Леонид Н. Кессаринский ТЕХНОЛОГИЧЕСКАЯ БЕЗОПАСНОСТЬ

ТЕХНОЛОГИЧЕСКАЯ БЕЗОПАСНОСТЬ

В соответствии с действующими нормативно-техническими документами, доверенность (как свойство  доверенных изделий) активной электронной компонентной базы является одновременное сочетание качества и безопасности, в том числе технологическая безопасность (ТБ). Поскольку ТБ относительно новое понятие, предлагается следующий подход к работе с данной характеристикой.

Введение и терминология

Прежде всего, следует разобраться в похожих терминах, отражающих общее стремление сократить внешнее влияние на инфраструктуру нашего государства: «технологический суверенитет», «технологическая независимость КИИ», «технологическая безопасность». Подробный разбор этих понятий изложен в статье [Кривошеин Борис Н. Покровский Иван А. Понятия и критерии оценки технологической независимости и безопасности объектов критической информационной инфраструктуры. Безопасность информационных технологий, [S.l.], т. 30, № 4, с. 39–60, 2023. ISSN 2074-7136. DOI: http://dx.doi.org/10.26583/bit.2023.4.02], который следует читать с учетом последовавших новых нормативно-правовых актов. Базовым понятием является «суверенитет Российской Федерации в технологической сфере» (далее – «технологический суверенитет», ТС) – способность государства создавать и применять наукоемкие технологии, критически важные для обеспечения независимости и конкурентоспособности, и иметь возможность на их основе организовать производство товаров (выполнение работ, оказание услуг) в стратегически значимых сферах деятельности общества и государства [Указ Президента Российской Федерации от 28 февраля 2024 г. № 145 «О Стратегии научно-технологического развития Российской Федерации»]. Данное понятие относится к государству, его макроэкономическим технологическим цепочкам, сферам и отраслям. Как следует из контекста, «ТС» некорректно применять к отдельным материальным объектам, в том числе к изделиям электроники.

«Технологическая независимость КИИ» (ТН) – состояние КИИ, характеризующееся возможностью ее создания, устойчивым, надежным функционированием и развитием, в том числе в условиях ограничений в доступности технологий и компонентов [ПНСТ 905-2023. Предварительный национальный стандарт Российской Федерации. Критическая информационная инфраструктура. Доверенные программно-аппаратные комплексы. Термины и определения]. По результатам продолжительного обсуждения в рамках работы ТК 167 понятие ТН было закреплено за инфраструктурой, в данном случае КИИ, и включает в себя такие элементы, как государственную политику мер экономической поддержки, кадровою политику, набор преференций и правил закупочных процедур. Понятие ТН также некорректно применять к изделиям электроники, хотя эти изделия и оказывают влияние на реализацию ТН КИИ. 

«Технологическая безопасность активной ЭКБ» – Состояние защищенности активной электронной компонентной базы (АЭКБ) от угроз нарушения процессов стадий жизненного цикла, позволяющее реализовать при применении в составе доверенных программно-аппаратных комплексов (ДПАК) выполнение требований по обеспечению технологической независимости КИИ [ПНСТ 911-2024. Предварительный национальный стандарт Российской Федерации. Критическая информационная инфраструктура. Доверенные интегральные микросхемы и электронные модули. Общие положения]. Данный термин является технической характеристикой изделия ЭКБ и, следовательно, требует формы задания требований, процедуры оценки соответствия в количественных и/или качественных критериях.

Поскольку «ТБ» – это состояние защищенности от угроз, следует рассмотреть теорию и практику мер защиты.

Цель обеспечения технологической безопасности

В ряде документов по защите информации, информационным технологиям и непрерывности бизнеса, меры защиты делятся на: (1) «Превентивные» – которые устраняют источник угрозы, (2) «Корректирующие» – которые допускают существование источника угрозы (чаще всего, внешний фактор, на который невозможно повлиять – например, санкции со стороны иностранных государств), но устраняют воздействие на технологические процессы и промежуточные результаты, (3) «Восстанавливающие» – которые допускают существование источника угрозы и проявление его воздействия на процессы и результаты, но компенсируют эффекты от этого (например, допускается недоступность некоторых технологических материалов и переход на альтернативные доступные марки) (рис.1).

 

 

 

Рис. 1. Классификация мер зашиты от угроз
(в теории защиты информации, непрерывности бизнес процессов)

 Основная задача обеспечения ТБ изделия активной ЭКБ в том, чтобы у потребителя всегда была возможность получить необходимый объем данной продукции для производства своих блоков РЭА, ПАК и др. – меры исключения недостатка (дефицита) изделий АЭКБ, которые заложены в конструкторскую и технологическую документацию, а также систему менеджмента качества (СМК) разрабатываемой и серийно выпускаемой продукции. Причины возникновения дефицита продукции могут быть самыми разными: а) наложенные санкции на поставку иностранных комплектующих, б) естественное устаревание изделия, замещение более совершенными типами, как следствие – прекращение производства данного типономинала из-за снижения рентабельности, в) банкротство производителя по экономическим причинам, как следствие – прекращение производства всех типов своей продукции, г) стихийные бедствия в регионе производителя, возникновение дефицита из-за перебоев производства или логистических цепочек (например: наводнение Таиланда и перебои с поставками жестких дисков в 2011 г. [Наводнение в Таиланде «затопило» рынок жестких дисков: Цены на винчестеры резко растут. https://www.cnews.ru/news/top/navodnenie_v_tailande_zatopilo_rynok] или известный COVID транспортный карантин Китая 2020–2021 гг.).

В соответствии с международными документами, меры защиты от дефицита электронных компонентов можно также разделить на 3 способа: (1) освоение (локализация) технологического процесса производства компонента, (2) разработка и переход на альтернативные технические решения, избегающие применения дефицитного компонента, (3) создание страхового запаса дефицитных компонентов (рис. 2). Важно отметить, что выбор мер защиты для гражданской продукции всегда должен опираться на экономическую эффективность, критерии которой дальше будут рассмотрены.

 

 

 

 

Рис. 2. Меры защиты от дефицита компонентов

 Рассмотрим подробнее каждую из указанных мер защиты от дефицита АЭКБ. 

«Освоение технологии производства» (или локализация), как правило, применяется для критичных компонентов, наиболее значимо влияющих на характеристики аппаратуры назначения (РЭА, ПАК, системы). С одной стороны, это наиболее надежная мера защиты от дефицита изделий на рынке. Полный контроль процессов жизненного цикла изделия потенциально может обеспечить максимальный уровень доверенности изделия в итоге. С другой стороны, это наиболее «дорогой» (по срокам, стоимости) способ, который возможно использовать не для всех компонентов из-за разных причин: а) отсутствие технологической документации на компонент, сложность которого не позволяет воспользоваться «реверс инжинирингом», б) отсутствие в России необходимого техпроцесса для локализации, в) невозможность локализовать все или большую часть всех применяемых в гражданских ПАК компонентов («нельзя объять необъятное»), г) скептический настрой инвесторов локализации из-за текущей легкой доступности оригинальных компонентов и прогнозирования, что так будет всегда.

«Переход на альтернативные технические решения», как правило, применяется, когда дефицитными становятся небольшое число компонентов. Стоимость (время и деньги) этой меры существенно зависит от нескольких факторов: а) наличия аналогов у дефицитных компонентов, б) предпринятых превентивных мер (наличие заранее отработанного запасного проекта), в) уникальный характер дефицитного компонента (специализированная или унифицированная микросхема), г) степень влияния компонента на важные характеристики аппаратуры назначения, д) сложность заменяемого компонента (например, есть разница между сложностью подбора альтернативного операционного усилителя или альтернативного процессора). В зависимости от комбинации перечисленных факторов, альтернативное решение следует прорабатывать заранее при прогнозируемых возможностях ухода с рынка устаревшего изделия или введения санкций стран, чьи резиденты участвуют в критичных процессах жизненного цикла изделия. Причем чем сложнее изделие, тем раньше следуют давать старт редизайну. Кроме того, наличие выбора решений реализации (диверсификация) в любом случае повышает безопасность изделия, а резервирование каналов поставок материалов и полуфабрикатов (например, основной канал поставок – 80%, альтернативный – 15% и запасной – 5%) «дает жить» проигравшим рынок участникам и технологиям.

«Страховой запас критичных компонентов» – самый простой вариант обеспечения ТБ только денежными ресурсами, который, однако, годится только для малых объемов потребляемых компонентов. Если необходимый годовой объем составляет сотни тысяч штук, такая мера борьбы с дефицитом становится почти нереализуемой.

Таким образом, общую цель обеспечения технологической безопасности электронного компонента можно кратко определить, как доступность его потребителям в нужном объеме в течение всего срока потребности.

Формализация показателей технологической безопасности изделия

Упрощенно, цель обеспечения технологической безопасности изделия активной ЭКБ, исходя из t лет гарантированной доступности потребителям, можно описать формулой:

Nпроизв. × t + NскладNпотребит. × t,                                        (1)

где Nпроизв. – темп производства новых изделий типономинала в год, Nпотребит. – интенсивность потребления изделий типономинала (производителями РЭА, ПАК, и др.), Nсклад – суммарный объем изделий типономинала на всех складах продукции, t – время гарантированной доступности изделий для потребителей в годах.

На рис. 3 изображена упрощенная модель доступности микросхем в виде баланса объемов их производства и потребления.

Если неравенство (1) верно, значит для данного изделия обеспечивается технологическая безопасность. Неверность неравенства (1) является критерием наступления дефицита типономинала, которую необходимо парировать применяя меры защиты.

 

 

Рис. 3. Модель рынка типономинала ЭКБ в виде «бассейна»

 Все описанные ранее варианты мер защиты от дефицита компонентов укладываются в рамках данной формализованной записи. «Страховой запас» – увеличение Nсклад; «локализация технологии производства» – увеличение темпов производства, регулирование поступления изделий на рынок; «переход на альтернативное решение» – уменьшение Nпотребит. для данного дефицитного типономинала. В тоже время, анализ факторов влияния на каждое слагаемое данного неравенства (1) дает понимание выбора приоритетных типономиналов для реализации мер защиты от децифита (существующего или прогнозируемого).

Критерии выбора приоритетных типономиналов АЭКБ
для реализации мер защиты от дефицита

Анализируя неравенство (1), можно сделать вывод о том, что все три слагаемых могут меняться как по объективным причинам, так и в результате целенаправленной (умышленной) деятельности участников жизненного цикла.

Ниже проведен анализ для одного из групп однородной продукции активной ЭКБ – для микросхем.

Факторы, влияющие на «наполнение» рынка изделий (рис. 4):

  • скорость устаревания компонента в диапазоне: от (0) почти не меняющаяся годами микросхема (например, простая дискретная логика) до (3) регулярно обновляемая микросхема (поколения ПЛИС);
  • потенциальная возможность контроля (и угроз) производственно-сбытовых цепочек: от (0) коммерческой неконтролируемой микросхемы, которая продается во все страны мира (например, которую невозможно отследить, широко распространенное коммерческое изделие, т.н. «COTS») до (3) редкой специализированной хорошо контролируемой микросхемы (например, индивидуально отслеживаемое изделие категории «Space»);
  • степень «антилокализации» изделия: от (0) все процессы жизненного цикла изделия выполняются на территории России и/или дружественных государств до (3) все ключевые процессы (или их критическая часть) и материалы для них контролируются резидентами недружественных стран;
  • другие факторы, влияющие (останавливающие) на попадание изделий на рынок и приводящие к дефициту.

 

 

Рис. 4. Факторы, влияющие на «наполнение» рынка изделий

Анализируя факторы (рис. 4), влияющие на «наполнение» рынка изделий, можно сформулировать две крайности: (000) всеми применяемая (без контроля поставок), редко обновляемая («вечно молодая»), полностью российская микросхема vs (333) «экзотическая» и полностью контролируемая, производимая в США, постоянно обновляемая микросхема.

Факторы, влияющие на «потребление» изделий (востребованность изделий у потребителей) (рис. 5):

  • полнота документации на изделие (одна сторона «стоимости» внедрения по времени и затратам ресурсов): от (0) документации нет (или например, документы только на китайском языке) до (3) вся полнота конструкторской и эксплуатационной документации доступна потребителю,
  • подтверждение соответствия изделия своей документации (вторая сторона «стоимости» внедрения по времени и затратам ресурсов): от (0) соответствие своей документации ничем не подтверждается и потребителю нужно делать полноценные входные испытания до (3) подтверждение соответствия изделия своей документации не вызывает сомнений у потребителя, входной контроль ему не требуется,
  • степень унификации изделия с учетом его влияния на обеспечение ключевых технических характеристик аппаратуры назначения (третья сторона «стоимости» внедрения по времени и затратам ресурсов): от (0) уникальная новая не имеющая аналогов разработка, с которой необходимо разбираться только ради однократного применения до (3) унифицированное изделие, применяемое в большом числе сходных решений и имеющее большое число аналогов, хорошо знакомое инженерам,
  • другие факторы, влияющие на готовность потребителей использовать данное изделие в своих РЭА, ПАК. 
 

Рис. 5. Факторы, влияющие на «потребление» изделий

(востребованность изделий у потребителей)

 

Анализируя факторы (рис. 5), влияющие на «потребление» изделий, можно сформулировать две крайности: (000 – изделие почти никому не нужно) несоответствующее своей скудной документации изделие, которое применяется в единственном типе РЭА vs (333 – очень востребованное изделие) хорошо документированное и гарантированно соответствующее своей документации унифицированное изделие.

Если рассмотреть вместе неравенство (1) для критерия отсутствия дефицита и описанные выше факторы, появляется кажущееся противоречие: чтобы повысить уровень технологической безопасности микросхемы, требуется сделать ее максимально ненужной, что приведет к минимизации Nпотреб и, следовательно, лучшему выполнению формулы (1). Для некоторых предприятий такой антиобщественный путь покажется приемлемым до тех пор, пока потребители самостоятельно доведут его до совершенства – совсем исключат такое изделие из РЭА, ПАК. Для востребованных изделий, повышение уровня обеспеченности технологической безопасности заключается в работе с факторами Nпроизв. и Nсклад. в соответствие с существующим (лучше всего растущим) уровнем Nпотреб.

Таким образом, совместный анализ факторов (рис. 4 и 5) позволяют определить наиболее и наименее приоритетные изделия для включения механизмов мер защиты от дефицита – это микросхемы, которые одновременно с проблемами восполнения на рынке (красная зона на рис. 4) и широко потребляемыми разработчиками и производителями РЭА, ПАК (зеленая зона на рис. 5).

 Критерии выбора эффективных мер защиты от дефицита АЭКБ

После того, как определены приоритетные изделия АЭКБ по которым уже существует или прогнозируется опасность дефицита (невозможность удовлетворить всех потребителей) необходимо выбрать эффективную стратегию, меру или комбинацию мер защиты. Как было описано выше, разные меры обладают своими преимуществами, недостатками ограничениями, в том числе с учетом (на самом деле, для гражданской электроники – в основном!) исходя из требуемых затрат ресурсов (финансовых, временных, человеческих) на их реализацию.

Важными «переменными» для выбора реализуемой меры обеспечения ТБ являются: (1) срок потребности в изделии в годах, (2) гарантированный доступный объем для потребителя в тыс. шт./год, (3) возможность контроля критичных технологических процессов и материалов, а также принадлежность участников жизненного цикла (резиденция) в России и иностранных государствах разного статуса (дружественный / нейтральный / недружественный), (4) критичность изделия АЭКБ для выполнения требований по функциональности, надежности, безопасности ПАК, РЭА, (5) сложность технологии изделия АЭКБ для разработки (редизайна) и локализации процессов жизненного цикла (например, ИС малой степени интеграции или СБИС; КМОП или БиКМОП; технология Si или А3В5 и т.д.), (6) унифицированное или специализированное изделие.

Алгоритм обеспечения технологической безопасности ЭКБ в условиях дефицита

Подводя черту рассуждениям о технологической безопасности, можно определить общий алгоритм ее обеспечения для конкретного ЭКБ в условиях выполнения критерия дефицита (текущего или прогнозируемого), который упрощенно приведен на рис. 6. Приведенные основные шаги были описаны в тексте выше, кратко последовательность следующая:

  1. Непрерывный мониторинг во времени ситуации на рынке для типономиналов ЭКБ, которые применяются в РЭА, ПАК КИИ и другой критической аппаратуре. Сбор статистики по применяемым типам, сбор статистики по темпам производства, состоянию складов. Непрерывная оценка выполнения критерия дефицита (1) для текущего момента и прогноза на будущее в пределах требуемого срока потребления.
  2. При выполнении условия дефицита (1), типономинал ЭКБ заносится в перечень требуемых мер защиты.
  3. Для каждого типа проводится оценка приоритета старта защитных мер.
  4. Формируется (обновляется) перечень типов ЭКБ по приоритету мер защиты.
  5. Для ЭКБ с первым текущим приоритетом проводится оценка эффективности разных мер защиты от дефицита, выбирается оптимальная.
  6. Реализация наиболее эффективной меры защиты от дефицита (обеспечения ТБ) для данного типономинала ЭКБ.

Все описанное – последовательность действий в уже существующем или прогнозируемом дефиците серийно производимых изделий ЭКБ, т.е. когда уже «проблема наступила». Естественно, любые проактивные действия, исключающие само наступление проблемы всегда более эффективны, чем меры реагирования. Другими словами, эффективнее закладывать меры обеспечения ТБ на ранних стадиях («Исследование и проектирование», «Разработка», «Производство», «Поставка»), таким образом, с самого начала предусматривать максимизацию показателя Nпроизв.

 

 

Рис. 6. Упрощенная схема алгоритма обеспечения для конкретного ЭКБ в условиях выполнения критерия дефицита (текущего или прогнозируемого)

Требования к обеспечению технологической безопасности изделия АЭКБ на стадиях «Исследование и проектирование», «Разработка», «Производство», «Поставка»

Из трех слагаемых неравенства (1) первое, темп «наполнения» изделиями рынка, представляет высший приоритет для задания требований обеспечения ТБ изделия АЭКБ. В соответствии с ПНСТ 911-2024 стадии жизненного цикла изделия АЭКБ: «Исследование и проектирование», «Разработка», «Изготовление», «Поставка» и «Эксплуатация». В каждой из перечисленных стадий есть критичные для ТБ процессы, важно сформировать и внедрить меры обеспечения в ответ на возможные угрозы. Таким образом, требования обеспечения ТБ – требования к мерам защиты процессов жизненного цикла от угроз их нарушения, которые приведут к дефициту изделия на рынке.

В настоящий момент в стадии разработки (членами Рабочей группой «Доверенные интегральные схемы» технического комитета по стандартизации ТК 167 и Экспертно-аналитической группой по вопросам обеспечения доверенности изделий электроники) находится проект предварительного национального стандарта ПНСТ «Критическая информационная инфраструктура. Доверенные интегральные микросхемы. Типовые факторы нарушения доверенности», который будет посвящен угрозам доверенности.

Типовые источники угроз для ТБ, которые могут нарушить производственно-сбытовую цепочку и помешать наполнять рынок требуемыми изделиями, можно сформулировать как действие внешних источников (санкции недружественных государств резидентов-участников критических процессов, враждебные действия монополистов сложного технологического, испытательного и контрольно-измерительного оборудования, злоумышленные действия международных преступных группировок, в т.ч. ответственные за контрафакт и фальсификат) и внутренних источников (враждебные действия монополистов и преступных группировок, экономическая несостоятельность участников-соисполнителей и т.д.).

В соответствии с ГОСТ Р 54581-2011 /ISO/IEC/TR 15443-1:2005 [Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ] требования обеспечения доверия в общем виде разделяются на

  • требования к процессам,
  • требования к изделию,
  • требования к среде (персоналу и организации – т.е. к участнику жизненного цикла).

Возможные требования обеспечения ТБ изделия АЭКБ, должны опираться на реализацию мер защиты от возможных угроз, дополнятся процедурами (методиками) оценки соответствия (испытаниями, экспертизой, проверками, исследованиями и др.) с объективными и проверяемыми критериями.

Поскольку технологическая безопасность изделия АЭКБ является составляющей доверенности изделия – все требования к участнику контролируемого жизненного цикла, процессам и самому доверенному изделию, сформулированные в ПНСТ 911-2024 (введен в действие 01.04.2024) в полной мере должны выполняться.

Помимо ПНСТ 911-2024, возможные типовые основные требования, методики оценки соответствия и критерии обеспечения ТБ для интегральных микросхем в данный момент находятся в стадии формирования. Конкретные критерии оценки и типовые требования для задания меры обеспечения технологической безопасности изделий АЭКБ находятся в стадии рабочей проработки рабочей группы «Доверенные интегральные схемы» ТК 167 и «Экспертно-аналитической группы по вопросам обеспечения доверенности электроники» – следите за новостями! :)

 

Заключение

Таким образом, определена разница между понятиями «технологический суверенитет [государства]», «технологическая независимость [КИИ]», «технологическая безопасность [ЭКБ]». В соответствии с действующими нормативно-техническими документами, для описания и задания требований к изделиям электронной компонентной базы следует использовать термин «технологическая безопасность».

Алгоритм обеспечения технологической независимости состоит из (1) мониторинга доступности типономинала АЭКБ потребителям; (2) обнаружения существующего или прогнозируемого дефицита типономинала (микросхемы, которые одновременно с проблемами восполнения на рынке и широко потребляемыми разработчиками и производителями); (3) анализа и выбора эффективных мер защиты; (4) старта внедрения мер защиты от дефицита – обеспечения технологической безопасности.

 

Автор выражает благодарность за помощь и обсуждение вопросов обеспечения технологической безопасности: Гребенникову И.С., Никифорову А.Ю., Покровскому И.А., Пономареву А.А., Пончакову М.Ю., Сидорину Ю.Ю., Тельцу В.А., Шумилину С.С. и всем членам РГ «ДИС» ТК 167 и ЭАГ!

 

 

Леонид Н. Кессаринский, к.т.н., руководитель Рабочей группы «Доверенные интегральные схемы» ТК 167 и Экспертно-аналитической группы по вопросам обеспечения доверенности электроники,  доцент НИЯУ МИФИ, Каширское ш., 31, Москва, 115409, Россия

e-mail: LNKessarinskiy@mephi.ru, https://orcid.org/0000-0001-7756-6166