«Инфотекс»

Владимир Игнатов: С переходом функций ФАПСИ в ФСБ возможна потеря главного — определенной независимости

Владимир Игнатов 
Интервью CNews. ru дал Владимир Игнатов, вице-президент компании «Инфотекс» по развитию продукта.

CNews. ru: Какие тенденции на рынке средств защиты информации являются определяющими сегодня, на ваш взгляд, и какие будут определять развитие рынка в ближайшие годы?

Владимир Игнатов: Тенденции рынка средств защиты информации сегодня и завтра определяются все большей интеграцией информационных технологий в единое сетевое пространство. Глобальные сети интегрируются с корпоративными сетями. Все большее число корпоративных сетей строится на базе услуг, предоставляемых местными телекомунникационными провайдерами. Все проще и проще становится получить высококлассный доступ в интернет любым индивидуальным пользователям. Быстрое развитие технологий Home Network, высокая доступность скоростных подключений через обычные телефонные линии по DSL-технологии, существенно улучшившееся качество соединений по стандартным технологиям Dial-up — все это позволяет переносить большую долю служебной деятельности на внеслужебные помещения.

 
Все большее количество различного рода услуг становится доступным через простое касание к клавиатуре своего компьютера. Сегодня уже можно точно сказать, что мой ноутбук, нахожусь ли я на работе, дома, в командировке в России или за рубежом не испытывает практически никаких проблем для получения доступа к информационным ресурсам (где бы они не находились) необходимым мне, как для служебной деятельности, так и для удовлетворения личных потребностей. На работе — локальная сеть и подключение к провайдеру по выделенной линии, дома — ADSL — через обычную телефонную линию, в командировках — локальная сеть коллег или обычная интернет-карта в гостинице. Соединиться с интернетом и со своим корпоративным ресурсом сейчас уже можно и из самолета, а в некоторых местах уже и из автомобиля.

Огромными темпами развиваются технологии беспроводных соединений. Этому способствует невысокие затраты на их организацию, простота развертывания, высокая мобильность, удобство и гибкость применения. На международной выставке Cebit в этом году оборудование, отвечающее стандартам IEEE 802.11, и являющееся лидером на рынке беспроводных сетей, было представлено большим количеством различных производителей. Наш опыт использования подобного оборудования действительно показывает, что оно доведено до высочайшей степени автоматизации настроек и не вызывает каких либо трудностей при развертывании сетей.

Из приведенных рассуждений естественным образом следует, что все большее значение приобретают средства защиты информации, обеспечивающие персональную сетевую защиту компьютеров, которые независимо от используемых коммуникаций позволяли бы гарантировать целостность данных, безопасность компьютеров и конфиденциальность информации. К таким средствам, безусловно, относятся программные средства VPN, интегрированные с персональными сетевыми экранами, которые, будучи установленными на компьютеры, позволяют обеспечить высокий уровень безопасности на самых небезопасных коммуникациях и позволяют спокойно воспользоваться всем вышеприведенным спектром сервисов и услуг. Высокая привлекательность этих технологий (конечно, это зависит от конкретных реализаций) определяется их прозрачностью для любых приложений и независимостью от операционной среды, что позволяет практически полностью отделить развитие всевозможных сервисов от проблем безопасности.

CNews. ru: Говоря о VPN, вы имеете в виду реализации, обеспечивающие создание защищенных виртуальных сетей, когда осуществляется прозрачное шифрование трафика между взаимодействующими компьютерами на сетевом уровне с одновременной фильтрацией трафика на этом же уровне?

Владимир Игнатов: Да. Любые другие реализации я не отношу к категории VPN, поскольку они не обеспечивают полного контроля трафика, поступающего на сетевые интерфейсы компьютера, и не являются прозрачными для многих приложений. Учитывая, что все большее число людей, особенно менеджмент разного уровня, использует в своей работе мобильные компьютеры и носители информации, высокий спрос приобретают средства, обеспечивающие прозрачное, незаметное для пользователя шифрование и расшифрование данных при их сохранении и считывании на дисках и носителях. Хранение ключей на съемных элементах — E-Token, смарт-картах и других носителях позволяют обеспечить конфиденциальность данных даже при полной потере контроля над компьютером или носителем информации. Безусловно, все более высокой популярностью будут пользоваться аналогичные средства защиты для карманных компьютеров, которые также все больше интегрируются с мировым сетевым пространством.

Компания «Инфотекс» является разработчиком и поставщиком именно такого типа решений, которые пользуются все большим спросом по мере развития технологий, о которых я упомянул выше.

CNews. ru: Насколько российские решения в сфере VPN сегодня конкурентоспособны в сравнении с продуктами иностранных компаний на отечественном рынке? Почему российским разработчикам пока не удается занять лидирующие позиции по продажам на внутреннем рынке?

Владимир Игнатов: На мой взгляд, российские решения достаточно конкурентно способны на отечественном рынке. Просто, я думаю, еще не настал момент истины и полного понимания того, что средства такого типа безусловны необходимы. По-прежнему считается, что можно найти массу бесплатных или условно бесплатных средств, которые обеспечивают отличную безопасность и больше ничего не требуется. Сейчас практически в каждом маршрутизаторе и других типах оборудования, продаваемого на рынке, объявляется наличие средств VPN и межсетевого экранирования. Поскольку отечественная техника подобного типа сейчас пока действительно не выдерживает конкуренции, то и решения VPN приобретаются как бы попутно с оборудованием. Отечественных производителей, работающих в области данных технологий, не так много и их решения вполне находят все возрастающий спрос на рынке. По крайне мере об этом я могу судить по спросу на нашу продукцию и деятельности отечественных интеграторов, предлагающих наши решения.

CNews. ru: Насколько для компании «Инфотекс» привлекательны рынки стран СНГ? Есть ли планы расширения рынков сбыта за пределами России?

Владимир Игнатов: Конечно привлекательны, и есть несколько примеров достаточно успешных проектов. Хотя, на мой взгляд, финансовый рынок в странах СНГ еще не в полной мере созрел для серьезных вложений в безопасность информационных технологий. Недавно мы открыли наш филиал в Германии, который, мы надеемся, сумеет наладить бизнес по продвижению наших решений на европейском рынке.

CNews. ru: Деятельность компании «Инфотекс» во многих направлениях регулируется лицензиями, выданными ФАПСИ. Следует ли ожидать каких-либо изменений на рынке в связи с упразднением этого ведомства, на ваш взгляд, или все останется по-старому?

Владимир Игнатов: Да, вы правы. Я считаю деятельность ФАПСИ, также как и Гостехкомиссии очень важной на рынке защиты информации. Это область, особенно криптография, является очень трудной для понимания людьми, не являющимися профессионалами. Когда я покупаю телевизор, я могу своими глазами и руками убедиться в его качестве. Шашлык может быть вкусным или невкусным. И даже в этих случаях, когда в качестве предлагаемых услуг можно убедиться на личном опыте, мы все же предпочитаем идти в надежные места, проконсультироваться со специалистами. Совсем другое дело, криптография. Слишком много здесь различных «тонкостей», недоучет которых может свести на «нет» все затраченные усилия по обеспечению безопасности.

Я до прихода в 1992 году в «Инфотекс» 20 лет служил в ФАПСИ, правда, тогда это называлось 8 Главное управление КГБ, и моя специальность — инженерная криптография. Все эти годы к нам постоянно приходили на отзыв изобретения в области защиты информации, как мы тогда говорили из «открытого мира». Я не могу вспомнить практически ни одного положительного заключения по этим изобретениям. Именно незнание авторами «тонкостей», возможных методов анализа приводили к такому печальному итогу. Тогда криптографическая наука была чрезвычайно закрытой областью.

CNews. ru: Сегодня ситуация в данной сфере изменилась?

Владимир Игнатов: Появилось много публикаций на эту тему, но по-прежнему не изменилось главное: надежность защиты практически невозможно «пощупать» руками. И без заключения профессионалов здесь никак нельзя обойтись. Очень важный вопрос — а кто является профессионалом? К сожалению, сейчас наблюдается очень похожая ситуация с изобретениями, о которой я рассказал. Только теперь это все на страницах журналов, в предложениях ряда фирм как отечественных, так и зарубежных и единственный способ притормозить непрофессионализм в очень сложной области деятельности, в которой на самом деле полностью разбирается очень небольшое число людей, — это лицензирование и сертификация со стороны профессионалов.

В связи с этим, я считаю роль ФАПСИ весьма важной именно как профессиональной организации в области защиты информации. Эта организация была сильным сдерживающим моментом от проникновения на рынок безопасности непрофессиональных решений, в том числе и зарубежного производства, где много рекламы, а вот с безопасностью — большой вопрос.

Я не считаю хорошим решение о ликвидации этой организации. Конечно, сама структура не исчезнет, а просто переместится скорей всего в ФСБ. Но мне кажется, что в этой ситуации потеряется ее главное качество — определенная независимость. С точки зрения защиты государственных секретов ситуация конечно не ухудшится, но вот на коммерческом рынке может возобладать тот самый непрофессионализм, поскольку у людей могут появляться опасения, что все, что одобрено ФСБ — то это обязательно защищено от всех, коме этой уважаемой организации и не всем это нравится.

В связи с этим ожидаю серьезного увеличения конкуренции с решениями в области безопасности со стороны зарубежных поставщиков. Ведь и сейчас, несмотря на сдерживание со стороны ФАПСИ, криптография уже присутствует практически во всем поставляемом импортном оборудовании и программном обеспечении. Не доверять решениям Microsoft в области безопасности уже все привыкли и не потому, что там работают непрофессионалы, а просто их продукт слишком сложен, чтоб не иметь проблем в области безопасности. Да им это и не очень нужно, поскольку их прекрасная ОС и так популярна. А вот другие поставщики оборудования и специализированного программного обеспечения могут существенно продвинуться на наш коммерческий рынок.

Впрочем, компания «Инфотекс» к этому готова, поскольку наша продукция в области безопасности находится в постоянном развитии и пользуется доверием со стороны пользователей.

CNews. ru: Какая организация, на ваш взгляд, наиболее эффективно справилась бы с ролью уполномоченного органа в сфере ЭЦП?

Владимир Игнатов: На самом деле, очень не простой вопрос. ЭЦП это отличный механизм для установления юридически значимых безбумажных отношений. Но все очень сильно зависит от той сферы деятельности, где ЭЦП используется. Если говорить о различных ведомственных системах, крупных корпоративных структурах, то у них должны быть собственные корпоративные удостоверяющие центры. И они должны строить отношения между собой на уровне взаимного признания сертификатов друг друга и заключения договоров между собой. Здесь абсолютно не видно потребности в построении вертикальной иерархии доверия, особенно, если эта цепочка доверия слишком длинная и в любом месте может порваться.

То же самое можно сказать о крупных банках, которые, выстраивая отношения со своими клиентами (юридическими лицами), будут больше доверять своим собственным удостоверяющим центрам или уполномоченным ими независимым удостоверяющим центрам. Что касается физических лиц, то здесь используются интеллектуальные карты, выдаваемые банком своим клиентам, и которые являются в своем роде ключом для доступа клиента к своему счету. Здесь главное безопасность доступа и юридическая значимость операции не является определяющей. Отношения строятся на доверии к банку. Об использовании ЭЦП на банковских картах я не слышал и большого смысла, на мой взгляд, это не имеет.

Другое дело массовое обслуживание населения, такими организациями как пенсионный фонд, налоговая инспекция, медицинское страхование и др., где человеку для проведения какой либо операции, получения справки по существу требуется предъявить свой паспорт. Так вот, если заменять паспорт электронной цифровой подписью, то такой сертификат должен выдаваться удостоверяющим центром паспортного стола или независимым удостоверяющим центром, но имеющим соответствующие права, предоставленные органом МВД.

И так, мой ответ: уполномоченным органом в ситуации, когда сертификат подтверждает личность человека, должно выступать МВД. Подтверждать же техническую состоятельность удостоверяющего центра в части используемого программного обеспечения и оборудования должно ФАПСИ.

CNews. ru: Почему компания «Инфотекс» не объявляет о финансовых результатах своей деятельности, как это делают все остальные информационно открытые предприятия?

Владимир Игнатов: Я думаю, здесь нет никакого секрета, просто об этом нас обычно спрашивают на различных тендерах, и в иных ситуациях мы просто к этому не привыкли.

CNews. ru: Может ли быть надежной защита данных, построенная исключительно на основе программных средств?

Владимир Игнатов: Смотря от чего или от кого, мы хотим защищаться. Если компьютер находится в многопользовательском режиме, то есть к нему имеют доступ несколько разных людей, способных устанавливать дополнительные нештатные программы, и требуется разграничение доступа к информации между ними, то лучше установить дополнительное устройство, обеспечивающее контроль целостности программного обеспечения на уровне BIOS. Если компьютер находится в индивидуальном пользовании, то защита программным способом может быть вполне надежной.

Именно такого типа средства и предлагает компания «Инфотекс». В особенной мере наши средства ориентированы на сетевую защиту компьютера, что, как следует из моего ответа на ваш первый вопрос, сегодня наиболее актуально. Сетевые атаки, к сожалению, это реальность. Современные операционные системы (ОС) относятся к программным продуктам высокой сложности, созданием которых занимается большие коллективы разработчиков. Детальный анализ этих систем провести чрезвычайно трудно. В связи с чем, продекларировать для них отсутствие штатных возможностей, ошибок или недокументированных возможностей, которыми можно воспользоваться через сетевые атаки, не представляется возможным.

В многозадачных операционных системах одновременно может работать много разных приложений, для которых также трудно обосновать отсутствие штатных возможностей, ошибок или недокументированных возможностей, позволяющих воспользоваться информационными ресурсами через сетевые атаки. В современных системах присутствует масса разнообразных механизмов удаленной загрузки и запуска исполняемых программ, проконтролировать работу которых очень сложно. Любые IP-пакеты, Ethernet-пакеты, если они не обработаны криптографически — легко подделать, подменить адреса, слегка подправить, создать новые, послать, перехватить и т. д. Если используется криптография только на прикладном уровне, то через сетевые атаки можно подобраться к ключам, подменить или добавить цифровые сертификаты, просто отключить защиту. Причем в локальной сети, если вам есть чего опасаться, можно получить даже больше проблем, чем при работе в глобальной сети.

CNews. ru: Насколько эффективно задачи VPN могут выполнять маршрутизаторы?

Владимир Игнатов: Вы же сами регулярно приводите статистику, что все неприятности (до 80%), связанные с нарушениями информационной безопасности, происходят в локальной сети. Поэтому, если вы защитите канал между двумя маршрутизаторами, то это слабо повысит вашу информационную безопасность. Более того, новые проблемы для вас могут создать в той локальной сети, с которой соединили свою локальную сеть. Для различных маршрутизаторов сейчас создали программных клиентов IPSEC, но они предназначены для удаленного доступа и совершенно не приспособлены для работы в локальной сети.

Кроме того, насколько хорошо в маршрутизаторе, решены вопросы безопасности, можно ли обойти защиту, отключить ее, вмешаться в сеанс связи, особенно, если используется технология распределения ключей PKI, один большой вопрос — все это очень не прозрачно. Проблемы усугубляются, если это Wireless Router. Мое мнение, что маршрутизаторы и другие канальные устройства должны хорошо решать, ту задачу для чего предназначены. А безопасностью должны заниматься специализированные устройства и ПО, и желательно, как можно ближе расположенные к объекту защиты. Ведь установив железные двери на подъезде, тем не менее, на своих квартирах мы устанавливаем еще более «железные» двери. Особенно это важно для мобильных компьютеров — его безопасность не должна зависеть от того места, где вы его подключаете к сети — на работе, дома, в гостинице, самолете и это вполне возможно.

CNews. ru: Не могли бы вы кратко сформулировать те принципы сетевой защиты, которые продвигает «Инфотекс»?

Владимир Игнатов: Наша компания ориентируется на создание программных решений, установкой которых на различные компьютеры, не важно где находящихся — снаружи, изнутри, на границе локальной сети, можно добиться наиболее оптимальной и эффективной степени защиты ресурсов и информации в корпоративной сети и на своих компьютерах от любых посягательств из внутренних и внешних сетей, исходя из важности информационного объекта и требуемой надежности защиты.

Эти программные продукты (речь идет о технологии ViPNet), будучи установленными на компьютере, обеспечивают полный контроль трафика, проходящего через сетевые интерфейсы компьютеров, фильтруют и шифруют его при взаимодействии с другими компьютерами с аналогичным ПО. Базисная составляющая этого ПО, собственно и осуществляющая контроль трафика, — Драйвер сетевой защиты, который загружается раньше других сетевых служб и перехватывает у сетевых драйверов ОС весь трафик, проходящий через них. Что очень важно, для операционной системы и работающих приложений этот драйвер совершенно не заметен, а они автоматически становятся защищенными. По этой же причине все те проблемы ОС и приложений, о которых я говорил выше, уже не имеют существенного значения. Здесь работает принцип узкого горлышка: легче запрудить речку в узком ущелье, чем в широкой долине.

Важно также, что преобразованный трафик, который поступает в сеть, — это совершенно стандартные IP-пакеты единого формата и единого UDP — протокола с портом назначения по умолчанию 55777 независимо от исходного протокола. Поэтому не возникает проблем при работе через любые межсетевые экраны и другие устройства, которые выполняют преобразование адресов (NAT).

В наших решениях нет никаких предварительных протоколов аутентификации, поэтому эти решения легко работают в локальной сети, не нарушая работу любых сетевых служб типа NetBIOS и других. Не накладывается никаких ограничений на количество сеансов, длительность сессий, не требуется никаких настроек для установления каждого нового защищенного соединения, как это происходит во многих VPN-решениях, базирующихся на IPSEC-протоколе. Программа автоматически адаптируется к сетевому окружению компьютера и автоматически обеспечивает хороший уровень безопасности при работе, в том числе и с открытыми ресурсами.

CNews. ru: Большой проблемой сегодня является уязвимость системы защиты со стороны всесильных администраторов.

Владимир Игнатов: В наших решения легко обеспечивается независимость безопасности от сетевых администраторов разного уровня, и их ошибки, сознательные или несознательные действия никак не влияют на защищенность вашей информации и компьютеров. Одновременно ПО ViPNet следит за приложениями, которые работают в сети и автоматически блокируют работу незарегистрированных программ («троянов»), попавших на компьютер и пытающихся работать в сети. Встроенные модули IDS контролируют и блокируют основные атаки, типа DoS, направленные на нарушение работоспособности компьютера. Предоставляется возможность создавать логические диски, в том числе на съемных носителях, на которых информация прозрачно для ОС сохраняется в зашифрованном виде.

ПО ViPNet автоматически поддерживает все новые технологические решения, которые сегодня используются для подключения к сети: это и различные Wireless-устройства, и MPLS и быстро развивающиеся технологии подключения к Интернет по протоколам DSL, PPP over Ethernet и многие другие.

Существует также ряд различных приложений системы ViPNet, которые позволяют решить многие задачи безопасного корпоративного общения. Ну и, наконец, в составе ПО присутствуют все технологические решения, типа удостоверяющего центра, центров регистрации и др., позволяющих развернуть всю необходимую инфрастуктуру для функционирования ЭЦП в соответствии с принятым Федеральным законом.

CNews. ru: Какие крупнейшие проекты компании в сфере ИБ были реализованы в прошлом году, какие намечены на текущий год?

Владимир Игнатов: Компания в последние годы пытается отказаться от собственного участия в реализации конкретных проектов в области информационной безопасности, предоставляя эту возможность компаниям — интеграторам, которые все с большим удовольствием используют в этих целях наши технологические решения. У нас есть центр обучения, представители многих компаний — интеграторов прошли обучение в этом центре. Мы стараемся сосредоточиться на дальнейшей разработке технологий безопасности и поддержке компаний — интеграторов. Это оправдывает себя, как с точки зрения бизнеса, так и качества разрабатываемых решений. Конечно, остаются отдельные проекты, которые мы выполняем и собственными силами. Но сегодня это уже исключение из общего правила.

В прошлом году нашими партнерами на базе технологии ViPNet с нашим и без нашего участия выполнено достаточно много интересных проектов. Один из крупнейших проектов, который продолжает развиваться и сегодня, это защита сети Пенсионного фонда России. Тендер на эту работу выиграла компания «Ланит». Уже сейчас функционирует виртуальная защищенная сеть Пенсионного фонда, охватывающая все 89 регионов России. Сначала были расставлены узловые точки: компьютеры на входе локальных сетей региональных отделений с ПО ViPNet [Координатор] и клиентские модули ПО ViPNet [Клиент] в районных отделениях.

Сейчас, по мере развития корпоративных сетей пенсионного фонда в регионах, ViPNet [Координаторы] устанавливаются и на районном уровне. В виртуальной сети функционирует уже несколько сотен компьютеров с ПО ViPNet [Координатор]. В этом году их количество должно дойти до 700 штук. Одновременно в сети работает несколько тысяч клиентских модулей, выполняющих индивидуальную защиту компьютеров. Общее количество установленных клиентских мест в этом году должно достигнуть 6 тысяч. Первоначально вся сеть управлялась из единого Центра в Москве, но по мере ее развития, стало ясно, что требуется децентрализация управления. Поэтому уже примерно в 10 регионах развернуты виртуальные сети с собственными средствами управления (ПО ViPNet [Центр управления сетью] и ПО ViPNet [Удостоверяющий и ключевой центр]). Все виртуальные сети взаимодействуют между собой в автоматическом режиме, но задача управления существенно упростилась. В этом году намечено развертывание собственных виртуальных сетей еще в нескольких регионах.

Развертывание защищенной виртуальной сети Пенсионного фонда стало хорошей предпосылкой для организации безопасного подключения работодателей к сети ПФР для автоматической сдачи отчетов. В ряде регионов местные интеграторы производят установку клиентских рабочих мест работодателям, которое позволяет обеспечить безопасное подключение, а с использованием модуля ViPNet [Деловая почта] доставить, причем с юридически значимыми подтверждениями, отчеты в соответствующие отделения ПФР.

В республике Башкортостан компанией «Ланит» при нашем участии реализован проект по информированию застрахованных лиц о состоянии своего счета. Удостоверяющий центр, регистрационные пункты для выдачи интеллектуальных карт с секретным ключом и сертификатом ЭЦП застрахованным лицам или регистрации имеющейся у застрахованного лица смарт-карты банка, информационные киоски и терминалы для доступа к своему лицевому счету — все это реализовано на основе технологии ViPNet.

Продолжается реализация целая серия интересных проектов в МПС на железных дорогах России. Реализованные нашими партнерами проекты в Минэкономразвития, Минфине, МИДе и многие другие свидетельствуют о том, что наши решения по безопасности удобны, надежны и им доверяют.

CNews. ru: Спасибо.


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2003 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS