23 августа, 2018, BIS Journal №3(30)/2018

Между Сциллой и Харибдой


Куликов Валерий

корреспондент (BIS Journal)

Заметки с VI Международной научно-практической конференции «Управление информационной безопасностью в современном обществе»

VI Международная научно практическая конференция «Управление информационной безопасностью в современном обществе» действительно оказалась и научной и практической. Не слишком международной, но это скорее достоинство. У России есть свои проблемы и по части ИТ и по части кибербезопасности, которые, как бы ни усмехались глобалофилы, «аршином общим не измерить».

Ключевой особенностью конференции оказался специфический «классовый» состав участников. Это существенная прослойка старшего поколения, умудрённая не только знаниями и опытом, но и привыкшая чётко фиксировать эти параметры официальными показателями. Пальцев на руке не хватит, чтобы пересчитать докторов наук, выступивших с трибуны. Общее же их число вкупе с кандидатами наук на полях форума проще охарактеризовать словом «множество».

Методы и результаты изучения проблем ИБ, представленные на конференции, являются удачным дополнением чапаевскому стилю, которого придерживаются участники квазихакерских хакатонов с англоязычными названиями.

ЛЕД ТРОНУЛСЯ

Хакатоны с показательными кибервзломами банков и АСУТП сильны лишь в визуализации проблем ИБ, тогда как наука способна предложить решения этих проблем. И тут особо следует отметить доклад «Конвергентная эволюция задач информационной безопасности в условиях цифровой трансформации». Пётр Зегжда, питерский доктор, профессор и отраслевой академик, а также научный руководитель компании «НеоБИТ», презентовал возможность создания ИТ-систем с врождённым ИБ-иммунитетом. Возможность безусловно необходимая, но пока непривычная уху тех гостей конференции, которые попытались выступить в ответ в терминах «модели угроз ИБ». Добрая, но жёсткая улыбка матёрого питерского интеллигента и возмущённое мысленное шиканье зала мгновенно охолонили ретроградов и вывели их на зады технического прогресса.

Но стоит отметить, что конференция представила весьма разноплановые взгляды на проблемы обеспечения ИБ и в классическом понимании (конфиденциальность, целостность, доступность), и с точки зрения безопасности общества в условиях манипулирования информацией с помощью социальных сетей и технологий Больших Данных. В связи с широкой вовлечённостью общества в т.н. цифровую трансформацию на конференции были детально рассмотрены юридические аспекты работы с данными в условиях «цифровизеющих» экономики, госуправления и социальных контактов.

Проблемы ИБ рассматривались и под углом зрения разных отраслей (телеком, финансово-кредитная сфера, торговля, госуправление) и в разных технологических срезах (софт, железо, эксплуатация, с особым акцентом на безопасность работы в Интернете).

Наряду с юриспруденцией, стоит особо отметить внимание конференции к элементной базе вычислительных систем как к одному из ключевых элементов обеспечения ИБ. На пленарном заседании, а также в ходе работы специальной секции под руководством д.т.н., профессора НИУ ВШЭ Андрея Чеповского были рассмотрены различные аспекты создания высокопроизводительных многоядерных процессоров и их применения в системах анализа данных. Работа этой секции и настрой её участников весьма полезны в плане противодействия многочисленным стереотипам, в числе которых и тот, что мы якобы не успели «вскочить на поезд» в том, что касается разработки «железа» для ИТ.

На конференции предпринималась попытка системного анализа достижений отечественных компаний, разрабатывающих операционные системы т.н. общего назначения (т.е. без поддержки технологий реального времени). Речь идёт о круглом столе «Научное содержание понятия информационная безопасность отечественных операционных систем (ОС)». Удалось ли раскрыть заявленную тему? Скорее нет.

ИГРЫ РАЗУМА

Нет оснований сомневаться в компетенции участников круглого стола по отечественным ОС, но очевидна объективная причина, мешающая им легко и непринуждённо, без оглядки на «быт», обсуждать высокие материи своей работы. Это непредсказуемость социально-экономической среды (а хуже того, её предсказуемая «вязкость»), в которой приходится работать вследствие своеобразия мышления государственных мужей, которое никак не назовёшь косным. Скорее дилетантски идеалистичным. Госмужи предпочитают рассуждать и официально поддерживать исследования с широкими, расплывчатыми и слабо контролируемыми толкованиями: Большие Данные, квантовые технологии, новые производственные технологии, технологии виртуальной и дополненной реальностей – см. программу «Цифровая экономика РФ». А вот первоочередные нужды российского сектора ИТ, в числе которых производство базового софта, – это в лучшем случае остаётся за кадром, а то и вообще зачисляется «экспертами» в упущенные возможности.

Пока идеи профессора П.Д.Зегжды о возможностях создания врождённо безопасных ИТ-систем не реализованы в полной мере на практике, острым вопросом при обеспечении ИБ остаётся поиск и выявление т.н. недекларированных возможностей (НДВ) в программном обеспечении. Эта тема затрагивалась в разных докладах, и озвученная ситуация не располагает к оптимизму. Во-первых, в качестве сухого остатка от прослушанных выступлений можно сделать вывод, что решения этой проблемы развиваются скорее в плоскости искусства и эпистолярного жанра общих рекомендаций, чем науки, инженерии и чётких алгоритмов. А, во-вторых, и это главное, общественность, похоже, готова принести в жертву скорости написания программ их качество, а также принять избыточность кода и перетекание багов из одного программного продукта в другой (как и программных багов вообще) в качестве неизбежности.

И при этом общественность, естественно, не слишком доверят результатам официальных экспертиз на отсутствие НДВ. Например, как следовало из доклада директора по информационной безопасности Microsoft Rus, ряд продуктов этой компании успешно прошли российские проверки на возможность обработки совершенно секретной информации. Компания обеспечила проведение этих работ по отечественным методикам, отечественными экспертами без каких-либо обязательств по части дальнейших коммерческих контрактов.

Но понимающие ухмылки на лицах слушателей конференции, как и отсутствие контрактов, были лучшей оценкой доверия результатам упомянутой экспертизы.

МОЛЧАНИЕ ЯГНЯТ

Лучшей оценкой за неимением иной. А иной не имеется вследствие соглашательской позиции тех, кого общество по инерции относит к научно-технической элите. Соглашательской – с несистемным хаотичным (как организационно, так и с точки зрения выбираемых технологий и платформ) «внедрением» ИТ в нашей стране и тотальным навязыванием сомнительных стереотипов. Сомнительных как в части места и роли «цифровизации» в экономике, так и приоритетов развития технологий в ходе обретения суверенитета России в сфере собственно ИТ.

В числе таких стереотипов, например, утверждение о том, что «…пройдет какое-то время, и любой товар будет так оцифрован и будет находиться в таких информационных цифровых платформах, что без использования информации из этих платформ вообще нельзя будет ничего построить и модернизировать. И те, кто будут обладать этими платформами, будут хозяевами мира». Это, на минуточку, цитата из ответов президента на встрече с руководством ряда СМИ в начале 2018 года.

Столь категоричные высказывания, предлагаемые президенту в качестве экспертного мнения, свидетельствуют о том, что на пути формирования культуры восприятия цифровой экономики есть чем заняться.

Но остепенённая научно-техническая элита предпочитает не вступать в открытую полемику с новоявленными ИТ-гуру, по совместительству ещё и власть придержащими (академик Жорес Алфёров – это скорее исключение, хотя и замалчивание со стороны СМИ исключить нельзя). Язвительно ухмыляться безопаснее. А лучше вообще не выражать эмоций и помнить уроки мудрого Ходжи Насреддина. За спиной большинства выживших, увешанных академическими регалиями мужей – небольшие коммерческие организации или даже целые группы компаний. На худой конец – кафедры учебных заведений. И «Цифровая экономика РФ» – это тот надёжный ишак, который может позволить им жить вполне сносно.

КТО ВИНОВАТ И ЧТО ДЕЛАТЬ?

Среднеазиатская мудрость вкупе с толерантной осторожностью шварцевского короля, культивируемые отечественной наукой, и нахрапистые интересы глобального бизнеса привели к тому, что хотя т.н. ИТ имеют уже приблизительно четвертьвековую историю внедрения (я не включаю сюда период становления кибернетики и больших ЭВМ), но до сего момента это больше похоже на масштабную обкатку идей НИОКР, финансируемую за счёт населения. Расходы бизнеса на ИТ в конечном счёте оплачиваются тем же населением. При этом ИТ и ИБ существуют фактически как две разные «отрасли», а их проблемы в государственном аппарате курируют «молодые технократы» с дипломами юристов, экономистов, возможно, инженеров, но инженеров ни дня не работавших «в технике». В то время, когда этим должны заниматься те, кто имеет опыт, похожий на опыт руководителей компаний Positive Technologies, Лаборатория Касперского, InfoWatch, Информзащита или, по крайней мере, опыт оставшихся пока в обойме руководителей, «родившихся в СССР». То есть, кадры есть, но почему-то возникающие из-за техники проблемы в государственном масштабе улаживают страховщики и юристы.

В этих условиях простой человек вынужден лавировать между Сциллой и Харибдой ИТ и кибербезопасности. Ведь в некотором смысле многие т.н. электронные сервисы – это навязываемая услуга, доступ к которой с кнопочного сотового телефона просто невозможен. Персональный ПК в доме, приобретённый для игр и работы в соцсетях – личное дело каждого, как и доверие его ремонта компьютерному мастеру по объявлению. Но если ПК-клиент навязан в качестве средства общения с государством, то кто должен обеспечить его доверенную работу и сервис?