Код безопасности: Защита цифрового суверенитета

Дата: 31.08.2021. Автор: CISO CLUB. Категории: Новости по информационной безопасности
Код безопасности: Защита цифрового суверенитета

Андрей Голов, генеральный директор компании «Код Безопасности», во время пресс-тура, прошедшего 28 августа в Нижнем Новгороде, рассказал о необходимости цифрового суверенитета. Редакция CISO CLUB внимательно выслушала доклад и задала эксперту несколько вопросов.

О балканизации Интернета

Код безопасности: Защита цифрового суверенитета
Андрей Голов

«Раньше Интернет был демократической площадкой – где все общались, ходили по различным веб-сайтам. Потом добавилась Интернет-торговля. В итоге Интернет стал пространством демократии и доверия. Затем через глобальные сети стали управлять информационными системами, которые непосредственно влияют на нашу жизнь. Но из-за геополитической обстановки некоторые страны стали друг другу недрузьями. Постепенно они поняли, что иностранные информационные системы оказывают большое влияние на жизнь населения, поэтому было бы неплохо ограничить сторонние сегменты Интернета.

В результате появился термин «балканизация Интернета». Он связан с распадом бывшей Югославии. Примерно то же самое стало происходить с Интернетом – началось формирование так называемых «точек влияния» информационного пространства, разделение сегментов по национальным признакам.

Код безопасности: Защита цифрового суверенитета

Исторически мы имеем двух мировых технологических лидеров – США и Китай. А в цифровом пространстве сейчас никто сильно никому не доверяет. Многие государства вообще раньше не задумывались об использовании иностранных информационных технологий, не понимали, зачем они нужны. Потихоньку они попали в «цифровое рабство».

Мало кто задумывается, что мы используем иностранные технологии и решения. На них строятся информационные системы, которые отчасти контролируют нашу жизнь. Например, корпорация Apple недавно объявила, что будет проверять фотографии на устройствах пользователей. По сути, она действует в рамках американского законодательства, но старается его применять на всех пользователей, вне зависимости от страны проживания».

О китайских компаниях как о «жертвах политического соперничества»

«Если приводить в пример других технологических гигантов, то стоит вспомнить о компании Huawei. Американские власти несколько лет назад сказали Китаю, что компании из США не будут с ними больше делиться технологиями и отберут лицензии на использование технологий.

Это напрямую коснулось многих китайских производителей, которые не понимали, как им работать, если нет возможности использовать ту же технологию Wi-Fi, операционную систему Android, процессоры известных производителей – Intel, AMD, Qualcomm.

Код безопасности: Защита цифрового суверенитета

У всех сразу пришло осознание того, в какой стране находятся основные патенты, располагается юридическая привязка использования технологий».

О важности создания цифрового суверенитета

«Почему же создание цифрового суверенитета так важно? Здесь есть прописные истины.

Нельзя полагаться на иностранные сервисы. Кто в Интернете воспитывает наших детей? Кто генерирует контент в YouTube и на других сервисах? Почему мы стараемся избегать облачных сервисов, например, Azure? Потому что на иностранных серверах хранятся персональные данные. Основная опасность – возможность на основе имеющихся данных построить математическую модель конкретного человека, влиять на него. Государство сейчас это всё прекрасно осознаёт и старается, насколько возможно, изменить ситуацию.

Код безопасности: Защита цифрового суверенитета

Власти ведут целенаправленную работу не только с точки зрения создания регуляционной базы, но и формирования технологического стека для построения цифрового суверенитета.

Аналогичная работа сегодня проводится и в других странах. У многих крупных государств пришло осознание, что не данные – это будущая нефть, а люди. Если людей государство сможет правильно обучить, насытить их технологиями, поставить векторы развития, то они разовьют экономику страны, что уже можно видеть на примере Китая».

Цифровой суверенитет: шаг-за-шагом

«При сотрудничестве с иностранными коллегами мы всегда начинаем взаимодействие с военными. В нашем понимании безопасность – это управление доступами, критичность данных. Затем идёт правительство, потому что оно заведует всеми основными электронными системами – пенсии, налоги, таможня, полиция, госуправление и так далее.

Где должна работать информационная безопасность? В критической инфраструктуре. Прежде всего, это те системы, которые обрабатывают данные граждан. Только после военных, правительства и критической инфраструктуры мы приходим к формированию национального облака и обслуживанию коммерческого рынка.  

Код безопасности: Защита цифрового суверенитета

Как это всё происходит? Изначально у нас всё начинается с криптографии, после речь идёт о доверенном оборудовании. У нас концепция крайне простая: у вас есть недоверенный компьютер, мы туда вставляем «маленький кусочек доверия» – небольшую платку, которая перехватывает на себя всё управление. Аналогичные решения работают у сетей, криптошлюзов и так далее.

Далее создаются локальные ИТ-продукты. Создание продукта – это не просто процедура, которую сделал и всё. Продукт постоянно надо модифицировать в правильном цикле. Процессы разработки должны быть крайне правильными, допустимыми.

Это не значит, что разработчики должны ограничиваться только своими решениями. Продукты «Кода Безопасности» разрабатываются не только нами. Мы используем компоненты других компаний, например, «Лаборатории Касперского», но при этом отслеживаем безопасность и логику их использования в продуктах.

Все продукты, которые создаются, должны проверяться и удовлетворять требованиям регуляторов. Сертификация ИТ-решений есть не только в России, но и в других странах

Код безопасности: Защита цифрового суверенитета

И последний момент – заниматься безопасностью должны те люди, которые этому учились, у которых есть необходимый технический уровень грамотности».

О компонентах цифрового суверенитета

«Если говорить о компонентах цифрового суверенитета, то стоит выделить процессы построения своих аппаратных комплексов. Мы начинаем с корня – с маленькой платы, которая делает устройство «доверенным».

К компонентам также относятся защита и контроль частного облака, а также контроль операционной системы. Контроль может быть внешней или внутренней. И последний компонент – защита сетевой инфраструктуры.

Код безопасности: Защита цифрового суверенитета

С этих четырёх компонентов можно начать выстраивание национального стека».

Чего ждать?

«В мире есть потребность в цифровом суверенитете. Если приводить конкретный пример, то это Пакистан и Индия, которые конкурируют за экспорт китайских товаров. Через весь Пакистан проходит дорога, идущая в порт Карачи, мимо индийского полуострова. Это дешево, просто, быстро с точки зрения экспорта. Затем на пути встаёт таможня. Ведь все товары надо посчитать. Сейчас это электронная таможня, в которой происходит электронное декларирование и электронный документооборот по товарам. И мы имеем битву за эти электронные сервисы между Индией и Пакистаном.

Код безопасности: Защита цифрового суверенитета

А Российская Федерация идёт немного другим путем, чем многие другие страны. Откуда взялась история про импортозамещение «железа» и ПО? У нас много технической экспертизы, мы умеем всё это делать, поэтому и есть возможность заместить иностранные продукты отечественными.

Наши коллеги из других стран не могут заменить иностранные продукты, поэтому спрашивают у нас о варианте решения проблемы. Мы им говорим – давайте контролировать те данные, которые вы обрабатываете. Например, мы бы могли перехватывать команды управления от иностранных ИТ-решений, а по факту управляли бы вы. Такой подход работает.

Интерес к этой теме не просто растущий. Он лавинообразный. Прежде всего, это связано с критической инфраструктурой – атаками на заводы, ИТ-компании. Люди осознают проблематику».

Редакция CISO CLUB после выступления Андрея Голова задала ему пару вопросов:

Зачем российские стандарты шифрования за рубежом, если есть Open Source продукты? Откуда доверие к России?

«Три года назад Россия осознала проблематику построения доверия между государствами. Появились правительственные комиссии, в которых мы участвуем. Когда приезжает кто-то на уровне премьер-министра, ключевого министра, рождается документ, в котором иностранных коллег описывают нашими союзниками. Появляются зачатки доверия. И мы теперь можем говорить не просто об экспорте или импорте продуктов, а о создании совместных предприятий и изучении технологий.

У нас действительно одна из самых крутых школ криптографии. И если ты честно и открыто общаешься с иностранными коллегами, ничего не пряча за спиной, то и доверие появляется. Американцы и китайцы такого не делают. И в отношении нас рождается новая ступень доверия.

Суть в том, что наши иностранные коллеги не хотят менять китайские или американские «коробки» на русские. Они уверены, что это бестолковое занятие. При этом они готовы создавать свои «коробки», базируясь на чьих-то технологиях. И, возможно, на наших. Они готовы это обсуждать, создавать технологические центры. Если говорить про Open Source, то это штука хорошая, но мало кто понимает, как это работает», — Андрей Голов, генеральный директор компании «Код Безопасности»

Код безопасности: Защита цифрового суверенитета
Павел Коростелев

На тему вопроса также высказался Павел Коростелев, руководитель отдела продвижения продуктов «Кода Безопасности»: «Многие страны говорят, что они хотят сознательно уйти от американской системы шифрования, чтобы создать локальные решения. Чтобы показать, что они в этом цифровом мире развиваются самостоятельно. И как символ этого, берут и разрабатывают что-то своё. Это становится таким же важным, как собственное законодательство. Они показывают, что в стране есть своя система управления, и они ни от кого не зависят. У стран появляется собственные ИТ, и это такой же символ суверенитета, как независимая экономика».

Не слишком ли сильно мы доверяем государству?

«Меня постоянно СМИ спрашивают – от кого мы защищаемся? Может быть не стоит защищаться от ИТ-корпораций и от спецслужб других стран, а следует защищаться от наших спецслужб, которые постоянно пытаются куда-то проникнуть и что-то узнать?

Мой ответ будет как от простого гражданина России. Я гражданин РФ, работают по тем законам, которые действуют в стране, плачу налоги. Поэтому убежден, что у меня есть право спросить с ответственных лиц, что происходит с моими данными. Это их задача – защищать нашу Родину. А я за это им плачу зарплату в виде своих налогов.

А когда мы говорим о сотрудниках иностранных спецслужб, как бы то ни было, они защищают свою страну. И когда мне говорят, какая корпорация Apple правильная, то надо понимать – она отстаивает национальные интересы», — Андрей Голов, генеральный директор компании «Код Безопасности»

Код Безопасности - российский разработчик программных и аппаратных средств, обеспечивающих защиту информационных систем, а также их соответствие требованиям международных и отраслевых стандартов. Компания основана в 2008 году и ведет свою деятельность на основании девяти лицензий ФСТЭК России, ФСБ России и Министерства обороны Российской Федерации. Более 60 действующих сертификатов, выданных этими органами, подтверждают высокое качество продуктов и позволяют использовать их в информационных системах с самыми жесткими требованиями к безопасности. Продукты компании применяются для защиты конфиденциальной информации, коммерческой тайны, персональных данных и сведений, составляющих государственную тайну.  Свыше 900 авторизованных партнеров компании поставляют ее продукты и обеспечивают их качественную поддержку во всех регионах России и в странах СНГ. Более 32 000 государственных и коммерческих организаций доверяют продуктам «Кода Безопасности» и используют их для защиты рабочих станций, серверов, виртуальных инфраструктур, мобильных устройств и сетевого взаимодействия всех компонентов информационных систем.
CISO CLUB

Об авторе CISO CLUB

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO CLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *