В рамках рубрики Клуб экспертов мы продолжаем публикацию книги А.В.Лукацкого Мифы и заблуждения информационной безопасности
Алексей Лукацкий — менеджер по развитию бизнеса Cisco Systems
Это миф очень тесно связан с ранее рассмотренным заблуждением о том, что вирусы пишутся антивирусными компаниями. Многие обыватели считают, что российские компании, которые занимаются информационной безопасностью, имеют в составе своих продуктов закладки для работы различных государевых спецструктур, в частности ФСБ (раньше ФАПСИ).
Действительно, достаточно живучий миф… но не более, чем миф.
И здесь, опять же, на повестку дня выходит проблема, связанная с бизнесом. Немного найдется частных компаний, которые будут рисковать своими доходами ради сомнительной выгоды встраивания закладок в свое программно-аппаратное обеспечение.
Это, разумеется, не касается организаций с государственным участием/капиталом, которые занимаются разработкой ПО или телекоммуникационного оборудования. В этом случае они подчиняются требованиям государства и вынуждены выполнять все его распоряжения.
В случае же коммерческой компании надо четко понимать, что для нее репутация гораздо важнее. Если вдруг станет известно, что в оборудовании или ПО компании имярек существуют закладки, это нанесет огромнейший удар по бизнесу компании, она потеряет огромную долю своих заказчиков; если не всех.
Разумеется, ни одна уважающая себя частная компания не станет рисковать своим бизнесом в угоду государственным интересам.
Альтруистов на рынке нет. Все хотят зарабатывать деньги.
А такого рода действия, как закладки, как разработка собственных вирусов и выполнение каких-то других противоправных действий, этому бизнесу явно не способствует, а, наоборот, только очень сильно вредит. Поэтому не стоит думать, что российские или западные компании только и стремятся, что украсть секреты тех заказчиков, которым они предлагают свое оборудование или средства защиты.
Каталог сертифицированных студий-партнеров TemplateMonster
Поверьте мне, у них существуют гораздо более важные задачи, чем кража финансовой отчетности у компании «Рога и Копыта», оборот которой составляет, может быть, несколько сотен тысяч долларов. Разница в масштабах.
Также не стоит думать, что вендора интересует возраст пенсионера Иванова Иван Ивановича, который положил 1000 рублей на свой счет в банке АБВ. Это персональные данные, которые требуют защиты.
Но защиты адекватной. Проверять используемое для обработки этих персональных данных ПО на отсутствие недекларированных возможностей (закладок) – явный перебор.
Здесь можно мне возразить, что да, может быть для такой компании, как имярек, интерес небольшой компании «Рога и Копыта» не представляет, зато представляет какое-нибудь государственное или военное учреждение, типа Минфина или Центрального Банка и т.д. Рассуждения будут здесь те же самые.
Зачем? Вот какая выгода западной или отечественной компании оттого, что она узнает секреты Центрального Банка. Никакой. Потому что она не работает на различных финансовых рынках и т.п.
А теряет она в этом случае очень и очень много. То же самое касается военных организаций. Этот довод часто приводится на различных семинарах.
Действительно, красть информацию кредитных учреждений никому из серьезных разработчиков «железа» или «софта» не нужно. Но уж в отношении ВПК… Проникнуть в военные тайны является святым желанием любой организации; особенно любой американской спецслужбы (ЦРУ, АНБ и т.д.).
Соответственно, для этих целей они могут потребовать внести закладки в оборудование и ПО, производимое на территории США. Логичное рассуждение, но здесь отсутствует здравый расчет и банальная логика.
Зачем заниматься закладками в программно-аппаратном обеспечении, которые могут быть обнаружены, учитывая, что практически все серьезные игроки рынка занимаются сертификацией своего программно-аппаратного обеспечения. И, разумеется, эти закладки, став известными, приведут к потере бизнеса в тех странах, в которых работает предприятие.
Ведь такая новость сразу станет известна всем и журналисты постараются разнести ее как можно быстрее. Гораздо проще (особенно в России с ее уровнем зарплат в госорганах и армии) реализовать шантаж тех или иных сотрудников, работающих в военных учреждениях, или их подкуп.
Проще купить одного человека и заставить его выдавать ту или иную секретную информацию, чем внедрять закладки в программно-аппаратное обеспечение, боясь быть обнаруженными. Тем более, не надо забывать, что вокруг любого так называемого недоверенного узла всегда можно построить защитный контур – стену, которая будет препятствовать любым попыткам проникновения через нее.
Так зачем тогда компании-разработчику рисковать?
