FAPSI y GARANTIZAR LA SEGURIDAD DE LA INFORMACIÓN REGIONAL.
FAPSI y GARANTIZAR LA SEGURIDAD REGIONAL SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN
La amplia distribución y el relativo bajo costo de la tecnología informática y la información sobre los métodos de obtención de información han llevado al hecho de que la amenaza a la información confidencial por parte de delincuentes individuales y grupos delictivos organizados ya puede ser comparable a la amenaza a la información que constituye secretos de estado por parte de técnicos extranjeros. inteligencia
El rápido desarrollo y la implementación de las tecnologías de la información tienen un impacto cada vez mayor en todos los aspectos de la vida del Estado y la sociedad. Las esferas social, política, económica y militar dependen directamente del trabajo de las redes informáticas y de información, los sistemas de comunicación, control e inteligencia que constituyen la base técnica del espacio de información ruso.
Al mismo tiempo, a medida que se desarrolla esta base, también aumenta la vulnerabilidad del espacio de información. La razón principal de esto es el uso generalizado de la tecnología informática para el procesamiento de información con software que hace que sea relativamente fácil modificar, copiar y destruir la información procesada, así como la facilidad de acceso a los modernos sistemas abiertos de información y telecomunicaciones.
En este sentido, últimamente en todo el mundo, y en Rusia en particular, ha ido creciendo el número de delitos relacionados con el uso de tecnología informática. Así, según el Ministerio del Interior de la Federación de Rusia, si en 1997 se cometieron 309 delitos de este tipo, en 1998 — más de 500.
El espacio informativo de Rusia incluye componentes federales y regionales. Además, estos componentes están estrechamente interconectados y, a menudo, se construyen utilizando medios técnicos similares. De ello se deduce claramente que la tarea de garantizar la seguridad de la información de estos componentes puede resolverse eficazmente en el marco de una política estatal unificada tanto a nivel federal como regional. El componente más importante de esta política, en nuestra opinión, debería ser el uso generalizado de métodos criptográficos.
En general, se acepta que el uso de métodos criptográficos y medios de seguridad de la información en el nivel actual de desarrollo de la criptografía y las tecnologías electrónicas ya se ha vuelto económicamente preferible en comparación con otras medidas de seguridad técnicas y organizativas. En algunos casos, el uso de métodos criptográficos es la única forma posible de proteger tecnologías prometedoras de información y telecomunicaciones.
De acuerdo con la legislación vigente, la protección de la información mediante métodos criptográficos es competencia de FAPSI, y estamos realizando esfuerzos constantes en esta dirección. Actualmente, la Agencia Federal y las empresas licenciatarias de FAPSI han creado una gama de herramientas de protección de información criptográfica que permiten proteger muchas tecnologías modernas para procesar información que constituye secretos de estado. Su implementación, principalmente en empresas que trabajan en el complejo de defensa, permite resolver problemas relacionados con este aspecto de la seguridad de la información regional. Para ello, se han creado medios confiables de protección de la información criptográfica, que operan en rangos de velocidad desde decenas de bits hasta decenas y cientos de megabits por segundo y brindan la capacidad de proteger la información procesada bajo el control de varios sistemas operativos y transmitida a través de diversas comunicaciones. canales de acuerdo con diversos protocolos.
Al mismo tiempo, el problema de proteger la información que constituye secretos de estado, aunque importante, es sólo uno de los problemas de garantizar la seguridad de la información regional. Otro aspecto importante de la seguridad de la información regional es la protección de la información confidencial.
El uso generalizado de tecnologías de la información modernas para procesar información confidencial crea una fuente grave de amenazas a la seguridad de la información regional. Por lo tanto, la información de los organismos encargados de hacer cumplir la ley y las estructuras financieras es de gran interés para las comunidades criminales; la prensa puede intentar leer la correspondencia electrónica de una persona famosa, una empresa — interceptar el correo de los competidores, etc. Todo esto plantea un grave desafío para la protección criptográfica de las tecnologías utilizadas para procesar información confidencial.
Una característica específica aquí es que en muchos casos es imposible garantizar la implementación de medidas estrictas de régimen y organización. Al mismo tiempo, el generalizado y relativo bajo precio de la tecnología informática y la información sobre los métodos de obtención de información, en particular sobre los métodos de descifrado, ha llevado al hecho de que la amenaza a la información confidencial por parte de atacantes individuales y grupos delictivos organizados ya puede ser comparable con la amenaza de información que constituya secretos de Estado por parte de servicios técnicos de inteligencia extranjeros.
En este sentido, la tarea de proteger la información confidencial no es menos importante que la de proteger la información que constituye secretos de Estado y requiere altas calificaciones y una experiencia significativa. Desafortunadamente, esto a menudo se subestima, lo que conduce a gastos desperdiciados y, a veces, a consecuencias nefastas. Así, la ampliamente publicitada herramienta de protección criptográfica «Cobra» es descifrada por los especialistas de FAPSI en 20 minutos en una computadora personal doméstica de la clase Pentium, que cualquiera puede comprar en cualquier tienda que venda equipos informáticos electrónicos. El año pasado, durante una inspección realizada por empleados de FAPSI en la oficina de uno de los gobernadores, se encontró un dispositivo comprado en el mercado abierto, que supuestamente estaba destinado a proteger la información, pero que en realidad transportaba información fuera de la oficina a varios cientos de metros de distancia. Se podrían dar muchos ejemplos de este tipo. Desafortunadamente, una caja con un programa de cifrado débil tiene el mismo aspecto que una caja con uno fuerte. Dos cifradores de correo electrónico pueden tener la misma interfaz de usuario, pero uno proporciona seguridad mientras que el otro provoca la fuga de información. Además, el uso de medios de protección criptográfica, con un medio de procesamiento de información de software y hardware, protege de manera confiable esta información y con el otro conduce a su fuga. Un criptógrafo experimentado podrá notar la diferencia entre estos sistemas, pero el usuario promedio nunca podrá notar la diferencia. ¿Qué hacer en esta situación? Normalmente confiamos la protección de nuestra seguridad y tranquilidad a agencias gubernamentales, especialmente cuando carecemos de conocimientos para una evaluación independiente, por ejemplo en aviación, medicina y farmacología. Lo mismo ocurre con la criptografía. Por eso se ha introducido la concesión de licencias para las actividades de las empresas de protección de la información por parte de FAPSI y la certificación de los productos desarrollados. Hasta la fecha, FAPSI ha autorizado a 153 organizaciones, de las cuales 86 son organizaciones regionales, a las que se les otorga el derecho de desarrollar, producir y operar medios de protección criptográfica.
Estas organizaciones, junto con FAPSI, han iniciado trabajos para proteger la información confidencial en las divisiones regionales de varios organismos gubernamentales. Se está implementando un sistema de correo seguro para proteger el intercambio de información confidencial entre la oficina central del Ministerio de Impuestos y Derechos y todas las regiones de Rusia. Los trabajos sobre la primera etapa de creación de un sistema geográficamente disperso que una los sistemas automatizados de los departamentos centrales y territoriales de los órganos del tesoro federal del Ministerio de Finanzas se encuentran en la etapa final. Se está trabajando para crear sistemas de información seguros: ISINPOL para el Servicio Federal de Policía Fiscal y «Cortina» para el Ministerio del Interior de Rusia. Se planean varios proyectos similares como parte de la segunda etapa de la creación del Sistema de Información y Telecomunicaciones de Propósito Especial de Rusia (ITCS). Al mismo tiempo, se prevé garantizar la seguridad de la información de los sistemas de información regionales e integrarlos en el ITCS basándose en el uso de soluciones estándar desarrolladas por FAPSI y medios de seguridad certificados.
Con el fin de implementar una política científica y técnica unificada en el campo de la construcción ITCS, incluido el desarrollo de soluciones estándar unificadas para garantizar la seguridad de la información en ella, ahora se ha enviado una versión expresa del proyecto del sistema de la nueva edición del Programa ITCS. a casi todas las regiones del país. Se espera que el proyecto del sistema y, en consecuencia, la nueva edición del Programa ITCS reflejen y tengan en cuenta los comentarios y sugerencias de las regiones, y en particular aquellos relacionados con garantizar la seguridad de la información de las estructuras regionales de información y telecomunicaciones, teniendo en cuenta su interacción con sistemas y centros interregionales y centrales para diversos fines.
Uno de los aspectos importantes para garantizar la organización de la interacción de la información entre regiones en todos los niveles (intrarregional, interregional, conexión entre regiones y el centro, etc.) es el problema de conectarse a Internet en el -llamada manera segura de la información. Para ello se está trabajando en la creación del segmento ruso de Internet — RSNET.
Hasta la fecha, se ha creado y está en funcionamiento una región experimental de la red RSNET, que consta de un nodo central, dos nodos interregionales en San Petersburgo y Nizhny Novgorod y tres nodos regionales en Moscú, Krasnodar y Kirov.
De este modo se ha creado una base de telecomunicaciones para construir la red RSNET. En total, como parte de la creación del segmento ruso de la red de Internet RSNET, está previsto crear un nodo central, 2 nodos interregionales y 40 nodos de acceso regionales.
De acuerdo con el Concepto aprobado para la creación de la red RSNET, también está previsto realizar el trabajo correspondiente para garantizar la seguridad de la información en ella mediante la introducción de herramientas de seguridad prometedoras desarrolladas en el país, principalmente cortafuegos.
Otro aspecto de la seguridad de la información regional es garantizar la protección de los documentos electrónicos contra la falsificación. Si un atacante realiza cambios en el software de los sistemas de pago, permitiendo que se transfieran incluso pequeñas cantidades a su cuenta de cada transacción, puede robar grandes cantidades de dinero.
Estos casos son bien conocidos en la práctica mundial. También aparecieron aquí. Así, en 1995, en la Dirección General del Banco de Rusia para la región de Tula, se identificó un caso en el que un programador de sistemas introdujo un marcador de programa que permitía transacciones ilegales. Con este marcador, se transfirió dinero a un banco comercial para su cobro. En general, según el Ministerio del Interior, en 1998 se identificaron 73 fraudes relacionados con la tecnología informática en el sistema crediticio y financiero ruso; En 50 causas penales se completaron los procedimientos y se trasladaron a los tribunales, 96 personas comparecieron ante la justicia. El importe del daño causado por los delincuentes ascendió a 34,3 mil millones de rublos.
FAPSI ha desarrollado y está implementando con éxito una firma digital electrónica y una serie de otros medios de protección criptográfica para evitar una posible falsificación de documentos electrónicos y así proteger a los bancos de pérdidas financieras. Y cuando se toman en serio las cuestiones de seguridad de la información y las recomendaciones de las agencias federales, las transacciones electrónicas están protegidas de forma segura. Ésta es, por ejemplo, la situación en el Banco Central de Rusia, que trabaja en estrecha colaboración con FAPSI y sigue una política coherente de introducción de herramientas de seguridad de la información certificadas por la Agencia en los sistemas de pago regionales. Desafortunadamente, hay muchos ejemplos opuestos en los que las estructuras financieras dependen de tecnologías de seguridad de la información importadas o nacionales no certificadas, lo que genera graves pérdidas financieras.
Déjame darte un ejemplo. El uso de tarjetas inteligentes extranjeras equipadas con herramientas de seguridad de la información no certificadas en el sistema de pago Golden Crown desplegado en la región de Siberia permitió al atacante identificar las debilidades de los mecanismos algorítmicos de protección y desarrollar un escenario de ataque. teniendo en cuenta las características reales de los cajeros automáticos y terminales de pago del sistema, realizar duplicados de tarjetas de plástico reales y llevar a cabo con éxito un ataque de información, provocando importantes daños económicos al sistema de pagos.
Esto no habría sucedido si el sistema de pago hubiera utilizado una tarjeta inteligente desarrollada por FAPSI junto con varias organizaciones y empresas rusas con un sistema operativo y un núcleo de seguridad basado en algoritmos criptográficos nacionales.
Un aspecto importante de la seguridad de la información regional es la capacidad de las autoridades regionales de obtener información confiable sobre los volúmenes reales de ventas de productos (en particular, ventas de bebidas alcohólicas) para garantizar el control de los ingresos fiscales. Los medios de control desarrollados por la FAPSI durante la reconversión, en nuestra opinión, contribuirán en gran medida a resolver este importante problema regional. Estamos hablando de una máquina registradora con memoria fiscal protegida mediante métodos criptográficos y un sistema de control criptográficamente protegido para la producción y venta de bebidas alcohólicas. En realidad, estos avances están listos para una implementación generalizada. Por lo tanto, la caja registradora está incluida en el registro estatal de cajas registradoras y el sistema de control de alcohol mencionado se ha implementado en las regiones de Leningrado y Chita, la República de Karelia, los distritos autónomos de Taimyr y Khanty-Mansi. Ahora depende de la iniciativa de los servicios pertinentes de otras regiones.
Así, FAPSI cuenta con recursos tecnológicos e intelectuales que pueden ayudar a resolver una serie de problemas para garantizar la seguridad de la información regional. Para ello es necesario garantizar una estrecha interacción entre la Agencia Federal y los dirigentes regionales. Este problema puede ser resuelto por los departamentos regionales y los centros de comunicaciones gubernamentales de FAPSI, que están disponibles en todas las regiones y actualmente resuelven una amplia gama de problemas para garantizar el funcionamiento de las comunicaciones gubernamentales, el funcionamiento y desarrollo de los centros regionales de información y análisis y los centros de informatización legal. . Estas mismas unidades ya están resolviendo una serie de problemas relacionados con garantizar la seguridad de la información en las regiones. Sin embargo, esta área de su actividad, teniendo en cuenta las necesidades de las regiones, actualmente necesita ampliarse.
Esperamos que el fortalecimiento de la interacción entre los líderes regionales y FAPSI conduzca en un futuro próximo a fortalecer la seguridad real de la información en las regiones de Rusia.