Обеспечение кибербезопасности требует применения криптотехнологий

19 Декабря 2017
Человечество стоит на пороге четвертой технологической революции, когда на ведущие позиции выходят оснащенные современными цифровыми технологиями и наиболее автоматизированные компании, а руководят ими те люди, которые обладают навыками и знаниями, как все это «богатство» применить на практике. Это эпоха массовой компрометации данных и информационных войн, когда уже нет смысла задаваться вопросами: «Будут ли у меня похищены данные? Существует ли риск злонамеренных действий в отношение моего предприятия?» Ответы на них однозначные и утвердительные.

Стоит задуматься вот над чем: «Когда данные будут похищены? Когда злоумышленник посягнет на информационные активы компании? Каким образом это произойдет? Каковы будут последствия для меня, как для владельца бизнеса и для моих клиентов? Не станет ли этот инцидент причиной моего ухода с рынка?»

Не за горами то время, когда подавляющее число граждан изо всех сил будут пытаться защитить данные, тем или иным образом связанные с ними, и снизить (подчеркну «снизить», а не исключить) неблагоприятные последствия их хищения.

Повторим фразу, с которой статья была начата: человечество стоит на пороге четвертой технологической революции. Она должна привести к повсеместному внедрению таких технологий, как: интернет вещей, искусственный интеллект, виртуальные и облачные решения, 3D-печать, чипирование животных и людей, блокчейн и иные. Четвертая технологическая революция обладает огромным потенциалом для роста уровня жизни человечества, решения многих насущных проблем, однако, также допускает и появление новых проблемных вопросов. В первую очередь: как обеспечить безопасность всех этих новых технологий, огромных массивов данных и человека в целом? (вспомним видео, в котором созданный в США человекоподобный робот София рассказала о своих планах учиться, открыть бизнес, обзавестись домом, семьей и уничтожить человечество; или ролик о дронах-убийцах, оснащенных технологией распознавания лиц, обладающих искусственным интеллектом и начиненных взрывчаткой, который продемонстрировал глава Сбербанка Герман Греф). Нам нужно заранее думать о том, как обеспечить безопасность всех этих ультрасовременных технологий от злонамеренного вмешательства. Здесь на помощь должны прийти динамично развивающиеся криптотехнологии. В основе развития этих технологий должен лежать рост вычислительной сложности взлома криптоалгоритмов.

При этом ниша криптографической защиты в России развита на высоком уровне, но вот используют PKI-ориентированные решения далеко не все компании, а создатели продуктов шестого технологического уровня и вовсе забывают о кибербезопасности, аргументируя это тем, что они ждут, когда новая сфера будет урегулирована на государственном уровне. С чем это связано? В первую очередь с необходимостью дополнительных инвестиций в подобное развитие программного, программно-аппаратного обеспечения, информационной системы, отдельного предприятия. На практике же, если свести дебет с кредитом по результатам даже одного серьезного инцидента в области безопасности, получается, что выгода от внедрения средств автоматизации на предприятии в защищенном исполнении будет неоспорима.

Существующие на российском рынке криптотехнологии могут быть использованы для продуктов шестого технологического уклада, при этом многие из них уже опробованы на практике и обеспечивают стабильную и качественную реализацию возлагаемых на них задач.

Оказавшись на пороге шестого технологического уклада, пытаясь впрыгнуть в него, минуя пятый технологический уклад, Россия отстает от европейских стран и ей необходимо преодолеть это отставание по многим фронтам.

Выделить основные направления совершенствования нам помогла публикация «Совершить технологическую революцию своими силами России будет сложно» от 12 октября 2017г., размещенная на страницах интернета, на ресурсе «Взгляд. Деловая газета». Будем их цитировать и приводить свои комментарии. В этой статье эксперты Центра стратегических разработок Алексея Кудрина выделяют следующие основные направления, способствующие четвертой технологической революции в РФ:

1. «Главный вызов, который России надо преодолеть, чтобы перейти к четвертой промышленной революции, – обеспечить устойчивый рост уровня производительности труда». Да, безусловно: уровень потребления продуктов различных видов промышленности неуклонно растет, и для поддержания достойного уровня жизни населения необходимо повышать производительность и эффективность труда сотрудников предприятий. Достигается это, за счет цифровизации, автоматизации, интеграции всех или большинства производственных процессов. И, в первую очередь, это развитие должно затронуть электронный документооборот. По статистике на 2017 год человек проводит в среднем 10,3 года (40 часов в неделю с 20-65 лет) на рабочем месте и при этом 60% времени уходит на согласование различного рода документов, их правку, утверждение. А ведь электронные документы могут значительно снизить трудозатраты на все эти рутинные процессы, при этом можно обеспечить прозрачность для пользователей части реализуемых процессов. Автоматизация в этом направлении может быть реализована за счет интеграции криптографических функций в различные информационные системы, внедрение на предприятиях СЭД, ECM-, BPM-систем, реализующих технологии электронной подписи и шифрования. Одним из таких решений может стать внедрение криптографической платформы «Litoria Crypto Platform», разработанной компанией «Газинформсервис», главным отличием которой от конкурентных аналогов является соответствие не только требованиям российского законодательства, но и лучшим международным практикам. Ценность решения для заказчиков и разработчиков информационных систем, получаемая от внедрения этого решения, следующая:

Сокращение расходов на обмен документами (в том числе конфиденциальными), исключение случаев их хищения, утери, порчи.
Повышение оперативности процессов согласования и утверждения документов внутри компании, а также с партнерами и контрагентами (российскими и иностранными).
Сокращение текущих затрат на расходные материалы (бумага, краска для принтера), на аренду помещений (за счет создания электронных архивов).
Сокращение трудозатрат и повышение оперативности поиска необходимого документа, за счет создания электронного хранилища на рабочем месте пользователя и исключения складирование бумаги.
Решение может быть интегрировано со всеми информационными системами предприятия, создавая единую защищенную криптографическую экосистему для обеспечения нового уровня кибербезопасности.

2. «Второй вызов – это низкие затраты промышленных компаний на НИОКР, которые в 2015 году составляли всего 0,3% ВВП. Для сравнения: в Китае этот показатель был равен 1,54% ВВП, в США – 1,79% ВВП, в Японии – 2,72%». Отдельные коммерческие структуры инвестируют средства в исследовательские работы, проводимые на базах различных ВУЗов, НИИ, но как видно из статистики, их процент недостаточен. Здесь важна роль государственного аппарата, как некоего катализатора подобной активности. В какой форме это должно проявляться – вопрос: «метод кнута» или «метод пряника»? Среди компаний, активно инвестирующих в науку материальные и интеллектуальные активы, можно выделить ООО «Газинформсервис», которое проводит глубокие исследования в области кибербезопасности, практические результаты которых находят отражение в продуктах и решениях компании. Кроме того, компания является активным спонсором проведения различных мероприятий в ВУЗах, в рамках которых студентов направляют к развитию, участию в исследовательских и научных работах.

3. «Третья задача – надо повысить «сложность» экспорта и экономики России в целом». Решение этой задачи, в том числе неразрывно связано с переводом документов, сопровождающих процедуры экспорта и импорта, взаимодействия между партнерами в разных юрисдикциях, в электронную форму. При этом серьезным образом встаёт вопрос обеспечения совместимости криптостандартов различных государств. Ответ на данный вопрос должен включать техническую, организационную и нормативно-правовую составляющие. Технические решения под данную задачу существуют уже сегодня, например, программный комплекс «Службы доверенной третьей стороны «Litoria DVCS» разработки ООО «Газинформсервис», а вот нормативно-правовое обеспечение отстает.

Решение может быть использовано производителями программного обеспечения, разработчиками новых технологий, задачами которых являются создание технических условий для трансграничного электронного юридически значимого документооборота, поддержание юридической значимости электронных документов в процессе длительного архивного хранения на протяжении 15, 50, 75 и более лет, а также в случаях, когда входящий и исходящий поток электронных документов характеризуется значительными объемами, в связи с чем требуется автоматизация проверки действительности электронной подписи.

4. «Четвертая проблема – это критическое отставание России в части развития передовых технологий, лежащих в основе новой промышленной революции. Надо также сокращать разрыв в части зарегистрированных патентов в таких сферах, как робототехника, новые материалы, аддитивные технологии, индустриальный интернет и т. д.» Последние несколько лет сфера российских информационных технологий отмечена множеством новых разработок и идей. Промышленные гиганты «скупают» высококвалифицированных программистов, активные молодые люди создают новые современные компании, которые ведут работы по всем известным на мировом информационном рынке направлениям. И по некоторым направлениям мы опережаем наших иностранных коллег. Например, в пользу российских медицинских информационных систем отдельные зарубежные клиники отказываются от немецких разработок.

5. «Пятый вызов – это необходимость повышать темпы цифровизации и платформизации экономики. Потенциал российских цифровых платформ сосредоточен в основном в сфере ИКТ, электронной торговли, услуг и финансов. В науке, телемедицине и промышленности российские цифровые платформы отсутствуют». И вот к цифровизации мы подошли вплотную! Мы покупаем одежду, продукты питания через интернет уже на протяжении многих лет. Подготовка кадров постепенно переходит в сеть. В сентябре 2017 года стало известно о планах Министерства здравоохранения РФ перевести электронные карты пациентов в российских медицинских учреждениях в систему на базе технологий блокчейн. Появилась масса приложений телемедицины, в которых пациент может в режиме онлайн получить консультацию любого специалиста. Слухи о переходе на электронные больничные, электронные карточки пациентов, электронные рецепты имеют под собой реальные основания. Но, существующие решения в этой области в большинстве своем пока не реализуют функции кибербезопасности и в частности не применяют криптотехнологии. Среди основных причин разработчики называют следующие: «Мы ждем выхода всех подзаконных актов, обеспечивающих реализацию принятых поправок к ФЗ-323 и, в соответствии с ними, мы доработаем сервис в части электронной подписи, аутентификации и идентификации пациентов. Пока таких подзаконных актов нет. Электронные рецепты и больничные листы будет возможно выписывать через год и для этого процесса нужно очень много чего сделать именно государству. Мы ждем и адаптируем сервис к ним».

Здесь хочется отметить, что ООО «Газинформсервис» не ждет, а действует. Совместно с одним из разработчиков медицинской информационной системы компания разработала полностью защищенное решение для обмена электронными листами нетрудоспособности с Фондом социального страхования России. В основу решения легла платформа «Litoria Crypto Platform».

Техника - это здорово. Техника развивается, совершенствуется. Да вот только в России далеко не две проблемы. Можно выделить еще одну: развитие техники значительно опережает развитие нормы и права. В промышленную эксплуатацию запущены сервисы, обеспечивающие трансграничное электронное взаимодействие, в опытную – решения на базе блокчейн, пора готовить норму для искусственного интеллекта, интернета вещей, а у нас ее еще нет для продуктов четвертого технологического уклада. Техника есть, а вот ее использование ничем не подкреплено. Решить многие задачи мы можем, автоматизировав их, а вот регулироваться они будут исключительно внутренними документами. Соответственно государственные структуры из процесса технологического скачка исключаются? Ведь для них обязательными являются сертифицированные решения, а как их сертифицировать, если даже стандартов в этом направлении нет?

В завершение хотелось сказать пару слов о продуктах, применение которых может стать одним из шагов на пути к шестому технологическому укладу - линейка продуктов Litoria. Главная их особенность – корректная реализация всех существующих задач, связанных с криптографией: математика формирования электронной подписи, несомненно, охвачена многими стандартами и законами, а вот то, насколько правильно программное решение реализует инфраструктурные функции, а именно проверку действительного статуса сертификата ключа проверки электронной подписи и всех сопутствующих сертификатов, пока не регламентируется никакими нормативно-правовыми актами. Специалисты ООО «Газинформсервис» в разработке решения руководствовались лучшими практиками иностранных коллег (тестами PKI, разработанными Национальным институтом стандартов и технологий США – NIST). Базой линейки является криптографическая платформа «Litoria Crypto Platform», которая имеет множество интерфейсов для интеграции в различные информационные системы, а также REST-интерфейс, что позволяет выполнить встраивание криптотехнологий в работу предприятия быстро и просто.

Интегрируя криптотехнологии, реализованные в продуктах линейки Litoria, разработчики программного обеспечения, программно-аппаратных комплексов могут быть уверены в их качестве и корректности работы. А зачем изобретать велосипед, если он уже есть и отлично работает, зачем наступать на грабли, удар в лоб от которых получил не один разработчик инфраструктурных криптографических сервисов?

Человечество вступило в эпоху информационных войн, когда тот, кто обладает важными данными, находится «у руля». Информация, попадая в руки злоумышленника, становится оружием, бьющим на поражение. Работая над современными решениями шестого технологического уклада, нужно всегда помнить об обеспечении их кибербезопасности, а соответствующие криптотехнологии являются серьезным подспорьем в решении данной задачи.

Авторы статьи:
Погребной Александр Олегович, заместитель генерального директора ООО «Газинформсервис»,
Станкевич Татьяна Леонидовна, менеджер по продукту ООО «Газинформсервис», к.т.н.