Журнал "Information Security/ Информационная безопасность" #4, 2019

32 • ТЕХНОЛОГИИ Приемы идентификации существенно зависят от целей, которые могут харак- теризоваться как кримина- листические и технологиче- ские. Криминалистическая идентификация выполняет- ся, как правило, на доверен- ном оборудовании, без сотрудничества с идентифи- цируемым объектом. Иден- тификация в технической защите информации выпол- няется в предположении, что субъект готов к сотруд- ничеству. Все исследования в обла- сти технической защиты информации до последнего времени проводились с уче- том того, что мы работаем с корпоративными система- ми, границы которых точно известны. В этих границах всегда можно обеспечить достаточный уровень защи- щенности, базирующийся на доверенности СВТ, вклю- ченных в состав системы. Все меры по защите инфор- мационных систем до настоя- щего времени неявно форму- лировались для корпоративных, замкнутых систем. Состав такой системы известен: какие ком- пьютеры в нее входят, как они защищены, где расположены и т.д. Понятны связи между узлами и характеристики пере- даваемых данных, что позво- ляет принять решение о крип- тографической защите данных. Легальные участники системы также известны, а это дает воз- можность эффективно их иден- тифицировать с использовани- ем доверенных средств вычис- лительной техники (СВТ). И в это время все радикально изме- нилось. Новый мир В компьютерах появились неотчуждаемые средства реин- жиниринга (например, IME), которые позволяют перехватить управление компьютером в любой момент и в любой момент получить любые дан- ные, размещенные на его тех- нических средствах. И эти угро- зы не блокируются ни одним из известных средств защиты. Системы преимущественно становятся открытыми, а сде- лать все СВТ в открытой систе- ме защищенными невозможно. Если мы и понимаем, как идентифицировать участников информационного взаимодей- ствия в закрытых системах, то в открытых системах доверен- ных методов пока нет. И так как смартфоны всегда будут недоверенными, то методы идентификации должны стать совершенно другими. Мы пред- ложим новый метод биометри- ческой идентификации, осно- ванный на рефлекторных реак- циях человека и интерактивно- сти процедур. Приемы идентификации существенно зависят от целей, которые могут характеризовать- ся как криминалистические и технологические. Криминалистическая иден- тификация выполняется, как правило, на доверенном обо- рудовании, без сотрудничества с идентифицируемым объ- ектом. Идентификация в тех- нической защите информации выполняется в предположении, что субъект готов к сотрудни- честву. Все исследования в области технической защиты информа- ции до последнего времени про- водились с учетом того, что мы работаем с корпоративными системами, границы которых точно известны. В этих границах всегда можно обеспечить доста- точный уровень защищенности, базирующийся на доверенности СВТ, включенных в состав системы. В открытой же системе этого добиться невозможно. Обращаясь за госуслугами, телемедицински- ми консультациями, услугами бан- ков, услугами в секторе B2C, граждане всегда будут пользо- ваться смартфонами, о доверен- ности которых говорить не при- ходится. Такой доступ неизменно будет самой легкой добычей для всех видов атак с использованием вредоносного ПО. В этих условиях можно раз- вивать систему в двух направ- лениях: перенести всю тяжесть защиты на центр и отказаться от использования надежной криптографической защиты при доступе к сервисам (например, банка) с мобильных устройств пользователей или/и строить распределенную, "иммунную" систему защиты, обеспечиваю- щую приемлемый уровень защищенности клиентских тран- закций даже при недоверенном оборудовании. Первое направление очевид- но, и многие идут по этому пути, полагая, что риски пока невелики и такими же оста- нутся в дальнейшем. Очевид- но, что это не так. Брешь в защите всегда находится и экс- плуатируется преступниками. Брешей в защите следует избегать. Второе направление еще ждет своих исследователей. Основой эффективных реше- ний могут стать системы муль- тимодальной биометрической идентификации с использова- нием динамики рефлекторных реакций. Статья посвящена последним 1 . Удаленная идентификация/аутентификация с использованием биометрии ир внезапно изменился – и все прежние наработки в области технической защиты информации резко, более чем наполовину, потеряли свою актуальность. Корпоративные системы, конечно, остались, но появились новые, открытые компьютерные системы цифровой экономики. И они немедленно стали важнейшими, а методов защиты их нет. “Здесь и сейчас” – вот лозунг цифровой экономики. Но как понять, где и когда, если на пути к этому стоит полное отсутствие методов идентификации в открытой среде? А ведь нужно знать, кому мы оказываем услугу. Как применять криптографию, если пользовательские устройства недоверенные? На какую нормативную базу опираться, если для открытых систем ее нет совсем? М Валерий Конявский, зав. кафедрой “Защита информации” МФТИ, д.т.н. 1 Из соображений краткости в тексте минимизированы ссылки на литературу, развернутый обзор и ссылки можно увидеть в [1].