Первый прогноз

Россия вошла в фазу жесткого противостояния с коллективным Западом. Ожидаем проведение массовых компьютерных атак под «чужим флагом» на предприятия КИИ, использование закладок и уязвимостей для вывода объектов из строя. Вроде легче не становится, количество атак растет, арсенал используемых средств увеличивается. Озвученный нами прогноз и фокус усилий, которые должны быть направлены на устранение узких мест, точек отказа в ИТ-инфраструктуре, способных ее вывести из строя, на обеспечение живучести и работоспособности наших ИТ-инфраструктур, оправдался. Мы видим здесь положительную динамику.

Это крайне важно, потому что ИБ начинается с иден тификации и аутентификации, а неправильно реализованная подсистема аутентификации (использование паролей) является источником очень многих проблем. Но, к сожалению, немногие это понимают и, в случае инцидента, начинают бороться с его последствиями, а не устранять причину (внедрить 2ФА и развернуть у себя PKI). Новые требования ФСТЭК, как мы и прогнозировали, включают в себя обязательность разворачивания в инфраструктуре оператора ИС корпоративной PKI (инфраструктуры открытых ключей) для обеспечения безопасного доверенного взаимодействия всех компонентов ИТ-инфраструктуры.

Второй прогноз

Любая организация КИИ, органов госуправления становятся целями и мишенями не только для кибернападения, но и для точечного военного нападения с помощью беспилотников с целью уничтожения ее инфраструктуры и блокирования работы. Увы, этот наш нерадостный прогноз сбывается: количество атак на инфраструктуру и КИИ кратно возросло. И что мы прогнозировали и предлагали, какое решение?

В 2024—2025 годах мы видим существенное повышение спроса на это решение. В первую очередь, со стороны организаций, работающих в приграничных районах и начинающих работать, открывающих свои отделения на новых территориях. Кстати, новые требования ФСТЭК включают и такие пункты по обеспечению безопасной дистанционной работы для администраторов ИС, сотрудников на удаленке, работников подрядных организаций, внедряющих, поддерживающих, сопровождающих в ИС различные решения и продукты. Так что и этот прогноз сбывается.

Третий прогноз

Защищать надо именно их (критически важные данные), и в первую очередь — от внутреннего нарушителя, а не выстраивать бесконечные «заборы» вокруг них, системы мониторинга и анализа утечек и пр. Если это персональные данные, их нужно обезличить. Если это критически важные для организации данные — обеспечить их защиту на уровне СУБД с помощью селективного шифрования.

Аналогичные требования появились и в новых Требованиях ФСТЭК — в случае отсутствия возможности исключения несанкционированного физического доступа к средствам обработки и хранения информации, защита информации ограниченного доступа, содержащаяся в таких средствах, должна обеспечиваться с использованием шифровальных (криптографических) средств защиты информации. Под носителями информации здесь понимаются и жесткие диски ноутбуков, планшетов, и съемные — HDD, SSD, флешки, CD/DVD.

Для выполнения всех этих требований, естественно, потребуются специализированные средства защиты. И здесь «Аладдин Р.Д.» выпустил линейку новых продуктов с шифрованием данных на дисках и сменных носителях — Secret Disk (под Windows и Linux), SecurFlash, CryptoFlash, SecurCD (в т. ч. с сертификатами Минобороны для защиты гостайны).

Четвертый прогноз

Необходимость разворачивания корпоративного PKI для построения безопасной доверенной ИТ инфраструктуры — гетерогенной, а не некой мифической замкнутой и хрупкой новой экосистемы на базе российских ОС на базе Linux.

Наш призыв перестать заниматься латанием и затыканием дыр и начать с проектирования пра вильной и безопасной ИТ-инфраструктуры был услышан. ФСТЭК включил это как ключевое требование в новые Требования по защите информации в ГИС. Ряд компаний и крупных государственных организаций всерьез взялись за это, а кто-то уже закончил внедрение и перестроил свою инфраструктуру.

Что нового в нормативных документах ФСБ
(приказ № 117 от 18.03.2025)

Если к носителю информации (диск, например, в служебном ноутбуке, съемный накопитель) может получить доступ посторонний (например, вне контролируемой зоны), то информация на нем должна быть зашифрована с использованием СКЗИ. Мы говорили об этом лет 20 и делали свои продукты для защиты носителей информации:

Теперь это уже не дань моде (или следствие паранойи, как считали некоторые). Это становится суровой необходимостью.

Что нового в нормативных документах ФСТЭК России
(на замену приказа №17)

Теперь эти компоненты для ГИС с доменной архитектурой становятся обязательными, и времени на пере проектирование ГИС и внедрение ключевых компонентов, обеспечивающих построение PKI и доверенное взаимодействие, отводится достаточно мало. Ключевой и самый критичный элемент практически в каждой российской ИТ-инфраструктуре, от которого зависит ее работоспособность, — это корпоративный центр выпуска и обслуживания цифровых сертификатов Microsoft СА (Certificate Authority).

Центр сертификации выпускает и валидирует машинные сертификаты для аутентификации серверов, роутеров, маршрутизаторов, точек доступа и всего прочего оборудования в сети, а также программные и пользовательские сертификаты доступа.

Работоспособность практически любой нашей ИТ инфраструктуры по-прежнему зависит от MSCA. И это огромная проблема. Потому что MS CA является одной из главных точек отказа. Происходит это не из-за того, что MS перестанет выпускать цифровые сертификаты доступа, как считают многие, а потому что может пере стать их проверять. Если перестанет работать Центр валидации, то проверять валидность предъявляемых сертификатов будет некому, все коммуникации в сети прекратятся через сутки (срок жизни тикета Kerberos) — все перестанут доверять всем. Наступит паралич.

Что значит строгой? Это значит — как минимум двухфакторной (2ФА) — обязательно наличие аппаратного устройства с реализованной в нем криптографией с неизвлекаемым закрытым ключом, работой с цифровыми сертификатами, используемыми для доступа в ИС, с подтверждением права использования (распоряжения) закрытым ключом (устройством) с помощью ПИН-кода или биометрических данных (например, по отпечатку пальца). Это наши USB-токены и смарт-карты JaCarta PKI. В начале 2025 года мы выпустили на рынок наш новый продукт — BIO-токены JaCarta SecurBIO со встроенным сканером отпечатков пальцев. Это обеспечивает привязку такого токена к личности пользователя и гарантирует, что воспользоваться им для доступа в систему может только его владелец.

Что это дает?

Вот здесь-то BIO-токен и решает проблему подтверждения личности пользователя и позволяет выполнить все требования безопасности. Еще одна серьезная проблема, с которой все столкнутся при переходе на Linux и выполнении новых Требований ФСТЭК к защите информации в ГИС — это отсутствие полноценной поддержки PKI и средств 2ФА в Linux. В MS Windows такую функциональность реализует MS Smartcard Logon.

Для Linux нам пришлось написать полный стек PKI для 2ФА и выпустить своего собственного клиента — Aladdin SecurLogon, обеспечивающего как усиленную, так и строгую 2ФА для Linux и Windows, а также и локальную аутентификацию пользователей, и доменную, с разными службами каталогов — MS Active Directory, Samba DC, FreeIPA, ALD Pro, РЕД АДМ, Альт Домен и др.

Второе существенное изменение — требования к обеспечению безопасной дистанционной работы (той самой «удаленки») для внутренних пользователей, администраторов, привилегированных пользователей, а также для внешних — работников подрядных организаций, поддерживающих ИС, внедряющих новые решения. Теперь они должны пользоваться специализированными средствами безопасной дистанционной работы, сертифицированными ФСТЭК России (в нашем случае — это Aladdin LiveOffice, который мы делали еще в начале пандемии).

Третье значимое изменение касается использования съемных машинных носителей и призвано решить проблему подбрасываемых флешек с троянами и атакующим ПО в бизнес-центрах и пр. Теперь флешки должны быть доверенными, идентифицируемыми в ИС. И здесь «Аладдин Р.Д.» выпускает целую линейку — от простых доверенных корпоративных флешек до защищенных, для работы с гостайной.