НИИ "Центрпрограммсистем": Информационные системы страдают от внутренних угроз сильнее, чем от внешних

Андрей Михайлович, расскажите об основных заказчиках НИИ "Центрпрограммсистем".

В части работ по созданию систем и средств защиты информации мы в основном работаем в интересах организаций и структур, которым необходимо создание защищенных информационных систем: Минобороны, МЧС, МВД, Минатома, предприятий ОПК и далее по списку, вплоть до сотовых операторов. В частности, наши изделия могут использоваться для создания ведомственных сегментов ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак – ред.) и для обеспечения безопасности критических объектов инфраструктуры.


Какие угрозы наносят наибольший ущерб организациям?

Давайте немного о терминологии. Есть атака – это, грубо говоря, попытка вторжения в защищаемую систему. И есть инцидент – это событие, которое может наступить в результате успешной атаки.

Большинство систем, призванных защищать информацию, "заточены" под отражение внешних угроз и под сетевые атаки. Если система защиты их обнаруживает и отражает, то инцидента нет, нет и ущерба для организации. Однако, как показывает статистика, в последнее время растет число выявленных инцидентов, которые привели к значительному ущербу в результате реализации внутренних угроз. Причиной возникновения таких угроз могут быть неквалифицированные действия персонала, неправильные настройки технических и программных средств, нарушение условий эксплуатации самих систем, либо происки злоумышленников, инсайдеров.

Кроме того, меняется основная цель атаки злоумышленников. Согласно отчету компании CheckPoint, до 2014 года основной целью атак были сервера. Атаки на них составляли 68% от общего количества атак. Ситуация изменилась в 2014 году, по итогам которого 40% атак пришлось на сервера и 60% - на рабочие станции пользователей, и в дальнейшем тенденция усиливалась.

Защита информационных систем от внутренних угроз актуальна для предприятий и ведомств, работающих с государственной тайной, – они, как правило, не подключены к внешним сетям общего пользования.

В критически важных системах, например, системах управления атомной электростанцией, тоже нет подключения к каким-то внешним сетям. Вероятность того, что последует сетевая атака извне, очень мала. В этом случае актуальные угрозы связаны с программными закладками, вирусами или с действиями персонала, которые могут нарушить нормальное функционирование системы.

Как пример можно вспомнить вирус Stuxnet, с помощью которого атаковали ядерные объекты Ирана. Вирус попал в систему не в результате сетевой атаки, а через флэш-накопитель. Сотрудник Siemens обновлял драйверы на рабочей станции, управляющей центрифугами. Тогда вирус поразил более тысячи центрифуг на заводе по обогащению урана в Натанзе.

Как выявляются такие внутренние угрозы?

Если говорить о системах обнаружения вторжений (СОВ), есть два основных механизма защиты: сигнатурный анализ и эвристический анализ.

Для выполнения сигнатурного анализа используются базы сигнатур – это, как правило, фрагмент кода, по которому можно выявить признаки атаки. У антивируса, например, это сигнатуры вредоносного программного кода, характерного для конкретного вируса. У системы обнаружения вторжений в составе базы сигнатур будут фрагменты сетевых пакетов. Система сравнивает содержимое сетевого трафика с содержимым базы сигнатур и, если находит совпадение, информирует о попытке вторжения.


У этого метода есть свой минус: если никто еще не описал эту атаку, ее невозможно обнаружить. Если возвращаться к ГосСОПКА, для успешной работы системы, построенной на методах сигнатурного анализа, должна быть доступна база сигнатур, которая централизованно поставляется и обновляется какой-либо федеральной службой. То есть, условно, нужен сервер, на котором три раза в месяц обновляется база сигнатур, а все ведомственные сегменты получают актуальную базу и используют у себя.

Эвристический анализ – это уже некий шаг в направлении использования искусственного интеллекта, когда система по ряду заданных правил определяет, что в защищаемой среде происходят аномальные действия. Самый простой пример: если у меня в системе нет информации об успешной регистрации пользователя, но от его имени происходят какие-то действия, значит, возможно, произошло вторжение и надо действия этого пользователя как-то блокировать.

В вашей системе "Ребус-СОВ" какой из принципов используется?

Оба. И в настоящее время основные усилия разработчиков направлены именно на развитие механизмов эвристического анализа.

"Ребус-СОВ" не только использует и сигнатурный и эвристический методы анализа. Наше изделие имеет сертификат ФСТЭК России на соответствие требованиям нормативных документов по второму классу защиты уровня сети и уровня узла. Сертификация по второму классу для сети и узла – это одно из главных отличий от конкурентов, других таких отечественных продуктов пока нет.


Сейчас большинство организаций строят свою защиту "по периметру". Есть сеть организации, где-то на входе стоит система обнаружения вторжений и анализирует сетевой трафик с использованием той или иной базы сигнатур. Мы пошли дальше в этом отношении: помимо реализации описанной схемы мы способны защитить от атак отдельные узлы и используем при этом метод эвристического анализа.

На вашем сайте сказано, что "Ребус-СОВ" – это программный комплекс. Почему не аппаратно-программный?

Жестко закладываться на ту или иную аппаратную платформу сейчас нецелесообразно. Сделаем аппаратно-программный комплекс с начинкой на ОС МСВС и на платформе от Intel, а через какое-то время получим требования от заказчика, что требуется, например, продукт под процессор "Эльбрус" с ОС "Astra Linux".

Поэтому логичнее и проще было сделать программный комплекс, который работает под ОС семейства Windows, ОС МСВС, ОС "Astra Linux" и под ОС "Эльбрус". В принципе, весь спектр того, что используется сегодня, например, в министерстве обороны, мы охватываем. Если появится еще что-то, портировать программу на Linux-подобную ОС проще, чем разбираться в тонкостях новой аппаратной платформы.


На сегодня актуальны вопросы цифровизации. Внедряются государственные информационные системы, например, ГИС промышленности. Существуют электронные каталоги, на новые корабли создают интерактивные электронные технические руководства (ИЭТР). Как вы считаете, такие системы, в том числе для обмена между предприятиями 3D-моделями проектов, могут стать источником утечки информации?

Конечно, могут. Предположим, в КБ проектируют корабль, оцифровывают всю конструкторскую документацию, чертежи и т.д. Далее эта информация направляется на завод-изготовитель или еще куда-то. Как правило, часть конструкторской документации имеет гриф секретности и эту информацию действительно нужно защитить.

Пример с кораблестроением универсальный, другим предприятиям оборонной промышленности тоже нужно об этом думать.


Как можно уменьшить риск утечек?

Однозначно – должна быть разработана единая система информационной безопасности, обеспечивающая защиту информации по всей цепочке предприятий ОПК. При передаче информации между предприятиями должны использоваться криптографические средства защиты.

Сейчас развивается система защищенной связи в Минобороны. Если подключить к ней узлы предприятий ОПК, можно организовать защищенную сеть, где сертифицированными средствами информация будет шифроваться.

Конечно, важно обеспечить защиту информации при ее передаче через защищенные каналы или носители. Хотя вероятность того, что носитель с секретными данными будет похищен, например, при транспортировке от проектировщика к изготовителю, гораздо меньше, чем утечка непосредственно с предприятия.

У вас есть какие-нибудь личные наблюдения, насколько серьезно на предприятиях относятся к защите информации?

В одних организациях система безопасности отлажена и работает. Другие начинают задумываться о защите, когда инцидент уже произошел. Один из принципов обеспечения информационной безопасности – это системность и комплексность. Кто-то это хорошо усвоил, а кто-то не до конца.

У нас большой опыт взаимодействия с пользователями нашего аппаратно-программного комплекса защиты информации от несанкционированного доступа "Ребус-М". На тех объектах, где есть квалифицированный персонал и руководство уделяет должное внимание вопросам обеспечения безопасности информации, проблем, как правило, не возникает. Там, где к вопросам безопасности относятся как к второстепенным, периодически возникают проблемы. Большинство проблем как раз связано с низкой квалификацией персонала и, в частности, лиц, выполняющих функции администраторов безопасности. Есть очень показательные примеры.

Бывали случаи, когда нам звонили и просили помощи, потому что забыли пароль администратора. Например, установили пароль сроком действия до 31 декабря, а после праздников не могут запустить систему. В нужный момент старый пароль сменился, сработала автоматическая система доведения нового пароля до ответственного лица, а ответственное лицо его не помнит.

НИИ "Центрпрограммсистем" создает новые продукты по заказу ведомств и предприятий или в инициативном порядке?

Мы работаем и в формате НИОКР, объявленных госзаказчиками, и в инициативном порядке.

По заказу Минобороны РФ мы в свое время разработали аппаратно-программный комплекс защиты информации "Ребус-М". Уже после многолетней эксплуатации этого изделия и общения с заказчиком мы приняли решение о разработке новых средств защиты, например, системы обнаружения вторжений. Поэтому в инициативном порядке разработали "Ребус-СОВ", сертифицировали изделие в ФСТЭК России, потом получили заключение, что изделие можно использовать на объектах Минобороны.

Тем же путем мы идем с ответвителями сетевого трафика серии "Дельта". Тоже собственная разработка, к идее которой мы пришли в ходе работы с СОВ. Чтобы на объекте работала система обнаружения вторжений, нужно каким-то образом получать трафик, проходящий по каналу связи. Можно ставить в ЭВМ две сетевые карты, создавая некий шлюз, через который проходит сетевой трафик, и проводить анализ трафика на этой машине. При этом возникают проблемы с обеспечением необходимой производительности ЭВМ, снижением скорости работы сети и т.д. Но можно пойти по другому пути: использовать ответвитель сетевого трафика, который не "сажает" трафик и защищен от сбоев в работе при отключении питания.


Как вы оцениваете состояние российского рынка электронной компонентной базы для ваших изделий?

Скажем так. Если завтра потребуется полностью переходить на отечественную компонентную базу, то производство можно закрывать.

У нас немного лукавят, говоря об импортозамещении. Подразумевалось, что со временем вместо импортной продукции будет использоваться отечественная, произведенная на предприятиях РФ. Но по факту сейчас произошло замещение того, что сделано, условно, в США, тем, что сделано на Тайване.

У нас нет ни одного персонального компьютера, собранного исключительно из отечественных комплектующих. Согласен, у "Эльбруса" процессор российской разработки, но монитор, видеокарта, жесткий диск и т.д. – все импортное. То есть импортозамещение пока идет "лоскутным" способом.

То же самое с софтом. Когда говорят, что нельзя использовать продукты от Microsoft, а, например, от Red Hat – можно, не совсем понятно, в чем разница. Просто штаб-квартиры компаний расположены в разных штатах. То, что мы сейчас называем отечественными защищенными операционными системами, это, как правило, доработанные дистрибутивы Linux.


Как охарактеризуете нормативно-правовую базу в сфере обеспечения информационной безопасности?

В последние годы нормативная база становится гораздо продуманнее и ближе к реальным задачам обеспечения безопасности информации. Регуляторы, в основном ФСТЭК и ФСБ России, активно выпускают новые нормативные документы взамен старых, которые уже морально устарели. Например, руководящие документы ФСТЭК по защите от несанкционированного доступа автоматизированных систем и средств вычислительной техники были выпущены еще в 1992 году.

ФСТЭК почти каждый год радуют чем-то новым. Из последних событий – отмена нормативных документов с требованиями по контролю отсутствия недекларированных возможностей в программном обеспечении и ввод с 1 июня взамен требований к уровням доверия .

Дадите прогноз, как будет развиваться отрасль в ближайшем будущем?

Одним из основных направлений развития, как мне видится, станет обеспечение безопасности информации при работе с мобильными устройствами. Создать систему защиты для стационарного объекта гораздо проще, чем обеспечить безопасность переносных гаджетов, но это потребуется.


Уже существуют, например, планшеты "военного назначения", а раз так, то для них должны быть созданы безопасные каналы связи, обеспечена защита от несанкционированного доступа и так далее.

Борьба со смартфонами, которая развернулась в воинских частях, закончится победой смартфонов, но, может быть, в каком-то специальном исполнении, защищенном.

Сейчас в министерстве обороны уже используют современные информационные технологии, например, видеоконференцсвязь по защищенным каналам и т.д. В перспективе в частях появятся ноутбуки, планшеты или другие мобильные комплексы со встроенными средствами связи, которые смогут обеспечить оперативную связь по спутнику. Соответственно, когда такая техника получит широкое применение, возникнут задачи по обнаружению вторжений при использовании беспроводных систем связи, по защите от несанкционированного доступа мобильных систем и т.д.


Какие наиболее важные рекомендации вы можете дать руководителям, которые хотят убедиться в безопасности хранящейся и обрабатываемой на предприятии информации?

• Оцените максимально возможный ущерб от нарушения штатной работы информационной системы или хищения хранящейся и обрабатываемой в ней информации. При этом желательно "включить параноика" и отработать наиболее катастрофические сценарии.
• Если вы поняли, что вам есть что терять и что защищать, проведите аудит вашей системы с целью выявления уязвимостей и определения актуальных угроз безопасности.
• Разработайте технические требования (техническое задание) на создание системы защиты информации. Оцените, какие ресурсы потребуются для реализации заданных требований.
• Для создания системы защиты информации работайте с организацией, имеющей соответствующие лицензии. При этом крайне желательно на момент введения СЗИ в эксплуатацию иметь в своем штате сотрудников, прошедших необходимую подготовку и способных в дальнейшем сопровождать систему.
• На всех перечисленных этапах привлекайте к работам компетентных специалистов. В данном случае, скупой действительно платит дважды.
• Помните, что безопасность информации - это не результат, а процесс. Для поддержания необходимого уровня безопасности придется постоянно тратить время и деньги. И периодически, например при модернизации вашей информационной системы, повторять весь цикл, начиная с оценки возможного ущерба.

Беседовал Валерий Бутымов

Есть, чем дополнить? Свяжитесь с редакцией Mil.Press:

+7(812)309-8-505, доб. 102;