Быстрое импортозамещение в КИИ: проблема или задача?
Светлана Конявская, 02/10/24
Со студенческой скамьи мы помним, что проблема и задача – это совершенно разные вещи, и их важно не путать.
Автор: Светлана Конявская-Счастная, АО “ОКБ САПР”
Задача – это то, что можно решить с использованием имеющихся инструментов (в самом широком смысле этого слова – от устройств или программ до системных знаний), решить в рамках текущего состояния системы, используя ее свойства. Проблема – это противоречие, неразрешимое в текущем состоянии системы (наличие такого противоречия, в соответствии с теоремой Гёделя о неполноте, обязательно характеризует любую систему). Для решения (разрешения) проблемы необходимо изменение системы, а имеющимися средствами она не решается (иначе она – задача).
Исходя из этого, в общем, тривиального знания, мы можем оценить, в каких случаях импортозамещение вообще и быстрое в частности – проблема, а в каких – только задача. Давно хорошо известно, что в аспекте защищенного сетевого взаимодействия объектов КИИ – это задача, так как отечественное решение существует и применяется: линейка продуктов на базе защищенного микрокомпьютера с аппаратной защитой данных m-TrusT. На страницах этого журнала мы не раз писали и о самих решениях, и об их внедрениях в КИИ.
Однако в этот раз вопрос редакцией журнала поставлен более конкретно – решаема ли задача не импортозамещения в КИИ вообще, а быстрого импортозамещения.
Когда задаешься вопросом о том, как решить ту или иную задачу, обязательно вспоминаешь Д. Пойя (поскольку "Как решить задачу?" – одна из самых знаменитых его книг). Попробуем, раз так, оценить возможность именно быстрого импортозамещения в КИИ с использованием m-TrusT для защиты сетевого взаимодействия объектов КИИ методом правдоподобных рассуждений по Пойя. Этот метод вполне уместен, поскольку различные эмпирические измерения скорости импортозамещения очевидно не достоверны, так как слишком многие неконтролируемые факторы влияют на результат в каждом конкретном случае.
Итак, рассудим, что может препятствовать быстрому импортозамещению, замедлять его, и оценим, насколько свободны от этих негативных факторов m-TrusT и решения на его основе.
Сертификация, особенно сертификация СКЗИ на высокие классы
Это процесс объективно длительный и сложный, причем необходимость в нем возникает всякий раз при изменении среды функционирования криптографии. А это значит, если будет адаптация средства защиты к специфическому оборудованию, то сертификация неизбежно последует.
Это не так в случае с m-TrusT. О том, почему, написано уже очень много [1]. Коротко – потому, что устройство, на котором исполняется СКЗИ, и, стало быть, среда функционирования криптографии, не меняются при адаптации к оборудованию, меняется интерфейсная плата, не связанная с СКЗИ.
Закупка новых средств защиты требует изрядных инвестиций
Изыскание и согласование средств на закупку нового оборудования может оказаться длительным процессом. Однако, как правило, его длительность пропорциональна стоимости оборудования. Оборудование на основе m-TrusT хорошо тем, что стоимость его весьма невысока. Более того, мы постоянно работаем над тем, чтобы не только не повышать, но и по мере возможности снижать стоимость аппаратной базы за счет использования комплектующих, стоимость которых наименее подвержена влиянию негативных факторов нетехнического характера.
Минуты тяжких сомнений
Наконец, есть еще один аспект, существенно усложняющий принятие решений в области импортозамещения. Он связан с тем, что постоянной критике подвергается "глубина" этого самого замещения. Стали общим местом рассуждения о том, насколько обосновано говорить об импортозамещении при использовании импортных составных частей. Причем речь может идти как целиком об аппаратной базе, о чипсете, так и о комплектующих. Принимать решение в ситуации, когда не ясно, где нужно остановиться, – очень сложно. Очевидно, что в конце концов так можно дойти и до полезных ископаемых. Однако, из этой критики можно выбрать рациональное зерно: действительно, может иметь значение, под чьим контролем находятся те компоненты, которые влияют на работу конечного устройства. Процессоры ARM и х86 в этом смысле являются наиболее частой мишенью для стрел критики. Не пытаясь оценивать вероятность наступления негативных последствий от использования процессоров ARM (достаточно того, что в принципе оно возможно), мы создали m-TrusT на процессоре RISC-V, его общее название TrusT-on-RISC (ToR). Тем самым сомнения в том, что решение действительно является импортозамещением, можно тоже свести к минимуму.
Итак, самый длительный этап – сертификация СКЗИ в конкретных условиях – сведен практически к нулю, средств на внедрение и обслуживание требуется ощутимо меньше, сомнения в достаточности технологической независимости решения минимизированы. Ограничений на объем поставки нет, срок поставки не больше двух месяцев, в среднем же – две недели. Очевидно, что быстрое импортозамещение в таком случае – не проблема, а только задача. Все остальные факторы, которые могут помешать быстрому импортозамещению в КИИ с использованием m-TrusT, представляются недетерминированными и мало зависящими от нас. Однако, от лица ОКБ САПР обещаю, что мы постараемся найти решения и для их минимизации, если вы нам о них расскажете.
- См., например, Конявский В. А., Конявская С. В. Повышение защищенности автоматизированных систем управления технологическими процессами // Information Security/Информационная безопасность. М., 2023. – № 1. – С. 40–41; Конявская С. В. Построение защиты объектов КИИ: использовать неподходящее или делать самому? // Information Security/Информационная безопасность. М., 2023. – № 2. – С. 19; Конявская С. В. Решения для криптографической защиты сетевого взаимодействия объектов КИИ на базе платформы m-TrusT // Information Security/Информационная безопасность. М., 2023. – № 6. – С. 51 и мн. др.