ВЗГЛЯД
Информация к размышлению
Говорят, что рациональность и разумность - главные принципы проведения государственной политики в любой сфере. Работает ли это утверждение в области развития российских информационных технологий?
Если посетить конференции по ИТ, послушать выступления видных госчиновников и топ-менеджеров, то можно прийти к выводу, что темпы развития ИТ в нашей стране даже опережают рост ВВП, ускоряющийся после каждого заседания правительства. Имеются, правда, отдельные трудности и недостатки, не портящие общего оптимистического настроя. Слабое финансирование федеральных программ типа "Электронной России" в госсекторе. Вялый рост числа индивидуальных Интернет-пользователей в качестве базиса для развития ИТ. Ну и наконец, некоторые осложнения из-за слегка запутанного и чуть-чуть излишне жесткого законодательства в сфере информационной безопасности (ИБ). Особенно в части, касающейся использования криптосредств.
Поскольку первые два фактора обсуждать, в общем, бессмысленно, остановимся на последнем. Ведь чтобы наилучшим образом построить законодательное регулирование в какой-то области, нужны не деньги, а технократический подход.
Контроль или развитие?
Основная проблема заключается в том, что федеральные ведомства, регулирующие правила игры в сфере ИБ (ФСБ, Гостехкомиссия, а ранее - и ФАПСИ), все время видели свою задачу лишь в обеспечении национальной безопасности, т. е. в регламентации и контроле, причем трактовали ее весьма расширительно. Применялся в целом единый подход к государственному и коммерческому секторам, хотя коммерческому и предоставлялись некоторые "поблажки". Но послабления в одних законодательных актах входили в противоречие с жесткими требованиями в других, и в итоге даже специалисты не всегда понимали, что можно, а что нельзя.
То есть для госсектора существует полная ясность: использование только сертифицированных средств защиты и обязательное лицензирование всего, что только возможно. Вполне естественно и не вызывает особых вопросов: государственные секреты надо уважать, даже ценой технологических неудобств.
Совсем не так для коммерческого сектора. Фактически совокупность законов, указов и постановлений для этого сегмента оказалась построена по принципу: "Казнить нельзя помиловать". Причем в интерпретации туманных мест федеральными надзирающими органами запятая, как правило, помещается после первого слова. Однако в условиях, когда гостайна отсутствует и информационные ресурсы принадлежат собственнику, навязывание исключительно сертифицированных средств с отечественными криптостандартами и усложнение самих условий эксплуатации средств защиты не только нерационально, но тормозит развитие и использование прогрессивных электронных технологий. Проще говоря, контроль в сфере ИБ в российском варианте заходит сегодня настолько далеко, что мешает развитию ИТ. Известно, что любая добродетель, доведенная до крайности, становится пороком. Нарушенный баланс в этом вопросе ставит Россию в невыгодное положение по отношению к другим технологически развитым странам.
"Славянофильский подход" и элементарная логика
Если Россия строит "нормальный" капитализм, то логично не ходить в очередной раз "самобытной национальной дорогой", а воспользоваться опытом в области ИБ других развитых стран. Такая позиция подразумевает существенное разграничение законодательства для государственного и коммерческого секторов, потому что признание права частной собственности на что-либо (в данном случае - на информационные ресурсы) при капитализме означает определенную свободу оперирования этой собственностью (и защиты ее в том числе).
Оставим в покое государственный сектор, где приоритет имеет национальная безопасность, и сосредоточимся на коммерческом, где разумно сделать акцент на обеспечении режима максимального благоприятствования для развития ИТ (ради общего процветания экономики). По этому пути идут США и передовые европейские страны. Зачем России двигаться в обход проселочной дорогой? Самобытность хороша в производстве туристических сувениров, а в сфере технологий, где идут интеграционные процессы, она оборачивается отставанием.
Рассмотрим наиболее характерные моменты, подтверждающие этот тезис.
Проблемы применения ЭЦП
Ряд иностранных государств в течение последнего десятилетия принял законы об электронной цифровой подписи (ЭЦП), на базе использования которой строятся многие электронные технологии. Чтобы понять их направленность, достаточно изучить соответствующие законы США и Германии. Основной целью ставилось создание либеральной юридической базы для широкого применения ЭЦП, причем никаких существенных ограничений на технологические аспекты проблемы не накладывалось. Российский Закон об ЭЦП, подписанный президентом 10.01.02, жестко регламентировал именно техническую сторону дела, прежде всего - применение в информационных сетях общего пользования (ИСОП) только сертифицированных средств ЭЦП (читай: отечественных криптоалгоритмов). Поразительно не то, что более чем за два года подготовки проекта закона никто из разработчиков не уделил должного внимания факту, что добросовестно сертифицируемое в течение длительного периода ФАПСИ соответствующее ПО разных производителей хотя и реализует один и тот же отечественный стандарт ЭЦП, но в общем случае несовместимо между собой. Поразительно другое - этот технологический казус не вызвал особого волнения и после принятия закона, хотя строить федеральную структуру удостоверяющих центров (УЦ) ЭЦП, не добившись предварительно унификации ПО, заведомо бессмысленно. Идет уже третий год действия Закона об ЭЦП, год как реорганизовано ФАПСИ, в результате административной реформы появилось Федеральное агентство по информационным технологиям (ФАИТ), ставшее уполномоченным федеральным органом в области использования ЭЦП, лицензирование удостоверяющих центров возложено на Федеральную службу по надзору в сфере связи (ФСНС), но окончательная совместимость ПО пока так и не достигнута, а единой федеральной сети УЦ все еще не существует. А когда эта сеть наконец заработает, цифровые сертификаты ЭЦП будут (в соответствии с законом) выдаваться только на национальном алгоритме ГОСТ, что приемлемо для госсектора, но технологически неудобно при использовании в коммерческих целях. При этом решение лежит на поверхности: надо, чтобы кроме отечественного алгоритма, обязательного к применению в госсекторе, федеральные УЦ поддерживали и распространенные международные алгоритмы ЭЦП, прежде всего RSA. Использование, таким образом, в коммерческих целях RSA, не имеющего проблем с совместимостью ПО от разных производителей, резко продвинуло бы применение ЭЦП в публичных сетях, причем не только внутри страны, но и на международном уровне.
Банковские клиентские системы
Практически все российские коммерческие банки во избежание недоразумений с существующим законодательством стараются использовать в своих электронных системах типа "банк - клиент" сертифицированные средства и отечественные криптостандарты. При этом многие из них искренне полагают, что находятся на "переднем крае" ИТ, а применение сертифицированных средств производит положительное впечатление на потенциальных клиентов. Пора развеять оба эти заблуждения.
Непросвещенному в ИБ клиенту решительно все равно, какие средства используются. Просвещенный - отдает себе отчет в том, что сертифицируется лишь криптоядро или криптобиблиотека используемого ПО. Ни один трезвомыслящий злоумышленник не пытается вскрывать сам криптоалгоритм (российский или иностранный - неважно): он старается найти "дыру" либо в сервисной оболочке криптоядра, либо в организационной схеме применения криптопроцедур.
Что же касается "переднего края"... Некоторое время назад стало ясно, что потенциал роста в корпоративном секторе исчерпан, и российские банки обратили внимание на рынок розничных услуг. Начали разворачиваться системы Интернет-банкинга для мелких предприятий и физических лиц. И тут гораздо более резко, чем на системах "банк - клиент" для корпоративных пользователей, обозначилась принципиальная разница в подходах российских и европейских банков.
Европейские банки в ситуации с обслуживанием физических лиц сделали упор на удобство и простоту эксплуатации для клиента, имеющего минимальные представления о том, как следует обращаться с компьютером. В значительной мере это достигается за счет использования возможностей стандартных криптопровайдеров, являющихся составной частью всех ОС, т. е. за счет применения распространенных коммерческих криптоалгоритмов. Клиентский модуль становится предельно компактным, может легко скачиваться с банковского сайта на любой компьютер и практически не требует настроек при инсталляции. Некоторые банки пошли еще дальше и смогли полностью ликвидировать клиентский модуль для индивидуального пользователя, которому оказался нужен лишь компьютер, подключенный к Интернету.
Российские банки обеспечивают процедуры ЭЦП и шифрования за счет встраиваемых дополнительных модулей, реализующих отечественные криптоалгоритмы, что неизбежно делает клиентские модули более громоздкими, менее удобными в настройке и эксплуатации и требует от пользователя хотя бы среднего уровня работы с компьютером. Задача же избавления от клиентского модуля при сохранении ориентации на российские стандарты представляется вообще головоломной, хотя теоретически и имеет одно оригинальное решение.
С точки зрения потребителя, сравнивать эти подходы - все равно что выбирать между легким компактным пылесосом с двумя кнопками и трехгодичной гарантией и тяжелым, объемным агрегатом с пятью кнопками и гарантией на 10 лет.
Российские банки пока выручает то, что работающие на территории РФ немногочисленные банки под иностранными названиями только формально являются дочерними для солидных заграничных. Их привлекательность понижается тем, что по их обязательствам материнский банк не отвечает, и тем, что они чаще всего используют не его технологии, а те же, что и российские. Правительство отодвинуло решение вопроса открытия филиалов иностранных банков на 7-8 лет. Но если они со своими системами в конце концов выйдут на российский рынок, то мы будем свидетелями массовой миграции клиентов, использующих электронные сервисы.
Есть и еще один нюанс, на котором стоит остановиться особо. К применению коммерческих криптоалгоритмов, поддерживаемых широко распространенными ОС, все страны относятся спокойно. Но что произойдет, если российский бизнесмен, желающий во время деловой поездки распоряжаться банковским счетом, отправится с ноутбуком, на котором установлен клиентский модуль с российскими криптоалгоритмами, за границу? В таких странах, скажем, как Франция и Китай, законодательство весьма недоброжелательно относится к несанкционированному ввозу и использованию иностранных криптографических средств. Конечно, по сравнению с Катаром во Франции тюрьмы комфортабельнее, а в Китае - климат лучше. Да и российский МИД в последнее время практикует новую форму помощи попавшим в беду соотечественникам, предлагая отсидеть иностранный срок на родине. Но как, интересно, будет выглядеть в этой ситуации банк в глазах оставшихся на свободе клиентов?
Угрозы ИБ в коммерческом секторе с позиции государственных интересов
Зададимся простым вопросом: каковы, собственно, угрозы ИБ в коммерческом секторе, задевающие государственные интересы?
Коммерческая структура может неграмотно использовать совсем слабые средства защиты, и этого не стоит допускать? Но на то и рыночная экономика, чтобы слабые и глупые погибали, оздоровляя ее. Да и нет уже таких (во всяком случае - глупых). Во всех крупных коммерческих структурах, реально оказывающих влияние на общий экономический уровень страны, ИБ обеспечивается квалифицированными специалистами, часто с опытом работы в тех же самых федеральных ведомствах.
Недобросовестная коммерческая организация может в преступных целях применить слишком "сильные" средства защиты, что создаст проблемы правоохранительным органам при расследовании? Но откуда им взяться? В соответствии с законодательством производство, распространение и импорт таких средств находятся под государственным контролем. Да и никакое иностранное государство не допустит, например, экспорта "сильной" криптографии, резко превышающей по стойкости коммерческий уровень, так что в этом вопросе мы можем положиться на АНБ США даже в большей степени, чем на ФСБ РФ.
Сертифицированные криптосредства на российских стандартах надежнее поддерживаемых всеми ОС коммерческих криптоалгоритмов типа RSA и 3DES? Так никто и не спорит. Но следует помнить, что внедрение сертифицированных средств существенно дороже, менее технологично, а применение за пределами страны (например, в заграничных представительствах российской компании) может вызвать неприятности с местным законодательством. С другой стороны, если учесть, что множество солидных иностранных банков использует именно коммерческие алгоритмы для самого щекотливого процесса - оперирования в электронном виде счетами клиентов, то становится окончательно ясно, чему следует по совокупности причин отдать предпочтение.
Может, в случае военного конфликта врагу будет легче нарушить работу электронных систем, если они будут базироваться на несертифицированных средствах? Ну и что? Ведь это не военные и даже не государственные системы. Предположим, противнику удалось ударить по самому больному - по карману рядовых обывателей и вывести из строя клиентские системы коммерческих банков. Что останется делать вкладчикам, лишившимся средств и горящим жаждой мщения коварному врагу? Только броситься в военкоматы и записаться добровольцами. Разве это противоречит доктрине национальной безопасности? Я не позавидую тому, кто столкнется на поле боя с обиженными вкладчиками.
Так что мешает для коммерческого сектора (в отличие от государственного) предоставить свободу рук в выборе средств защиты, легально продаваемых на рынке, отменить обязательное лицензирование их эксплуатации (сделав его добровольным) и подкрепить законодательно использование коммерческих криптоалгоритмов на уровне ИСОП?
Успехи, не обещающие побед
Развитие информационных технологий в России (во всяком случае тех, что непосредственно связаны с реализацией задач ИБ) правильнее всего охарактеризовать фразой "умеренный прогресс в рамках законности". И где рамки у/же, там прогресс умеренней. На корпоративном уровне, где требования ИБ слабее, прогресс впечатляет, а темпы роста самого сектора ИБ (особенно продажи соответствующего ПО) даже обгоняют развитие ИТ в целом. Зато на уровне ИСОП, где рамки ИБ гораздо жестче, развитие ИТ стагнирует и напоминает бег на тренажере: движение вроде есть, а внушительных результатов нет. Но, в конце концов, в рамках российских ИСОП все проблемы решить все-таки можно даже на основе действующего законодательства. Правда, это будет необоснованно трудоемко и приведет к потере темпа. Но хуже всего дело будет обстоять на уровне интернациональных сетей.
Не надо быть пророком, чтобы предположить, что в ближайшем будущем развитые страны завершат внедрение новых электронных информационных технологий (прежде всего связанных с использованием ЭЦП) в национальных масштабах и перейдут к использованию их в международных ИСОП. Их законодательства и направленность технологического развития позволят осуществить эту интеграцию без особых проблем. Россия же, при сохранении нынешних тенденций, окажется в юридическом и технологическом тупике. Если российский рубль еще имеет шанс перестать быть "деревянным", то цифровой сертификат ЭЦП на российском алгоритме никогда не будет широко признаваться за пределами страны (хотя бы потому, что соответствующее ПО для оперирования с ним невозможно навязать всему миру).
Выводы
Необходимость корректировки и самого российского законодательства в сфере ИБ и трактовки этого законодательства соответствующими федеральными структурами не вызывает сомнений.
Непонятно только, откуда ждать ветра перемен. ФСБ и Гостехкомиссия никогда не выступят инициаторами сокращения сферы своего влияния. Некоторые осторожные надежды насчет либерализации использования ЭЦП можно было бы возложить на ФАИТ, которое не может не понимать, что при ведении реестра ключей УЦ на нескольких криптоалгоритмах его значение и авторитет возрастут. Но это агентство было создано недавно, пока не обозначило своего стратегического курса и к тому же, являясь лишь подразделением Минсвязи, находится в более легкой весовой категории. Комитет по информационной политике Госдумы всегда полагался на мнения представителей федеральных ведомств, играя обычно пассивную роль. Ассоциация российских банков, наиболее влиятельная коммерческая структура, к сожалению, не имеет стройной консолидированной позиции по вопросам ИБ. Каждый банк предпочитает решать эти проблемы самостоятельно, как удельное княжество, не верящее в возможность "монгольского нашествия" (т. е. открытия филиалов зарубежных банков).
Иногда кажется, что неплохо было бы провести референдум на тему: "Как нам реорганизовать сферу ИБ?". Норвегия, например, чуть более 30 лет назад с удивлением обнаружив у себя нефть, тут же провела референдум: "Отдавать ли нефтедобывающую отрасль в частные руки?". И теперь практически все норвежское население состоит из обеспеченного среднего класса, на нефтедоллары строятся горные туннели и финансируются мощные социальные программы, а в России целая толпа политологов ломает голову: "Ну почему этот средний класс не желает образовываться в нужных масштабах?". К несчастью, задача разъяснения всему обществу, что такое ЭЦП и почему развитие ИТ имеет огромное значение, представляется трудновыполнимой, особенно на фоне монетизации льгот.
Остается ждать и надеяться, что здравый смысл победит неким мистическим образом. Достигнет, как пар, нужной степени давления и сорвет мешающие бюрократические ограничения.
С автором статьи, кандидатом технических наук, можно связаться по адресу: vnponomarev@aeroflot.ru.
