Атаки террористов в Париже навсегда изменили подход многих государств к обеспечению безопасности. В результате, интернет в понимании многих людей стал инструментом для совершения опасных преступлений, а безопасность — альтернативой свободе и отсутствию тотального контроля. О том, какая цена у безопасности в современном мире Digital Report рассказал председатель совета директоров Группы компаний «SearchInform» Лев Матвеев.
Как вы считаете, может ли ситуация в мире (война в Сирии, террористические акты) повысить внимание общественности к теме информационной безопасности?
С уверенностью можно говорить о том, что это уже произошло. После событий во Франции, мы наблюдаем массовый рост запросов антитеррористических политик для наших продуктов. Больше всего интересует выявление тех, кто испытывает симпатии к запрещенной террористической организации ИГИЛ. Это наиболее актуально для компаний, в которых есть представительства в мусульманских регионах страны, или много работников-мусульман. Также организации стремятся вести мониторинг других направлений экстремизма, выявлять сотрудников с соответствующими взглядами.
Кроме того, стоит помнить слова Кевина Митника: «Ни одна атака невозможна без сообщника внутри». Если компания не хочет стать жертвой террористической атаки, то поиск таких внутренних сообщников становится для неё жизненно важной задачей.
Может ли страх перед новыми атаками террористов дать стимул для еще большего контроля информационного пространства со стороны государства?
Тенденции последнего времени таковы, что государство вообще склонно усиливать контроль в любых сферах. Поэтому на этот вопрос можно ответить положительно. Но это приводит к другому вопросу: кто именно будет осуществлять контроль? Опыт принятия закона ФЗ-152 «О персональных данных» говорит, что с выполнением законодательных норм зачастую возникают сложности. Часто законодатели принимают правила, не думая о том, как они будут работать в реальной жизни, не советуясь с профессиональным сообществом. Между тем, сегодня технологически реально сделать контроль таким, чтобы все работало как часы и никому не мешало.
Как вы считаете, готовы ли люди отказаться от информационной свободы в обмен на гарантии безопасности? Может ли государство гарантировать людям безопасность за счет большего контроля?
Это достаточно философский вопрос. Уверен, что после терактов число сторонников таких мер увеличилось, но если ситуация будет спокойной, через пару месяцев всё вернется на круги своя. Еще Бенджамин Франклин говорил, что люди готовы отказаться от свободы в обмен на безопасность, и потом потерять и то, и другое. Конечно, лично мне не хотелось бы, чтобы ситуация развивалась по Оруэлловскому сценарию. Ведь часто в погоне за безопасностью забывают о принципе «безопасность для людей, а не люди для безопасности». Современные технологические решения в этой сфере позволяют поддерживать высокий уровень защищенности, не создавая дискомфорта для того, кого они защищают.
Существует мнение, что вклад в информационную безопасность страны, например, России, может внести каждый пользователь Рунета? Действительно ли возможно повысить защиту за счет участия рядовых интернет-пользователей и как?
Наша страна уже жила в те времена, когда «каждая кухарка могла управлять государством». Выяснилось, что этот подход, мягко говоря, неэффективен. В таких высокоспецифичных отраслях как информационная безопасность, уверен, лучше доверить дело профессионалам. Принцип «спасение утопающих – дело рук самих утопающих» в данном случае не сработает. Это как предложить водителям самим контролировать обстановку на дорогах, распустив ГИБДД и выключив камеры фиксации. Вряд ли это приведет к усилению порядка – скорее, наоборот.
Специалист по информационной безопасности – это не просто профессия. Это особый склад ума, особый взгляд на мир. Достичь этого рядовому пользователю нереально, да и незачем.
Пользователей Рунета необходимо обучать основам информационной безопасности. Это единственное рациональное зерно, которое лично я вижу в данной идее. Если люди хотя бы научатся отличать фишинговые сайты от настоящих, не загружать в социальные сети сканы паспортов и делать другие дилетантские с точки зрения ИБ вещи, то ситуация сможет измениться к лучшему.
Сейчас в России обсуждается разработка новой концепции информационной безопасности? Какой смысл в изменении концепций и подходов?
У нас обсуждают многие вещи, но, к сожалению, не любят привлекать к таким обсуждениям тех, кто в этом разбирается. Разработчиков решений в сфере информационной безопасности в России можно пересчитать по пальцам одной руки, но я не слышал, чтобы кого-либо из их представителей привлекали к таким обсуждениям.
Желание обновить такой важный для страны документ, адаптировать его к современным реалиям, абсолютно нормально. Информационная безопасность – не та сфера, где можно принять однажды и навсегда какие-либо стандарты. Но отсутствие связи с профессиональным сообществом делает эти попытки малоэффективными.
Давайте вспомним недавнее принятие нашумевшего «закона о забвении». После его принятия компании, занимающиеся интернет-поиском, оказались в странной ситуации. На них могли подать в суд за информацию, которую где-то кто-то разместил без их ведома и участия. Я боюсь, что обсуждение концепции информационной безопасности страны за закрытыми дверями приведет к таким же результатам.
Как вы считаете, возможны ли в будущем атаки из онлайна в оффлайн? Возможен ли сценарий технологического коллапса, вызванного хакерскими атаками?
Такие атаки возможны уже сегодня, и более того, уже есть примеры. Например, случай обнаружения вируса Stuxnet на иранском ядерном объекте. Позже выяснилось, что вирус был написан специально для системы корпорации Siemens, которая управляла этим объектом. Он использовал несколько уязвимостей, о которых никто раньше не знал, и смог существенно замедлить работу Ирана над своей ядерной программой.
В будущем возможностей для таких атак станет больше. «Умная» электроника, интернет вещей – это всё уже не завтрашний день, а сегодняшний. Поездами, самолетами, автомобилями, заводами и атомными электростанциями управляет программное обеспечение. Злоумышленник, получающий доступ к этим системам, способный обнаружить и использовать уязвимости в них, становится опаснее, чем целая группировка террористов с автоматами и взрывчаткой.
Еще одна очень актуальная проблема в этой сфере – это контроль работы персонала автоматизированных систем. Происходит авария на предприятии – появляется необходимость установить, что именно её спровоцировало. Была это ошибка оператора, или атака на систему, или, может быть, проектировщики системы не предусмотрели такого развития событий… Сегодня такие системы широко применяются для контроля работы биржевых брокеров, но я думаю, что в будущем они появятся во многих отраслях.
Почему до сих пор ни одной стране в мире не удалось разработать идеальную концепцию информационной безопасности и реализовать ее на практике?
Председатель совета директоров Группы компаний «SearchInform» Лев Матвеев
Вопрос в том, что считать идеальной концепцией. Каким условиям она должна удовлетворять? Представления об идеалах у всех разные. Поэтому приходится искать некий компромисс, который, конечно, далек от идеала, зато работает. То же самое с реализацией. Пишут правила одни люди, реализуют другие. Не всегда у вторых есть возможность получить пояснения по поводу каждой запятой, которую поставили первые. Соответственно, возникают определенные шероховатости в реализации, без которых не обходится ни один реальный проект.
Можно ли говорить о том, что в России уровень информационной безопасности достаточно высокий? Что нужно сделать на государственном уровне, чтобы добиться в плане защищенности более высоких результатов?
Мы проводим ежегодные исследования на предмет защищенности организаций России и ближнего зарубежья от информационных угроз. К сожалению, наши цифры говорят о том, что всё не так радужно, как хотелось бы. В среднем, 44% компаний в России допускают утечки информации – вряд ли это свидетельствует о высоком уровне защиты. DLP-системы, которые защищают от утечек, внедрены только в 15% организаций. Только в 9% компаний есть отдел информационной безопасности, в остальных этими вопросами занимается кто придется. При этом ситуация по регионам в целом достаточно однородная, немного лучше только в Москве и Санкт-Петербурге, где высокая конкуренция заставляет искать средства защиты от информационных угроз.
Государство сегодня может повлиять на эту ситуацию, прежде всего, закреплением на законодательном уровне ответственности компаний за утечку данных. В нашем законодательстве много нестыковок. Например, охраняя банковскую тайну, оно предусматривает санкции только для непосредственного виновника её разглашения. Но не для банка. Еще хуже ситуация в гостиничной сфере, где никто вообще не отвечает за скан-копии паспортов постояльцев. Нужны простые и понятные всем участникам рынка правила, которые бы работали во всех сферах. Тогда можно будет говорить о приемлемом уровне информационной защищенности.
Сегодня много говорится про интернет-вещей. На практике люди окружают себя устройствами, подключенными к сети. Это может заставить киберпреступников взять на вооружение инновационные методы атак?
Киберпреступники внимательно следят за прогрессом, ведь это их хлеб. Не так давно исследовательская компания Proofpoint смогла отыскать целую зомби-сеть из устройств «интернета вещей»: холодильников, телевизоров, мультимедийных центров… Эта сеть использовалась для рассылки спама, каждые сутки она была способна отправлять по 750 тысяч писем.
Другой, более серьезный пример – использование IP-камер, подключенных к интернету. Они могут использоваться для получения конфиденциальных данных о владельцах. С их помощью можно следить, дома ли хозяева, и использовать эту информацию в преступных целях. Один из производителей таких камер, компания TRENDnet, была вынуждены выплатить по 16 тысяч долларов пользователям, пострадавшим от взлома.
Дальше ситуация будет развиваться по нарастающей. Представьте, какую угрозу могут представлять те же дроны, если к ним удастся получить доступ третьим лицам.
В каком случае вы бы выступали за полное отключение интернета в России? Возможен такой сценарий в будущем?
Для начала, стоит задать другой вопрос: а возможно ли это технически? В настоящее время, насколько мне известно, нет технической возможности гарантированно оставить всю страну без интернета. Весной этого года уже проводился эксперимент по перекрыванию доступа по магистральным каналам. Да, трафик тогда падал значительно, но всё же не до нуля. Даже если физически обрезать все провода, которые ведут в Россию (а ведь не на острове живём!), все равно останется спутниковый интернет. Да, он очень дорогой и ненадежный, но тот, кому сильно нужно, сможет им воспользоваться.
Лично я не думаю, что отключение целой страны от интернета не способно решить какие-либо проблемы – только создать новые.