Вызовы в сфере информационной безопасности: оценка актуальности угроз

Кто определяет политику в области обеспечения информационной безопасности в России

Много лет политику в области информационной безопасности формировало Федеральное агентство правительственной связи и информации (ФАПСИ), созданное в начале 90-х по аналогии с американским Агентством национальной безопасности. ФАПСИ было расформировано в 2003 году, часть подразделений превратились в Службу специальной связи и информации при Федеральной службе охраны (ФСО), а часть (два главных управления – Главное управление безопасности связи – ГУБС и Главное управление радиоэлектронной разведки на сетях связи - ГУРРСС) переданы в состав ФСБ. В частности, основной документ в области информационной безопасности – Доктрина информационной безопасности, принятая в сентябре 2000 года, готовилась в Комитете ГД по безопасности в сотрудничестве с Управлением информационной безопасности Совбеза, причем эту тему и тогда, и сейчас курирует Владислав Шерстюк, помощник секретаря Совбеза. В 1998-1999 гг. Владислав Шерстюк был директором ФАПСИ, а в 1995-1998 гг. он возглавлял в агентстве ГУРРСС (Главное управление радиоэлектронной разведки на сетях связи).

Кстати, Владислав Шерстюк также является директором института проблем информационной безопасности Московского государственного университета им. М. В. Ломоносова, то есть курирует и исследовательский подход к этой теме.

На практике за борьбу с кибертерроризмом в России отвечают два подразделения, оба внутри ФСБ: Центр информационной безопасности и Центр безопасности связи.

Первый центр был создан на базе Управления компьютерной и информационной безопасности, и отвечает за защиту веб-сайтов властных структур и борьбу с хакерами. Хотя управление было сформировано лишь в 1998 году, оно получилось вполне в советском духе - со шпионским уклоном. Мало того, что управление создали внутри Департамента контрразведки; его первым руководителем был назначен Борис Мирошников, контрразведчик до мозга костей, принимавший активное участие в разработке английского шпиона Платона Обухова. Второй центр – Центр безопасности связи - это бывшее Главное управление безопасности связи ФАПСИ.

Как приоритеты в списке угроз зависят от интересов спецслужб

Как в разработке законодательной базы, так и в ее применении на первых позициях находятся выходцы из ФАПСИ. При этом отметим, что деятельность ФАПСИ в том числе заключалась в:

В результате государственная политика в определении приоритетов в области информационной безопасности формировалась и формируется сегодня исходя из этих двух качеств.

Между тем, рынок независимых от государства криптографических средств в стране создавался одновременно с развитием самого ФАПСИ. И ФАПСИ, исходя из логики, что только агентство в состоянии определить, что обеспечивает безопасность, а что нет, вложило большие ресурсы в стремление контролировать рынок средств защиты в этой области.

Исчерпывающе позицию ФАПСИ по этому поводу выразил еще в 1996 году на слушаниях в Государственной Думе заместитель генерального директора агентства Владимир Маркоменко:

- Не секрет, что спецслужбы США постоянно предпринимают усилия по добыче сведений об информационно-телекоммуникационных комплексах других стран, в том числе и России... Аналогичная угроза для национальной безопасности и суверенитета России возникает и из-за того, что в ряде российских министерств и ведомств, в кредитно-финансовой сфере продолжают создаваться информационно-телекоммуникационные системы, в том числе с доступом к международным информационным и телекоммуникационным ресурсам, на базе несовместимых зарубежных информационных технологий и без надлежащей комплексной проработки вопросов обеспечения информационной безопасности.

Эта позиция привела к экспансии ФАПСИ на рынок криптографических средств и средств защиты информации. В 90-е годы, напомню, имела место даже борьба двух ведомств за контроль над этой областью – сферы влияния делили ФАПСИ и Гостехкомиссия, ныне Федеральная служба по техническому и экспортному контролю (ФСТЭК). Был период, когда ФАПСИ с помощью лицензирования добилось почти монополии на рынке отечественных средств криптографической защиты – ее флагманами были два аффилированных с агентством предприятия: МОПНИЭИ и НТЦ Атлас.

Кроме того, ФАПСИ делала попытки поставить под контроль и те рынки, которые не имели прямого отношения к защите информации, но были связаны с коммуникациями. Например, ФАПСИ пыталась выпускать собственные интеллектуальные карты для платежных систем, и даже выйти на рынок предоставления доступа в Интернет с собственным сетью – так называемоей защищенной сетью «Деловая сеть России» и проч.

Эта активная и многосторонняя деятельность на коммерческих рынках неизбежно повлияла на понимание того, какими видели в спецслужбах угрозы для информационной безопасности.

Вот как понимали угрозу в ФАПСИ.

Цитата:

- Если говорить коротко, информационное оружие - это арсенал средств несанкционированного доступа к информации и выведения из строя электронных систем управления. / Это слова бывшего директора ФАПСИ Александра Старовойтова. /

Определение угрозы как по преимуществу опасности проникновения в систему является, прежде всего, инерцией со времен Холодной войны – допущением, что угрозу может представлять только такой же сильный противник, как и спецслужба, которая от этого противника должна охранять.

Таким образом, в 90-е годы информационная безопасность воспринималась как борьба между двумя равновеликими и действующими одними методами спецслужбами – например, ФАПСИ и АНБ США. А поскольку эти ведомства создавались как разведывательные агентства, и их главная задача - не поломать, а украсть информацию, то главной угрозой информационной безопасности считался (и считается до сих пор) взлом и проникновение.

Мнение, что злоумышленники (причем скорее всего из враждебной разведки) будут прежде всего пытаться проникнуть в систему, распространилось и в ведомствах, которые непосредственно отвечают за защиту от кибертерроризма. Возможно, так случилось по той причине, что, как уже сказано выше, Центр по информационной безопасности ФСБ долгое время возглавлял контрразведчик. Кроме того, активная деятельность спецслужб (в данном случае ФАПСИ) на коммерческом рынке средств защиты информации привела к тому, что все решили: лучший способ защиты от угрозы – это создать как можно больше средств защиты, внедрить их как можно шире, и так будет обеспечена безопасность. Осталось только вкладывать средства.

Террористическая угроза

При этом считалось (и считается до сих пор), что террористы должны действовать по аналогии с радиоэлектронными разведками – то есть тоже взламывать и проникать.

В частности, в принятой в сентябре 2000 года Доктрине информационной безопасности России рассматривается только один вид потенциальной угрозы от террористов - получение ими «несанкционированного доступа… к информации международных правоохранительных организаций, ведущих борьбу с транснациональной организованной преступностью, международным терроризмом, распространением наркотиков». После 11 сентября противник сменился – американскую разведку заменили на террористов, но тип угрозы остался прежним – взлом и проникновение.

В частности, все тот же миф эксплуатируется в подписанном в мае 2004 года Владимиром Путиным указе «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена». Этот указ запрещает государственным органам пользоваться Интернетом без средств защиты и регламентирует, какие спецслужбы должны за это отвечать. Как утверждала в специальном пресс-релизе пресс-служба президента, указ направлен главным образом на обеспечение защиты российского сегмента сети Интернет, в первую очередь - сетевых ресурсов государственных органов, от внешних угроз несанкционированного воздействия. При этом «речь идет, в первую очередь, о предотвращении возможных попыток компьютерного «взлома» и получения контроля над сетевыми ресурсами органов власти России с террористическим умыслом».

То есть и здесь террористы упоминаются исключительно в роли хакеров, строящих планы проникнуть в секретные сети.

Безусловно, такой подход полностью устраивал индустрию средств компьютерной безопасности, поскольку гарантировал сохранение общего вектора – закупок средств защиты.

Строим оборону от призраков

Нам настойчиво внушают, что кибер-терроризм - оружие, сравнимое с ядерным, биологическим и химическим. Это оценки директора Центра исследования компьютерной преступности Владимира Голубева, озвученные на конференции в Сеуле «Информационные войны» в ноябре 2005 года. Цифры, которые нам демонстрируют, тоже поражают воображение: например, отчитываясь за 2005 год, Николай Патрушев сообщил, что сотрудники ФСБ отразили более миллиона компьютерных атак на информационные ресурсы федеральных органов госвласти, в том числе более 170 тыс. - на сайт президента РФ.

Между тем уж эта-то опасность от террористов грозит нам меньше всего. Тому есть несколько причин:

Вот мнение Адама Долника, директора Исследовательских программ Centre for Transnational Crime Prevention, Faculty of Law University of Wollongong (Australia):

- Я думаю, что угроза кибер-терроризма немного преувеличена, исходя из перспективы традиционных террористических групп. В то время как пугающие сценарии для кибер-атак регулярно появлялись в СМИ все прошлое десятилетие, кибер-терроризм остается инструментом, более часто используемым преступниками и индивидуальными хакерами, которые любят проверять собственные навыки против различных систем безопасности. Даже если учитывать, что многие террористические группы показали, что их оперативные работники вполне ориентируются в информационных технологиях, используя их для связи и планирования, случаи кибер-саботажа фактическими террористическими группами чрезвычайно редки, возможно из-за невысокого уровня отдачи, связанного с косвенным способом атаки.

Одна из первых случаев кибер-терроризма была рассылка в 1988 году вируса в еврейский Университет в Иерусалиме, предположительно террористической группой. Самые существенные случаи, это август 1997 года, когда группировка "Интернет Черные тигры" (фракция тигров Тамил Илама) устроила "бомбардировку электронной почты", то есть засылку спама, на адреса посольств Шри-Ланки в Сеуле, в Вашингтоне и Оттаве. Последний инцидент - кибер-атака низкого уровня в 1999 году вебсайта НАТО, в котором хакеры из Белграда послали тысячи запросов на сайт, так что он перестал отвечать. В этом случае, однако, нападение никогда не связывалось ни с какой установленной террористической группой. Короче говоря, сами террористические группы находят, что компьютерные атаки немного "слишком скучны", но в то же самое время хакеры могут независимо от террористов нападать на различные участки по собственным идеологическим мотивам.

Остается добавить, что в России было всего две успешных попытки взлома сайтов со стороны чеченских террористов. 13 декабря 1999 года террористы, именущие себя "князьями тьмы" и "ангелами свободы", повредили страницу агентства ИТАР-ТАСС в Интернете. Они сообщили в электронном письме, что таким образом выражают протест против войны в Чечне и "убийства мирных чеченцев". 11 февраля 2000 года была атака хакеров на сайт РосБизнесКонсалтинга, когда посетители сайта могли вместо привычной главной страницы видеть текст, написанный от имени чеченских террористов и содержащий угрозы в адрес России и лично и.о. президента России. Текст провисел на сайте не более пяти минут.

Ассиметричная угроза от террористов и ассиметричный ответ от спецслужб

На самом деле оказалось, что Интернет террористам нужен для связи и пропаганды. Однако к отражению этих угроз российские спецслужбы оказались не готовы. Об этом свидетельствует многолетняя безуспешная война российских властей с сайтом «Кавказ-центр».

Долгие годы чиновники самого разного уровня ограничивались тем, что метали громы и молнии в отношении стран, предоставивших хостинг «Кавказ-центру». При этом никому не приходило в голову подумать, почему информация этого ресурса находит спрос. Борьба выглядела совершенно безнадежной и бессмысленной. В отсутствие качественной официальной информации журналисты продолжали пользоваться данными боевиков, поскольку иногда это была единственная возможность узнать хоть что-то, имеющее отношение к действительности.

Ситуация стала меняться весной 2002 года. В марте группа студентов-хакеров, назвавшая себя «Сибирской сетевой бригадой», взломала "Кавказ-Центр". На главной странице сайта появилось следующее объявление: «Мы вырвали жало из вонючей пасти "Гавгав-центра", и над логовом чеченских террористов повисла тишина. Захлебнулся лаем удугов. Замолчал в горах бандитский автомат. Не отправил чеченским наемникам деньги хитрый араб. Загрустил злой талиб в Афгане. Если завтра эту пасть заткнете вы, мир станет еще спокойнее и еще безопаснее».

Действия сибиряков вызвали неприкрытый энтузиазм в спецслужбах. Управление ФСБ Томской области выпустило специальный пресс-релиз с заявлением, что деятельность томских студентов не противоречит российскому законодательству. Как утверждалось в пресс-релизе, "действия томских программистов являются выражением их гражданской позиции, которая достойна уважения". Кстати, в первый раз "Сетевая бригада" студентов из Томска засветилась еще в августе 1999 года, когда на главной странице kavkaz.org была помещена картинка Лермонтова с автоматом. Тогда эта акция не получила широкого освещения. Но мартовская акция томских студентов, что называется, указала путь.

На следующий день после теракта в "Норд-Осте" пропагандистский сайт был вновь ненадолго взломан группой российских программистов. По некоторым данным, это была инициатива русских программистов, работающих в Калифорнии, которые просто направили письмо американской компании, где тогда хостился "Кавказ-центр", и тот был вырублен в течение 10 минут.

Однако более скоординированных акций пришлось ждать почти три года.

13 октября 2005 года в Нальчик атаковали отряды боевиков. 14 октября на сайте МИДа было опубликовано специальное заявление: «К сожалению, никаких конкретных шагов по прекращению вещания "Кавказ-центра" шведскими властями до сих пор предпринято не было. Такой подход, безусловно, не способствует укреплению контртеррористического взаимодействия, требующего максимальной сплоченности усилий международного сообщества».

В тот же день, 14 октября, российский Интернет-ресурс www.mediactivist.ru начал акцию против сайта "Кавказцентр", а также трех СМИ - "Эхо Москвы", «Новой газеты» и "Радио Свободы". Акция называлась "Заткнем рот "Кавказцентру" и пособникам террористов!".

16 октября был запущен еще один сайт - Internet Underground Community vs. Terrorism, владельцы которого стали использовать уже чисто хакерские методы. На сайте указано, что в свои ряды они принимают специалистов по организации сетевых атак. В манифесте сайта утверждается: "Мы всего лишь участники хак-сообщества самых разных специальностей, большинство из нас уже давно находится по ту сторону закона, но это не мешает нам быть патриотами, ратующими за мир во всем мире". При этом владельцы сайта, естественно, отвергают подозрения в связях с госорганами. Кроме того, в сентябре 2005 года свою первую атаку на "Кавказ-центр" осуществили активисты сайта «Гражданский антитеррор». На этом ресурсе существует раздел "способы атак", ведется хронология атак на чеченский сайт и т.п. Весной 2007 года стало известно, что российские спецслужбы продолжают испытывать интерес к подобному нетрадиционному способу борьбы с сайтами сепаратистов.

28 мая 2007 года программисту из Санкт-Петербурга Антону Москалю позвонил сотрудник Национального антитеррористического комитета (НАК) и спросил, не ему ли принадлежит сайт «Гражданский антитеррор», после чего чего затеял разговор о патриотизме и необходимости борьбы с сайтами террористов. Сотрудника НАК подвела компьютерная неграмотность – на сервере Москаля лежала лишь копия сайта «Гражданский антитеррор», которую Антон сделал для себя – ему хотелось выяснить, кто стоит за активистами-патриотами. Выяснив ошибку, сотрудник НАК не смутился, и попросил помочь контактами с настоящими владельцами сайта «Гражданский антитеррор». Мы проверили эту информацию, и выяснилось, что оставленный сотрудником НАК для связи телефонный номер действительно является телефоном Национального антитеррористического комитета, и к телефону подходит именно тот сотрудник, который и звонил программисту. / Источник: Новая газета 31.05.2007 А.Солдатов «Кибер-сюрприз» /.

Даже если оставить в стороне сомнительность применения хакерских атак как метода борьбы с сайтами террористов, очевидна неэфективность такого подхода – сайт «Кавказ-центр» продолжает действовать, а оппоненты российских властей получили возможность указывать на спецслужбы РФ как на виновников хакерских атак, что и было продемонстрировано во время скандальной серии взломов государственных сайтов Эстонии весной 2007 года.

Информационная безопасность – границы термина

Как не парадоксально, но едва ли не главной угрозой информационной безопасности является тот факт, что границы этого не определены.

Цитата

По мнению замдиректора ФАПСИ Владимир Маркоменко, концепция «информационной войны» предусматривает четыре составляющих:

1. подавление инфраструктуры систем обороны противника, его информационных и телекоммуникационных систем (радиоэлектронная борьба);

2. перехват информации, передаваемой по каналам связи (радиоэлектронная разведка), а также анализ открытых источников;

3. взлом информационных ресурсов противника,

4. борьба за общественное мнение путем распространения по информационным каналам противника или глобальным сетям информационного взаимодействия дезинформации или тенденциозной информации для воздействия на оценки, намерения и ориентацию населения и лиц, принимающих решения (психологическая война).

Последний пункт дает возможности для крайне широкого толкования. Это уже отразилось в нормативной базе России и СНГ.

Например, в июне 1999 года была принята концепция информационной безопасности государств СНГ, и в списке источников угроз этой безопасности первым пунктом названа «государственная политика ряда зарубежных стран, направленная на осуществление глобального мониторинга политических, экономических, военных, экологических и других процессов в целях получения односторонних преимуществ».

В декабре того же 1999 года была одобрена программа действий России и Беларуси по реализации положений договора о создании Союзного государства. В разделе о совместной деятельности спецслужб появился пункт: «Осуществляются мероприятия против негативного информационного воздействия на государственные органы, общественные организации и население Союзного государства, а также пресекаются любые попытки противоправной разведывательной деятельности специальных служб и организаций третьих стран…».

Таким образом, информационная безопасность была напрямую связана как с проблемами пропаганды, так и деятельности средств массовой информации. Напомню, что в «Доктрине информационной безопасности» есть не один, а целый блок пунктов, касающихся СМИ.

Например, в списке видов угроз информационной безопасности есть и такой:

Если буквально следовать приведенной формулировке, то запуск российской версии журнала Newsweek, например, тоже можно посчитать угрозой информационной безопасности РФ.

А в качестве задачи ставится:

Результаты этого подхода мы сегодня и наблюдаем по всем российским телеканалам.