Проект «Пандора»

Сергій БЄЛОВ,
начальник відділу інформаційної безпеки АТ «ВАБанк»,
Сергій МАРТИНЕНКО,
начальник відділу інформаційної безпеки АТ «Укрінбанк»

У Верховній Раді навзамін чинного закону зареєстровано проект про захист інформації в автоматизованих системах. У разі його ухвалення захистити бізнес-інформацію буде... проблематично.

Антизахист

Нині майже всі організації мають свої автоматизовані комп’ютерні системи й використовують інформаційні технології з виробничою метою (щонайменше — бухгалтерія, складський облік тощо). Тому Закон «Про захист інформації в автоматизованих системах» (№ 80/94-ВР) практично безпосередньо стосується всіх бізнес-структур. Однак торік Верховна Рада прийняла за основу законопроект «Про захист інформації в інформаційно-телекомунікаційний системах», що планується навзамін чинного. Законопроект розроблявся для виконання завдань, поставлених Президентом (указ № 1193 від 6.12.2001) і Кабміном (постанова № 1694 від 14.10.2001). Тоді було доручено розробити законопроект з урахуванням рекомендацій Парламентської Асамблеї Ради Європи щодо протидії міжнародному тероризму, а також визначити механізми проведення моніторингу мережі передачі даних згідно з положеннями Резолюції Ради Європи ENFOPOL 98. Мета актуальна.

Розвиток сучасних інформаційних технологій, зокрема й інтернету, привів до появи нових видів злочинів. Використання національних і глобальних мереж зв’язку, фактична відсутність кордонів у відкритому інформаційному просторі утруднюють вживання ефективних заходів щодо виявлення й припинення таких злочинів. Тому Рада Євросоюзу прийняла низку актів, спрямованих на вирішення цих проблем. Серед них уже названа ENFOPOL 98, а також Резолюція Ради ЄС від 20 червня 2001 року про оперативні запити правоохоронних органів щодо телекомунікаційний мереж загального користування та послуг і Резолюція Ради від 17 січня 1995 року про законне перехоплення телекомунікацій. Як випливає навіть із назв указаних актів ЄС, одне з основних завдань «українського» законопроекту — забезпечити законне перехоплення інформації в телекомунікаціях.

Однак ефект від можливої дії норм проекту закону, у разі його ухвалення, може бути прямо протилежний очікуваному. Головною вадою законопроекту є невідповідність його змісту чинному національному та Європейському законодавству, як, утім, і задекларованим завданням. Та за докладного розгляду проект і засади, покладені в основу його розробки, не мають достатнього обгрунтування з погляду заміни усього чинного Закону.

Наприклад, некоректні передусім щодо бізнесу деякі терміни та визначення проекту. Водночас взагалі відсутні необхідні терміни, такі як «персонал системи», «порушник», «порушення роботи системи» порівняно з чинним законом. Як випливає з пояснювальної записки до проекту, одна з найважливіших його цілей — урегулювання відносин між учасниками інформаційних систем. Однак цього не сталось. У проекті не визначено або є суперечливими відносини (права й відповідальність) більшості суб’єктів цієї сфери — розпорядників інформації та систем з їхніми власниками, а також з користувачами інформації. Це, зокрема, стосується відносин між власниками та розпорядниками (і систем, й інформації), а також нового суб’єкта — «уповноваженого центрального органу виконавчої влади в сфері криптографічного та технічного захисту інформації». За таких умов викликає сумнів те, що впровадження «комплексної системи захисту» обійдеться без значних фінансових витрат, як це зазначено у фінансово-економічному обгрунтуванні проекту.

Хто ж матиме права адміністратора інформаційної системи?

«У випадках, передбачених законодавством України, доступ до інформації в системі може здійснюватися без дозволу її власника», — зазначено в одній зі статей проекту. А якщо дотримуватися всіх положень проекту, доступ до інформації чи системи без дозволу її власника — це можливість виконання однієї чи кількох операцій, зокрема, введення, запису, зміни, видалення, передачі. На практиці такий доступ може спричинити великі неприємності для бізнесу. Наприклад, якщо інформаційна система — це банківська система електронного грошового обігу, то подібні дії — можливість увести новий або змінити наявний і передати платіжний документ (кошти) без дозволу власника системи (банку), що є вже предметом Кримінального кодексу України. Найцікавіше, що спочатку (якщо звернутися до завдань проекту) йшлося лише про перехоплення в телекомунікаціях — пасивний доступ, тільки на читання і лише в каналах зв’язку, телекомунікаціях. Причому тільки в мережах загального користування і послуг, а не активний доступ (уведення, запис, видалення тощо) на правах суперадміністратора до будь-яких інформаційних систем і даних у них.

На допомогу хакеру...

Згідно з проектом закону власник системи має надавати «... технічні дані й можливості захисту інформації в системі» її користувачам — власникам інформації. Проте... Технічні дані захисту інформації — це основа дій будь-якого хакера. За відкритості таких відомостей імовірність несанкціонованого проникнення в систему значно зростає, особливо враховуючи те, що цілком захищених і безпомилкових систем немає.

Це положення може застосовуватися тільки для систем з одним власником інформації.

Ризики й відповідальність

Одна зі статей проекту визначає, що власник системи встановлює правила і забезпечує захист інформації в ній, однак інша ці права перекреслює. Згідно зі статтею 10, захист інформації в будь-якій системі забезпечується впровадженням комплексної системи захисту інформації. Порядок створення й вимоги до неї визначаються уповноваженим центральним органом виконавчої влади у сфері криптографічного й технічного захисту інформації (монополіст і для державної, і для комерційної сфер). Причому для створення такої комплексної системи захисту можуть використовуватися тільки засоби, які мають або відповідний сертифікат, або експертний висновок, або дозвіл на їх застосування, виданий цим уповноваженим органом.

На відміну від чинного Закону в проекті взагалі не передбачено права власників систем або інформації, які не обробляють державну інформацію, а лише вказано відповідальність за ризики, якщо систему не забезпечено комплексною системою захисту.

Нагадаймо, що в чинному Законі визначено, що вимоги і правила щодо захисту інформації, яка є власністю держави або захист якої гарантує держава, встановлюються держорганом, уповноваженим Кабміном. Ці вимоги і правила є обов’язковими для власників АС, де така інформація обробляється, і мають рекомендаційний характер для інших суб’єктів права власності на інформацію. Можна лише припускати, з яких причин положення про обов’язковий і рекомендаційний характер зникло в новій редакції закону.

Водночас, якщо система повністю відповідає вимогам уповноваженого центрального органу виконавчої влади і забезпечена комплексною системою захисту, то на кого покладається відповідальність у разі завдання збитків при використанні «сертифікованих» засобів захисту. Особливо якщо доведено, що збитки спричинені саме невідповідною сертифікацією/висновком/дозволом чи невідповідними вимогами до самого комплексного захисту?

Загалом обов’язковість сертифікації, експертних висновків чи дозволів на використання засобів захисту суперечить європейському законодавству, зокрема директивам європейського парламенту і Ради ЄС про електронний підпис і електронну комерцію, а також директиві ЄС про відкриття й діяльносість установ-емітентів електронних грошей і нагляд за цією діяльністю.

Майбутнє...

У разі втілення проекту в закон прогноз можливого розвитку ситуації виглядає сумно — проект фактично регламентує безпосереднє втручання в роботу будь-яких систем без урахування їхньої чутливості до таких дій.

Для створення доступу до системи без відома її власника необхідно забезпечити «чорний вхід» («люк»), який недоступний та/або невідомий власникові і яким можна скористатися будь-коли. Особливо «ефективний» такий вхід для користувачів, включених у мережі загального користування на зразок інтернету — гуляй, хакере!

Якщо проект стане законом, купуючи якийсь продукт вітчизняних розробників, компанія дуже ризикує своєю інформацією, бо розробники — люди підневільні (діяльність у сфері захисту інформації підлягає ліцензуванню), законослухняні і, якщо цього вимагає закон, повинні зробити у своєму продукті щонайменше один «чорний вхід» для правоохоронців. Таким чином, про цей «люк» уже знають двоє — розробник і той, для кого його зроблено. Однак, що відомо двом, то (може стати) відомо й....

У світовій практиці однією з основних вимог користувачів до розробників програм є відсутність «люків» (так звана умова No bags). Якщо проект стане законом, то цю вимогу до наших розробників не можна буде застосовувати. З огляду на це особливо «перспективним» виглядає і прагнення перейти на «вільне» програмне забезпечення типу Linux, що має сертифікат уповноваженого центрального органу виконавчої влади у сфері криптографічного й технічного захисту інформації. З урахуванням «лазівок» навіть використання криптографії не дасть достатньої упевненості в достовірності інформації — може, її потайки відключили?

---

Як самому захистити свою інформацію

Є способи самостійно і за відносно невеликих витрат забезпечити достатній рівень захисту вашої інформації. Не секрет, що майже всі персональні комп’ютери в Україні працюють в операційній системі Windows. Тут уже вбудовано засоби криптографічного захисту інформації — і шифрування, й електронний підпис. Починаючи з версії Windows NT4/2000 і старий, ці засоби мають сертифікати FIPS з безпеки. Таким чином, є можливість шифрування персональної інформації на комп’ютері (на рівні файлової системи), а також можливість підписати й зашифрувати інформацію у разі передачі її каналами зв’язку. Ці засоби можна також використовувати для авторизації доступу до комп’ютера, мережевих серверів тощо. Наявні засоби криптозахисту можуть включатися в різні прикладні програми, зокрема й в електронну пошту. Передбачено підтримку засобів зберігання ключової інформації від мінімального (на диску комп’ютера) до максимального рівня безпеки (на криптографічних смарт-картках).

Для персонального комп’ютера слід активізувати необхідні засоби захисту, згенерувати на вашому комп’ютері криптографічні ключі цифрового підпису й сертифікувати відкритий ключ у доступному центрі сертифікації ключів (як і передбачено законом про електронний цифровий підпис). Для мережевого рішення — встановити сервер Windows 2000/2003, в якому вже є власний/вбудований центр сертифікації ключів та організувати криптографічний захист для всіх користувачів вашої мережі, зокрема при зв’язку із зовнішніми партнерами на рівні електронної пошти. Для інших (не Windows) платформ реалізація також можлива, є кілька програмно-технічних рішень, що відповідають міжнародним стандартам.

Обговорити на форумi

На початок

Версія для друку		Відправити поштою
Оцiнити статтю		Ваш коментар