В рамках II Международной выставки-форума «ИнфоКом 2002» компания Aladdin Software Security R.D. провела семинар «Защита информации и безопасность инфокоммуникаций». В нем приняли участие представители отечественных и зарубежных фирм, а также российских государственных органов. Актуальность проблематики, отраженной в названии мероприятия, возрастает год от года. Информационные и телекоммуникационные технологии стремительно проникают в различные сферы деятельности. А это приводит к тому, что действия, позволяющие «обойти» системы информационной безопасности, становятся все более разнообразными, а наносимый ими ущерб — все более значительным.

Цена вопроса

От злоумышленников страдают и корпоративные клиенты, и частные лица, и фирмы, предоставляющие услуги связи. Согласно данным Международного союза электросвязи (ITU), потери операторов от разных видов мошенничества в большинстве случаев составляют 3-7% их суммарного дохода, но иногда доходят до 20%. Если верить оценкам, опубликованным в журнале Mobile Europe, в будущем году убытки только от телефонного мошенничества вплотную приблизятся к отметке 28 млрд долл.

Как посетовал на семинаре Михаил Фейлер, менеджер по маркетингу и продажам оборудования ECI Telecom, действия злоумышленников могут привести к самым плачевным для оператора связи последствиям. Помимо прямых финансовых потерь к ним следует отнести рост давления на телекоммуникационные компании в целях снижения тарифов, ухудшение рабочих характеристик сети (заставляющее нести дополнительные расходы на поддержание требуемого качества сервиса), отказы клиентов от оплаты счетов, конфликты при взаиморасчетах с другими операторами за международные, междугородные и местные соединения, неудовлетворенность абонентов качеством услуг, наконец, значительный ущерб имиджу компании (см. также Сети, 2000, № 12, с. 52).

Подчеркну еще раз, что все вышесказанное относится только к операторам связи. Чтобы оценить истинный масштаб проблемы, к приведенным цифрам следует прибавить убытки государственных структур, коммерческих организаций и частных лиц.

Астрономические суммы потерь от действий злоумышленников стимулируют активное развитие рынка средств информационной безопасности. Он оказался даже устойчивым к глубокому кризису, поразившему ITT-индустрию экономически развитых стран. По данным зарубежных аналитических компаний, объем этого рынка ежегодно растет примерно на 32%: если в прошлом году он составил 5,1 млрд долл., то к 2005 году должен достичь 14 млрд долл.

Примеры решений

Современные системы информационной безопасности можно разделить на четыре основные категории: это антивирусное программное обеспечение, брандмауэры, средства криптозащиты и системы ААА (аутентификации, авторизации и администрирования). По данным IDC, сегмент AAA является самым динамичным (рост на 41% в год) и уже через несколько лет на него будет приходиться две трети мирового рынка систем информационной безопасности.

Развитие этого рынка отличается неравномерностью не только в структурном, но и в географическом аспекте. Согласно оценкам из доклада Сергея Груздева, генерального директора компании Aladdin, в последнее время в России объем продаж средств информационной защиты растет на 42% в год, тогда как в США — примерно на 30%.

На семинаре были представлены различные подходы к поддержке информационной безопасности. Так, корпорация Sun Microsystems познакомила собравшихся с проектом Liberty, нацеленным на решение проблемы универсальной сетевой идентификации. Фирма Sun стала одним из инициаторов создания консорциума Liberty, который сегодня объединяет 43 организации. Задача проекта — создание системы идентификации, которая обеспечивает:

  • защиту персональной идентификационной информации в сетевой среде;
  • хранение сведений, связанных со взаимодействием компаний с клиентами;
  • реализацию процедуры однократной аутентификации и авторизации (single sign-on) на основе открытого стандарта и децентрализованной идентификации из множества источников;
  • поддержку существующих и новых устройств доступа.

Главной особенностью системы идентификации, разрабатываемой в рамках проекта Liberty, является «федеративный» принцип построения. В противоположность более простому и распространенному централизованному подходу, при котором один или несколько операторов становятся обладателями всей информации о пользователях, в данном случае идентификационные данные распределяются между несколькими полномочными участниками и только потребитель управляет доступом к информации о себе. Понятно, что «федеративное» построение предполагает независимость системы идентификации от конкретных платформ и технологий. При этом оно позволяет создать гибкую инфраструктуру для предоставления интегрированных услуг.

Аппаратный ключ eToken Pro производства Aladdin позволяет обойтись без устройства считывания смарт-карт
В ближайшее время консорциум Liberty намерен выпустить открытую спецификацию создаваемой системы. Она определит процедуры однократной авторизации потребителя с любого устройства в Internet на основе открытых стандартов и конфиденциального обмена атрибутами пользовательских профилей.

Проект Liberty стартовал в начале 2002 года, а завершение работ намечено на середину будущего года. Однако еще до утверждения стандартов, описывающих распределенную архитектуру систем идентификации, российские компании начали создавать первые удостоверяющие центры.

Один из них начал эксплуатироваться в Санкт-Петербурге в июне этого года. Он призван обеспечить защищенный обмен электронными документами в открытой среде между местными органами государственной власти.

Построенный на базе комплекса средств криптографической защиты «Крипто-Про» (разработка одноименной московской компании), данный центр регистрирует участников открытой системы и сертифицирует их открытые ключи. Тем самым он юридически привязывает конкретный ключ к конкретному пользователю. Кроме того, центр хранит сертификаты открытых ключей электронных цифровых подписей (ЭЦП) всех участников системы и при необходимости высылает любому из них заверенные сертификаты.

По словам генерального директора ЗАО «Удостоверяющий центр» Александра Карпова, на практике задачи подобных структур нередко выходят за рамки функций, перечисленных в законе РФ «Об электронной цифровой подписи». Так, в Северной столице удостоверяющий центр фактически стал организатором системы городского заказа, и с его помощью обеспечивается электронное взаимодействие членов системы.

Проблема, однако, заключается в том, что многие пользователи системы активно задействуют адреса электронной почты, предоставляемые бесплатными почтовыми сервисами вроде mail.ru или yandex.ru. В этой ситуации защитить обмен электронными сообщениями практически невозможно, поскольку провайдеры бесплатных сервисов нередко удаляют почтовые ящики без предупреждения, ограничивают их объем и не спешат с внедрением средств поддержки стандартных почтовых протоколов подписи и шифрования сообщений. В результате удостоверяющий центр вынужден предоставлять услуги почтового сервера, т. е. играть роль телекоммуникационного центра передачи информации. Это накладывает дополнительные обязательства на владельца центра, но упрощает работу пользователей (в частности, позволяет им сосредоточиться на основном виде деятельности) и дает возможность построить защищенную систему электронного документооборота.

Организатор семинара компания Aladdin представила семейство электронных брелков (аппаратных ключей) eToken, позволяющих обойтись без использования паролей при входе в сеть и защите конфиденциальной переписки. Каждый такой брелок (на фото) представляет собой компактное устройство размером с обычную зажигалку, подсоединяемое к USB-порту. Он освобождает потребителя от необходимости запоминать сложные пароли, а администратора — от их периодической замены.

Кроме того, в отличие от простой однофакторной аутентификации при вводе пароля, применение eToken обеспечивает двухфакторную аутентификацию: помимо подключения самого брелка нужно ввести уникальный PIN-код. Последнее означает, что пропавшим или украденным брелком не сможет воспользоваться злоумышленник. PIN-код защищен от подбора за счет аппаратной задержки отклика системы, что позволило обойтись без функции блокировки брелка в случае нескольких неудачных попыток подбора кода.

Подобно смарт-картам, аппаратный ключ eToken способен хранить несколько паролей для входа в разные сетевые домены, цифровые сертификаты, ключи шифрования и другую информацию, используемую различными приложениями. В то же время eToken обладает большим набором памяти, чем обычная смарт-карта (до 64 Кбайт), и не требует приобретения дорогостоящего устройства считывания карт.

Не все коту масленица

Может показаться, что активизация усилий таких гигантов ИT-индустрии, как Sun и Microsoft, а также сотен компаний размером поменьше позволит в обозримые сроки совладать с основными угрозами в области информационной безопасности. В действительности это не так: злоумышленники постоянно ищут новые методы атак, да и само понятие безопасности после террористических актов 11 сентября прошлого года приходится толковать в широком смысле. Кроме того, российский рынок имеет собственные специфические проблемы, которые и стали предметом обсуждения заключительной части семинара.

По признанию участников дискуссии, в нашей стране отсутствует четкая концепция защиты конфиденциальной информации. В законодательных актах не делается различий между сведениями государственного значения, информацией, которой оперируют органы местной власти, и коммерческой конфиденциальной. Ситуацию можно исправить, приняв законы о служебной и коммерческой тайне, о персональных данных граждан. Назрела острая потребность в строгом законодательном определении несекретной конфиденциальной информации, связанной с национальными интересами России, а также в изменении процедур лицензирования соответствующих видов деятельности.

Однако ликвидация юридических пробелов — это только начало. Скажем, Закон РФ «Об электронной цифровой подписи», принятый 10 января текущего года, из-за отсутствия средств на его реализацию не работает даже на уровне органов государственной власти. ФАПСИ завершает создание удостоверяющего центра для Правительства России, однако другие меры по развитию такой деятельности бюджетом не предусмотрены.

Кстати, в 1995 году в Германии был принят закон, аналогичный нашему Закону «Об ЭЦП». На его реализацию было выделено 50 млн. немецких марок — сумма мизерная по сравнению с годовым бюджетом страны. Тем не менее этих средств оказалось достаточно, чтобы уже через год в Германии появился государственный удостоверяющий центр национального масштаба.

У нас же никак не могут выбрать федеральный орган, уполномоченный отвечать за реализацию закона «Об ЭЦП». Не опубликованы лицензионные требования к организациям, которые будут вовлечены в эту деятельность, не устранена двусмысленность во взаимоотношениях разных удостоверяющих центров. Неясно также, все ли удостоверяющие центры должны получить лицензию ФАПСИ или только их часть. Отдельные сложности — несовместимость продуктов разных компаний, необходимость защиты вычислительной инфраструктуры и мест хранения носителей с электронными ключами и т. д. Но если перечисленные проблемы все еще актуальны спустя без малого год с момента принятия закона, стоит ли удивляться той неспешности, с которой он претворяется в жизнь.

И вправду, в России долго запрягают. Вот только быстро ли поедем?

Рост рынка средств информационной безопасности в 1998-2001 гг.

Факты

  • В России около 900 организаций имеют лицензию на проведение работ в областях, относящихся к сфере компетенции ФАПСИ.
  • Примерно 150 компаний получили лицензии на создание защищенных систем и комплексов.
  • 49 организациям разрешена разработка средств криптографической защиты.
  • По состоянию на середину октября ФАПСИ сертифицировало около 230 средств защиты информации, в том числе 46 - в области защиты секретной информации.
  • В постановлении Правительства РФ, принятом 23 сентября 2002 года, шифрование данных и использование средств информационной безопасности (кроме случаев государственной тайны) исключены из перечня видов деятельности, подлежащих лицензированию.