«В российском ИТ-сообществе, особенно в сфере регуляторики, сложилось устойчивое убеждение, что безопасность, это про соответствие формальным требованиям и протоколы проверок. Но есть область, где безопасность доказывается математически, а не проверяется тестами. Это certified defenses — подход, который не просто добавляет ещё один слой защиты, а формально гарантирует, что система останется устойчивой даже при атаках, выходящих за рамки стандартных угроз. Это не про «закрыть дыры», а про доказать, что дыр в принципе не может быть в заданных условиях.»
Что такое certified defenses и почему это не очередной «уровень защиты»
Certified defenses (формально сертифицированные защиты), это методы обеспечения безопасности, устойчивость которых подтверждена математически. В отличие от эвристических подходов, которые полагаются на обнаружение известных шаблонов атак или поведенческий анализ, certified defenses строятся на формальных доказательствах. Эти доказательства гарантируют, что при определённых условиях (например, ограниченной мощности атаки) выход системы или её решение останется корректным или изменится в строго ограниченных пределах.
Ключевое отличие от привычных мер вроде сигнатурных антивирусов или систем обнаружения вторжений — в природе гарантии. Обычная защита может сказать: «Мы протестировали систему на 10 000 образцов вредоносного ПО, и она всё обнаружила». Certified defenses утверждают: «Мы математически доказали, что для любого входного сигнала, искажённого не более чем на величину ε, классификация модели не изменится». Это переход от вероятностной уверенности к детерминированной гарантии.
В контексте российских требований, таких как 152-ФЗ или порядки ФСТЭК, это выглядит как следующий логичный шаг после выполнения формальных проверок. Регулятор требует защитить информацию, но как доказать, что защита сработает против неизвестной атаки? Certified defenses предлагают ответ, основанный не на тестах, а на теоремах.
Математический фундамент: от теории к практическим гарантиям
Основу подхода составляют методы формальной верификации и robust optimization (устойчивой оптимизации). Вместо того чтобы обучать модель просто минимизировать ошибку на обучающих данных, её обучают так, чтобы она была устойчива к возмущениям входных данных. Это достигается за счёт специальных функций потерь и ограничений, встроенных в процесс обучения.
Один из наиболее известных примеров — certified robustness для нейронных сетей в задачах классификации изображений. Атакующий может незаметно для человека изменить несколько пикселей на изображении, чтобы модель ошиблась. Certified defense доказывает, что если суммарное изменение пикселей (измеряемое, например, через L2-норму) не превышает определённый порог R, то классификация останется неизменной. Этот порог R и является формальной гарантией.
Для доказательства используются такие методы, как вычисление Lipschitz constant сети или применение техник интервального анализа (interval bound propagation). Эти методы позволяют аналитически оценить, насколько максимально может измениться выход сети при ограниченном возмущении на входе. Если эта оценка показывает, что изменения недостаточны для пересечения границы принятия решения между классами, устойчивость доказана.
Где это применимо за пределами академических задач
Хотя первые работы были сосредоточены на компьютерном зрении, область применения шире. В системах принятия решений на основе данных (DSS), которые попадают под регулирование, certified defenses могут гарантировать, что решение не изменится из-за незначительных или преднамеренных искажений в исходных данных. Например, в кредитном скоринге или системе мониторинга инцидентов безопасности.
Другой важный контекст — киберфизические системы и АСУ ТП, где сбой из-за состязательной атаки может привести к физическим последствиям. Формальная гарантия того, что управляющий сигнал останется в безопасных пределах при определённом уровне шума или вмешательства, напрямую соотносится с требованиями отказоустойчивости.
В инфраструктуре PKI или системах контроля целостности можно рассмотреть certified defenses для алгоритмов проверки подписи или хешей, гарантирующие устойчивость к коллизиям в заданных пределах. Это уже не про машинное обучение, а про формальную верификацию криптографических протоколов.
Связь с регуляторикой: как certified defenses вписываются в 152-ФЗ и требования ФСТЭК
Требования российского законодательства в области информационной безопасности часто сформулированы в терминах необходимости применения средств защиты информации (СЗИ), проведения оценок соответствия и управления рисками. Certified defenses не отменяют эти требования, но предлагают качественно иной способ обоснования выполнения некоторых из них.
- Обоснование выбора мер защиты (ст. 16 152-ФЗ). При разработке системы защиты персональных данных оператор должен выбрать меры, соответствующие актуальным угрозам. Предоставление математического доказательства устойчивости ключевого алгоритма к определённому классу атак, это сильный аргумент в рамках модели угроз.
- Обеспечение устойчивости (Требования ФСТЭК). Многие документы ФСТЭК говорят об обеспечении устойчивости ИС к дестабилизирующим воздействиям. Certified defenses дают формальную метрику этой устойчивости (тот самый радиус гарантии R), которую можно измерить и предъявить.
- Верификация и аттестация. Процедура аттестации объекта включает анализ его защищённости. Наличие сертифицированных (в математическом смысле) механизмов защиты может упростить или углубить этот анализ, сместив фокус с поиска уязвимостей тестированием на проверку корректности реализации доказанного алгоритма.
certified defenses, это не готовая «коробочная» СЗИ из реестра ФСТЭК. Это принцип построения и обоснования защитных механизмов, который может быть интегрирован в разрабатываемое или модернизируемое ПО.
Ограничения и практические сложности
Несмотря на мощные гарантии, у подхода есть существенные издержки, которые пока сдерживают его массовое применение.
Вычислительная сложность. Получение формальных доказательств, особенно для больших нейронных сетей, требует значительных вычислительных ресурсов как на этапе обучения (robust training), так и на этапе верификации. Это может быть неприемлемо для систем, работающих в реальном времени.
Консервативность гарантий. Математические доказательства часто дают консервативные оценки. Гарантированный радиус устойчивости R может оказаться значительно меньше, чем тот, при котором модель фактически устойчива на практике. Это плата за строгость: доказательство работает для наихудшего случая (worst-case scenario), который может быть маловероятен.
Ограниченная модель угроз. Certified defenses обычно доказывают устойчивость к конкретному типу возмущений (например, малым изменениям в Lp-норме). Атакующий, использующий другой тип атаки (например, семантические изменения, не укладывающиеся в малую норму), может обойти защиту. Гарантия работает только в рамках заданной модели угроз.
Интеграция в жизненный цикл. Для использования в регулируемых отраслях необходим процесс, включающий formal verification в циклы разработки и аттестации ПО. Это требует новых компетенций у разработчиков и аудиторов.
Перспективы: что ждёт формальные гарантии в ИБ
Развитие направления идёт по пути снижения вычислительных затрат на верификацию, расширения классов моделей (не только нейросети) и типов гарантий (устойчивость не только классификации, но и регрессии, генерации). Появляются специализированные фреймворки и библиотеки, автоматизирующие часть процесса.
В среднесрочной перспективе можно ожидать появления отраслевых стандартов или методических рекомендаций, которые начнут описывать, как учитывать formal verification и certified robustness при построении систем защиты информации для критически важных объектов. Это будет эволюция от требования «применить средства защиты» к требованию «обосновать свойства защиты».
Для российских компаний, особенно работающих в ВПК, энергетике, финансах, инвестиции в изучение и адаптацию этих методов могут стать конкурентным преимуществом не только с точки зрения реальной безопасности, но и при прохождении регуляторных процедур, где формальная доказательная база ценится всё выше.
Certified defenses, это не серебряная пуля, а инструмент для ситуаций, где цена ошибки слишком высока, а стандартные методы проверки недостаточны. Они смещают фокус с вопроса «прошли ли мы тесты?» на вопрос «что мы можем гарантировать?». В мире, где угрозы становятся всё изощрённее, такой сдвиг может оказаться критически важным.