Пресс центр

18/09/2013

Эффект Сноудена

Информация становится оружием массового поражения.

Диана Михайлова, Bankir.Ru

Различные аспекты защиты информации, включая безопасность объектов спортивной инфраструктуры, проблемы электронной подписи и единого пространства доверия – основные темы, которые рассматривались в рамках XII всероссийской конференции «Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ - 2013», состоявшейся в Сочи.

В начале заседания ректор Академии информационных систем (АИС) Юрий Малинин обратился с приветственной речью к аудитории и поблагодарил от лица организационного комитета профильные ведомства и министерства, которые оказали поддержку в проведении конференции: Совет Федерации Федерального Собрания Российской Федерации, ФСБ, МВД, Минкомсвязи, Федеральную службу по техническому и экспортному контролю (ФСТЭК), Федеральную службу информационных технологий и массовых коммуникаций, Оргкомитет «Сочи 2014».

«Всероссийская конференция «Информационная безопасность. ИнфоБЕРЕГ» проводится уже двенадцатый год и традиционно проходит на побережье города Сочи. В ней принимают участие руководители служб информационной безопасности, обсуждается ряд вопросов, выступает более 50 спикеров, которые привлекают внимание к обсуждению темы информационной безопасности, – сказал Юрий Малинин в интервью Bankir.Ru. – Каждый год тематика конференции дополняется новым содержанием, что зависит от новых нормативных документов, вносимых регуляторами. По итогам обсуждения на конференции вырабатываются рекомендации, которые передаются в федеральные органы исполнительной власти».

«Вопросы информационной безопасности являются все более важными в нашей повседневной деятельности, что связано с последними событиями. Эффект Сноудена показал, что информационное противоборство в нашей стране является актуальной задачей, решение которой – приоритетное направление в нынешних условиях», – заявил заместитель начальника отдела Центра защиты информации ФСБ России Владимир Простов.

Основные отрасли развития ИБ в России

Академик Академии криптографии России Александр Баранов открыл своим выступлением пленарное заседание по основным вопросам развития отрасли информационной безопасности (ИБ) в России. Темой его доклада стали актуальные направления обеспечения информационной безопасности в гражданском обществе. В своей речи он поднял проблему использования технологий защиты информации широким кругом граждан, что отражается в применении технологии электронной подписи в различных сферах: банкинг, государственные услуги, идентификация личности. Также, по словам эксперта, в последнее время наблюдается рост числа применений средств индивидуальной защиты, включая антивирусы. Решение проблемы, по оценке Александра Баранова, заключается в трансформации методов и способов защиты информации в услуги. Такая трансформация включает в себя: расширение области применения мобильных технологий, реализуемых на облачных сервисах; организация сертификации средств защиты информации и криптосредств как услуги на уровне СРО или сертификационных лабораторий типа ФСТЭК. На фоне этих проблем академик отметил недостаточность сертифицированных решений по защите информации для «облачных технологий», отсутствие целевого финансирования, незначительное взаимодействие между организациями-разработчиками средств защиты информации. В качестве решения Баранов предложил развитие общего пространства, более конкретные действия регуляторов, возможность поэтапного построения средств защиты информации.

«Нужен общественно-государственный Центр исследований проблем кибернетической безопасности, – уверен академик. – Одной из задач которого будет тестирование программных и аппаратных средств защиты информации, и которое будет осуществляться за счет общественной поддержки специалистами высокой квалификации бизнеса».

Дмитрий Сатин, советник министра связи и массовых коммуникаций России, посвятил свое выступление проблемам авторизации и регистрации пользователей на примере портала госуслуг. По его мнению, регистрация на портале сложна для большинства людей ввиду несовершенства системы ввода пароля. «Доля электронных заявлений, полученных через единый портал госуслуг в 2012 году, не превышает 2,5% от общего количества поступивших заявлений», – привел официальную статистику эксперт. Между тем в цели Минкомсвязи на 2012 год входил охват электронными услугами не менее 20% населения России, или 28 млн. человек. Необходимо разграничивать понятия идентификации и авторизации, а также применять различные уровни информационной безопасности в конкретных случаях, считает эксперт. Сатин подчеркнул, что психологическая надежность и безопасность являются двумя основными аспектами выполнения информационной деятельности, добавив, что безопасность может быть как двухступенчатой (авторизован/неавторизован), так и многоуровневой и адаптивной.

Советник губернатора Томской области Наталья Маслова подробно остановилась на проблемах реализации проекта открытого правительства. Она рассказала об эволюции развития вопроса от ИТ к информационному обществу, электронному государству посредством принятия федеральных законов и государственных программ. Электронное государство является частью информационного общества, отметила эксперт. Она привела стратегию развития информационного общества России до 2015 года, согласно которой, уровень доступности для населения базовых услуг в сфере информационных и телекоммуникационных технологий должен достичь 100%. В таком же объеме планируется нарастить долю государственных услуг, которые население может получить при использовании информационных и телекоммуникационных технологий. «Информация в форме открытых данных размещается в сети Интернет с учетом требований законодательства Российской Федерации и государственной тайны. В случае, если размещение информации в форме открытых данных может повлечь за собой нарушение прав обладателя информации, доступ к которой ограничен, размещение указанной информации в форме конкретных данных может быть прекращено по решению суда», – напомнила Маслова.

В свою очередь ректор Академии информационных систем Юрий Малинин рассказал об изменениях в сфере образовательной системы России, которые вступили в силу с 1 сентября 2013 года. При том, что спрос на специалистов в сфере информационной безопасности за последние 5 лет рос в 3,5 раза быстрее, чем на других специалистов информационных технологий, с введением изменений произошло сокращение количества часов на проведение дополнительной подготовки специалистов, отметил Юрий Малинин. Также был отменен диплом государственного образца по окончании обучения на курсах повышения квалификации и профессиональной переподготовки специалистов. В планах АИС согласовать с министерством труда России разработку дополнительно 10 профессиональных стандартов в области информационной безопасности.

Безопасность объектов спортивной инфраструктуры

Доклад Алексея Лукацкого, бизнес-консультанта Cisco Systems, был посвящен информационной подготовке к Олимпийским играм в Лондоне в 2012 году, а также в Сочи в 2014 году. Эксперт рассказал о вопросах обеспечения безопасности при проведении Олимпиады в Лондоне. По его словам, уязвимыми местами безопасности спортивного мероприятия международного масштаба являются публичность, свободный доступ на мероприятия, а также концентрация по времени. Как отметил бизнес-консультант Cisco Systems, информационная безопасность при проведении Олимпиады существенно отличается от обеспечения безопасности отдельной организации, поскольку уровень нагрузки на системы информационной защиты, например, во время Олимпиады в Лондоне, соответствовал одновременному проведению 46 мировых чемпионатов. Во время проведения Олимпиады службой безопасности было обнаружено 166 млн. событий безопасности, из которых только 763 потребовали серьезного расследования, сообщил спикер. Как рассказал Алексей Лукацкий, один из инцидентов произошел в день открытия Олимпийских игр – атака, которая была успешно отражена, была произведена на систему энергоснабжения Игр.

Эксперт подробно остановился на разновидностях направленных кибератак, включая вирусные и спамерские рассылки, фальшивые приложения, манипуляция поисковыми запросами, приводящими пользователей на фишинговые сайты. По мнению эксперта, Сочи 2014 тоже может ждать немало атак с идеологической и политической мотивацией, возможен рост политически мотивированных атак в Северо-Кавказском регионе.

«Успешность проектирования архитектуры информационной безопасности Игр в Лондоне исключила случаи возникновения простоев и сбоев в соответствующей инфраструктуре», – уверен эксперт, добавив, что «ключевым моментом построения архитектуры безопасности Олимпиады является сегментация беспроводной сети». Кроме того, высокий результат проведения Игр был достигнут в том числе эшелонированной обороной и изоляцией сети для игр, шифрованием всех данных на пользовательских системах и серверах, централизованным мониторингом всей вредоносной активности, а также обеспечением авторизованного доступа с помощью технологии NAC (Network Admission Control). Как сообщил Лукацкий, стоимость затрат на информационную безопасность при проведении Олимпиады в Лондоне составила $1 млрд., причем расходы на обеспечение информационными технологиями достигли $2 млрд.

Защита государственных информационных ресурсов

Владимир Простов (ФСБ) рассказал о противодействии кибератакам на информационные ресурсы. По его данным, большую часть Интернет-трафика в России занимают электронная коммерция (12%), личное общение (68%), частные услуги граждан в электронной форме (11%) и Интернет-банкинг (7%). Таким образом, по совокупности этих показателей Россия вышла на первое место в Европе по Интернет-экономике, отметил он. Основную проблему защиты информации эксперт видит в виртуализации хакерского рынка. При этом преступники используют различные способы противодействия выявлению бот-сетей, включая использование высокоемких прокси-серверов и анонимайзеров, динамическую регистрацию адресов для центров управления, шифрование трафика/канала командных серверов. Поэтому стратегическими задачами является сокращение количества незащищенных сегментов глобального информационного пространства, обеспечение каждой страной своего суверенитета в информационном и равном пространстве на равном уровне, отметил представитель ФСБ.

Руководитель отдела расследований компьютерных инцидентов компании «Лаборатория Касперского» Руслан Стоянов посвятил свое выступление теме государственно-частного партнерства в борьбе с современными киберугрозами. Он уверен, что текущее взаимодействие государственных и частных структур должно осуществляться на уровне неофициальных контактов правоохранительных органов, инициативы частных структур в расследовании, групп быстрого реагирования на инцидент (CERT). В свою очередь, Лаборатория Касперского в этом плане проводит обучение и взаимодействие с правоохранительными органами по всему миру, распространяет оперативную информацию через CERT и общественно-государственные организации, а также информирует вендоров ПО об уязвимостях в их продуктах. Эксперт рассказал об антивирусной компетенции Лаборатории Касперского, которая состоит из специально выделенной группы опытных специалистов наряду с командой опытных следователей, экспертов и аналитиков, бывших сотрудников правоохранительных органов.

Защита конфиденциальной безопасности: правовые, организационные и технологические аспекты

Тему совершенствования нормативно-правовых актов и методических документов по защите информации осветил в своем выступлении заместитель начальника управления Федеральной службы по техническому и экспортному контролю Дмитрий Шевцов. Развитие информационных технологий обуславливает необходимость создания и развития новых нормативно-правовых документов в сфере информационной безопасности, отметил эксперт. В своем докладе он ознакомил участников форума со структурой требований о защите информации, содержащейся в государственных информационных системах, а также с самими требованиями. Выбор мер по защите информации, подлежащих реализации в системе защиты информации подразумевает первоначальный выбор базового набора мер, за которым следует адаптация, уточнение и дополнение данного набора мер по защите информации для выполнения соответствующих требований, установленных нормативными правовыми актами. Спикер также подробно остановился на классификации информационных систем по принципу защищенности, значимости информации и масштабности системы.

Дмитрий Шевцов ответил на вопросы, связанные с изданием приказов ФСТЭК №17, 21, а также перечислил методические документы в развитие вышеуказанных приказов. Далее спикер рассказал об этапах совершенствования нормативной и методической базы по сертификации средств защиты информации и о планах развития нормативно-правовых документов до 2015 года, которые включают в себя требования к средствам аутентификации, средствам разграничения доступа, контроля целостности и другие. Не остались без внимания также и национальные стандарты, разработанные для аттестации объектов информатизации.

Переходом от документарно-методических к практическим аспектам защиты информации стало выступление Рустема Хайретдинова, заместителя генерального директора компании InfoWatch. Деятельность компании, выросшей из внутреннего проекта «Лаборатории Касперского», направлена на защиту корпоративной информации и процессов от внутренних угроз. К числу таких угроз эксперт отнес уязвимость кода, ошибки персонала, непропатченные системы, программные закладки, мошенничество. «Более 95% обнаруженных инцидентов внутренней информационной безопасности происходят из-за неосторожного обращения с данными», – отметил Рустем Хайретдинов. Далее спикер рассказал о процедурах бизнес-ориентированной безопасности, включая профилирование действия пользователей, контроль доступа, мониторинг активности и анализ отклонений. Одной из ключевых возможностей для защиты информации эксперт назвал DLP-систему как единственное средство информационной безопасности, решающее исключительно бизнес-задачи.

Особенностям визуализации и анализа рисков сетевой безопасности на базе платформы RedSeal был посвящен доклад Николая Петрова, директора по развитию бизнеса компании «ДиалогНаука». В рамках доклада были рассмотрены возможности продукта RedSeal, который позволяет в режиме реального времени получать информацию о конфигурации сетевых устройств, строить виртуальную модель сети и выполнять анализ ее текущей конфигурации на соответствие требованиям по защите информации.

Евгений Царев, глава российского офиса Swivel Secure, рассказал о возможностях аутентификации на примере платформы аутентификации Swivel, которая обеспечивает создание дополнительной усиленной (двухфакторной) аутентификации в те или иные приложениях. Система представляет собой решение корпоративного уровня и включает более 52 вариантов аутентификации, которые подразделяются на приложения для VPN, web, облачных сервисов и защиты рабочей станции. В числе каналов аутентификации эксперт назвал СМС-сообщения, мобильные приложения, браузер, телефония, из которых наиболее распространенный – первый способ.

Электронная подпись: жизнь в новых реалиях

Проблему комплексного решения вопросов обеспечения безопасности информации для федеральных государственных информационных систем на примере построения СОБИ АИС «Налог-3» поднял Сергей Акимов, советник генерального директора компании «Элвис-Плюс». Основополагающей целью создания системы обеспечения безопасности информации (СОБИ) является предотвращение или минимизация ущерба, который может быть нанесен человеку, органам государственной власти, государству посредством деструктивного воздействия на информацию, ее носители и технологические процессы обработки, отметил спикер.

По его мнению, только комплексное решение вопросов обеспечения безопасности с проведением всестороннего анализа бизнес-процессов, соответствующих им информационных ресурсов, существующего в организации материально-технического и кадрового обеспечения позволит принять оптимальное решение и достичь требуемого уровня безопасности информации. В своем докладе эксперт дал характеристику информационным системам, перечислил преимущества и недостатки АИС «Налог-3». «Не следует забывать о том, что безопасность – это длительный, замкнутый процесс, который переходит в построение архитектуры информационной безопасности в рамках постоянного аудита», – напомнил докладчик. Он также указал на апостериорную защиту информации как способ выполнения требований с минимальными финансовыми затратами.

Советник генерального директора компании «Региональный аттестационный центр «ПромЭксперт» Виктор Швед посвятил свою речь методике управления безопасностью информации в государственных информационных системах (ГИС). Методика оценки эффективности защиты информации в органах власти или в организациях позволяет сформировать наиболее эффективную оценку степени соответствия, уверен эксперт. По его словам, анализ состояния – это первый шаг на пути к управлению информационной безопасностью.

В рамках заявленной темы Александр Баранов (Академия криптографии России) рассказал о частных пространствах доверия и перспективах единства. Единое пространство доверия подразделяется на частные пространства доверия, которые используют усиленную, полуквалифицированную или простую подпись. Эксперт обратил внимание на проблему большого количества удостоверяющих центров в России – более 200, из которых порядка 10 недоступны при пиковой нагрузке. Стремление к тому, чтобы сделать бизнес УЦ более доступным, привело к созданию тенденции, вредной для единого пространства доверия, отметил эксперт. В своей речи он призвал законодательные органы власти при разработке соответствующего законопроекта учитывать мнения и пожелания участников рынка. Он также указал на проблему дезинтеграции частных пространств доверия, которая сложилась в последнее время. По мнению Баранова, характер и организация юридической ответственности очень важна для формирования ЕПД.

Исполнительный директор Ассоциации электронных торговых площадок Илия Димитров поднял проблемы трансграничности в части электронных счетов-фактур. Внедрение электронных инвойсов является основной задачей, необходимой для развития трансграничности, отметил эксперт.

Заместитель директора фонда «Центр инноваций и информационных технологий» Ким Малов осветил тему электронной подписи с точки зрения нотариальной деятельности. Как рассказал эксперт, единая информационная система нотариата России создана с целью обеспечения надлежащего уровня защиты. Спикер подробно остановился на теме работы со Сбербанком России по части использования электронной подписи в случаях оформления наследственных дел, которая была начата 30 августа 2011 года. Суть работы заключается в том, что в Сбербанк направляются запросы граждан о розыске вкладов умерших в электронном виде и с электронной подписью нотариуса. Ответ от сотрудника Сбербанка с электронной подписью поступает обратно к нотариусу, который затем производит расчет наследственной массы. По словам Малова, электронное взаимодействие Федеральной нотариальной палаты и Сбербанка России позволяет сэкономить время и деньги клиентов. Кроме этого информационная система нотариата России использует дистанционный выпуск сертификатов ключей проверки электронных подписей Удостоверяющего центра ведомства, который был открыт в 2010 году. По данным эксперта, за время работы Удостоверяющего центра было создано 18069 сертификатов, из которых действующими в настоящее время являются 9601 сертификат.

Старший научный сотрудник ФГУП НИИ «Восход» Александр Буравцов поделился опытом эксплуатации головного Удостоверяющего центра (УЦ) и выявил проблемы, существующие в отрасли. Он рассказал об условной структуре УЦ, назвал преимущества и недостатки текущей структуры аккредитованных УЦ. Спикер предложил переход на иерархическую модель подчинения, что поможет устранить возникшие недостатки и организовать контроль за аккредитованными УЦ. Также в своем докладе Александр Буравцов поднял вопрос легитимности использования закрытого ключа после истечения срока его действия, предложив в качестве решения нормативное закрепление обязательного использования и проверки OID 2.5.29.16 в квалифицированных сертификатах электронной подписи.

Евгений Макаров, главный специалист ФГУП НИИ «Восход», осветил вопросы функционирования и ознакомил аудиторию с перспективами развития сервисов Головного удостоверяющего центра (ГУЦ). По мнению эксперта, для успешного функционирования ГУЦ в условиях возросших требований необходимо решить проблему повышения отказоустойчивости в эксплуатации ГУЦ. Он предложил два варианта решения проблемы – разработка новых стандартов эксплуатации ГУЦ либо модернизация уже существующих.

Своим опытом разбора конфликтных ситуаций с электронной подписью поделился Дмитрий Левиев, эксперт Академии информационных систем, председатель совета НП ПСИБ. Он рассказал о различных договорных оговорках квалифицированной электронной подписи и о проблемах, возникающих при сертификации средств ЭП. Несмотря на требования соответствия сертификата ЭП Федеральному законодательству, вопрос контейнера и формата ЭП до сих пор не решен, отметил эксперт. Также он рассмотрел такие проблемы как: ответственность сторон перед уязвимостью неквалифицированной ЭП, формат ЭП – электронные подписи сторон, проведение экспертизы достоверности ЭП.

Обзор основных направлений развития и взаимодействия технологических решений в сферах аутентификации, электронной подписи и сервисов доверенной третьей стороны (ДТС) подготовил Владимир Комисаренко, член совета директоров Ассоциации «РусКрипто».

«Мы находимся в такой ситуации, когда рынок идет впереди регулятора. Рынок имеет решения, технологии и представления о том, куда, в каком направлении и каким образом двигаться. Проблема в том, что существуют разные сегменты этого рынка, и у каждого есть свой локальный интерес. Поэтому регулятор и законодатели должны обеспечивать развитие этого рынка», – подчеркнул эксперт. Он предложил на базе конференции разработать стратегию от бизнеса, которая прописала бы видение того, как должен выглядеть данный рынок.

Директор по научной работе ООО «КриптоПро» Владимир Попов обозначил направления работ по внедрению стандартов криптографической защиты данных 2012 года в системы PKI. По словам эксперта, вопросы, освещенные на конференции, связаны с единым пространством доверия, стандартизацией и внедрением стандартов в существующие системы на фоне смены криптографических алгоритмов.

Особое место во внедрении стандартов 2012 года занимают протоколы усовершенствованной подписи CAdES, TSP, OCSP, отметил спикер. Как считает Владимир Попов, внедрение данных протоколов связано с обеспечением требований Федерального Закона «Об электронной подписи» в части определения требований в квалифицированной подписи. «С другой стороны, – отмечает эксперт, – данные протоколы лишь определяют правила действий с электронной подписью в составе документа, отвечающей требованиям рекомендаций Х.509. А именно данное положение определяет значимость и актуальность протоколов CAdES, TSP, OCSP».

Кибермошенничество и борьба с ним

Результатам противодействия управлением «К» МВД России мошенничеству в системах ДБО был посвящен доклад сотрудника БСТМ МВД России Евгения Михайлева. В своем выступлении он обрисовал образ преступного элемента, тенденции развития преступности и способы борьбы с кибермошенничеством. По данным эксперта, за период с 2012 по 2013 годы управлением было задержано несколько преступных групп, совершавших хищения со счетов юридических лиц. При этом средняя сумма хищения составила 400–600 тыс. рублей. Спикер подробно рассказал о наиболее громких киберпреступлениях, раскрытых Управлением «К» в 2012 году. Так, в марте 2012 года в Москве были задержаны участники преступной группы, занимавшиеся хищением средств со счетов физических лиц с использованием вредоносных программ (веб-инжектов) и замены по поддельным SIM-картам, «привязанным» к номерам мобильных телефонов. При этом владелец бот-сети находился в Краснодарском крае, «заливщик», который занимался хищением средств – в Петербурге, а группа обналичивания денежных средств («дропы») дислоцировалась в Москве. В июне в Краснодарском крае был задержан владелец ряда крупнейших бот-сетей на основе модификации «Carberp». Суммарное количество ботов в его сетях превышало 5,5 млн. Общее количество совершенных хищений еще поддается оценке.

По словам сотрудника БСТМ МВД России, источниками заражения могут быть как специализированные сайты для различных направлений деятельности, сайты СМИ, компьютеры, уже зараженные троянами-загрузчиками, целевые и массовые спам-рассылки с приложением вредоносных программ, а также рассылки в социальных сетях.

В числе основных проблем, которые мешают раскрытию киберпреступлений, представитель МВД назвал трансграничность преступлений; сведения, составляющие банковскую тайну; сокрытие информации банками для сохранения репутации.

«Клиент – наиболее уязвимое место банков перед кибермошенниками. Чем выше культура банковских клиентов, тем ниже число хищений. Поднять культуру пользования каждого клиента – задача общая, – сказал Евгений Михайлев в интервью Bankir.Ru. – Так как с 1 января в банках появляется ответственность, предусмотренная статьей 9 федерального закона о национальной платежной системе, то поднятие уровня и культуры пользователей будет возлагаться на плечи банков. Использование банками антифродовых технологий позволит уменьшить количество хищений денежных средств».

В продолжение темы кибермошенничества в сфере ДБО выступил эксперт Центра информационной безопасности ФСБ России Сергей Михайлов. Он рассказал о возможных каналах утечки данных, включая адаптеры передачи данных, локальную синхронизацию с мобильными устройствами, съемные носители информации, принтеры. По оценкам эксперта основными угрозами банковской безопасности является кардинг (продажа пластиковых карт и скиммеров), бот-сети и «автозаливы», ложные антивирусы, продажа поддельных документов для оформления кредита или пластиковой карты. Кроме продажи самих скиммеров с различными модулями дистанционной передачи данных кардеры также реализуют POS-терминалы, энкодеры и поддельные пластиковые карты.

В качестве примера эксперт привел случай, произошедший в июле 2013 года в Москве, когда был выявлен факт установки трех фальшивых банкоматов в аэропортах города и на Манежной площади. По словам Сергея Михайлова, злоумышленники причинили существенный ущерб как российским, так и иностранным держателям пластиковых карт. В случае с бот-сетями клиент банка лишается денежных средств, когда при обращении на страницу Интернет-банка модуль бота вводит изменения в структуру сайта, заменяя реквизиты или похищая логин и пароль клиента. Как отметил представитель ФСБ России, в последнее время акцент работы кардеров сменился с иностранных банков на отечественные. Для этого хакерами разрабатываются такие вредоносные программы, как «Carperb», «Citadel», «SpyEye». Схема противоправного процессинга действует давно как с российскими, так и с зарубежными банками, рассказал эксперт. Суть схемы заключается в том, что руководство преступной компании заключает с банком договор эквайринга, а затем использует предоставленные точки доступа для продажи противоправного контента. Резюмируя вышеизложенное, спикер отметил, что благодаря открытости и сплочению большинства хакерских сервисов в сети Интернет указанные противоправные схемы с каждым годом все больше усложняются и втягивают в себя сотни тысяч невинных жертв из числа пользователей Интернета. Он добавил, что уберечься от злоумышленников можно при соблюдении элементарных правил безопасности.

В рамках «круглого стола», посвященного теме отечественного ПО и кибербезопасности, выступили топ-менеджеры компании «РОСА» Владимир Рубанов и Аркадий Тагиев. Ими были рассмотрены вопросы обеспечения технологической независимости российских разработчиков ПО на примере операционных систем РОСА. «Важно иметь специалистов внутри страны, которые будут контролировать свободные международные компоненты ПО», – отметил генеральный директор «РОСА» Владимир Рубанов.

Безопасность облачных и мобильных вычислений

На тему развития отрасли информационных технологий в России глазами бизнес-сообщества выступил руководитель комитета по информационной безопасности Ассоциации предприятий компьютерных и информационных технологий (АП КИТ) Александр Соколов. Он рассказал о ключевых технологиях, которые будут задавать направление развития отрасли ИТ на много лет вперед – облачные вычисления, «большие данные», «Интернет вещей», цифровое производство, мобильность, кибербезопасность, а также дал определение понятиям «информация» и «защита информации».

Заведующий кафедрой «Информационная безопасность компьютерных систем» СПбГПУ Петр Зегжда и главный конструктор компании «НеоБИТ» Дмитрий Зегжда проанализировали современные тенденции развития методов и средств противоборства киберугрозам в сети Интернет. Спикерами были рассмотрены новые типы киберугроз для различных сегментов киберпространства, включая облачные вычисления, телекоммуникационное оборудование, персональные устройства, АСУ ТП, социальные сети, а также сформулированы задачи по противодействию этим угрозам. «Основная причина кибератак связана с недостатками информационных систем, которые во всей своей многогранности предоставляют нарушителям неограниченные возможности», – отметил профессор, добавив при этом, что «технологии виртуализации – мощнейшее средство защиты, которое позволяет перейти от понятия «защищенная система» к понятию «система с контролируемым поведением». Дмитрий Зегжда осветил тему состояния рынка облачных технологий, объем которого вырос на 20% в 2012 году. В числе основных рисков для «облаков» эксперт назвал гипервизоры и утечку конфиденциальных сведений в связи с ограничениями имеющихся облачных систем. По мнению спикера, метод агрессивного нападения является наиболее эффективным способом защиты. При этом он указал на апостериорную защиту как возможность получения полного контроля за происходящим.

Руководитель представительства компании Websense в России Мидхат Семирханов наглядно показал опасность социальных сетей с точки зрения открытости информации для конкурентной разведки. «В настоящий момент кража информации стала бизнесом практически легальным ввиду сложностей в наказуемости», – отметил он, добавив, что Россия – мировой лидер по производству продуктов для кражи информации, если говорить о хакерском инструменте BlackHole.

Об изменениях в сфере защиты прав субъектов персональных данных в России рассказала начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по ЮФО Елена Долакова. В своей речи она отметила необходимость реализации мер, направленных на выявление новых составов административных правонарушений. Для этого уполномоченный орган поддерживает тесное взаимодействие с операторами персональных данных, подчеркнула спикер. По ее словам, ведомством реализованы механизмы мониторинга операторов, на основе которых в 2012 году было проведено 874 проверки операторов. По результатам проверок было вынесено 1340 предписаний, что на 40% ниже показателей 2011 года. По оценке эксперта, типичные нарушения работы операторов персональных данных коснулись несоответствия требованиям конфиденциальности, несоблюдения условий для хранения персональных данных, предоставления неполных или недостоверных сведений в регулирующий орган.

Алексей Лукацкий, бизнес-консультант Cisco Systems, посвятил еще значительное время теме безопасности облачных вычислений. «Безопасность в облаках складывается из трех основных составляющих – конфиденциальность, целостность и доступность. Можно ли обеспечить доступность инфраструктуры облачного провайдера или его клиента в условиях нестабильно работающей связи даже в региональных центрах? Вопрос, конечно же, риторический. Но конфиденциальности-то достичь, наверное, можно? И вновь ответ будет не столько очевидным как по объективным, так и по субъективным причинам. После истории со Сноуденом вопрос доверия к публичным, тем более зарубежным «облакам», стоит достаточно остро. И это только одна, независящая от нас проблема. А еще и вторая. По статистике свыше 80% компаний не шифруют данные, передаваемые в «облако». О какой конфиденциальности в этом случае можно говорить? Вот и получается, что безопасность облачных вычислений – задача недостижимая. Правда, это не значит, что облаками не надо заниматься», – сказал Алексей Лукацкий.

Угрозы информационной безопасности со стороны потребительских устройств, имеющих доступ к сети Интернет, – тема доклада руководителя проектов компании «НеоБИТ» Дмитрия Москвина. Он рассказал о функциональных возможностях современных бытовых устройств и угрозах безопасности, которые они могут представлять. «Хотя вопрос безопасности потребительских устройств еще не столь актуален, но с каждым годом он будет только возрастать», – уверен эксперт. В последнее время диапазон сетевых устройств расширился и включает в себя не только компьютеры, но и «умные» фотоаппараты, пылесосы, холодильники, телевизоры. Даже тостеры и рисоварки могут содержать вредоносное ПО, отметил Дмитрий Москвин, добавив, что каждое из этих устройств представляет собой некий компьютер, набор возможностей которого даже шире, чем у обычного персонального компьютера. Различные датчики, установленные на данных устройствах, могут представлять большой интерес для злоумышленников, пояснил эксперт.