«Сервис должен предоставить тот, кому можно доверять»

Понимание информационной безопасности в корпоративном сегменте и обществе очень многогранно. Для кого-то этот вопрос в большей степени связан с социальной ролью, доверием к системе, ощущением безопасной среды. В таком подходе больше социальных и философских категорий, чем технологических. С другой стороны, огромный технический аспект ИБ связан с применением специальных аппаратных и программных средств, направленных на борьбу с потенциальными нарушителями. Есть и третий аспект – нормативный.

Все три аспекта важны, поэтому сначала нужно определить понятия «доверие» и «безопасная система». Кроме того, нужно учитывать, что не существует объективной линейки, позволяющей измерить, все ли сделано для обеспечения безопасности. У нас нет средств объективного доказательства, что «доверенная система» надежно защищена. Вы можете рассчитать нагрузку на металлоконструкции и быть уверенным в ее прочности. А вот «доверие» сложно поддается такой формализации.

При помощи математики можно решить задачу в общем виде, доказав, что та или иная информационная система не поддается утечке информации. Но жизнь устроена сложнее, и когда мы переходим в реальную плоскость, то подробно расписываем, что может сделать нарушитель, какие последствия это влечет, определяем степень их важности и, наконец, выводим гипотезу о достаточности наших усилий. Она формируется экспертным мнением в общем виде.

С развитием квантовых коммуникаций, стойкость которых обусловлена законами физического мира, понятие защищенности среды передачи уже отличается от того, которое было еще совсем недавно. Раньше предполагали, что нарушитель ограничен техническими средствами, вычислительными ресурсами или временем. И если что-то в технологическом мире менялось, то вся система должна адаптироваться к этим изменениям. Она постоянно находилась в состоянии стресса, а ее защищенность являлась функцией от времени. Рано или поздно в результате скачка в развитии вычислительных технологий или новых вычислительных моделей наступала «точка перегиба» и система начинала рушиться. Хрестоматийный пример, когда система не успела адаптироваться, – это шифровальная машина «Энигма».

Отличие квантовых коммуникаций в том, что они содержат новую концепцию безопасности и исходят из того, что нарушитель может делать все, что угодно, но не сможет нарушать законы природы. Создатели квантовой криптографии предложили построить систему, основанную на законах природы, которые невозможно нарушить. То есть безопасность и защищенность являются константой во времени, постоянной функцией. Сначала возможность создания технологии квантового распределения ключей для защиты каналов связи была доказана теоретически, потом был найден путь практической реализации, а после этого началось создание инфраструктуры. Тем самым квантовые коммуникации позволяют снизить человеческий фактор в организации работы защищенной системы, что снижает риски реализации доверенной информационной системы.

Создание государственной компанией – ОАО «РЖД» – магистральных квантовых сетей в Российской Федерации и возможность организации подключения конечных абонентов к квантово-защищенной сети связи обеспечивают доверие к оператору связи, оказывающему услугу по передаче информации.

К устойчивости к перспективным угрозам. Можно не бояться, что если в технологиях произошли изменения, то их срочно нужно учитывать. У вас есть распределенная система, которая позволяет учитывать любые изменения с точки зрения стойкости в автоматическом режиме по большому числу абонентов. Это очень важное и полезное свойство.

Нет, конечно. Это одна из технологий, которая совместно с другими технологиями позволяет сделать следующий шаг в организации информационной безопасности.

Важно, что параллельно с технологическими изменениями в обществе растет понимание роли ИБ. Сейчас очень сложно найти направления деятельности, которые не требовали бы применения средств защиты информации или организации защитной системы. Это не только финансы, но и производство, коммерческие и персональные данные. Найти то, что требует защиты, существенно проще, чем то, что не нужно защищать.

При этом не все направления в экономике растут такими темпами, как рынок информационной безопасности, увеличивая емкость традиционных ИКТ-сегментов. Пользователь начал воспринимать безопасность как отдельный сервис, а не как дополнительную функцию информационной системы. И этот сервис должен предоставить тот, кому можно доверять.

Да, мы видим развивающуюся тенденцию, когда руководители воспринимают сферу информационной безопасности не просто как комплекс программно-аппаратных решений, а как набор услуг с определенным уровнем качества и ответственности. И в обществе, и на рынке уже сформировалось понимание, что нужно двигаться к сервисной модели ИБ. Это трудоемкий процесс, он требует специальной квалификации, но для потребителя такой подход должен стать удобным и эффективным. На сегодняшний день это один из ключевых вызовов для отрасли.

Например, ИБ проникает в средние и мелкие сегменты производства. Вместе с тем повышаются требования к квалификации специалистов, способных обслуживать инфраструктуру. Но малые предприятия, скорее всего, не смогут содержать собственную высококвалифицированную службу ИБ. Тогда решением станет предоставление сервиса, который должен быть простым и удобным для потребителя.

Все зависит от того, кто является оператором ИБ и в каком виде он предоставляет услугу.

Такие дискуссии действительно идут. Здесь важно понять баланс и найти компромисс между доверием и объемом задач, который забирает на себя этот внешний оператор. Мне кажется, что сейчас это даже важнее, чем обсуждение развития технологических платформ внутри направления.

Мы видим хорошие результаты технологий, быстрое развитие рынка, но в то же время находимся в той переломной точке, когда нужно показать нашу отрасль с точки зрения цифровизации и ИТ, какие возможны модели развития рынка квантовых коммуникаций.

Нужно определиться с глубиной проникновения технологии, рыночными нишами, регулированием отрасли, распределением ответственности между участниками.

Сейчас готовится корректировка нормативных документов в сфере ИБ, что должно привести к росту количества участников процесса и объема рынка.

Это целый пул нормативных документов, которые делают адресными меры ответственности. Например, об административной ответственности за невыполнение требований по применению сертифицированных средств защиты информации, ответственности по раскрытию персональных данных и прочее. В результате количество акторов, которые должны применять эти сервисы, вырастет, а также появятся направления, где эти требования должны быть корректно выполнены.

Концепция развития нормативной базы в области квантовой коммуникации касается большого количества смежных вопросов, которые становятся актуальными вместе с появлением новых технологий. Когда эти процессы будут выстроены, то поменяется модель потребления и возникнет новая рыночная ниша. Это разовьет новые технологии и услуги.

Этот процесс можно сравнить с появлением мобильной связи. Ее возникновение – это не совсем следствие развития технологий, это больше вопрос организации хозяйственных взаимоотношений и производственных процессов. Технология – модуляция радиоволн – была известна и раньше, но нужно было правильно выстроить рынок организационно, нормативно, с точки зрения восприятия продуктов.

Квантовые коммуникации тоже создают новые ниши, новую модель взаимодействия и поведения. Технологический базис, который мы активно создаем, позволяет организовать сервис так, чтобы он был эффективен для потребления. То есть на предыдущем этапе мы создавали решения и разбирались, как они работают. А сейчас мы превращаем их в новую индустрию с удобными сервисами.

После появления мобильной связи качественное изменение произошло не в том, что стало возможным в любой момент позвонить, а в появлении альтернативной среды коммуникации для передачи своих мыслей. Человек перестал задумываться о том, что ему нужно заранее договариваться о встрече, чтобы поговорить.

Квантовая отрасль будет сформирована, когда пользователь не будет задаваться вопросами, что ему нужен безопасный защищенный канал. Вы же сейчас не интересуетесь тем, как идет сигнал мобильной связи, правда? Большое количество сервисов, например, водоснабжение и водоотведение, электричество, интернет, тоже не вызывают сомнений в необходимости. Когда мы предлагаем безопасную точку подключения в коммутаторе и показываем, что все остальные вопросы решены на верхнем уровне защиты, то в ответ мы слышим: «Да, интересно, давайте обсудим условия».

РЖД выступают в двух ролях: как регулятор отрасли и как коммерческий участник этой сферы. Поэтому ответ с этих двух позиций немного разный.

Если говорить про функциональную составляющую, то с рынком и конечными клиентами должны работать квалифицированные интеграторы и операторы, которые уже взаимодействуют с РЖД. Мы со своей стороны предложим новый сервис таким образом, чтобы его было удобно транслировать конечному потребителю. Эта модель обеспечит максимально большой охват. Чем больше интеграторов смогут предлагать своим клиентам новую услугу, тем быстрее будет развиваться рынок.

Если говорить в целом о системе, то работа ведется с крупными участниками отрасли, в частности, с компаниями «Ростелеком», «Солар», «Билайн», «МТС», «ТрансТелеКом», «Т1» и другими операторами. Особенно приятно, когда представители крупного бизнеса сами приходят и говорят, что хотят разобраться с технологией защиты каналов посредством квантовых коммуникаций, погрузиться в предмет и найти свое место в этой нише.

Нет, можно использовать существующие сети. Устанавливаются конечные устройства и операторское оборудование там, где нужна стыковка. Если говорить про рост эффективности инфраструктуры, то квантовые каналы можно спектрально уплотнять, делать более правильную маршрутизацию. Потенциал для синергического эффекта довольно велик.

Мы сейчас рассматриваем классические сценарии по соединению дата-центров и каналов передачи данных. Следующий шаг – это интеграция с прикладными сервисами, в том числе с сервисами формирования цифровой подписи. Он полезен для оптимизации процесса взаимодействия удостоверяющих центров и выдачи этих подписей. 

Компетенции в области квантовой коммуникации складываются из трех предметных областей. Исторически так сложилось, что они всегда были очень обособлены. Вузы готовили специалистов либо в области информационной безопасности, либо в области телекома, либо в области оптики, фотоники и так далее. Особенность этого вида деятельности в том, что специалист должен иметь квалификацию сразу во всех этих областях и понимать, как устроена смычка между ними. Для этой специальности нужна собственная образовательная программа в области квантовой коммуникации. Мы уже сформировали два профессиональных стандарта, корректируем ряд других образовательных стандартов и разрабатываем программы подготовки специалистов.

Изображение сгенерировано recraft

Фото предоставлено пресс-службой РЖД