Несколько злых слов о защите информации
После обсуждения в теме про персональные данные, я понял, что в целом уровень общего понимания в вопросах защиты информации у нас в обществе, в том числе и в среде ИТшников, невысок. Люди не понимают, что и зачем происходит. Я начал было там отвечать в комментариях, а потом понял, что проще и лучше будет собраться с мыслями, и написать один, но Самый Лучший Пост про отрасль информационной безопасности в России, как я ее себе понимаю после 8 лет плотной работы внутри неё. Для понимания всего нижеследующего длинного текста не требуется никакой специальной подготовки, и, смею заверить, он покажется интересным для очень многих читателей.
Дисклеймеры.
1. Все сказанное ниже никак не относится к сфере защиты информации, составляющей государственную тайну. Вполне возможно, что там такой же бардак (ведь занимаются-то этой защитой те же люди...), но так как я про эту область ничего не знаю и никогда с ней не соприкасался, то писать не буду. Не очень охотно, но допускаю, что там могут быть какие-то "особенные" требования, которые, может быть, и требуют каких-то "особенных" подходов, хотя, честно говоря, в душе не до конца уверен, что всем нам - каждому конкретному гражданину России и всем в совокупности - в принципе необходимо, чтобы существовала "государственная тайна" как таковая. Но это тема для отдельного разговора.
2. В тексте есть некоторые упрощения, мне хотелось его сделать понятным даже для абсолютно-не-специалистов. Но профанации нет, и да, я таки очень даже хорошо понимаю предмет, о котором пишу. И этой статьей я хочу в том числе и показать, что напрасно (но это, конечно, не случайно) тематика защиты информации покрыта завесой тайны и считается уделом узких специалистов; на самом деле ничего эдакого, недоступного для понимания в ней нет.
Рынок информационной безопасности в России - это что-то около 20-30 миллиардов рублей в годовом исчислении; растет он на каких-то антикризисных дрожжах, процентов на 80 в год, и останавливаться не собирается. Лидер этого рынка - "Лаборатория Касперского" - известен и понятен всем, и ясно, что и зачем делают эти люди. Тем ярче контраст - названия фирм, которые занимают в рейтинге CNews по информационной безопасности места со второго по десятое за редким исключением никому не известны. Это все фирмы, которые тоже зарабатывают миллиарды или сотни миллионов рублей, и зарабатывают их на таких видах деятельности, как "поставка сертифицированных средств защиты информации", "аудит и консалтинг в области информационной безопасности", "аттестация объектов информатизации". Главное и почетное место на сайте любой из этих компаний занимает иконостас лицензий и сертификатов, выданных ФСБ России и ФСТЭК (уверен, что 95% моих читателей ранее не сталкивались с этой аббревиатурой, она расшифровывается так: "Федеральная служба по техническому и экспортному контролю", в Екатеринбурге у них есть шикарное здание на ул. Гагарина, между Малышева и пер.Отдельным).
ФСБ и ФСТЭК являются контролирующими органами в сфере информационной безопасности: они выдают лицензии на право работы в этой сфере, устанавливают требования к информационным системам и их владельцам, аккредитуют аттестационные центры, которые получают право проверять информационные системы на соответствие этим требованиям. ФСБ в основном контролирует программные средства защиты, ФСТЭК - технические. Когда дело доходит до сложных информационных систем, в которых защита осуществляется как программными средствами (например, средствами шифрования), так и техническими (например, межсетевыми экранами), то, естественно, система попадает в поле зрения обоих регуляторов.
Пользовательский рынок программных средств защиты информации в стране относительно либерален. Не составляет особого труда получение лицензий ФСБ на распространение и обслуживание средств криптографической защиты информации, предоставление услуг в области шифрования. Впрочем, легкость обманчива: из-за того, что получение лицензий происходит достаточно быстро и обходится не очень дорого (если ужиматься, то со всеми мероприятиями можно уложиться в пару сотен тысяч рублей), забываешь задать вопрос о том, зачем вообще они нужны - ведь речь идет о продаже обычных и довольно простых компьютерных программ, которые можно и в Интернете скачать. Тем не менее, для того, чтобы заниматься этими программами, оказывается, необходимо поставить железные двери на помещения, в которых находятся дистрибутивы, и купить металлический сейф для их хранения, обучить двух человек на специальных курсах, вести кучу бумажных, прошитых журналов, аттестовать по требованиям безопасности один компьютер и т.д. Иначе - ст. 171 УК РФ, "Незаконное предпринимательство" во всей красе.
Что уж говорить о более "серьезных" видах деятельности! На многие месяцы растягивается получение лицензий ФСТЭК на техническую защиту информации (забавно, что для этого, в частности, надо продемонстрировать знание документа, который называется СТР-К, относится к категории ДСП и выдается только лицензиатам) или получение лицензий ФСБ на разработку средств защиты информации или защищенных информационных систем. Мало получить лицензии, необходимо еще и согласовывать технические задания на создаваемые лицензиатом защищенные системы или средства защиты, а потом сертифицировать средства и аттестовывать системы.
В основе всего этого дела лежит целая наука, или, по крайней мере, очень богатая методологией отрасль знаний, причем специфически отечественная. Есть отечественные криптографические алгоритмы, которые должны быть реализованы в сертифицированных средствах; есть отечественная классификация разного рода систем по разным уровням защиты, своя у ФСБ и своя у ФСТЭК; есть методология построения защищенных систем, которую надо знать и соблюдать для того, чтобы созданную систему можно было аттестовать. А аттестация во многих случаях является обязательной - и не только для систем, в которых происходит обработка персональных данных.
Декларируемая цель у всего этого хозяйства очень благая - повысить защищенность информационных систем, эксплуатируемых в России. Но достигается ли эта цель? Давайте попробуем разобраться. Не надо быть специалистом по защите информации, чтобы суметь понять четыре базовых принципа - очень простых! - на которых держится вся эта дисциплина.
Принцип 1. Модель защиты должна быть адекватна модели угроз. Другими словами, если данные никому не нужны - то не надо их защищать. Если данные стоят 10 рублей - то нет смысла тратить 11 рублей на систему их защиты. Если потенциальный злоумышленник может в другом месте получить эти же данные за 100 рублей, то достаточной будет такая система защиты, преодоление которой обойдется в 101 рубль.
Принцип 2. Ответственность за безопасность данных лежит на их владельце. Другими словами, никто и никогда (кроме, может быть, закрытого перечня понятных исключительных случаев, хотя представить себе такой случай довольно трудно) не вправе навязывать мне, как мне защищать мою информацию, и защищать ли вообще. В частности, я всегда вправе делегировать обработку своей информации третьему лицу, и уровень защиты - это дело нашей с этим третьим лицом договоренности.
Принцип 3. Не менее 95% угроз исходит от инсайдеров. Другими словами, гениальные пятнадцатилетние хакеры, ломающие системы банков с помощью айфона и магического знания, существуют только в кино и в падких на сенсации СМИ. Нет, ну конечно, в реальной жизни тоже - иногда - ну так и самолеты иногда падают, от чего нормальные люди не перестают на них летать. А вот инсайдеры - сотрудники той структуры, в которой происходит обработка защищаемой информации, и которые могут иметь к ней доступ по должности - очень даже существуют, и, главное, защититься от них во много раз труднее, чем от юных хакеров.
Принцип 4. Информационных систем, защищенных на 100% не бывает. Точнее, бывают, конечно - полностью выключенные. Если система работает и обрабатывает информацию, то эту информацию можно из нее достать. Вопрос в цене, в сроках... но принципиально - всегда можно. Следует ли из этого, что надо возвращаться в каменный век (как, кстати, на полном серьезе призывали некоторые комментаторы поста про ПДн: "Ну и что, что для больниц невыполнимы требования 152-ФЗ? Пусть обрабатывают информацию на бумаге!")? Конечно, нет! Из этого следует совсем другое:
а) Не имеет никакого смысла доводить до абсолюта систему априорных требований к информационной безопасности; все равно от всех бед не защититься. Должен соблюдаться "принцип разумной достаточности" - надо приложить те 20% усилий, которые обеспечат 80% защищенности, и хорошенько подумать насчет всего остального.
б) Зато должна развиваться технология апостериорных разборок. Если произошла утечка, то надо уметь установить, кто был виноват, и наказать его по всей строгости, так, чтобы и другим было неповадно - это очень повышает общий уровень защищенности.
в) И, наконец, должно развиваться страхование информационных рисков. Практически каждую утечку информации можно оценить в терминах материального и морального ущерба конкретным лицам; размер ущерба может быть установлен соглашением сторон или решением суда. Соответственно, утечек не надо бояться как абсолютного зла, а надо уметь защищаться от них путем компенсации того ущерба, который они наносят.
Грустная правда состоит в том, что вся существующая (и последовательно развивающаяся!) система законодательного регулирования в сфере защиты информации в России напрочь противоречит каждому из четырех перечисленных выше принципов. Вот прямо по порядку:
1. Существуют типовые модели защиты, построенные на базе типовой модели угроз. Владелец информационной системы, по сути дела, лишен возможности в широких пределах определить модель защиты исходя из собственных предположений о модели угроз, но должен выбрать одну из типовых, основываясь на формальных признаках. Выполняются такие-то условия? Все, приехали, класс 1В (1Г, КС2...), такие-то и такие-то сертифицированные средства, миллионы рублей и т.д., вне зависимости от реальных проблем в данной конкретной информационной системе. И наоборот! Можно формально пролезть под низкий класс защиты (а затраты большие, и все пытаются это сделать) - молодцы, пролезаем, аттестуемся, вне зависимости от внешних угроз, опять же.
2. Этот принцип попран и растоптан как только можно. Владельцу информации сплошь и рядом навязывают определенную степень защиты против его воли, и сурово наказывают его за "нарушения". Получается очень смешно: например, все акционерные общества обязаны публиковать свою бухгалтерскую отчетность, но в системе сдачи ее в налоговые органы по каналам связи, с другой стороны, эту же отчетность обязаны шифровать только таким и сяким образом, тратя на это свои деньги. Из-за этого тоже не развиваются нормальные механизмы страхования рисков, из-за этого не развивается рынок аутсорсинга услуг в сфере ИБ. В марте этого года мы были с коллегами на CeBIT, и нас просто шокировала конфигурация рынка услуг информационной безопасности в Германии: оказывается, доминирует мнение, что шифрование, ЭЦП и так далее - это все "очень сложно" для конечного пользователя (бухгалтера предприятия и т.п.), и что не надо заниматься этим на предприятиях, а надо аутсорсить в специализированные фирмы, которые оказывают эти услуги массово и дешево. Если вдуматься - абсолютно правильный подход! И совершенно неприменимый в условиях отечественной методологии, для которой передача закрытого ключа третьему лицу - это что-то пострашнее зоонекропедофилии. В мире как-то меньше заморачиваются за это дело, а больше - за базовый принцип гражданского законодательства, согласно которому я могу кому угодно делегировать что угодно, естественно, оговорив при этом права, обязанности и взаимную ответственность. Наше же законодательство в сфере защиты информации рассматривает конечного пользователя как дитя неразумное, которого надо оградить искусственными барьерами от злого внешнего мира. Итог: у нас и бухгалтер предпенсионного возраста знает, что такое закрытый ключ, открытый ключ и сертификат. Когда у меня была "Ока", я тоже умел продувать жиклер карбюратора, ага. Кому от этого лучше-то?
3. Этот основополагающий принцип нашей методологией просто игнорируется. Нельзя сказать, что фокус сделан только на защиту от внешнего мира, но основные затраты, все же, предлагается делать именно на такую защиту (от железных дверей до межсетевых экранов). Организационным мерам уделяется много внимания (комплект организационно-распорядительной документации, который должен быть разработан - для этого есть тоже специальные, "правильные" консультанты! - в организации, котороая занимается оказанием услуг в сфере ИБ - это десятка два пухлых папок), но только не совсем тем организационным мерам. Как должно быть устроено подразделение информационной безопасности в плане оргштатной структуры - да. Как сделать так, чтобы сисадмин не был заинтересован в копировании базы, к которой он имеет прямой доступ - нет.
4. Ну и главная ошибка заключается именно в том, что вся методология прямо рассчитано на построение систем, защищенных на 100%, то есть систем, в которых обращается актуально бесценная информация. При этом навязываются совершенно анекдотические средства защиты: например, оператор информационной системы должен ставить рядом с серверной стойки средства ПЭМИН (противодействий электромагнитным и индукционным наводкам, как-то так это расшифровывается), антенну с усиками, которая стоит десятки тысяч рублей, и якобы глушит наводки. Все, конечно, классно, но только никакую информацию с работающего сервера ни по каким наводкам получить невозможно; наводки - это в чистом виде разводка. Подход, нацеленный на 100%-ную защищенность, скопирован из сектора гостайны, и совершенно неприменим к бизнес-сектору, где любая информация имеет (иногда трудно определяемую) конечную ценность. Результат - противоречивые требования, которым, на самом деле, может удовлетворять только выключенная система. Результат - крючок, за который, при желании, можно зацепить любого оператора систем информационной безопасности.
Если очень кратко, одним предложением описывать проблему, то можно сформулировать так: отечественная методология защиты информации определяет процесс, вместо того, чтобы определять результат. Оператору или владельцу информационной системы очень много вменяется делать (такой поставить электронный замок и сякой, такие организационно-распорядительные документы принять и сякие...), но никого не волнует, что же он в результате сделает, если, конечно, формальные требования при этом будут выполнены.
Как должно быть: каждый владелец или оператор информационной системы знает, что понесет неотвратимую финансовую ответственность за нарушение режима защищенности информации. Эта ответственность предусматривается договорами с клиентами информационной системы, владельцами информации, доверившими его ее обработку и т.д. После этого, оператор информационной системы уже сам решает, каким образом он строит защиту: сколько денег вкладывает в обеспечение защищенности системы, на какие суммы страхует риски. Чтобы работать со страховщиком, понадобится, конечно, и аудитор - но аудитор, который определит реальную степень защищенности информационной системы, а не выполнение тех или иных формальных требований.
Как есть: существует очень ограниченный круг поставщиков услуг ИБ (лицензиатов соответствующих служб), причем купить входной билет на этот олигополический рынок очень трудно. Эти поставщики - спору нет! - обеспечивают выполнение формальных требований путем поставки некоего круга типовых решений, а контролирующие органы стимулирует спрос на эти решения путем проверок и прочего кошмаринга. Реальная защищенность систем никем не анализируется и никого не волнует.
Ведь все эти классы защиты - это еще и индульгенция (а приобретение "правильных" средств защиты у "правильных" поставщиков - это покупка индульгенции). Произошла утечка. Кто виноват? Ясно кто - данные, допустим, из базы ГИБДД, по структуре данных-то сразу это видно. И что, накажут ГИБДД? Нет, конечно, если у них все сертификаты и аттестаты есть.
И на примере закона о персональных данных все это видно просто как на ладони. Мне пишут: "Да что уж там такого в этих требованиях по защите ПДн? Подумаешь, просто класс 1Г, ничего эдакого!". Стоп, ребята. А почему вообще возникает вопрос о том, что ко мне приходит какой-то дядя и требует, чтобы у меня был "класс 1Г" (а это сотни тысяч рублей в минимальной конфигурации). Почему это не является предметом моей частной договоренности с тем, что поручил мне обработку своих персональных данных? Мое дело - дать ему гарантии - в том числе, и финансовые, что данные не утекут, а уж как я это сделаю... Может быть, и не буду ставить никаких сертифицированных межсетевых экранов, зато найму хороших специалистов и буду платить им большую зарплату, и тем исключу главный риск - риск утечки информации через голодных инсайдеров?
Естественно, что реальная жизнь приспосабливается под эти требования, иначе не бывает. Все фирмы, которые серьезно занимаются защитой информации, кому это действительно надо, разрабатывают свои, внутренние схемы противодействия реальным угрозам. Получается такое "двойное налогообложение" - мы сначала делаем, как правильно, а потом еще дополнительно, поверх этого (и стараясь ничего особо не поломать) делаем "как надо". И на это, и на то тратим деньги. А там, где специалистов особо нет (например, в госсекторе), там уповать приходится только на предписанные стандарты. Они выполняются, не спорю, очень аккуратно. Только данные все равно уходят.
Почему так, и - мой любимый вопрос - qui prodest? Ну, первая причина понятна - эти требования просто не поспевают за современным миром, большинство из них перенесены на рынок "гражданской" информационной безопасности из сектора гостайны, и пришли из доинтернетовских времен. А вторая причина в том, что когда так уж получилось, то контролирующие органы на это посмотрели... "и увидели они, что хорошо". Зачем что-то менять, когда можно получать очень хорошие деньги? Ах, интересы рынка, интересы электронного государства? Нет-нет-нет, у нас самая правильная и лучшая методология защиты. Пусть работать неудобно, зато враг не пройдет!
Следствия зарегулированности и клановости рынка очень просты и естественны:
1. Отсутствие серьезной конкуренции ведет к низкому качеству. Российские средства криптографической защиты информации еще более или менее работают (да, их настройка может потребовать получаса времени и небольших плясок с бубнами в зависимости от операционной системы, но потом, обычно, все получается), но чем уже рынок - тем хуже. Если говорить про технические средства (а в отличие от программных, в каждом сегменте рынка здесь присутствует не 10-15 конкурентов, а зачастую 3-4 или даже 1-2), то все гораздо хуже; больше всего они напоминают советские микроволновки. Да, в принципе были ведь и такие... но представьте себе, что их использование стало бы обязательным во всех квартирах! Все наши "замечательные" технические средства работают нестабильно, очень плохо документированы, очень мало пригодны для встраивания во внешнюю среду, обладают удивительно низкой производительностью... зато сертифицированы.
2. На практике это приводит к тому, что система защиты, соответствующая всем требованиям (а потому, вполне может быть, и эффективная) выстраивается очень не надолго: на время приезда комиссии из аттестационного органа. В этот момент - все очень красиво, работают всякие "Панцири", "Стражи" и "Аккорды", все сетевые кабели выключены из Интернета (потому что аттестовать систему с подключением к внешним сетям еще раз в десять труднее и дороже, чем без оного), и так далее... На следующий день все возвращается в исходное - но хотя бы работающее! - состояние.
3. Сдерживается развитие электронных услуг для конечных пользователей. Федеральная налоговая служба в свое время пошла на очень мудрый и решительный шаг, потребовав в системе сдачи отчетности класса КС1, который позволял, хотя бы, обойтись без аппаратных средств защиты информации на рабочих местах пользователей систем электронного документооборота, и разойтись только программными средствами. А вот ПФР (под давлением ФСБ) очень долго (до 2007 года) настаивал на КС3, а тогда никак не обойтись без аппаратной составляющей у клиента, а это как минимум многие сотни долларов. В итоге формально система работала, и была очень даже защищенной; только ей никто не пользовался. (Понятное дело, ФСБ это мало волновало). Но сейчас и класс КС1 сдерживает дальнейшее развитие - как ни крути, а примерно 2000 рублей в год на рабочее место пользователя приходится платить за зищату информации, и это не позволяет сделать решительного шага от электронного взаимодействия государства и бизнеса к электронному взаимодействию государства и гражданина - с гражданина-то таких денег не соберешь! И сейчас все эти десятки миллиардов рублей, которые ежегодно вымываются в искусственно созданный рынок информационной безопасности - они ведь в конечном счете ложатся на конечных пользователей интегрированных услуг, включающих в себя услуги ИБ...
Конструктив в следующем. ФСТЭК - упразднить вообще. Лицензирование деятельности по распространению средств защиты информации - отменить. Крепко подумать относительно отечественных криптографических стандартов - а не отменить ли их (точнее, не допустить ли использование и средств защиты информации, удовлетворяющих мировым стандартам) вместе с системой лицензирования разработчиков средств защиты информации? Аттестацию и сертификацию технических средств и информационных систем по классам защиты сделать сугубо добровольной. Короче говоря, то, что есть сейчас - разрушить до основания, а затем... Затем, уверен, сработает принцип "свято место пусто не бывает". Ведь реальные-то задачи по защите информации в современных информационных средах надо решать! И толковые аудиторы - те, которые помогают сделать систему действительно более защищенной! - будут востребованы, еще как будут. И толковые средства защиты будут покупаться. Но 80% затрат, которые сейчас делаются на рынке информационной безопасности (и перекладываются на конечных пользователей) просто уйдут, а остальные 20% денежных потоков очень серьезно перераспределятся - от дармоедов к профессионалам.
Слишком резко? Но давайте, собственно говоря, на секунду абстрагируемся от всех этих классов защиты, лицензионных требований, и процедур по аттестации. Вот у нас есть наша, отечественная, криптографическая школа. Вот у нас есть система лицензирования и сертификации. Вот у нас есть зарегулированный рынок средств защиты информации, в который ежегодно сливаются десятки миллиардов рублей. А в целом, по-крупному, как у нас в стране состояние дел с защищенностью информации? В сравнении с США, с европейскими странами? Да как-как - хреново! Именно в России, с нашей замечательной "отечественной школой", с нашими единственно правильными методологиями защиты информации, практически любые базы данных на рынке как лежали, так и будут лежать, и никакой закон о ПДн их не берёт. Любую информацию можно получить. Зато - все аттестовано, сертифицированно, лицензированно. Аудиторы и консультанты работают и зарабатывают. Все формальности соблюдены; у кого они не соблюдены - тех кошмарят, причем не за то, что уровень защищенности низок (он может быть ниже, а может быть и выше, чем у других), а затем, чтобы другим неповадно было. Система работает! Работает, выполняя свои функции, свои предназначения - просто повышения уровня информационной безопасности в стране в списке этих предназначений нет.
Резюме. Система законодательного регулирования в области защиты информации, не составляющей государственной тайны в России как минимум на 99% не способствует реальному повышению защищенности информации и предназначена для извлечения доходов структурами, аффилированными с контролирующими органами.