Фундаментальные принципы информационной безопасности: принцип открытой архитектуры

Знак, открыто сообщающий о Канадском Разведывательном управлении

События фильма «Игра в имитацию», на примере которых я объяснял действие принципа минимальных привилегий по умолчанию в статье «Фундаментальные принципы информационной безопасности: принцип минимальных привилегий по умолчанию» (http://pomyslivden.blogspot.ca/2015/07/blog-post_2.html) хорошо иллюстрируют также принцип открытой архитектуры информационных систем (security through obscurity). Напомню, что в фильме рассказывается история команды британского математика Алана Тюринга, которая работала над дешифровкой немецкого суперкода Энигма во время Второй Мировой войны. В самом начале фильма довольно удивительная вещь рассказывается об этом суперкоде. Оказывается он передавался открытым текстом по радио! Азбукой Морзе передавались группы цифр и букв, которые и были собственно зашифрованными посланиями. Сами послания ничуть немцами не скрывались, любой радиолюбитель мог их перехватить и записать. Проблема была в том, чтобы их расшифровать. Над этой задачей и работала команда Тюринга. Это открытое обращение с суперкодом можно считать иллюстрацией принципа открытой архитектуры. Немцы знали, что радиопередачи будут перехвачены британцами, поэтому они и не тратили сил на их сокрытие. Зато шифр посланий был таким сложным, что команде Тюринга пришлось изобрести «вычислительную машину», которая бы думала быстрее человека. Создатели фильма утверждают, что так собственно и были изобретены первые компьютеры.

Принцип открытой архитектуры состоит в том, что секретность не должна быть единственным слоем защиты информационной системы. Секреты быстро переставали быть секретами, когда не было Интернета. В век Интернета и электронной почты секретность, окружающая информационные системы, является наиболее легко преодолимым препятствием. Поскольку соблюдение секретности требует определенных ресурсов, часто создатели информационных систем ее вообще игнорируют как средство информационной безопасности.

Чтобы безопасность системы была действительно надежной, ее разработчикам необходимо использовать какое-нибудь другое средство защиты информации, и лучше даже не одно. Чем больше препятствий потенциальный нарушитель встречает на пути к информации, которая ему нужна, и чем сложнее эти препятствия, тем информация защищена лучше. Полагаться на одну только секретность довольно опасно. Немецкие секретные послания были защищены Энигмой, в состав которой входила полная перемена кода каждые 24 часа. Это обстоятельство можно считать дополнительным препятствием на пути к дешифровке посланий. Однако машина Тюринга их смогла дешифровать из-за того, что сегодняшним языком можно назвать «уязвимостью нулевого дня», то есть уязвимостью системы шифрования, о которой не подозревали сами немцы. Чтобы узнать в чем заключалась эта уязвимость, приглашаю всех посмотреть этот хороший фильм, здесь я сообщать об этом не буду.

Следствием принципа открытой архитектуры является защита моего счета на сайте банка не только паролем и логином, но еще и дополнительными вопросами, ограничением в три ошибки при аутентификации клиента, автоматическими сообщениями по электронной почте об изменениях на банковском счете и т.д. Все это – слои информационной безопасности, целью которой является защита денег в банке и создание у клиентов уверенности в том, что их деньги надежно защищены.

В некоторых ситуациях секретность все-таки остается важным средством защиты информации и по сей день. Если кто-то решит зарыть ночью в тайне от всех клад, ему удастся эффективно воспользоваться секретностью. Однако любой может случайно наткнуться на клад впоследствии, не говоря уже о том, что кто-то может случайно увидеть процесс зарытия клада. В этом случае эффективнее все-таки будет воспользоваться банковским сейфом. Безопасность клада при этом сразу драматически повышается, ведь чтобы его забрать человеку потребуется пройти серьезную проверку сотрудниками банка. Может быть ему еще придется иметь специальный ключ.

Или другой жизненный пример в преддверии лета. Некоторые канадцы уезжая в летний отпуск оставляют ключ от дома в искусственном камне где-то на своем заднем дворе. Это означает, что между потенциальным грабителем и открытыми дверями в пустой дом стоит только информация о том, где в открытом доступе лежит скрытый ключ. Грабителю действительно сложно будет получить эту информацию. Однако если он залезет на задний двор и случайно перевернет этот камень, то ключ может оказаться у него в руках. Это довольно сложно представить, хотя вероятность имеется. Вероятность обнаружения ключа значительно повышается, если, скажем, сосед решит помочь прополоть задний двор пока хозяева отсутствуют. Гораздо более надежным способом сохранить ключ будет сдать его на хранение в надежные руки. Установка сигнализации в доме тоже не помешает.

Если создатели какой-либо информационной системы полагаются только на секретность, это означает, что потенциальные нарушители считаются ими, грубо говоря, дураками, потому что они якобы не смогут узнать секрет. Однако развитие информационных систем доказывает как раз обратное. Хакеры и мошенники обычно на шаг впереди разработчиков информационных систем, они гораздо более искусны, они нестандартно мыслят, они могут быстро кооперироваться. Они кто угодно, только не дураки. Если бы они были таковыми, у профессионалов информационной безопасности не было бы работы. Я же вижу, что будущее у информационной безопасности очень большое, работы много и будет еще больше.