Индустрия информационной безопасности в 2002 году сильно изменилась. Почувствовав интерес потребителей, активизировались производители как специализированных, так и прикладных информационных систем.
Индустрия информационной безопасности в 2002 году сильно изменилась. До недавнего времени обеспечение безопасности финансировалось из средств ИТ-бюджета, а сотрудники, занимающиеся информационной защитой, подчинялись департаменту ИТ и часто делили эти обязанности с системным администрированием. В результате вначале решались проблемы расширения функций, упрощения работы пользователей и администрирования, а только потом задумывались о их защите. Как отмечает Александр Галицкий, президент ЭЛВИС+, в прошлом году многие компании вывели отдел информационной безопасности из подчинения ИТ-департамента, чем добились паритета между администрированием и информационной защитой.
Таким образом, финансирование проектов, обеспечивающих защиту информационных систем, сейчас изменилось, что привело к новым вливаниям финансовых ресурсов в эту сферу ИТ-индустрии. Почувствовав интерес потребителей, активизировались производители как специализированных, так и прикладных информационных систем, например, таких как САПР. Это привело к тому, что российским рынком заинтересовались крупные западные разработчики. Кроме того, специализированные программы начали объединяться в сложные комплексы с единым центром управления.
Проблему информационной безопасности заметили и государственные организации. Так, по утверждению Галицкого, в некоторых европейских странах готовятся законы, которые обяжут компании, представляющие услуги населению, обеспечивать защиту информации. В России отрасль информационной безопасности прожила этот год под знаком закона об ЭЦП — российского варианта государственной заботы о защите электронного бизнеса. Тем не менее потребность в защите остается, следовательно, эта отрасль в дальнейшем, будет активно развиваться. Вот только российским производителям придется сдерживать натиск своих иностранных конкурентов.
Конференция «РусКрипто»
Ежегодно в феврале ассоциация «РусКрипто» проводит свою конференцию, которая посвящена различным аспектам криптографии и криптоанализа. На конференции собираются независимые российские разработчики криптоалгоритмов и средств шифрования. В тематике их выступлений есть доклады как теоретические, например анализ стойкости криптоалгоритмов, так и практические.
В прошедшем году одной из животрепещущих тем было обсуждение принятия закона об ЭЦП и возможные варианты его использования. В частности, Нина Соловьяненко, старший научный сотрудник Института государства и права, заметила, что закон нельзя было сразу вводить в действие, а нужно было отсрочить на тот момент, когда будет построена инфраструктура удостоверяющих центров. В качестве же временной рекомендации для тех, кто уже использует ЭЦП, рекомендовалось вычеркнуть из договоров словосочетание «электронно-цифровая подпись» и таким образом выйти из-под действия закона, поскольку в законе нет определения соответствующего термина. Также была сделана попытка сформировать под эгидой Минэкономразвития комиссию по анализу недочетов закона об ЭЦП.
На конференции выступали программист компании «Элкомсофт» Дмитрий Скляров, повторивший обзор средств защиты электронных книг в формате PDF, из-за которых на него подала в американский суд компания Adobe. Основным выводом доклада было утверждение о том, что формат PDF практически невозможно надежно защитить от копирования.
Кроме того, на конференции были зачитаны доклады об анализе сложности задач, которые используются для шифрования с открытым ключом: дискретное логарифмирование, в том числе и для эллиптических кривых, и разложение на множители. Серьезных прорывов в этой области в 2002 году совершено не было.
Microsoft и безопасность
Представительство Microsoft в конце апреля провела серию мероприятий, посвященных проблемам безопасности, на которых присутствовал Стивен Адлер, менеджер по продуктам Microsoft по региону EMEA. Его турне по России — попытка Microsoft убедить отечественных клиентов в том, что компания делает все возможное для улучшения безопасности и надежности своего программного обеспечения. В частности, Адлер заявил, что Microsoft обучает своих разработчиков созданию защищенных программ, проверяет все свои продукты на предмет поиска потенциально опасных ошибок и включает в бизнес процессы поэтапной разработки контроля защищенности своих продуктов. Причем Microsoft может задержать выход своего продукта, если в нем найдены проблемы с безопасностью.
Основными приложениями для тестирования являются утилиты prefix и prefast, разработанные самой Microsoft. Они позволяют анализировать исходные тексты и динамическое поведение программ соответственно. По процедуре такая система контроля похожа на принятую в России систему сертификации на недекларируемые возможности. Поскольку тестирование проводится самим производителем, то оно лишь гарантирует, что руководство компании узнает о таких ошибках. Таким образом, специально интегрированные самим производителем лазейки все-таки могут остаться. Кроме того, такая методология тестирования не позволяет выявить влияние некорректных данных на поведение системы, которое возникает, например, при ошибке переполнения буфера или взаимовлиянии программ друг на друга.
Адлер также пропагандировал более тесное сотрудничество клиентов с Microsoft в вопросах безопасности. Например, он предлагал использовать систему автоматического распространения исправлений, которая в некоторых случаях может защитить от вирусов, использующих известные лазейки (по его утверждению Microsoft, как правило, успевает выпустить исправления для найденных ошибок). Кроме того, компания не рекомендует оставлять настройки по умолчанию. На одном из семинаров Адлер продемонстрировал успешную атаку на Web-сервер Internet Information Server, защищенный межсетевым экраном, где все компоненты имели настройки по умолчанию. По этой причине все следующие продукты Microsoft будут поставляться с минимальным набором включенных функций. Дополнительные функции клиент должен включать самостоятельно — на него и переносится ответственность за настройку служб. Насколько безопасна такая стратегия — покажет время.
Партнерство по «Дозору»
Компания «Инфосистемы Джет» провела семинар, на котором рассказала о своей партнерской программе по продукту «Дозор-Джет». Он является системой для защиты и архивирования электронной почты. Ему уже около двух лет, но только в 2002 году в России начали появляться аналогичные продукты зарубежных производителей: Clearswift (MAILsweeper), Computer Associates (eTrust Content Inspection) и некоторые другие. Это вынудило «Джет» создать свою собственную сеть распространения «Дозора» через системных интеграторов, продавцов коробочных продуктов, провайдеров и Internet-магазины. Для разных партнеров «Джет» предлагает различный спектр услуг: от простого предоставления «коробок» до совместных маркетинговых мероприятий.
Продукты, аналогичные «Дозору» и занимающиеся перлюстрацией электронной почты, выполнены в виде SMTP-шлюза, который располагается между корпоративной и общедоступной сетями. Они, с одной стороны, контролируют поступление вирусов и мусорной информации (спама) из внешних сетей, а с другой — блокируют утечку конфиденциальной информации вовне. Для этого подобные приложения должны понимать различные форматы вложенных файлов, выделяя в них текст и исполнимый код для анализа. В частности, «Дозор» позволяет составлять сценарии для обработки писем, встраивая в систему сторонние приложения: антивирусы, программное обеспечение для документооборота или автоматической обработки сообщений. «Джет» ведет совместный проект с компанией «Мегапьютер» для интеграции в «Дозор» инструментария, позволяющего очень глубоко анализировать содержание писем.
Сертификация Linux в Гостехкомиссии
Компания ALT Linux совместно с НПФ «Промтехн» в ноябре объявила о сертификации Гостехкомиссией защищенной интегрированной системы обработки конфиденциальной информации «УТЕС-К», которая, по своей сути, является универсальным дистрибутивом ALT Linux Master. Дистрибутив сертифицирован по пятому классу СВТ. Он будет поставляться вместе с исходными текстами, а условия лицензирования позволяют вносить оперативные изменения для устранения найденных ошибок без повторной сертификации.
Другой российский разработчик дистрибутива Linux — компания ASPLinux непосредственно вслед за этим объявила о получении лицензии Гостехкомиссии на деятельность в области защиты информации. В результате ASPLinux может предоставлять услуги в области информационной безопасности и участвовать в проектах по построению высокозащищенных систем. Первый результат деятельности компании был представлен уже в декабре, когда ASPLinux объявила о сертификации средства прозрачного шифрования разделов жесткого диска, разработанного компанией SecurIT, на совместимость с дистрибутивом ASPLinux 7.3.
Русская версия Keon
Компании RSA Security, «Крипто-Про» и «Демос» объявили о завершении длящегося почти год процесса интеграции российских стандартов шифрования в удостоверяющий центр Keon Certificate Authority, разработанный американской компанией RSA Security. Саму интеграцию проводили сотрудники RSA, а специалисты «Демоса» их консультировали о правильной интеграции «Крипто-Про» в Keon, чтобы последний был сертифицирован ФАПСИ.
Пакет «Крипто-Про» реализует оба российских стандарта шифрования: старый ГОСТ 28147-98 и новый ГОСТ Р 34.10-2001, основанный на эллиптических кривых. Это позволяет использовать Keon как в уже работающих системах, так и во вновь строящихся. Русская версия Keon начала распространяться в России с 1 декабря — раньше, чем в других странах. В RSA Security объяснили сей факт тем, что последний месяц года наиболее благоприятен для продажи подобных продуктов.
К концу года начали появляться компании, выступающие в роли удостоверяющих центров. При этом работают они не по лицензии, а по временному разрешению ФАПСИ — как тестовые площадки. Одной из таких компаний является «Удостоверяющий центр», предлагающий свои услуги в Санкт-Петербурге. Она протестировала несколько решений для организации удостоверяющих центров и выбрала именно Keon в качестве корневого сервера. Для подчиненных серверов эта компания собирается использовать удостоверяющие центры, интегрированные в Windows 2000. Такое решение является типовым для организации удостоверяющих центров. Впрочем, когда ФАПСИ будет сертифицировать УЦ и выдавать им лицензии, ситуация может измениться.
Сертификация «Компас 3D»
Компания «Аскон», занимающаяся разработкой решений САПР, получила сертификат Гостехкомиссии на отсутствие недекларированных возможностей в своем продукте «Компас 3D». Продукт сертифицирован по третьему классу защищенности, то есть проверен на статическом и динамическом тестах. Для проведения теста «Аскон» предоставила в лабораторию исходные тексты продукта, а взамен получила статистическую информацию о работе приложения, которую собирается использовать для совершенствования своего продукта.
Кроме сертификации «Аскон» также разработала специализированное средство защиты от копирования файлов с проектами САПР. В самом файле кодируются определенные ключевые записи, отсутствие которых не позволяет восстановить модель. Поскольку шифруется не весь файл, а лишь избранные поля, то защита проекта не сильно сказывается на его загрузке. Поля шифруются алгоритмом ГОСТ 28147-98 собственной реализации, а секрет дешифрования хранится на аппаратном ключе HASP, который одновременно используется для защиты программы от копирования.
Следует отметить, что сертификацию на отсутствие недекларированных возможностей может пройти любая программа, безопасность которой заботит производителя. До недавнего времени разработчики мало внимания уделяли именно безопасности своих продуктов, стремясь максимально расширить его функциональные возможности. В этом году ситуация изменилась: производители программного обеспечения сделали акцент на безопасности. Первопроходцами были разработчики системного кода Microsoft и производители дистрибутивов Linux. К концу года эту тенденцию поддержали и производители прикладных систем, таких как САПР.
Закон об электронно-цифровой подписи
Закон об ЭЦП был принят в самом начале года — 10 января, и сразу же вступил в силу. Он устанавливает правила использования электронно-цифровой подписи, кроме того, законом регламентируется инфраструктура для выдачи сертификатов, служащих основой для ЭЦП, которая предполагает построение иерархии удостоверяющих центров. По данному закону требуется обязательная сертификация приложений для изготовления ЭЦП и управления сертификатами. Предполагалось, что закон об ЭЦП придет на смену практике, существовавшей до 2002 года, клубным системам электронной подписи, легитимность которых базировалась на Гражданском кодексе и системе договоров.
Однако на практике оказалось, что новый закон невозможно использовать, поскольку на момент вступления его в силу в России не было не только сертифицированных удостоверяющих центров, но и правил для их сертификации. В результате у компаний, уже использующих электронные аналоги подписи на основе договоров, сильно возросли юридические риски. Этим компаниям пришлось переписывать договоры, так как чтобы не попасть под действие нового закона об ЭЦП, необходимо было использовать любой другой термин, вместо «электронно-цифровой подписи». Апофеозом этого процесса стало объявление о применении ЦБ альтернативной технологии идентификационных кодов.
Кроме сертификатов, компании, играющие роль удостоверяющих центров, должны иметь лицензию на свою деятельность (соответствующие поправки были внесены в закон «О лицензировании» осенью 2002 года). Но до конца года так и не появилось ни одного сертифицированного удостоверяющего центра, имеющего полноценную лицензию. Оказалось, что соблюсти закон об ЭЦП невозможно, а использование электронно-цифровой подписи является уголовно наказуемым (как предоставление услуг без лицензии). При этом отказ от использования ЭЦП никаких юридических последствий не имеет. По этим причинам в 2002 году закон об ЭЦП так и не заработал.