В Рф нельзя говорить о кибербезопасности

Президент ГК InfoWatch Наталья Касперская выступила в прямом эфире программы «Позиция» Русской Службы Новостей.

Мы публикуем его полный текст.

И. ИЗМАЙЛОВ: Добрый вечер. С нами сегодня Наталья Касперская, генеральный директор группы компаний InfoWatch, основатель "Лаборатории Касперского". Наталья Ивановна, приветствую вас.

Н. КАСПЕРСКАЯ: Добрый день.

И.И.: Много вопросов, связанных с информационной безопасностью и нас как частных лиц, и страны. Если говорить в целом, вы профессионально занимаетесь этой темой, наша страна сегодня в условиях международной ситуации вообще, можно сказать, что мы защищены, что с точки зрения утечки данных, с точки зрения той же самой информационной безопасности у нас всё нормально? С одной стороны, на бытовом уровне мы все пользуемся устройствами, которые не у нас сделаны и не на наши серверы заточены. Мы подозреваем, как физические лица, что нас подслушивают, наши данные забирают туда, что с ними делают, мы не знаем. И как страна, хранение данных, информации, всего остального.

Н.К.: Вы наполовину сами ответили на свой вопрос. Понятно, что в стране, где большинство средств информационных технологий не принадлежат нашей стране, а закупается за рубежом, говорить о безопасности довольно проблематично. Если с точки зрения программного обеспечения, мы хотя бы теоретически можем себя обеспечить, то с точки зрения железа у нас всё обстоит довольно печально. Причём в разных областях, начиная от мобильных устройств, смартфонов и заканчивая тяжёлыми серверами.

У нас даже есть какие-то предприятия, которые занимаются сборкой, но это именно сборка, а не производство, потому что ключевой вещью является наличие собственной системы производства отдельных компонентов. У нас в Советском Союзе существовала микроэлектроника. И довольно хорошее было производство. Оно, может, отставало, разные есть мнения по качеству, но, по крайней мере, это было нечто своё. Сейчас мы оказались в серьёзной зависимости. Проблема с этим, во-первых, в том, что теоретически в любом чужом железе могут находиться любые элементы, закладки, которые могут приводить к любым нежелательным последствиям, вплоть до выключения одномоментного всей этой груды железа на территории РФ. На самом деле, всё современное оборудование, как правило, имеет в себе встроенные антенны и так или иначе связывается с Интернетом. Сейчас очень модна тема интернет-вещей, которая всё больше внедряется в нашу жизнь. У меня всё время встаёт вопрос, зачем чайнику нужен Интернет, но тем не менее это такой тренд. Такое небольшое улучшение функциональности в обмен на очень серьёзные риски на самом деле. То, что в том железе есть радиоантенна, вообще говоря, это чудовищный риск, который состоит в том, что на это железо можно влиять.

И.И.: Мы программно не можем препятствовать доступу противника к нашим устройствам, мы не можем поставить антивирус, который запретит отсылку условному iPhone или какому-нибудь любому смартфону кому бы то ни было информации?

Н.К.: Проблема в том, что, как правило, все антивирусы и аналогичные продукты работают на более высоком уровне. Да, есть железо, это совсем низкий уровень, это уровень программных команд. Есть уровень операционной системы. И есть уровень выше. Всё, что выше операционной системы, все приложения, то, с чем обычно люди работают. Закладки в железе идут на уровне железа. И если вы работаете на более высоком уровне, то, как ни мечитесь, вы проникнуть на более низкий уровень не можете.

И.И.: А низкий имеет возможность доступ к любому?

Н.К.: А низкий имеет возможность получать доступ к чему угодно.

Кибербезопасность: как огородиться от интернет-атак

И.И.: Вы довольно последовательно говорите о том, что нужно определить само понятие кибербезопасности, с чем мы сегодня сталкиваемся. Вот проходят военные учения в рамках Минобороны всей страны. Мы знаем, что и Минкомсвязи проводит учения, связанные с возможностью отключения нашей страны от Интернета. У нас есть сегодня понимание спектра угроз, с которыми мы можем столкнуться? И что нам надо делать?

Н.К.: Слово "кибербезопасность", вы прямо наступили на больную мозоль. У нас довольно парадоксальная безопасность сложилась в стране, при том что существуют киберугрозы, нет как такового понятия «кибербезопасности». Точнее, оно как бы есть, но оно не определено в законе как отдельное законодательное понятие. При этом, когда ты говоришь слово "кибербезопасность" или "киберугроза", все прекрасно понимают, о чём идёт речь. Но в законе не определено. Есть понятие "информационная безопасность". Информационная безопасность — это некая совокупность информации, которая должна защищаться определённым принципом, целостность там, конфиденциальность, доступность. Например, вирусная атака, которая не нарушает конфиденциальности информации, а например, троянец, который просто наблюдает. И при какой-то удалённой команде он может совершить разрушительные действия. Этот наблюдающий троянец не нарушает целостность информации. И с этой точки зрения он не является каким-то препятствием. И это очень странная история. Я хочу сказать, что эти вирусы и другого рода угрозы, те же самые закладки, должны быть в другом поле, они должны быть специальным образом определены. Вот США, для примера, проводит учения своих кибервойск. А  у нас они вроде даже есть, но они тоже недоопределённые. И при этом я совершенно не понимаю, почему мы не можем ввести это понятие. Понимаете, кто называет понятие, тот им и владеет. У нас как бы вроде как и нет такой проблемы. Хотя и количество вирусов у нас не меньше, угроз. Их там можно много перечислять, они же самые разнообразные. У нас они точно так же гуляют. А понятия нет. Вот мы и не боремся.

И.И.: То есть в юридической плоскости?

Н.К.: Да. Я считаю, что это серьёзная проблема.

И.И.: Есть контакты в Минкомсвязи? Вы с ними контактируете?

Н.К.: Конечно. Это же наше профильное министерство.

И.И.: Они как смотрят на эту проблему? Депутаты как смотрят? Есть же депутаты профильных комитетов, которые сами довольно контактны, сами всегда в Сети находятся, адекватно реагируют на все эти вещи?

Н.К.: Я с кем не говорю, все как-то за. Но почему-то дело не движется. Видимо, есть какие-то препятствия, о которых мы не знаем.

"Пакет Яровой": как удешевить хранение информации

И.И.: Это нашумевший "пакет Яровой" в какой степени может изменить ситуацию? Он как-то рядом, он про это или он про другое?

Н.К.: "Я думаю, нашумевший "пакет Яровой" — это такая попытка обратить внимание общества на существующие проблемы"

Он вызвал очень много шума, крика, что зажимают свободу слова, несчастных провайдеров, операторов, теперь им жить невозможно. Они, правда, разняться в оценках ущерба на два порядка, что довольно смешно. Они хоть договорились бы между собой. Но там, конечно, есть недоработки. Мне кажется, что это сделано специально, с целью произвести такой шоковый эффект, чтобы все вздрогнули, а потом через какое-то время шок пройдёт, и дальше уже спокойно принять соответствующий ограничительный закон. То, что ограничительные законы нужны, это очевидно. Тем более что есть государство в мире из трёх букв состоящее, которое у себя всю информацию записывает и собирает. Но мы-то почему не можем всю информацию собирать и записывать?

И.И.: Но там эти расходы на себя берёт государство.

Н.К.: Я считаю, что это правильно. Это государственная безопасность, государство должно брать на себя расходы. Понятно, что это довольно дорого. Но, с другой стороны, можно снизить стоимость путём определённых программных ухищрений, путём сжатия или определённым способом хранения по ссылкам, необязательно же 10 раз копировать один и тот же фильм. Кроме того, если это будет делать в одном месте, то можно сэкономить за счёт того, что, если каждый провайдер будет у себя хранить, он будет вынужден хранить все сообщения между пользователями там "Билайн" и МТС, значит, будет хранить "Билайн" и МТС у себя. И соединять их будет трудно. Помимо хранения, помимо того, что можно сэкономить на хранении, если это дело государства, резко сокращается задача поиска. Потому что если это у трёх операторов, то решить задачу оперативно-розыскной деятельности будет  весьма затруднительно.

И.И.: На данный момент, задачи, которые ставятся, не могут быть решены? Система оперативно-розыскных мероприятий, которая работает на каждом операторе, позволяет при необходимости спецслужбам получить информацию, с чем, наверное, никто и не спорит. Этого недостаточно?

Н.К.: Да. Но речь идёт о ретроспективе, о том, что будут храниться данные за много времени, пока это время определяется. Я думаю, что оно должно увеличиваться. Именно ретроспектива всех пугает, потому что это большие хранилища.

И.И.: Тут вопрос об утечках, о безопасности, насколько хорошо мы сумеем хранить и работать с информацией. Я вот посмотрел, у вас громадное количество партнёров, компании, с которыми вы работаете, из них очень много государственных органов, госструктур, Минобороны пользуется вашими услугами. Можно ли сегодня говорить, что защищены данные государственной важности? С другой стороны, из других интервью я видел, вы говорите о государственной тайне, чиновники, которые допущены к гостайнам, у нас все депутаты ходят с iPhone, и они все допущены. При этом будут хранить колоссальный объём данных. Можем сегодня гарантировать неутечку?

Н.К.: В большинстве режимных предприятий, которые либо работают по гостайне, либо работают по каким-то военным заказам, устройства мобильные сейчас запрещаются, либо запрещены, либо они изымаются на входе, либо ещё как-то. Человек, находящийся на территории режимного объекта не может пользоваться смартфоном. Это, конечно, с одной стороны хорошо. С другой стороны, это правило может нарушаться, если только не ставить глушилки. Я была на некоторых объектах, где просто твой телефон превращается в кирпич. И, наверное, это правильно. И пока мы не придумаем, что с этим делать, мы будем жить в такой дуальной логике. Либо совсем нет, либо если ты его включаешь, то ты сразу оказываешься абсолютно открыт всем ветрам. Потому что спасти информацию с iPhone гораздо труднее. Там слишком много протоколов, слишком сложная система, может информация отправляться через bluetooth, через Wi-Fi, она распространяется пакетами, кусками, её перехватить невозможно. Даже если ты перехватил, ты перехватил кашу. Мы придумали на самом деле добавку в свой продукт, который перехватывает на телефонах, он садится на низкий уровень и пытается перехватывать информацию. Но проблема в том, что количество этих самых смартфонов огромное, а коль скоро модуль садится на низкий уровень, это значит, что мы априори ограничены определённым железом. Мы сейчас поддерживаем шесть моделей Android и два iPhone. А всего их порядка четырёх тысяч. Если взять все комбинации всевозможных производителей и операционных систем. Понятно, что такой зоопарк никто поддерживать не может. Это значит, что будет какая-нибудь штука, надстройка, которая условно называется безопасностью. Есть такие системы, называют MDM, которые как раз представляют из себя приложения, ставятся они поверх, они смотрят, но по большому счёту это фикция.

И.И.: А что-то на законодательном уровне мы можем сделать обязывающее, например, производителей телефонов? Что нам делать? Железа своего пока у нас нет.

Н.К.: Мы пытаемся сделать свой смартфон. Думаю, рано или поздно мы его дожмём. Это оказалось довольно сложной задачей, но теоретически, я считаю, мы как страна можем осилить собственный мобильный телефон. Потому что если брать компьютер, то это сложная задача, процессор и так далее, и всё железо воспроизвести полностью, наверное, трудно. А если перескочить сразу на планшет, то у нас довольно много чего есть. Я знаю инженерные команды, которые вполне себе делают неплохие штуки. Скажем, по робототехнике и чему-то ещё. Тот же самый Интернет вещей, о котором сейчас говорят, а это будет набор неких компонентов, которые будут соединяться с Интернетом, вполне возможно, что они будут просто отечественного производства.

И.И.: То есть Россия может сегодня сделать под ключ собственное устройство?

Н.К.: Какие-то штуки — да, безусловно. У нас проблема с организацией массового производства. У нас нет заводов, которые могли бы делать продукт массово. Мы искали в России, не нашли. И нам пришлось обращаться в Китай, и в Китае делать серию. Может, они есть, может, мы плохо искали. Если мы умеем делать ракеты, то уж какие-то смартфоны можем научиться.

И.И.: Можем, но как-то не получается, тут, наверное, вопрос ещё экономики.

Н.К.: Я думаю, вопрос экономический в значительной степени. Хоть вот Yota, YotaPhone пытались же сделать. Но опять же — он сделан весь на иностранных компонентах в значительной степени. Операционная система там тот же Android, а это сразу дыра в безопасности. Хотя можно взять же линуксовую систему, точно так же её заточить самим под данное устройство.

Завтра война: Россия останется без Интернета?

И.И.: Тогда надо свои собственные серверы. Вот если завтра война. Мы сами можем отключить Интернет или нас могут отключить, что тогда? У нас будет какой-то сегмент?

Н.К.: Я думаю, нас не отключат от Интернета, потому что это невыгодно с информационной точки зрения. Гораздо выгоднее пытаться воздействовать на население тем или иным способом, имея к нему прямой доступ. Тем не менее вопросы такие поднимаются. И я знаю, что идут дискуссии на разных уровнях, что делать и как нам спастись. Вообще говоря, если нас захотят отключить, то отключить можно. И мы с этим ничего сделать не можем.

И.И.: Мы не сможем автономно работать, как Китай, КНДР?

Н.К.: На текущий момент есть много препятствий к этому. Но я думаю, что такой сценарий маловероятен. Я думаю, что, скорее всего, начнётся  очень мощная информационная атака, информационные войны. И Интернет для этого идеальная среда, очень удобно его использовать. Поэтому я бы даже такой сценарий не рассматривала. Я бы рассматривала скорее сценарий борьбы с информационными атаками. Такие концепции, пробы пера, уже случались. Были информационные атаки на крупные системные учреждения и на банки. Достаточно вспомнить атаку 2014 года, когда с украинских аккаунтов посыпались крики о том, что, граждане, снимайте деньги, Сбербанк закрывается. К чести банка надо сказать, что они сумели быстро её погасить. Довольно быстро, вся эта ситуация заняла, по-моему, 12 дней. Но 12 дней было непонятно, что будет, потому что огромные вливания сделал ЦБ, как мне рассказывал очевидец, деньги возили самолётом. И это ключевой банк страны, его, конечно, поддержали, если бы такого рода атака была совершена на банк поменьше, то неизвестно, выстоял бы он. Сейчас это известно, и за прошлый год было уже три атаки на такие системные банки, но они гораздо быстрее адаптируются, понимают, что это такое, начинают как-то бороться. Хотя, конечно, атакующий всегда находится в привилегированном положении по сравнению с защищаемым объектом, потому что он может выбрать направление атаки, которое атакуемый не знает. А защититься от всего невозможно. Поэтому ты рассматриваешь какую-то модель угроз.

И.И.: Вот Интернет вещей, платёжные системы у нас все на Интернете, камеры ЦУД, светофоры. Если будет поставлена задача, серьёзно могут навредить нам? Тут, наверное, об экономике речь идёт в первую очередь.

Н.К.: Больше всего, конечно, пугают критически важные объекты. Правда, последнее время заметилось торможение в проникновении новых информационных технологий в эти системы вплоть до того, что на некоторых предприятиях отказываются, обратно переходят на ламповые компьютеры. Но, вообще говоря, конечно, риск есть. Я-то как раз, поскольку я занимаюсь информационной безопасностью, не сторонник такого быстрого развития технологий. Я считаю, что надо, прежде чем огульно внедрять всё, хотя они такие хорошие, удобные, модель угроз просчитывать и внимательно думать о том, а что если. И тогда, может быть, мы сумеем себя защитить.

И.И.: Какие первоочерёдные меры, кроме юридической сферы, о которой мы говорили, что нужно сделать нашей стране прямо сейчас, чтобы не отстать, чтобы быть защищённой?

Н.К.: С точки зрения кибертерроризма я бы двигалась в двух плоскостях. Конечно, это меры защиты. Это и программные средства, и аппаратные средства, их довольно много, они разнообразные. Кроме того, второе направление, как ни странно, это деинтернетизация, то, что сейчас очень сильно двигают, Интернет вещей, то, что это необходимо, я бы с осторожностью подходила, особенно на предприятиях, так или иначе связанных с военной промышленностью, с критическими объектами, с любыми предприятиями, которые управляются электроникой. А у нас сейчас электроника — практически всё. Например, система железных дорог. Или вообще транспорта. Представим себе, что в эту систему внесли какой-то хаос.

И.И.: Это автономные системы? Или они тупо к Интернету тоже подключены?

Н.К.: Они по-разному подключены. Но всё это управляется автоматически, это управляется компьютерами, причём компьютеры эти стоят на разных уровнях. Они примитивные довольно, простые, потому что они выполняют ограниченное количество команд. Но всё больше и больше распространяется Интернет и туда тоже. Понятно, что Интернет несёт угрозу. Я не говорю про новые автомобили. Например, последние серии BMW, все в обязательном порядке имеют встроенную антенну, которую невозможно выключить, её невозможно найти, сервис не знает, где находится эта вторая антенна. Она передаёт сигнал куда-то там о том, что машина работает и об её техническом состоянии. Там есть какая-то симка Vodafone, которая оплачивается производителем этого автомобиля. Видимо, им это выгодно, что они могут контролировать состояние техническое своего автомобиля. И, если автомобиль, например, не проходит сервис или не проходит определённых процедур, его можно удалённо остановить. Меня, например, это пугает, что автомобиль превратится в груду железа. Хорошо, если он превратится, когда он стоит в гараже. Гораздо хуже, если он превратиться в эту груду, когда он мчится по трассе со скоростью 100 километров в час.

И.И.: С другой стороны, тут наши законодатели могут подставить плечо и обязать таких вещей не делать.

Н.К.: Это очень сложно проверять. Об это надо знать. Это, конечно, надо каким-то образом пропагандировать. Наверное, нужны соответствующие законы, потому что здесь беспредел возможен совершенно колоссальный. Были же известные случаи, когда обнаружили некие закладки в чайниках китайских. Поэтому, с какой стороны ожидать удар, совершенно непонятно. Некоторые просто развлекаются, чтобы понять, насколько глубоко можно проникнуть в ту или иную систему. В принципе, думаю, есть и целенаправленные разработки для того, чтобы иметь контроль в любой момент времени.

И.И.: Прогресс мы не можем затормозить. У нас на высшем уровне все демонстрируют пользование мобильными устройствами, iPhone, iPad. Как в этих условиях? Что можно сделать?

Н.К.: Я вижу только изобретать собственные устройства. Вытащить у людей из рук привычные, приятные, удобные устройства — малореалистичная задача. С другой стороны, ФСБ в своё время разработала концепцию защищённого телефона, даже был выпущен один. Он кнопочный, с закрывающейся крышкой обязательно, потому что должно быть размыкание сигнала. К сожалению, эта система оказалась совершенно неживучей, потому что любая поломка означала, что устройство надо отправлять на завод и месяц ждать, пока его там починят. Причём любой сбой в программном обеспечении, в самом устройстве. Нам, очевидно, нужен какой-то компромисс. Наверное, не стоит изобретать велосипед на ровном месте, а брать то, что есть, что можем проверить, то, из чего мы можем собрать. Писать собственные операционные системы, опять же, на базе готовых. Есть же свободное программное обеспечение, как ты ни крути, оно хотя бы открытое. Это не закрытый код, в него можно заглянуть. Это не значит, что туда нельзя напихать закладок. Понятно, что можно. И их будет трудно обнаружить. Но тем не менее это открытый код, здесь уровень угроз чуть поменьше. Взяв его за основу, можно устанавливать на какие-то свои устройства. Я бы всё-таки в эту сторону смотрела, чем в сторону запретить, отнять.

И.И.: ФБР ставит терроризм на одно из последних мест среди угроз для кибербезопасности. Говорят, что экстремистские группировки, включая ИГ*, научились пользоваться Интернетом для агитации и вербовки своих сторонников. ФБР пока не отмечает, что они создают потенциал для компьютерных взломов.

Н.К.: Заметьте, что тут смешаны сразу две угрозы в одну кучу. Это угроза вербовки, то есть это информационное воздействие, психологическое воздействие, заманивание. И вторая это, собственно, кибератаки. Это надо разделять, потому что вербовка проводится, были сайты, которые закрывал Роскомнадзор у нас в стране, которые занимались вербовкой в ИГИЛ. С другой стороны, могут ли они заниматься созданием боевых компьютерных вирусов? Мне представляется, возможно, я здесь недооцениваю, что это довольно маловероятно, потому что это люди в большей степени привыкли воевать  в поле с винтовкой, а создание кибероружия, здесь скорее нужны сильные мозги. Здесь надо ожидать либо спецслужб, либо крупных группировок, людей, которые получили высшее образование, этим долго занимались. Мне кажется, тут не надо смешивать. Как только ты смешиваешь, сразу непонятно, с какой угрозой мы боремся. Потому что угроза вербовки абсолютно реальна и серьёзна. С этим надо очень серьёзно бороться, но они тоже хитрые. Они тоже не хотят, чтобы их сайт закрыли, поэтому они эти сайты в разные места меняют, они очень активно используют соцсети. А соцсети заметим себе, интересно, вот Facebook, это соцсеть, которая передаёт данные, общается с пользователем по закрытому протоколу. То есть просто так войти в Facebook нельзя для того, чтобы вытащить из неё данные и посмотреть их, почитать. Причём они делают это специально. Они всё больше и больше закрывают все эти форматы. Если раньше общение основное проходило по протоколу HTTP, но сейчас протокол HTTPS. И это настойчиво пропагандируется как необходимый аспект безопасности. Оно, конечно, так — с одной стороны. А с другой стороны, это аспект закрытости, это значит, что эти самые соцсети открыть и почитать, только если глазами. А сколько людей тогда надо. А на сотрудничество они не хотят идти ни в коем случае. И единственный способ вот здесь борьбы я вижу законодательный, это передача сертификатов на шифрацию в тот же Роскомнадзор. Пусть отдают сертификаты, чтобы наши органы уполномоченные могли читать эти данные в любой момент. Потому что в противном случае создаётся очень странная история. Наши граждане получается, совершенно незащищены перед излучением со стороны организаций. А если нет, да, придётся закрыть.

И.И.: Ещё Клименко поддерживает призыв родителей к родителям блокировать детям доступ в Интернет. Министр выступил на общероссийском родительском собрании. Вы как считаете, что с жёстким вопросом здесь?

Н.К.: Сложный вопрос, довольно он многогранный. Потому что совсем запретить, я считаю, неправильно. Мы же проходили историю Советского Союза, когда было очень много чего под запретом. И люди считали, что если запрещено, то это что-то хорошее, обязательно пытались это что-то достать, те же самые книги, которые распространялись в самиздате. Поэтому, как только ты что-то запрещаешь ребёнку, у него появляется интерес. А уж найти доступ в Интернет в нашем мире не представляется сложным. Второй проблемой является то, что уровень подготовки родителей по информационным технологиям зачастую ниже, чем уровень подготовки их детей, потому что они рождаются с этими устройствами. У меня десятилетняя дочь совершенно свободно с ним общается, если мне что-то надо новое с ним сделать, я дочь прошу. В этом смысле, ну буду я запрещать ей доступ в Интернет, это довольно смешно. Мне кажется, с одной стороны, здесь надо вести работу разъяснительную и с детьми, и с учителями, родителями. С детьми причём я вообще считаю, с детского сада на простом, понятном детям языке, что вот эти красивые картинки могут нести в себе угрозу. И дальше на уровень школы и выше. И, кроме того, использовать технические средства, которые бы не давали в Интернете размещать плохую, противоправную, вредную для здоровья информацию. У нас же введено это ограничение по возрасту. Ребёнок не должен иметь возможность просто так в один клик попасть, например, на порнографию.

Подпишитесь на рассылку INFOWATCH