В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Что говорят противники идеи влияния технологий на стратегию ИБ? Вот одна из цитат: "Стратегия все-таки пишется для долгосрочного планирования, если на нее существенно влияют новые технологии, то это какая-то так себе стратегия". И это верно, но при одном условии. Написанная стратегия действительно была ориентирована на долгосрочное планирование, и при ее разработке учитывалось появление новых технологий. Все-таки сегодня нет ничего такого, что выскакивает как чертик из табакерки и ранее не было известно. Почти все, что мы так или иначе называем сегодня "прорывными технологиями", известно не один год, и поэтому они могли быть учтены при создании стратегии. Если же этого не было сделано изначально, то можно ли говорить о наличии стратегии? Скорее, речь идет о тактических и краткосрочных документах с красивым названием, за разработку которых были заплачены немалые деньги. Если же мы создаем стратегию после появления новых технологий, то они могут и должны влиять на ее содержание. Именно об этом случае мы и поговорим.
Чтобы не распыляться по всему спектру новых технологий (а в будущем, согласно разли-чым форсайтам, может появиться еще два-три десятка совершенно новых технологий, которые могут изменить текущий расклад сил и то, как трансформируется бизнес), попробуем сфокусироваться на тех, что сейчас активно осваивают различные отрасли экономики. В первую очередь это четыре технологии: блокчейн, биометрия, квантовые вычисления и искусственный интеллект.
Что надо учесть в стратегии ИБ с точки зрения потенциальной вероятности появления квантовых компьютеров в относительно ближайшем будущем? Это как раз тот случай, который нужно предусмотреть в стратегии, выстроенной на достаточно длительный срок – 7–10 лет. Именно на этом временном горизонте, если верить экспертам, появится действующий квантовый компьютер, который может поставить много вопросов перед используемой сейчас криптографией. Как известно, квантовые компьютеры позволяют проводить вычисления на совершенно иных скоростях, чем современная вычислительная техника, что делает задачу дешифрования зашифрованного текста вполне реальной. Если у нас есть данные, которые требуют обеспечения для них конфиденциальности на срок 10 лет и более, то вопрос выбора правильной криптографии для них стоит наиболее остро и квантовые компьютеры могут стать для таких данных вполне реальной угрозой, к которой надо готовиться уже сейчас.
Квантовые вычисления
С точки зрения квантовых вычислений вся криптография может быть разделена на два типа – квантово-безопасная и квантово-небезопасная. К первой относятся многие симметричные алгоритмы (в т.ч. AES или ГОСТ Р 34.12–2015), но с увеличенной как минимум вдвое длиной ключа (какая длина будет достаточной, кстати, пока неизвестно). А вот криптоалгоритмы, базирующиеся на сложности факторизации целых чисел (например, RSA) или дискретного логарифмирования (например, Эль-Гамаль или эллиптические кривые), не являются квантово-безопасными.
На какие вопросы вы должны будете ответить в своей стратегии? Я бы выделил четыре ключевых:
В отличие от квантовых компьютеров, которые пока видны на горизонте, биометрия уже прочно вошла в нашу жизнь, и многие компании не только активно используют встроенные в мобильные устройства технологии типа Touch ID или Face ID, но и внедряют самостоятельные решения для идентификации и аутентификации своих пользователей с помощью различных биометрических факторов (голос, геометрия лица, отпечатки пальцев, геометрия ладони и др.). Для многих это не является необходимостью, а скорее демонстрирует "продвинутость" компании, которая может обойтись слишком дорого.
Биометрия
Какие особенности надо учитывать при решении бизнеса внедрять биометрию? Я бы выделил также четыре основных вопроса, к которым надо быть готовым:
Ваша компания решила внедрить у себя блокчейн. Для контроля цепочки поставок, для ведения базы данных мошеннических операций, для борьбы с контрафактом, для контроля активов, для ведения юридически значимых реестров/кадастров/баз данных, для проведения платежей… Отговорить свое руководство не удалось, и вам надо понять, насколько ваша текущая стратегия ИБ учитывает новую, широко разрекламированную технологию, сулящую множество преимуществ.
Вы, безусловно, слышали, что блокчейн – это распределенная структура, в которой узлы взаимодействуют друг с другом по принципам P2P-сети; что каждый узел имеет копию всего распределенного реестра (всех транзакций); и что чем больше узлов, тем блокчейн устойчивее. При этом с точки зрения безопасности считается, что блокчейн изначально защищен на алгоритмическом уровне и почти не подвержен атакам.
Блокчейн и смарт-контракты
Однако на самом деле все обстоит немного иначе. Бизнес почти никогда не применит открытый публичный блокчейн, знакомый нам по множеству криптовалют. В бизнес-проектах применяется закрытый блок-чейн – публичный (или консорциум) или частный. В последних двух случаях многие свойства блокчейна становятся не такими очевидными. Во-первых, у вас ограниченное число участников. А во-вторых, у вас может появиться центральный орган контроля (в частном закрытом блокчейне). В таких условиях ваша стратегия ИБ должна быть готова к ответу на следующие вопросы:
Возможно, вы планируете использовать не сам блокчейн, а его производную – смарт-контракты, т.е. код, который запрограммирован на автоматическое исполнение в децентрализованной сети, когда выполняются определенные условия или правила. В смарт-контрактах гарантируется исполнение договоров именно так, как определено, и невозможно внесение каких-либо изменений никаким из объектов в распределенной сети. Смарт-контракт беспристрастен, прозрачен, некоррумпирован и построен на устойчивом к атакам блокчейне. Идеальная ситуация для бизнеса, не правда ли?
Но не стоит забывать, что смарт-контракт – это обычный код, который пишут люди, которым свойственно ошибаться (случайно или осознанно).
Сегодня известно немало атак на смарт-контракты (BatchOverflow, MAIAN, Reentrancy, Bad Randomness и др.), в результате которых участники договорных отношений теряли деньги.
Я бы включил в разрабатываемую или обновляемую стратегию кибербезопасности ответы на следующие вопросы:
Поэтому дополнительно к вопросам, которые должны быть учтены в стратегии ИБ для блокчейна, я бы добавил еще ряд для смарт-контрактов:
"Искусственный интеллект" – очень неудачный перевод английского Artificial Intelligence, который уже прижился в русском языке, но не отражает реальной сути этой технологии, которая на самом деле не нова (первые работы в этой области можно отнести к середине прошлого века), но именно сейчас она переживает новый виток своего развития, что обусловлено и наличием больших объемов данных для анализа, и новыми задачами, и грядущим появлением квантовых вычислений. С точки зрения стратегии кибербезопасности предприятия искусственный интеллект интересен нам в трех областях:
Мы сейчас коснемся последних двух вопросов, так как первый очень обширен и сам по себе требует отдельной статьи о том, как применяется ИИ в кибербезопасности. Итак, как можно атаковать искусственный интеллект? Есть несколько точек приложения сил злоумышленников, основными из которых являются две:
Искусственный интеллект
Но это в теории. На практике мы должны учитывать весь жизненный цикл применения искусственного интеллекта, и поэтому нельзя не брать в расчет возможные атаки на специалистов, занимающихся разметкой обучающих данных (для алгоритмов машинного обучения с учителем, Supervised Learning), а также на систему взаимодействия ИИ с другими компонентами. Схожую идею мы рассматривали в разделе про биометрию: необязательно атаковать сам процесс обучения и принятия решений, достаточно просто подменить вердикт в процессе его передачи.
Исходя из вышеописанного, я бы включил в разрабатываемую или обновляемую стратегию кибербезопасности ответы на следующие вопросы:
Вновь возвращусь к дискуссии, упомянутой в начале статье. Сейчас, после анализа четырех прорывных технологий (а их больше, размер статьи не позволил говорить про большие данные, дополненную и виртуальную реальность, роботов и Интернет вещей) и прочтения каждой из четверки вопросов, вы можете с уверенностью сказать, что да, на все 16 вопросов наша стратегия ИБ уже сейчас дает ответы? Если ваш ответ будет утвердительным, то я вас поздравляю! Вы действительно стратег в области ИБ и подошли к вопросу разработки стратегического документа, определяющего развитие вашей системы кибербезопасности на годы вперед, с полной серьезностью. В этом случае я признаю, что коллеги, отвечавшие, что новые технологии не должны влиять на стратегию ИБ, правы. Если же какие-то вопросы у вас остаются без ответа, а может быть и вовсе у вас не всплывали в голове до начала чтения этой статьи, то правы будут те, кто утверждает, что новые технологии влияют на стратегию ИБ. Перед вами встает непростая, но интересная задача – пересмотреть разработанную вами дорожную карту, направленную на повышение защищенности вашего предприятия в информационной сфере. Да и время сейчас самое подходящее – начало года.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2018