Я.: Вопрос только об информационной безопасности или о безопасности в целом?
   В целом — но с упором на ИБ!
   Я.: Если в целом, то этим занимаются у нас много и давно. Есть масса документов. Закрыты только технические детали, стратегия открыта. Хотя понятие «критически важные ИС» у нас стали употреблять в документах только три года назад.
   У нас есть список критических объектов, угроз им?
   Я.: Список есть. Секретный, естественно, на уровне конкретных предприятий. Но идеология понятна — туда входят опасные производства, военные системы управления. Транспорт, связь, финансы, здравоохранение, телемедицина…
   С.: Это те структуры, информационное воздействие на которые может привести к гибели и травмированию людей.
   От кого же надо все это защищать?
   С.: Сейчас принято рассматривать триаду противников. Во первых — киберхулиганы. Это, как правило, одиночки или небольшие преступные группы. Типичная угроза от них — воруют номера банковских карт через Интернет. Следующий уровень — кибертерроризм. Здесь уже действуют организации, часто — распределенные, сетевые по структуре. Третий уровень задействует уже силы государства, — информационная война.
   ß.: Вот в это лучше не углубляться, дело очень тонкое — даже Рафал Рогозинский, известный эксперт из Кембриджа, у нас на конференции недавно рассказывал, что с юридическими вопросами тут большие сложности (см. «КТ» #664. — Л.Л. М.).
   Но понятие информвойны существует, и есть страны, которые могут владеть технологией такой войны. Причем их больше, чем стран, которые обладают ядерным оружием, потому что материальная база гораздо доступнее.
 
   С.: Классический пример информвойны, о котором много пишут, но неизвестно, было это на самом деле или нет, — начало операции «Буря в пустыне». Якобы у Хусейна в этот момент процентов восемьдесят систем управления войсками вдруг отключились. Но с примерами сложно. Любая структура, тем более критически важная, всегда постарается как можно скорее закрыть любую информацию о попытке информатаки на нее.
 
   Особенно если атака была успешной. Ибо это очень серьезный удар по имиджу. Поэтому найти достоверную информацию такого типа, боюсь, практически невозможно. Возьмите известную историю, когда половина западного побережья США вдруг лишилась электроэнергии. Сразу стало ясно — был какойто сбой информационного характера. Скорее всего, просто технический сбой. Но может быть — чье то воздействие. Кто это может определить по доступным публикациям? Никто. Данных нет.
 
   Я.: Единственное, с чем сейчас все согласны, — ни в России, ни в мире пока не зафиксировано ни одного акта кибертерроризма. Но, кстати, не потому, как думает Рафал, что террористам неинтересен «символический эффект» таких атак! Мы с ним постоянно ведем дискуссии на семинарах и конференциях — он неправ, дело тут в другом. Но это уже отдельная тема.
   Существуют у нас в стране хакерские группы, которые профессионально занимаются взломом сетей, добычей «чувствительной» информации? Разработкой программ для всего этого? Созданием вирусов, троянов?
   Я.: Не забывайте — мы с вами находимся в Московском государственном университете! У нас исследуются научные проблемы ИБ. А такие вопросы — компетенция МВД, управления "К".
 
   С.: Да, хакерские группы есть, и, как я понимаю, достаточно глубоко законспирированные. Мы с многими госструктурами дружим, конечно, в том числе и с МВД — но какие группы им известны, что там с ними происходит, управление "К" не говорит никому и никогда. Это их компетенция.
   Это же все-таки бизнес, хоть и криминальный. Денежные потоки, видимо, можно отследить?
   Я.: Первым делом искать, кто платит, — типичнейшая ошибка в этой области. Ситуация другая: очень многие, особенно дети, совершают свои «киберпреступления» по совершенно другим мотивам — они фанатики всяческого «взлома».
   Недавно читал беседу двух американских ИБ-специалистов, они говорят как раз обратное: что появился «new bad guy», вместо классического хакерафаната — хорошо оплачиваемый (криминалом) профессионал.
   Я.: Есть такое явление. Но «массовка» — это фанаты. На международных конференциях об этом часто говорят.
   У нас «государственные хакеры» испытывают на прочность защиту ИС, как в Америке? Вашему институту такое не предлагали?
   С.: Если бы нам предложили, мы бы отказались. Ведь есть же стандартные процедуры для таких вещей. Сертификация средств защиты в ФСБ, например, и есть учебный взлом — чаще на бумаге, но иногда и натурно.
   Я.: Любые такие заключения об уровне ИБ делаются в рамках закона о контроле. Приходит комиссия на предприятие и проверяет соответствующий регламент в рамках полномочий. Если это предусмотрено, могут промоделировать и кибератаку.
   Как вы оцениваете динамику безопасности наших ИС?
   Я.: Состояние дел улучшается — в целом. Но по конкретным предприятиям ничего комментировать не можем.
МОНИТОРИНГ, СЕРТИФИКАЦИЯ, РЫНОК
   На конференциях в вашем институте математики всегда делают массу докладов о моделях атак, методах обнаружения вторжения в локальную сеть и т. п. Но это теория, а на практике — насколько хорошо мы сегодня умеем обнаруживать информационные атаки?
   Я.: Это проблема глобального масштаба — мониторинг кибератак, отслеживание проникновения в сети. Причем проблема не только технологическая, но и политическая — например, мы не можем мониторить серверы на чужой территории, даже внутри страны мы не все сети можем мониторить. Есть множество корпоративных сетей — в том числе у Газпрома, РАО ЕЭС, РЖД, — где своя физическая инфраструктура, не связанная с бэкбонами Интернета. Причем по причинам коммерческого характера эти сети не мониторят даже спецслужбы.
 
   С.: Практически в каждом министерстве есть своя ведомственная сеть. И эта сеть всегда является объектом атак.
   Естественно — потому что какой смысл ломиться на веб-сайт, к примеру, Газпрома, где заведомо нет никакой критической информации? Но тем не менее и на веб-сайты крупных компаний и других заметных организаций непрерывно идут атаки.
   Я.: Совершенно верно. Например на веб-сайт президента РФ за одиннадцать месяцев текущего года было более ста тысяч кибератак. Причем в данном случае это не попытки дефейсинга или рассылки спама с этих серверов, тут другие типы атак. Но наш институт не занимается оперативными мерами борьбы против таких вещей, мы только даем рекомендации и ведем научные исследования. В том числе разрабатываем программы для мониторинга атак. Хотя большинство сотрудников в разное время вплотную занималось и практическими вопросами.
 
   С.: Таксономия атак очень сложная. Сегодня по общепринятой международной классификации выделяют порядка шестисот видов кибератак, и эта цифра все время растет. Соответственно и программы регистрации атак, мониторинга непрерывно обновляются — точно так же, как антивирусные средства.
   Существует у нас единый центр мониторинга кибератак?
 
   С.: Единого центра нет — во всяком случае, открытого. По научным и образовательным сетям такая работа, насколько нам известно, ведется только в Курчатовском институте под руководством Алексея Солдатова. Кибератаки на органы госвласти мониторят силовые структуры, в частности ФСБ и МВД. Министерства, крупные компании — например, Газпром или РАО ЕЭС, имеют собственные службы информационной безопасности. Разработкой программ и аппаратуры компании и министерства обычно не занимаются, используют то, что есть на рынке.
 
   Я.: Другие страны стали раскрывать информацию о своих центрах мониторинга совсем недавно. Мы с Алексеем были в 2004 году на очень узкой конференции в Мюнхене, посвященной как раз этой проблеме. Там впервые рассказывалось о национальных центрах мониторинга, причем я был поражен тем, насколько подробно и открыто это делалось. Выступали начальник центра мониторинга кибератак МО США, директор центра мониторинга Великобритании, его коллега из Германии (там центр мониторинга — отдел бундесвера). И важнейшим вопросом был вопрос о международном сотрудничестве и обмене опытом. Потому что информационное пространство на самом деле едино. Оно не имеет границ! Защититься от атак в одиночку ни одна страна не может. Известный пример — веб сайт ЦРУ два года назад был взломан некими «студентами из Томска». Но есть соглашения между ЦРУ и ФСБ о взаимодействии, поэтому людей в Томске быстро нашли. Суда не было, случай был не очень серьезный, главное, что система сотрудничества сработала. Но заставить ее работать очень трудно, в частности из за различий в национальных законодательствах.
   Не кажется ли вам, что есть нечто парадоксальное в том, что теракт против той или иной инфраструктуры ударит по всему населению, по всему государству — а защищает ее не государство, а закрытая ведомственная служба?
   Я.: Сейчас в Госдуме рассматривается проект закона, который будет регламентировать ответственность в этих вопросах. Все вопросы должны решаться на основе соглашения государства, бизнеса и гражданского общества. Эти соглашения и оформляются в виде законов. Государственные органы юридически контролируют процесс, а бизнес в данном случае должен обеспечивать функциональную составляющую мер безопасности.
 
   С.: Противоречия нет еще и потому, что эти компании — крупнейшие экономические игроки, и им не интересно пускать кого бы то ни было в свои информационные потоки. Там масса конфиденциальной информации, которую они не хотели бы показывать госорганам. Но зато государство теперь жестко навязывает сертификацию средств защиты. Всевозможные «отраслевые стандарты» больше не будут использоваться. Такой ситуации, когда, к примеру, криптографические средства заказываются у некоей частной компании, не имеющей серьезной гослицензии, но близкой к руководству заказчика, больше не будет. Но надо помнить, что существует рынок средств защиты информации. И система сертификации, хочет того государство или нет, становится активнейшим инструментом игры на этом рынке. Тот, кто является лицензиатом соответствующих структур (ФСТЭК [Федеральная служба по техническому и экспортному контролю, занимается противодействием иностранным техническим разведкам], ФСБ), автоматически получает преференции на рынке, поскольку многие компании обязаны покупать сертифицированные средства. Следовательно, отделы по лицензированию и сертификации находятся на острие экономической борьбы. Именно поэтому было принято решение, что в сертифицированных средствах должны использоваться только ГОСТовские алгоритмы. А как их воплощать — это уже другое дело. Те, кто сертифицирует, будут только смотреть, правильно ли реализованы эти стандарты.
   Ну а «импортные» средства защиты и/или мониторинга коммерсанты могут у себя поставить?
   С.: Их невозможно лицензировать. То есть для внутрикорпоративного использования — ради бога. Для обмена с Центробанком и госорганами — будь любезен поставить сертифицированные средства.
   В Германии в начале 2000-х государство рекомендовало бизнесу использовать для деловой переписки программу GPG (опенсорсный аналог знаменитой PGP).
   C.: Наши стандарты на электронную цифровую подпись построены на алгоритме типа Эль-Гамаля. Поэтому PGP, RSA и все, что вокруг них, у нас не лицензируется, насколько мне известно. Но там, где не нужна лицензия, — пожалуйста. Де-факто PGP сейчас почти стандарт для шифрования частной переписки в Интернете.
   А опенсорсность дает преимущество в надежности? Ведь программу могут проверять все желающие.
   С.: Чтобы аккуратно просмотреть такие коды, нужны огромные затраты, надо надолго занять группу высококлассных спецов. В Минатоме в начале 90 х изучали коды Microsoft Windows одной из тогдашних версий (они были предоставлены Microsoft в полном объеме), в связи с установкой специального ПО на предприятиях атомной отрасли по программе контроля за ядерными вооружениями. Аналогичная история была позже, в связи с использованием программ под Windows в госструктурах. Коды были открыты на каких то сверхжестких условиях, смотреть можно было только в отдельном помещении, с дискетой не заходить, смотреть с экрана и т. п. — но тем не менее. В результате — отдельные куски проанализировали, ничего не нашли. Ну и что? Полностью все эти гигабайты невозможно проанализировать. То же самое и с опенсорсом.
   У нас есть разработки своих защищенных операционных систем?
   Я.: Леонид, что значит «у нас»? Все равно каждая фирма, организация доверяет только себе. Из-за того, что сегодня все демократично, понятие «у нас» лишается того смысла, который вы, я полагаю, в это слово вкладываете.
 
   С.: Классический пример. Я вел переговоры с одним банком о проекте по оценке их инфобезопасности. Говорю: в нашем институте есть специалисты, которые могут провести так называемое «обследование безопасности информационных систем» (мы такие работы часто делаем, в том числе для коммерческих фирм). Объясним, где у вас дыры могут быть. Смотрю — нет реакции. Потом объясняют: «Алексей, приходи к нам в банк работать, и тогда ты это сделаешь. Но заказывать на стороне такое исследование мы не хотим, потому что придется раскрыть информацию, которую не хотим раскрывать. Мы доверяем только себе и своим сотрудникам». Это просто классический пример отношения к внешнему аудиту.
   И в критических ИС то же самое?
   С.: Естественно.
 
   Я.: Я совсем по-простому скажу. Вторая сторона вопроса — не всегда даже крупный игрок заинтересован, чтобы у него не было дыр в ИБ.
   Почему?
   С.: Потому что иногда он думает: «Если ты придешь ко мне и сделаешь все как надо — как же я тогда буду воровать деньги?»
РАСКРЫТЬСЯ, ЧТОБЫ ЗАЩИТИТЬСЯ
   С.: Пример с нестыковкой ведомств в Нью-Йорке, о котором мы говорили, показывает одну из самых больших опасностей, связанных с ИБ критических ИС. Эти ИС — огромные и очень сложные, но часто построены на сегментах, которые мало связаны друг с другом. Внутренние сети министерств и ведомств очень плохо совместимы, и это глобальная проблема. К счастью, этим всерьез занялись Минсвязи и Федеральное агентство по инфотехнологиям.
 
   Я.: У нас когда то пустили создание этих сетей на самотек, и каждый лепил, как мог. Но два года назад все это было проанализировано, и приняли единственно возможное решение — делать надстройку, через которую все будут общаться, то есть создать федеральный информационный центр для межведомственного взаимодействия. В этом году уже демонстрировался макет системы. Данные из Москвы передавались в центр другой организации, условно говоря — кто-то пришел в Москве в ГИБДД, и запрос об этом человеке, о машине идет по всем ведомствам. И по квартире, кажется, был такой тестовый запрос. Все сработало более или менее нормально.
   Где же берутся кадры для всех этих проектов? ИБ сегодня — это множество рабочих мест. ИБ — самая модная ИТ— специальность в любом вузе. Действительно тут есть большое поле деятельности или это просто мода?
   Я.: Специальность и правда модная, но люди, которые закончили МГУ — ВМК, мехмат, не очень востребованы по этой линии. В основном нужны не разработчики, а те, кто будет эксплуатировать готовые системы.
 
   С.: Не совсем согласен. Я знаю, что в коммерческих структурах, в банках на самом деле востребованы квалифицированные люди, которые могут разрабатывать и сопровождать именно построение системы ИБ в целом. Конечно, надо ее и наполнить — купить нужное железо, поставить нужные программы, но в первую очередь грамотно придумать концепцию системы. Если же говорить о науке — например, о криптографии, то в ней и в смежных вопросах ИБ сейчас огромное количество новых научных задач. Надо только учитывать сейчас степень востребованности науки в России вообще.
 
   Я.: По поводу задач в более широком смысле слова — существует официально утвержденный в 2001 году список 114 приоритетных научных задач в области ИБ (показывает документ: «Научные и методологические проблемы информационной безопасности», сборник статей под ред. В. П. Шерстюка, М., МЦНМО, 2004).
   Беру наугад. Задача 2.2.1.5 — «исследование проблем информационной безопасности общероссийской информационной структуры». Нужное дело, бесспорно. Но как может быть сразу 114 приоритетных задач? В каком смысле они приоритетные?
   Я.: Это очень полезный список, здесь представлены все аспекты ИБ, от фундаментальных философских до математики, криптографии, стеганографии, и кончая кадровыми вопросами. Многое имеет отношение и к критически важным ИС.
   Отлично. Но давайте в заключение обсудим простой житейский вопрос: с чего начать компании, которая хочет себя защитить?
   С., Я. (хором): От чего?
   От атаки по информационным каналам.
   С.: Нет, так не ставится вопрос. Компания должна четко объяснить специалисту, от чего она хочет защититься. Все компании всегда произносят те же слова, что и вы сейчас! Тут и начинается работа специалиста, который конкретизирует — от кого защитить, что защитить.
   Я.: Защита всегда конкретна. Нужно понять, какую информацию хотим сохранить, и самое главное — создать модель противника.
   С.: Может быть такая постановка задачи: мне не страшно, что будут читать то, что я пишу, — но страшно, если там что нибудь изменят. Или так: если прочитают Петров и Сидоров, не страшно, а если мистер Джонс — страшно. Причем все они работают в моей компании.
   Я.: Чтобы дать рецепт, нужно влезть в компанию. То есть если хочешь получить надежные рецепты — должен раскрыться. Вот это многих останавливает. Первый этап информационной защиты — твоя оценка того, кто тебе угрожает.
   А у нас даже ИС этого не делают?
   С.: Нет, конечно. Вместо этого они идут на большие расходы и создают собственные подразделения, куда и пытаются набрать лучших специалистов.
   Вот это и есть ключевой тезис — о раскрытии. Очень серьезная проблема!
   Я.: Ключевой тезис такой: у нас в стране не было и пока нет системы подготовки кадров, которые могли бы давать такие рекомендации. Остались только те, кто был воспитан еще… в давние времена. Поэтому во всех крупных структурах люди именно такие. Для этого нужно быть широко образованным человеком.
   Такого образования уже нет?
   Я.: Нет.
   То есть — катастрофа?
   Я.: Катастрофа. Мы в МГУ очень узкие специализации готовим. Людей широкого профиля, которые могут дать рекомендации по защите крупного объекта, никто нигде в России не готовит. За исключением закрытых структур, готовящих кадры для закрытых же структур. 120 вузов открыли специализацию по ИБ. Но по пальцам можно пересчитать вузы, которые готовят действительно хороших специалистов.
   С.: Чтобы готовить специалистов, нужно самому быть специалистом и иметь большой опыт. А таких преподавателей, увы, немного.
   Что можете порекомендовать — где лучше учиться по этому профилю?
   Я.: Лучше всего — в ИКСИ (Институт криптографии, связи и информатики) академии ФСБ. Но он готовит специалистов только для военных и для себя. Далее — МИФИ (факультет ИБ), МГТУ им. Баумана (но там тематика несколько уже, с ориентацией на технические средства защиты). Потом — РГГУ, МИЭМ, Московский Университет связи, в МИРЭА есть хорошая кафедра. В послед ние годы резко вырос Самарский университет. Проблема образования каждый год обсуждается на всех уровнях — но пока ничего не сдвинулось с места.
   А на Западе какие университеты сильнее всех по этой части?
   С.: Там много очень сильных школ. МТИ, Цюрих (ЕТН), прекрасная школа — Бельгийский католический университет. Они открыты, но до определенного предела. Некоторые работы выполняют для своих спецструктур, кое что им не рекомендуют обсуждать на конференциях.
   Значит, у нас такой уровень только у военных, а там и у гражданских?
   Я.: Могу ответить так: мы опоздали на тридцать лет с четким разделением проблематики ИБ на открытую и закрытую. Когда у американцев в 1975 году появились Диффи и Хеллман — это было начало. После нескольких лет борьбы их отпустили «на волю», и пошло все это развиваться в университетах. Сначала был принцип добровольного цензурирования, с докладом в АНБ, но потихоньку все освободилось.
   С.: А в России, уже после того, как Советский Союз рухнул, еще долго продолжали бороться против открытого крипто, и вообще открытости в ИБ. Само слово «криптография» было секретным.
   Я.: Настоящий рывок к открытости у нас тоже произошел — но только пять лет назад, когда в МГУ состоялась международная конференция «Московский университет и развитие криптографии в России».

Угрозы реальные и мнимые

   Автор: Киви Берд
   Самым, пожалуй, ярким и запоминающимся следом, который сумел оставить в истории американский политик Джон Хамре (John Hamre), стала его речь в Конгрессе США 9 марта 1999 года, когда в качестве замминистра обороны он впервые отчеканил выражение «электронный Перл-Харбор». Предупреждая законодателей о постоянно растущих угрозах со стороны кибертеррористов, Хамре дал красочные предсказания новых атак, которые «будут направлены не против военных кораблей, стоящих в гавани; теперь они будут направлены против инфраструктуры».
 
ЦИФРОВОЙ ПЕРЛ-ХАРБОР
   Люди, как известно, легко западают на броские и запоминающиеся образы, а потому эффектная и доходчивая формула «электронный (или цифровой) ПерлХарбор» быстро стала как бы самоочевидным аргументом едва ли не во всех дискуссиях и исследованиях, касающихся защиты критических инфраструктур. Тем более что ныне не подлежит сомнению ключевая роль информационных технологий, компьютерного оборудования и программного обеспечения во всех областях, которые обычно принято относить к критично важным для общества и государства инфраструктурам: энергетике, водоснабжению, транспорту, коммуникациям, финансово-банковским сетям и т. д.
   Реальность такова, что ныне практически все эти системы и сети оказываются весьма сложным и замысловатым образом взаимопереплетены и взаимозависимы, хотя и управляются совершенно разными структурами. С точки зрения информационной безопасности это означает, что насущно необходима выработка единой стратегии защиты для критической инфраструктуры в целом. Однако взгляды на то, как должна выглядеть эта стратегия, сильно различаются.
   Самая распространенная точка зрения, явно доминирующая в государственных, промышленных и бизнес-кругах, сводится к тому, что информационная безопасность — это комплекс технических мероприятий, планомерно улучшая которые можно повышать степень защиты. Иначе говоря, создавая лучшие модели контроля доступа, совершенствуя криптографические протоколы, оттачивая методы выявления проникновений и защиты от вредоносных кодов, разрабатывая более и более мощные инструменты для оценки систем — можно и должно решить очевидные проблемы с безопасностью в сегодняшних компьютерных сетях вообще и в критических инфраструктурах в частности.
   Однако есть и в корне иная точка зрения, которой придерживаются главным образом независимые исследователипрофессионалы. Среди них достаточно известных и весьма авторитетных специалистов с опытом работы в большой индустрии и государственных службах, благодаря чему и эту позицию иногда удается доводить до сведения властей и средств массовой информации. Но в целом альтернативный взгляд на инфобезопасность пока что известен общественности очень плохо. А потому стоит рассказать именно о нем.
ОПАСНОСТИ МОНОКУЛЬТУРЫ
 
   В сентябре 2003 года под эгидой CCIA, всеамериканской Ассоциации компьютерной и коммуникационной индустрии, был опубликован 24-страничный аналитический документ под названием «КиберНебезопасность — цена монополии».
   В этой работе семь известных экспертов по защите информации (Дэн Гир, Питер Гутман, Чарльз Пфлигер, Брюс Шнайер и др.) дали развернутое обоснование идее,согласно которой абсолютное доминирование в компьютерах программного обеспечения Microsoft (92—95%) привело к образованию, по сути дела, «софтверной монокультуры», что является очевидной угрозой для национальной безопасности.
   Термин «монокультура» обычно применяется биологами для описания систем с очень низким уровнем генетического разнообразия и, как естественное следствие, с большой степенью риска подверженных опасностям вымирания. В частности, монокультура стала бичом сельского хозяйства, где ради максимальных урожаев с единицы площади нередко засаживают все одной, самой плодовитой и выгодной культурой, а появление неизвестного прежде паразита-вредителя превращается во всеобщую катастрофу. Как это было, например, со знаменитым картофельным голодом в Ирландии XIX века, вызванным гибелью урожаев из-за грибкового паразита фитофторы, или с массовым уничтожением виноградников в Европе из-за нашествия тли филлоксеры, вызвавшей чуть ли не разруху в индустрии виноделия.
   Дэн Гир, технический директор известной «хакерской» фирмы @stake и главный соавтор отчета «КиберНебезопасность», в свое время защитил в Гарварде диссертацию по биостатистике. Именно он и углядел характерные признаки монокультуры в ситуации, сложившейся в компьютерносетевой сфере из-за тотально утвердившейся на рабочих станциях и серверах операционной системы Microsoft Windows.