Шифрование становится нормой

Является ли шифрование рабочих станций "синей таблеткой", которая сможет решить все проблемы? Руководитель отдела развития компании "Аладдин Р.Д." Денис Суховей ответил на основные вопросы, которыми чаще всего задаются российские компании, про обеспечение защиты рабочих станций, а также поделился личным опытом и наблюдениями.\[quote\] Денис, давайте вначале поговорим о шифровании как о способе защиты информации. Какая роль у данного способа защиты? Можно ли говорить, что шифрование готово решить все проблемы, связанные с безопасностью информации на рабочих станциях?\[/quote\] Шифрование становится стандартной мерой для обеспечения защиты информации. Если мы вспомним начало 2000-х гг., то тогда в корпоративной среде ситуация была иной: повсеместно использовались антивирусы. Далее, середина 2000-х гг. стала временем распространения различных средств мониторинга и предотвращения утечек (DLP-системы), в которые компании вкладывали очень много денег. На отечественном рынке до сих пор много вендоров, которые предлагают зрелые решения по мониторингу и предотвращению утечек. То, что я упомянул ранее, это некий периметр вокруг каждой рабочей станции, через который злоумышленнику очень легко проникнуть. Ограничиваться только защитой и мониторингом периметра, не заботясь о превентивной защите самих данных - это неэффективно. Других альтернативных способов трансформации данных, кроме как шифрование, не существует. Передача информации, обработка и хранение должны происходить в защищенном виде. Конечно, шифрование не заменяет огромное количество других мер безопасности, которые компания должна выполнять, чтобы сохранить бизнес и соответствовать требованиям государства, как и корпоративной политике. Совокупность шифрования данных с дополнительными мерами не решает всех проблем, поскольку она не превратит рабочую станцию или сервер в полностью защищенный узел обработки данных. Но хочу подчеркнуть, что шифрование - это базовая часть защиты, которая должна быть в системе в обязательном порядке. В наши дни у разработчиков есть множество продуктов для шифрования данных. Потому здесь заказчику нужно подходить к вопросу выбора профессионально и подготовлено.\[quote\] Как вы считаете, как не ошибиться и выбрать качественный продукт для шифрования данных?\[/quote\] Современные компании перенасыщены мобильными средствами, обрабатывающими ценные для организации данные. Сотрудники регулярно выносят за периметр персональные ноутбуки. Это ведет к тому, что за пределами компании служба безопасности слабо контролирует ситуацию. Любая потеря ноутбука ведет к большим последствиям. Целевая кража происходит только для того, чтобы получить доступ к данным. Никому ноутбук за $1000 не нужен, а вот данные, которые он содержит, могут стоить очень много. Поэтому для того, чтобы сделать правильный выбор в пользу качественного решения для шифрования данных, нужно помнить, что это решение должно эффективно работать на мобильных устройствах и быть нетребовательным к ресурсам.\[quote\] Что, по вашему мнению, характеризует наиболее профессиональное решение для шифрования данных, в том случае, если шифрование позиционируется как основная и единственная мера защиты информации?\[/quote\] Наиболее профессиональный инструмент шифрует всю информацию. Вы спросите, почему так? Все просто. На заре развития сферы информационной безопасности (ИБ), в 2000 гг., было очень модно классифицировать данные. В крупных компаниях даже делали целые мероприятия на этот счет. Но время менялось, рост объема данных оказался настолько стремительным, что не осталось возможности на лету заниматься классификацией. Современный бизнес очень живой с точки зрения обработки информации. Исходя из этого выход только один - шифровать нужно абсолютно все данные, а профессиональные инструменты позволяют справляться с этой задачей легко. Кроме того, профессиональные решения дают возможность прозрачно обращаться к данным в зашифрованном виде и работать с ними. Зрелое решение должно уметь защищать данные даже в случае любого сбоя, отключения питания, аварийной ситуации и т.д. В случае любого чрезвычайного происшествия данные зашифрованы. И наконец профессиональное решение должно обеспечивать шифрование в процессе передачи из основного хранилища в бэкапы (резервное копирование), на флешки, во внешние жесткие диски или сетевые хранилища. Любой процесс передачи должен происходить только в защищенном состоянии.\[quote\] Хотелось бы понять, что происходит на рынке продуктов для защиты данных и их шифрования? С какими проблемами сталкиваются российские компании при обеспечении защиты рабочих станций? Как повлияла геополитическая ситуация на развитие этого рынка?\[/quote\] Изменение геополитической обстановки, сворачивание деятельности компании Microsoft в России стимулировали глобальный запрос на увеличение цифрового суверенитета российских компаний и государственных ведомств. Данная ситуация кратно ускорила развитие отечественных операционных систем, увеличила объем внедрений, по сути, с момента начала специально-военной операции мы имеем дело со всеобщей "линуксонизацией" страны. Это напрямую отразилось на всей сфере информационной безопасности, на рынке продуктов для ее обеспечения и, в частности, на группе решений средств защиты информации от (несанкционированного доступа. Продукты для защиты информации, файлов, шифрования дисков и баз данных получили версии (стали совместимы) для самых популярных отечественных Linux-систем. В связи с уходом Microsoft среди заказчиков, которые до сих пор используют ОС Windows в своих ИТ-инфраструктурах, остается нерешенным вопрос доверия встроенному средству шифрования дисков - BitLocker.\[quote\] Как итог, какие проблемы являются ключевыми?\[/quote\] Проблемы защиты и шифрования информации на рабочих станциях связаны с тем, что почти все отечественные компании использовали для защиты данных на компьютерах западные продукты, и так получилось, что зарубежные вендоры и их поддержка исчезли. Мгновенного предложения от отечественных разработчиков не поступило, отчего у заказчиков возникли проблемы с импортозамещением. Помимо этого, крупные организации для экономии использовали еще и бесплатные инструменты безопасности. С одной стороны, распространенные на рынке, с другой - крайне неочевидные и противоречивые с точки зрения безопасности: TrueCrypt и т.д. Таким образом, образовалась двойная комплексная проблема: отсутствие поддержки от Microsoft и огромная база рабочих станций с установленным программным обеспечением для шифрования дисков на основе открытого исходного кода. С этой проблемой столкнулись компании, у которых только в центральном регионе России по 25-30 тысяч рабочих станций, зашифрованных сомнительными инструментами защиты. В связи с этим заказчики находятся в патовой ситуации: Мгновенно перейти с западных средств защиты информации на профессиональные отечественные сертифицированные средства - почти невозможно, но и использовать средства защиты типа Bitlocker крайне опасно.\[quote\] BitLocker до сих пор используется. В чем его основная проблема?\[/quote\] Вендор Microsoft совершил недружественные действия, оставив огромные массивы рабочих станций в РФ без технической поддержки. Я говорю о конце сентября 2023 г., когда Microsoft публично заявил, что уходит с российского рынка. Компании остались с большим вопросом: что теперь делать их службам безопасности? Компания Microsoft, технически способна повлиять на безопасность сотен тысяч рабочих станций российских компаний, выпустив злонамеренное обновление ОС Windows. Такие обновления не будут отличаться от обычных обновлений Windows ничем, но они могут содержать исполняемый файл, который уничтожит служебную область диска, содержащую часть защиты хранилища ключа BitLocker. Этого будет достаточно, чтобы произвести атаку и "окирпичить" полстраны, если не всю. Как правило, в российских компаниях, в службах безопасности работают профессионалы, они хорошо понимают эту глобальную проблему.\[quote\] Но даже если забыть про глобальную проблему, видно, что BitLocker изначально не дотягивает до продукта корпоративного уровня. Так ли это?\[/quote\] Действительно, BitLocker - это не продукт корпоративного уровня. В нем неплохо реализованы базовые функции шифрования AES-256 (симметричный алгоритм блочного шифрования), хороший внутренний движок - на этом, пожалуй, все. BitLocker базовыми функциями обеспечивает только часть защиты. Он не создавался как корпоративный продукт, у него нет консоли управления, системы генерации, хранения и передачи ключей - а если и появится, то ее нужно будет хорошо защитить. Плюс есть трудности, связанные с обработкой обновлений, с процедурами расшифрования и зашифрования. Если бы компания Microsoft решилась сертифицировать BitLocker в Федеральной службе безопасности (ФСБ) как средство криптографической защиты по классу КС1 (базовый уровень защиты, который предоставляет стандартный набор функций для шифрования и создания электронной подписи), то пришлось бы переписывать 70% кода для того, чтобы просто пройти сертификацию Федеральная служба по техническому и экспортному контролю и ФСБ. В качестве итога хочу сказать, что BitLocker создавался для бытового применения на персональных компьютерах, поэтому он и бесплатный.\[quote\] Насколько мне известно, есть альтернатива BitLocker Enterprise-уровня, и это разработка компании "Аладдин Р.Д. " - линейка продуктов Secret Disk. Вы говорили ранее в одном из интервью, что функционал BitLocker гораздо меньше, чем у Secret Disk. Какие есть планы по его обновлению?\[/quote\] BitLocker, в силу родословной, не является приоритетным продуктом компании Microsoft. Разработчик в него не вкладывает значимые усилия, новые функции у него не появляются, он почти не меняется от релиза к релизу, насколько жива команда продукта - неизвестно. Сопоставлять BitLocker и Secret Disk не имеет смысла из-за различия в позиционировании - дополнительная второстепенная функция в Windows и один из ключевых продуктов в компании "Аладдин Р.Д.". Один из главных векторов нашего развития, если говорить про обновления, - это доработка решения для соответствия требованиям различных отечественных ОС. Secret Disk работает на очень низком уровне ядра ОС, потому что драйверы шифрования, чтобы давать надежность и прозрачность, очень чувствительны к любому изменению в ядре ОС. В отечественных ОС выходит по 10-11 обновлений ядра в год - это титаническая работа, кроме того, есть доработки по пожеланиям клиентов и сертификация.\[quote\] Рынок не ограничивается только решением от "Аладдин Р.Д.". Появились ли на отечественном рынке другие решения? Ускорится ли внедрение подобных продуктов из-за указа президента о переходе субъектов критической инфраструктуры на отечественный софт до 1 января 2025 г.?\[/quote\] Рынок криптографии очень латентный, и новые игроки появляются очень редко, потому что играть сложно в силу зарегулированности рынка. Я думаю, средний бизнес перейдет на отечественные аналоги, но хочу отметить, что средний бизнес не любит у нас платить за безопасность. И для них команда Secret Disk сформирует отдельное предложение. А у крупных компаний, я считаю, вопрос решен, и мы все делаем для того, чтобы они реализовали его безболезненно. Мелкие компании, по всей видимости, останутся с BitLocker и open-source решениями.\[quote\] В 2023 г. вы говорили, что более 100 тысяч станций в РФ используют BitLocker. Как вы считаете, сколько компаний отечественного рынка сегодня используют эту программу для шифрования? Уменьшилось ли их количество?\[/quote\] Точной цифры не знает никто, но я считаю, что около 45% всех рабочих станций по-прежнему защищены BitLocker, и компании просто не могут так быстро обеспечить переход на профессиональные решения даже под угрозой массового окирпичивания. Использование профессиональных продуктов безопасности требует более высокого уровня экспертизы и процессов в области ИБ, возможно, даже дополнительных ресурсов. Только в таком случае возможен переход на что-то серьезное и более сложное.\[quote\] Существует мнение, что причиной столь долгого поиска замены и медленного перехода является ограниченность бюджета современной ИБ-службы. Так ли это?\[/quote\] Ограниченность бюджета была и до событий 2022 г., есть она и на текущий момент. Но решать задачу по импортозамещению нужно. ИТ- или ИБ-руководитель не понимает, что ему делать, чтобы импортозаместить средство для шифрования данных и как сделать это безопасно. С одной стороны, у него уже нет возможности продлевать лицензии для средств защиты информации, которые работают на Windows. Планы по переходу есть, но тоже буксуют, и когда будет массовый переход всей ИТ-инфраструктуры бизнеса на Linux - непонятно: это очень неопределенные проекты, даже если в них инвестируют большие деньги, усилия и время. С другой стороны, всегда в приоритете у ИБ- или у ИТ-руководителя - защитить данные, в том числе на рабочих станциях. Мы общаемся с заказчиками и видим, что многие из них находятся в неопределенном состоянии. Понимая это, мы недавно выпустили универсальную лицензию, которая содержит в себе сразу два права и под Linux, и под Windows. Это дает возможность просто принимать решения о переходе. Такая лицензия делает процесс перехода от Windows к Linux более комфортным и безопасным, затратность перехода уменьшается. Мы фактически продаем две лицензии в одной упаковке. Для чего? Для того, чтобы снять барьеры в принятии решений. Мы гордимся, что "Аладдин Р.Д." одним из первых вендоров сделал шаг навстречу заказчикам и выпустил универсальную лицензию на продукт для шифрования данных.\[quote\] Денис, и наконец последний вопрос. Скажите, идеальный продукт защиты - он какой?\[/quote\] Это очень сложная тема. Я буду говорить исходя из наших отечественных реалий. Во-первых, идеальной является система, которая показала способность быстро адаптироваться к настоящим условиям, как техническим, так и регуляторным. Например, идеальная российская система, может быть, где-то менее технологически развита, чем конкурентная западная, но при этом она будет соответствовать актуальным требованиям по соблюдению цифрового суверенитета страны. Во-вторых, идеальная система - это сертифицированная система. В 2024 г. процесс сертификации совсем другой - это процесс безопасной разработки, узлового мониторинга на каждом этапе развития продукта или же сертификации по уровню доверия. Наш продукт Secret Disk недавно получил сертификат в Федеральной службе по техническому и экспортному контролю РФ по УД4 (четвертый уровень доверия). Это совершенно другой уровень. Важный критерий идеального продукта - это вендор, который не исчезнет, как Microsoft и не будет вести сложную политику по отношению к заказчикам с точки зрения передачи информации в правительственные ведомства и т.п. Хороший вендор - это тот, который зарекомендовал себя и чьими продуктами пользуется огромное количество крупных компаний, поскольку репутация в сфере защиты информации крайне важна. Как итог, идеальный продукт - это выбор банков из списка топ-10, при этом мы понимаем, что у банка десятки, а то и сотни тысяч рабочих станций, которые одновременно должны быть защищены одним продуктом. Ссылка на источник