27 марта 2014-го года Кабинет Министров Украины назначил председателем Государственной службы специальной связи и защиты информации Украины (Госспецсвязи) Владимира Зверева. Его деятельность оказалась под пристальным вниманием СМИ. Мы сумели встретиться с Владимиром Павловичем, чтобы поинтересоваться каким образом Госспецсвязи собирается отвечать на сегодняшние вызовы информационной безопасности государства.
- Почему до сих пор не принята на баланс и не введена в строй телекоммуникационная сеть специального назначения (ТССН)? Планируете ли Вы обращаться в следственные органы, подавать в суд на «Укртелеком» за срыв договорных обязательств?
- Сначала, для понимания, расскажу немного о самой телекоммуникационной сети специального назначения (ТССН). Ее архитектура определяется техническим заданием, которое было утверждено еще до принятия конкурсных условий приватизации “Укртелекома”.
ТССН использует магистральные каналы “Укртелекома”, который гарантированно выделяет для ТССН оптические каналы связи магистрального уровня STM-64 и STM-16, а также каналы связи регионального уровня, представляющие из себя VPN на основе Ethernet-сети “Укртелекома”. Региональные узлы ТССН развернуты на площадках узлов связи “Укртелекома” в районных центрах и городах областного подчинения. Они находятся в отдельных помещениях, либо в отдельных стойках с ограниченным доступом. Конечные пользователи подключаются к региональным узлам связи по VPN с помощью оконечного оборудования специальной связи, на котором осуществляется шифрование. Трафик ТССН, на уровне коммутации пакетов с использованием технологии MPLS, изолирован от трафика других пользователей “Укртелекома” и от сети Интернет.
Технически “Укртелеком” закончил работы по созданию сети в апреле 2013 года. Однако бюджетное финансирование закупок Госспецсвязи оконечного оборудования отставало от графика. В 2012 году было принято решение о выделении 220 млн. грн., но по факту было выделено 100 млн. Еще 131,6 млн было выделено в 2013 году (120 млн. грн. - недостающая сумма на оборудование ТССН, 13,6 млн. грн. на закупку дополнительного оборудования для правительственной связи). Эти средства были потрачены
на приобретение и установку оборудования доступа к ТССН, и небольшая сумма, около 2-3 млн., на построение ВОЛС (волоконно-оптических линий связи) привязки некоторых наших объектов к оборудованию “Укртелекома”. Эта работа была закончена в августе 2013 года. С сентября 2013 года
ТССН находится в опытной эксплуатации. Затем у “Укртелекома” действительно возникли сложности по юридической передаче на баланс нематериального объекта (например, линейно-кабельных сооружений), а выделенной емкости. Задержка связана с отсутствием мирового опыта и процедуры передачи подобного нематериального ресурса. В настоящий момент “Укртелеком” проводит аудит своих активов, в ходе которого должна быть завершена оценка ТССН и оформление документов на нее как на объект, который можно передать с баланса ОАО на баланс Госспецсвязи. Было также принято совместное решение “Укртелекома” и Госспецсвязи о разработке сводной технической документации на ТССН и ее государственной экспертизе. Работы по созданию этой документации проводит НИИ “Гипросвязь”.
Мы ожидаем, что передача сети на баланс Госспецсвязи будет завершена до конца 2014 года. Обращаться в суд и следственные органы мы не планируем, так как взаимодействие с “Укртелекомом” происходит в
рабочем порядке.
- Почему ТССН выполнена в виде облачного решения и каким образом это обеспечит защиту от перехвата информации? Каким образом Фонд госимущества поставит ТССН на баланс? Разделит световой поток на фотоны или как-то еще?
- Встречный вопрос: кто вам рассказал, или где вы вычитали про “облачное решение”? С технической точки зрения правильнее использовать термин VPN для локальных подключений и MPLS для магистральных каналов. Вопрос построения автономной сети передачи данных с собственными линейно-кабельными сооружениями обсуждался на этапе согласования условий приватизации “Укртелекома” и утверждения технического задания. В 2010 году расчетная стоимость такой сети оценивалась в 1,5 млрд. грн. Фактически, это эквивалентно инвестициям в создание нового
полноценного телекоммуникационного оператора. Государство не имело и не имеет возможности выделить такие средства, а перекладывание их на покупателя, по мнению тогдашнего правительства, снизило бы инвестиционную привлекательность “Укртелекома”. В результате было найдено компромиссное решение. Другой фактор - отдельная сеть имела бы много неиспользуемого ресурса.
Госспецсвязи полностью контролирует и обслуживает оборудование доступа к сети, а также оборудование управления сетью. В сеть поступает трафик, зашифрованный абонентским оборудованием. Расшифровать его также можно только на абонентском оборудовании с действующими ключевыми документами. Кроме того, как я уже говорил, предприняты организационно-технические меры по ограничению доступа к оборудованию ТССН на площадках “Укртелекома”. Чтобы воспрепятствовать передаче данных ТССН необходимо физически прервать соединение в каналах связи “Укртелекома”. В случае перехвата всех данных канала с помощью установки дополнительного оборудования между узлами (например, в канализации):
- злоумышленник не будет иметь возможности вычленить из общего потока пакеты (а не “фотоны”), относящиеся к ТССН; наоборот, “растворение” трафика ТССН в телекомовском дополнительно улучшает скрытность передачи данных;
- стойкость криптографических алгоритмов, предусмотренных в сетях связи, которые будут использовать ресурс ТССН, гарантирует невозможность их взлома в разумное время;
- появление в канале оборудования перехвата мгновенно обнаруживается средствами управления сетью по характерному изменению параметров прохождения пакетов, и может быть оперативно пресечено.
Госспецсвязи оценивает стойкость ТССН как чрезвычайно высокую. И не только мы - координационный совет стран СНГ по вопросам правительственной связи в 2013 году дал проекту ТССН самые высокие
оценки.
- Кто разрабатывал систему криптографической защиты информации? Не использовалось ли для нее российские программные продукты и аппаратные решения? Есть ли гарантия, что в военное время она не будет взломана?
- Украина - единственная (кроме России) страна на постсоветском пространстве, которая владеет полным циклом производства криптографической защиты - от разработки математических моделей криптоалгоритмов до изготовления ключевых документов. Украина также производит собственные шифраторы, которые, кстати, значительно дешевле российских и европейских\американских. Средства криптографической защиты информации, которые используются для защиты государственной информации, закупаются только в украинских производителей. Для создания межгосударственных линий связи ряд средств закупался у тех стран (в том числе и России), с которыми создавалась такая линия специальной связи. Но по этим линиям передается информация, принадлежащая другой стороне. Криптографические алгоритмы шифрования, которые используются в Украине, имеют стойкость не ниже 10 в 55 степени вариантов перебора ключей. Для этих алгоритмов доказано отсутствие методов криптографического анализа, вычислительная сложность которых меньше метода тотального перебора ключа. По показателю криптографической стойкости, отечественные алгоритмы шифрования являются безопасными для использования в ближайшие десятилетия.
- Зачем создавать единую точку доступа в Интернет для госорганов? Не шаг ли это назад, по аналогу России?
- Единая точка доступа гарантирует безопасность информационных ресурсов государственных органов. Все попытки несанкционированного вмешательства в работу государственных информационных ресурсов,
использующих единую точку доступа, своевременно пресекаются. И наоборот, большинство ресурсов, подвергшихся взлому, не использовали единую точку доступа - их владельцы получали услуги доступа в Интернет и хостинга по самостоятельно заключенным договорам с операторами и провайдерами связи.
- Когда будет создан Национальный центр оперативно-технического управления сетями телекоммуникаций Украины не на базе «Укртелекома»?
- Когда на это будет выделено бюджетное финансирование. Пока для этой цели используются центры управления сетями “Укртелекома” и других крупных операторов.
- Не считаете ли Вы необходимым вернуть в собственность государства телефонную канализацию (ККЭ, кабельную канализацию электросвязи), которая является ключевым элементом информационной безопасности?
- Мы считаем это целесообразным, и имеющим смысл. Однако решение этого вопроса находится не в нашей компетенции.
- Роскомнадзор уже сделал обязательным хранение интернет-компаниями данных пользователей и передачу их уполномоченным органам. А у наших чиновников до сих пор почты на mail.ru и т.п. Как вы планируете бороться с утечкой информации потенциальному противнику?
- Для обеспечения защиты информации с ограниченным доступом на предприятиях, которые используют такую информацию, должны создаваться отдельные сети передачи данных, отвечающие требованиям комплексной защиты информации. Подключение их к сети Интернет не допускается. Использование личных сменных носителей на компьютерах, которые входят в такие сети, не допускается. Компьютеры, входящие в эти сети, находятся в специально сертифицированных помещениях, в которых не могут одновременно находиться компьютеры, подключенные к Интернету. Поэтому любая утечка информации с ограниченным доступом из таких систем возможна только в случае осознанного нарушения пользователями законодательства о государственной тайне, за что они будут нести ответственность. Но это уже компетенция следственных органов.
- Недавно на пресс-конференции Вы упоминали, что стране нужны отечественные почтовые серверы. Может не стоит ничего изобретать, взять за основу высококачественный украинский почтовый софт и сделать его обязательным для всех госорганов, а сами серверы разметить в одном дата-центре?
- Создать защищенную почту можно с помощью бесплатного программного обеспечения - например, почтового сервера и почтовых клиентов с открытым кодом, и программы шифрования OpenPGP. Читать почтовые сообщения смогут только те, у кого есть ключи. Проблема безопасности коммуникаций не в отсутствии программного обеспечения, а в слабой дисциплине, в недостатке культуры защиты информации у пользователей.
- Несколько месяцев назад Администрация Госспецсвязи инициировала внесение изменений в Закон Украины «О разведывательных органах Украины». Почему возникла такая инициатива и что поменяется, когда дополнения к закону вступят в силу?
- Причина в том, что разведывательная деятельность и военное положение до этого года не были актуальны ни для общества, ни для законодательства, и мы просто вносим их упоминания в законы.Например, законопроект приводит использование телекоммуникационных систем в разведывательных целях к той же процедуре, что сейчас используется для оперативно-розыскной деятельности. Кроме того, в формулировки Закона о телекоммуникациях, касавшиеся использования телекомсетей в условиях чрезвычайных ситуаций добавлены слова, касающиеся военного положения. Кроме того, этот законопроек позволяет нам принять ряд подзаконных актов, касающихся возрождения государственной экспертизы критических объектов телекоммуникационной сферы. Строительства того же центра управления сетями. Необходимо поставить на учет переходы через границу волоконно-оптических линий. Они должны соответствовать техническим проектам и условиям, быть документально подтвержденными. Это важно, потому что по экспертным оценкам Украина потребляет приблизительно 800 гБит/с трафика. И каждый год пользовательские объемы потребления трафика растут. Какие у нас перспективы? В Украине оптоволоконных линий связи через границу построено немало, но оказывается, никто достоверно не знает, где какие кабели проложены, и какая на них нагрузка в принципе может быть. Во что это может вылиться? В то, что это просто-напросто будет "узким горлом" в доступе к Интернету. Раньше мы ориентировались на Россию, теперь ориентация меняется, необходимо создавать карты оптоволоконных линий, чтобы иметь полную картину той сети, которая существует в Украине в целом. И я думаю, что этот Закон позволяет включить некоторые необходимые для этого механизмы через подзаконные акты. А чего ждать дальше: еще большей работы над теми законами, которые необходимы Интернет-рынку.
Анастасия Пика