Честно признаюсь — был в планах еще и репортаж с переднего, можно сказать, края киберобороны одной из самых мощных и знаменитых, и абсолютно жизненно важных «инфра». Там вопросы и ответы состыковать пока совсем не удалось. Может быть, удастся в недалеком будущем. Тогда мы узнаем еще чуть больше о том, чего толком не знает никто.
ОБГОНЯЕМ, НО ОТСТАЕМ
Заглянув в обзор, выпущенный немецким Федеральным департаментом информационной безопасности (BSI, Bundesamt fur Sicherheit in der Informationstechnik), я обнаружил там удивительную вещь — авторы утверждают, что по состоянию на 2002 год (обзор вышел в 2004 году) у многих из девятнадцати изученных ими стран нет национальной стратегии по информационной защите национальных же критических инфраструктур. В том числе — у Великобритании, Японии, Новой Зеландии, самой Германии, а также и у России.
Ященко: Если так, то авторы не владеют материалом. В России была принята самая первая в мире национальная доктрина обеспечения информационной безопасности (ИБ) — в сентябре 2000 года. Там отражен весь спектр угроз ИБ — от угроз критическим сетевым структурам до угроз в духовной сфере. После этого мы долго учили всех остальных, как это делать. А американцы родили свои стратегии гораздо позже.
История такова. Хартия построения информационного общества была подписана президентами G8 в июне 2000 года, и к этому времени была уже готова наша доктрина. А в июне 2001 года в МГУ прошла международная конференция по ИБ, в которой участвовали 45 стран. Я занимался ее организацией и могу рассказать о некоторых деталях. К нам приезжал тогдашний директор Центра Маршалла (Европейского центра исследований по вопросам безопасности им. Джорджа К. Маршалла, www.marshallcenter.org) подписывать договор с ректором МГУ о проведении этой конференции, в том числе на деньги Центра, а общий бюджет был порядка 1 млн. долларов. С марта по май мы трижды встречались с западными экспертами по ИБ, обсуждали программу и повестку дня. Одним из главных камней преткновения был сам термин «информационная безопасность». Закончилось это очень смешно — за месяц до конференции американцы поставили прямое и жесткое условие своего участия: чтобы в докладах ректора МГУ Виктора Садовничего и первого заместителя секретаря Совбеза Владислава Шерстюка (ныне директора нашего института) термин «информационная безопасность» не использовался. Мы были вынуждены заменить его на термин «информационнаяэтика». (Причины такой их позиции очень понятны, но не будем сейчас в это углубляться.) И только после 11 сентября 2001 года американцы поняли, что они не самые умные. Что у них многое не так, многое неправильно. После чего, в феврале-марте 2002 го, они по линии Совбеза пригласили нас сделать серию докладов на семинаре в Вашингтоне, по нашей доктрине ИБ. Ну а в марте 2003 года Буш подписал документы о национальной стратегии США по ИБ — три «Национальные стратегии»: защиты киберпространства, защиты информационных сетей высших органов власти и защиты критически важных объектов. Много взяли у нас, но выкинули всю гуманитарную составляющую — у нас в доктрине очень много места уделено вопросам культуры, создания единого образовательного пространства и т. п. Они все это выкинули и не понимают важности этих вещей до сих пор. События 9/11 на них, конечно, сильно подей твовали. Эти уроки изучаются до сих пор, и глубочайшим образом. Мы с Алексеем были в мае в Нью-Йорке, провели там пару семинаров в университете SUNY (State university of New York), послушали очень интересные доклады. Например, по заказу мэрии Нью-Йорка университет проводил исследование, и оказалось, что в ходе событий 9/11 выявилась масса нестыковок между базами данных ФБР, полиции, пожарных (аналог нашего МЧС). Пожарные получают сигнал от спецслужб: горит дом, надо кого то спасать, приезжают — нет такого адреса! Это — к вопросу о стратегии.
А у нас все это уже в идеальном состоянии?
Сальников, Ященко (в один голос): Нет! Конечно, нет. Но на политическом уровне наша стратегия была самой передовой. Потом уже мы отстали в реализации. Американцы нас обогнали, потому что выделили большие деньги на реализацию всех этих идей. Тем не менее в доктринальном смысле мы до сих пор впереди.
ОДИН НА ОДИН С ТРИАДОЙ
Все-таки в общей доктрине ИБ от 2000 года упоминается, если не ошибаюсь, только информационная инфраструктура — либо страны в целом, либо та, что связана с обороной или госуправлением. Акцента на критических инфраструктурах (ИС) в более широком понимании там нет. Вы ведь только что закончили в вашем институте исследование по ИБ критических ИС. Можно ли рассказать о результатах, о подходах к этой проблематике? Причем желательно как можно нагляднее — хотя я знаю, что вы больше занимались концептуальными вопросами, например, что считать «критическим», а что не считать. Да, необыкновенно важно формулировать стратегию, концепцию в этих вопросах. Но ведь всех волнуют более приземленные вещи. Вот метро, вот линия электропередач, вот железная дорога — кто всемуэтому угрожает из киберпространства? Чем это грозит? Как строится защита? Кто сражается с той и с другой стороны?. Какими средствами?
Я.: Вопрос только об информационной безопасности или о безопасности в целом?
В целом — но с упором на ИБ!
Я.: Если в целом, то этим занимаются у нас много и давно. Есть масса документов. Закрыты только технические детали, стратегия открыта. Хотя понятие «критически важные ИС» у нас стали употреблять в документах только три года назад.
У нас есть список критических объектов, угроз им?
Я.: Список есть. Секретный, естественно, на уровне конкретных предприятий. Но идеология понятна — туда входят опасные производства, военные системы управления. Транспорт, связь, финансы, здравоохранение, телемедицина…
С.: Это те структуры, информационное воздействие на которые может привести к гибели и травмированию людей.
От кого же надо все это защищать?
С.: Сейчас принято рассматривать триаду противников. Во первых — киберхулиганы. Это, как правило, одиночки или небольшие преступные группы. Типичная угроза от них — воруют номера банковских карт через Интернет. Следующий уровень — кибертерроризм. Здесь уже действуют организации, часто — распределенные, сетевые по структуре. Третий уровень задействует уже силы государства, — информационная война.
ß.: Вот в это лучше не углубляться, дело очень тонкое — даже Рафал Рогозинский, известный эксперт из Кембриджа, у нас на конференции недавно рассказывал, что с юридическими вопросами тут большие сложности (см. «КТ» #664. — Л.Л. М.).
Но понятие информвойны существует, и есть страны, которые могут владеть технологией такой войны. Причем их больше, чем стран, которые обладают ядерным оружием, потому что материальная база гораздо доступнее.
С.: Классический пример информвойны, о котором много пишут, но неизвестно, было это на самом деле или нет, — начало операции «Буря в пустыне». Якобы у Хусейна в этот момент процентов восемьдесят систем управления войсками вдруг отключились. Но с примерами сложно. Любая структура, тем более критически важная, всегда постарается как можно скорее закрыть любую информацию о попытке информатаки на нее.
Особенно если атака была успешной. Ибо это очень серьезный удар по имиджу. Поэтому найти достоверную информацию такого типа, боюсь, практически невозможно. Возьмите известную историю, когда половина западного побережья США вдруг лишилась электроэнергии. Сразу стало ясно — был какойто сбой информационного характера. Скорее всего, просто технический сбой. Но может быть — чье то воздействие. Кто это может определить по доступным публикациям? Никто. Данных нет.
Я.: Единственное, с чем сейчас все согласны, — ни в России, ни в мире пока не зафиксировано ни одного акта кибертерроризма. Но, кстати, не потому, как думает Рафал, что террористам неинтересен «символический эффект» таких атак! Мы с ним постоянно ведем дискуссии на семинарах и конференциях — он неправ, дело тут в другом. Но это уже отдельная тема.
Существуют у нас в стране хакерские группы, которые профессионально занимаются взломом сетей, добычей «чувствительной» информации? Разработкой программ для всего этого? Созданием вирусов, троянов?
Я.: Не забывайте — мы с вами находимся в Московском государственном университете! У нас исследуются научные проблемы ИБ. А такие вопросы — компетенция МВД, управления "К".
С.: Да, хакерские группы есть, и, как я понимаю, достаточно глубоко законспирированные. Мы с многими госструктурами дружим, конечно, в том числе и с МВД — но какие группы им известны, что там с ними происходит, управление "К" не говорит никому и никогда. Это их компетенция.
Это же все-таки бизнес, хоть и криминальный. Денежные потоки, видимо, можно отследить?