Российские проблемы информационной безопасности

Плохие времена для NasdaqПодведение итогов для Nasdaq (индекс рынка высоких технологий) за прошедший год было печальным. Третий год подряд в США, Японии и ведущих странах Европы он продолжил свое падение. Результаты анализа американской консалтинговой компании IDC показали, что 2002 год оказался худшим за всю историю развития мировой ИТ-сферы. Для инвесторов в названную сферу рынка наступили плохие времена. Агрессивная геополитическая политика США усугубила ситуацию. Доллар перестал быть для них безопасным “бункером”, упав в прошедшем году на 18% относительно евро и на 10% - против йены. Мировые цены на золото выросли на четверть. Причем, если в предыдущих годах “обваливались” преимущественно акции технологических компаний, то год “симметричный” – 2002 принес падение бумаг компаний “старой экономики”.

Этап преодоления “цифрового неравенства”В то же время Россия, имея колоссальные ресурсы и одновременно невероятно низкие экономические показатели, при всей коррумпированности армии чиновников позитивно выделилась на фоне других стран в плане развития информационных и телекоммуникационных технологий. Рост доходов от реализации продуктов и услуг в сфере информационных технологий в 2002 году вырос на 15%, составив $4,7 млрд. (оценка РБК).Но, если взглянуть на ситуацию изнутри, то сразу бросается в глаза одна особенность. Основным инвестором, обеспечившим львиную долю спроса на ИТ, оказалось государство: затраты на информатизацию в период с 2001 по 2004 годы составят около $3 млрд. Кроме того, большинство сделок, принесших рост в сфере IT- технологий, совершается компаниями сырьевых отраслей и энергетики.А это означает, что технологическая составляющая российского фондового рынка пока крайне мала на фоне фондовых рынок других стран мира. И рост отечественного ИТ-рынка в основном связан с тем, что ему некуда деваться: прибавление одного компьютера к другому составляет рост в 100%. Но даже при таких темпах роста России для достижения объема рынка ИТ ведущих стран нужны десятки лет. Поэтому и в 2003 году рост продолжится, составив более 10%. Сказанное подтверждает и структура ИТ-рынка России в 2002 г. (данные РБК), см. рис 1. Смотря правде в глаза, нужно сказать, что пока она отражает примитивизм начального этапа информатизации страны, предполагая элементарное оборудование рабочих мест компьютерами, объединение их в сеть, подключение к Интернет и т.п. Одним словом, преодолевается, по словам главы Минсвязи Л. Реймана, “цифровое неравенство” в России.

Побеждает тот, кто ставит на двух конейБезусловно, самый мощный импульс в сфере ИТ-технологий дает Федеральная программа “Электронная Россия”, которая, несмотря на то, что денег на глобальную информатизацию выделяется гораздо меньше, чем первоначально запланировано, постепенно переводит общество на более высокий технологический уровень, где ключевое значение имеют уже программные решения, а не “железо”. Поэтому логика жизни берет свое. Продолжается рост Интернет-торговли: в прошедшем году объем розничных продаж здесь удвоился, достигнув $240 - 260 млн. По оценкам экспертов Brunswick UBS Warburg в наступившем году сетевые торговцы продадут товаров уже на $650 млн. Рис.1. Структура ИТ-рынка России в 2002 г. Но самое интересное читатель узнает сейчас.Как вы думаете, какая из российских компаний, работающих в сфере информационных технологий, является первой по росту оборота? По данным Cnews – это “Информзащита” с показателем в 226% (при составлении рейтинга рассматривались компании с оборотом не менее 100 млн. рублей в год). И это не случайно – наряду с активным внедрением ИТ, не менее интенсивно развивается сегмент IT-Security. Именно тот, кто поставил сразу “на двух коней” и стал победителем.

Экспоненциальный кошмар Ком проблем информационной безопасности будет нарастать экспоненциально, о чем свидетельствуют данные Координационного центра CERT, см. рис. 2. По прогнозу автора уже в 2003 году количество инцидентов, связанных с нарушением компьютерной безопасности, превысит 170 тыс., по существу сравнявшись со всем числом инцидентов, зафиксированных CERT за весь период сбора информации, начиная с 1988 года. Рис. 2. Динамика инцидентов, связанных с нарушениями компьютерной безопасности

Одновременно по данным CERT продолжает увеличиваться число выявленных уязвимостей компьютерных систем (рис.3). В текущем году в соответствии с прогнозом их число составит почти 7200. Атаки на компьютерные системы настолько участились, что после широкомасштабного распространения вируса LoveBug, в Пентагоне приняли решение о принятии специальной шкалы InfoCon применительно к ним по аналогии со шкалой DefCon ("defense conditions") военной угрозы или ThreatCon - террористической угрозы. По мнению военных экспертов, это поможет скоординировать действия в случае чрезвычайной ситуации.Очевидно, что в России из-за гораздо меньшей развитости компьютерных сетей ситуация пока не такая напряженная, но в ближайшие годы ее накал значительно вырастет, и мы по полной программе ощутим реалии современных информационных войн.

Открытая криптография – стратегическое направлениеРазвитие информационных технологий, необратимо поменявших образ жизни граждан, способы их общения, стиль и методы ведения бизнеса, проявило и свою негативную сторону – снизилась уверенность общества в неотъемлемом праве на защиту частной жизни. Каждый из нас становится все более зависимым от информации, циркулирующей в компьютерных сетях, ее достоверности, защищенности, безопасности. Поэтому развитие гражданской (открытой) криптографии в России становится стратегически важной задачей.

Рис. 3. Динамика количества уязвимостей компьютерных систем

Однако ее решение сразу же столкнулось с двумя противоборствующими тенденциями в отношении открытой криптографии, отражающими, с одной стороны, "государственный", а с другой - "коммерческий" подход. В этом смысле Россия не стала страной - первооткрывательницей. Наиболее показательным примером является здесь история борьбы названных подходов к открытой криптографии в США, к опыту которой, в основном, апеллируют наши спецслужбы, “регулируя” механизмы использования криптографических технологий. Забегая вперед, скажем о том, что многие хитроумные аргументы “государственников” (АНБ, ФБР, отчасти ЦРУ и Пентагона), в этой заокеанской стране оказались уязвимыми и отвергнутыми. Они сводились в основном к “трем китам”:  надежными системами защиты информации могут воспользоваться террористы;  надежные системы “непрофессионалы” не могут разработать;  при использовании надежных систем затрудняется работа органов разведки и правоохранения. Поэтому в США и других ведущих странах мира с целью тотального контроля систем защиты информации последовательно стали проводиться в жизнь две концепции: “депонирование ключей” (пользователи имеют право использовать сильную криптографию в своих системах, однако третья сторона - государственная структура или уполномоченная государством компания получает ключи на хранение и предоставляет их государственным органам по запросу); “законный доступ к ключам” (суть подхода состоит в разрешенном доступе по требованию правоохранительных органов третьих лиц к ключам или оригинальному тексту).

Куда идет мировое сообществоПосле ряда скандальных взломов коммерческих систем, сделанных по принципу weak encryption – ослабленная криптография, ограничение на использование сильного крипто, наносившие огромный ущерб экономике США, было снято. По этому же пути пошли и другие развитые страны. Более того, пало существовавшее до начала 2000 года ограничение на экспорт из США так называемых "шифрующих технологий" (encryption technology). Технологическая экспансия Америки получила реальное законодательное подкрепление, исключение составили семь стран с "террористическими режимами". Правда, исключение является больше формальным – стойкие, неподдающиеся серьезным “технологиям взлома” программы шифрования можно скачать из Сети в любой момент. Господство США в области защиты информации проявилось и в том, что эта страна провела открытый международный конкурс на новый национальный стандарт шифрования, в котором участвовали ученые со всего мира, включая России. Такой подход дал возможность не только выбрать оптимальное решение, но и собрать новые технологические решения со всего мира. Открыто и гласно подобный конкурс проведен и в Европе. Таким образом, к настоящему времени первая из названных концепций потерпела полное фиаско: вместе с ослаблением контроля над использованием крипто большинство стран отказалось и от идей депонирования ключей и доступа к ним третьих лиц.Относительно второй концепции сложилась двойственная позиция. Фактически Организация по экономическому сотрудничеству и развитию (ОЭСР) признав ее существование, не утвердила ее в качестве руководства к действию. Поэтому до сих пор лишь немногие страны приняли соответствующие законы.

Принципы ОЭСР – это ослабление контроляС 1997 года многие государства руководствуются принципами ОЭСР в области криптографии, распространяющимися и на цифровые подписи. Суть их сводится к следующему:  чтобы информационные и коммуникационные системы пользовались доверием, им же должны обладать методы криптографии;  можно выбирать любой метод криптографии, не запрещенный законом;  основой развития криптографических средств в первую очередь выступают потребности государственных структур, коммерческих организаций и частных лиц;  технические стандарты, критерии и протоколы криптографических методов должны поддерживаться как на национальном, так и международном уровне;  в практике использования криптографических средств должны обеспечиваться права человека на неприкосновенность частной жизни, включая тайну коммуникаций и защиту персональных данных, и именно с их учетом может предусматриваться доступ к зашифрованным данным или ключам;  должна быть четко определена ответственность частных лиц и организаций, предлагающих криптографические услуги или услуги по сохранению ключей;  государства, сотрудничая с целью координации политики в области криптографии, должны устранять необоснованные препятствия развитию торговли. Итак, в мире произошло существенное ослабление контроля над криптографией, крипто можно свободно разрабатывать, применять и представлять на рынке. Многие страны из-за противоречия с правом любого человека не свидетельствовать против самого себя отказались не только от идеи “депонирования ключей”, но и принципа "законного доступа". А руководящие принципы ОЭСР направляют международное сообщество на неограниченное развитие криптографических продуктов и услуг. Например, Бельгия, Германия, Ирландия, Канада и Финляндия твердо декларировали, что их национальная политика в области крипто будет базироваться именно на этих принципах. Из ведущих западных держав только Великобритания продолжает рассматривать меры контроля над криптографией.

Российский путь – не учиться на чужих ошибках? А что же Россия? В нашей стране уже в начале 90-х был сформирован рынок криптографических продуктов, имевших высокую конкурентоспособность на внутреннем и внешнем рынке. Заметим, что в США в это время только начали обсуждать возможность массового использования средств защиты информации в коммерческих и частных интересах. В тот период времени Россия имела очень высокий потенциал для доминирования на рынке высокотехнологичных криптографических средств. Но, к сожалению, “продавленный” в 1995 году ФАПСИ Указ под номером 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" смог повернуть историю вспять. Изобилуя достаточно туманными формулировками относительно объекта регулирования - "шифровальных средств", Указ привел к откровенно запретительному характеру мер со стороны ФАПСИ. В результате в России образовался практически монополизированный рынок шифровальных средств, естественным образом приведший к необычайно высокой коррупции в этой сфере и дискриминационному механизму лицензирования. А страна была отброшена лет на двадцать назад – по существу в ту правовую ситуацию, к которой пребывали США в 80-х прошлого столетия в своих попытках тотального контроля за использованием систем защиты информации. В России не стали учиться на чужих ошибках. Поэтому из-за невозможности экспорта систем защиты информации, произведенных российскими негосударственными компаниями, страна стала терять реальные доходы, а потенциальные рынки сбыта быстро захватываться конкурентами, в особенности - компаниями из США. А многие страны из постсоветского пространства стали ориентироваться на криптографические продукты западного производства. Сохранение сложившегося положения приведет по некоторым оценкам к полному вытеснению в ближайшие 3-4 года российских продуктов защиты информации из СНГ. Дальнейшие метаморфозы очевидны – многие специалисты по защите информации, включая и бывших сотрудников ФАПСИ, будут вынуждены идти в услужение западным разработчикам средств защиты информации, унося к конкурентам свои высокотехнологичные знания. И такие процессы уже идут достаточно активно.На сегодня можно утверждать, что американские рынки средств защиты информации реально закрыты для российских технологий, и если не предпринять экстраординарных мер по отмене экспортных ограничений в России, будут потеряны и весьма перспективные рынки в Европе, Юго-Восточной Азии и Тихоокеанского региона. При этом США обеспечат желаемое господство в киберпространстве, включая телекоммуникации и электронную коммерцию. Подводя итоги, хотел бы подчеркнуть, что информационная безопасность выступает одним из важнейших компонентов интегральной безопасности, на всех ее уровнях – международном, национальном, отраслевом, корпоративном или персональном. Поэтому для исправления тех грандиозных перекосов, которые мы умудрилась достичь, имея самые технологичные наработки в области создания криптографических средств защиты информации, нужны решительные действия. Нужна, по большому счету, политическая воля.