СофтКонвейер

В конце января в Москве прошел 12-й российский форум информационной безопасности «Инфофорум» – крупнейший на пространстве СНГ. В мероприятии участвовало около 900 человек, на его заседаниях и секциях представлено более 100 докладов и презентаций. В «Инфофоруме-12» участвовали делегации 7-ми стран СНГ, наиболее крупные из них были из Беларуси и Казахстана.

Безусловно, на подобном масштабном форуме можно найти для себя много нужного и полезного, узнать об опыте других, обсудить насущные вопросы. На Инфофоруме, как нигде более полно, представлен срез нынешнего уровня развития российского общества в сфере информационной безопасности. Но цель данной публикации рассказать не об этом, а попробовать взглянуть на белорусские проблемы и успехи в данной области через призму «Инфофорума», поскольку сравнительный анализ помогает сделать это предметнее.

Об электронном государстве и информационной безопасности

Прежде всего, хочется отметить определенные успехи РФ в развитии технологий безопасности электронного государства (ЭГ), поскольку информационная безопасность, по убеждению участников форума, является ключевым фактором при создании ЭГ. Почему? То, что входит в понятие «электронное государство» можно кратко описать как информационное взаимодействие госорганов и граждан посредством ИТ-технологий. Понятно, что без развитой системы безопасности для всех этапов этого взаимодействия обойтись невозможно – от идентификации граждан (пользователей) для доступа к тем или иным государственным информационным ресурсам (базам данных), защиты самих баз данных и сетей госорганов от хищения, модификации, перехвата и, наконец, защиты используемых при взаимодействии открытых каналов связи.

Об удостоверяющих центрах

В РФ создано главное идентификационное звено, с которого начинается ЭГ – общегосударственный удостоверяющий центр, причем на самом современном компьютерном оборудовании с дублированием и параллельной обработкой информации. Если раньше в российской ИТ-отрасли наблюдался почти что хаос из примерно трехсот местных удостоверяющих центров (УЦ), несовместимых между собой, то сейчас создается полноценная иерархичная структура. Кроме того, созданы порталы государственных услуг, закупок и продаж. Согласно указанию российского президента, через два года 60% государственных услуг будет оказываться населению в электронном виде.

У нас в Беларуси внешне ситуация складывалась более благоприятно – на рынке представлено всего 4-5 местных удостоверяющих центров. Но это только внешнее благополучие. УЦ у нас хоть и немного, но они также несовместимы между собой, как и российские триста. Кроме того, распространение технологий УЦ-ЭЦП в республике незначительное – подавляющее большинство белорусских министерств и ведомств их попросту не имеют. И, наконец, сроки создания белорусского общереспубликанского удостоверяющего центра (его официальное название – государственная система управления открытыми ключами – ГосСУОК) неизвестны, а решение проблемы потребует немало времени. Согласно закону № 113-З «Об электронном документе и электронной цифровой подписи», принятом в декабре 2009 года, ответственным органом за создание ГосСУОК определен Национальный банк. Конечно, не банковское это дело – создавать ГосСУОК, но обеспечить организационные и финансовые аспекты в его становлении – поступок нужный и заслуживающий уважения.

О комплексном подходе к безопасности

Что представилось наиболее значимым из российских реалий? Это, пожалуй, комплексный подход к проблемам ИБ: имеются методики сертификации, аттестации объектов информатизации, весьма значителен перечень норм, стандартов, инструкций и положений, описывающих весь процесс от начала проектирования защищенных ведомственных (корпоративных) сетей до практической реализации и проведения проверок контролирующими органами.

В Беларуси нормативная база в сфере ИБ находится в начальном состоянии, а несовершенство имеющегося законодательства дает возможность лазейкам. К примеру, сертифицировать средства защиты информации (СЗИ) у нас можно на что угодно. Можно взять из профиля защиты (стандарт безопасности) произвольно какие-либо функции безопасности и сертифицировать на их наличие, хотя сам профиль защиты делать подобное запрещает – только все или ничего. Можно сертифицировать многофункциональное устройство на какую-либо малозначительную функцию – и все, его можно поставлять, как якобы полноценное средство защиты. Законодательство обуславливает в качестве необходимого условия поставки средств защиты лишь наличие сертификата или положительного экспертного заключения, но вовсе не требует соответствия защитных функций поставляемого СЗИ реальным угрозам безопасности, как должно быть на самом деле. И даже регулирующий орган в сфере информационной безопасности – Оперативно-аналитический центр ничего не может поделать с подобной практикой подмены функционала СЗИ (сертифицируемого и задействованного на практике), а также с формальными сертификациями – законодательство делать этого не запрещает.

Представляется, что не случайно в перечне сертифицированных продуктов на сайте ОАЦ отсутствует описание области применения этих средств – имеется только информация на соответствие чему они прошли сертификацию. Разобраться в этом сложно, как впрочем, и спросить с тех, кто поставляет и покупает сертифицированные «дырки от бублика». Можно, конечно, представить разочарование тех, кто приобрел эти «дырки» для защиты, когда время расставит всё на свои места. Ведь, следуя теории комплексного подхода к ИБ, вначале формируется перечень угроз для защищаемого объекта информатизации (ОИ), затем подбираются сертифицированные средства защиты. Аттестация ОИ призвана проконтролировать правильность и корректность примененной защиты. Но теория интересна лишь немногим специалистам, а на практике пока можно вовсе не защищать – никто за это не накажет, и даже не укорит. И когда начнут спрашивать за исполнение законодательства по защите информации, тоже никто не берется сказать.

Об исполнении законодательства по защите информации

С момента вступления в силу закона №455 «Об информации, информатизации и защите информации» и Постановления №675 «О некоторых вопросах защиты информации» исполнится скоро год, а случаи приобретения сертифицированных средств защиты информации в республике как были единичными, такими и остались. Можно констатировать, что законодательство еще не начало реализовываться.

Немногочисленные тендеры, в которых где-то строкой присутствует упоминание о СЗИ (их всего-то было за этот период 4-5), на практике заканчиваются ничем – на средствах защиты экономят деньги. Хотя факты закупок несертифицированных, либо формально сертифицированных СЗИ имели и имеют место. Даже Национальный банк в конце прошлого года не удержался от соблазна и закупил сетевое оборудование с несертифицированными средствами защиты для межбанковской расчетной системы, которые для него затем быстро сертифицировали по второстепенному функционалу. А на запрос некоторых участников этого закупочного конкурса – как же это без белорусской криптографии? – банк сделал пояснения, что «функции шифрования в данном случае не предусматриваются». То есть, следуя пояснению, электронные платежи в банковской системе страны будут проводиться в открытом виде и по открытым каналам связи?! Трудно в это поверить. Конечно же, средства криптографической защиты информации (шифрования) будут задействоваться, только несертифицированные. На фоне подобной практики возникли даже разговоры о том, что, мол, белорусская криптография слишком дорогая. Но это не белорусская криптография дорогая – она не дороже российской, или испанской, а дешево бывает тогда, когда применяется ни та, ни другая, а что попадется. При построении ЭГ нужны совместимость СЗИ, унификация технологий безопасности, и если действовать непродуманно и недальновидно, то последствия будут вовсе не «дешевыми» – переделывать придется.

Как результат, в Беларуси на практике пока не находят применения сертифицированные сетевые СКЗИ, которые как раз и предназначаются для электронного государства. Если в РФ эксплуатируются и создаются десятки и сотни защищенных территориально распределенных ведомственных (корпоративных) IP-сетей на базе сертифицированных СКЗИ, то у нас подобных сетей нет. В единичных случаях имеющихся защищенных ведомственных сетей используются не сетевые, а персональные СКЗИ. Такие специализированные АИС не вписываются в архитектуру ЭГ – они несовместимы, их трудно и затратно развивать, не говоря уже об организации межведомственного взаимодействия.

О защите персональных данных

Что удивило на форуме больше всего – это то, что в России практически всей страной взялись за защиту персональных данных – как предписывает Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» от 1981 года (и принятый в РФ в ее развитие закон №455 ФЗ). Уже четвертый год продолжается подобная работа в финансово-кредитной сфере, медицине, отраслях связи – повсюду, где есть персональные данные (ПД). В острой дискуссии на форуме со стороны операторов персональных данных (а это банки, операторы связи, провайдеры и пр.) основные упреки к представителям госорганов заключались в несовершенстве применяемого законодательства, а также в сжатых сроках реализации закона о защите персональных данных (это на четвертом году его применения!) – в сравнении с Европой, которая эволюционно занимается этим уже почти 30 лет. А ведь Беларусь к указанной Конвенции еще даже не присоединилась, что с позиций имиджа республики выглядит не лучшим образом, поскольку персональные данные – одна из незыблемых ценностей развитых стран (почти сорок европейских стран выполняют Конвенцию!).

Если и далее не присоединимся, законодательство и Европы, и России содержат ограничения по трансграничному обмену данными со странами, не обеспечивающими защиту ПД. Так что начинать, вероятно, все же надо. Причем желательно учесть в этом вопросе опыт России, в том числе негативный. В частности, постараться избежать практики расширительного применения Конвенции. Кроме того, целесообразно начинать защиту не всех ПД сразу, а в приоритетных отраслях (финансово-бюджетная, медицина и пр.), опираясь на отраслевые стандарты (рекомендации) по защите данных. Например, Центральный банк РФ дает соответствующие рекомендации по применению сертифицированных СКЗИ для всех российских банков.

О белорусско-российском защищенном взаимодействии

Нельзя не упомянуть о том, что, по мнению представителей российских банков, работающих на белорусском рынке, отсутствие стандарта безопасности в кредитно-финансовой сфере Беларуси, неизбежно повышает риски, связанные с утечкой информации и данных, снижает инвестиционную привлекательность отрасли в целом. Так, по словам представителя Сбербанка, при покупке БПС предполагалось распространить на него тот же корпоративный стандарт безопасности, который используется в Сбербанке. Однако выяснилось, что российские стандарты не признаются в Беларуси, а обеспечить соответствующий уровень безопасности через белорусские стандарты невозможно – в нашей кредитно-финансовой сфере не имеется ни стандарта, ни подобной практики. В этом контексте неудивительно, что некоторые российские банки предпринимают меры по ввозу в свои представительства и филиалы в Беларуси российских сетевых СКЗИ – для защиты межсетевого трафика и удаленного доступа.

Аналогичная ситуация складывается и в других сферах белорусско-российского взаимодействия. К примеру, представитель российского Минсоцразвития посетовал, что они завалены бумажными делами пенсионеров – миграционный поток между странами значительный, а никакой автоматизации при взаимодействии с белорусским министерством нет. Они хотели бы предложить белорусским коллегам применить в этих целях российские сетевые СКЗИ и надеются на их положительную реакцию. Однако, на самом деле, выбора – ставить российские СКЗИ или продолжать бумажную работу, у нашего Минтруда нет – первое нельзя, своего решения нет, остается последнее…

С развитием и насыщением рынка ИБ в России сетевыми СКЗИ как-то сами по себе прекратились на форуме дискуссии о возможности введения третьих стандартов для межгосударственного взаимодействия (например, белорусско-российской и союзной собственности) – в этой сфере «по умолчанию» понемногу начинают применяться российские средства защиты. Характерно, что казахские коллеги на «Инфофоруме-12» посоветовали нам, белорусам, поступать как они – признать российские стандарты и сертифицировать СЗИ на их соответствие. Так что наше заметное и прогрессирующее отставание от россиян в сфере ИБ, скорее всего, приведет к ситуации, когда и в Таможенном союзе, а также и в ЕврАзЭС в качестве межгосударственных будут применяться исключительно российские средства защиты. Хотя вполне достойно могли выглядеть решения с созданием буферных зон, где осуществлялась бы полная перекодировка передаваемых данных (информации) с одних национальных стандартов на другие. Современные средства защиты в подобных случаях – при незначительном удорожании проектов, позволяют избежать задержек по времени, как и возможных потерь информации при любых условиях эксплуатации, включая защищенную видеоконференцсвязь.

Некоторые выводы

Можно констатировать некий парадокс – законодательство о защите информации не только не придало импульс развитию рынка ИБ, но и из-за своего несовершенства в чем-то даже ухудшило ситуацию. Например, в условиях отсутствия комплексного подхода система сертификации средств защиты вместо того, чтобы стимулировать, фактически губит отечественного производителя, выпуская на рынок с сертификатом СЗИ фактически все, что захочет купить заказчик.

Белорусский рынок ИБ сравнительно небольшой по объемам, поэтому очень зависим от факторов регулирования. Представляется неверным делать расчет на принятие новых (или реанимацию старых) программ и проектов по разработке различных СЗИ, ведь опыт говорит об их неэффективности. Тем более, сейчас, когда государственный кошелек пуст, просто необходимо поддержать и стимулировать разработки отечественных производителей, поставив заслон всяческим исключениям и лазейкам. На рынке немало платежеспособных субъектов хозяйствования, в том числе с иностранным капиталом, способных его оживить и способствовать динамичному развитию. Ведь у себя дома и европейские, и российские компании активно используют согласно законодательству национальные СЗИ, заботясь о безопасности европейских (российских) вкладчиков, клиентов и потребителей, и почему бы так же не относиться к безопасности белорусских граждан?! В этом контексте трудно понять специалистов Национального банка, не использующих белорусскую криптографию (стандарты, определяющие национальную криптоархитектуру), в том числе для защиты межбанковской расчетной системы, и не предлагающих рекомендаций по применению отечественных СЗИ другим банкам, как, например, поступает Центробанк РФ.

Александр Сапрыкин

директор компании «С-Терра Бел»

Крупнейшая в мире социальная сеть Facebook запретила своим сотрудникам продавать акции на вторичном рынке, за исключением специальных “окон”, открытых компанией. Об этом пишет The Financial Times. Такое решение принято из-за возможных сложностей с законодательством, которое вызовут подобные продажи.

Дело в том, что по правилам, установленным Комиссией по ценным бумагам и биржам (SEC) США, продавцы и покупатели ценных бумаг должны иметь одинаковый доступ к данным о текущем финансовом положении компании. Но из-за этого у сотрудников, имеющих доступ к таким сведениям, остается два варианта действий – либо промолчать и нарушить инструкции SEC, либо разгласить конфиденциальную информацию.

Сейчас Facebook является частной компанией и, таким образом, число ее акционеров не должно превышать пятисот. Если это количество будет превышено, SEC потребует от Facebook регулярно сообщать о своих финансовых результатах, как это делают публичные корпорации.

Facebook прекратила эмитировать акции своим новым сотрудникам в конце 2007 года. С тех пор компания предлагала им специальные права на выкуп акций, которые могли быть реализованы в случае IPO или поглощения.

Российский поисковик “Яндекс” стал спонсором международного конкурса по программированию TopCoder Open и намерен подобрать среди его участников сотрудников для себя. Мероприятие проводится под патронажем Агентства национальной безопасности США, которое преследует такие же цели.

Единственным спонсоров чемпионата по программированию TopCoder Open в 2010 г. стала российская компания «Яндекс». «США и Российская Федерация являются кузницами талантливых людей», – заявил операционный директор TopCoder Роб Хьюз (Rob Hughes). В «Яндексе», в свою очередь, сообщили CNews, что цель компании – рассказать о себе и пригласить талантливых программистов на стажировку и работу в один из своих офисов в России, Украине или США.

Патронирует турнир вот уже пятый год подряд Агентство национальной безопасности США (АНБ). Американские спецслужбы преследуют те же цели, что и “Яндекс”, – подбор разработчиков. АНБ входит в состав Министерства обороны США и занимается сбором данных, передаваемых по зарубежным каналам связи, в том числе используя криптографию. С 2008 г. в обязанности агентства включен мониторинг американских компьютерных сетей для защиты от хакерских атак. В феврале 2010 г. ведомство объединило усилия с компанией Google. Вместе они планируют изучить атаки, совершенные за последнее время на местные серверы.

TopCoder Open проходит в два этапа. На первом этапе конкурсанты, зарегистрировавшись на сайте организатора, получают задание и отправляют его решение в судейскую комиссию через интернет в заданный период времени. Состоящая из сертифицированных специалистов TopCoder комиссия рассматривает каждый из предложенных вариантов и выбирает из них лучшие. Постепенно происходит отбор конкурсантов, которые получают возможность отправиться на финал конкурса, где будут бороться за призовой фонд в размере $150 тыс.

Проводится конкурс по шести направлениям: Algorithm, Design, Development, Studio, Marathon и Mod Dash, и предлагает участникам продемонстрировать свои навыки в программировании на Java, C#, C++, VB.NET и Python, дизайне веб-сайтов, логотипов, баннеров, Flash-презентаций, пользовательских интерфейсов, графическом дизайне и проектировании программных средств. В каждом направлении возможность принять участие в финале имеет ограниченное число участников – от 10 до 24 (всего 100). Все шесть «забегов», за исключением Algorithm, проходят с 29 марта по 30 июля, Algorithm пройдет с 1 мая по 7 августа, финал – с 11 по 14 октября в Лас-Вегасе. Поездка в США полностью оплачивается спонсорами мероприятия.

TopCoder Open считается одним из наиболее престижных международных конкурсов компьютерного программирования и дизайна. Впервые он был проведен в 2001 г. В отборочных соревнованиях может принять участие любой человек, достигший возраста 18 лет. Ежегодно турнир собирает тысячи программистов. До сих пор россияне не входили в число спонсоров. В 2009 г. мероприятие поддерживали организации IEEE-USA и SNIA, а также социальная сеть Facebook, в 2008 г. – BT, VeriSign, Eli Lilly, Betfair и AOL, в 2007 г. – AOL, DRW, UBS и VeriSign. Ранее спонсорами чемпионата выступали также Microsoft и Yahoo.

Российские программисты активно принимают участие в TCO. Более того, им время от времени удается занимать и первые места. По состоянию на конец 2009 г. в проекте TopCoder было зарегистрировано свыше 225 тыс. участников.

Согласно данным апрельского международного рейтинга TIOBE, язык программирования C вновь вышел на первое место по рыночной доле, обогнав такие языки, как Java и C++ .

Индекс TIOBE рассчитывается на основе комплексного показателя популярности того или иного языка. Для расчета популярности исследователи анализируют около десятка подателей, таких как объем создаваемых кодов, количество программистов, работающих с языком, количество и распространенность курсов обучения и другие показатели. Данный индекс составляется ежемесячно.

За последние 4 года популярность С оставалось примерно на одном и том де уровне – около 15% рынка, однако за последний месяц этот язык прибавил почти 2,6%. Самыми большими потерями в рейтинге отметились языки Visual Basic – минус 2,7% и Python – минус 1,88%.

Американская корпорация Microsoft 12 апреля представит публике новую линейку сотовых телефонов, пишет The Wall Street Journal со ссылкой на осведомленные источники.

Новинка будет основана на засекреченном проекте Pink, который разрабатывает компания Билла Гейтса (Bill Gates). По данным собеседника издания, мобильные телефоны созданы в партнерстве с американским сотовым оператором Verizon Wireless.

Газете также стало известно, в создании телефонов, которые должны поступить на рынок США уже в текущем месяце, приняла участие японская корпорация Sharp. Собственно, новые телефоны будут производиться на заводах Sharp, а Microsoft берет на себя программное обеспечение, «железо» и создание онлайновых служб, пишет газета.

Запуская телефон собственной разработки, Microsoft вступает в борьбу на новом для себя рынке с одним из своих самых серьезных конкурентов — Google. Этот интернет-гигант в начале января выпустил в свет смартфон Nexus One, широко известный также как «гуглофон». Впрочем, вскоре после начала продаж компания начала получать жалобы от пользователей, недовольных возникшими проблемами с программным обеспечением.