Н. Касперская о защите от утечек как о вопросе нацбезопасности
Президент ГК InfoWatch Наталья Касперская в интервью телеканалу «Спас» рассказала о защите от утечек персональных данных. Помимо ситуации с утечками темами передачи с Натальей Касперской стали риски использования современных технологий, роль информационной безопасности при их внедрении, а также опасности, подстерегающие людей в интернете, для защиты от которых необходимо соблюдать правила поведения в сети.
Правила поведения в интернете — условие безопасности его пользователей
Многих люди видят опасность в той вседозволенности, которая есть сейчас в интернете. Но когда встает вопрос о наведении порядка в Сети, возникают опасения, что ограничения будут носить скорее декларативный характер. Как можно решить эту проблему?
Правила должны быть введены в любом случае. Изначально интернет возник как место для свободных коммуникаций. В то время это не вызывало проблем, поскольку Сетью пользовались в основном профессионалы. Однако с течением времени она стала общедоступной, и в интернете начали действовать разного рода мошенники и манипуляторы, которые пользовались его преимуществами для совершения преступлений. В первую очередь это отсутствие личного контакта оффлайн и возможность скрыть свою личность, что позволяет замаскировать себя под другого человека и при необходимости уйти от преследования. Поэтому оставлять данную сферу без контроля просто опасно для ее пользователей.
Здесь можно привести аналогию с автомобилями. Когда они только появились, никаких правил дорожного движения не существовало, и они могли ездить по городам как угодно. А затем, когда машин стало больше, появились светофоры, ограничения скорости и обязательные техосмотры. Сегодня эти вещи уже не кажутся нам чем-то странным и излишним. Уверена, что также будет и с правилами поведения в интернете.
Сейчас с помощью Сети, по последним данным, совершаются уже более 80% преступлений, поскольку, если с квартирными кражами бороться научились, то в интернете остается множество лазеек для незаконного обогащения. Но процесс введения ограничений уже запущен, и я надеюсь, что он принесет свои плоды.
Нужна здесь и просветительская работа, которая также уже ведется. Например, мне нравятся ролики, которые создаются Центробанком о современных методах мошенничества. Они показываются в транспорте и других общественных местах, тем самым предупреждая людей о тех рисках, которые им грозят.
В качестве альтернативы западной модели интернета часто приводится китайский путь. Однако он подразумевает не только введение ограничений, но и создание полноценных альтернатив таких сервисов, как Википедия или YouTube. Может ли это произойти в России, и что для этого необходимо?
Википедия — это проект, который очень сложен в реализации. И я не думаю, что нам действительно нужен ее российский аналог. Дело в том, что статьи для этого сайта пишут обычные пользователи, и чем больше материалов подготовил конкретный человек, тем выше у него рейтинг — причем, вне зависимости от их тематики и его уровня компетентности. У меня был давний интересный опыт, когда я самостоятельно пыталась исправить статью в Википедии, посвященную мне самой, где было множество фактических ошибок — например, в дате рождения, количестве детей, моем опыте работы и т.д. Очевидно, что свою биографию я знаю лучше всех, однако поменять в этой статье я ничего не смогла, поскольку ранее не занималась наполнением Википедии и не имею необходимого рейтинга. Правильно ли это? Не думаю. А если говорить о современной ситуации со статьями на политическую тематику, то их сейчас пишут в основном украинцы. Возможна ли в такой ситуации какая-то объективность? Тоже вряд ли.
Таким образом, налицо несовершенство самих принципов построения Википедии. Поэтому, вместо того, чтобы делать ее клон, нам стоит заняться созданием энциклопедии, статьи для которой будут составлены специалистами в своих областях.
Если же говорить про YouTube, то тут нужно понимать, что это очень большой проект, который требует использования огромного количества серверов для хранения видеороликов. Поэтому стоимость его реализации составляет десятки миллиардов долларов. Самый близкий аналог такой площадки в России — это Rutube. Я понимаю, что здесь можно мне возразить, что он «не тянет» такую нагрузку. С этим действительно есть проблемы, поскольку изначально данная площадка совсем не планировала заменить собой западный сервис. По этой причине Rutube, даже при его нынешнем темпе развития, понадобится еще много времени для того, чтобы действительно стать отечественной альтернативой YouTube.
Достигнуть уровня Microsoft, прямо сейчас
А как дела обстоят в области программного обеспечения?
Ту же самую ситуацию мы видим и по многим направлениям развития софта. Если до 2022 года российские госкорпорации с радостью использовали западное ПО, то сейчас, когда его разработчики ушли с рынка и отключили свои облачные решения, они требуют от российских компаний альтернативы уровня Microsoft и прямо сейчас. Так просто не бывает, ведь лучшим продуктом обладают те организации, в которые длительное время инвестируют потребители. В то время как западный софт активно закупался российским бизнесом, отечественные разработчики жили и развивались на очень скоромные средства — разве что, за исключением нашей сферы информационной безопасности, где действительно раньше большинства сфер происходило импортозамещение. Поэтому, мы ждем инвестиций от потребителей — в первую очередь, крупных. Именно они – важнейшее условие дальнейшего прогресса.
Какова сейчас ситуация с утечками данных в России?
Мы в InfoWatch вот уже несколько десятилетий коллекционируем разнообразные утечки данных и следим за их динамикой. В 2022 году произошел огромный всплеск количества таких инцидентов — причем, как в мире, так и в России. В результате объем скомпрометированных данных в нашей стране уже, как минимум, втрое превышает численность ее населения. И если ранее преступления совершались в основном для дальнейшей перепродажи данных, то сейчас в качестве мотива, в основном, выступают политические предпосылки. Особенно злоумышленники интересуются базами участников спецоперации и их семей, ради получения которых они готовы покупать людей внутри организаций, которые ими обладают (например, системных администраторов и т.д.). Таким образом, защита от утечек стала вопросом национальной безопасности, и отношение к ней должно быть соответствующее. Тут необходим комплексный подход — начиная от широкого внедрения систем защиты от утечек (DLP-систем) и заканчивая ужесточением личной ответственности специалистов, допустивших кражу информации.
Ранее в своих выступлениях вы говорили о рисках ускоренной цифровизации экономики. Что вы имели ввиду?
Цифровизация не может вестись без одновременного внедрения средств безопасности, которые соответствовали бы рискам, возникающим в этом процессе. Здесь меньше всего повезло тем российским организациям, которые наиболее активно внедряли цифровые сервисы, не задумываясь о последствиях. Дело в том, что системы безопасности крайне дорого, а подчас и невозможно установить задним числом. И это обстоятельство ставит компании, поспешившие с цифровизацией, в особенно уязвимое положение — особенно сейчас, когда риски возросли многократно. Поэтому в модель цифровизации обязательно должна закладываться модель угроз. Иначе мы будем видеть в лучшем случае лежащие сервисы, а в худшем — столкнемся со случаями отключения ИТ-инфраструктуры.