Недекларированные возможности и доверенное ИКТ-оборудование как способ противодействия

 Руслан Пермяков, заместитель директора по развитию, СиБ

Сегодня мы наблюдаем процесс, аналогов которому не было в истории человечества, – информационное связывание отдельных людей, компаний, стран. Возможности, предоставляемые современными ИT-технологиями, проявляются в полной мере только при подключении к Интернету. Мгновенный доступ к интересующей информации, подключение к корпоративным ресурсам, принятие решения практически в любой точке мира и возможность оперативно донести его до всех заинтересованных лиц – мощные стимулы для установления информационных связей корпоративных ИС с внешними сетями. Данный процесс фактически необратим вследствие низкой эффективности компаний, отрезанных от международной информационной среды.

К сожалению, в сложившейся ситуации присутствуют не только потенциал для роста эффективности управления бизнесом, но и риски, связанные с обеспечением безопасности информационных систем компаний и государственных органов. С такой проблемой в последнее десятилетие столкнулись практически все страны мира. Естественно, предпринимаются попытки использовать уязвимость информационных систем в личных или государственных целях, что порождает проблему, названную «обеспечение кибербезопасности». Основное ее отличие от проблемы информационной безопасности заключается в том, что кибербезопасность рассматривает вопрос влияния компьютерных технологий на общественную жизнь в комплексе. Одним из инструментов достижения нелегитимных целей является механизм недекларированных возможностей (НДВ).

Что такое НДВ

Проблема недекларированных возможностей тесно связана с проблемой доверия программному и аппаратному обеспечению. Так почему в современном научном направлении исследуется проблема доверия, а не безопасности информационной системы (ИС)?

Информационные системы являются, по сути, сложными системами[1] в терминах системного анализа. Вследствие этого для современных ИС исключается возможность построения исчерпывающей математической модели, что не позволяет выявить все ошибки в исследуемой ИС. Основа для взлома ИС – эксплуатация злоумышленником ошибок или оставленных специальных участков кода, так называемых закладок, которые являются недекларированными возможностями той или иной рассматриваемой ИС.

Для решения данной проблемы было введено понятие доверенной системы как системы, прошедшей формальное тестирование, которое позволяет говорить об определенном уровне доверия в заранее определенных условиях эксплуатации. При этом не следует путать понятие доверенной системы и заслуживающей доверия. Замечательный пример различия этих двух параметров приведен в книге [3]: «Предположим, в туалете аэропорта Нью-Йорка задержан сотрудник АНБ США, передающий государственные секреты сотруднику иностранной разведки. В данном случае этот сотрудник является доверенным, но не заслуживающим доверия».

Проблема доверия и выявления НДВ в ИС различного назначения будет актуальной всегда вследствие того, что сложность разрабатываемых ИС всегда будет опережать возможности по анализу этих систем, так как оба процесса основываются на одном математическом аппарате.

Актуальность проблемы обеспечивает и широкое использование ИT, в том числе на объектах оборонного комплекса и обеспечивающих социально значимые потребности общества (например, энергетика, информирование или банковская сфера).

Проблема современных доверенных систем требует решения на всех этапах создания современной ИС – от доверенной разработки безопасных аппаратных компонентов и написания доверенного программного обеспечения с контролем отсутствия НДВ на всех этапах разработки до интеграции готовой ИС на предприятии заказчика. В данном случае мы сталкиваемся с большим количеством проблем системного характера, начиная от низкой квалификации программистов с точки зрения осведомленности о приемах безопасного программирования до отсутствия национальных сред разработки и компиляторов, имеющих возможность внести НДВ на этапе компиляции программного продукта.

Способы противодействия НДВ

Противодействие НДВ в современных ИС сводится к процедурам уменьшения рисков, связанных с внедрением и использованием НДВ в конкретных ИС.

Особенностью НДВ, внедренных в программно-аппаратный комплекс (ПАК), является в большинстве случаев предполагаемое использование такого рода закладок для несанкционированного доступа (НСД) к системным ресурсам и информации. Другим распространенным назначением средств, реализующих НДВ, являются атаки направленные на нарушение свойств доступности и целостности целевой системы. Для определения способов защиты объектов информатизации широко используется и моделирование действий злоумышленника в целевой системе. В данной статье мы будем рассматривать некую абстрактную ИС, что не позволяет проанализировать конкретные сценарии использования НДВ в системах, но дает возможность сделать выводы об основных условиях использования НДВ.

Для определенности сделаем несколько предположений.

Во-первых, предположим, что функционал, реализующий НДВ, внедряется либо на этапе разработки ПО или ПАК, либо на этапе поставки и сопровождения, субъектами, не имеющими постоянного доступа к целевой ИС. Для примера можно указать разработчиков программного обеспечения и/или аппаратного решения в компании-разработчике. Отдельно стоит отметить сотрудников отдела разработки программного обеспечения для внутренних нужд компании. Также следует учесть возможность внедрения НДВ в обновления ПО и при установке ПО, работающего на уровнях ИС, близких к ядру системы: драйверы, различного рода активаторы и т. п.

Во-вторых, можно сделать обоснованное предположение, что автор НДВ не имеет постоянного легитимного доступа к целевой ИС, поскольку в этом случае эффективнее использовать уже существующие в ИС механизмы для достижения его целей, т. е. можно говорить об обязательном разнесении во времени события создания и использования НДВ.

В-третьих, автору НДВ необходимо иметь устойчивый канал связи с целевой системой или заранее определить логическое условие для срабатывания функционала НДВ.

Проанализировав различные сценарии использования НДВ в различных средах, мы можем определить основные условия реализации возможностей, предоставляемых закладками:

  • наличие канала между автором НДВ и целевой ИС или заранее определенного логического условия, проверяемого в условиях полной автономности, активации функционала НДВ, например особенности информационного окружения;
  • возможность у автора НДВ сделать относительно точные предположения об условиях функционирования НДВ.

Таким образом, можно выделить следующие направления по управлению рисками внедрения НДВ в ПО и ПАК: выявление и блокирование самих НДВ; разрушение возможных нелегитимных каналов связи между целевой ИС и злоумышленником; сохранение в тайне условий и целей функционирования ИС.

К сожалению, мы не можем с достаточной степенью уверенности говорить о наличии или об отсутствии НДВ на основании анализа ПО и ПАК, поэтому строится комплексная защита ИС с реализацией защитных функций по трем перечисленным направлениям.

Важную роль при разработке СЗИ доверенных ИС играет оборудование, прошедшее контроль наличия НДВ в соответствии с требованиями ФСТЭК. Имея в арсенале СЗИ доверенные объекты, интегратор или собственник ИС может создать доверенное ядро СЗИ ИС и в дальнейшем использовать информацию, полученную от доверенных элементов ИС для оперативного принятия управленческих решений и развития СЗИ.

В зависимости от важности и категории объекта, на котором функционирует ИС, выделяются основные функции, контролируемые независимыми экспертами из лицензируемой организации (например, авторизация и аутоинтефикация, контроль доступа к системе хранения данных, управление исполнительными механизмами). Также в соответствии с предполагаемой категорией ИС и классом обрабатываемой информации определяются требования к контролю НДВ. Выделяются четыре уровня контроля, определяющие требования к составу испытаний, – от простейших формальных процедур контроля до анализа алгоритмов работы и поиска определенных паттернов в исходном коде.

О роли контролирующих органов

При анализе и испытаниях ПО на наличие НДВ в руководящих документах ФСТЭК и ФСБ страна происхождения не является значимым параметром. Однако национальное и международное законодательство накладывает серьезные ограничения на предоставление исходных кодов для исследования. Также нельзя исключать целенаправленные действия спецслужб при комплектации средствами вычислительной техники и ПО объектов РФ из оборонного комплекса, организаций государственного и муниципального управления, крупных коммерческих компаний.

Проблема импортозамещения для России является актуальной на протяжении последних 20–25 лет. Очевидно, что отечественная цифровая техника на сегодняшний день не способна конкурировать с иностранными аналогами. Следует также отметить, что с учетом нарастающего соперничества в области кибербезопасности риск наличия НДВ оценивается как высокий.

Возрастание спроса на доверенные системы, связанные с введением регуляторами новых нормативных документов, безусловно, порождает формирование рынка этих средств, прежде всего в количественном выражении.

Однако роль контролирующих органов при формировании этого рынка должна быть предельно сдержанной и сбалансированной. С одной стороны, как уже было сказано, мы сталкиваемся с важным и эффективным механизмом поддержки российского производителя, с другой – в условиях отсутствия конкуренции со стороны иностранных компаний отрасль рискует оказаться в технологическом тупике, с решениями, отстающими от мирового уровня на десятилетия. Очевидно, что перед контролирующими органами в данном случае стоит весьма нетривиальная задача.

Основные потребители доверенных решений

Особенностью развития рынка доверенных решений в XXI в. является его выход за пределы офисных решений, хорошо известных и проработанных специалистами всего мира. Сегодня в зону ответственности служб информационной безопасности попадают объекты, по сути своей далекие от традиционного подхода к безопасности (например, системы управления технологическими процессами или решения класса «Интернет вещей»).

Новые требования предъявляются и к традиционным для офисных сетей элементам, но уже на новом технологическом уровне. Увеличение вычислительной мощности, размеров оперативной памяти и объемов носителей информации позволяет создавать интеллектуальные системы для решения задач, традиционно не использующих продвинутые решения. Например, практически все современные офисные высокопроизводительные множительные устройства представляют собой полноценные серверные решения на базе одной из распространенных ОС со всеми присущими ей проблемами. Смарт-телевизоры, офисные роутеры позволяют злоумышленнику разместить код, реализующий НДВ.

Потенциальным потребителем доверенного оборудования является фактически любая компания независимо от формы собственности. Существенным препятствием на пути внедрения доверенных решений является цена, часто неоправданно высокая, если судить по критерию «цена/качество». Ни руководство компаний, ни администраторы, ни офицеры безопасности не могут определить преимущество, предоставляемое решениями, прошедшими процедуру сертификации, кроме как соответствие требованиям законодательства и регуляторов. Как следствие, основными потребителями решений этого класса остаются государственные органы и компании, обрабатывающие охраняемую законом информацию (например, персональные данные, государственную тайну или объекты ключевой инфраструктуры). Сегодня мы не можем говорить о сложившемся свободном рынке доверенных решений в силу жесткого регулирования, высокой стоимости и длительности сертификационных процедур.

Перспективы доверенного ИКТ-оборудования на рынке

Важным аспектом, влияющим на развитие рынка доверенного ИКТ-оборудования, является позиция регуляторов относительно процедуры подтверждения соответствия требованиям по безопасности. На сегодняшний день существует только одна рабочая процедура – сертификация. Развитие альтернативных способов подтверждения соответствия – обязательная декларация о соответствии или признании сертификатов других стран как пример наиболее очевидных шагов по стимулированию развития рынка доверенных решений.

При изменении политики сертификации средств защиты информации и ценовой политики ведущих вендоров для бизнес-систем рынок доверенных решений, безусловно, будет расти.

Другой сдерживающий фактор для доверенных решений – принципиальное отсутствие функциональных, лицензионных и качественных различий для конечного потребителя между решениями, прошедшими процедуру оценки соответствия и не прошедшими таковую, даже в рамках одного производителя. За дополнительные деньги потребитель получает только голографическую наклейку и несколько бумажных формуляров, которые он должен заполнять. Не предусмотрены гарантии безопасности решения или хоть какая-то ответственность производителя или испытательной лаборатории относительно качества сертифицированного продукта, что для бизнеса является решающим фактором при принятии решения о приобретении продукта.

Литература

  1. Лоскутов А.Ю., Михайлов А.С. Основы теории сложных систем. М. ; Ижевск: НИЦ «Регулярная и стохастическая динамика», 2007. ISBN 5-93972-558-9.
  2. РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей.
  3. Ross J. Anderson. Security Engineering: A Guide to Building Dependable Distributed Systems, Wiley; 2 edition (November 5, 2010).

[1] Сложная система – система, состоящая из множества взаимодействующих составляющих (подсистем), вследствие чего сложная система приобретает новые свойства, которые отсутствуют на подсистемном уровне и не могут быть сведены к свойствам подсистемного уровня [1].

Поделиться:
Спецпроект

Напряженный трафик или Современные требования к инфраструктуре ЦОД

Подробнее
Спецпроект

Специальный проект "Групповой спутниковый канал для территориально-распределенной сети связи"

Подробнее

Подпишитесь
на нашу рассылку