Конференция в Сочи: ГТК, ФАПСИ и бизнес обменялись мнениями
Содержание:
Угрозы без мифологии
Органы не дремлют
Рынок самоорганизуется
В сентябре в городе Сочи прошла конференция «Защита информации в субъектах Российской Федерации». В ходе формального и неформального общения с представителями бизнеса и государственных регулирующих органов CNews.ru удалось собрать некоторые свежие новости о ситуации на отечественном рынке защиты информации. Конференции по информационной безопасности сегодня не такая уж и редкость в России. Если судить по их названиям, то все они главные и очень важные. На практике же, большинство подобных акций пока мало полезны как для государства, так и для бизнеса. Организаторам сочинской конференции (Академии информационных систем) удалось собрать в одном месте 65 специалистов «безопасников» не малого калибра (со списком участников можно ознакомиться ниже). Все доклады конференции этого года можно разбить на три группы:
- реальные угрозы и решения в сфере защиты информации;
- результаты работы государственных органов (Гостехкомиссии, ФАПСИ и др.);
- усилия бизнеса, направленные на развитие рынка.
Кратко остановимся на каждой из этих тем.
|
В условиях, когда отечественные производители оборудования связи только начинают приходить в сознание после длительного кризиса, на российском телекоммуникационном рынке безраздельно властвуют западные поставщики. Подобное положение дел мало выгодно потребителям. Очевидные минусы, помимо прочего, наблюдаются и в вопросах информационной безопасности. Так, не многим известно, что большинство импортных цифровых АТС и систем видео-, аудиоконференций снабжены так называемыми «недекларированными возможностями». В большинстве случаев, задача скрытых «дыр» одна получить доступ к данным, передаваемым через этоткласс оборудования. Режим дистанционного прослушивания переговоров в АТС определяется как «полицейский» и воспринимается профессионалами уже как норма. Российским специалистам, отвечающим за защиту информации в государственных и коммерческих структурах, приходится разбираться со всем этим иноземным хозяйством.
Угрозы цифры в АТС
Уважаемые господа, в случае, если вы используете в своей организации цифровую АТС, а содержание телефонных переговоров представляет для вашей компании существенную ценность, вам следует знать и о рисках, возникающих в подобной ситуации. Так, в случае, если враг реализует одну из «недекларированных возможностей» незащищенной цифровой АТС, перед вами во весь рост могут встать следующие угрозы:
- Вывод АТС из строя;
- Прослушивание внутренних переговоров;
- Прослушивание помещений, в которых установлены телефонные аппараты (в том числе при положенной трубке);
- Копирование и/или изменение персональных данных абонентов;
- Копирование, изменение тарификационных данных;
- Похищение трафика.
Как видно, в списке возможных угроз перечисляются опасности, подстерегающие не только пользователей корпоративных цифровых АТС, но и цифровых телефонных станций городских сетей. Пожалуй, наименее известной из перечисленных угроз является прослушивание помещения с использованием возможностей стационарного телефона. Импортные цифровые АТС предоставляют широкие возможности дистанционного программирования и управления абонентскими аппаратами. Прослушивание организуется путем использования объявленных и не объявленных производителями возможностей или услуг (конференция и т.д.). Говоря проще, злоумышленники дистанционно включают имеющиеся в телефонном аппарате микрофоны телефонной трубки и спикерфон.
Сегодня, по словам экспертов, опрошенных CNews.ru, сомневаться в наличии «недекларированных возможностей» в цифровых АТС бессмысленно: без «полицейского режима» такое оборудование просто уже не выпускается. Функции прослушивания стали своеобразным стандартом. Кстати, подобные возможности под давлением силовых структур России обязаны предусматривать и отечественные производители телекоммуникационного оборудования.
В тоже время, из всего многообразия цифровых АТС, присутствующих на российском рынке, отечественные спецы по безопасности успели разобраться пока только с тремя продуктами. Для предотвращения угроз ряд компаний предлагают собственные эффективные решения. Так, например, одно из устройств физически (аппаратно) разрывает электрические цепи микрофонов при положенной на рычаг аппарата телефонной трубке и выключенном спикерфоне. При поднятии трубки или принудительном включении пользователем спикерфона электрические цепи телефонного аппарата восстанавливаются.
Понятно, что для эффективной системы защиты целесообразно подойти к проблеме комплексно. Среди прочего, специалисты рекомендуют провести сертификацию системы разграничения доступа к средствам администрирования цифровой АТС на соответствие требованиям руководящих документов (РД) Гостехкомиссии России (ГТК), провести аудит и специальную проверку. Обычно защита цифровой АТС заканчивается ее аттестацией как объекта информатизации на соответствие требованиям Гостехкомиссии России.
Конгресс-системы: доступ извне
«Дыры» в безопасности умышленно создаются и производителями конгресс-систем. Грешат каналами утечки и вендоры с мировыми именами. Не называя компанию, отметим только, что иностранная система, о которой мы скажем несколько слов ниже, в данный момент проходит сертификацию в Гостехкомиссии России на предмет защищенности.
Сразу следует отметить, что этот случай только один из многих, а началась история так. Одна из российских компаний русифицировала программное обеспечение ведущей конгресс-системы (будем называть этот продукт сигаретным именем «Бонд»). Предприниматели справедливо решили, что «Бонд» имеет существенный потенциал на рынке, представители которого требуют, чтобы конгресс-система могла обрабатывать сведения закрытого характера (органы исполнительной власти всех уровней, силовые министерства и т.д.). С ростом цен на нефть в бюджетах всех уровней появились средства и проводить совещания без нормальной системы звукоусиления и видеоотображения стало дурным тоном. Компания понимала, что для выхода в этот сегмент систему необходимо сертифицировать и обратилась к специалистам ФГУП «НПП Гамма» для содействия в этом вопросе. Эксперты «Гаммы» помимо подготовки к сертификации взялись и за составление рекомендаций по доработке конгресс-системы, для того чтобы она укладывалась в соответствующие нормы.
Сегодня в испытательной лаборатории уже завершены сертификационные испытания. После окончания измерительной и испытательной частей можно докладывать и о результатах. Итак, что собственно получилось на выходе?
«Когда ты находишь очень яркий и четкий канал утечки, всегда возникает подозрение, что солидная компания просто так подобные вещи не допускает, говорит CNews.ru Сергей Иванищак, заместитель гендиректора «Гаммы». Просто современная технология производства и организации цепи питания не может допускать таких «ошибок». Цифровая конгресс-система это замкнутая система, она не имеет внешних выходов в интернет, она не имеет выходов в распределенные вычислительные сети. Выход только один электропитание. И когда канал утечки обнаруживается именно на цепях электропитания, то это вряд ли можно расценить как совпадение».
По большому счету, цепь электропитания, слаботочные линии сегодня уже принято относить к «естественным каналам утечки». Речь идет о том, что помимо конгресс-систем прослушиванию по этому каналу подвержены многие средства, например, практически любой телефон. Схема утечки также довольно проста: акустические колебания, поступающие в систему, превращаются в электрическую модуляцию и отправляются в пункт назначения по цепям электропитания и сигнальным цепям. В то же самое время где-то по пути движения этой модуляции в схеме может быть установлено дополнительное устройство, которое позволяет перехватывать сигнал. Настораживает экспертов только то, что в цепи электропитания «Бонда» находился очень качественный канал утечки: «Слушать можно замечательно. Качество канала нетипично для подобных устройств». Забавно. Похоже, уровень качества звука соблюдается иностранными поставщиками и в отношении функции «полицейский режим».
Мотивация к закладкам
Помимо уже упоминавшегося давления со стороны силовых ведомств (как иностранных, так и российских), эксперты называют еще две причины, которые стимулируют иностранных производителей телекоммуникационного оборудования умалчивать о некоторых функциях собственных систем.
Первая из них перестраховка на случай задержки платежа со стороны заказчика. Предположим, что есть «долгоиграющий» проект, который стоит много денег и финансируется, например, из госбюджета. Форма оплаты, как это традиционно бывает, разбивается на небольшой аванс и ключевой транш, который переводится уже по принятии системы клиентом. Финансовое благополучие российского бизнеса и отечественных госструктур за последнее десятилетие было довольно нестабильным. Иногда в бюджете заказчика по каким-то причинам деньги пропадали именно тогда, когда система уже была смонтирована. Именно в такой ситуации «недекларированные возможности» и закладные устройства оказываются очень кстати: система просто отключается.
Другая веселая причина, по которой иностранные компании-производители вероятно работают над созданием вредных «дополнительных функций» в своем оборудовании сугубо экономическая. «В практике многие сталкивались с умышленным стремлением производителя сократить срок службы собственного продукта, говорит Сергей Иванищак. Известно, что иностранные лампочки, горят гораздо менее продолжительный срок, нежели российские лампочки».
Можно ли говорить о том, что оборудование с «недекларированными возможностями» поставляется только в развивающиеся страны или исключительно в Россию? По словам заместителя гендиректора компании «Гамма», скорее всего это не так: «Полицейский режим или закладные устройства это в большинстве случаев вопросы современной технологии. И создавать массово подобные решения специально под конкретного заказчика, конкретную страну вряд ли». Экономическую эффективность в разведке никто не отменял.
В рамках данной статьи мы затронули только некоторые темы защиты информации в телекоммуникациях. За пределами нашего фокуса осталась, например, такая животрепещущая тема как прослушивание сотовых телефонов. Более подробно вопросы защиты информации во всем их комплексе будут рассмотрены в рамках нашего ежегодного Обзора «Технологии защиты информации: правда и вымыслы», публикацию которого мы планируем в ноябре текущего года.
|
Помимо описанных выше проблем, владельцы информации в нашей стране рискуют столкнуться с еще целым рядом угроз. Противодействовать им, помимо коммерческих предприятий, призваны и государственные структуры. Одним из ключевых органов, координирующих политику государства в сфере защиты информации, у нас, как известно, является Гостехкомиссия России (ГТК). На сочинской конференции эту организацию представлял Юрий Николаевич Лаврухин, начальник управления ГТК.
Гостехкомиссия в действии
Сразу оговоримся, ГТК принимает меры по организации защиты информации любыми методами кроме криптографических. Всеми вопросами, связанными с криптографией, поручено заниматься Федеральному агентству правительственной связи и информации при Президенте РФ (ФАПСИ). Но и помимо криптографии дел у ГТК хватает: методология, образование, нормотворчество, защита государственной тайны, лицензирование и стандартизация. Работу по этим направлениям Гостехкомиссия ведет уже почти 30 лет (юбилей намечено отпраздновать в 2003 г.).
Численность персонала ведомства сегодня чуть более 100 человек. Между тем, ГТК активно расширяет сеть своих региональных представительств: региональные управления созданы уже во всех федеральных округах, в некоторых из них начата работа и межведомственных комиссий по информационной безопасности, в состав которых входят представители МВД, ФСБ, ФАПСИ и самой комиссии. Любопытно, что создание региональных коллегиальных органов по защите информации создается при поддержке самих региональных властей. По словам г-на Лаврухина, система защиты информации дело финансово емкое, но местные администрации все больше осознают важность этого вопроса и начинают вкладывать средства в безопасность информации своего региона. Хотя пока эта тенденция не подкрепляется статистикой: из 800 компаний, получивших лицензии ГТК, почти все работают в Центральном федеральном округе. Похоже, что в вопросе создания системы защиты у субъектов России пока есть только потенциал, а с результатами туго.
Насущным вопросом развития комплексной системы защиты информации в регионах является разработка соответствующих типовых документов. Именно для этих целей в Воронеже недавно был создан Государственный научно-исследовательский институт по защите информации. К слову сказать, работу по созданию типовых документов сегодня ведут не только несколько государственных ведомств, но и любая уважающая себя компания, работающая на этом рынке. Бизнесмены активно делятся своими идеями (разработками типовых документов) с ГТК. Часто подобные «разработки» создаются под собственный продукт. Говорят, что иногда такие фокусы проходят. Между тем, все участники официально и неофициально сходятся на том, что утверждение воронежского института в качестве головной организации по разработке типовых документов является решением правильным. Как сообщил в своем докладе Юрий Николаевич, в данный момент идет схожая работа по определению головного управления, которое будет заниматься вопросами компьютерной разведки.
Определилась Гостехкомиссия и с выбором головного ВУЗа по защите информации им стал МИФИ. Кроме того, в список учебных заведений, имеющих право на подготовку кадров по информационной безопасности, вошли еще 17 организаций. Кузницей кадров для противодействия иностранным разведкам по традиции остался МГТУ им. Баумана.
В своем докладе глава управления ГТК отдельное внимание уделил описанию попыток ввоза на территорию России аппаратуры двойного назначения. Систем, подпадающих под это определение, в нашу страну поступает довольно много, поэтому в качестве примеров г-н Лаврухин привел только несколько особо возмутительных случаев. Так, относительно недавно в Россию пытались провести оборудование на сумму 10-15 млн. долл. под видом экологического проекта по изучению уровня ртути на острове Новая земля. С подобными же «экологическими» целями враги предложили проект, который предполагал установку серии буев, цепью перегораживающих Берингов пролив. По словам эксперта, подобная система позволила бы осуществлять полный контроль за стратегически важной для нашей страны акваторией на легальной основе. На оба проекта был наложен запрет. Приведенные примеры отлично иллюстрируют тенденцию усиления попыток развертывания иностранной разведки на территории нашей страны легальным путем.
В число забот Гостехкомиссии также входит защита служебной (в министерствах и ведомствах) и личной информации граждан. Важным шагом стало принятие «Специальных требований и рекомендаций по защите конфиденциальной информации от утечки по техническим каналам (СТРК)», над разработкой которых специалисты работали долгое время. Принятие данного документа в совокупности с новым Административным кодексом, фактически, дает возможность ГТК взыскивать штрафы с предприятий, уделяющих недостаточное внимание защите информации. Под действие санкций могут попасть как государственные предприятия и ведомства, так и организации всех иных форм собственности. Пока новые статьи АК на практике не принимаются.
В русле подготовки российского правительства к вступлению в ВТО продолжается работа по гармонизации отечественных и международных стандартов в сфере защиты информации. Судя по всему, ГТК не планирует принимать ИСО 15408 без корректив: «Многие ведомства опасаются, что мы свой рынок будем отдавать дяде, если прямо примем этот стандарт», в ходе своего доклада заметил г-н Лаврухин.
ФАПСИ становится либеральнее
Темпы развития рынка информационной безопасности в России за последние несколько лет наглядно иллюстрируют данные статистики ФАПСИ. Так, за последнее десятилетие прошлого века (1991-2000гг.) агентство выдало нескольким десяткам организаций всего 174 лицензии, а только за один лишь 2001 год уже 324 организации получили 750 лицензий. На защиту документооборота выдано 250 лицензий. Сертифицировано 500 средств защиты информации. Именно такие данные привел в своем докладе на сочинской конференции Олег Андреевич Беззубцев, начальник лицензионного и сертификационного центра.
Судя по выступлению докладчика, ФАПСИ настроено в меру либерально. Изучив ситуацию без лишней спешки, агентство сегодня не настаивает на обязательном лицензировании средств криптографической защиты информации (СКЗИ) для коммерческих организаций. В проекте Закона «О лицензировании отдельных видов деятельности» ФАПСИ предлагает внести соответствующие изменения: «Если сам потребитель идет на это, то государство не может настаивать на лицензировании», сообщил собравшимся г-н Беззубцев. Кроме того, агентство не намерено более препятствовать экспорту из страны СКЗИ с коротким ключом.
Продолжается работа по развитию системы электронной цифровой подписи (ЭЦП) в органах власти. Так, с 1 июля 2002г. введен новый алгоритм ЭЦП. Как сообщил представитель ФАПСИ уже до конца 2002 г. свой удостоверяющий центр будет создан в аппарате федерального правительства. Далее в планах стоит создание удостоверяющего центра для всей системы исполнительной власти страны. Стоимость создания центра оценивается в рамках от 2 до 5 млн. немецких марок (изучался опыт Германии, поэтому и бюджет оценивается в этой уже несуществующей валюте).
Между тем, развитие системы электронной подписи на федеральном уровне движется с большим трудом. Вся проблема заключается в том, что правительство никак не может определиться с выбором головной организации, которая будет отвечать за поддержание единого реестра сертификатов ЭЦП. Говорят, что в этом самом правительстве бродит даже такая крамольная идея как создание системы нескольких подобных организаций. Эксперты в ужасе ведь это станет прямым нарушением недавно принятого Закона «Об ЭЦП». Помимо отсутствия головного органа, развитию проекта мешает отсутствие требований к удостоверяющим центрам.
В то время, как масштабные проекты по переводу всего государственного документооборота в сети пока застопорились, ЭЦП пробивает себе путь в регионах. О развитии системы ЭЦП в органах государственной власти Петербурга участникам сочинской конференции рассказал Карпов Александр Георгиевич, генеральный директор ЗАО «Удостоверяющий центр». Компания с таким простым названием уже реализовала отнюдь непростой проект. На основе PKI-системы Keon с использованием решений компании «КриптоПро» в городе на Неве с 1 августа 2002 г. уже действует система электронного документооборота со своим удостоверяющим центром. Как сообщил CNews.ru г-н Карпов, сейчас к системе подключены 800 пользователей, а до конца 2002 г. их число планируется довести до 3600 человек.
Любопытное решение нашли в Петербурге и в вопросе финансовой ответственности удостоверяющего центра в случае ущерба пользователя. Этот острый угол был обойден путем заключения нескольких договоров с «крупными московскими страховщиками». Теперь, без процедуры страхования платежные документы в системе просто не принимаются. Насколько долго сможет быть экономически эффективен подобный подход в условиях роста конкуренции покажет время.
|
Сочинская конференция стала одним из первых мероприятий, на которых в узком кругу было объявлено о создании Общественной ассоциации производителей средств защиты информации. В данный момент эта новая организация делает попытки стать государственной и именно поэтому ее руководитель Геннадий Васильевич Емельянов пока не очень спешил делиться этим сообщением с прессой.
Очевидно, что создание ассоциации на рынке защиты информации назрело давно. Первым доводом, приведенным в докладе г-на Емельянова, стала тенденция стремительного роста отечественного рынка информационной безопасности. Судя по всему, ссылаясь на данные Обзора CNews.ru («Рынок информационной безопасности 2001»), глава ассоциации сообщил, что объем рынка в 2000 г. составил 20 млн., а в 2001 уже 40 млн. долл.: «Эти данные приводились в интернете», заметил эксперт. В то же время, по словам г-на Емельянова, показатели несколько занижены, но тенденция верна. Любопытно, но в кулуарных беседах в Сочи ежегодный объем рынка услуг по защите только государственной тайны оценивался экспертами в более чем 1 млрд. долл. Еще более интересным был тезис Юрия Лаврухина: «Необходимо помнить, что рынок информационной безопасности по своим размерам сравним с рынками наркотиков и вооружений».
Важной задачей, которую ставит перед собой ассоциация, является создание атмосферы корректной конкуренции: «Бывают случаи, когда пытаются использовать административный ресурс, делился опытом г-н Емельянов. Когда я сам работал в Совбезе мне тоже звонили и просили посодействовать той или иной фирме. Приходилось объяснять, что это недопустимо».
Следующей причиной, побудившей рынок к самоорганизации, стала необходимость создания налаженной системы контроля качества: «Бывают случаи, когда портфель заказов компании слишком раздувается в ущерб качеству». Для предотвращения подобных ситуации, по мнению создателей организации, и нужна авторитетная организация.
По имеющимся у нас данным, в ассоциацию вошли: ОКБ САПР, Оптима, Инфосистемы Джет, Гамма, Инфотекс и несколько других организаций.
Приведенные выше новости, это только малая часть той информации, которой активно обменивались между собой участники сочинской конференции. Самое интересное и действительно важное общение происходило в неформальной обстановке. К сожалению, об этом не напишешь. В итоге, почти все остались довольны. Конференцию решили сделать ежегодной.
Список организаций-участников конференции
«Защита информации в субъектах Российской Федерации»
Сочи, сентябрь 2002
- Гостехкомиссия России
- ФАПСИ
- Аппарат полномочного представителя Президента РФ в Центральном Ф.О.
- Министерство промышленности, науки и технологий РФ
- Стинс Коман
- РНТ
- Министерство чрезвычайных ситуаций, Северо-Западный региональный центр
- Лаборатория Касперского
- Гамма ГУП
- Татэнерго ОАО
- Сибакадембанк ОАО
- ИПИ РАН, г.Москва
- Администрация Краснодарского края
- Заволжский моторный завод
- Удостоверяющий Центр ЗАО
- Голлард, г.Москва
- ГУП НТЦ «Атлас»
- филиал НТЦ «Атлас» г.Нижний Новгород, ч/з РНТ
- ФГУП НТЦ «Атлас» г.Краснодар, ч/з РНТ
- ФГУП «Атлас-Северо-Запад»
- Межрегиональная Ассоциация Защиты Информации
- Рубеж-92
- ВИНИТИ
- Инфотекс
- Всерос. Электротехнич. Инст им Ленина
- Комфакс
- Аладдин ЗАО
- ЛИССИ
- Микротест
- Оптима
- Центр Безопасности информации ООО
- Экстрим про ООО
- Управление ФАПСИ в Уральском Фед Округе
- Газэкспорт, ООО
- Инфосистемы Джет ЗАО
- Администрация города Сочи
- РосБизнесКонсалтинг, г.Москва
- Академия Информационных Систем
- C-News
- Mediann-solutions ЗАО