Каков вклад российских ученых в теорию информационной безопасности кратко
Обновлено: 02.07.2024
Как же хорошо этот закон передает соль нашего русского "авось" или "закона подлости". И кто хоть раз из специалистов по информационной безопасности ни разу не встречал эту замечательную пару на своем пути?
Вспомните, сколько было "подходов", которые должны были помочь сформировать защищенную информационно-телекоммуникационную инфраструктуру в стране?
2001 год - Решением Коллегии Государственной технической комиссии при президенте Российской Федерации от 02 марта 2001 г. № 7.2 был издан документ "Специальные требования и рекомендации по технической защите конфиденциальной информации" , он же СТР-К.
Для своего времени документ был нов и даже революционен, ведь он уже тогда описывал требования к защите локальной сети. Повторюсь, не к автономному АРМ, а к ЛВС.
Но у документа оказались свои недостатки.
2006 год – 27 июля на свет появились два брата: Федеральный закон № 149-ФЗ "Об информации, информационных технологиях и о защите информации" и Федеральный закон № 152-ФЗ "О персональных данных" . Сейчас они разительно отличаются от исходных документов, но задача их не изменилась:
- 149-ФЗ регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий; обеспечении защиты информации, (а в дальнейшем станет основополагающим для ГИС/МИС);
- 152-ФЗ в свою очередь, регулирует отношения, связанные с обработкой персональных данных, в том числе требования к защите информации, для всех операторов ПДн.
Прошло почти два года, прежде чем регуляторы сформировали требования к системе безопасности.
В 2007 году было выпущено постановление Правительства РФ от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" , а в 2008 году были утверждены: постановление Правительства РФ от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" , указ Президента Российской Федерации от 17 марта 2008 г. № 351 "О мерах по обеспечению информационной безопасности российской федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" , тройственный приказ от 13 февраля 2008 г. № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" . Также в это время появились методические документы ФСТЭК России по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, и обеспечению безопасности информации в ключевых системах информационной инфраструктуры.
В этих документах регулятор старался описать и организационные и технические меры защиты информации.
Однако появилась другая проблема: методические документы ФСТЭК России не несли юридической значимости, и ситуация с ними начала развиваться аналогично СТР-К, только была изменена трактовка: документы не вписываются в структурную схему НПА, т.е. они сами не являлись НПА федерального органа исполнительной власти и не были изданы в рамках исполнения данного НПА.
В результате мы получили еще 4 года бездействия подавляющего большинства организации, которые обрабатывали информацию ограниченного доступа не содержащей сведения, составляющие государственную тайну.
2012-2014 гг. Годы прорыва и формирования фундамента для существующего подхода в области информационной безопасности.
1 ноября 2012 г. постановлением Правительства Российской Федерации № 1119 были утверждены " Требования к защите персональных данных при их обработке в информационных системах персональных данных" , 11 и 18 февраля 2013 г. Федеральной службой по техническому и экспортному контролю были утверждены " Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (они же Приказ № 17) и "Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (он же Приказ № 21).
Данные документы кардинально изменили подход к созданию систем информационной безопасности. Появилась ясность в этапах действий для Собственников систем и интеграторов ИБ. Но самое гласное, что принесли эти документы – группы мер защиты информации.
Наверняка, большинство из вас провели не мало времени чтобы понять, как реализовать систему безопасности для каждой из мер. Споров было не мало по данным вопросам, а самая главная сложность заключалась в том, что существующие средства защиты информации либо частично не соответствовали требованиям, либо таких средств не было в принципе.
Плюс к тому, под новые требования надо было разрабатывать новые документы для сертификации средств защиты информации. ФСТЭК России сделал лояльное, взвешенное, и для тех времен единственно верное решение. Были даны послабления по переходу на новые требования для тех, кто хоть как-то реализовывал ИБ. Иным организациям было дано указание реализовывать, что возможно согласно заданному вектору и постепенно совершенствовать систему ИБ у себя, разработчикам систем защиты информации дали достаточно много времени, чтобы они смогли перейти на новые требования.
Но как бы это хорошо не звучало на бумаге или в теории, на практике же получилось следующее. Инновации задели лишь органы государственной власти, органы местного самоуправления, муниципальные предприятия, федеральные органы исполнительной власти, госкорпорации.
Частный бизнес решили последовать по принципу "Да и так сойдет". Если честно, их понять можно, реализация системы защиты информации стоит на порядки больше, чем десяток административных штрафов за нарушение статьи 13.12 КоАП. И мало кто задумывался о том, что компьютерные преступления реально возможны и существуют уже сейчас.
Пока ФСТЭК России корпел над разработкой требований к средствам защиты информации, параллельно, 14 марта 2014 г., были утверждены "Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" (Приказ ФСТЭК России № 31). Это был второй заход для урегулирования системы безопасности на критически важных объектах.
Этот документ включает в себя в хорошее от Приказов № 17 и 21, а также методических документов ФСТЭК России по обеспечению безопасности информации в ключевых системах информационной инфраструктуры. И все было бы хорошо если бы не один абзац 1 пункта: "Настоящие Требования применяются в случае принятия владельцем автоматизированной системы управления решения об обеспечении защиты информации, обработка которой осуществляется этой системой и нарушение безопасности которой может привести к нарушению функционирования автоматизированной системы управления".
Для меня до сих пор остается загадкой почему спустя 6 лет, в 2020 году еще нет поправки, которая бы вычеркнула этот абзац из приказа.
Тем временем приказом ФСБ России от 10 июля 2014 г. № 378 утверждены "Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" . Что можно сказать про этот документ – в нем учтены ошибки прошлого – нет рекомендаций есть требования. Действительно хорошая инструкция для применения
Предпосылка перед 5 этапом
12 мая 2017 года началось массовое распространение WannaCry— одними из первых были атакованы компьютеры в Испании, а затем и в других странах. Среди них по количеству заражений лидировали Россия, Украина и Индия. В общей сложности, за короткое время от червя пострадало около полумиллиона компьютеров, принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям, в более чем 200 странах мира.
Распространение червя блокировало работу множества организаций по всему миру: больниц, аэропортов, банков, заводов и др. Меня это беда миновала, так как за месяц до этого инцидента я сам столкнулся с первыми версиями этого шифровальщика. И благодаря этому мы успели реализовать необходимые требования по безопасности, до начала эпидемии.
Как мне кажется, после этого инцидента начался 5 виток развития информационной безопасности этап КИИ.
26 июля 2017 г. был издан Федеральный закон № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" , который постарался охватить максимальное количество сфер деятельности, где могут функционировать критически важные информационные системы (объекты).
И тут мы вспоминаем 2001 год, тот день, когда мы могли начать идти в ногу со временем, а не надеется на наш "авось", 2008 год, когда все хотели обойтись минимальными затратами или вообще не собирались заниматься информационной безопасностью в ИСПДн или ГИС, 2014 год, когда собственникам предлагался своего рода "пряник" для постепенной реализации системы безопасности КВО в виде Приказа № 31, а из-за нежелания что-либо делать, исходя из здравого смысла и рациональных доводов появился "кнут" - была добавлена в УК РФ статья 274.1 .
А так как он вступал в силу с 1 января 2018 г., то логично было предположить, что 5 месяцев для подготовки должно было хватить всем. И регуляторам, и собственникам ИС. Но как оказалось на практике, собственники ИС абсолютно не были готовы к такому повороту событий (разве что органы государственной власти и федеральные органы исполнительной власти, так как их обязывали реализовывать систему безопасности, и они часто подвергаются проверкам в этой области).
"Закон подлости" сработал именно тогда, когда это и ожидалось и поэтому наша страна оказалась среди лидеров по количеству заражений от WannaCry.
Если посмотреть на все происходящее, то Россия только входит эпоху формирования безопасной информационной телекоммуникационной инфраструктуры. Системы ИБ формируются уже не на давно функционирующих системах, а стараются внедряться либо с учетом вновь создаваемых ИС у заказчиков, либо внедряются с учетом основательного пилотирования подсистем ИБ. Интегратор ИБ уже не сам доказывает заказчику, что система ИБ — это важный элемент его инфраструктуры. Сейчас у заказчика формируются все более чёткие требования к собственной системе ИБ. Компании начали заботиться о защите ИСПДн и сами обращаются к интеграторам с просьбой помочь спроектировать и реализовать систему ИБ. Это кстати, касается и субъектов КИИ, но это уже совсем другая история.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Боитесь что ANONYMOUS опустошат ваши счета ? Хакеры объявили Кибервойну России! Узнай первым , как выжить в цифровом кошмаре!
Выдающийся советский и российский учёный, инженер, педагог и организатор науки и образования, один из основоположников радиофизики, радиотехники, информатики, радиоастрономии и отечественной криптографии В.А. Котельников родился 10 сентября 1908 года в Казани. Его дед и отец были профессорами Казанского университета. К 6 годам маленький Володя уже хорошо читал, писал, освоил начальные курсы арифметики, алгебры, геометрии.
В суровые годы I Мировой войны, Октябрьской революции, Гражданской войны семья Котельникова переезжала из города в город, и его дальнейшее образование продолжалось самостоятельно по домашним книгам, а школьная учеба составила только 3 последних класса. Увлекаясь радиотехникой, Владимир в 1926 году поступил на электротехнический факультет МВТУ им. Н.Э. Баумана и одновременно посещал слушателем интересующие его курсы физико-математического факультета МГУ.
В 1930 году по окончании электротехнического факультета Московского энергетического института (МЭИ), который в это время выделился из МВТУ, был принят на работу инженером в НИИ связи Красной армии. В 1931 году был зачислен в аспирантуру МЭИ, и одновременно последовательно работал лаборантом, ассистентом, доцентом, а также начальником лаборатории и главным инженером по радио в Центральном научно-исследовательском институте связи Народного комиссариата почт и телеграфов (НИИС НКПиТ) [14, 15 ] .
ОПЕРЕЖАЮЩЕЕ ОТКРЫТИЕ
В 1924 году инженер-электрик швед Г. Найквист, работавший над вопросами теории передачи телеграфных сигналов, описал фундаментальную теорему отсчётов, согласно которой частота отсчётов должна, по крайней мере, в 2 раза превышать верхнюю частоту спектра передаваемого сигнала F. В это же время немецкий ученый Р. Кумфнер независимо вывел важнейшую закономерность в теории связи: N>2FT, где N – число отсчётов, которое необходимо для представления временного отрезка сигнала длительностью T, а F – полоса частот, занимаемая телеграфным сигналом. Следует отметить, что эта теорема как один из частных математических результатов теории интерполяции функций была открыта в начале ХХ века английскими математиками Э.Т. Уиттекером и Дж.М. Уиттекером [8] .
В 1933 году эта теорема была существенно обобщена В.А. Котельниковым, который математически точно доказал: потери информации не происходит, если любой непрерывный сигнал s(t) со спектром, ограниченным частотой F, преобразуется в дискретную последовательность импульсов, следующих с интервалом T=1/2Fс. В этом случае по сигналу s(iTi) можно восстановить исходный s(t). Эта зависимость была самостоятельно выявлена К.Э. Шенноном в 1949 году.
В СПЕЦЛАБОРАТОРИЯХ
В начальный период формирования телефонной лаборатории в ней работали Ю.Я. Волошенко, Д.П. Горелов, М.Л. Дайчик, Г. Двойневский, А.Я. Захарова, К.Ф. Калачев, Н.Н. Коробков, Р. Лейтес, В.А. Малахов, В.Н. Мелков, Н.Н. Найденов, А.П. Петерсон, А.М. Трахтман, Н.А. Тюрин, В.Б. Штейншлегер и другие учёные и инженеры. В начале 1950-х годов большинство из них стали ведущими специалистами в новых институтах, разрабатывавших шифрующую аппаратуру.
ВСЁ ДЛЯ ФРОНТА
В период 1930–1945 годах крупные немецкие фирмы AEG, Telefunken и Siemens разработали до 15 типов телефонных шифраторов и изготовили 2180 экземпляров, но все они имели ограниченную стойкость против дешифрования [9] . За создание наиболее сложной отечественной аппаратуры засекречивания речи группе разработчиков (Д.П. Горелову, Н.Н. Найденову, И.С. Нейману, А.М. Трахтману) и В.А. Котельникову в 1943 и 1946 годах присуждали Сталинские премии I степени [6, 7 17, 23] .
В лаборатории В.А. Котельникова проводились также исследования возможностей создания аппаратуры засекречивания с использованием принципа полосного вокодера – выделения основного тона речи, открытого в 1939 году американским инженером Г. Дадли. Работа была доведена до действующего макета, который был испытан и продемонстрировал возможность использования этого принципа для сжатия речевого сигнала. В ходе работы В.А. Котельниковым был также предложен и опробован принцип артикуляционного тестирования систем передачи речи, впоследствии усовершенствованный и широко применяющийся до настоящего времени.
ИДЕАЛЬНОЕ − НЕДЕШИФРУЕМОЕ
АППАРАТЫ НОВОГО ПОКОЛЕНИЯ
В период 1952–1957 гг. помимо НИИ-2, переименованного в 1966 г. в НИИ автоматики, были созданы и начали функционировать промышленные научно-исследовательские и проектные организации, в том числе ОКБ при заводе ВЭМ в Пензе и при заводе КЭМЗ в Калуге. Они включились в разработку и обеспечение промышленного выпуска аппаратуры криптографической защиты телефонных переговоров и телеграфной информации.
Несмотря на принятые меры, всё еще имело место несоответствие между потребностями заказчиков – Министерства обороны, КГБ СССР, других ведомств – и возможностями промышленности. Учитывая это, в Пензе в 1958 году был образован дублер п/я 37 − НИИ-3, с 1964 года назначенный головным предприятием разработки аппаратуры шифрования телеграфной информации и данных [27 ] .
В.А. Котельников, будучи с 1954 по 1988 год директором Института радиотехники и электроники АН СССР, а также позднее всё время был в курсе достижений отечественной техники засекреченной телефонной связи. Благодаря его инициативе, а также других членов Российской Академии наук и крупных учёных, 5 июня 1992 года Указом Президента РФ была образована Академия криптографии России.
КОНВЕРСИЯ КРИПТОГРАФИИ
В 2000 годах в РГНПО разрабатывают семейство технических средств специальной связи, реализующее качественно новые принципы и технологии создания шифраппаратов. Функциональные узлы спецаппаратов − речепреобразующих устройств, спецблоков, модемов − создаются на основе методов цифровой обработки сигналов, а реализуются на вычислителях реального времени.
В XXI веке российские предприятия предлагают как на отечественных, так и на зарубежных рынках широкую линейку сертифицированных моделей офисных, мобильных и универсальных телефонов, которые обеспечивают высокий уровень криптографической защиты переговоров, передачи цифровых данных и факсимильной информации.
Для защиты телефонных переговоров и цифровой информации также предлагаются малогабаритные криптографические приставки. Оформленные в виде подставки под телефонный аппарат устройства включаются между телефоном/факсом и абонентской линией. Из множества продукции этого рода можно привести примеры шифрующей аппаратуры 3 основных классов, которая способна успешно конкурировать с изделиями ведущих западных производителей:
К МОДЕЛЬНОЙ КВАНТОВОЙ МЕХАНИКЕ
Золотые медали к премиям имени И.В. Сталина, В.И. Ленина, А.С. Попова, М.В. Ломоносова, М.В. Келдыша, А.Г. Белла.
Вопросы обеспечения информационной безопасности возникли с появлением вычислительных машин, используемых для обработки и хранения информации. В разные годы этот термин имел различное содержание. Развитие вычислительной техники в последние годы и декларируемый переход к цифровой экономике увеличивают важность этой проблемы. В статье рассмотрены история вопроса, современное положение дел и мероприятия по обеспечению информационной безопасности.
Ключевые слова: информация, информационная безопасность, компьютерная преступность, антивирусные программы.
The ensuring information security issues arose with the appearance of computers used for processing and storing information. In different years this term had different content. The recent years computer technology development and the declared transition to a digital economy increase the importance of this problem. The article considers the history of the issue, the current state of affairs and measures to ensure information security.
Keywords: information, information security, computer crime, antivirus programs.
Современный этап развития общества часто характеризуют как эпоху перехода к цифровой экономике. Этот термин был введен в обращение еще в 1995 году американским аналитиком Николасом Негропонте из Массачусетского университета [6]. До сих пор нет полного единства мнений в его толковании, но все сходятся в понимании взрывного роста объемов накопления, обработки, структуризации и хранения информации, без чего невозможна эффективная работа современной экономики.
Автоматизированная обработка и хранение информации имеют относительно небольшую историю, тесно связанную с развитием вычислительной техники. И за это время представления о информационной безопасности претерпели значительные изменения.
Появившиеся в середине ХХ века большие электронно-вычислительные машины (ЭВМ) также первоначально использовались для научных расчетов, но постепенно их стали использовать и для обработки больших массивов информации. В это время появляются первые исследования, посвященные проблемам информационной безопасности. Первоначально причиной их появления была низкая надежность электронно-вычислительных машин, которые могли работать без сбоя только на протяжении нескольких часов. Сбои были вызваны низкой надежностью элементной базы ЭВМ и приводили к полной и необратимой потере информации, находившейся в оперативной памяти. Для борьбы с этим были созданы алгоритмы периодического автоматического сохранения этой информации на внешних носителях.
О других аспектах информационной безопасности тогда задумывались мало, поручая контроль за обеспечением режима доступа к ЭВМ, программам и результатам работы соответствующим отделам режимных предприятий. Именно на режимных предприятиях военно-промышленного комплекса первыми начали уделять серьезное внимание обеспечению информационной безопасности.
Развитие вычислительной техники, появление удаленных терминалов, а затем и персональных компьютеров радикально изменило ситуацию, а появление и широкое распространение локальных и глобальных компьютерных сетей с одной стороны и мобильных накопителей большого объема в сочетании с возможностью фото и видеосъемки недорогими и компактными устройствами с другой стороны потребовало полного изменения подхода к данной проблеме.
В настоящее время стремительный рост компьютеризации позволил обеспечить быстрое развитие науки, техники, культуры, а также изменение образа жизни людей. Одновременно недостаточная защищенность компьютерных сетей от технических сбоев и несанкционированного доступа, а также ошибочных действий персонала значительно повышает риск возникновения нештатных ситуаций, способных вызвать непредсказуемые последствия вплоть до техногенных катастроф.
Разновидности кибернетической преступности
В настоящее время принято выделять следующие разновидности противоправной деятельности в сфере информационных технологий [3]:
‒ Компьютерное мошенничество — намеренные действия, способные приводить к экономическим потерям государственных и частных организаций, а также отдельных граждан.
‒ Подделка компьютерной информации — изменения содержания электронных документов с использованием современных информационных технологий. Зачастую при этом происходит повреждение или подмена данных, хранящихся в компьютерных базах данных, а также несанкционированное изменение программ, используемых для обработки этих данных.
‒ Компьютерный саботаж — фальсификация данных или программ, незаконный отказ в обработке или передаче данных.
‒ Несанкционированный доступ к информации — нарушение установленных правил получения информации, что приводит к утечке конфиденциальной информации военного, коммерческого или личного характера.
‒ Несанкционированный перехват данных — нарушение доступа к данным в процессе передачи их по компьютерным сетям.
‒ Несанкционированное использование компьютерных программ — незаконное использование компьютерных программ без наличия соответствующих лицензий, взлом, модификация, воспроизведение и распространение программных продуктов, которые защищены законами об авторском праве.
Проблемы обеспечения информационной безопасности
Взрывной рост киберпреступности от глобального распространения вредоносных программ-вирусов по всему миру до участившегося использования взломов различных социальных сетей и мессенджеров делает проблему обеспечения информационной безопасности особенно актуальной.
Угрозы информационной безопасности можно разделить на внешние и внутренние. К первым относятся деятельность иностранных спецслужб и негосударственных организаций, заинтересованных в сборе конфиденциальной информации, составляющей государственную или коммерческую тайну. Ко вторым можно условно отнести отставание нашей страны в уровне информатизации от передовых стран Запада, недостаточная координация действий правоохранительных органов по защите законных интересов граждан, организаций и государства в целом в информационной сфере.
Обеспечение информационной безопасности на требуемом уровне осложняется целом рядом факторов, имеющих как объективный, так и субъективный характер. Остановимся подробнее на основных причинах, затрудняющих решение данной проблемы.
‒ Недостаточная защищенность информации, хранящейся в компьютерных сетях. Регулярно становятся известны обнаруженные недоработки и уязвимые места в коммерческом программном обеспечении (операционных системах, системах управления базами данных и т. д.), которое повсеместно используется во всех странах мира. Данные уязвимости могут быть использованы злоумышленниками для кражи и модификации информации, а также внедрения вредоносных программ-вирусов. Обнаруженные уязвимости, по возможности, оперативно устраняются разработчиками программного обеспечения путем выпуска обновлений используемых программ и новых версий на замену им. При этом неоднократно были отмечены случаи, когда решив старые проблемы, обновления могут создать новые, что порой приводило к потере работоспособности систем и потерям критически важной информации.
‒ Высокая коммерческая стоимость информации — этот фактор также является стимулом для попыток получить ее незаконным путем. В тех случаях, когда затраты для незаконного получения информации оказываются существенно меньшими, чем расходы на ее легальное приобретение, а также возможная выгода от ее обладания, люди используют все доступные им возможности для ее получения. Оставив вне нашего рассмотрения государственную тайну и секретную информацию, за которой охотятся спецслужбы других государств, рассмотрим еще один аспект данного фактора — широкое использование нелицензионных программных продуктов, защищенных авторскими правами. Именно политика крупных компаний, которые занимаются разработкой коммерческого программного обеспечения (операционные системы, офисные и графические пакеты программ, средства разработки и т. д.), фактически стимулирует пользователей использовать нелицензионные копии их программ.
Одним из следствий данной ценовой политики является появление и распространение бесплатных и условно бесплатных программных продуктов, создаваемых на основе открытого кода. Такие программы решают вопрос своей финансовой доступности для конечных потребителей, одновременно создавая для них другие проблемы, например, поддержки и модернизации. Также наличие исходного кода таких программ в свободном доступе может облегчать работу хакеров по их взлому и созданию вредоносных программ-вирусов.
‒ Неурегулированность юридических аспектов борьбы с киберпреступностью. Законодатели практически всех развитых стран на протяжении длительного периода времени не уделяли должного внимания для создания юридических инструментов для противодействия кибернетической преступности, выявления и наказания преступников, а также организации механизмов для возмещения ими ущерба, нанесенного в ходе их противозаконной деятельности. Подобное уже происходило в истории юриспруденции, например, первоначально не смогли дать юридического обоснования для фиксации фактов кражи электроэнергии в начале ХХ века. Юридические аспекты определения кибернетической преступности осложнялись тем, что зачастую преступники не совершали видимых действий с материальными объектами, так как сам факт передачи информации может не сопровождаться передачей ее носителей из одних рук в другие. Ситуация осложняется тем, что зачастую само государство поощряет деятельность хакеров, если они работают в отношении политических противников действующей власти или в отношении недружественных государств. Тем не менее, в настоящее время многие юридические аспекты уже получили поддержку на уровне законодательства, в основе которого лежит распространение авторских прав на интеллектуальную собственность в сфере разработки программных продуктов. Определены меры ответственности и способы борьбы, например, путем блокировки порталов, через которые ведется распространение нелицензионной информации. Работа здесь еще далеко не завершена, но прогресс налицо.
‒ Прямая заинтересованность в несанкционированном доступе к информации по политическим мотивам со стороны государственных или частных организаций. В последние годы все чаще приходится сталкиваться с тем, что происходят попытки несанкционированного доступа, а также вбросы, при которых информация намеренно искажается в интересах политических элит или государственных органов ведущих стран Запада. Создание, так называемых, фейковых новостей, фабрикация фальшивой информации, на основе которой должны приниматься самые серьезные экономические и политические решения, стало неотъемлемой частью информационной войны. С другой стороны, наблюдаются попытки ввести необоснованные, а порой и противозаконные попытки ограничения доступа к общественно-значимой информации. Информационные войны ведутся не только между отдельными государствами или группами государств, но зачастую и внутри государств, когда их развязывают различные элиты, преследующие свои собственные интересы. При этом информация используется для дискредитации своих политических соперников.
Подобные организации сами действуют зачастую вне правового поля, поэтому они подвергаются преследованиям со стороны государственных органов, которые сами при этом часто действуют за гранью закона. Характерный пример этого — судьба самого Джулиана Ассанжа, который вынужден с июля 2011 года укрываться на территории посольства Эквадора в Лондоне, чтобы избежать выдачи в Швецию по более чем сомнительному обвинению в изнасиловании. В настоящее время Эквадор предоставил ему политическое убежище, а США официально признали его врагом государства [7].
Таким образом, мы видим, что данный аспект заметно осложняет обеспечение информационной безопасности в тех областях, которые непосредственно попадают в сферу интересов политики.
‒ Субъективные факторы — зависимость от действий людей в процессе обработки и хранения информации, которые могут привести к утере или искажению информации. Следует разделять два принципиально разных варианта подобных действий: сознательные действия по нарушению режима информационной безопасности — кибернетическая преступность и неосознанные действия, которые могут привести к подобным последствиям.
Сознательные действия хакеров являются причиной наибольшего ущерба, который по оценкам Федеральной Службы Безопасности в мире за последние годы может составлять до одного триллиона долларов.
Человеческий фактор представляет собой самое слабое звено в сложных информационных системах. Недобросовестность и коррумпированность отдельных сотрудников может свести на нет весь комплекс мер противодействия хакерским атакам. Зачем взламывать сервер организации, если можно постараться найти сотрудника в данной организации, который недоволен своим материальным положением, отношением начальства или других сотрудников к нему, и постараться получить от него требуемую информацию за сумму, существенно меньшую реальной стоимости данной информации. Например, банки в погоне за сохранением своей репутации тщательно стараются скрыть случаи, когда их сотрудники сами участвовали в преступных схемах по хищению денег с банковских счетов.
Успеху попыток взлома извне часто способствуют и неумелые или неаккуратные действия самих сотрудников, а также излишняя бюрократизация или недостаточная квалификация собственных служб информационной безопасности. Неоднократно отмечались случаи несвоевременной установки обновления критически важных программных продуктов в крупных организациях из-за избыточно жестких требований по их самостоятельной проверке и тестированию в рамках службы безопасности самих организаций, что приводило к утечкам информации и несанкционированному доступу.
Как мы рассматривали выше, неоправданно высокая стоимость многих программных продуктов приводит к тому, что в ряде организаций используют нелицензионные программы, которые могут содержать в себе созданные хакерами закладки. Экономия на антивирусных программах, неаккуратная настройка программ-блокировщиков и файрволов, несвоевременное обновление как самих программ, так и баз известных вирусов также заметно снижает уровень информационной безопасности.
Мероприятия по обеспечению информационной безопасности
Обеспечение должного уровня информационной безопасности является сложной задачей. Она должна решаться одновременно на разных уровнях: государственном, корпоративном и уровне отдельных пользователей. Вклад разных участников в этот процесс определяется степенью важности обрабатываемой информации. Известно, что экстремистские и террористические группировки целенаправленно разрабатывают инструменты для причинения ущерба критической инфраструктуре. Государство не может обеспечить абсолютную кибербезопасность только своими силами, но оно должно обеспечить юридическую поддержку и проведение целого ряда профилактических мероприятий.
На корпоративном уровне объем мероприятий по обеспечению информационной безопасности определяется степенью важности хранимой и обрабатываемой информации. Обычно требуется принятие как технических, так и организационных мероприятий. К ним мероприятиям относятся установка и своевременное обновление файрволов, антивирусов и прикладных программ с предварительным их тестированием, регулярное создание резервных копий информационных баз данных, закрытие доступа к портам компьютеров, через которые возможны попытки организации хакерских атак, размещение почтового сервера организации на собственной аппаратной базе, ограничение траффика, в частности, запрет на использование сотрудниками социальных сетей, мессенджеров и личных почтовых аккаунтов с рабочих терминалов, ограничение и структуризация схемы доступа сотрудников организации к разделам информации в зависимости от их должности, исключение доступа посторонних лиц к рабочим терминалам. При работе с информацией, имеющий особенно большую ценность, необходимо протоколирование всех действий сотрудников, от которых зависит возможность потенциальной угрозы целостности информации и нарушению режима ее конфиденциальности.
На уровне пользователя требуется безусловное и осмысленное соблюдение всех основных требований компьютерной безопасности. Безусловно, рядовой пользователь домашнего компьютера едва ли сможет противостоять попытке взлома со стороны опытного хакера, но вероятность такого события близка к нулю. Обычно пользователи попадают в неприятные ситуации по собственной вине из-за небрежности или недостаточной внимательности. Не стоит экономить на антивирусной программе, нельзя отключать ее, чтобы получить доступ к некоторым ресурсам или установить программное обеспечение, полученное из сомнительных источников. Все это может привести к заражению компьютера вредоносными программными кодами. Домашние компьютеры рядовых пользователей могут представлять интерес для киберпреступников для кражи паролей доступа к кредитным картам или банковским счетам, а также для организации возможности внешнего удаленного управления компьютером, чтобы использовать его для организации массовой хакерской атаки какого-либо внешнего ресурса, например, сервера банка или государственной организации. Известны также случаи шифровки пользовательских данных персональных компьютеров рядовых пользователей в целях требования перевода денежных средств на счета хакеров, что квалифицируется уголовным кодексом как вымогательство. Наиболее известными примерами таких вредоносных программ являются WannaCry и Petya, которые нанесли ущерб компаниям во всем мире и распространились на более чем 60 стран. Общая оценка материального ущерба деятельности этих вирусов составляет около 8 млрд. долларов.
Анализ тенденций развития информационных технологий и текущего уровня технических и организационных мероприятий по обеспечению должного уровня информационной безопасности показывает возрастание актуальности данной проблемы в нынешних условиях, когда информационные войны и массовые эпидемии компьютерных вирусов угрожают нашей национальной безопасности и безопасности других стран.
Основные термины (генерируются автоматически): информационная безопасность, программа, программное обеспечение, вычислительная техника, информация, кибернетическая преступность, хранение информации, время, СССР, цифровая экономика.
Руководитель отдела анализа приложений Positive Technologies Дмитрий Скляров делится своим взглядом на историю развития отрасли информационной безопасности на протяжении последних 20 лет.
Если взглянуть на программу любой современной конференции по информационной безопасности, можно увидеть, какие важные темы занимают исследователей. Если проанализировать список этих важных тем, технологий и направлений, то окажется, что еще двадцать лет назад подавляющего большинства из них просто не существовало.
Вот, например, некоторые темы с конференции OFFZONE 2018:
Вернемся на 20 лет назад. В 1998 году закончилась так называемая Первая браузерная война, в ходе которой конкурировали два крупнейших на тот момент браузера Internet Explorer и Netscape Navigator. В итоге Microsoft победила в этой войне, а главный конкурент ушел с рынка. Тогда подобных программ было мало, многие из них были платными, как, например, Opera: это считалось нормальным. При этом наиболее популярные сегодня браузеры Safari, Mozilla и Chrome были придуманы гораздо позже, а мысль о том, что браузер может быть платным, в наши дни никому не придет в голову.
Проникновение интернета 20 лет назад было в разы ниже, чем сегодня, поэтому и спрос на многие связанные с вебом сервисы сформировался гораздо позже завершения браузерной войны.
Другая ситуация сложилась в сфере криптографии. Она начала развиваться много десятилетий назад, к девяностым годам существовал целый ряд проверенных временем стандартов шифрования (DES, RSA) и цифровой подписи, а на протяжении последующих лет появилось много новых продуктов, алгоритмов и стандартов, в том числе развивавшийся в свободном формате OpenSSL; в России был рассекречен стандарт ГОСТ 28147-89.
Почти все связанные с криптографией технологии, которыми мы пользуемся сегодня, существовали уже в девяностые. Единственное широко обсуждаемое событие в этой области с тех пор — обнаружение бэкдора в поддерживаемом АНБ США алгоритме Dual_EC_DRBG от 2004 года.
Источники знаний
В 2001 году вышла книга корпорации Microsoft по безопасной разработке кода — Writing Secure Code. Именно тогда гигант софтверной индустрии осознал тот факт, что безопасность программного обеспечения очень важна: это был очень серьезный момент в развитии информационной безопасности. После этого корпорации начали задумываться об обеспечении безопасности, раньше же этим вопросам не уделялось достаточно внимания: код пишется, продукт продается, считалось, что этого достаточно. С тех пор Microsoft вкладывает значительные ресурсы в безопасность, и несмотря на существование уязвимостей в продуктах компании, в целом их защита на хорошем уровне.
В США индустрия информационной безопасности развивалась довольно активно с 70-х годов. В итоге в девяностые годы в этой стране уже существовало несколько крупных конференций по теме ИБ. Одна из них была организована компанией RSA, появился Black Hat, в те же годы прошли и первые соревнования хакеров в формате CTF.
С тех пор количество достойных отечественных мероприятий значительно расширилось: есть Positive Hack Days, ZeroNights, OFFZONE.
Личный опыт: первые шаги в ИБ
Как мы уже выяснили, на момент завершения моего обучения веба в современном понимании не существовало. Поэтому меня ничто не отвлекало от реверс-инжиниринга. Одно из важных направлений обратной разработки — восстановление логики работы кода. Я знал о том, что существует множество продуктов, которые защищают от пиратского копирования, а также решения для шифрования данных — при их исследовании также использовался реверс-инжиниринг. Была еще разработка антивирусов, но это направление почему-то меня не привлекало никогда, как и работа в военной или правительственной организации.
В сферу ИБ я окончательно погрузился после прихода на работу в компанию Elcomsoft. Это также вышло случайно: знакомый попросил помочь ему с восстановлением утерянного доступа к базе данных MS Access, что я и сделал, создав автоматизированный инструмент восстановления паролей. Этот инструмент я попробовал продать в Elcomsoft, но взамен получил предложение о работе и провел в этой компании 12 лет. На работе в основном я занимался как раз вопросами восстановления доступа, восстановления данных и компьютерной криминалистики.
В ходе первых лет моей карьеры в мире криптографии и парольной защиты произошло несколько прорывов — например, в 2003 году появилась концепция радужных таблиц, а в 2008 году началось использование графических ускорителей для восстановления паролей.
Ситуация в индустрии: борьба черных и белых шляп
Если обратиться к истокам интернета и информационной безопасности и почитать истории хакеров тех времен, то станет ясно, что главным стимулом для людей тогда было их любопытство, желание узнать что-то новое. Не всегда они при этом использовали законные способы — достаточно почитать о жизни Кевина Митника.
Как следствие, сегодня существует несколько направлений для развития внутри ИБ. Можно стать исследователем, соревноваться в CTF, зарабатывать на поиске уязвимостей, помогать бизнесу с киберзащитой.
Развитие программ bug bounty
Серьезным импульсом для развития рынка информационной безопасности уже в 2000-х годах стало распространение bug bounty. В рамках этих программ разработчики сложных систем вознаграждают исследователей за обнаруженные в их продуктах уязвимости.
Основная идея здесь в том, что выгодно это в первую очередь разработчикам и их пользователям, потому что ущерб от успешной кибератаки может в десятки и сотни раз превышать возможные выплаты исследователям. Специалисты же по ИБ могут заниматься любимым делом — поиском уязвимостей — и при этом оставаться полностью в рамках закона и еще получать вознаграждение. В итоге компании получают лояльных исследователей, которые следуют практике ответственного разглашения и помогают делать программные продукты безопаснее.
Подходы к разглашению информации
За последние двадцать лет возникло несколько подходов к тому, как именно должно выглядеть разглашение результатов исследований в области информационной безопасности. Существуют компании, вроде Zerodium, которые скупают уязвимости нулевого дня и рабочие эксплойты для популярного софта — например, 0-day в iOS стоит около 1 млн долл. США. Однако более правильный для уважающего себя исследователя способ действий после обнаружения уязвимости — обратиться сначала к производителю софта. Не всегда производители готовы признавать свои ошибки и сотрудничать с исследователями, но многие компании оберегают репутацию, стараются оперативно устранять уязвимости и благодарят исследователей.
В случае если вендор недостаточно активен, распространенная практика заключается в том, чтобы дать ему время на выпуск патчей, а уже затем публиковать информацию об уязвимости. При этом исследователь должен в первую очередь думать об интересах пользователей: если есть вероятность, что разработчики вообще никогда не исправят ошибку, ее публикация даст атакующим инструмент для постоянных атак.
Эволюция законодательства
Как было сказано выше, на заре интернета основным мотивом хакеров была тяга к знаниям и банальное любопытство. Чтобы удовлетворить его, исследователи часто делали сомнительные с точки зрения властей вещи, но в те годы еще было крайне мало законов, регулирующих сферу информационных технологий.
Однако четко прописать в законах все нюансы взаимодействий довольно трудно, в результате чего возникают разночтения в трактовках. Это также затрудняет деятельность исследователей информационной безопасности: часто непонятно, где заканчивается добросовестная с точки зрения закона исследовательская деятельность и начинается преступление.
В дальнейшем законы дорабатывались, но не всегда это облегчало жизнь исследователям. Так, в 2006 году появились статьи гражданского кодекса, касающиеся защиты авторских прав и технических средств защиты. Попытка обхода таких средств защиты даже в ходе исследований может быть признана нарушением закона.
Все это создает риски для исследователей, поэтому перед проведением тех или иных экспериментов лучше консультироваться у юристов.
ИБ-цикл развития технологий
В современном мире технологии развиваются по определенным циклам. После возникновения какой-то хорошей идеи она коммерциализируется, появляется законченный продукт, который позволяет зарабатывать деньги. Если этот продукт оказывается успешным, он привлекает внимание киберпреступников, которые начинают искать способы самостоятельного заработка на нем или его пользователях. Бизнес вынужден реагировать на эти угрозы и заниматься защитой. Начинается противостояние атакующих и безопасников.
Чтобы украсть компьютер, нужно проникнуть в комнату, где он хранится. Похитить телефон можно просто на улице. Однако многие люди до сих пор не понимают масштаба рисков безопасности, которые несет развитие технологий.
Похожая ситуация с удалением данных с SSD (то есть флеш-дисков). Стандарты удаления данных с магнитных накопителей существуют много лет. С флеш-памятью ситуация иная. К примеру, такие диски поддерживают операцию TRIM: она сообщает контроллеру SSD, что удаленные данные больше не нужно хранить, и они становятся недоступными для чтения. Однако эта команда работает на уровне операционной системы, и если спуститься ниже на уровень физических микросхем памяти, то получить доступ к данным будет возможно с помощью простого программатора.
Еще один пример — модемы 3G и 4G. Раньше модемы были подчиненными устройствами, они полностью контролировались компьютером. Современные модемы сами стали компьютерами, они содержат собственную ОС, внутри них идут самостоятельные вычислительные процессы. Если взломщик модифицирует прошивку модема, то сможет перехватывать и контролировать любые передаваемые данные, и пользователь никогда об этом не догадается. Для обнаружения такой атаки нужно иметь возможность анализировать 3G/4G-трафик, а такие возможности есть только у спецслужб и мобильных операторов. Так что и такие удобные модемы оказываются недоверенными устройствами.
Выводы по итогам 20 лет в ИБ
Я связан со сферой информационной безопасности уже двадцать лет, и за это время мои интересы внутри нее менялись параллельно с развитием отрасли. Сегодня информационные технологии находятся на таком уровне развития, что знать все в рамках даже отдельной небольшой ниши, такой как реверс-инжиниринг, просто невозможно. Поэтому создание по-настоящему эффективных инструментов защиты сегодня возможно только для команд, объединяющих опытных экспертов с разноплановым набором знаний и компетенций.
Другой важный вывод: в настоящий момент задача информационной безопасности сводится не к тому, чтобы сделать любые атаки невозможными, а к управлению рисками. Противостояние специалистов по защите и нападению сводится к тому, чтобы сделать нападение слишком дорогим и снизить возможные финансовые потери в случае успешной атаки.
И третий, более глобальный вывод: информационная безопасность нужна только до тех пор, пока в ней есть потребность у бизнеса. Даже проведение сложных тестов на проникновение, для которых нужны специалисты экстра-класса, — по сути своей вспомогательная функция процесса продажи продуктов для информационной безопасности.
Безопасность — это верхушка айсберга. Мы защищаем информационные системы, которые созданы только потому, что это нужно бизнесу, созданы для решения его задач. Но этот факт компенсируется важностью сферы ИБ. Если случится проблема безопасности, то это может нарушить функционирование информационных систем, а это непосредственно повлияет на бизнес. Так что от безопасников зависит очень много.
Итого
Сегодня в сфере информационных технологий далеко не все безоблачно, существуют и серьезные проблемы. Вот три основных, на мой взгляд:
Автор: Дмитрий Скляров, руководитель отдела анализа приложений Positive Technologies
Читайте также: