Публикация была переведена автоматически. Исходный язык: Русский
Вступление
Современная цифровизация развивается быстрее, чем формируются механизмы доверия к данным.
Системы защищаются, масштабируются, автоматизируются,
но при этом остаётся ключевая проблема:
невозможно гарантировать достоверность информации.
Даже при наличии антивирусов, защиты периметра и сложных ИТ-решений:
• данные могут быть искажены;
• события - подменены;
• ответственность - размыта.
В этой серии материалов рассматривается фундаментальный вопрос:
почему традиционная безопасность не решает проблему доверия
и какой архитектурный подход может её заменить.
В публикации представлен цикл из 11 статей:
1. Цифровизация без доверия: в чём реальная проблема
2. Пределы антивирусов и защиты периметра
3. СЦРО: переход от защиты к фиксации фактов
4. Почему вирус не может изменить историю в СЦРО
5. Backdoor: главная угроза цифровой достоверности и как СЦРО её устраняет
6. Где на самом деле риски: ключи, человек, инфраструктура
7. Архитектура против атак: как СЦРО отвечает на каждую угрозу
8. ИИ в СЦРО: почему ИИ не может стать угрозой
9. Условия, при которых СЦРО действительно работает
10. СЦРО как основа цифрового суверенитета
11. Устойчивость как свойство архитектуры СЦРО
Цифровизация без доверия: в чём реальная проблема
1. Введение
Цифровизация государственных и бизнес-процессов сегодня воспринимается как безусловное благо.
Перевод услуг в электронный формат, автоматизация решений, внедрение искусственного интеллекта - всё это рассматривается как путь к эффективности и прозрачности.
Однако возникает вопрос:
можно ли считать цифровую систему надёжной, если невозможно гарантировать достоверность данных, на которых она основана?
2. Уязвимость современной цифровой среды
Факт
Современные цифровые системы:
• работают на сложной инфраструктуре (серверы, сети, облака);
• используют программное обеспечение с множеством зависимостей;
• подвержены постоянным кибератакам.
Также, экспертами в области информационной безопасности (в частности, Натальей Касперской) прямо указывается:
абсолютной безопасности данных не существует ни в одной стране мира.
Факт
Типовые угрозы:
• вирусы и вредоносное ПО;
• утечки данных;
• атаки на инфраструктуру (DDoS, взломы);
• ошибки и уязвимости в программном коде;
• зависимость от внешних поставщиков технологий.
Вывод
Любая цифровая система может:
• быть атакована;
• дать сбой;
• работать некорректно.
3. Зависимость от инфраструктуры
Факт
Цифровая система не существует сама по себе. Она зависит от:
• электричества;
• интернет-соединения;
• дата-центров;
• аппаратного обеспечения (часто иностранного производства);
• облачных платформ.
Факт
Даже при полной цифровизации:
• отключение электроэнергии → система недоступна
• сбой сети → управление нарушено
• отказ серверов → данные временно недоступны
Как следствие
Цифровая система = функция инфраструктуры.
Если инфраструктура нестабильна → система нестабильна.
4. Проблема «чужой технологии»
Факт
Во многих странах:
• серверы
• процессоры
• операционные системы
• облачные решения
поставляются зарубежными компаниями.
Это создаёт риски:
• скрытого доступа (backdoor);
• утечки данных;
• внешнего влияния;
• невозможности полного контроля.
Вывод
Цифровой суверенитет невозможен без контроля над технологической основой.
5. Иллюзия безопасности
Факт
Классическая модель кибербезопасности строится на:
• антивирусах;
• межсетевых экранах;
• системах обнаружения атак;
• обновлениях и патчах.
Факт
Все эти меры:
• снижают риски
• но не устраняют их полностью
Вывод
Безопасность в цифровых системах всегда вероятностная, а не абсолютная.
6. Проблема автоматизации и ИИ
Факт
Современные системы всё чаще:
• принимают решения автоматически;
• используют алгоритмы и ИИ.
Факт
ИИ:
• может ошибаться;
• может давать противоречивые результаты;
• не несёт юридической ответственности.
Вывод
Автоматизация без контроля может привести не к снижению, а к масштабированию ошибок.
7. Критический вопрос: где возникает доверие?
На этом этапе возникает ключевая проблема.
Даже если:
• система защищена;
• инфраструктура работает;
• алгоритмы корректны;
остаётся вопрос:
можно ли доказать, что данные внутри системы достоверны?
8. Главный разрыв современной цифровизации
Факт
Современные системы:
• защищают доступ;
• контролируют пользователей;
• реагируют на атаки;
НО:
• не гарантируют неизменность данных;
• не обеспечивают доказуемость событий;
• не исключают возможность скрытого вмешательства.
Принципиальный вывод следующий:
Цифровизация решает проблему обработки данных,
но не решает проблему их достоверности.
9. Последствия для государства и бизнеса
Если система не гарантирует достоверность:
• решения могут приниматься на основе искажённых данных;
• ответственность размывается;
• невозможно доказать факт действия;
• возникает недоверие к цифровым сервисам.
10. Принципиальный вывод
Главная проблема современной цифровизации - не в уязвимостях,
а в отсутствии гарантированной достоверности данных.
11. Что из этого следует
Факт
• атаки невозможно полностью исключить
• инфраструктура всегда уязвима
• ошибки неизбежны
Вывод
Значит, задача должна ставиться иначе:
не как защита системы,
а как обеспечение достоверности фиксируемых фактов.
12. Итог
Современная цифровая среда:
• уязвима;
• зависима;
• вероятностна по своей безопасности.
При этом:
ни одна существующая модель не даёт гарантии того,
что данные внутри системы нельзя незаметно изменить.
Если безопасность не может быть абсолютной, возникает следующий вопрос:
возможно ли построить систему, в которой даже при атаке
невозможно скрыть изменение данных?
Пределы антивирусов и защиты периметра
1. Введение
В ответ на рост киберугроз современный мир выстроил мощную систему защиты:
• антивирусы,
• межсетевые экраны (firewall),
• системы обнаружения атак,
• мониторинг и реагирование.
На первый взгляд создаётся ощущение, что проблема безопасности решена.
Однако возникает вопрос:
если система защищена, означает ли это, что данные в ней достоверны?
2. Что делают классические системы защиты
Факт
Современная информационная безопасность строится вокруг следующих механизмов:
1. Антивирусы
• обнаруживают вредоносный код;
• блокируют заражённые файлы;
• удаляют угрозы.
2. Межсетевые экраны (firewall)
• контролируют входящий и исходящий трафик;
• ограничивают доступ к системе.
3. IDS/IPS (системы обнаружения и предотвращения атак)
• выявляют подозрительную активность;
• реагируют на попытки взлома.
4. Обновления и патчи
• закрывают уязвимости;
• повышают устойчивость системы.
Все эти механизмы направлены на одно:
предотвратить несанкционированный доступ и вредоносное воздействие.
3. На чём основана эта модель
Факт
Классическая модель безопасности предполагает:
• существует «периметр» системы;
• внутри периметра - доверенная среда;
• вне периметра - потенциальный злоумышленник.
То есть, безопасность строится как защита границы между «своим» и «чужим».
4. Где эта модель даёт сбой
Факт
В реальной практике:
• вирусы регулярно обходят антивирусы;
• атаки происходят изнутри (инсайдеры);
• вредоносный код попадает через обновления (supply chain);
• пользователи сами становятся точкой входа (фишинг, кража ключей).
Факт
Даже при наличии защиты возможны:
• заражение системы;
• выполнение вредоносного кода;
• компрометация учетных данных;
• внедрение изменений в рабочие процессы.
Поэтому периметр не является надёжной границей.
5. Ограничения антивирусов
Факт
Антивирус:
• работает по сигнатурам или поведенческим моделям;
• обнаруживает известные или подозрительные угрозы.
Ограничения:
• не видит новые (неизвестные) угрозы;
• может ошибаться (ложные срабатывания или пропуски);
• не контролирует логику работы системы;
• не защищает от легитимных действий скомпрометированного пользователя.
Антивирус снижает риск, но не гарантирует безопасность.
6. Ограничения защиты периметра
Факт
Firewall и другие средства:
• ограничивают доступ;
• фильтруют трафик.
Ограничения:
• не защищают от действий внутри системы;
• не предотвращают использование легитимных прав;
• не контролируют, что именно делает пользователь или процесс.
Потому, что контроль доступа ≠ контролю действий.
7. Критическая проблема: легитимные атаки
Факт
Наиболее опасные сценарии:
• злоумышленник использует украденный ключ;
• сотрудник с доступом злоупотребляет правами;
• вредоносный код действует от имени доверенного процесса.
Система воспринимает такие действия как:
• допустимые;
• легальные;
• корректные.
Система не отличает злоупотребление от законного действия,
если оно выполнено с корректными правами.
8. Что происходит с данными
Факт
Даже при наличии всех средств защиты:
• данные могут быть изменены;
• записи могут быть подменены;
• события могут быть зафиксированы с искажениями.
Ключевой момент
Эти изменения могут быть:
• формально корректными;
• выполненными через допустимые механизмы.
Это означает, что система может быть защищена,
но данные внутри неё - недостоверны.
9. Принципиальное ограничение всей модели
Факт
Классическая безопасность:
• защищает систему от вторжения;
• реагирует на угрозы;
• снижает вероятность атаки.
Но она:
• не гарантирует неизменность данных;
• не обеспечивает доказуемость событий;
• не исключает скрытые изменения.
Потому, что безопасность защищает систему,
но не гарантирует достоверность данных.
10. Главный разрыв
Можно сформулировать строго:
• система может быть защищена → и при этом содержать искажённые данные
• система может быть атакована → и при этом данные остаются достоверными
Итоговый вывод заключается в том, что защита ≠ достоверности.
11. Почему это критично
Если данные недостоверны:
• невозможно доказать факт события;
• невозможно установить ответственность;
• решения принимаются на основе искажённой информации;
• доверие к системе разрушается.
12. Вывод
Классическая модель безопасности:
• необходима;
• снижает риски;
но:
она не решает главную задачу - обеспечение достоверности данных.
Если защита системы не гарантирует достоверность,
возникает следующий вопрос:
можно ли построить систему, в которой даже при компрометации
невозможно незаметно изменить зафиксированные данные?
СЦРО: переход от защиты к фиксации фактов
1. Введение
Выше было показано:
• классическая кибербезопасность не гарантирует достоверность данных;
• защита системы не равна доверию к результатам её работы.
Это приводит к вопросу:
если защитить систему невозможно на 100%,
можно ли обеспечить достоверность данных иным способом?
Ответом на этот вопрос является архитектурный подход, реализованный в Системе цифровой регистрации объектов (СЦРО).
2. Смена модели: от защиты к фиксации
Факт
Классическая модель:
• защищает систему от вторжения;
• пытается предотвратить атаки;
• строит периметр безопасности.
Ограничение
• атаки всё равно происходят;
• система может быть скомпрометирована;
• данные могут быть изменены незаметно.
Новая модель (СЦРО)
СЦРО использует иной принцип:
не защищать систему полностью,
а обеспечить невозможность незаметного изменения фактов.
Если изменение данных:
• невозможно скрыть
или
• невозможно выполнить вне процедуры
→ данные становятся проверяемыми и доказуемыми.
3. Что такое СЦРО (суть модели)
Факт
СЦРО - это система, в которой:
• каждое действие фиксируется как событие;
• событие сопровождается:
- хэшем (контроль целостности),
- электронной подписью (идентификация субъекта),
- связью с предыдущими событиями (история);
• запись становится частью непрерывной цепи.
Следствие
Любое изменение:
• нарушает цепочку;
• обнаруживается при проверке.
СЦРО фиксирует не данные, а факты,
связанные с субъектом, временем и контекстом.
4. Ключевой элемент: процедурный шлюз (PF-1)
Факт
В СЦРО любое действие перед фиксацией проходит через PF-1.
PF-1 проверяет:
• право субъекта;
• допустимость действия;
• соответствие состоянию объекта;
• наличие основания.
Факт
Результат PF-1:
• уникальный идентификатор решения;
• обязательная часть записи.
Следствие
Событие без прохождения PF-1:
• не имеет юридической силы;
• считается недействительным.
Потому, что PF-1 превращает фиксацию данных в юридически значимую процедуру.
5. Единственная точка фиксации
Факт
В СЦРО запись:
• выполняется только через специализированный модуль (ledger);
• не имеет альтернативных путей;
• осуществляется в режиме append-only (без изменения прошлого).
Следствие
• невозможно «обойти» процедуру;
• невозможно записать событие напрямую.
Таким образом, исключается сценарий скрытого вмешательства (backdoor через запись).
6. Криптографическая связность
Факт
Каждая запись:
• содержит хэш предыдущего состояния;
• подписывается субъектом;
• становится частью цепочки.
Следствие
Изменение одной записи:
• требует изменения всей цепочки;
• обнаруживается автоматически.
Целостность обеспечивается не контролем, а структурой данных.
7. Разделение полномочий
Факт
Процесс разбит на этапы:
• инициирование;
• проверка (PF-1);
• подпись;
• фиксация;
• аудит.
Следствие
Ни один компонент:
• не может выполнить полный цикл самостоятельно.
Исключается концентрация контроля и скрытое управление системой.
8. Независимый аудит
Факт
В СЦРО:
• события фиксируются в реестре;
• параллельно фиксируются в аудите;
• возможна независимая проверка.
Следствие
• невозможно «тихо» изменить историю;
• подмена требует изменения нескольких контуров.
Достоверность подтверждается не доверием к системе,
а возможностью проверки.
9. Роль искусственного интеллекта
Факт
В СЦРО ИИ:
• не участвует в фиксации;
• не подписывает события;
• не может обойти PF-1;
• работает только с уже зафиксированными данными.
Следствие
ИИ:
• анализирует;
• выявляет аномалии;
• не влияет на юридическую значимость.
ИИ не является источником решений,
а является инструментом наблюдения.
10. Юридическая значимость
Факт
Событие в СЦРО:
• связано с субъектом (через ЭЦП);
• зафиксировано в определённый момент времени;
• прошло установленную процедуру;
• неизменяемо.
Следствие
Такое событие:
• может быть проверено;
• может быть воспроизведено;
• может быть использовано как доказательство.
Юридическая значимость возникает из процедуры и фиксации,
а не из доверия к системе или оператору.
11. Принципиальное отличие от классических систем
| Классическая система | СЦРО |
| защита доступа | фиксация фактов |
| доверие к системе | проверяемость |
| контроль действий | невозможность скрытия |
| безопасность как слой | безопасность как архитектура |
12. Ключевой вывод
СЦРО не делает систему неуязвимой,
СЦРО делает невозможной незаметную подмену фактов
(при соблюдении архитектурных условий).
13. Итог
СЦРО меняет сам подход к цифровым системам:
• от защиты → к фиксации;
• от доверия → к проверяемости;
• от контроля → к неизменяемости.
Если факты фиксируются таким образом,
возникает следующий вопрос:
почему даже вирус или атака не могут изменить уже зафиксированную историю?
Почему вирус не может изменить историю в СЦРО
1. Введение
Выше было показано:
• цифровые системы уязвимы;
• классическая безопасность не гарантирует достоверность;
• СЦРО использует модель фиксации фактов вместо защиты периметра.
Возникает закономерный вопрос:
если система заражена вирусом, может ли он изменить уже зафиксированные данные?
2. Что такое «вирус» в контексте системы
Факт
Вирус (в широком смысле) - это:
• вредоносный код;
• либо контролируемый злоумышленником процесс,
который может:
• изменять данные;
• выполнять команды;
• маскировать действия;
• перегружать систему.
Типовые сценарии атак:
• внедрение кода (supply chain);
• атаки через API;
• заражение пользовательского устройства;
• кража ключей;
• DDoS;
• инсайдерские действия.
3. Что вирус может сделать
Факт
Вирус способен:
1. Нарушить доступность
• замедлить работу;
• перегрузить систему;
• временно вывести сервис из строя.
2. Повлиять на пользовательский уровень
• подменить вводимые данные;
• украсть ключи (ЭЦП);
• инициировать действия от имени пользователя.
3. Использовать легитимные права
• действовать от имени авторизованного субъекта;
• выполнять «разрешённые» операции.
4. Повлиять на инфраструктуру
• атаковать серверы;
• нарушить работу узлов;
• вмешаться в сетевые процессы.
Вирус может влиять на систему,
но не обязательно на достоверность уже зафиксированных данных.
4. Что вирус не может сделать в СЦРО
Факт (при соблюдении архитектуры)
Вирус не может:
1. Незаметно изменить прошлые записи
Причина:
• каждая запись содержит хэш;
• записи связаны между собой;
• изменение нарушает цепочку.
2. Подделать подпись без ключа
Причина:
• используется ЭЦП;
• подпись проверяется криптографически.
3. Обойти процедуру фиксации (PF-1)
Причина:
• запись допустима только после проверки;
• события без PF-1 не имеют юридической силы.
4. Вставить «левую» запись напрямую
Причина:
• фиксация только через один модуль;
• отсутствуют альтернативные каналы записи.
5. Скрыть факт вмешательства
Причина:
• ведётся журнал;
• возможен независимый аудит;
• несоответствия обнаруживаются.
Вирус не может незаметно изменить историю,
даже если он присутствует в системе.
5. Почему это работает
Факт
СЦРО использует совокупность механизмов:
• хэширование;
• электронную подпись;
• цепочку событий;
• распределённую проверку;
• независимый аудит;
• процедурный шлюз (PF-1).
Следствие
Изменение требует одновременно:
• подделки подписи;
• изменения цепочки;
• согласования между узлами;
• обхода процедур.
Атака становится либо невозможной,
либо обнаруживаемой.
6. Ключевое разграничение: доступность vs целостность
Факт
Необходимо различать:
| Параметр | Что означает |
| Доступность | можно ли пользоваться системой |
| Целостность | можно ли изменить данные незаметно |
Факт
Вирус может нарушить:
• доступность (сбой, перегрузка)
Но не может (при условиях):
• нарушить целостность истории
Система может быть недоступна,
но данные остаются достоверными.
7. Критическое условие
Факт
Все выводы верны при соблюдении условий:
• ключи защищены (HSM/KMS);
• отсутствуют альтернативные каналы записи;
• соблюдён механизм PF-1;
• узлы независимы;
• аудит функционирует.
Устойчивость обеспечивается архитектурой,
а не самим фактом наличия системы.
8. Где остаются реальные риски
Факт
Наиболее опасные сценарии:
• кража ключей (ЭЦП);
• инсайдерские действия;
• компрометация до фиксации (ввод ложных данных);
• атаки на инфраструктуру (DDoS).
Важно
Эти риски:
• не разрушают историю;
• но могут повлиять на новые события.
Угроза смещается с данных на субъекты и процессы.
9. Итог
Можно сформулировать строго:
• вирус может:
- нарушить работу системы
- повлиять на пользователей
• вирус не может:
- незаметно изменить уже зафиксированную историю
- подделать факт без следа
Вывод
В СЦРО защищается не система от вируса,
а факты - от искажения.
Если вирус не способен изменить историю,
возникает следующий вопрос:
что происходит, если в системе существует скрытый доступ (backdoor), позволяющий обойти процедуру?
Продолжение следует.
Вступление
Современная цифровизация развивается быстрее, чем формируются механизмы доверия к данным.
Системы защищаются, масштабируются, автоматизируются,
но при этом остаётся ключевая проблема:
невозможно гарантировать достоверность информации.
Даже при наличии антивирусов, защиты периметра и сложных ИТ-решений:
• данные могут быть искажены;
• события - подменены;
• ответственность - размыта.
В этой серии материалов рассматривается фундаментальный вопрос:
почему традиционная безопасность не решает проблему доверия
и какой архитектурный подход может её заменить.
В публикации представлен цикл из 11 статей:
1. Цифровизация без доверия: в чём реальная проблема
2. Пределы антивирусов и защиты периметра
3. СЦРО: переход от защиты к фиксации фактов
4. Почему вирус не может изменить историю в СЦРО
5. Backdoor: главная угроза цифровой достоверности и как СЦРО её устраняет
6. Где на самом деле риски: ключи, человек, инфраструктура
7. Архитектура против атак: как СЦРО отвечает на каждую угрозу
8. ИИ в СЦРО: почему ИИ не может стать угрозой
9. Условия, при которых СЦРО действительно работает
10. СЦРО как основа цифрового суверенитета
11. Устойчивость как свойство архитектуры СЦРО
Цифровизация без доверия: в чём реальная проблема
1. Введение
Цифровизация государственных и бизнес-процессов сегодня воспринимается как безусловное благо.
Перевод услуг в электронный формат, автоматизация решений, внедрение искусственного интеллекта - всё это рассматривается как путь к эффективности и прозрачности.
Однако возникает вопрос:
можно ли считать цифровую систему надёжной, если невозможно гарантировать достоверность данных, на которых она основана?
2. Уязвимость современной цифровой среды
Факт
Современные цифровые системы:
• работают на сложной инфраструктуре (серверы, сети, облака);
• используют программное обеспечение с множеством зависимостей;
• подвержены постоянным кибератакам.
Также, экспертами в области информационной безопасности (в частности, Натальей Касперской) прямо указывается:
абсолютной безопасности данных не существует ни в одной стране мира.
Факт
Типовые угрозы:
• вирусы и вредоносное ПО;
• утечки данных;
• атаки на инфраструктуру (DDoS, взломы);
• ошибки и уязвимости в программном коде;
• зависимость от внешних поставщиков технологий.
Вывод
Любая цифровая система может:
• быть атакована;
• дать сбой;
• работать некорректно.
3. Зависимость от инфраструктуры
Факт
Цифровая система не существует сама по себе. Она зависит от:
• электричества;
• интернет-соединения;
• дата-центров;
• аппаратного обеспечения (часто иностранного производства);
• облачных платформ.
Факт
Даже при полной цифровизации:
• отключение электроэнергии → система недоступна
• сбой сети → управление нарушено
• отказ серверов → данные временно недоступны
Как следствие
Цифровая система = функция инфраструктуры.
Если инфраструктура нестабильна → система нестабильна.
4. Проблема «чужой технологии»
Факт
Во многих странах:
• серверы
• процессоры
• операционные системы
• облачные решения
поставляются зарубежными компаниями.
Это создаёт риски:
• скрытого доступа (backdoor);
• утечки данных;
• внешнего влияния;
• невозможности полного контроля.
Вывод
Цифровой суверенитет невозможен без контроля над технологической основой.
5. Иллюзия безопасности
Факт
Классическая модель кибербезопасности строится на:
• антивирусах;
• межсетевых экранах;
• системах обнаружения атак;
• обновлениях и патчах.
Факт
Все эти меры:
• снижают риски
• но не устраняют их полностью
Вывод
Безопасность в цифровых системах всегда вероятностная, а не абсолютная.
6. Проблема автоматизации и ИИ
Факт
Современные системы всё чаще:
• принимают решения автоматически;
• используют алгоритмы и ИИ.
Факт
ИИ:
• может ошибаться;
• может давать противоречивые результаты;
• не несёт юридической ответственности.
Вывод
Автоматизация без контроля может привести не к снижению, а к масштабированию ошибок.
7. Критический вопрос: где возникает доверие?
На этом этапе возникает ключевая проблема.
Даже если:
• система защищена;
• инфраструктура работает;
• алгоритмы корректны;
остаётся вопрос:
можно ли доказать, что данные внутри системы достоверны?
8. Главный разрыв современной цифровизации
Факт
Современные системы:
• защищают доступ;
• контролируют пользователей;
• реагируют на атаки;
НО:
• не гарантируют неизменность данных;
• не обеспечивают доказуемость событий;
• не исключают возможность скрытого вмешательства.
Принципиальный вывод следующий:
Цифровизация решает проблему обработки данных,
но не решает проблему их достоверности.
9. Последствия для государства и бизнеса
Если система не гарантирует достоверность:
• решения могут приниматься на основе искажённых данных;
• ответственность размывается;
• невозможно доказать факт действия;
• возникает недоверие к цифровым сервисам.
10. Принципиальный вывод
Главная проблема современной цифровизации - не в уязвимостях,
а в отсутствии гарантированной достоверности данных.
11. Что из этого следует
Факт
• атаки невозможно полностью исключить
• инфраструктура всегда уязвима
• ошибки неизбежны
Вывод
Значит, задача должна ставиться иначе:
не как защита системы,
а как обеспечение достоверности фиксируемых фактов.
12. Итог
Современная цифровая среда:
• уязвима;
• зависима;
• вероятностна по своей безопасности.
При этом:
ни одна существующая модель не даёт гарантии того,
что данные внутри системы нельзя незаметно изменить.
Если безопасность не может быть абсолютной, возникает следующий вопрос:
возможно ли построить систему, в которой даже при атаке
невозможно скрыть изменение данных?
Пределы антивирусов и защиты периметра
1. Введение
В ответ на рост киберугроз современный мир выстроил мощную систему защиты:
• антивирусы,
• межсетевые экраны (firewall),
• системы обнаружения атак,
• мониторинг и реагирование.
На первый взгляд создаётся ощущение, что проблема безопасности решена.
Однако возникает вопрос:
если система защищена, означает ли это, что данные в ней достоверны?
2. Что делают классические системы защиты
Факт
Современная информационная безопасность строится вокруг следующих механизмов:
1. Антивирусы
• обнаруживают вредоносный код;
• блокируют заражённые файлы;
• удаляют угрозы.
2. Межсетевые экраны (firewall)
• контролируют входящий и исходящий трафик;
• ограничивают доступ к системе.
3. IDS/IPS (системы обнаружения и предотвращения атак)
• выявляют подозрительную активность;
• реагируют на попытки взлома.
4. Обновления и патчи
• закрывают уязвимости;
• повышают устойчивость системы.
Все эти механизмы направлены на одно:
предотвратить несанкционированный доступ и вредоносное воздействие.
3. На чём основана эта модель
Факт
Классическая модель безопасности предполагает:
• существует «периметр» системы;
• внутри периметра - доверенная среда;
• вне периметра - потенциальный злоумышленник.
То есть, безопасность строится как защита границы между «своим» и «чужим».
4. Где эта модель даёт сбой
Факт
В реальной практике:
• вирусы регулярно обходят антивирусы;
• атаки происходят изнутри (инсайдеры);
• вредоносный код попадает через обновления (supply chain);
• пользователи сами становятся точкой входа (фишинг, кража ключей).
Факт
Даже при наличии защиты возможны:
• заражение системы;
• выполнение вредоносного кода;
• компрометация учетных данных;
• внедрение изменений в рабочие процессы.
Поэтому периметр не является надёжной границей.
5. Ограничения антивирусов
Факт
Антивирус:
• работает по сигнатурам или поведенческим моделям;
• обнаруживает известные или подозрительные угрозы.
Ограничения:
• не видит новые (неизвестные) угрозы;
• может ошибаться (ложные срабатывания или пропуски);
• не контролирует логику работы системы;
• не защищает от легитимных действий скомпрометированного пользователя.
Антивирус снижает риск, но не гарантирует безопасность.
6. Ограничения защиты периметра
Факт
Firewall и другие средства:
• ограничивают доступ;
• фильтруют трафик.
Ограничения:
• не защищают от действий внутри системы;
• не предотвращают использование легитимных прав;
• не контролируют, что именно делает пользователь или процесс.
Потому, что контроль доступа ≠ контролю действий.
7. Критическая проблема: легитимные атаки
Факт
Наиболее опасные сценарии:
• злоумышленник использует украденный ключ;
• сотрудник с доступом злоупотребляет правами;
• вредоносный код действует от имени доверенного процесса.
Система воспринимает такие действия как:
• допустимые;
• легальные;
• корректные.
Система не отличает злоупотребление от законного действия,
если оно выполнено с корректными правами.
8. Что происходит с данными
Факт
Даже при наличии всех средств защиты:
• данные могут быть изменены;
• записи могут быть подменены;
• события могут быть зафиксированы с искажениями.
Ключевой момент
Эти изменения могут быть:
• формально корректными;
• выполненными через допустимые механизмы.
Это означает, что система может быть защищена,
но данные внутри неё - недостоверны.
9. Принципиальное ограничение всей модели
Факт
Классическая безопасность:
• защищает систему от вторжения;
• реагирует на угрозы;
• снижает вероятность атаки.
Но она:
• не гарантирует неизменность данных;
• не обеспечивает доказуемость событий;
• не исключает скрытые изменения.
Потому, что безопасность защищает систему,
но не гарантирует достоверность данных.
10. Главный разрыв
Можно сформулировать строго:
• система может быть защищена → и при этом содержать искажённые данные
• система может быть атакована → и при этом данные остаются достоверными
Итоговый вывод заключается в том, что защита ≠ достоверности.
11. Почему это критично
Если данные недостоверны:
• невозможно доказать факт события;
• невозможно установить ответственность;
• решения принимаются на основе искажённой информации;
• доверие к системе разрушается.
12. Вывод
Классическая модель безопасности:
• необходима;
• снижает риски;
но:
она не решает главную задачу - обеспечение достоверности данных.
Если защита системы не гарантирует достоверность,
возникает следующий вопрос:
можно ли построить систему, в которой даже при компрометации
невозможно незаметно изменить зафиксированные данные?
СЦРО: переход от защиты к фиксации фактов
1. Введение
Выше было показано:
• классическая кибербезопасность не гарантирует достоверность данных;
• защита системы не равна доверию к результатам её работы.
Это приводит к вопросу:
если защитить систему невозможно на 100%,
можно ли обеспечить достоверность данных иным способом?
Ответом на этот вопрос является архитектурный подход, реализованный в Системе цифровой регистрации объектов (СЦРО).
2. Смена модели: от защиты к фиксации
Факт
Классическая модель:
• защищает систему от вторжения;
• пытается предотвратить атаки;
• строит периметр безопасности.
Ограничение
• атаки всё равно происходят;
• система может быть скомпрометирована;
• данные могут быть изменены незаметно.
Новая модель (СЦРО)
СЦРО использует иной принцип:
не защищать систему полностью,
а обеспечить невозможность незаметного изменения фактов.
Если изменение данных:
• невозможно скрыть
или
• невозможно выполнить вне процедуры
→ данные становятся проверяемыми и доказуемыми.
3. Что такое СЦРО (суть модели)
Факт
СЦРО - это система, в которой:
• каждое действие фиксируется как событие;
• событие сопровождается:
- хэшем (контроль целостности),
- электронной подписью (идентификация субъекта),
- связью с предыдущими событиями (история);
• запись становится частью непрерывной цепи.
Следствие
Любое изменение:
• нарушает цепочку;
• обнаруживается при проверке.
СЦРО фиксирует не данные, а факты,
связанные с субъектом, временем и контекстом.
4. Ключевой элемент: процедурный шлюз (PF-1)
Факт
В СЦРО любое действие перед фиксацией проходит через PF-1.
PF-1 проверяет:
• право субъекта;
• допустимость действия;
• соответствие состоянию объекта;
• наличие основания.
Факт
Результат PF-1:
• уникальный идентификатор решения;
• обязательная часть записи.
Следствие
Событие без прохождения PF-1:
• не имеет юридической силы;
• считается недействительным.
Потому, что PF-1 превращает фиксацию данных в юридически значимую процедуру.
5. Единственная точка фиксации
Факт
В СЦРО запись:
• выполняется только через специализированный модуль (ledger);
• не имеет альтернативных путей;
• осуществляется в режиме append-only (без изменения прошлого).
Следствие
• невозможно «обойти» процедуру;
• невозможно записать событие напрямую.
Таким образом, исключается сценарий скрытого вмешательства (backdoor через запись).
6. Криптографическая связность
Факт
Каждая запись:
• содержит хэш предыдущего состояния;
• подписывается субъектом;
• становится частью цепочки.
Следствие
Изменение одной записи:
• требует изменения всей цепочки;
• обнаруживается автоматически.
Целостность обеспечивается не контролем, а структурой данных.
7. Разделение полномочий
Факт
Процесс разбит на этапы:
• инициирование;
• проверка (PF-1);
• подпись;
• фиксация;
• аудит.
Следствие
Ни один компонент:
• не может выполнить полный цикл самостоятельно.
Исключается концентрация контроля и скрытое управление системой.
8. Независимый аудит
Факт
В СЦРО:
• события фиксируются в реестре;
• параллельно фиксируются в аудите;
• возможна независимая проверка.
Следствие
• невозможно «тихо» изменить историю;
• подмена требует изменения нескольких контуров.
Достоверность подтверждается не доверием к системе,
а возможностью проверки.
9. Роль искусственного интеллекта
Факт
В СЦРО ИИ:
• не участвует в фиксации;
• не подписывает события;
• не может обойти PF-1;
• работает только с уже зафиксированными данными.
Следствие
ИИ:
• анализирует;
• выявляет аномалии;
• не влияет на юридическую значимость.
ИИ не является источником решений,
а является инструментом наблюдения.
10. Юридическая значимость
Факт
Событие в СЦРО:
• связано с субъектом (через ЭЦП);
• зафиксировано в определённый момент времени;
• прошло установленную процедуру;
• неизменяемо.
Следствие
Такое событие:
• может быть проверено;
• может быть воспроизведено;
• может быть использовано как доказательство.
Юридическая значимость возникает из процедуры и фиксации,
а не из доверия к системе или оператору.
11. Принципиальное отличие от классических систем
| Классическая система | СЦРО |
| защита доступа | фиксация фактов |
| доверие к системе | проверяемость |
| контроль действий | невозможность скрытия |
| безопасность как слой | безопасность как архитектура |
12. Ключевой вывод
СЦРО не делает систему неуязвимой,
СЦРО делает невозможной незаметную подмену фактов
(при соблюдении архитектурных условий).
13. Итог
СЦРО меняет сам подход к цифровым системам:
• от защиты → к фиксации;
• от доверия → к проверяемости;
• от контроля → к неизменяемости.
Если факты фиксируются таким образом,
возникает следующий вопрос:
почему даже вирус или атака не могут изменить уже зафиксированную историю?
Почему вирус не может изменить историю в СЦРО
1. Введение
Выше было показано:
• цифровые системы уязвимы;
• классическая безопасность не гарантирует достоверность;
• СЦРО использует модель фиксации фактов вместо защиты периметра.
Возникает закономерный вопрос:
если система заражена вирусом, может ли он изменить уже зафиксированные данные?
2. Что такое «вирус» в контексте системы
Факт
Вирус (в широком смысле) - это:
• вредоносный код;
• либо контролируемый злоумышленником процесс,
который может:
• изменять данные;
• выполнять команды;
• маскировать действия;
• перегружать систему.
Типовые сценарии атак:
• внедрение кода (supply chain);
• атаки через API;
• заражение пользовательского устройства;
• кража ключей;
• DDoS;
• инсайдерские действия.
3. Что вирус может сделать
Факт
Вирус способен:
1. Нарушить доступность
• замедлить работу;
• перегрузить систему;
• временно вывести сервис из строя.
2. Повлиять на пользовательский уровень
• подменить вводимые данные;
• украсть ключи (ЭЦП);
• инициировать действия от имени пользователя.
3. Использовать легитимные права
• действовать от имени авторизованного субъекта;
• выполнять «разрешённые» операции.
4. Повлиять на инфраструктуру
• атаковать серверы;
• нарушить работу узлов;
• вмешаться в сетевые процессы.
Вирус может влиять на систему,
но не обязательно на достоверность уже зафиксированных данных.
4. Что вирус не может сделать в СЦРО
Факт (при соблюдении архитектуры)
Вирус не может:
1. Незаметно изменить прошлые записи
Причина:
• каждая запись содержит хэш;
• записи связаны между собой;
• изменение нарушает цепочку.
2. Подделать подпись без ключа
Причина:
• используется ЭЦП;
• подпись проверяется криптографически.
3. Обойти процедуру фиксации (PF-1)
Причина:
• запись допустима только после проверки;
• события без PF-1 не имеют юридической силы.
4. Вставить «левую» запись напрямую
Причина:
• фиксация только через один модуль;
• отсутствуют альтернативные каналы записи.
5. Скрыть факт вмешательства
Причина:
• ведётся журнал;
• возможен независимый аудит;
• несоответствия обнаруживаются.
Вирус не может незаметно изменить историю,
даже если он присутствует в системе.
5. Почему это работает
Факт
СЦРО использует совокупность механизмов:
• хэширование;
• электронную подпись;
• цепочку событий;
• распределённую проверку;
• независимый аудит;
• процедурный шлюз (PF-1).
Следствие
Изменение требует одновременно:
• подделки подписи;
• изменения цепочки;
• согласования между узлами;
• обхода процедур.
Атака становится либо невозможной,
либо обнаруживаемой.
6. Ключевое разграничение: доступность vs целостность
Факт
Необходимо различать:
| Параметр | Что означает |
| Доступность | можно ли пользоваться системой |
| Целостность | можно ли изменить данные незаметно |
Факт
Вирус может нарушить:
• доступность (сбой, перегрузка)
Но не может (при условиях):
• нарушить целостность истории
Система может быть недоступна,
но данные остаются достоверными.
7. Критическое условие
Факт
Все выводы верны при соблюдении условий:
• ключи защищены (HSM/KMS);
• отсутствуют альтернативные каналы записи;
• соблюдён механизм PF-1;
• узлы независимы;
• аудит функционирует.
Устойчивость обеспечивается архитектурой,
а не самим фактом наличия системы.
8. Где остаются реальные риски
Факт
Наиболее опасные сценарии:
• кража ключей (ЭЦП);
• инсайдерские действия;
• компрометация до фиксации (ввод ложных данных);
• атаки на инфраструктуру (DDoS).
Важно
Эти риски:
• не разрушают историю;
• но могут повлиять на новые события.
Угроза смещается с данных на субъекты и процессы.
9. Итог
Можно сформулировать строго:
• вирус может:
- нарушить работу системы
- повлиять на пользователей
• вирус не может:
- незаметно изменить уже зафиксированную историю
- подделать факт без следа
Вывод
В СЦРО защищается не система от вируса,
а факты - от искажения.
Если вирус не способен изменить историю,
возникает следующий вопрос:
что происходит, если в системе существует скрытый доступ (backdoor), позволяющий обойти процедуру?
Продолжение следует.
Поделиться
