Возможности, открывающиеся вследствие стремительного развития электронных технологий, привлекают не только пользователей и представителей бизнеса, но и государственные структуры, в первую очередь, спецслужбы. Поскольку сегодняшний уровень свободы в Украине не позволяет госорганам внедрять контроль над сетью без оглядки на общественное мнение, приходится действовать изощреннее. Обществу навязываются надуманные проблемы, начиная от запугивания абсолютно необоснованными идеями о возможности внешней агрессии на «слабое место в современной системе нацбезопасности» (читай – интернет), до преувеличения последствий от т.н. «проблемных вопросов», как то отсутствие национальной системы защиты и контроля информации, слабая техническая поддержка национального сегмента сети, администрирование домена .UA без участия госорганов и т.д.

История вопроса

Так получилось, что интернет в нашей стране стал относительно массовым явлением (по статистике, постоянными пользователями являются 7% населения страны) лишь в последние несколько лет. Причем на заре становления УАнета главную роль сыграли не государственные органы, а частные лица, которые, собственно, и положили начало развитию этого явления. Техническую поддержку, подключение к сети регионов взяли на себя образовавшиеся интернет-сервис-провайдеры. Информационное наполнение развивалось бесконтрольно, по мере увеличения количества пользователей. В начале 2000 года начали появляться первые бизнес-проекты, рассчитанные на украинскую аудиторию. Фактически до конца 2004-го интернет оставался средством массовой информации, не попавшим под влияние государственной власти и ее цензуру.

Вообще, история развития интернета как в нашей стране, так и за рубежом, является ярким примером самоорганизующейся инициативы частных лиц, общественных организаций и бизнеса. Государство к этому процессу подключается после того, когда становится невозможно игнорировать масштаб явления и его влияние в обществе, прежде всего, на политические процессы. Естественно, попытки взять под контроль УАнет предпринимались СБУ и ранее, однако вплоть до «оранжевой» революции власть не рассматривала сеть как средство массовой информации и коммуникации, способное организовать большие массы. Между тем, революция показала, что сеть – это не только удобное место слива компромата, а, скорее, оперативный источник информации, а также инструмент, позволяющий очень быстро объединить усилия миллионов людей. Например, «оранжевая» оппозиция для оперативного информирования граждан и их коммуникации активно использовала сайт maidan.org.ua, который не был чьим-то бизнес-проектом, но в считанные дни стал очень популярным ресурсом.

Бывшая оппозиция, ставшая новой властью, очевидно, понимает, что в будущем интернет точно так же может быть использован и против нее самой. Возможно, именно этим объясняется возросшая активность СБУ, главной задачей которой до последнего времени был тотальный мониторинг телекоммуникаций, и интернета в том числе. Сейчас же СБУ активно работает над созданием «Службы спецсвязи и защиты информации Украины», основной задачей которой задекларировано создание национальной системы защиты информации. Помимо этого, имеют место быть и такие проекты СБУ как отслеживание информации, передаваемой в сети, а также передача администрирования доменной зоны .UA под контроль государства.

Причем здесь США

Один из наиболее активно муссируемых мифов состоит в припысывании США полномасштабного контроля над сетью. Якобы в их распоряжении находится некий «рубильник интернета», дающий возможность американским спецслужбам в любой момент «выключить» из сети целые регионы или страны мира. Основанием для таких предположений является то обстоятельство, что некоммерческая общественная организация ICANN (интернет-корпорация по присвоению имен и номеров (сетевых адресов), участниками которой являются несколько сотен коммерческих предприятий, общественных и государственных организаций, а также частных лиц из различных стран), обеспечивающая слаженную работу интернета по всему миру, территориально расположена в США. Именно эта организация разрабатывает технические условия, обязательные для всех участников рынка, а также прописывает правила управления доменными зонами. Интернациональную природу ICANN демонстрирует тот факт, что ее совет директоров и исполнительный персонал состоит из представителей 7 государств, но свои функции ICANN выполняет на основании контракта с государственным департаментом США, в своей работе руководствуется законодательством этой страны. В свою очередь США выступает в роли гаранта, и в условиях четкого следования принципу разделения власти может влиять на деятельность ICANN исключительно судебными решениями.

Таким образом, заявления о том, что ICANN находится под контролем правительства США, выглядят по меньшей мере безосновательными. Но даже если предположить теоретически возможность агрессии со стороны США на электронную составляющую мировой экономики, «вырубить» интернет в любой отдельно взятой стране, в том числе и в Украине, – фактически невозможно. Сегодня всемирная паутина – это не единая сеть, а объединение совокупности сетей множества провайдеров по всему миру, и каждый континент управляет собственным адресным пространством, распределенным среди десятков тысяч связанных между собой компаний, предоставляющих телекоммуникационные услуги. «Вырубить» интернет гипотетически возможно только при единодушном согласии этих компаний. Допуская возможность отключения системы доменных имен по их географической привязке, к примеру, в доменной зоне .UA, можно с уверенностью утверждать, что национальный сегмент продолжит работу, но некоторое время его ресурсы могут быть недоступны зарубежным пользователям. Более того, продолжит работу множество национальных ресурсов, созданных в Украине и рассчитанных на жителей Украины, но зарегистрированных в других доменных зонах. Ведь на сегодняшний день все более-менее популярные интернет-ресурсы имеют адрес, зарегистрированный в доменной зоне международного масштаба (.COM, .NET, .ORG и др.), к примеру, bigmir.net, proUA.com, glavred.info.

Что же касается возможности спецслужб США отслеживать информационные потоки по всему миру, это также выглядит нереально – интернет-трафик проходит не через одну организацию, а через множество провайдеров. Техническая база США, как и любой другой страны мира, позволяет контролировать лишь собственный сегмент сети, да и то при условии, что провайдеры согласятся на их мониторинг – ведь подавляющее большинство каналов, используемых под интернет, принадлежат частным телекоммуникационным корпорациям. А для того, чтобы контролировать весь трафик, должны по крайней мере объединиться спецслужбы всех стран.

Аргументы СБУ

Итак, необходимость создания национальной системы защиты информации объясняется наличием угроз безопасности национальному сегменту сети. Начальник ДСТСЗИ СБУ Константин Бойко утверждает, что непосредственную угрозу для безопасности Украины представляют иностранные политические силы, разведуправления и экстремистские организации, способные направить ресурсы сети во вред государству. По его словам, уже тот факт, что оборудование в учреждении подключено к интернету, означает, что теоретически любой желающий может получить доступ ко всем хранящимся в электронном виде документам, спровоцировать через сеть сбой в работе таких стратегических объектов, как АЭС или системы координации транспорта.

Ко всему прочему СБУ оперирует такими данными, как рост количества попыток несанкционированного доступа и вирусных атак на информационные ресурсы государства. Между тем детальный анализ вышеперечисленных «проблем» техническими специалистами показывает, что на самом деле не все настолько опасно, как это преподносится.

На сегодняшний день существует множество изощренных и «непробиваемых» технологий защиты информации, вполне доступных субъектам уровня государства. То есть, не существует технической проблемы защиты информации – это задача, которая уже давно успешно решается в мировой практике. Вместе с тем, при всей изощренности и интеллектуальности технических решений, слабым звеном при утечке информации остается должностное лицо. Потеря данных, проникновение в информационные системы, взломы, заражение компьютерных систем вирусами происходят большей частью по вине человека – по причинам некомпетентности, несоблюдения инструкций, вследствие подкупа или вербовки должностного лица, наконец, просто по невнимательности или вследствие ошибок.

Человеческий фактор изучается и учитывается как самостоятельное направление, которое в хакерской среде получило название «социальной инженерии». Эта наука изучает возможность получения информации по причине человеческой глупости, невежественности и невнимательности, использования простых паролей, не принятии необходимых мер безопасности. Защита информации – это не технический, а административный вопрос. Прежде всего, необходимо внедрить и соблюдать правильный режим хранения и защиты информации, подразумевающий, в частности, создание обособленных защищенных внутренних сетей, которые не должны быть подключены напрямую к глобальной сети. Стоит отметить, что сегодня такие сети имеет большинство крупных коммерческих предприятий. Государству также доступны все технические средства для защиты своих внутренних сетей. В случае разумного использования государственных каналов спецсвязи и ведомственных физических каналов, которые, как правило, не связаны с сетями провайдеров, проблемы защиты информации просто не существует. Как, например, не существует проблемы пожарной безопасности при условии, что на защищаемых объектах применяется стандартный рутинный комплекс мер и мероприятий по ее обеспечению. Всевозможные атаки на интернет-ресурсы государственных органов в таком случае смогут привести исключительно к сбоям в работе интернет-сайта как внешнего источника открытой информации, но никак не к утечке информации, представляющей государственную тайну. Таким образом, мероприятия по защите государственных тайн должны проводиться внутри государственных организаций, а не в публичном интернет-пространстве.

Относительно же стабильности работы стратегических объектов государства (объекты энергетики, системы координации транспорта), специалисты утверждают, что информационные системы большинства из них разрабатывались еще во времена СССР, для передачи данных они используют свои собственные каналы и просто несовместимы с интернет-технологиями.

Хакеры и вирусы

Заявляя о хакерских и вирусных атаках на «информационные ресурсы государства» как о сложной и важной проблеме, СБУ не уточняет, какие именно имеются ввиду ресурсы – сайты государственных органов, все ресурсы, созданные гражданами государства, или же ресурсы, зарегистрированные в национальной доменной зоне .UA. Непонятен также источник показателей, которые приводятся в подтверждение заявлений: 1900 тыс. хакерских и 130 тыс. вирусных атак за 2005 год. Ведь внутренняя сеть любой организации ежедневно подвергается попыткам взлома, вирусным атакам, рассылкам спама. Чем более известен ресурс, тем больше его атакуют. В абсолютном большинстве случаев все эти явления пресекаются стандартными средствами защиты внутренней сети организации. Вообще, бессмысленно контролировать внешнюю среду, вместо того чтобы заботиться и укреплять саму систему защиты.

Кроме того, каждый интернет-сервис-провайдер и хостинг-провайдер предоставляет систему защиты от хакерских и вирусных атак, которая может пропускать какое-то количество спама, но в любом случае минимизирует его. Фильтрация спама осуществляется и на уровне конечного пользователя, то есть на его компьютере - с помощью специальных программ. Основной причиной поражения компьютеров по-прежнему остается вышеуказанный человеческий фактор: чаще всего человек сам из-за невнимательности или любопытства открывает зараженный файл, не использует защиту, предоставляемую операционной системой, не использует паролей или использует слишком простые пароли, которые легко подобрать.

Непыльная работа

Создание спецслужбой системы защиты и контроля информации от неких «угроз» позволит решить несколько важных для самой службы задач. Во-первых, таким образом СБУ создает себе пожизненную синекуру, поскольку контроль информационного пространства – задача неограниченного масштаба. Во-вторых, СБУ получает дополнительный перспективный источник доходов: средства, выделенные из бюджета, плюс регуляторный фактор – чем больше запрещающих/регулирующих актов, тем больше способов у чиновника заработать денег. Также следует понимать, что «безопасность», которую берутся обеспечить спецслужбы, так же эфемерна, как и «угрозы», о которых нам рассказывают. Реальная же угроза совсем в другом – если спецслужбы в своем рвении доберутся до контроля сфер, затрагивающих частную жизнь и коммерческую тайну, то кто будет контролировать сами спецслужбы? Ответ на этот вопрос известен давно и заключается он в степени развитости гражданского общества. Мы сами должны научиться разбираться в тех вещах, которыми пользуемся, понимать разницу между реальными и вымышленными угрозами, и требовать от государства защиты наших прав средствами, адекватными угрозам, и соответствующими демократическим стандартам. Если отдать инициативу государству, впустить в УАнет работников плаща и кинжала, вычистить их оттуда будет практически невозможно.

Комментарии

Павел Блоцкий, руководитель холдинга «Интернет Ивест» (Национальный регистратор доменных имен IMENA.UA и хостинг-провайдер MIROHOST):

Реальное положение дел показывает, что разговоры об угрозах безопасности всему национальному сегменту сети интернет, и о безопасности в самой сети, несколько не соответствуют действительности. Для человека не сведущего, не разбирающегося в технических вопросах, то, что публикуется от имени или с подачи чиновников и спецслужб, может показаться угрожающим. Для технического специалиста многие из этих угроз представляются надуманными, и то, что преподносится публике как проблема, для него выглядит как стандартная решаемая задача.

Существующие технологии при их правильном и системном применении обеспечивают достаточный уровень защиты информационных систем любого масштаба. Если речь идет о защите государственных интересов и тайн, то такая защита должна осуществляться не в ущерб конституционным и демократическим правам граждан. Ведь повышение контроля в первую очередь ударяет по простым людям.

Необходимо также учитывать, что усиление регулятивных мер, расширение контролирующих полномочий госучреждений и спецслужб, как правило, негативно сказывается на развитии бизнеса. А в нашей стране развитие IT -сферы и без того серьезно отстает от мирового уровня. Те меры, которые сегодня предлагает СБУ, в перспективе могут ограничить рост IT-бизнеса и серьезно затормозить развитие рынка. Это, в свою очередь, негативно скажется на развитии экономики страны, потому что она всецело зависит от развития информационной инфраструктуры.

Татьяна Черненко, директор компании «Хостмастер» (администратор домена .UA):

Даже не углубляясь в натяжки и искажения фактов, которые делаются теми, кто заявляет о каких-либо угрозах национальному сегменту сети интернет со стороны США, хочется отметить, что у них крайне странная логика. Угроза примерно такая же, как угроза ядерной бомбежки со стороны США. И если Украина добровольно отказалась от ядерного оружия, значит, угрозы нет.

Все эти заявления звучат с целью запугивания пользователей, которые не владеют знаниями о реальном положении вещей. Удивительно, но эти заявления украинских чиновников звучат в унисон с позицией далеко не самых демократических стран. Нам остается только согласиться с мнением представителей США о том, что они успешно выполняют свои функции и «нет повода допускать к управлению интернетом страны, многие из которых не являются образцом демократии». Не стоит забывать и о том, что ICANN сегодня представляет интересы не США, а различных организаций, внесших наибольший вклад в развитие интернета.

А с теми проблемами, которые есть в интернете (вирусы, спам, мошенничество, несанкционированное проникновение в компьютеры), справляются технические средства, давно применяемые интернет провайдерами и конечными пользователями. Непонятно, что может добавить здесь СБУ, ведь она не разрабатывает ни антивирусные, ни антиспамовые программы, ни средства сетевой защиты. Разрабатывать и контролировать выполнение процедур обеспечения защиты информации в сетях государственных структур – да. Но при чем здесь интернет?

http://it.proua.com/internet/2006/07/12/