Защита в кармане
На ежегодной бизнес-конференции AQ PRO Время решений директор департамента информационной безопасности «Аквариуса» Константин Закатов рассказал о том, как создавать защищенные корпоративные устройства.
Устройства Aquarius поставляются заказчикам из различных отраслей промышленности, но их объединяет одно: вопрос информационной безопасности (ИБ) для них является приоритетным. Дело в том, что пользователи такого оборудования работают с информацией, которая не должна несанкционированно выходить за пределы контролируемой зоны предприятия. В качестве примера таких изделий можно привести защищенные смартфоны AQfone, которые выпускает «Аквариус».
«Информационная безопасность внутри наших устройств должна обеспечить санкционированный доступ к информации только тем, кому он разрешён именно владельцем этой информации, ─ поясняет Константин Закатов. – При этом основная задача состоит в том, чтобы злоумышленник не получил доступ к данным ни на каком этапе работы устройства».
Безопасность на микроуровне
Всё чаще мы сталкиваемся с тем, что атаки на устройства происходят на уровне, скрытом от глаз пользователей. Злоумышленники реализуют свои замыслы по взлому на уровне программного кода, контроллеров и прочих элементов, которые обеспечивают работу видимых глазу приложений и сервисов. Хакеры, например, обладают инструментами для добавления нерегламентированных строк кода в системное и прикладное программное обеспечение. Всё это требует от разработчиков защищённых устройств проектировать безопасность на раннем уровне. Такие скрытые угрозы и векторы атак отчетливо видят эксперты по информационной безопасности.
«Мы задумываемся о безопасности на этапе создания и проектирования устройства, - отмечает Константин Закатов. - И мы вместе с партнёрами, которые делают операционные системы и приложения, изначально разрабатываем все устройства с акцентом на безопасность».
Когда заказчики используют иностранные решения, они не знают, как устройство работает и как внутри него функционирует система защиты. Российские же производители, включая «Аквариус», создают свое оборудование с уровня схемотехники, трассировки плат, где и закладываются основные элементы обеспечения будущей информационной безопасности всего комплекса.
Многие разработки в мире построены на базе открытого кода (open source), и нельзя полностью быть уверенным в его безопасности. Однако по мнению Константина, мировой рынок сформирован таким образом, что современные технологии – это достижение множества сообществ людей, и полностью игнорировать их неверно. Нужно продолжать взаимодействовать с мировыми разработками и использовать последние достижения в области ИТ, при этом не забывая применять отечественные инструменты обеспечения информационной безопасности.
Нулевое доверие
Самая большая проблема для нашего рынка – это процессоры, отмечает Константин Закатов. «Мы проводим огромную работу по локализации их производства на территории России, - продолжил он. – Сейчас рынок представлен чипами «Байкал» и «Эльбрус», а также «Скиф». У нас есть готовые к массовому производству изделия на всех отечественных процессорах, нет пока только в больших объёмах самих процессоров. Безусловно, сейчас есть определенные сложности с их развитием и разработкой новых чипов, но я убежден, что мы сможем их преодолеть».
Как мы знаем, после 2022 года иностранные фабрики-партнеры под влиянием западных стран перестали производить российские чипы.
«К тем процессорам, которые у нас сейчас используются, мы применяем технологию нулевого доверия, - продолжает эксперт. ─ То есть мы им не доверяем абсолютно, потому что невозможно проверить весь код, содержащийся внутри. Поэтому мы применяем другой подход: мы строим свои платы вокруг этих чипов и обеспечиваем достаточное безопасное окружение. Мы знаем, какие сигналы он отправляет, а какие интерфейсы взаимодействия необходимо отключить для обеспечения безопасности».
Вся линейка оборудования «Аквариуса» (серверы, рабочие станции, моноблоки, ноутбуки, мобильные устройства) могут оснащаться антивирусными средствами, модулями доверенной загрузки, средствами защиты информации от несанкционированного доступа, средствами резервного копирования, аппаратными идентификаторами и средствами криптографической защиты информации.
Для заказчиков, обрабатывающих сведения, составляющие государственную тайну, возможна поставка техники, прошедшей специальные проверки и специальные исследования.