Создание Национальной мобильной платформы
Кибервойна разгорается. Последняя неделя июля привлекла внимание СМИ к вопросам взлома информационных систем на государственном уровне. 22 июля WikiLeaks выложила в открытый доступ более 19 тыс. электронных писем Национального комитета Демократической партии США. Кандидат в президенты США Хилари Клинтон обвинила российские спецслужбы в этом взломе, а АНБ заявила, что для получения доказательной базы их участия проведет расследование, в том числе используя взлом атаковавших серверы ресурсов.
Пресс-секретарь Президента РФ Дмитрий Песков заявил, что утверждения о причастности России к взлому почты Демократической партии США — абсурд. А 30 июля пресс-служба ФСБ России отметила, что атакам подвергаются и российские государственные органы: «...Выявлены факты внедрения вредоносного программного обеспечения, предназначенного для кибершпионажа, в компьютерные сети порядка 20 организаций, расположенных на территории России... Заражению подверглись информационные ресурсы органов государственной власти и управления, научных и военных учреждений, предприятий оборонно-промышленного комплекса и иные объекты критически важной инфраструктуры страны». В том же сообщении указано, что уязвимы и мобильные устройства.
«Доверенные» и «Критичные»
При рассмотрении вопросов безопасности мобильных технологий в корпоративном секторе необходимо отметить, что отправной точкой являются бизнес-процессы организации. Таким образом, объектом защиты становятся именно бизнес-процессы организации, осуществляемые с помощью мобильных технологий (мобильные бизнес-процессы). Для предотвращения или минимизации вызовов и угроз в данной области требуется создание Национальной мобильной платформы. Цели ее создания:
1. Обеспечение информационной безопасности при хранении и передаче критичных данных и голоса по беспроводным каналам связи.
2. Реализация программы импортозамещения в области мобильных технологий.
«Национальная мобильная платформа» — совокупность доверенных технических средств, организационно-распорядительных мероприятий, персонала, обеспечивающих передачу голоса и данных, в том числе критичных, по беспроводным каналам связи от абонента до абонента или от абонента до корпоративной информационной и/или вычислительной системы, а также межмашинное взаимодействие. Данная платформа необходима для защиты информации граждан и организаций Российской Федерации.
Приведенное определение содержит два ключевых понятия — «доверенный» и «критичные». Использование Национальной мобильной платформы должно быть обязательным при наличии критичных данных (что требует применения доверенных мобильных технологий) в органах государственного управления, а в корпоративном секторе — по необходимости (при наличии критичных данных) или по желанию.
Доверенный элемент — элемент, успешно прошедший проверку на соответствие регламентам нормативных, руководящих, методических и иных обязательных к применению документов.
Критичные данные — это данные, утеря, некорректное или несанкционированное использование, искажение или разглашение которых может причинить ущерб национальной безопасности, нарушить штатное функционирование ключевых систем информационной инфраструктуры, нанести урон коммерции и правам личности.
Необходимые компоненты
В состав Национальной мобильной платформы должны входить как минимум следующие компоненты:
1. Базовый руководящий или иной нормативный документ, определяющий требования и профили безопасности доверенных мобильных платформ.
2. Доверенная аппаратная платформа. Может быть полностью российской или частично зарубежной сборки с использованием российских комплектующих (в основном микропроцессора).
3. Доверенная мобильная ОС, включающая встроенные или сторонние отечественные средства защиты информации (СЗИ) от несанкционированного доступа и криптографические СЗИ.
4. Доверенные мобильные приложения.
5. Доверенные системы управления, контроля и обеспечения безопасности отечественной разработки.
6. Доверенные хранилища (находящиеся на территории Российской Федерации) и способы распространения приложений и обновлений к ним и ОС.
7. Регламент использования мобильных платформ в государственных, муниципальных и иных учреждениях.
Создание Национальной мобильной платформы потребует разработки организационно-распорядительной базы и значительных финансовых вложений в создание технической компоненты. Частично финансирование может осуществляться за счет инвестиций компаний, вовлеченных в данную программу. Кроме того, после ввода Национальной мобильной платформы в эксплуатацию следует ожидать возврат инвестиций за счет продажи и поддержки обязательных к использованию «доверенных» устройств и программного обеспечения, других компонентов и инфраструктуры.
Вызовы и угрозы
Мобильные технологии следует рассматривать не как самостоятельное технологическое решение, но как часть бизнес-процессов организации. Относительно молодые, но стремительно развивающиеся мобильные технологии имеют свои характерные признаки, влекут новые вызовы и угрозы. Эти признаки, вызовы и угрозы являются следствием потенциальной возможности практически неограниченного во времени и в пространстве несанкционированного доступа к мобильному устройству как к оконечному устройству информационной инфраструктуры организации, или к беспроводной среде передачи данных. Ниже перечислены их некоторые характерные признаки:
- Для мобильных технологий понятие «периметр контролируемой зоны» отсутствует.
- Действия корпоративных служб ИТ и ИБ отстают от темпов развития мобильных технологий.
- Пользователи имеют собственные предпочтения к дизайну и правилам использования мобильных устройств и приложений.
- Пользователи (особенно VIP) требуют свободного доступа к корпоративным ресурсам и данным.
Для мобильных технологий существуют специфические вызовы и угрозы, а «стандартные» имеют свои особенности. Далее названы некоторые из них:
- Наличие недекларированных возможностей (НДВ) в программно-аппаратном обеспечении мобильного устройства или в сторонних приложениях.
- Перехват голоса/ данных «по воздуху» или по сети операторов связи.
- Внедрение вредоносного программного обеспечения.
- Манипуляция с данными при передаче.
- GPS/геолокация.
- Утеря или кража устройства.
- Использование недоверенных («серых» или непроверенных) устройств, сетевых сервисов или их неправомочное использование.
Инициатива АРСИБ
На основании изложенного, а также в результате проведенного специалистами АРСИБ анализа рынка мобильных технологий и тенденций его развития следует отметить следующие положения:
1. Стремительное развитие мобильных технологий.
2. Наличие специфичных технологических и организационных вызовов и угроз.
3. Использование мобильных технологий в России практически не регламентировано и не контролируется (частичное исключение — СОРМ).
Мобильные технологии, как и Интернет, могут применяться как инструмент для совершения различных противоправных действий. Таким образом, указанные и другие проблемы, по отдельности или в сочетании, в случае возникновения специфических для них вызовов и угроз в совокупности могут стать угрозой национальной безопасности.
Создание Национальной мобильной платформы необходимо в целях противодействия вызовам и угрозам, обеспечения национальной безопасности в сфере мобильных технологий. Вопрос создания национальной мобильной платформы поднимался 20 апреля 2016 года в Государственной Думе Российской Федерации на заседании круглого стола на тему: «Комплексное решение проблемы цифрового неравенства: устранение причин и следствий».
АРСИБ готова представить свои предложения, для того чтобы начать работы по созданию организационно-распорядительной и технологической базы Национальной мобильной платформы.
С тенденциями развития и методами защиты мобильных технологий более подробно можно ознакомиться в брошюре «Безопасность мобильных технологий в корпоративном секторе. Общие рекомендации». Данный документ выпущен Ассоциацией руководителей служб информационной безопасности (АРСИБ) и доступен на сайте: aciso.ru. После открытой публикации интерес к этому документу оказался весьма высоким, что повлекло необходимость выпуска 2-й редакции, которая будет опубликована в III квартале 2016 года.
Соавторы: Николай Носов, к. т. н., член АРСИБ, Александр Першин, к. т. н., член АРСИБ
Опубликовано 15.08.2016