Расширенный

Расширенный поиск

Автор

Статьи

Интервью с экспертом: «Криптография как зеркало российской экономики»

10.04.2019
Юрий Маслов, коммерческий директор компании «КриптоПро» в интервью порталу «Безопасность пользователей сети Интернет» (www.safe-surf.ru) рассказал о практическом значении криптографии в условиях цифровой экономики и перспективах развития средств криптографической защиты информации (СКЗИ).

Maslov_CryptoPro_1024.png

Юрий Маслов, коммерческий директор компании «КриптоПро»

Какова принципиальная роль криптографии и СКЗИ в обеспечении информационной безопасности строящихся сейчас в России цифровой экономики и цифрового государства?

Применительно к экономике роль криптографии (если говорить о ее практическом применении, а не как о научном направлении) заключается в обеспечении двух важных многоплановых задач. Первая – это защита информации, передаваемой по каналам связи. По мере роста цифровой экономики мы будем все дальше уходить от применения частных сетей и все больше использовать публичный интернет, через который придется передавать весьма чувствительные данные пользователей: персональные данные, пароли и др. Единственным способом защитить разумными средствами столь важные для субъектов экономики данные является их шифрование перед передачей по общедоступным каналам связи. Гипотетически существуют и другие методы, типа защиты самой линии связи от проникновения или от несанкционированного подключения, но это уже нереализуемо для подавляющего числа используемых каналов.

Вторая важная роль практической криптографии связана с аутентификацией, авторизацией и неотказуемостью. В цифровой экономике принципиально важно обеспечить так называемую «неотказуемость» (от англ. non-repudiation), то есть невозможность отказа от авторства подписи субъекта экономики в электронном документе. Эта задача тоже решается с использованием криптографических алгоритмов и протоколов. Даже при обычном взаимодействии с интернетом пользователю сейчас требуется надежное подтверждение, что он попал именно на тот ресурс, на который хотел, и что этот ресурс не является подложным. При этом владельцам ресурса тоже важно удостовериться, что их посетители – именно те, за кого себя выдают. В цифровой экономике возникает необходимость подтвердить определенные действия пользователей таким образом, чтобы эти действия имели юридическую значимость и, например, могли быть использованы в суде. Цифровая экономика нуждается в простых и доступных механизмах надежной идентификации субъектов экономической деятельности – граждан или организаций. Если у нас не будет таких механизмов, то цифровой экономики мы не построим.

Что касается электронного государства, то оно у нас очень неплохо развито по сравнению со многими другими странами, и развивается опережающими темпами (чего пока не скажешь о цифровой экономике). Гражданам и юридическим лицам уже доступно множество цифровых услуг. И здесь криптографические средства используются очень широко. Это связано с тем, что государство само формирует требования к защите информации при реализации цифровых услуг. И оно может установить любые правила и потребовать их выполнения от всех участников взаимодействия в процессе оказания услуг. Вообще, когда государство устанавливает четкие прозрачные правила для какого-то процесса, то он обычно развивается успешно. Например, государство установило, что для пользования ресурсом ФНС России www.nalog.ru нужна электронная подпись. И она появилась здесь – вместе с сертифицированной криптографией, защитой каналов и другими соответствующими атрибутами. Благодаря четко установленным правилам мы все пользуемся отличными цифровыми сервисами налоговой службы.

Иначе обстоит дело с цифровыми услугами и продуктами коммерческих организаций, которым государство предоставило право самостоятельно определять механизмы защиты информации. А в коммерческих организациях имеют место противоречия между ИБ, юристами, ИТ и бизнесом. Юристы, оценивая риски ИБ, не всегда понимают их; руководители ИТ-департаментов зачастую рассматривают проблемы безопасности и применения СКЗИ как дополнительную и неоправданную рабочую нагрузку; бизнес же видит в мероприятиях по защите информации лишь новые расходы и ограничения для самой организации и ее клиентов. В этих условиях безопасность как функция исключается из числа приоритетных – руководству организации проще отказаться от внедрения, например, криптографических средств защиты информации, а вместо этого – принять некоторые риски. Из этого следует простой вывод: пока государство не простимулирует бизнес и не сформирует свои требования к нему в части ИБ, роль криптографии в экономике существенно не изменится – ее значение будет второстепенным.

Где именно на практике (в экономике и госуправлении) более всего востребованы СКЗИ в настоящее время?

На первом месте я бы поставил СКЗИ, используемые в качестве средств электронной подписи и шифрования в различных информационных системах: дистанционное банковское обслуживание, представление отчетности в контролирующие органы, взаимодействие контрагентов на электронных торговых площадках, обмен бухгалтерскими и финансово-хозяйственными документами. На второе место поставил бы СКЗИ, обеспечивающие защищенный удаленный доступ к информационным ресурсам и сетям (для аутентификации и защиты трафика). Третье место я бы отдал СКЗИ, используемым для защиты служебной информации в ведомственных информационных системах органов государственной власти и местного самоуправления.

К сожалению, на данный момент граждане нашей страны слабо вовлечены в цифровую экономику, хотя они весьма активно взаимодействуют по электронным каналам с государством, отчитываясь о доходах, регистрируя браки и проч. Но вот экономическая активность в цифровом формате у граждан очень низкая. Почему? Потому что эта активность недостаточно мотивирована. У граждан нет экономического интереса для взаимодействия в электронной форме – почти отсутствуют соответствующие цифровые ресурсы, услуги. Например, гражданин хочет продать или купить автомобиль. Приходится или самому составлять договор купли-продажи или искать комиссионный магазин, где такой договор помогут составить. Потом нужно самому зарегистрировать автомобиль в ГИБДД. Нет электронного сервиса, через который это можно было бы сделать, не выходя из дома, через интернет. А ведь можно было бы составить договор в цифровой виде, заверить его квалифицированной электронной подписью и потом передать в ГИБДД для совершения регистрационных действий с автомобилем. Гражданам нужна такая цифровая экономика, в которой они смогут совершать большинство важных для них экономических действий без оформления на бумаге, без личного посещения офисов сервисных компаний или регулирующих органов. Но такого у нас пока слишком мало.

Пожалуй, только банки продвинулись в этом отношении. У нас и электронная подпись, и криптография (пусть сначала и несертифицированные) вошли в экономику из банковской сферы. Кредитно-финансовые учреждения в числе первых, еще в 90-е годы, пришли к выводу о необходимости защищать банковскую тайну, другую важную для их отрасли информацию. И каким-то надежным способом производить аутентификацию. Сейчас в этой отрасли происходит переход от несертифицированных СКЗИ к сертифицированным, поскольку последние гарантируют определенный уровень защиты информации, который можно объективно оценить извне. В случае с несертифицированными СКЗИ такой оценки не происходит, несмотря на то, что она очень важна. В отрасли это осознали и сейчас банки переходят к более надежным способам аутентификации и шифрования – сертифицированным. В последние десять лет эта тенденция проявляется все отчетливее.

Надо полагать, в перспективе, в связи с планируемым переходом к цифре, СКЗИ будут востребованы гражданами при получении электронных услуг в различных сферах деятельности: при взаимодействии с государством, бизнесом и между собой. Пока, повторюсь, вовлеченность граждан в цифровую экономику достаточно низкая. Скорее всего из-за маленьких размеров самой цифровой экономики.

Эксперты прогнозируют в скором времени широкое применение технологий Интернета вещей, беспилотных автомобилей, других систем, оснащенных машинным интеллектом, и уточняют – это новые риски информационной безопасности. Поможет ли криптография компенсировать данные риски?

В указанных сферах криптография может обеспечить однозначную, строгую, аутентификацию сторон информационного взаимодействия. Без криптографии невозможно за разумные деньги это обеспечить. Но она не решит вопросы о том, кто будет субъектом взаимодействия. «Умный» холодильник? Автомобиль? Кто будет носителем прав и обязанностей, которые будут порождаться действием или бездействием субъектов? Это уже юридические вопросы и юридические риски. Грань между технологией и правом истончается. Это влечет появление новых, пока невиданных рисков.

Поэтому криптография по мере развития экосистемы Интернета вещей будет востребована все больше и больше. Она и сейчас используется в этой области. Но открытым остается вопрос об уровне надежности ее реализации. Например, уже сегодня многие люди ставят дома системы видеонаблюдения и смотрят за тем, что у них происходит через интернет – наблюдают за детьми, например, или вообще за домом. А ведь в этом видео может быть и компрометирующая информация, которой могут воспользоваться злоумышленники. Однако пользователи ничего не подозревают. Они, обратившись к продавцам систем видеонаблюдения, уверовали, что эти системы безопасны, поскольку якобы защищены шифрованием. Однако человек не понимает, что шифрование шифрованию рознь. Реализация этой функции может быть разной. Так называемые «встроенные» средства защиты рассчитаны на совсем неграмотного студента или простого обывателя. И если пользователь представляет маломальский интерес для злоумышленников, они легко взломают его домашнюю систему, перехватят трафик и получат в свое распоряжение информацию о личной жизни жертвы. А потом может случиться и шантаж, и вымогательство, и что угодно еще. Все потому, что качество технологий шифрования, предназначенных для массового рынка, никак не регулируется государством. Отсюда слабая защищенность таких технических систем, а порой и полная профанация функции защиты. Это означает, что без регулирования коммерческого сегмента СКЗИ, без обоснованной оценки качества систем массового использования обеспечить приемлемый уровень безопасности вряд ли возможно. Это сильно тормозит развитие коммерческого сегмента рынка СКЗИ. Правда, государство в лице регуляторов уже обратило на это внимание. Начались работы по созданию так называемой надежной коммерческой криптографии. При этом подразумевается разделение современных криптографических средств на два класса. То есть в дополнение к надежным сертифицированным СКЗИ для защиты служебной информации, содержащейся в КИИ и государственных ИТ-системах, у нас появится и коммерческая (гражданская) криптография массового применения, которая обеспечит пользовательский рынок надежными сертифицированными системами. Помимо надежности они будут обладать и важными для обычных потребителей свойствами: простотой установки, возможностью эксплуатации без проведения дополнительного обучения, легкой интеграцией с существующими вычислительными средствами и платформами. Развитие безопасной экосистемы Интернета вещей – беспилотных автомобилей, технологий умного дома и др., практически неосуществимо без надежных СКЗИ соответствующего класса. И уже сейчас на уровне рабочих групп вырабатываются подходы, концептуальные решения для массового запуска «гражданской» криптографии. Этот процесс завершится, так как спрос рождает предложение – рано или поздно. Но здесь важна системообразующая функция государства в лице ФСБ России – регулятор должен собрать производителей высокотехнологичных продуктов и услуг, усадить их за один стол и привлечь к решению данной задачи.

Какие риски сопряжены с использованием самих СКЗИ? Расскажите об угрозах системам, использующим современные криптографические средства, и о реакции на них.

Говоря о безопасности использования СКЗИ, следует учитывать несколько аспектов. Во-первых, это стойкость криптографических алгоритмов и протоколов. Стандартизованные по ГОСТ алгоритмы и рекомендованные протоколы гарантируют обеспечение соответствующей криптографической стойкости. Мне и моим коллегам неизвестны факты успешно завершенных атак, осуществленных с использованием уязвимостей в криптографических алгоритмах, определенных в ГОСТ. Все потенциальные уязвимости в алгоритмах закрываются сменой соответствующих стандартов. То есть лобовые атаки на сертифицированные алгоритмы и попытки их взлома можно в принципе исключить как угрозу на данном этапе. И пока еще нет достаточных вычислительных мощностей, чтобы решить заложенные в криптографические алгоритмы математические задачи. При этом криптографическая наука держит руку на пульсе современных тенденций в ИТ – постоянно идет борьба математики против вычислительных мощностей.

Во-вторых, безопасность использования криптографии зависит от надежности реализации СКЗИ. Система лицензирования разработчиков СКЗИ и система оценки компетентными экспертами созданных СКЗИ гарантируют минимизацию рисков, связанных с потенциальными уязвимостями в самих СКЗИ, а также рисков, обусловленных отсутствием документирования безопасного использования СКЗИ. И мне пока неизвестно о фактах нахождения уязвимостей в практической реализации сертифицированных СКЗИ. Но риск, связанный с реализацией СКЗИ, существует, поскольку реализация может быть разной. Возьмем, к примеру, предустановленное в Windows ПО СКЗИ. Его реализация основана на зарубежных криптоалгоритмах. Может быть, они и стойкие. Но как они реализованы? Об этом мы не знаем. А знаем, что достаточно часто происходят успешные атаки на реализации западных криптографических алгоритмов, в том числе, используемые у нас в стране. Если же мы говорим о сертифицированном СКЗИ, то оно проверено экспертами, оценена его надежность, определены не только реализация (что в нем ничего незадокументированного нет), но также проверены и выработаны обязательные условия внедрения этого СКЗИ. Это условия, при которых обеспечивается установленный уровень защиты и безопасности. При создании и использовании СКЗИ перечисленные условия должны быть соблюдены – важно правильно встроить СКЗИ в ИТ-инфраструктуру организации, вызвать функцию, передать параметры, организовать работу с ключевыми документами, распространение по участникам ИТ-системы.

Таким образом, третье важное условие безопасности при использовании криптографических средств заключается в грамотном создании систем с их применением. Лицензирование разработчиков обеспечивает более-менее грамотное создание таких информационных систем. Это так называемое необходимое условие безопасности информационной системы, а достаточным условием будет являться ее оценка независимыми экспертами – путем проведения соответствующих тематических исследований. Но оба этих условия обязательны только для государственных информационных систем. Для остальных – дело добровольное.

Четвертое: критически важно обеспечить безопасную эксплуатацию информационной системы с СКЗИ. Никакая система не может считаться защищенной, если ее неправильно эксплуатировать. В первую очередь злоумышленники ищут уязвимости в реализации информационной системы с СКЗИ и пытаются воспользоваться ошибками при эксплуатации СКЗИ. Поэтому требуется неукоснительно, как воинский устав, соблюдать установленный регламент при смене ключей, паролей к ключевым контейнерам, ограничивать доступ в помещения, и так далее. Несоблюдение всех этих требований существенно повышает риски.

Еще один важный момент – прикладные системы, куда встроены СКЗИ. Их стойкость в плане ИБ практически никем не регламентируется и их создание не контролируется. А там могут быть свои уязвимости. Например, система ЭДО может нарушать права доступа или быть неправильно спроектирована. Учитывать эти векторы атак на конфиденциальную информацию тоже необходимо. В государственных организациях прикладные системы обязательно проверяются – проводятся тематические исследования с получением заключения у экспертов ФСБ России. А, например, в банковской сфере и иных корпоративных системах, в том числе предназначенных для работы с гражданами, это необязательно. А там могут быть уязвимости неизвестные даже разработчикам таких прикладных систем.

Как будут эволюционировать СКЗИ? Какой вам видится дорожная карта развития отечественной криптографии? Прогнозируется ли переход к каким-то принципиально новым методам и технологиям криптографической защиты информации?

В ближайшей перспективе практическое развитие будет связано с появлением сертифицированных СКЗИ двух классов: предназначенных для защиты критически важной информации (в первую очередь в ведомственных информационных системах органов власти и объектов критической информационной инфраструктуры Российской Федерации) и для применения в массовых информационных системах (особенно в сфере оказания электронных услуг населению).

А долгосрочный прогноз развития должен учитывать консерватизм, присущий криптографической науке. За последние тридцать лет криптографические алгоритмы менялись у нас в 1994, 2001 и в 2013 годах, то есть, приблизительно раз в десять лет. И раз в пять-шесть лет меняются требования к СКЗИ (прежде всего из-за роста вычислительных мощностей). Во многом криптография основана на вычислительной сложности решения ряда математических задач и, на мой неискушенный взгляд, сами криптографические алгоритмы принципиально не изменятся. Ибо не предвидится революционного прорыва в вычислительной технике. Но будут развиваться криптографические протоколы для применения СКЗИ в новых сферах. Например, в упомянутой сфере Интернета вещей и др. Изменение вычислительных платформ, технологий и каналов взаимодействия влечет за собой появление новых протоколов и модернизацию существующих.

Что представляет собой современный рынок продуктов и услуг, связанных с использованием СКЗИ? Сколько сейчас крупных игроков представлено на рынке? Насколько остра конкуренция?

Основные игроки рынка СКЗИ – это производители и интеграторы. Крупных можно пересчитать по пальцам. Конкуренция на рынке достаточно острая, но цивилизованная. Производители тяготеют к своим классам продуктов – осваивают преимущественно свои сегменты, развивая собственные технологии. Одни сфокусированы на удаленной аутентификации и электронной подписи, другие занимаются VPN; есть производители ПО, а есть разработчики программно-аппаратных комплексов. Еще на рынке есть отдельный специфический сегмент, ориентированный на обслуживание клиентов, работающих с государственной тайной. Здесь – свои игроки, также условно разделяющиеся на поставщиков программных средств, аппаратных решений (токенов, чипов, смарт карт, SIM и так далее). В основном это российские компании.

А вот в коммерческом секторе пока преобладают зарубежные поставщики криптографических средств. Потому что, например, доступ по технологии SSL/TLS к таким ресурсам как интернет-сайт проще реализовать на импортной криптографии, ведь она предустановлена в соответствующих платформах. Будет ли что-то меняться в этой области, зависит от государства, которое является самым мощным стимулятором отечественного рынка СКЗИ, определяя насколько широко в России будут применяться требования по использованию проверенных (сертифицированных) СКЗИ в создаваемых и регулируемых информационных системах. Например, если бы государство не установило дополнительные требования в части госзакупок (информация по каналам должна передаваться в защищенном виде с использованием средств, отвечающих определенным требованиям), то там, наверное, использовался бы импортный SSL/TLS.

В какой степени действующая нормативно-правовая база отвечает потребностям участников рынка и пользователей СКЗИ? Что, на ваш взгляд, необходимо поменять в действующем регулировании (с учетом курса на цифровизацию экономики)?

При нормальном развитии общества правовая база всегда отстает от бизнес-практики. Хуже, когда бизнес-практика подстраивается под неудачно разработанный и все же принятый нормативно-правовой акт. Что касается СКЗИ, то у нас слишком слабы регулирование и контроль над разработчиками защищенных информационных систем с их применением. В итоге на рынке зачастую происходит профанация в вопросах применения СКЗИ.

Что именно вы имеете в виду, когда говорите о «слабом регулировании»? Считаете ли, что нужно ужесточить ответственность разработчиков СКЗИ?

Речь идет не об ужесточении ответственности. Это экстенсивный путь развития, который ведет нас только к отказу от внедрений информационных систем. А речь идет о разработке комплекса руководящих и рекомендательных документов (в форме стандартов, методических рекомендаций, требований и т.д.), которыми будут руководствоваться разработчики ИТ-систем и эксперты при оценке соответствия разработанных систем этим руководящим и рекомендательным документам. Тогда потребитель (заказчик информационных систем) не будет надеяться только на слово разработчика. Он будет иметь инструмент оценки качества. Такое регулирование должно осуществляться на стыке частно-государственного партнерства – общественные институты разрабатывают нужные комплекты документов, а регулятор согласовывает их. И частные организации проводят аудит соответствия результата требованиям. Такой подход позволит, не увеличивая штат госслужащих, создать современный конкурентный механизм контроля качества.

Что касается вопросов создания СКЗИ, то существующая нормативная база достаточна и адекватна потребностям разработчиков. Она прозрачна и понятна. ФСБ России умело выстроило частно-государственное партнерство в области сертификации СКЗИ. Есть разработчики СКЗИ (лицензиаты), и есть система проверки результатов их работы коммерческими, но аккредитованными организациями и лабораториями. Последние проводят основной объем исследований и делают по ним ключевые выводы в отчетах. Отчеты они предоставляют на оценку экспертам ФСБ России, и те, в условиях минимального количества людских ресурсов, которыми располагает наш регулятор, в разумные сроки выносят свое заключение – выдавать сертификат или нет. Эта система достаточно разумная и эффективная. Она, хотя и не настолько быстрая, позволяет обеспечивать потребителей достаточно надежными СКЗИ.

А вот оценка уровня защищенности ИТ-систем организаций – одноступенчатая. В ней главное действующее лицо – лицензиат (разработчик ИТ-систем или интегратор), у которого знаний о криптографии может быть недостаточно. И этот момент очень слабо отрегулирован, если не сказать, вообще не отрегулирован. Здесь, по идее, уже не ФСБ России должно выступить с инициативой регулирования, а Министерство цифрового развития. Это его компетенция. Скажу крамольную вещь: у нас в стране до сих пор нет единого формата электронной подписи. Соответственно, нет совместимости по формату между прикладными системами, которые ее используют. В теории существуют много различных форматов и реализовано много форматов (со своими плюсами и минусами в технологическом плане). Но не выработано единого формата и нет стандартов в системах именно в части типовых моделей угроз и нарушителей для ИТ-систем. Разработчики должны чем-то руководствоваться, а у Министерства цифрового развития нет соответствующих нормативных документов. И получается, что при разработке каждый вендор ПО или интегратор опирается на свое видение и подходы к реализации безопасности. Как в реальности обстоит дело, и соответствует ли предложенный подход или решение реальным потребностям – неизвестно. Можно, конечно, обратиться для дополнительной оценки ситуации к экспертной организации, но это сопряжено с дополнительными издержками, и не все готовы их нести.

Как сейчас организован процесс стандартизации в сфере разработки и применения СКЗИ? Нужны ли в этой части какие-то структурные и организационные изменения? Работы по стандартизации криптографических алгоритмов и криптографических протоколов в Российской Федерации ведутся в рамках деятельности Технического комитета по стандартизации ТК-26 «Криптографическая защита информации». За техническим комитетом закреплены объекты стандартизации, относящиеся к методам шифрования (криптографического преобразования) информации, способам их реализации, а также методам обеспечения безопасности информационных технологий с использованием криптографического преобразования информации, включая аутентификацию, имитозащиту и электронную подпись. Кроме того комитет представляет Россию в международных профессиональных сообществах разработчиков стандартов криптографической защиты информации. Данный комитет проводит огромную работу. Вносить какие-то изменения в его деятельность нецелесообразно.

Традиционно российская школа криптографии считалась одной из сильнейших в мире. Не утратила ли наша страна технологическое лидерство в этой сфере?

Появление новых российских криптографических алгоритмов и стандартов, отвечающих современным вызовам в сфере защиты информации, свидетельствует о том, что российская школа криптографии достойно приняла эстафетную палочку от советской школы криптографии. Да, 90-е годы нанесли удар по всем аспектам жизни общества. В том числе обусловили вымывание мозгов и в этом разделе математики. Но, во многом благодаря настоящему служению государству и обществу ряда наших ученых (Баранов А.П., Кузьмин А.С. и другие), удалось сохранить основу школы. А на этой основе сейчас проросли новые математики-криптографы.

То есть система воспроизводства кадров для дальнейшего развития отечественной школы криптографии эффективно справляется со своей функцией?

Нет, не справляется. За хорошими специалистами в области разработки и применения криптографических средств работодателям приходится буквально охотиться. А уж большие ученые в области криптографии вообще на вес золота. Их у нас знают поименно. Но оплата труда наших ученых несоизмеримо меньше, чем на западе, и опасность утечки мозгов существует. Поэтому ученым приходится работать не только в вузах и исследовательских центрах. Многие и преподают, и работают у разработчиков – в сфере производства СКЗИ, где собственно и востребованы криптографы-прикладники. Круг таких разработчиков небольшой. Тем, кто еще не уехал за рубеж скоро на пенсию, и за ними стоит очередь работодателей. Есть еще специалисты другого профиля – те, кто умеет строить и эксплуатировать информационные системы с СКЗИ, кто понимает прикладные аспекты криптографической защиты информации. Таких специалистов на рынке тоже совсем мало. Хотя зарплаты в этом сегменте рынка достойные, нет воспроизводства кадров в достаточном объеме. И дело здесь не столько в системе образования, сколько в размерах рынка. Рынок сам себе выращивает кадры в зависимости от потребностей. А рынок сейчас небольшой. Какой же выход? Чем выше будет спрос на СКЗИ, тем больше будет компаний разработчиков, и тем больше квалифицированных специалистов втянется в эту экосистему. Криптография – зеркало российской экономики. Будет у нас развитие экономики – начнет расти объем защищаемой информации. Одновременно пойдет в рост и наука о том, как защищать эту самую информацию.