Если компания планирует сначала стать цифровой, а затем заняться безопасностью, то лучше вообще ничего не делать — меры защиты должны быть предусмотрены в стратегии цифровой трансформации с самого начала. Уже разработанные стандарты защиты информации позволяют это сделать.
Независимое развитие ИТ и бизнеса закончилось, наступает эпоха преобразования традиционных производственных технологий с помощью ИТ. Применение информации для оптимизации деятельности компании позволяет вовлечь клиентов в производственные процессы, стимулировать сотрудников и оптимизировать расходы. Именно в этом и состоит цель преобразования предприятия с помощью ИТ, которая получила название цифровой трансформации. Однако ее ключевым компонентом является информационная безопасность: не обеспечив должного уровня защиты информации, вместо экономии и оптимизации можно получить разрушение бизнеса и значительное увеличение расходов.
Схожего мнения придерживаются и эксперты по информационной безопасности. В частности, Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.», отмечает: «Если не заботиться о защите критичной к хищению или разглашению информации (финансы, управление, маркетинг, технологии и ноу-хау, кадры и другие конфиденциальные сведения), то можно столкнуться с финансовыми и имиджевыми потерями, а иногда и с крахом бизнеса. Мало того, применение многих самых «молодых» и перспективных технологий (облачные вычисления, Интернет вещей и др.) подразумевает обязательное использование средств защиты для организации доступа к данным и приложениям, а также для самих данных и канала взаимодействия». Действительно, облака и Интернет вещей лучше всего сразу создавать на базе технологий, в основу которых положены те или иные средства обеспечения безопасности.
С этим согласен и Джабраил Матиев, руководитель направления по развитию бизнеса «Лаборатории Касперского»: «Чтобы цифровая трансформация была безопасной, необходимо задуматься о способах ее защиты на этапе разработки дизайна и архитектуры систем, которые будут вовлечены в процесс трансформации. Поэтому первая задача — разработать безопасную архитектуру еще на стадии проектирования и принять необходимые стандарты для новых решений, встраиваемых в общую экосистему цифровой среды». При этом в используемых технологиях должны быть изначально предусмотрены эффективные механизмы защиты информации.
УМНЫЕ КОНТРАКТЫ
К числу тесно связанных с цифровой трансформацией технологий эксперты относят «умные контракты». Эта технология позволяет фиксировать объем предоставленных услуг с высокой степенью детализации — с точностью до одного литра или киловатта. При этом для каждой порции товара может быть назначена своя цена, что позволит поставщикам услуг конкурировать в реальном масштабе времени, а клиентам — оптимизировать свои расходы.
В качестве примера можно рассмотреть ЦОД, который снабжается электроэнергией двумя поставщиками. Тарифы у них разные настолько, что днем выгодно пользоваться услугами одного, а ночью — другого. При этом у ночного поставщика есть переходный тарифный период, а у дневного — ограничение на потребляемую мощность. В таком ЦОДе потребуется установить на входе специальные устройства контроля потребляемой мощности, которыми можно было бы управлять дистанционно в соответствии с определенной стратегией. Гранулярность такого управления и позволяет владельцам ЦОДа оптимизировать расходы на электроэнергию.
Со своей стороны поставщик может использовать специальную систему управления тарифными планами, которая позволяет менять стоимость энергии в зависимости от текущей ситуации — например, для обеспечения загрузки вновь введенных генерирующих мощностей предоставить скидку крупнейшим клиентам, чтобы они не переключались на конкурирующую сеть. В современных условиях такие тарифные игры вести сложно, и зачастую от них больше хлопот, чем преимуществ. При внедрении же системы электронных контрактов ситуация может существенно поменяться — примерно так же, как на рынке таксомоторных услуг после появления «Яндекс.Такси». Впрочем, в России электроэнергия пока не является тем ресурсом, который стремятся всеми силами экономить, — приведенный пример лишь иллюстрирует возможности оптимизации при использовании технологии умных контрактов.
ТЕХНОЛОГИЯ БЛОКЧЕЙНА
С технологической точки зрения умные контракты — это распределенная база транзакций, целостность которой обеспечивается механизмами криптографического контроля. Способ организации такой базы получил название блокчейна: речь идет о цепочке блоков транзакций, подписываемых специальными криптографическими кодами, а их валидность подтверждается большинством участников системы. Эффективная работа блокчейна обеспечивается такими механизмами безопасности, как хеш-функции: они позволяют создавать электронные отпечатки отдельных транзакций и всех блоков целиком.
Таким образом, в технологии умных контрактов задействуются следующие механизмы безопасности:
- Авторизация. При заключении контракта в электронном виде без надежной авторизации каждого участника не обойтись. Для этого традиционно используются такие криптографические механизмы, как несимметричное шифрование с открытым и секретным ключами. Зашифрованная с помощью секретного ключа информация может быть расшифрована открытым ключом и проверена любым участником процесса заключения договора. Причем секретный ключ может быть закреплен как за человеком (и находиться на отчуждаемом носителе), так и за устройством (и храниться в его памяти).
- Электронная подпись. Это механизм контроля целостности, когда с помощью специальной хеш-функции сообщение редуцируется в небольшой электронный отпечаток, который, в свою очередь, заверяется секретным ключом отправителя. Проверить такую подпись может любой желающий — она подтверждает и неизменность документа, и его авторство. В электронном контракте поле подписи используется для обеспечения целостности содержащихся в нем сведений, например о потребленном электричестве или поставленном бензине.
- Метка времени. Информация о текущем времени — важный частный случай сообщения, фиксируемого электронной подписью. Метки времени являются неотъемлемой частью электронных контрактов, поскольку именно с их помощью система регистрирует происходящие события и момент предоставления сервиса. Они влияют и на работу блокчейна: если время отличается даже на микросекунду (что пока несущественно для сервиса), его электронная метка может сильно изменяться и, как следствие, значение результирующего отпечатка всего блока тоже изменится.
- Блокчейн. Последовательность блоков, в каждом из которых есть ссылка на предыдущий набор текущих транзакций с метками времени, случайное значение и отпечаток (хеш от всех данных блока) (см. рис. 1). Блок считается валидным, если его отпечаток соответствует определенным условиям.
Рис. 1. Минимальное содержание блока из блокчейна |
Например, в случае электронной валюты Bitcoin хеш должен быть меньше специальной величины, которая называется сложностью, — она зависит от количества и производительности участвующих машин (см. рис. 2). Компьютеры, подключенные к сети Bitcoin, пытаются подобрать валидный блок с правильным отпечатком, варьируя случайное значение. Сложность меняется раз в неделю, чтобы среднее время подбора валидных блоков не превышало 5 мин. Чем больше общая производительность сети Bitcoin, тем сложнее подобрать правильный отпечаток. Блокчейн устраняет недоверие между поставщиками и потребителями сервисов.
Рис. 2. Каждый участник блокчейна работает со своей базой блоков, но каждый подтверждает корректность базы всех остальных участников |
Таким образом, именно технология блокчейна, основанная на криптографических механизмах обеспечения целостности и авторизации участников, позволяет создать доверенную среду для цифрового взаимодействия предприятий. По сути, она представляет собой более сложный вариант электронной подписи, при котором заверение контракта является максимально автоматизированной процедурой — по сравнению со скреплением цифровой подписью традиционного электронного документа.
Правда, эксперты пока выражают сомнения по поводу дальнейшей судьбы этой технологии. «Официальных нормативно-правовых актов по использованию блокчейна пока нет, — отмечает Алексей Сабанов. — Способ понятный, интересный, но широкого распространения он не получил, и перспективы весьма туманны из-за отсутствия легитимной базы. В случае конфликтной ситуации такой договор не примут в суде. Заключать соглашения между хозяйствующими субъектами можно и без использования блокчейна».
Действительно, средств для таких процедур пока и без того достаточно — на это указывает и Джабраил Матиев: «Блокчейн как технология довольно интересен, сегодня предлагается множество идей, где он может применяться: в финансовой сфере, для организации голосования, при решении многих других задач. Безусловно, эта технология способна повлиять на ход цифровой трансформации, однако ее воздействие не представляется решающим. Сегодня электронные договоры успешно подписываются электронно-цифровой подписью, которая базируется на устойчивой к взлому криптографии. Для поддержания процесса трансформации такой возможности вполне достаточно».
Действительно, договоры между компаниями все чаще заключаются в электронном виде и скрепляются электронной подписью, что рекомендовано и нормативными актами. Однако статичный договор, который заключается между людьми и компаниями, не отвечает всем потребностям и нюансам цифрового бизнеса. Поэтому вполне логичным представляется создание системы, автоматизирующей заключение электронных договоров на уровне оборудования и отличающейся высокой степенью детализации.
В блокчейне используются те же механизмы защиты, что узаконены для электронной формы документа: хеш-функции и электронная подпись. Поэтому нормативная база для его применения есть, хотя и придется включить в него российские алгоритмы шифрования. Сама технология представляет собой вариант простой электронной подписи, а ее использование можно регламентировать договором присоединения в рамках существующего гражданского права.
ЗАКЛЮЧЕНИЕ
Мы рассмотрели только один пример технологии, в основе которой лежат криптографические методы защиты и которая может быть использована для оптимизации электронного взаимодействия большого числа компаний. Для вовлечения пользователей, мобилизации сотрудников и дальнейшей оптимизации расходов, скорее всего, будут разработаны и другие технологии, однако выбирать стоит только те, где защита является неотъемлемой частью системы.
Оскар Краснов, независимый эксперт (oskar@osp.ru)