Ну а «импортные» средства защиты и/или мониторинга коммерсанты могут у себя поставить?

С.: Их невозможно лицензировать. То есть для внутрикорпоративного использования — ради бога. Для обмена с Центробанком и госорганами — будь любезен поставить сертифицированные средства.

В Германии в начале 2000-х государство рекомендовало бизнесу использовать для деловой переписки программу GPG (опенсорсный аналог знаменитой PGP).

C.: Наши стандарты на электронную цифровую подпись построены на алгоритме типа Эль-Гамаля. Поэтому PGP, RSA и все, что вокруг них, у нас не лицензируется, насколько мне известно. Но там, где не нужна лицензия, — пожалуйста. Де-факто PGP сейчас почти стандарт для шифрования частной переписки в Интернете.

А опенсорсность дает преимущество в надежности? Ведь программу могут проверять все желающие.

С.: Чтобы аккуратно просмотреть такие коды, нужны огромные затраты, надо надолго занять группу высококлассных спецов. В Минатоме в начале 90 х изучали коды Microsoft Windows одной из тогдашних версий (они были предоставлены Microsoft в полном объеме), в связи с установкой специального ПО на предприятиях атомной отрасли по программе контроля за ядерными вооружениями. Аналогичная история была позже, в связи с использованием программ под Windows в госструктурах. Коды были открыты на каких то сверхжестких условиях, смотреть можно было только в отдельном помещении, с дискетой не заходить, смотреть с экрана и т. п. — но тем не менее. В результате — отдельные куски проанализировали, ничего не нашли. Ну и что? Полностью все эти гигабайты невозможно проанализировать. То же самое и с опенсорсом.

У нас есть разработки своих защищенных операционных систем?

Я.: Леонид, что значит «у нас»? Все равно каждая фирма, организация доверяет только себе. Из-за того, что сегодня все демократично, понятие «у нас» лишается того смысла, который вы, я полагаю, в это слово вкладываете.

С.: Классический пример. Я вел переговоры с одним банком о проекте по оценке их инфобезопасности. Говорю: в нашем институте есть специалисты, которые могут провести так называемое «обследование безопасности информационных систем» (мы такие работы часто делаем, в том числе для коммерческих фирм). Объясним, где у вас дыры могут быть. Смотрю — нет реакции. Потом объясняют: «Алексей, приходи к нам в банк работать, и тогда ты это сделаешь. Но заказывать на стороне такое исследование мы не хотим, потому что придется раскрыть информацию, которую не хотим раскрывать. Мы доверяем только себе и своим сотрудникам». Это просто классический пример отношения к внешнему аудиту.

И в критических ИС то же самое?

С.: Естественно.

Я.: Я совсем по-простому скажу. Вторая сторона вопроса — не всегда даже крупный игрок заинтересован, чтобы у него не было дыр в ИБ.

Почему?

С.: Потому что иногда он думает: «Если ты придешь ко мне и сделаешь все как надо — как же я тогда буду воровать деньги?»

С.: Пример с нестыковкой ведомств в Нью-Йорке, о котором мы говорили, показывает одну из самых больших опасностей, связанных с ИБ критических ИС. Эти ИС — огромные и очень сложные, но часто построены на сегментах, которые мало связаны друг с другом. Внутренние сети министерств и ведомств очень плохо совместимы, и это глобальная проблема. К счастью, этим всерьез занялись Минсвязи и Федеральное агентство по инфотехнологиям.

Я.: У нас когда то пустили создание этих сетей на самотек, и каждый лепил, как мог. Но два года назад все это было проанализировано, и приняли единственно возможное решение — делать надстройку, через которую все будут общаться, то есть создать федеральный информационный центр для межведомственного взаимодействия. В этом году уже демонстрировался макет системы. Данные из Москвы передавались в центр другой организации, условно говоря — кто-то пришел в Москве в ГИБДД, и запрос об этом человеке, о машине идет по всем ведомствам. И по квартире, кажется, был такой тестовый запрос. Все сработало более или менее нормально.

Где же берутся кадры для всех этих проектов? ИБ сегодня — это множество рабочих мест. ИБ — самая модная ИТ— специальность в любом вузе. Действительно тут есть большое поле деятельности или это просто мода?

Я.: Специальность и правда модная, но люди, которые закончили МГУ — ВМК, мехмат, не очень востребованы по этой линии. В основном нужны не разработчики, а те, кто будет эксплуатировать готовые системы.

С.: Не совсем согласен. Я знаю, что в коммерческих структурах, в банках на самом деле востребованы квалифицированные люди, которые могут разрабатывать и сопровождать именно построение системы ИБ в целом. Конечно, надо ее и наполнить — купить нужное железо, поставить нужные программы, но в первую очередь грамотно придумать концепцию системы. Если же говорить о науке — например, о криптографии, то в ней и в смежных вопросах ИБ сейчас огромное количество новых научных задач. Надо только учитывать сейчас степень востребованности науки в России вообще.