"Perfectly secure general-purpose computing — идеальная безопасность в универсальных вычислениях. Это не про мифический «невзламываемый» код или железо, а про фундаментальное противоречие между безопасностью и функциональностью. И это противоречие не решить, можно только им управлять."
В сфере информационной безопасности существует один почти философский вопрос: возможно ли создать универсальную вычислительную систему, которая оставалась бы абсолютно защищённой в любых условиях? Речь не о практической защите от текущих угроз, а о теоретической «идеальной безопасности». Ответ оказывается отрицательным, и его корни уходят в математику и устройство самих вычислений.
Парадокс функциональности и защиты
Любая универсальная, то есть многоцелевая, система обязана быть программируемой. Она должна исполнять любой корректно написанный алгоритм. Это её главная характеристика. Проблема в том, что если система может делать всё, что угодно, она потенциально может выполнить и совершенно враждебный код. Блокировать это заранее нельзя, так как на стадии разработки алгоритма он выглядит как любые другие инструкции. Отличить «хорошую» программу от «плохой» на основе её текста, это задача, известная как проблема остановки, и она алгоритмически неразрешима.
С точки зрения регулятора, такая система всегда будет содержать некоторый уровень уязвимостей. Если взглянуть на требования 152-ФЗ, в них нет понятия «абсолютная безопасность». Есть требования к обеспечению определённого уровня защищённости информации, достигаемого комплексом мер, которые необходимо постоянно поддерживать и актуализировать. Фактически закон признаёт, что безопасность, это процесс, а не конечное состояние.
Почему изолированная среда — не выход
Возникает мысль: а что если поместить эту универсальную систему в идеальную, полностью изолированную среду? Например, физически отключить её от любых сетей, использовать зашифрованные накопители и средства доверенной загрузки вроде сертифицированных СЗИ от ФСТЭК.
Даже в этом случае угроза не исчезает, а лишь трансформируется. Риски смещаются в сторону внутренних угроз, таких как ошибки разработчиков ПО, аппаратные закладки, уязвимости в микрокоде процессора или проблемы в цепочке поставок. Пример — уязвимости класса Spectre и Meltdown, которые стали следствием оптимизационной архитектуры процессоров, не учитывавшей специфические сценарии атак. Это были конструктивные, а не программные уязвимости. Более того, даже физическая изоляция не защищает от атак через побочные каналы — когда информация утекает через косвенные признаки: время выполнения операции, энергопотребление, электромагнитное излучение или даже звук работы охлаждения. Полное парирование таких атак требует настолько специфических, специализированных решений, что система перестаёт быть «универсальной» в бытовом понимании этого слова.
Специализированные системы: компромисс в пользу безопасности
Получается, что путь к высокой, почти «идеальной» безопасности лежит через специализацию. Система, заточенная под одну конкретную задачу — например, аппаратный шифратор или доверенный платформенный модуль (ТРМ/TPM) — может быть спроектирована с минимальной поверхностью для атаки.
Рассмотрим различия:
| Характеристика | Универсальная система (ПК, сервер) | Специализированная система (HSM, TPM) |
|---|---|---|
| Программируемость | Полная (можно запустить любую программу) | Ограниченная или отсутствует (исполняется вшитая микропрограмма) |
| Поверхность атаки | Огромная (ядро ОС, драйверы, службы, приложения) | Крайне малая (закрытый набор строго проверенных команд) |
| Верифицируемость | Практически невозможна из-за сложности | Возможна формальная верификация из –за простоты |
| Главная цель | Гибкость и функциональность | Надёжность и безопасность для одной задачи |
Но такая специализация – это отказ от универсальности. HSM не запустит текстовый редактор, а ТРМ не сможет работать как файловый сервер. Это плата за безопасность. Именно поэтому в критически важных инфраструктурах используется сегментация: универсальные системы работают там, где нужна функциональность, а для самых ценных операций (генерация ключей, управление правами) применяются узкоспециализированные, изолированные аппаратные модули.
Российский контекст: КСЗИ и специализированное ПО
В российской практике подход специализации находит прямое отражение в требованиях к средствам защиты информации. Многие сертифицированные ФСТЭК КСЗИ, это по сути специализированные аппаратно-программные комплексы. Их цель — решить конкретные задачи: криптографическая защита, контроль доступа, фильтрация трафика.
Например, межсетевой экран высокой степени доверия (МЭ ВСД), это не просто компьютер с установленным софтом. Это комплекс, где критичные для безопасности функции реализованы на уровне специально спроектированных модулей, а универсальная операционная система либо исключена, либо строго ограничена. Такой подход снижает риски, вытекающие из парадокса универсальности.
Вывод: управление неизбежным риском
Таким образом, «совершенно безопасные» универсальные вычисления — цель, недостижимая по фундаментальным причинам. Универсальность подразумевает неопределённость и открытость для новых, неучтённых угроз. Вместо погони за мифическим идеалом в ИБ практикуется управление рисками.
Реальная безопасность строится на нескольких принципах:
- Принцип минимума привилегий: любая программа или пользователь должны обладать только необходимыми правами.
- Сегментация: разделение системы на изолированные домены, чтобы сбой или взлом в одной части не затрагивал остальные.
- Глубина защиты: создание нескольких независимых рубежей защиты.
- Непрерывный мониторинг и обновление: признание того, что безопасность, это процесс, требующий постоянной адаптации к новым угрозам.
Философски это означает принятие того, что в динамичной цифровой среде нельзя достичь статичного состояния «полной защищённости». Усилия должны быть направлены не на построение неприступной крепости, которая невозможна, а на создание отказоустойчивой и адаптивной системы, способной обнаруживать угрозы, сдерживать ущерб и восстанавливаться после инцидентов. Это и есть современный, зрелый подход к безопасности, отражённый в том числе и в регуляторных требованиях.