Параноидальные вопросы к безопасности корпоративных ИТ

Параноидальные вопросы к безопасности корпоративных ИТ, возникающие из антироссийских санкций Microsoft, Oracle и HP



Появились сообщения о том, что Microsoft, Oracle, Symantec и HP «с большими сожалениями и надеждой на сотрудничество в дальнейшем» будут вынуждены отключить часть ПО у российских банков и компаний, которые попали под санкции.

С облаками все понятно – выключили и все, но облака повышенной устойчивостью к подобным ситуациям по определению не обладают. Но банки, как известно, относятся к наиболее консервативным видам бизнеса, которые облачных решений не приемлют.  

Стоит ли подобное заявление понимать, как открытое признание того, что вендоры в своих продуктах сохраняют закладки, позволяющие выключить любое in-house решение по щелчку Госдепа? Конспирологи были правы, и модель ИТ-рынка в котором преобладают глобальные решения попросту не безопасна?

И как это может быть реализовано?

Понятно, что механизм проверки подлинности, установленный в решениях для домашних пользователей, позволяет объявить не подлинными любые продукты проданные в России и соответственно отключить их при первой же проверке по сети.

А с корпоративными продуктами, которые находятся за файерволом и теоретически такую проверку не проходят?

Microsoft Forefront TMG построен так, чтобы сливать корпорации информацию с защищенной стороны межсетевого экрана и пропускать внутрь определенные запросы извне? Oracle Database Firewall обеспечивает доступ к корпоративным базам данных для всех наделенных полномочиями со стороны «вашингтонского обкома»?
Надо ли полагать, что подобные дверки для АНБ/ФБР/ЦРУ у HP, Cisco и прочих вендоров заложены на аппаратном уровне?
Что можно сделать через подобные закладки: скопировать, уничтожить, скомпрометировать данные, нарушить работоспособность системы?
Подобные заявления – это уже не удар по России. Это конец той модели ИТ-рынка, которая сложилась к настоящему моменту. Факт прослушивания спецслужбами США телефонных разговоров европейских политиков вызвал довольно негативную реакцию. Но идея о том, что у США есть возможность полностью заблокировать работу ИТ-систем по довольно незначительному поводу – очень опасный сигнал всему миру. Ваша ИТ-инфраструктура работает только до тех пор, пока интересны вашей страны не сталкиваются с интересами США.

Какой выход в параноидальном мире, где покупать ПО у вендоров не безопасно?

Никаких облачных решений. Никаких гибридных решений. Компания должна полностью владеть всей ИТ-инфраструктурой для критически важных бизнес-процессов. Да, почта тоже только на своих серверах и только в российских доменных зонах. Microsoft активно продает Office 365 в российские государственные и образовательные учреждения? Естественно, практика подобных закупок должна быть немедленно остановлена.

Гетерогенность  - зоопарк решений сегодня становится преимуществом. Можно предположить, что недокументированные лазейки и черные ходы хорошо работают в рамках продуктов одного вендора и гораздо хуже с решениями других вендоров. Я не слышал о стандарте на API для черных ходов. Поэтому уязвимость ИТ-среды построенных на продуктах разных вендоров должна быть меньше.

Отечественные продукты -  можно предположить, что российские разработчики ПО, если и договаривались о размещении специального входа для спецслужб в своих продуктах, то явно не с американскими спецслужбами. Это сложный вопрос кто более страшен для вашего бизнеса ФСБ или ФБР?

ИТ-решения независимых стран. К сожалению, тут выбор не очень большой. Стоит заведомо исключить продукцию компаний нацеленных на американский рынок (- Индия). Страны NATO тоже должны вызывать обоснованные подозрения, тем более они активно участвуют в антировссийских санкциях. В итоге что остается из стран с развитыми ИТ? Китай и Израиль? В любом случае выбирая ПО стоит обращать внимание на продукцию тех  стран, в которых ваша компания заведомо не представлена.

Самописные системы – крупные организации должны делать ставку только на решения собственной разработки, как бы это не было бы дорого и неудобно. Естественно даже в этом случае весь код должен анализироваться службой безопасности на наличие закладок и завербованных агентов среди разработчиков.

Решения с открытым кодом – любой применяемый в компании продукт должен собираться из исходного кода непосредственно при внедрении. Исходный код продукта, естественно должен быть проанализирован и протестирован на возможные закладки, нарушающие безопасность. Никаких заранее скомпилированных бинарных модулей в критически важных для бизнеса решениях быть не может.

Национальные системы – проект с НПП развивался и организовывался довольно нелепо и, как и ожидалось, закончился ничем. Однако, я должен признать, что сама идея сегодня весьма своевременна, особенно с учетом того, что огромная доля заказов на ИТ-решения в России исходят от государственных компаний. Как минимум критическим элементом инфраструктуры становится собственный межсетевой экран, гарантирующий отсутствие лазеек для чужих спецслужб.

Должен признать, риск того, что в ПО имеются закладки, позволяющие его отключить удаленнно, конечно, не нулевой, но все же не слишком большой. Маловероятно, такой сценарий может быть задействован только один раз и его реализация будет означать начало глобальной войны. А в конце я хочу привести два более вероятных сценария с менее масштабными оследствиями: отказ от поддержки и обновлений и отзыв лицензий.

Отказ в поддержке и обновлении решений выглядит, как наиболее вероятный вариант поддержки санкций со стороны ИТ-вендоров. Продажи подобные шаги, конечно, снизят, но если их применять только в отношении отдельных компаний, то и потери будут не критичны. Вот только, что в этом случае предполагается делать с такими программами, как Software Assurance или Подписки, которые Microsoft очень активно продавал крупным компаниям.

Может быть, я ошибаюсь, и речь идет всего лишь об отзыве лицензий на программное обеспечение. Интересно, а предусмотрен ли в этом случае возврат средств уплаченных за лицензии и особенно за консалтинг? Что там госзакупки предусматривают за неисполнение обязательств? Штрафы и недопущение к дальнешим торгам? Жалко, что вендоры напрямую далеко не всегда работают с такими заказчиками. Совсем недавно у нас государственные учреждения и крупные компании работали на пиратском ПО. Я думаю, что многие охотно вернутся к этой практике. В этом случае все последствия сведутся к тому, что более 10 лет успешного лоббирования лицензионного ПО, конечно, пропадут и скорее всего вернутся не скоро. 

Источник http://smartsourcing.ru/blogs/informatsionnaya_bezopasnost/2593

 
16.07.14 16:33 by siteman



© Днепропетровская лаборатория антивирусных решений (http://itspec.dp.ua/)