех направлений.
Если говорить о программном обеспечении, то сегодняшние требования даже предполагают использование Windows в качестве операционной системы. А ведь ее уязвимость не подлежит сомнению. Мы хорошо помним урон, нанесенный Ирану вирусом Stuxnet, использовавшим ненадежность ОС и пресловутый человеческий фактор. При этом по-прежнему на рынок выходят системы на базе данной ОС – дырявые как сито, но дешевые. Эти два критерия (низкая цена и низкое качество) на фоне неопределенности нормативной базы позволяют "протолкнуть" на весьма серьезные объекты довольно несерьезные системы. И как раз это, а не технические моменты является сильнейшей угрозой уязвимости КСБ.
Если говорить о стыкуемости систем друг с другом, то отсутствие единых нормативов и общих платформ вредит и тут, ведь в их отсутствие каждый изобретает свое – кто во что горазд. Например, изделия одной крупной организации (назовем ее компанией А), поставляемые для нужд Министерства обороны, обладают весьма специфичным программным обеспечением. Оно трудно интегрируется с ПО других систем – чуть ли не каждая версия обладает новым протоколом и т.д. Соответственно, при построении сложных КСБ остальные участники этого процесса (поставщики других систем, интегрированных в комплекс) сталкиваются с тем, что при любых изменениях от компании А, включая обновление (!) оборудования на более современное, приходится чуть ли не заново переделывать всю программную часть, отвечающую за синхронизацию и интеграцию работы. Очевидно, что это очень неудобно. И можно было бы выработать единый протокол, но… Регламента нет, а система компании А (как и остальных) уже утверждена. Отдельным производителям разрабатывать нормативы для всего рынка слишком затратно, да и среди чиновников нет желающих брать на себя труд и ответственность по их созданию. Вот и приходится, как тем мышам, плакать, колоться, но продолжать есть кактус…
Рассмотрим еще один пример, как основной угрозой безопасности становятся не технические сложности, а несовершенство нормативной базы и человеческий фактор.
Есть аэропорт, у него – периметр, который нужно оснащать ограждением. Которое, к слову, само по себе является как инженерным средством, так и частью комплексной системы безопасности (уже хотя бы потому, что на него вешаются датчики). И по идее, на него должны быть нормативы: из чего сделано, какая конструкция, по какой технологии… Как вы думаете, чем ограничились наши чиновники? Одним параметром – высотой! Одним!!! Как ответственный производитель должен себя вести в такой ситуации? Он приходит в аэропорт со своим забором, а ему говорят: "Да, забор хороший. Но мы его не хотим. А какой хотим – не скажем, потому что сами не знаем".
Вот и прямая дорога к "коррупционной составляющей", как сейчас принято говорить: получается, что будет поставлено то ограждение, которое "надо" хотеть, а что именно надо захотеть, определяет тот же чиновник. Разумеется, качество, конструктив, особенности монтажа и другие актуальные вопросы не учитываются, так как никто такого учета не требует. Мы же помним: все, что должно совпасть с установленными нормами, – высота. Более ничего не требуется, ну разве что чемоданчик, туго набитый резаной бумагой. А ведь аэропорт – особенный тип объектов! При его оснащении (да и не только его) необходимо учитывать как минимум основные помеховые факторы: ветер, климатические условия, помехи от самолетов и навигационного оборудования, рельеф местности и т.д.
Какой же вывод можно сделать? У любой КСБ есть уязвимые места. Техническая уязвимость устраняется путем применения новых решений. Информационная уязвимость – за счет применения защищенного ПО и правильной архитектуры. Но все это ничто по сравнению с уязвимостью, возникающей из-за глупого, безответственного подхода чиновничества и отсутствия общих для всего рынка правил игры.
Как устранить последнюю, самую серьезную угрозу? Создавать эти правила. Что для этого требуется? Придавать хорошо зарекомендовавшим себя, успешно прошедшим строгую проверку решениям нормативно-правовой статус.
Кому это нужно? Производителям, заказчикам, обычным гражданам (жизни которых зависят от безопасности на различных объектах), но только не чиновникам. И на изменение ситуации должны быть направлены самые большие усилия всех специалистов в области безопасности.
Опубликовано: Журнал "Системы безопасности" #3, 2016
Посещений: 6012
Автор
| |||
В рубрику "Комплексные системы безопасности" | К списку рубрик | К списку авторов | К списку публикаций