За доверие в электронной среде

Тема информационной безопасности (ИБ) проходит красной нитью через все программы и инициативы, связанные с цифровой экономикой и цифровизацией. Николай Нашивочников, заместитель генерального директора, технический директор ООО "Газинформсервис" - ​одного из крупнейших в России системных интеграторов в области безопасности и разработчиков средств защиты информации - ​в интервью главному редактору "Стандарта" Леониду Конику рассказал о способах минимизации рисков в сфере ИБ, оценил реальную устойчивость к взлому технологии blockchain и прокомментировал первые результаты применения закона "О безопасности критической информационной инфраструктуры".

- Согласны ли вы с тем, что по мере того как цифровая трансформация всех отраслей экономики и государственного управления набирает обороты, нарастают и риски в сфере информационной безопасности?

- Массовая цифровая трансформация существенно не повлияет на ИБ-ландшафт: основные уязвимости и белые пятна в этой сфере останутся прежними. Для борьбы с ними нужно продолжать повышать осведомленность персонала, поскольку пока, к сожалению, мы отмечаем низкий уровень цифровой компетенции у пользователей. Также есть потребность в качественном, системном управлении уязвимостями и в управлении правами доступа.

Частным примером является применение методов машинного обучения - ​как в самих ИТ-системах, так и в средствах защиты информации, в том числе в системах типа User and Entity Behavior Analytics, которые занимаются выявлением аномалий в поведенческих характеристиках. Уже возник новый тип мошенничества на базе машинного обучения - ​состязательные атаки (обман алгоритма распознавания изображений путем внедрения намеренно измененных образов - ​Прим. "Стандарта"), и традиционные методы для их отражения либо вообще не работают, либо малоэффективны. Если такая атака идет на ICS (Industrial Critical System - ​критически важную промышленную систему), то последствия могут быть самыми серьезными. В качестве примера можно привести беспилотный автомобиль, перед которым стоит знак Stop, но он идентифицирует его иначе, чем человек, и продолжает движение.

- Разделяете ли вы мнение многих ИТ-директоров промышленных предприятий о том, что тотальная цифровизация с применением зарубежных решений и технологий несет угрозу потери технологического суверенитета России?

- Эта тема теряет актуальность. Правительственная программа "Цифровая экономика РФ" декларировала создание каркаса безопасности цифровой экономики, в том числе в области новых технологий и обеспечения цифрового суверенитета России в 2020 году. При этом программы по импортозамещению набрали оборот. Они имеют определенные этапы, и в случае если на данный момент отечественного аналога того или иного ИТ-актива еще нет, и при этом отсутствует возможность исключить его из функционирующей системы, то корпорации принимают меры по обеспечению его безопасного сопровождения - ​то есть берут на себя не только 1‑ю и 2‑ю, но и 3‑ю линию поддержки. "Газинформсервис" оказывает такие услуги на аутсорсинге - ​мы начали эту работу еще в 2016 году.

- История со взломом компьютерной сети американского казино через "умный" термометр в аквариуме, произошедшая в апреле 2018 года, наглядно показала уязвимость устройств Интернета вещей (IoT). По различным прогнозам, в ближайшие пять-семь лет в мире появится от 50 млрд до 300 млрд IoT-устройств, одной из целевых характеристик которых является дешевизна. Как защитить каждый датчик, видеокамеру и иные IoT-устройства от несанкционированного доступа, не повышая существенно их стоимость?

- Для IoT и, в частности, для промышленного Интернета вещей применимы традиционные подходы к ИБ - ​например, защита инфраструктуры и межсетевого взаимодействия, применение наложенных средств защиты информации. Но чтобы сохранить финансовую привлекательность, в IoT-устройствах нужно активнее применять встроенные средства защиты. В этом должна помочь стандартизация, предусмотренная программой "Цифровая экономика РФ". Нас в этой теме волнует появление двух документов: стандарта безопасности машинного взаимодействия киберфизических систем и стандарта Интернета вещей (их выпуск запланирован на 2021‑2024 годы). Интересно, какой путь выберет Россия. Можно опереться на уже существующие стандарты - ​на упомянутые в инициативе "Индустрия 4.0" (OPC Unified Architecture, столь популярная в Европе) или на Industrial Internet Consortium, на который предпочитают ссылаться в Северной Америке, - ​либо можно пойти самобытным путем.

Хочу отметить активность действующего при Федеральном агентстве по техническому регулированию и метрологии Технического комитета по стандартизации "Криптографическая защита информации" (ТК 26), в работе которого принимает участие "Газинформсервис". В составе ТК 26 создана рабочая группа по проработке вопросов стандартизации криптографических механизмов для М2М и индустриальных сетей. Но даже стандартизация не убережет нас от человеческого фактора (я уже упомянул низкую компетенцию пользователей). Отрадно, что сейчас редко можно найти точку интернет-доступа, которая не защищена паролем, хотя еще недавно это было сплошь и рядом. Но дальнейшего продвижения к безопасной настройке ИТ-устройств, к сожалению, не наблюдается. Скорее всего, в ближайшем будущем появятся регулирующие документы, предписывающие производителям по умолчанию делать безопасные настройки оборудования, которые в том числе регламентируют действия пользователя.

- С Интернетом вещей произошла удивительная история: если прежде технология сначала проходила стандартизацию, а уже затем появлялась на рынке, то с IoT все было наоборот. На коммерческом рынке присутствует десяток технологий, начиная с LoRaWAN, SigFox или "Стриж", ни одна из них не является стандартом, но все активно внедряются.

- Вот поэтому и происходят взломы через "умные" термометры, идут DDoS-атаки через утюги, холодильники и видеокамеры.

- За последние год-два огромную популярность набрала технология распределенных реестров. Практически каждый, кто ее упоминает, подчеркивает гарантированную устойчивость blockchain к взлому. Разделяете ли вы этот оптимизм? Если нет, то каковы основные уязвимости данной технологии?

- Как и любая другая технология, blockchain не является на 100 % устойчивой к взломам. Ее использование не избавит нас от необходимости решать стандартные проблемы, стоящие перед информационной безопасностью.

Безусловно, мы можем полагаться на устойчивость криптографических алгоритмов и правильность математических формул, лежащих в основе самой концепции blockchain. Но наши гарантии безопасности заканчиваются ровно тогда, когда мы переходим от теории к программно-аппаратной реализации технологии. В реальном мире она представляет собой распределенную информационную систему, компонентами которой являются привычные ИТ-объекты (программный код, каналы передачи данных, серверы, персональные компьютеры). Надежность составных компонентов распределенной сети blockchain далека от 100 %.

Для примера, возьмем сеть Ethereum, которая в последнее время активно используется для проведения всевозможных ICO. Концепция Ethereum описана ее основателями строгим математическим языком в многостраничном документе. В основе Ethereum лежит виртуальная вычислительная машина, полная по Тьюрингу. При переносе в практическую плоскость описанная спецификация виртуальной машины Ethereum реализуется на каком-либо языке программирования. Существует множество подобных программных реализаций виртуальной машины Ethereum (Geth, Parity и другие). И все эти конечные программные продукты либо уже были подвержены взломам через обнаруженные уязвимости, либо имеют высокую вероятность взлома.

Помимо эксплуатации уязвимостей в программных реализациях виртуальной машины Ethereum, одним из векторов атаки злоумышленников являются смарт-контракты - ​написанные на языке Solidity программы, позволяющие реализовывать бизнес-логику в сети blockchain. За последнее время именно эксплуатация уязвимостей, обнаруженных в смарт-контрактах, привела к самым громким инцидентам (The DAO, кошелек Parity).

Наконец, не стоит забывать об угрозе конфиденциальности данных, которая возникает в силу открытости blockchain. Также большая опасность может исходить от майнеров - ​участников сети распределенных реестров, которые при обработке транзакций могут влиять на процесс их обработки. Подобные векторы атак характерны не только для Ethereum, но и для других платформ, таких как Bitcoin, HyperLedger Fabric.

Вопрос, связанный с безопасностью технологии, очень хорошо изложен нашим экспертом Маратом Рахимовым в статье "Безопасность блокчейна. Уязвимости технологии и инструменты аудитора смарт-контрактов" (в №3‑2018 BIS Journal). В "Газинформсервисе" есть центр компетенций по blockchain, и мы прорабатываем вопрос применения этой технологии для разработки различных продуктов, в том числе для развития сервиса по обеспечению безопасности трансграничного пространства доверия.

- А нужна ли, на ваш взгляд, стандартизация технологии blockchain? Ведь пока в этой сфере, как и в IoT, параллельно развиваются разные подходы.

- Тут главный вопрос - ​о силе применяемых криптографических алгоритмов. Не случайно они выносятся на суд сообщества, которое их анализирует. Раньше бытовало мнение, что криптоалгоритм должен быть закрытым, и ГОСТ 28147‑89 ("Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования") имел гриф "Секретно", потом - ​"Для служебного пользования", а сейчас криптографический алгоритм полностью открыт для изучения и анализа. Чем больше экспертов будет привлечено к анализу, тем выше вероятность того, что технология будет менее уязвима.

- По требованию Роскомнадзора в России были последовательно заблокированы социальная сеть LinkedIn и мессенджер Telegram. Однако ни для кого не секрет, что россияне (включая чиновников) продолжают массово ими пользоваться. Действительно ли технически невозможно заблокировать эти или иные онлайн-ресурсы? И если это так, то о каких гарантиях ИБ вообще можно говорить?

- Истории с LinkedIn и Telegram, на мой взгляд, лишь косвенно относятся к информационной безопасности. Они больше о приватности. Понятно, что мы не можем добиться приватности без должного уровня безопасности, а вот наоборот это работает (безопасность может быть без приватности). В случае с LinkedIn обход идет через VPN (Virtual Private Network). Будучи специалистом по ИБ, я изначально воспринимал VPN как технологию, находящуюся "на светлой стороне": она придумана для того, чтобы защищать каналы передачи информации. И просто так уйти от VPN невозможно: к примеру, никто не захочет использовать систему "банк-клиент" по открытому каналу. Но мы видим, что VPN также применяется для того, чтобы обходить блокировки, - ​и это вопрос баланса между приватностью и безопасностью. В теории можно добиться запрета VPN, но это полностью исключит приватность.

Существуют технические средства, которые умеют разбирать и классифицировать зашифрованный трафик, хотя и они не гарантируют 100 %-ной точности.

- Одним из шести направлений национальной программы "Цифровая экономика РФ" является "Информационная безопасность". Центром компетенций по этому направлению назначен Сбербанк, а руководителем одноименной группы - ​глава InfoWatch Наталья Касперская. Участвует ли "Газинформсервис" в деятельности этой рабочей группы и как вы оцениваете программу в целом?

- "Газинформсервис" принимает деятельное участие в рабочей группе "Информационная безопасность", но не ограничивается этим. Мы присутствуем в нескольких технических комитетах, включая упомянутый ТК 26. Говоря о программе "Цифровая экономика РФ", я хочу отметить работу по формированию единой среды доверия при цифровом взаимодействии - ​как внутри страны, так и в трансграничном формате. Укрепление доверия к электронной среде является ключом для экономического и для социального развития. Отсутствие доверия из-за восприятия юридического регулирования как недостаточно однозначного приводит к тому, что частные потребители, бизнес-сообщество и государственные органы не очень охотно совершают электронные транзакции и пользуются электронными сервисами.

Мнение о полезности программы "Цифровая экономика РФ" можно будет сформировать в начале 2019 года, когда будут подводиться первые итоги работы.

- С января 2018 года в России вступил в силу закон ФЗ‑187 "О безопасности критической информационной инфраструктуры (КИИ)". Что реально изменилось на рынке ИБ за почти год действия этого закона?

- Значительную часть времени субъекты критической инфраструктуры посвятили осмыслению шагов, которые следует предпринять в связи с вступлением в силу этого закона и подзаконных актов к нему. Некоторые субъекты провели за это время колоссальный объем работы, связанной с предпроектными обследованиями объектов КИИ. В частности, выявлены объекты, на которых реализуются критические процессы, и сформированы перечни АСУ ТП, обеспечивающих реализацию этих критических процессов. Также были сформированы программы мероприятий, предусматривающие создание равнопрочных систем безопасности значимых объектов КИИ и корпоративных сегментов Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА).