О том, зачем нам нужна национальная мобильная платформа, читайте в интервью с членами АРСИБ.
Оригинал был опубликован на сайте издания PC Week/RE. Автор — член Ассоциации руководителей служб информационной безопасности, к.т.н. Николай Носов.
Кибервойна разгорается. Последняя неделя июля привлекла внимание СМИ к вопросам взлома информационных систем на государственном уровне. 22 июля WikiLeaks выложила в открытый доступ более 19 тыс. электронных писем Национального комитета Демократической партии США. Кандидат в президенты США Хилари Клинтон обвинила российские спецслужбы в этом взломе, а в АНБ заявили, что для получения доказательной базы их участия проведет расследование, в том числе используя взлом атаковавших серверы ресурсов.
Пресс-секретарь президента России Дмитрий Песков заявил, что утверждения о причастности России к взлому почты Демократической партии США — абсурд. А пресс-служба ФСБ России 30 июля отметила, что атакам подвергаются и российские государственные органы: «...Выявлены факты внедрения вредоносного программного обеспечения, предназначенного для кибершпионажа, в компьютерные сети порядка 20 организаций, расположенных на территории России... Заражению подверглись информационные ресурсы органов государственной власти и управления, научных и военных учреждений, предприятий оборонно-промышленного комплекса и иные объекты критически важной инфраструктуры страны». В том же сообщении указывается, что уязвимыми являются и мобильные устройства.
На конференциях Russian Enterprise Mobility Summit 2015 и ROSS`2016 неоднократно подчеркивалась важность обеспечения безопасности мобильных платформ предприятий и необходимость создания своей национальной мобильной платформы. Чтобы понять, что делается сейчас в стране в этом направлении, мы попросили ответить на наши вопросы Виктора Минина, председателя Правления Ассоциации руководителей служб информационной безопасности (АРСИБ) и Александра Першина, автора получившей признание у экспертов по ИБ монографии «Безопасность мобильных технологий в корпоративном секторе. Общие рекомендации» и статьи «Национальная мобильная платформа: цели и компоненты».
PC Week: Вы неоднократно выступали с предложением о создании национальной мобильной платформы. Каковы цели ее создания?
Александр Першин: Национальная мобильная платформа (НМП) необходима для предотвращения, в том числе и на государственном уровне, вызовов и угроз, обусловленных использованием мобильных устройств и технологий. При этом главная задача заключается в обеспечении информационной безопасности при хранении и передаче критически важных данных и голосовой связи по беспроводным каналам, что требует разработки и внедрения доверенных мобильных устройств, программного обеспечения и инфраструктуры, а также реализации программы импортозамещения в области мобильных технологий.
PC Week: А что, собственно, вы подразумеваете под термином НМП?
A. П. «Национальная мобильная платформа» — это совокупность доверенных технических средств, организационно-распорядительных мероприятий, стандартов, протоколов, способов и методов, обеспечивающих беспроводную передачу голоса и данных от абонента до абонента или от абонента до корпоративной информационной системы. И все это с учетом активного развития инфокоммункационных технологий и наличия в них межмашинного взаимодействия, которое требует более пристального внимания. Ну и безусловно подготовленного и обученного персонала обеспечения. Следует отметить, что базовые подходы и методы обеспечения безопасности мобильных технологий в органах государственного управления и в корпоративном секторе во многом совпадают. Ключевое отличие состоит в том, что использование НМП должно быть обязательным в госорганах при наличии у них критически важных данных, требующих применения доверенных мобильных технологий. А в корпоративном секторе ее можно использовать по желанию или по необходимости, при наличии критически важных данных.
PC Week: Но в США нет никакой национальной мобильной платформы. И как-то обходятся...
Виктор Минин: Последние события наглядно показывают, что и у США есть проблемы с защитой информации на государственном уровне. Мобильные технологии, как и Интернет, могут использоваться в качестве инструмента для совершения разного рода противоправных действий, в том числе подготовки и осуществления террористических актов, деятельности иностранных спецслужб, несанкционированного доступа к персональным или критически важным корпоративным данным, подмены/блокировки данных ключевых систем информационной инфраструктуры (КСИИ) и пр. Все это по отдельности или в сочетании при определенных условиях может представлять серьезную угрозу национальной безопасности.
Но США национальная мобильная платформа в принципе не нужна, так как значительная часть аппаратного и программного обеспечения разработана американскими специалистами или ближайшими союзниками США. Кроме того, АНБ США может контролировать практически весь глобальный мобильный трафик. Страны ЕС создать такую платформу либо не в состоянии, либо для них в этом нет необходимости по тем же причинам.
Некоторые другие страны (например, страны БРИКС или ЕврАзЭС), вероятно, хотели бы иметь свою национальную мобильную платформу, но ее разработка сопряжена со значительными трудностями. Причина в том, что развитую криптографическую науку, современные криптографические алгоритмы и реализующие их средства в состоянии создавать, развивать и внедрять очень немногие страны в мире, в первую очередь — Россия и США, в меньшей степени — Индия, Канада, Япония и ряд других.
А. П.: Сегодня мобильными технологиями пользуются практически все: дети и подростки, пенсионеры, госслужащие, криминалитет, сотрудники частных компаний, представители силовых ведомств и правоохранительных органов, работники оборонного комплекса и т. д. Активно развивается и межмашинное взаимодействие. При этом практически все понимают, что доверять распространенным в настоящее время мобильным технологиям в полной мере нельзя.
Автор широко известной книги «Седьмое чувство» Джошуа Купер Рамо выделил девять доминирующих на разных рынках глобальных технологических платформ (Google Chrome, Microsoft Office, Facebook и пр. — все американского происхождения), которыми сегодня пользуется более одного миллиарда человек, и резонно утверждает, что в сетевую эпоху победитель часто получает все. Это применимо и к области мобильных технологий, в силу чего создание собственной национальной мобильной платформы становится все более актуальной задачей.
PC Week: Что должно входить в состав НМП?
А. П.: Речь как минимум идет о создании ряда компонентов: базового руководящего или иного нормативного документа, определяющего требования и профили безопасности доверенных мобильных платформ; доверенной аппаратной платформы (полностью отечественной или частично зарубежной сборки) с использованием российских комплектующих (в первую очередь — микропроцессоров) и обязательной военной приемкой; доверенной мобильной ОС, включающей встроенные или сторонние отечественные средства защиты информации от несанкционированного доступа и криптографические средства защиты информации (на уровне ядра ОС); доверенных мобильных приложений; доверенных систем управления, контроля и обеспечения безопасности собственной разработки; доверенных хранилищ, находящихся на территории Российской Федерации, а также способов распространения приложений и обновлений для них и ОС.
При этом все или некоторые из перечисленных компонентов должны быть сертифицированы по отдельности или в комплексе (как автоматизированная система), кроме того, должен быть разработан регламент использования мобильных платформ в государственных, муниципальных и иных учреждениях, утвержденный регулятором и обязательный к исполнению. Он может уточняться и дополняться регуляторами в зависимости от направлений деятельности.
PC Week: Понимают ли важность проблемы наши законодатели?
А. П.: Вопрос создания национальной мобильной платформы поднимался 20 апреля 2016 г. в Государственной Думе Российской Федерации на заседании круглого стола на тему: «Комплексное решение проблемы цифрового неравенства: устранение причин и следствий». Заместитель председателя Госдумы Сергей Железняк счел эту идею интересной, но заметил, что если все упирается в финансирование, то с этим сейчас все очень непросто.
PC Week: Денег всегда не хватает. А как вы представляете решение этой проблемы?
А. П.: Частично финансирование может осуществляться за счет инвестиций компаний, вовлеченных в соответствующую программу. Кроме того, после ввода НМП в эксплуатацию можно ожидать возврата инвестиций за счет продажи и поддержки обязательных к использованию доверенных устройств и ПО, систем управления, контроля и обеспечения безопасности, хранилищ приложений и обновлений, а также других компонентов и инфраструктуры.
PC Week: Что уже делается в этом направлении?
А. П.: В мае нынешнего года было объявлено о начале работ по созданию отечественной мобильной операционной системы. Заниматься ее разработкой будет компания «Открытая мобильная платформа» (ОМП), офис которой находится в Иннополисе (Республика Татарстан). ОМП планирует нанять дополнительных сотрудников для работы в проекте. При этом, как говорится в официальном сообщении, основной задачей продукта является «успешная конкуренция с операционной системой Android на рынке бюджетных мобильных устройств».
Как следует из недавней публикации «Коммерсанта», есть договоренность о создании трех версий смартфонов на разрабатываемой ОМП версии мобильной ОС Sailfish и до конца года в продажу на российском рынке должны поступить устройства от Oysters и Jolla под управлением Sailfish Mobile OS RUS, а также промышленный смартфон «Ермак ОМП» для корпоративных пользователей и госсектора. Данные реестра отечественного программного обеспечения Минкомсвязи также говорят о том, что ОМП подала заявку на включение мобильной операционной системы Sailfish Mobile OS RUS в реестр.
PC Week: Почему ставка сделана на мобильную ОС Sailfish, а не на платформу Tizen?
А. П.: Судя по публикациям в СМИ, платформа Tizen тоже рассматривалась в качестве возможной основы НМП. Но выбор в пользу ОС Sailfish, явного аутсайдера на рынке мобильных технологий, действительно вызывает много вопросов.
PC Week: Южнокорейская разработка или финская — не все ли равно? Какие есть преимущества у ОС Tizen?
А. П.: ОС Tizen уже хорошо известна на рынке. Создана Tizen Association, в которую входят многие крупные российские и зарубежные ИТ-компании, что открывает широкие возможности для разработки приложений. А российская ассоциация «Тайзен.ру» представила российскую версию ОС Tizen для мобильных устройств и Интернета вещей, и на ее базе работает смартфон Samsung Z3.
Вообще говоря, ОС Tizen представляет собой своего рода конструктор, из которого можно создать сборку, в максимальной степени соответствующую российским требованиям, включая требования по обеспечению безопасности. При этом на операционную систему Samsung Tizen 2.x выдан сертификат ФСТЭК России № 3441, удостоверяющий ее соответствие требованиям по 4-му уровню контроля отсутствия недекларированных возможностей (НДВ) и наличие в ней встроенных средств защиты от несанкционированного доступа (НСД) к информации. Этот факт уже красноречиво говорит о качестве, функциях обеспечения безопасности и степени открытости исходного кода ОС Tizen.
PC Week: Что есть на сегодняшний день, понятно. А что предстоит сделать?
В. М.: Есть еще много вопросов, которые нужно прояснить. Создание национальной мобильной платформы предполагает не только разработку доверенных аппаратных и программных составляющих, но и организационно-распорядительной базы, которая затронет широкий слой пользователей мобильных устройств и особенно важна для корпоративного сектора и органов государственного управления. Собственно с нее и создания технологической базы НМП следовало бы начинать, причем с привлечением к обсуждению задач широкого круга специалистов. АРСИБ готова представить свои предложения.
