Информационное общество: общество тотального риска или общество гарантированной безопасности?

А.А. Кононов, Г.Л. Смолян


Eternal vigilance is the price of freedom1

Ramonde Uy


1. Россия на пути к информационному обществу

Россия, как и большинство стран мира, движется к информационному обществу – обществу, построенному на информационных технологиях. Есть различные суждения по поводу степени продвинутости нашей страны к информационному обществу. Приведем некоторые выводы из исследования "Готовность России к информационному обществу"2, проведенного по методике Центра международного развития Гарвардского университета. По мнению авторов, оценка готовности России отвечает состоянию "в движении" (начало развития информационного общества, массового использования ИКТ населением страны, а также появление информационного неравенства).

Справедливо подчеркивается, что интернет является необходимой системообразующей средой для формирования элементов информационного общества и уровень его развития (в разных аспектах и сечениях) определяет готовность страны к переходу к информационному обществу. Отмечен высокий уровень информационного неравенства в России – как для различных групп населения, так и для отдельных регионов. Например, Москва по многим показателям приближается к высшей, четвертой степени готовности к информационному обществу или уже находится на ней, в то время как отдаленные или сельские регионы страны находятся на первой или даже нулевой стадии.

Как подчеркивают авторы работы, в России за последние 7-10 лет сформировались такие факторы социально-экономического, научно-технического и культурного развития, которые можно рассматривать как серьезные предпосылки перехода к информационному обществу:


Россия сегодня является частью мирового сообщества в большей степени, чем когда-либо в прошлом – страна связана с остальным миром кабельными и спутниковыми коммуникационными каналами, миллионами активно используемых сотовых и традиционных телефонов, факсов, компьютеров и других средств коммуникации. Несмотря на многие проблемы и факторы, тормозящие движение России к информационному обществу, развитие ИКТ и интернета в стране идет быстрыми темпами. Даже экономический кризис 1998 года – своеобразная проверка на прочность – не смог существенно замедлить этот процесс. Это говорит о наличии сильной внутренней энергетики и об объективно высокой приоритетности информационного развития для общества.

Однако отставание страны в области ИКТ и массового использования интернета от других информационно продвинутых стран очевидно.

Кроме того, следует говорить и о проблемах обеспечения информационной безопасности. При повсеместном использовании импортированных из-за рубежа средств хотелось бы надеяться, что все утечки информации о программах оборонных ведомств США по работе с производителями в части "чипинга" (закладки недокументированных функций в компьютерные микросхемы) и написания недокументированных модулей для тайного вмешательства в работу ПО не более чем слухи и на практике не реализуются. Тем более, что никаких фактических случаев (в том числе, подтверждающих связь этих программ с системой электронного шпионажа Echelon), позволяющих удостовериться в реальности таких угроз, пока не было.

Однако есть область, в которой наше отставание еще существеннее, чем отставание в области технологий производства компьютеров. Речь идет об отставании в гарантиях безопасности используемых ИКТ. Причем гарантий для всех: для государства, для собственников предприятий-производителей ИКТ, для простых потребителей информационных продуктов и услуг. Уровень гарантий безопасности (качества, надежности, стойкости, целостности, конфиденциальности, доступности, безаварийности) для любого субъекта в России во много раз ниже, чем тот же уровень для аналогичного субъекта в США. Рассмотрим ситуацию с гарантиями безопасности подробнее.

На чем базируются у нас системы обеспечения ответственности производителя? Прежде всего, на контроле следования ГОСТам, лицензировании производителя и сертификации продукции. Но как контролировать качество программ и сложных компьютерных систем – этих "черных ящиков", качество и безопасность которых нельзя оценить, осмотрев их детали и компоненты? Частично проблему решают методы контроля, используемые ФАПСИ и Гостехкомиссией. Сертифицированные ФАПСИ средства обеспечивают стойкую криптозащиту, а сертифицированные Гостехкомиссией – надежную защиту от несанкционированного доступа (НСД). Однако при этом никакой имущественной ответственности сертифицирующие и лицензирующие органы у нас не несут. Еще хуже положение с гарантиями надежности, безотказности, безаварийности.

Кто из создателей программного обеспечения или системных интеграторов дает такие гарантии? В России никто. Но, если даже такая фирма появится, вряд ли она сможет долго просуществовать. Скорее всего, очень быстро разорится при наступлении первого же страхового случая. Почему этого не происходит в США? Потому что там, принимая по договору на себя имущественную ответственность, на самом деле никто не берет ее целиком. Такая ответственность в обязательном порядке тут же страхуется в какой-нибудь компании. Страхователю приходится доказывать страховщикам, что он делает все возможное для того, чтобы его продукты были максимально надежны и вероятность наступления страхового случая минимальна. А что нужно доказывать нашим поставщикам информационных технологий и услуг? Приемо-сдаточные испытания больших гарантий не дают – невозможно смоделировать все возможные условия реальной эксплуатации, невозможно быть уверенными в отсутствии в принимаемых продуктах "потайных ходов".

Наша нормативно-правовая система не позволяет реально страховать имущественную ответственность хотя бы потому, что не позволяет относить страховые платежи по такого рода ответственности на себестоимость продукции (работ, услуг).

В США же практически все крупные компьютерные системы, по которым требуется гарантируемая безопасность, создаются и оцениваются на основе критериев международного стандарта ISO 15408 "Общие критерии безопасности информационных технологий". Там создана необходимая инфраструктура для проведения оценки безопасности информационных технологий, в том числе тех, которые разрабатываются внутри фирм для самих себя и которые без контроля по ISO 15408 признаются наиболее опасными компонентами компьютерных систем. Считается, что надежность и безопасность этих систем во многом зависит от лояльности к фирме разработчиков аппаратного и программного обеспечения, от их профессионализма и порядочности.

2. Подходы к решению проблемы обеспечения информационной безопасности в США

В США безопасности национальной информационной инфраструктуры уделяется особое внимание на высшем государственном уровне.

22 мая 1998 г. была издана директива Президента США PDD-63 "Политика администрации в области защиты критических инфраструктур", ставшая началом долгосрочной общенациональной программы в области обеспечения гарантий информационной безопасности. Согласно этой директиве, к критическим инфраструктурам, жизнеспособность которых определяет оборонную и экономическую безопасность США, относятся следующие: транспортная инфраструктура; инфраструктура газонефтяного комплекса; инфраструктура водоснабжения; инфраструктура служб экстренной помощи (полиция, пожарные, медицинские, службы спасения и чрезвычайных ситуаций); инфраструктура органов власти (федеральных, региональных и местных); банковская и финансовая инфраструктура; инфраструктура электроэнергетики; информационная инфраструктура. При этом сквозным лейтмотивом являлась мысль, что в информационном обществе ключевым фактором безопасности любой критической инфраструктуры является безопасность ее информационных компьютерных технологий.

7 января 2000 г. Президентом США был подписан "Национальный план защиты информационных систем". Общее руководство ходом работ в рамках данного плана возлагалось на Федеральный координационный совет по проблемам безопасности информационной инфраструктуры. План содержит 10 самостоятельных программ, объединенных общей целью и связанных с решением задач в сфере определения критических сегментов и уязвимых сторон национальной информационной инфраструктуры, обучения и переподготовки специалистов, проведения НИОКР, внедрения технических средств защиты, принятия новых законов, соблюдения гражданских прав и свобод. При этом подчеркивается необходимость консолидации усилий правительства, федеральных ведомств и частного сектора в защите национальных информационных ресурсов как важнейшего условия достижения поставленной цели. Вот перечень программ, включенных в указанный план:

1. "Определение критически важных ресурсов инфраструктуры, их взаимосвязей и стоящих перед ними угроз".

2. "Обнаружение нападений и несанкционированных вторжений".

3. "Разведывательное обеспечение и разработка правовых актов по защите критических информационных систем". Разведывательным организациям предоставлены права собирать сведения о методах и способах ведения информационной войны за рубежом.

4. "Своевременный обмен информацией о нападении".

5. "Создание средств реагирования, реконфигурации и восстановления".

6. "Активизация НИОКР по поддержке программ 1-5".

7. "Подготовка необходимого количества специалистов в области информационной безопасности".

8. "Информирование американского общества о необходимости прогресса в информационной безопасности".

9. "Внесение изменений и дополнений в законодательство в интересах программ 1-8".

10. "Обеспечение защиты гражданских свобод".

В результате за последние годы в США была создана разветвленная система управления безопасностью критическими объектами национальной инфраструктуры. Однако события 11 сентября заставили руководство США еще больше усилить внимание к этому вопросу. 16 октября 2001 г. Президент США Д. Буш образовал Совет по защите критической инфраструктуры США, который возглавил специальный советник президента по безопасности в киберпространстве Ричард Кларк (Richard Clark). Создаваемая новая служба призвана обеспечить управление безопасностью во всех ключевых информационных системах США.

Особое внимание в США в последнее время уделяется анализу сетевых атак на ресурсы интернета и прогнозированию ситуации в интернете в результате осуществления антитеррористической операции. Как сообщает Информационный бюллетень Jet Info (№ 3 за 2002 г), выявлены следующие потенциальные источники сетевых атак:


В качестве основных целей сетевых атак рассматривались:
Стоит подчеркнуть, что американский институт SANS учредил программу профессиональной сертификации специалистов по выявлению сетевых атак. Сертификация является свидетельством профессиональной зрелости специалиста в области информационной безопасности.

3. Проблема риска и гарантии безопасности

Серьезной проблемой для России является повсеместное непонимание рисков, связанных с использованием компьютеров. В США предпочитают все риски знать, учитывать, защищаться от них, а в тех случаях, когда защита невозможна или слишком дорога, то покупать страховой полис. При этом, как правило, страхуют не один какой-то риск, а множество, возможно, даже у нескольких страховщиков – от пожаров и стихийных бедствий и других подобных опасностей страхуется все имущество; электронное оборудование дополнительно страхуется с учетом его эксплуатационных особенностей по программам EEI (ele-

ctronic equipment insurance), страхуются от электронных и компьютерных преступлений, от потери или несанкционированного раскрытия информации, страхуют финансовые и материальные риски, связанные с электронной коммерцией, страхуют возможность нарушения обязательств партнеров и свою ответственность перед клиентами.

Утвердившийся в сознании многих людей стереотип, в котором безопасность рассматривается как некая надстроечная составляющая над базовым процессом информатизации, чреват созданием общества тотального риска без каких-либо гарантий безопасности.

Конечно, нельзя не сказать, что в тех же США, несмотря на все принимаемые меры, ущерб, наносимый от нарушений безопасности компьютерных систем, составляет сотни миллионов долларов в год. По данным Computer Security Institute, работающего в тесной связке с ФБР, ущерб только от действий хакеров в 2001 году составил 377,8 млн. долларов, в то время как в 2000 году эта цифра составляла 265,6 млн. долларов. Глубокий и обширный анализ проблем недостаточности гарантий безопасности используемых информационных технологий дан в последнем отчете Национальной академии наук США3. Особое внимание обращено на недопустимость постоянного наличия многочисленных уязвимостей в широко распространяемом системном и прикладном ПО (таком, как ОС Windows и Unix). Очевидно и то, что в целом проблемы обеспечения гарантированной безопасности компьютерных систем осознаются в США глубже, чем у нас. Возможно, это связано с нашим отставанием в области развития и использования ИКТ. Тем более важно усвоить опыт США и понять, что намного лучше обеспечить гарантии безопасности, чем испытывать тотальный риск.

Ссылки

1 Вечная бдительность – цена свободы (Рэймонд Уай).

2 Готовность России к информационному обществу. Оценка возможностей и потребностей широкомасштабного использования информационно-коммуникационных технологий. – М.: Издательство Института развития информационного общества, 2001. – 113 с.

3 Computer Science and Telecommunications Board, National Research Council. 2002. Cybersecurity Today and Tomorrow: Pay Now or Pay Later. National Academy Press, Washington, D.C.


Кононов Александр Анатольевич - старший научный сотрудник Института системного анализа РАН (ИСА РАН), кандидат технических наук.

Смолян Георгий Львович - главный научный сотрудник ИСА РАН, доктор философских наук.


© Информационное общество, 2002, вып. 1, сc. 5-7.