«Мы привыкли видеть в киберпространстве цифровой двойник реальности, со своими законами и территориями. Но если отбросить метафоры, становится ясно: защита информации — это не война за виртуальные земли. Это инженерная задача контроля над аппаратурой, сигналами и, что самое важное, над правилами их интерпретации. Именно эти правила и становятся главной целью атак и главным объектом защиты.»
Два представления: метафора против логики
Киберпространство в разговорах часто обрастает яркими образами: поле битвы, ландшафт, территория. Такие метафоры удобны для общих бесед, но они создают ложное представление об объекте защиты. Нормативные документы ФСТЭК России говорят на другом языке — информационные системы, технические средства защиты, персональные данные. Эти термины описывают не абстрактную среду, а конкретные инженерные конструкции и организационные процессы.
Попытка определить онтологию, то есть фундаментальные сущности киберпространства, сразу сталкивает два взгляда. Первый — интуитивное восприятие его как новой реальности. Второй — технический подход, где есть только физические носители, электрические сигналы и логика их обработки, описанная в протоколах и стандартах. ФСТЭК, по сути, опирается на второй подход, формулируя требования к защите информации.
Если следовать метафоре о цифровом мире, «суверенитет» превращается в защиту неких виртуальных границ. Технический же взгляд определяет его как независимость и полный контроль над критически важной инфраструктурой: аппаратной платформой, базовым программным обеспечением, каналами связи. Этот подход не игнорирует сложность высокоуровневых систем, но всегда указывает на их материальный фундамент.
Что значит «существовать» в цифровой среде?
Вопрос о природе существования в цифровой среде — не философская абстракция. От ответа на него напрямую зависит архитектура системы защиты. Можно выделить три уровня, на которых что-либо «существует» в контексте ИТ и ИБ.
| Уровень | Что существует | Пример угрозы | Объект защиты |
|---|---|---|---|
| Физический | Серверы, жёсткие диски, кабели, ЭМ-излучение | Физический саботаж, краж носителя, перехват излучений (ТЕМПЕСТ) | Помещения, аппаратура, экранирование |
| Сигналов и состояний | Электрические импульсы, состояния ячеек памяти (0/1), паттерны намагниченности | Неавторизованное считывание состояния памяти (дампы, cold boot attack) | Шифрование данных на носителе, безопасное хранение ключей |
| Интерпретации (семантический) | Договорённости о том, как интерпретировать сигналы (форматы файлов, сетевые протоколы, алгоритмы ПО) | Подмена или компрометация программы-интерпретатора (загрузчика, компилятора, библиотеки) | Контроль целостности и доверия к ПО, верификация прошивок |
Цифровая сущность — файл, сессия пользователя, запись в журнале — существует только внутри работающей системы интерпретации. Она не самодостаточна. Измените программу, читающую файл, или протокол передачи — и сущность либо исчезнет, либо превратится в нечто иное. В этом ключевое отличие от физического объекта, существование которого не зависит от наблюдателя и его инструментов.
Следствия для расследования инцидентов и 152-ФЗ
Такой взгляд меняет подход к расследованию. Если киберпространство — это не мир, а режим работы оборудования, то «цифровые следы» — это зафиксированные состояния аппаратуры, которые позже были истолкованы по определённым правилам.
Расследование инцидента превращается в техническую реконструкцию:
- Идентификация задействованных физических носителей и устройств. Какие серверы, рабочие станции, сетевые устройства были вовлечены? Где хранятся их логи, дампы памяти, сетевые capture-файлы?
- Анализ их состояний в ключевые моменты времени. Что было записано в память? Какие пакеты передавались по сети? Какие процессы были активны?
- Установление правил интерпретации, которые применялись. Какая версия ОС и ПО работала? По каким протоколам шла связь? Какие политики журналирования были активны?
Любое несоответствие или неточность на третьем этапе ведёт к ошибке. Злоумышленник, понимающий правила системы, может создать ложные артефакты или скрыть реальные. Например, сфальсифицировать записи в логе или использовать стеганографию для скрытой передачи данных в разрешённом сетевом трафике.
В контексте 152-ФЗ защита персональных данных перестаёт быть просто «шифрованием в облаке». Она становится комплексным контролем над всей цепочкой обработки: от физического носителя (доверенный ЦОД с контролем доступа) через состояние носителя (полное шифрование дисков) до правил доступа и интерпретации (строгая система разграничения прав, неизменяемое журналирование, защищённые протоколы передачи). Слабое звено на любом уровне делает защиту на остальных бесполезной.
[ИЗОБРАЖЕНИЕ: Схема, иллюстрирующая цепочку защиты информации согласно трехуровневой модели. Слева направо: 1) Физический уровень (серверная стойка, кабели, сейф), 2) Уровень сигналов (символы шифрования на диске, схематичное изображение оперативной памяти), 3) Уровень интерпретации (значки приложений, ленты протоколов TCP/IP, цифровые подписи). Стрелки-угрозы направлены на каждый уровень (физическая кража, cold boot attack, подмена библиотеки).]
Артефакты против сущностей: поиск точки опоры
Цифровая криминалистика работает не с «сущностями», а с артефактами — материальными следами на физических носителях, указывающими на события. Запись в реестре Windows, файл в кэше браузера, элемент в журнале — всё это артефакты. Они сами по себе — не истина, а лишь данные, которые могут быть интерпретированы по-разному в зависимости от контекста и используемых инструментов.
Это понимание снимает иллюзию поиска «объективной цифровой правды». Правда в цифровой среде — это корректная, уполномоченная интерпретация артефактов в соответствии с регламентированными политиками безопасности. Задача специалиста — отделить эту корректную интерпретацию от последствий сбоя или злонамеренной деятельности.
Например, запись в логе веб-сервера о скачивании конфиденциального файла — это артефакт. Но означает ли она, что файл скачал легитимный пользователь? Или запись была внесена вредоносным скриптом, сымитировавшим HTTP-запрос? Ответ лежит не в самом логе, а в сопоставлении этого артефакта с другими: был ли соответствующий сетевой трафик? Совпадают ли временные метки в логе файловой системы? Не было ли аномальной активности процесса веб-сервера? Только кросс-анализ разных артефактов позволяет приблизиться к реконструкции события.
Практический итог: от метафизики к методологии
Выбор онтологической модели определяет методологию защиты. Подход, основанный на метафоре «виртуального мира», ведёт к построению оборонного периметра: брандмауэры как стены, аутентификация как пропускной пункт, SIEM как система наблюдения.
Подход, признающий цифровую среду специфическим режимом работы физических систем, смещает фокус на более фундаментальные вещи:
- Верификация и контроль интерпретаторов. Самые опасные атаки направлены не на данные, а на инструменты, которые эти данные обрабатывают. Компрометация компилятора, загрузчика операционной системы или аппаратного модуля доверия (TPM) подрывает сами основы, по которым строится вся последующая «цифровая реальность» системы. Контроль целостности этого низкоуровневого ПО — приоритет.
- Изоляция критических интерпретационных контуров. Системы, ответственные за ключевые «договорённости» (например, гипервизор в виртуальной среде или криптографический сопроцессор), должны быть аппаратно и логически изолированы от общего окружения.
- Протоколирование состояний и контекста. Недостаточно фиксировать лишь события («пользователь X вошёл в систему»). Для реконструкции необходимо знать состояние системы до и после события, а также какие правила (политики, версии ПО) в тот момент действовали. Это превращает журналы из простого списка событий в инструмент для восстановления контекста.
Для российской регуляторной практики в лице ФСТЭК и для выполнения требований 152-ФЗ второй подход не просто естественен — он необходим. Он не позволяет уйти в абстракции и требует чёткой, инженерной проработки каждого компонента защищаемой системы, от аппаратного обеспечения до бизнес-логики приложения. Цифровая среда существует ровно настолько, насколько мы контролируем физические основы и формальные правила, которые её порождают. Защита информации — это, в первую очередь, обеспечение этого всеобъемлющего контроля.