С чего начинается доверие?
Для того чтобы понять о каких переменах идет речь, попробуем сфокусироваться на событиях после 2022 года и их масштабах с точки зрения кибербезопасности.
Переоценка киберугроз
После 2022-го нам пришлось столкнуться с беспрецедентным ростом кибератак: 7 марта 2022 года можно считать своеобразным профессиональным «праздником», если не с сединою, то с расшатанной нервной системой. В этот день в Darknet закончился ресурс бот-сетей для организации DDoS-атак. Все они были направлены на РФ.
Одна из причин успешности атак — неправильно спроектированная и реализованная аутентификация пользователей, применение простой аутентификации вместо двухфакторной или строгой. Во-вторых, удаленный доступ с небезопасных устройств. Мы забыли, как уходили на удаленку в период COVID-19, и последствия сомнительных устройств для работы с корпоративными ресурсами не заставили себя ждать.
Но по завершении инцидента начинается устранение последствий, а не причин. В частности, борьба с массовыми утечками баз данных. Вместо обезличивания ПДн и защиты самих критически важных, главных информационных активов усиливают защиту периметра, средства мониторинга и аналитики.
В 2022 году произошла переоценка рисков и угроз: добавились архитектурные риски и подтвердили себя политические. Однако часто продолжалось движение по инерции, когда боролись с навязанными угрозами в виде хакеров, вирусов-шифровальщиков и прочего вместо выявления и устранения точек отказа.
Мир изменился. Ушли иностранные ИБ-игроки. Мы перестали доверять зарубежным технологиям и решениям. И ключевое слово тут — «доверие»!
Доверие применительно к ИБ
Для того чтобы понять, что такое доверие в ИТ/ИБ-среде, неплохо бы разобраться, что такое доверие в жизни. Почему одному мы доверяем и верим, а в других сомневаемся. И оказывается, что это совсем не простой вопрос, как может показаться. Интернет и чат-боты предложат множество своих версий, но все они будут однобоки. Например, доверие между людьми — это уверенность в порядочности и ответственности другого, что он не воспользуется полученной от нас информацией нам во вред. Но такая версия может удовлетворить только тех, кто никогда не давал в долг друзьям и не терял после этого друзей.
Доверие в ИТ-инфраструктуре не менее сложный вопрос, но в сущности он сводится к уверенности в том, что каждый элемент (объект) ИТ-инфраструктуры работает так, как мы ожидаем, что этот элемент не подменили и мы можем доверять получаемой от него информации, обмениваться с ним важной для нас информацией. Само понятие «доверие», применительно к ИТ и информационным системам ИС, к нам пришло из международного стандарта ISO/IEC 15408 «Общие критерии». Но там «доверие» — это три разных слова и три разных понятия, которые при переводе на русский объединили в одно. Там доверие начинается с уровня confidence, то есть уверенности, или скорее предположения, что это так и есть. Поэтому следующий уровень доверия — это assurance, то есть заверение, подтвержденная доказательствами уверенность, гарантии. И только после этого мы достигаем уровня trust — как полного доверия и абсолютной веры. Именно так выглядит верхушка масонской пирамиды на долларе и лозунг «In God We Trust».
Так определяется и уровень доверия, и он может быть низким, средним или высоким в зависимости от уровня значимости обрабатываемой информации, риска возникновения недопустимого события ИБ, размера возможного ущерба в случае инцидента ИБ и т. д. Уровень доверия — это совокупность действий, которые должны быть выполнены для достижения необходимой уверенности.
Но помимо уровней доверия, необходимо учитывать и элементы пирамиды доверия. И это, пожалуй, самый сложный момент для служб ИБ. На вершине пирамиды доверия — пользователи, то есть те, кто подключается и работает с данными в информационных ресурсах, обменивается информацией и влияет на ее свойства, в частности на достоверность и актуальность (что уже выходит за рамки классических свойств и определений). И тут доверие начинается с идентификации и аутентификации пользователей. В случае высокого уровня доверия выпускаются цифровые сертификаты, которые проверяются Центром сертификации. Это как третья доверенная сторона или как нотариус в обычной жизни, которому доверяют все участники взаимодействия.
Второй уровень — это ПО, применяемое пользователями и информационными системами. И тут задача обеспечения доверия резко усложняется. Во-первых, сказываются ИТ-последствия COVID, который сделал нас не цифровыми, а тотально цифровыми. Огромное количество людей не могли получать информацию, лекарства медицинские услуги, продукты и медикаменты без онлайн-сервисов. Но также и большое количество компаний вынуждено было уйти в онлайн, чтобы хоть как-то сохранить свое присутствие на рынке. В результате даже те, кто и не предполагал, стали ИТ-компаниями. Качество их онлайн-платформ, приложений и сервисов оставляло желать лучшего. Но время работало против них. В результате мы получили скачок киберугроз и атак по цепочкам поставщиков (Supply Chain Attacks).
Во-вторых, проявился симптом «отравленных колодцев», а в нашем случае — инфицированных библиотек, к которым обращаются разработчики при написании своих программ. Они определяют геолокацию пользователя и прекращают работать на определенной территории или «окирпичивают» устройство, с которым взаимодействуют.
А кроме того, появилась проблема обновления ПО. Как это выполнить в условиях санкций, при том, что может произойти подмена источника обновлений или подмена обновления при транзите через третьи страны? Выстроенных процедур взаимодействия ИТ и ИБ при обновлениях мало, а их эффективность еще реже можно считать подтвержденной.
Но есть и третий уровень пирамиды доверия — уровень ИТ-инфраструктуры, на котором функционируют ПО и ИС. И тут ожидания доверенной электроники, собственного дизайна, производство, протоколы, то есть все свое на правильной безопасной архитектуре... Однако стоит признать, что Security Island, как островок безопасности на процессоре, мы позволить себе сегодня не можем, у нас нет таких технологий и возможностей производства.
Доверие к ИС можно получить лишь тогда:
- когда все ее элементы идентифицированы и аутентифицированы;
- система считается доверенной, когда каждый ее элемент является доверенным;
- уровень доверия напрямую влияет на уровень безопасности в ИС;
- уровень доверия к системе определяется по ее самому слабому звену — по самому низкому уровню доверия элементов, составляющих ИТ-инфраструктуру и ИС.
А потому задача обеспечения доверия в условиях Zero Trust начинает звучать с новой, удвоенной силой и обретает приоритетные смыслы.
Экономика доверия
Если уж мы заговорили о доверии, то будет уместно рассмотреть его с экономической точки зрения. Но мало кто понимает, что такое экономика доверия. Потому лучше пойти от противного и вспомнить, как выглядит экономика недоверия. Это куча согласующих, проверяющих, лицензирующих, контролирующих, рассматривающих, утверждающих, передающих, продлевающих… Это долго и дорого, а следовательно, бесконечно неэффективно.
Но у нас в памяти еще свежи воспоминания о цифровой экономике. С ней тоже не все просто, и мало кто смог доходчиво объяснить, что это такое. На самом деле термин «цифровая экономика» появился в европейских экономических кругах в середине 1990-х. И он предполагал экономику сокращения издержек при помощи цифровых технологий. Ярким примером такой экономики стал Uber Taxi. Между пассажиром и водителем только — цифровая платформа, которая позволяет им находить друг друга. Появился термин «юберизация».
Сейчас у нас на повестке нацпроект «Экономика данных». По сути, это логичное развитие цифровой экономики. И отдельно выделен трек обеспечения безопасности данных, включая защиту персональных данных граждан и борьбу с киберугрозами. Это очевидно, так как для цифровой экономики необходимо высокое качество данных, из которых будет получена информация. А информация является достоверной, если она правдива. Поэтому целостность, доступность, конфиденциальность — необходимые свойства информации, но уже недостаточные. Достоверность, объективность, полнота, актуальность, понятность, релевантность, эргономичность... — таков неполный список свойств информации в современном мире. И в основе лежит доверие к ней и доверие к информационным средам, которые обрабатывают данные для этой информации.
Выводы
Для решения задач построения доверия в современных условиях Zero Trust уже недостаточно глубоких познаний в одной лишь предметной области. Что толку, что каналы передачи данных надежно защищены, если мы контролируем подлинность источника обновлений? И проблема эта выходит за национальный периметр. Amazon Web Services внедрила технологию непрерывной идентификации пользователя, а не только в момент логина. А AWS планирует отслеживать специфичное поведение пользователей (например, то, как они держат телефон), чтобы убеждаться, что платежи совершают не боты.
Построение доверия ИС в условиях Zero Trust — это уникальный опыт, знания и практика, которые формируются в национальном экспертном сообществе. Это то, что может стать фундаментом для выхода на зарубежные рынки с методиками, подходами и решениями. Но для этого ИБ-специалистам необходимо не просто расширить, а выйти из зоны привычного им инженерного набора компетенций. Ведь эффективная кибербезопасность — это набор смежных знаний и умение с ними взаимодействовать.
Опубликовано 05.11.2024