Особенности национальной безопасности
Архив4–5 февраля в здании Правительства Москвы прошла 5-я Всероссийская конференция «Информационная безопасность России в условиях глобального информационного общества». Дабы не проверять ораторские способности друг друга, длинное название организаторы заменили более простым — «Инфофорум».
4–5 февраля в здании Правительства Москвы прошла 5-я Всероссийская конференция «Информационная безопасность России в условиях глобального информационного общества». Дабы не проверять ораторские способности друг друга, длинное название организаторы заменили более простым — «Инфофорум».
До недавнего времени мы черпали новые сведения по информационной безопасности (далее — ИБ), ловя каждое слово, произнесенное на DEF CON, Black Hat Briefings и им подобных мероприятиях. Но ситуация понемногу меняется, и в этом отчасти заслуга «Инфофорума». На этот раз было зарегистрировано 804 участника из 42 субъектов России. К сожалению, программа не предусматривала возможности задавать вопросы непосредственно по ходу выступления или после него. Приходилось приставать к докладчикам во время перерыва. Как говорится, нет худа без добра. По ошибке мне выдали зеленый бэдж «участник», а не красный «пресса»1, что, пожалуй, помогло в общении, настраивая собеседников на более дружелюбный лад.
Понравилась оперативность выступающих, не поленившихся дополнить свои тексты свежими примерами. Во вступительном слове председателя подкомитета по законодательству в сфере ИБ комитета Госдумы по безопасности Юрия Цыбакина нашел отражение недавний инцидент с сетевым червем Helkern (см. статью «Проверка на вшивость», «КТ» #478). На фоне этой истории вновь пытались доказать необходимость создания защищенной глобальной сети (Интернет-2). Посмотрим, смогут ли 376 байт кода стать достаточным аргументом.
Несмотря на грустное начало, общий тон докладов был весьма оптимистичным, и даже доброй иронии нашлось место на, казалось бы, столь серьезном мероприятии. Генеральными спонсорами конференции были компании Sun Microsystems и Microsoft. И выступали их делегаты друг за другом. Сергей Тарасов, глава представительства Sun Microsystems в СНГ, подчеркнул, что ОС Solaris уже сертифицирована ГТК на соответствие требованиям по обработке конфиденциальной информации. Следом на трибуну вышла глава российской Microsoft Ольга Дергунова и заявила, что компания готова предоставить исходники Windows в рамках Government Security Program (см. «КТ» #477), поскольку уверена в безопасности своих продуктов. В памяти тут же всплыл фрагмент сентябрьской речи на конференции для разработчиков Windows .NET Server старшего вице-президента Microsoft Брайана Валентайна (Brian Valentine): «Our products just aren’t engineered for security». Допускаю, за полгода ситуация могла измениться… теоретически.
Заверения обоих докладчиков в том, что открытость кода сама по себе гарантирует безопасность, меня немного смутили. Одно дело — проверить исходники небольшого приложения. Совсем другое — операционной системы. Задача весьма трудоемкая. Но самое главное — где гарантия, что скомпилированный код соответствует изначальному? Сомнения попытался развеять начальник главного управления ГТК Юрий Лаврухин. По его словам, сейчас разрабатываются системы анализа именно для такой задачи.
Другой представитель Sun Microsystems, Павел Анни, несколько удивил присутствующих следующей идеей: «Если переложить ответственность с производителей ПО непосредственно на людей и организации, его использующих, то последних будет гораздо легче призвать к ответу». Вы только представьте: за то, что «программа выполнила недопустимую операцию и будет закрыта», пользователю придется платить штраф, а разработчики, как всегда, останутся «все в белом». Глядишь, скоро неудачный клик мышью приравняют к преступлению.
Тему киберпреступности довольно удачно осветил начальник главного управления специальных технических мероприятий МВД Борис Мирошников. «В 2002 году было зарегистрировано 3371 преступление в сфере ИБ — в 2,2 раза больше, чем в 2001-м. Уровень подготовки злоумышленников неизмеримо выше по сравнению с контингентом конца девяностых годов прошлого столетия. Количество желающих попробовать свои силы в хакинге растет экспоненциально». Борис Николаевич считает, что российское законодательство в своем нынешнем состоянии не может служить сдерживающим фактором роста преступности: «…слишком мягкий УК РФ способствует тому, что, получив символическое наказание, киберпреступник лишь становится более изощренным».
На конференции часто вспоминали историю с Дмитрием Скляровым. Приехал человек опытом поделиться, а его «загребли». На «Инфофоруме» такого беспредела не было, однако заключительная часть прошла близко к этому сценарию. Выступал исполнительный директор ЗАО «ДИТ» Э. Джураев, рассказавший, как его компания проводит аудит безопасности, что это такое и зачем нужно. После того как Джураев закончил выступление, представители ГТК поинтересовались, не кажется ли ему, что деятельность компании должна быть лицензирована. И пообещали проверить, как с этим обстоят дела…