Мы инвалиды?
АрхивReaditorialПутин, отвечая в Давосе Майклу Деллу, поторопился сказать, что «мы не инвалиды». Но в области информационной безопасности российский «пациент» скорее мертв, чем жив.
Новая Россия очень любит показать свою силу во всех сферах. В военной, экономической, в ИТ. На форуме в Давосе Владимир Путин, на вопрос основателя корпорации Dell, нужна ли нашей стране помощь в развитии ИТ-отрасли ответил, что мол мы не инвалиды. Но так ли это на самом деле? Алексей Леонов пытается найти ответ на этот вопрос. - прим. ред.
Рассмотрев в прошлом материале отношение нашего президента к информационной безопасности, давайте посмотрим, что происходит по ту сторону океана и как относится к защите информационных ресурсов недавно избранный президент Барак Обама.
Программной речью Обамы по информационной безопасности принято считать его выступление в Университете Пурдью в США 16 июля 2008 года (полный текст речи можно найти здесь). В ней он, в частности, заявил, что кибербезопасность является частью национальной оборонительной стратегии и не может рассматриваться в отрыве от нее. В этой речи избранный президент США отметил, что после 11 сентября 2001 года ситуация с безопасностью в мире и на североамериканском континенте поменялась коренным образом. Помимо давно известных напастей появились так называемые новые угрозы (emerging threats), в числе которых были названы три самых важных – ядерная угроза, биологическая (бактериологическая) угроза и кибер-угроза.
Надо обязательно заметить, что Обама прекрасно понимает, что такое информационная безопасность и не раз уже говорил о том, что сделает это направление приоритетом номер один. «Как президент, я сделаю кибербезопасность высшим приоритетом, которым она и должна быть в 21-м веке. Мы будем координировать усилия всех федеральных структур, реализуя действительно национальную политику кибербезопасности». Это еще одно из отличий между недавно избранными президентами России и США. Если Медведев, в основном, отделывается общими словами об информационных технологиях и часто опирается на рекомендации своих советников, которые в ИБ понимают мало, то Обама предлагает конкретные и реализуемые рекомендации, сформулированные в официально опубликованных документах.
В отличие от России, которая не подпускает к национальной безопасности никого кроме спецслужб, США понимают, что у них очень однобокий взгляд на проблему. Поэтому Обама готов привлекать к разработке новых стандартов и решений по безопасности не только государственные структуры, но и академические круги и специалистов частных фирм. Также Обама не раз утверждал, что компьютерные сети и инфраструктура являются стратегическими активами страны, от защищенности которых зависит ее жизнедеятельность. Поэтому он и заявил в Университете Пурдью: «Для обеспечения нашей национальной безопасности мы будем объединять усилия государства, промышленности и научного сообщества, которые сообща наилучшим образом защитят инфраструктуру, которая поддерживает экономику. Мы должны разработать новые стандарты безопасности для защиты наших самых важных инфраструктур – от сетей электропитания до систем ЖКХ; от систем управления авиаперевозками до наших торговых сетей».
Обама готов финансировать ряд исследовательских проектов по разработке новых технологий и методов информационной безопасности. Хотя и без этого, нельзя сказать, что в США есть проблемы с НИОКРами в области ИБ. Почти все, что придумано в этой области, пришло к нам из США. Финансирование будет вестись из создаваемого 5-миллиардного фонда, направленного именно на реализацию новой стратегии национальной безопасности.
Барак Обама планирует включить в состав своей администрации советника по информационной безопасности (National Cyber Advisor), а не просто по информационным технологиям. Такая должность была и раньше, при президентах Клинтоне и Буше, но последний советник ушел из Администрации Буша, обвинив ее в бездействии. Надо заметить, что Буш никогда и не интересовался данной тематикой, в отличие от более прогрессивного Обамы. Помимо создания должности советника по ИБ, избранный президент США планирует создать новое подразделение в своей Администрации, которое возьмет на себя все вопросы координации между разрозненными службами и ведомствами, отвечающими за ИБ в рамках своей компетенции – АНБ, ЦРУ, ФБР, Министерство Обороны, Министерство национальной безопасности (Homeland Security) и т.п.
В чем же заключается недавно опубликованная стратегия США в области информационной безопасности? Из текста с сайта Министерства национальной безопасности мы можем увидеть следующие ключевые тезисы (отдельные разъяснения по этим пунктам даны на официальном сайте Обамы):
- Усиление роли федеральных органов власти в области кибербезопасности. В отличие от России, где слово «усиление» трактуется как «монополия», в США понимают, что необходимо учитывать разные точки зрения на проблему – не только государства, но и бизнеса, общества и отдельных граждан. Поэтому в Америке практически нет обязательных к применению стандартов безопасности (исключая ВПК и ряд государственных задач). Деятельность федеральных органов заключается в разработке рекомендаций и лучших практик по различным аспектам ИБ. Хорошим примером такой деятельности можно назвать публикации Национального института стандартов США (NIST).
- Начало исследовательских работ в области защищенных вычислений и усиление защиты национальной киберинфраструктуры. Этот программный тезис очень похож на инициативу Trustworthy Computing от компании Microsoft. Учитывая роль, которую играют представители компаний Microsoft, Cisco, Oracle и других в различных консультационных советах при президенте, такое совпадение не случайно.
- Защита ИТ-инфраструктуры, на которую опирается американская экономика.
- Предотвращение промышленного кибершпионажа. Учитывая все возрастающее число утечек конфиденциальной информации, составляющей ноу-хау американской экономики, такой интерес к данному направлению вполне обоснован.
- Разработка стратегии борьбы с компьютерными преступлениями для минимизации деятельности преступных группировок в киберпространстве. США вообще продвинутая страна в области законодательных инициатив. Там, например, у них есть закон о спаме. А закон о персональных данных вообще был принят еще в 1973 году. Правда приверженность демократическим идеалам иногда дает сбои. Например, один из самых известных спамеров, осужденных за свою деятельность, смог добиться отмены приговора суда, аппелируя к ключевому принципу любой демократии – свободе слова. Спамер заявил, что рассылая нежелательную корреспонденцию, он таким образом высказывал свои мысли и идеи. Блокирование же рассылок и его осуждение является примером цензуры и запрета свободы слова. Наверное, только в США возможно такое ;-)
- Обязательные стандарты для защиты персональных данных и обязательство для любой компании раскрывать факты об утечках персональных данных. Первый шаг в этом направлении уже сделан – NIST опубликовал проект стандарта по защите персональных данных.
Можно заметить, что ничего сверхъестественного в этой стратегии нет – все понятно и вполне реализуемо. Почему же в нашей стране невозможно пойти по этому пути? Возможно потому, что информационной безопасностью у нас заправляют люди, получившие профильное образование в 60-х годах, когда о компьютерах еще никто не знал. Как они могут советовать президенту что-то дельное? Все на что, они способны, это свои знания по защите государственной тайны и военных секретов транслировать на любую информацию ограниченного доступа, что они и делают. Именно по этому принципу, например, построены требования ФСТЭК по защите персональных данных или коммерческой тайны.
В Америке же действуют немного иначе. Там не гнушаются привлекать специалистов не только из спецслужб, но и из различных университетов и компаний, которые сообща и предлагают заинтересованным лицам свои идеи. В частности, свои идеи по информационной безопасности были высказаны сразу несколькими сообществами. Например, портал CSO Online, объединяющий усилия руководителей служб информационной безопасности американский компаний. Другим примером усилий отрасли в разработке рекомендаций для Обамы по ИБ является Internet Security Alliance (ISA), который опубликовал 50-тистраничный отчет «Cyber Security Social Contract». Многие из этих рекомендаций вошли в новую стратегию ИБ США.
Какие выводы можно сделать из данной ситуации? Во-первых, Барак Обама не только на словах, но и на деле прислушивается к представителям академических кругов и индустрии безопасности, не ограничиваясь представителями спецслужб. Во-вторых, в США есть реально работающие структуры, которые вырабатывают и открыто публикуют вполне жизнеспособные рекомендации по информационной безопасности. В-третьих, президент США прекрасно понимает роль ИТ-инфраструктуры и ее безопасности в экономике страны. В-четвертых, прекрасно понимая важность координации работ разных ведомств в области ИБ, Обама создает должность и подразделение, которые возьмут на себя эту непростую роль (в России такого органа нет, несмотря на то, что эту роль на себя пытается примерить Совет Безопасности). И, наконец, в США понимают всю важность государственной поддержки исследований в области ИБ и готовы выделять на них немалые финансовые средства.
Все это показывает, что наш премьер-министр, отвечая в Давосе Майклу Деллу, поторопился сказать, что «мы не инвалиды». В области информационной безопасности российский «пациент» скорее мертв, чем жив.