Я.: Единственное, с чем сейчас все согласны, — ни в России, ни в мире пока не зафиксировано ни одного акта кибертерроризма. Но, кстати, не потому, как думает Рафал, что террористам неинтересен «символический эффект» таких атак! Мы с ним постоянно ведем дискуссии на семинарах и конференциях — он неправ, дело тут в другом. Но это уже отдельная тема.
МОНИТОРИНГ, СЕРТИФИКАЦИЯ, РЫНОК
С.: Единого центра нет — во всяком случае, открытого. По научным и образовательным сетям такая работа, насколько нам известно, ведется только в Курчатовском институте под руководством Алексея Солдатова. Кибератаки на органы госвласти мониторят силовые структуры, в частности ФСБ и МВД. Министерства, крупные компании — например, Газпром или РАО ЕЭС, имеют собственные службы информационной безопасности. Разработкой программ и аппаратуры компании и министерства обычно не занимаются, используют то, что есть на рынке.
Я.: Другие страны стали раскрывать информацию о своих центрах мониторинга совсем недавно. Мы с Алексеем были в 2004 году на очень узкой конференции в Мюнхене, посвященной как раз этой проблеме. Там впервые рассказывалось о национальных центрах мониторинга, причем я был поражен тем, насколько подробно и открыто это делалось. Выступали начальник центра мониторинга кибератак МО США, директор центра мониторинга Великобритании, его коллега из Германии (там центр мониторинга — отдел бундесвера). И важнейшим вопросом был вопрос о международном сотрудничестве и обмене опытом. Потому что информационное пространство на самом деле едино. Оно не имеет границ! Защититься от атак в одиночку ни одна страна не может. Известный пример — веб сайт ЦРУ два года назад был взломан некими «студентами из Томска». Но есть соглашения между ЦРУ и ФСБ о взаимодействии, поэтому людей в Томске быстро нашли. Суда не было, случай был не очень серьезный, главное, что система сотрудничества сработала. Но заставить ее работать очень трудно, в частности из за различий в национальных законодательствах.
Не кажется ли вам, что есть нечто парадоксальное в том, что теракт против той или иной инфраструктуры ударит по всему населению, по всему государству — а защищает ее не государство, а закрытая ведомственная служба?
Я.: Сейчас в Госдуме рассматривается проект закона, который будет регламентировать ответственность в этих вопросах. Все вопросы должны решаться на основе соглашения государства, бизнеса и гражданского общества. Эти соглашения и оформляются в виде законов. Государственные органы юридически контролируют процесс, а бизнес в данном случае должен обеспечивать функциональную составляющую мер безопасности.
С.: Противоречия нет еще и потому, что эти компании — крупнейшие экономические игроки, и им не интересно пускать кого бы то ни было в свои информационные потоки. Там масса конфиденциальной информации, которую они не хотели бы показывать госорганам. Но зато государство теперь жестко навязывает сертификацию средств защиты. Всевозможные «отраслевые стандарты» больше не будут использоваться. Такой ситуации, когда, к примеру, криптографические средства заказываются у некоей частной компании, не имеющей серьезной гослицензии, но близкой к руководству заказчика, больше не будет. Но надо помнить, что существует рынок средств защиты информации. И система сертификации, хочет того государство или нет, становится активнейшим инструментом игры на этом рынке. Тот, кто является лицензиатом соответствующих структур (ФСТЭК [Федеральная служба по техническому и экспортному контролю, занимается противодействием иностранным техническим разведкам], ФСБ), автоматически получает преференции на рынке, поскольку многие компании обязаны покупать сертифицированные средства. Следовательно, отделы по лицензированию и сертификации находятся на острие экономической борьбы. Именно поэтому было принято решение, что в сертифицированных средствах должны использоваться только ГОСТовские алгоритмы. А как их воплощать — это уже другое дело. Те, кто сертифицирует, будут только смотреть, правильно ли реализованы эти стандарты.
РАСКРЫТЬСЯ, ЧТОБЫ ЗАЩИТИТЬСЯ
С.: Пример с нестыковкой ведомств в Нью-Йорке, о котором мы говорили, показывает одну из самых больших опасностей, связанных с ИБ критических ИС. Эти ИС — огромные и очень сложные, но часто построены на сегментах, которые мало связаны друг с другом. Внутренние сети министерств и ведомств очень плохо совместимы, и это глобальная проблема. К счастью, этим всерьез занялись Минсвязи и Федеральное агентство по инфотехнологиям.
Я.: У нас когда то пустили создание этих сетей на самотек, и каждый лепил, как мог. Но два года назад все это было проанализировано, и приняли единственно возможное решение — делать надстройку, через которую все будут общаться, то есть создать федеральный информационный центр для межведомственного взаимодействия. В этом году уже демонстрировался макет системы. Данные из Москвы передавались в центр другой организации, условно говоря — кто-то пришел в Москве в ГИБДД, и запрос об этом человеке, о машине идет по всем ведомствам. И по квартире, кажется, был такой тестовый запрос. Все сработало более или менее нормально.
Где же берутся кадры для всех этих проектов? ИБ сегодня — это множество рабочих мест. ИБ — самая модная ИТ— специальность в любом вузе. Действительно тут есть большое поле деятельности или это просто мода?
Я.: Специальность и правда модная, но люди, которые закончили МГУ — ВМК, мехмат, не очень востребованы по этой линии. В основном нужны не разработчики, а те, кто будет эксплуатировать готовые системы.
С.: Не совсем согласен. Я знаю, что в коммерческих структурах, в банках на самом деле востребованы квалифицированные люди, которые могут разрабатывать и сопровождать именно построение системы ИБ в целом. Конечно, надо ее и наполнить — купить нужное железо, поставить нужные программы, но в первую очередь грамотно придумать концепцию системы. Если же говорить о науке — например, о криптографии, то в ней и в смежных вопросах ИБ сейчас огромное количество новых научных задач. Надо только учитывать сейчас степень востребованности науки в России вообще.
Я.: По поводу задач в более широком смысле слова — существует официально утвержденный в 2001 году список 114 приоритетных научных задач в области ИБ (показывает документ: «Научные и методологические проблемы информационной безопасности», сборник статей под ред. В. П. Шерстюка, М., МЦНМО, 2004).
Беру наугад. Задача 2.2.1.5 — «исследование проблем информационной безопасности общероссийской информационной структуры». Нужное дело, бесспорно. Но как может быть сразу 114 приоритетных задач? В каком смысле они приоритетные?
Я.: Это очень полезный список, здесь представлены все аспекты ИБ, от фундаментальных философских до математики, криптографии, стеганографии, и кончая кадровыми вопросами. Многое имеет отношение и к критически важным ИС.
Отлично. Но давайте в заключение обсудим простой житейский вопрос: с чего начать компании, которая хочет себя защитить?
С., Я. (хором): От чего?
От атаки по информационным каналам.
С.: Нет, так не ставится вопрос. Компания должна четко объяснить специалисту, от чего она хочет защититься. Все компании всегда произносят те же слова, что и вы сейчас! Тут и начинается работа специалиста, который конкретизирует — от кого защитить, что защитить.
Я.: Защита всегда конкретна. Нужно понять, какую информацию хотим сохранить, и самое главное — создать модель противника.
С.: Может быть такая постановка задачи: мне не страшно, что будут читать то, что я пишу, — но страшно, если там что нибудь изменят. Или так: если прочитают Петров и Сидоров, не страшно, а если мистер Джонс — страшно. Причем все они работают в моей компании.
Я.: Чтобы дать рецепт, нужно влезть в компанию. То есть если хочешь получить надежные рецепты — должен раскрыться. Вот это многих останавливает. Первый этап информационной защиты — твоя оценка того, кто тебе угрожает.
А у нас даже ИС этого не делают?
С.: Нет, конечно. Вместо этого они идут на большие расходы и создают собственные подразделения, куда и пытаются набрать лучших специалистов.
Вот это и есть ключевой тезис — о раскрытии. Очень серьезная проблема!
Я.: Ключевой тезис такой: у нас в стране не было и пока нет системы подготовки кадров, которые могли бы давать такие рекомендации. Остались только те, кто был воспитан еще… в давние времена. Поэтому во всех крупных структурах люди именно такие. Для этого нужно быть широко образованным человеком.
Такого образования уже нет?
Я.: Нет.
То есть — катастрофа?
Я.: Катастрофа. Мы в МГУ очень узкие специализации готовим. Людей широкого профиля, которые могут дать рекомендации по защите крупного объекта, никто нигде в России не готовит. За исключением закрытых структур, готовящих кадры для закрытых же структур. 120 вузов открыли специализацию по ИБ. Но по пальцам можно пересчитать вузы, которые готовят действительно хороших специалистов.