Контакты
Подписка
МЕНЮ
Контакты
Подписка

Как защитить уязвимые места комплексной системы безопасности?

В рубрику "Комплексные системы безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Как защитить уязвимые места комплексной системы безопасности?

Чтобы говорить о защите уязвимых мест комплексных систем безопасности (КСБ), нужно эти уязвимые места обозначить. Противодействие уязвимости КСБ в целом покоится на трех китах: безопасность системы связи, безопасность системы питания и иерархия принятия решений
Станислав Дидковский
Руководитель направления рекламы и маркетинга ООО "НПП "Автоматика-С"

Поскольку тема защиты уязвимых мест комплексной системы безопасности обширная, в данной статье мы рассмотрим первый (и, по мнению многих специалистов, – главный) аспект – безопасность системы связи.

Этот "кит", пожалуй, имеет особый приоритет. Сюда входит и организация связи "в поле", и передача информации на верхний уровень, и использование защищенного программного обеспечения, и внедрение системы определения "свой – чужой", и многое-многое другое. По большому счету, даже такая область, как информационная безопасность, является частным случаем безопасности системы связи. Каждое из этих направлений представляет собой сложную задачу.

Опасность дешевых решений

Возьмем такой пример: есть некий периметр, оснащенный техническими средствами охраны (ТСО) и патрулируемый группой быстрого реагирования. ТСО "видят", что кто-то идет по маршруту, но не могут определить, кто именно. Чтобы отсеять патрули от нарушителя, вводится система определения "свой – чужой". Некоторые "интеграторы" предлагают выдавать патрульным смартфон, оснащенный специальной программой, которая будет сообщать комплексу безопасности, что срабатывание в этом месте – не нарушение, а движение патруля. В качестве дешевого простого решения, применяемого на малозначительных гражданских объектах, такой подход допустим.


В частности, некоторые работодатели подобным приложением на смартфонах своих сотрудников фиксируют их приход на работу в торговый центр. Однако не в случае с периметром объекта особой важности! Ведь любому специалисту по безопасности понятно, что местоположение этих смартфонов легко может быть определено преступником. Фактически, нарушив правила безопасности системы связи, мы вместе с устранением проблемы отделения своих от чужих раскрываем местонахождение и маршруты патрулей! Таким образом, техническая уязвимость может быть снижена благодаря грамотным техническим решениям.

Нормативные препятствия

Для внедрения надежных ТСО нужна определенная нормативная база, а вот с этим у нас беда. Нет регламентов оснащения, нет даже нормальных требований от заказчика: у большинства ведомств они отсутствуют в принципе. Это касается всех направлений.

Уязвимые операционные системы

Если говорить о программном обеспечении, то сегодняшние требования даже предполагают использование Windows в качестве операционной системы. А ведь ее уязвимость не подлежит сомнению. Мы хорошо помним урон, нанесенный Ирану вирусом Stuxnet, использовавшим ненадежность ОС и пресловутый человеческий фактор. При этом по-прежнему на рынок выходят системы на базе данной ОС – дырявые как сито, но дешевые. Эти два критерия (низкая цена и низкое качество) на фоне неопределенности нормативной базы позволяют "протолкнуть" на весьма серьезные объекты довольно несерьезные системы. И как раз это, а не технические моменты является сильнейшей угрозой уязвимости КСБ.

Проблемы интеграции

Если говорить о стыкуемости систем друг с другом, то отсутствие единых нормативов и общих платформ вредит и тут, ведь в их отсутствие каждый изобретает свое – кто во что горазд. Например, изделия одной крупной организации (назовем ее компанией А), поставляемые для нужд Министерства обороны, обладают весьма специфичным программным обеспечением. Оно трудно интегрируется с ПО других систем – чуть ли не каждая версия обладает новым протоколом и т.д. Соответственно, при построении сложных КСБ остальные участники этого процесса (поставщики других систем, интегрированных в комплекс) сталкиваются с тем, что при любых изменениях от компании А, включая обновление (!) оборудования на более современное, приходится чуть ли не заново переделывать всю программную часть, отвечающую за синхронизацию и интеграцию работы. Очевидно, что это очень неудобно. И можно было бы выработать единый протокол, но… Регламента нет, а система компании А (как и остальных) уже утверждена. Отдельным производителям разрабатывать нормативы для всего рынка слишком затратно, да и среди чиновников нет желающих брать на себя труд и ответственность по их созданию. Вот и приходится, как тем мышам, плакать, колоться, но продолжать есть кактус…

Требования к параметрам

Рассмотрим еще один пример, как основной угрозой безопасности становятся не технические сложности, а несовершенство нормативной базы и человеческий фактор.

Есть аэропорт, у него – периметр, который нужно оснащать ограждением. Которое, к слову, само по себе является как инженерным средством, так и частью комплексной системы безопасности (уже хотя бы потому, что на него вешаются датчики). И по идее, на него должны быть нормативы: из чего сделано, какая конструкция, по какой технологии… Как вы думаете, чем ограничились наши чиновники? Одним параметром – высотой! Одним!!! Как ответственный производитель должен себя вести в такой ситуации? Он приходит в аэропорт со своим забором, а ему говорят: "Да, забор хороший. Но мы его не хотим. А какой хотим – не скажем, потому что сами не знаем".


Вот и прямая дорога к "коррупционной составляющей", как сейчас принято говорить: получается, что будет поставлено то ограждение, которое "надо" хотеть, а что именно надо захотеть, определяет тот же чиновник. Разумеется, качество, конструктив, особенности монтажа и другие актуальные вопросы не учитываются, так как никто такого учета не требует. Мы же помним: все, что должно совпасть с установленными нормами, – высота. Более ничего не требуется, ну разве что чемоданчик, туго набитый резаной бумагой. А ведь аэропорт – особенный тип объектов! При его оснащении (да и не только его) необходимо учитывать как минимум основные помеховые факторы: ветер, климатические условия, помехи от самолетов и навигационного оборудования, рельеф местности и т.д.

Пути устранения угроз

Какой же вывод можно сделать? У любой КСБ есть уязвимые места. Техническая уязвимость устраняется путем применения новых решений. Информационная уязвимость – за счет применения защищенного ПО и правильной архитектуры. Но все это ничто по сравнению с уязвимостью, возникающей из-за глупого, безответственного подхода чиновничества и отсутствия общих для всего рынка правил игры.

Как устранить последнюю, самую серьезную угрозу? Создавать эти правила. Что для этого требуется? Придавать хорошо зарекомендовавшим себя, успешно прошедшим строгую проверку решениям нормативно-правовой статус.

Кому это нужно? Производителям, заказчикам, обычным гражданам (жизни которых зависят от безопасности на различных объектах), но только не чиновникам. И на изменение ситуации должны быть направлены самые большие усилия всех специалистов в области безопасности.

Опубликовано: Журнал "Системы безопасности" #3, 2016
Посещений: 5946

  Автор

Станислав Дидковский

Станислав Дидковский

Руководитель направления рекламы и маркетинга ООО "НПП "Автоматика-С"

Всего статей:  5

В рубрику "Комплексные системы безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций