21.12.2018

То, что нужно всем

«Если средства информационной защиты не будут контролироваться внутри страны, они когда-нибудь превратятся в средства нападения»

Информационная безопасность (ИБ) постепенно становится главным трендом в современном мире. Для создания цифровой экономики требуется киберзащита различных видов данных, систем и инфраструктурных объектов. О том, что происходит на российском рынке ИБ, RSpectr рассказал генеральный директор компании «Актив» Константин Черников.

RSpectr: Согласно отчету InfoWatch, Россия стоит на втором месте в мире по количеству утечек данных. Как Вы считаете, почему у нашей страны такие показатели?

Константин Черников (К. Ч.): Уровень информатизации нашей страны оценивается достаточно высоко. Отсюда все вытекающие последствия. Кроме того, у наших людей особенный менталитет. Запреты для русского человека, как правило, лишь повод искать обходной путь. Отсюда и утечки информации.

С общими тенденциями исследования я согласен. В России в основном утекают персональные данные. Но в целом их доля сокращается. Зато значительно растет доля утечек, связанных с потерей и кражей платежной информации. Это уже страшнее.

Из статистики следует, что по сравнению с 2016 годом в 2017-м резко увеличилось среднее количество записей, утекших за один инцидент. Вероятной причиной такого взрывного роста можно назвать размещение все большего объема чувствительных данных в облачных хранилищах и онлайн-сервисах, в то время как подходы к их защите не изменились. Поэтому из-за ошибок и злонамеренных действий персонала, руководителей и подрядчиков утекает все больше критичной информации.

Кроме того, на утечки просто стали чаще обращать внимание в связи с совершенствованием законодательства в области защиты персональных данных (ПД), скрывать такие инциденты стало труднее. Поэтому, возможно, увеличилась только опубликованная статистика.

Большинство утечек происходит по вине внутренних нарушителей. Доля внешних атак значительно ниже. Так получается потому, что от нападения извне в каком-то смысле проще защищаться при помощи технических средств, количество и качество которых растет.

Противодействие внутренним нарушителям – это один из основных трендов в области обеспечения информационной безопасности

С ними бороться труднее, поскольку к ним относятся и руководители, и привилегированные пользователи.

Зачастую утечки происходят случайно. Многие пользователи пока плохо понимают, что конфиденциальные данные – это реально критическая информация. Люди даже не осознают, что могут создать проблемы себе или организации, в которой работают.

RSpectr: Можно ли снизить количество утечек в целом по России? Какие, на Ваш взгляд, актуальные вопросы информационной безопасности могут самостоятельно решить игроки рынка в рамках саморегулирования и чем обязано заниматься государство?

К. Ч.: Какой-то волшебной таблетки не существует. С моей точки зрения, в первую очередь важны меры не со стороны государства или рынка информационной безопасности (ИБ), а усилия, предпринимаемые самими компаниями и госорганами. Государство в этом смысле может заниматься регулированием с целью повышения рисков, связанных с утечкой данных. Например, через радикальное усиление ответственности операторов ПД. В то же время это может негативно сказаться на раскрытии инцидентов:

если ответственность будет значительной, появится мотивация скрывать факты утечек

Кроме того, государство может и должно устанавливать требования, например, по аутентификации пользователей в госсекторе.

Необходимо также повышать уровень цифровой грамотности людей. Нужно формировать культуру потребления информации и работы с ней. Этим так или иначе занимаются и государство, и отдельные компании. К примеру, сейчас на рынке есть вполне доступная услуга – тренировка персонала в борьбе с возможными утечками. Мы сами к ней прибегали.

Второй вопрос – безопасность конкретных информационных систем и тех технологий, которые в них применяются. Вместе с нашими партнерами мы развиваем технологию PKI, которая получила достаточное распространение благодаря повсеместному использованию электронного документооборота с применением электронной подписи (ЭП). Хотя еще десять лет назад технологии на базе асимметричных криптоалгоритмов (которые используются в ЭП) в нашей стране широко не применялись.

RSpectr: В чем заключаются преимущества электронной подписи и аутентификации?

К. Ч.: Ряд крупных и средних компаний применяет строгую двухфакторную аутентификацию для доступа сотрудников в информационные системы. Многие государственные и коммерческие заказчики внедряют ее одновременно с ЭП. Так можно решить больше задач. Кроме надежной аутентификации, пользователи получают защиту своей электронной переписки, шифрование данных и другие полезные функции.

Обычно средство хранения ЭП автоматически совершает и аутентификацию пользователя. Если говорить в целом про рынок тех, кто внедряет защищенные ключевые носители* (токены и смарт-карты), то сейчас про электронную подпись говорят чаще, чем про аутентификацию. Аутентификация сегодня чаще используется в корпоративных информационных системах. ЭП может применять любой человек при взаимодействии с другими организациями.

Одна из проблем использования паролей при аутентификации состоит в том, что пароль может быть скомпрометирован, перехвачен, он очень часто слишком слабый или одинаковый на всех ресурсах. Для двухфакторной аутентификации мы предлагаем пользователю применять персональный USB-токен или смарт-карту. Обладание устройством является первым фактором аутентификации, знание пароля или пин-кода – вторым.

RSpectr: Какой процент российских граждан использует электронную подпись? Какие сегменты рынка получили бы дополнительный стимул к развитию, если бы ЭП была у каждого?

К. Ч.: Физические лица пока очень мало используют электронную подпись. В основном ее применяют юридические лица. ЭП нужна им для разнообразных целей, связанных со сдачей налоговой и бухгалтерской отчетности, электронным таможенным декларированием, участием в электронных аукционах. Отдельный сегмент – электронная подпись платежных документов в системах дистанционного банковского обслуживания.

Рынку электронной подписи есть куда расти. Мешают развитию определенные технические ограничения в современных информационных системах. Например, для разных правоотношений сейчас используются несколько сертификатов электронной подписи. На первый взгляд может показаться, что это неудобно: была бы электронная подпись универсальной, ей бы чаще пользовались. Однако из других областей нашей жизни известно, что

универсальное решение только повышает риски взлома со стороны злоумышленников. Поэтому, на мой взгляд, для банка должна быть одна ЭП, для налоговой – другая

У разных юрлиц разные цели, в рамках которых они используют электронную подпись.

Возьмем пример со страхованием. Вы же не покупаете безлимитный пакет услуг на все случаи жизни? При поездке за границу вас интересует страхование медицинских расходов, при покупке автомобиля вы страхуете его от угона и повреждений. Это разные риски и разные суммы. Так и с ЭП. Нездоровой с точки зрения безопасности была бы ситуация, когда на одну электронную подпись завязано множество услуг. Если вдруг ЭП окажется скомпрометированной, мы лишимся всего и сразу!

ЭП обеспечивает безопасность только определенного масштаба. Цифровой сертификат, который выдают к электронной подписи, действует, как правило, на определенный вид услуг и предусматривает определенные виды гарантий. Страховка тоже ограничена суммой и видами страховых случаев. Здесь не стоит изобретать какой-то свой особенный путь, лучше пользоваться мировым опытом.

Рынок электронных услуг будет только расширяться. И государственные, и коммерческие структуры стараются автоматизировать и перевести в «цифру» все, что возможно, потому что в результате получают реальную экономию денег и времени.

RSpectr: За последний год в России приняты или вступили в силу НПА, направленные на устранение анонимности в интернете (идентификация пользователей SIM-карт и мессенджеров). Как Вы относитесь к этим инициативам? Могут ли такие данные оказаться под угрозой?

К. Ч.: Наш мир движется к тому, что анонимным быть все труднее. Везде видеокамеры, везде микрофоны. На мой взгляд, мы, как и наши потомки, просто обречены на то, что анонимности будет гораздо меньше. Но я считаю, что это не приведет к каким-то ужасам, которые описывают в футуристических сериалах, например, в «Черном зеркале».

Мир так или иначе адаптируется. Особо критичные вещи зарегулирует государство. Но спецслужбы всегда все хотели слушать, знать про всех людей при необходимости. Это желание не пропадет со временем.

Конечно, какие-то дополнительные риски возникают. Но я не считаю их значительными. Да, уже сейчас в черном сегменте интернета можно купить очень много личной информации о человеке. К примеру, список звонков, график перемещения на основе данных от сотовых операторов, состояние банковского счета и т. д. Исчезнет ли этот черный рынок? Криминал был, есть и, увы, будет всегда. И всегда с ним будут бороться.

RSpectr: Некоторые страны (США, Австралия) запрещают использование телеком-оборудования китайских производителей из-за потенциальных рисков для национальной кибербезопасности. Оправданны ли эти опасения? Нужно ли и нашей стране озаботиться этим вопросом?

К. Ч.: Проблема цифрового суверенитета актуальна, угроза действительно существует. На мой взгляд, озабоченность, которую выказывает государство, довольно обоснованна. У нас все больше и больше появляется оборудования, которое имеет российские корни. Да, конечно, глобализация накладывает свои отпечатки, трудно добиться, чтобы каждый миллиметр устройства был отечественного производства. Но основные, важнейшие элементы системы должны быть сделаны у нас. В стране есть рынок с внутренней продукцией, и мы должны его развивать.

В сфере ИБ однозначно должны использоваться российские решения. Если средства информационной защиты не будут контролироваться внутри страны, они когда-нибудь превратятся в средства нападения.

У нас есть собственная криптографическая школа.

Развитие российского рынка криптографии – важный аспект цифровой независимости нашей страны

Это позволит нам заметно уменьшить влияние внешних факторов. Если думать о цифровой независимости, не забывая про разумный баланс между глобализацией и импортозамещением, все будет отлично!

RSpectr: Какие события ИБ-отрасли за прошедший год Вы считаете главными? И чего ждать в наступающем году?

К. Ч.: Государство стало совершенствовать законодательную базу в области защиты критических инфраструктур, на рынке электронной подписи, так как развитие требует новых подходов. Наблюдается общая тенденция повышения ИБ систем, построенных при помощи ЭП и закрытых каналов передачи информации.

Появляются усиленные требования безопасности, которые нам диктуют регуляторы. Это хороший признак, доказательство того, что государство задумывается о развитии, слушает и понимает рынок

Впервые в этом году в одном из наших проектов мы столкнулись с требованием внешнего аудита ИБ, без чего заключить контракт не представлялось возможным. Думаю, что в следующем году это требование будет все чаще встречаться при взаимодействии с крупными заказчиками. Это одна из причин, почему мы в компании недавно открыли новое направление Aktiv.Consulting. Так же, как и в финансовой сфере, аудит ИБ должен быть независимым, лицензироваться и проводиться профессионалами.

Я не отношусь к людям, которые любят делать яркие, запоминающиеся предсказания, которые потом, понятно, никогда не сбываются. С моей точки зрения, следующий год будет по-прежнему демонстрировать, что информационная безопасность в нашей стране нужна, эта сфера будет развиваться. ИБ-решения будут внедряться во все сегменты.

Продолжат развиваться и технологии интернета вещей. И, как следствие, будет расти и сегмент их безопасности. Ведь уже почти любая DDoS-атака ведется с использованием интернет-устройств, а не компьютеров. IoT-защита – это формирующийся рынок, который скрывает в себе новые возможности.

*Ключевой носитель — отчуждаемый машинный носитель информации, предназначенный для размещения на нем криптографических ключей. Защищенный ключевой носитель — ключевой носитель, обладающий функцией защиты ключевой информации от несанкционированного доступа.

Справка

Константин Анатольевич Черников

Управляющий партнер, генеральный директор компании «Актив»

Родился в 1970 году в Московской области.

В 1992 году окончил факультет электроники и системотехники МГУЛ по специальности «вычислительная техника». На первом курсе института знал более 18 языков программирования.

Во время учебы в университете работал программистом на кафедре электроники, выполнял работы для проекта «Буран».

В 1994 году вместе с партнерами основал и возглавил компанию по разработке и производству решений для информационной безопасности.

Сегодня «Актив» является лидером в своем сегменте и самым крупным производителем электронных ключей и идентификаторов в России.

Фото: «Актив»