В рамках нашего общего проекта с ЕС «Европа рядом» мы сталкиваем в виртуальном диалоге коллег по разные стороны русско-европейской границы: учителей истории, урбанистов или юристов.
На этот раз мы обращаемся к одной из самых новых и горячих сфер — кибербезопасности, которая все чаще становится предметом политических и экономических скандалов.
Как обстоят дела в этой области, Арнольд Хачатуров выяснял у россиянина Алексея Лукацкого, консультанта по информационной безопасности в компании Cisco Systems, автора пяти книг и популяризатора, а также у британца Грэма Клали, независимого эксперта, ветерана индустрии антивирусов, хозяина специализированного блога и YouTube-канала.
Несколько лет назад Европейский союз поддержал проект Сахаровского центра «Гражданское общество и право на тайну частной жизни: новая коммуникативная реальность». Эта тема продолжает сохранять свою актуальность и по-прежнему находится в центре общественной дискуссии, в том числе среди правозащитников и гражданских активистов.
Алексей Лукацкий
консультант по информационной безопасности в компании Cisco Systems
— В чем сегодня состоит работа эксперта по кибербезопасности?
— Эксперт по кибербезопасности — это очень объемное понятие, примерно как «чиновник». Бывают совершенно разные типы специалистов. Есть те, кто занимается созданием систем защиты; есть инженеры, которые настраивают маршрутизаторы, антивирусы, межсетевые экраны и средства шифрования; есть люди, которые занимаются продажами; есть те, кто пишет законодательные и нормативные акты; наконец, другие эксперты проводят расследования и координируют проекты. Это достаточно большой мир, который скрывается за одним зонтичным термином.
— А чем занимаетесь вы?
— Лично у меня сейчас несколько ролей. Я вхожу в различные рабочие группы при госорганах и отвечаю за продвижение решений по безопасности компании Cisco, выполняю некоторые внутренние функции в службе информационной безопасности Cisco. И я как евангелист пытаюсь объяснять в медиа сложные вещи про кибербезопасность простым языком. А в последнее время моя активность в основном связана с регуляторикой, то есть с экспертизой нормативных документов — Госдумы, Совета Федерации, Совбеза и так далее. С точки зрения обывателя, это совершенно неинтересная работа — таких людей называют «бумажными безопасниками». На самом деле это работа очень важная, но задумываются об этом только тогда, когда появляется какой-то действительно плохой закон. Так происходит со многими вещами из области кибербезопасности: они находятся в подводной части айсберга, пока о них кто-нибудь случайно не напишет.
— А как вы оказались в этой сфере?
— В разные годы я занимался программированием систем защиты, аудитом и продажей средств информационной безопасности (ИБ). За 25 лет работы я прошел практически через все возможные варианты работы в этой области. В 1992 году рынок только-только зарождался, и специалисты из КГБ стали уходить в бизнес, чтобы заниматься защитой коммерческой тайны. Конечно, отдельные продукты существовали и в 1970-х, но они продавались в государственные ведомства, а вся информация была засекречена, то есть это не был коммерческий рынок в полном смысле слова. Так вот, я тоже начинал работать в структурах, работающих на оборонку, а потом ушел в частный бизнес.
— В своем блоге вы разделяете два термина: интернет-безопасность и кибербезопасность. В чем разница?
— В России всегда применялся термин «защита информации». Это было связано с тем, что защита государственной тайны была приоритетной задачей. Потом появился термин «информационная безопасность», который закрепился на уровне всех доктринальных документов. Этот термин включает в себя три больших блока: защита от несанкционированного доступа, наоборот, предоставление доступа и защита от негативной информации. А под «негативной информацией» в разных странах понимаются разные вещи — что в одной стране экстремизм, в другой может считаться оплотом свободы слова. Поэтому, когда Россия попыталась выйти на международную арену с термином «информационная безопасность» — в частности, в ООН, — США выступили категорически против. А кибербезопасность — это западный термин, он предписывает концентрироваться на вопросах технических, тогда как ИБ включает в себя контентную составляющую. Эта нестыковка привела к тому, что два термина существуют параллельно, и грань чувствуют только специалисты. В России термин «кибербезопасность» категорически не приветствуется как продвигаемый иностранцами, но именно он чаще всего используется специалистами, поскольку не имеет контентной (то есть политической) составляющей.
— Существуют ли в России кибервойска?
— Я бы сказал, что это слухи. Есть специальные подразделения в Минобороны и в разных спецслужбах, которые занимаются защитой и сбором информации. Это сбор может иметь разную природу — быть легальным или нелегальным, но это уже другой вопрос. Есть отдельные специалисты, но называть их специальными войсками, как в США или в Китае, все же нельзя.
— Но если пресловутые «русские хакеры» все же существуют, то к какой структуре они могли бы принадлежать?
— С «русскими хакерами» ситуация неоднозначная. Для любого иностранца, особенно американца, русский — это бывший гражданин СССР: украинец, узбек, казах или даже литовец и латыш. Если посмотреть на различные аресты в этой сфере, то в последнее время хакеров из Прибалтики и Средней Азии очень часто называют «русскими». С другой стороны, учитывая высокий уровень школьного образования в СССР, многие программисты действительно стали высококлассными специалистами, выполняющими не всегда легальные действия. Они сидят в разных странах мира, от Америки до Сингапура и Таиланда. То есть это не обязательно человек, который сидит в Москве в здании ГРУ полный рабочий день, как это рисуют западные СМИ. Надо понимать, что, если бы какая-то спецслужба захотела нанять человека на работу, она сделала бы это таким образом, чтобы это нельзя было отследить. Поэтому, когда в качестве доказательства существования «русских хакеров» говорят о том, что в коде вредоносной программы написано «Феликс Эдмундович», это выглядит достаточно смешно. Да, у спецслужб есть свои хакеры, но связать с ними произошедшие атаки сегодня невозможно, по крайней мере, публичных доказательств нет до сих пор. Это признают даже американские эксперты по кибербезопасности. Например, ФБР к расследованию взлома сервера Демпартии не привлекали до сих пор. Все началось с того, что про «русский след» написал американский эксперт по кибербезопасности Дмитрий Альперович.
— То есть на самом деле никакого следа нет?
— В собранных материалах — нет. Как доказательство используется наличие русского языка на сайтах, через которые шли атаки, — при том что там были и другие языки. Или наличие IP, зарегистрированного в России, — при том что в общем количестве их было меньше, чем американских. Или то, что один из вредоносных кодов продавался на российских подпольных форумах, хотя покупать его мог бывший россиянин или вообще подставная фигура (недавняя утечка из АНБ показала, что спецслужбы могут маскироваться под многие хакерские группировки). Другим косвенным доказательством считается совпадение часовых поясов, но в России их девять, а в московском часовом поясе также находятся Турция, Сирия, Ливия, Ирак и Иран, которые не отличаются хорошим отношением к Америке. Поэтому, с точки зрения специалистов по расследованию, доказать эту гипотезу невозможно. Возможно, у американских спецслужб есть какая-то оперативная информация и именно на ней они строят свои обвинения. Если это и так, то узнаем мы это лет через 50, не раньше.
— Как вообще можно достоверно установить личность киберпреступника?
— В международных расследованиях есть несколько подходов к расследованию киберпреступлений. Базовый уровень — это изучение того, откуда осуществляется атака, на кого зарегистрированы IP-адреса и в какое время она осуществлялась. Понятно, что грамотный злоумышленник на этом уровне не попадется, но эти факторы могут лечь в копилку доказательств. Затем идет анализ сетевого трафика и программ, которые используются злоумышленниками в рамках атаки. Хакеры не всегда пишут новые программы и часто используют готовые решения, поэтому по ранее использованному коду можно определить, кто стоит за атакой. Есть также лингвистический анализ кода вредоносных программ, в которых иногда остаются комментарии на каком-то языке. Можно определить национальность хакера и проанализировать сленговые выражения, по которым при достаточно большом объеме информации можно идентифицировать человека. Есть метод стилометрии — определения стилистики школы программистов. Считается, что есть несколько основных школ: российская, американская, китайская, индийская. Наконец, важную роль играют оперативные методы: наличие стукача в группировках, общение на хакерских форумах и в анонимных сетях.
В виртуальном пространстве собирать улики и правда гораздо сложнее, чем в физическом. Информация собирается по крупицам и требует очень серьезных ресурсов, поэтому атрибуцией злоумышленников занимается мало кто. Если мы говорим о компьютерных преступлениях, которые происходят внутри страны, — например, когда хакерская группировка осуществляет проникновение в банк, — то эти преступления очень плохо расследуются. Ни законодательство, ни квалификация большинства следователей не позволяют эффективно проводить расследование. Все процедуры очень бюрократизированы, поэтому к моменту, когда выдаются ордера на сбор доказательств с видеокамер, логов провайдеров связи и так далее, следы оказываются уже затерты.
В России такого рода дела не любят — их считают «глухарями», которые портят статистику. Если на стороне жертвы есть компания, которая может собрать и представить доказательства вместо правоохранительных органов, то такие преступления расследуются и отдаются в суды, которые, впрочем, все равно часто принимают решения не в пользу жертв. Сроки дают условные, преступники выходят из зала суда и продолжают заниматься киберпреступлениями — таких примеров огромное количество. Или уезжают в страны, которые их не экстрадируют. Посадить такого преступника в нынешних условиях очень сложно, учитывая разницу между нормативными актами разных стран и геополитические факторы.
— Международные структуры не сильно помогают в расследовании киберпреступлений?
— Есть, конечно, Интерпол и Европол, но во многом это такие же бюрократические структуры, как наше МВД. Запросы могут игнорироваться или надолго зависать. В США есть отдел по компьютерной преступности в ФБР, есть Секретная служба США, но уровень компетенций работающих в таких структурах людей обычно не самый высокий. Активная компьютеризация началась 20 лет назад, а многие следователи учились гораздо раньше — отсюда неприятие ими новых технологий. Расследования проходят с нарушением процедур, поэтому любой адвокат может отбить все атаки и доказать, что доказательства собраны некорректно. Так что должны смениться одно-два поколения, прежде чем повысится компетентность чиновников, следователей и судей в сфере кибербезопасности. Большое число раскрытых киберпреступлений в тех же США объясняется, скорее, активным использованием сделок со следствием, чем отлично собранной доказательной базой.
— Какой миф о кибербезопасности вы бы назвали самым распространенным?
— Мифов об этом очень много, я в свое время даже написал об этом книжку. Самый популярный миф, пожалуй, состоит в том, что хакер — это одиночка, например, студент, который сидит дома в ночи перед тремя-четырьмя мониторами, вокруг него валяются пакеты с чипсами, а он пытается красть деньги из банков и переводить их на подставные счета. Этот образ существует с 1990-х годов. На самом деле сегодня любая хакерская группировка хорошо организована, она состоит из десятков людей, у каждого из которых есть своя роль. Это программисты, продавцы бот-сетей и неотслеживаемых серверов, охранники, водители, обнальщики, заливщики вредоносного кода, адвокаты, владельцы теневых ресурсов, которые предоставляют площадку с хакерским инструментарием, владельцы магазинов, офшоринговые конторы, колл-центры и так далее. То есть это разветвленные теневые структуры, которые копируют лучшие бизнес-практики, но со знаком минус. Они зарабатывают сотни миллионов долларов и по доходности сопоставимы с торговлей алкоголем и оружием. Но в глазах судей и следователей хакер до сих пор выглядит как какой-то шалун, который что-то случайно натворил и ни в чем не виноват. Поэтому им дают условный срок, что сильно мешает специалистам и привлекает все новые силы по ту сторону баррикад. Молодежь, видя рассказы о колоссальных заработках хакеров, идет в эту сферу, понимая, что самое страшное наказание — это условный срок. Поэтому ситуация семимильными шагами развивается в сторону ухудшения.
— Любой человек может зайти в даркнет и заказать, например, атаку на какой-нибудь банк?
— Не обязательно даже идти в даркнет, много информации есть и в открытом доступе. Хотя 95% хакерских приложений действительно лежат в даркнете. Найти можно все что угодно, были бы деньги, причем не всегда большие. Можно заказать атаку на банк, а можно просто купить информацию о клиентах, которых взломали, и получить доступ к их счетам. С даркнетом очень сложно бороться без оперативных методов, то есть без наличия стукачей.
— В России чиновники постоянно говорят о необходимости запрета анонимных каналов коммуникации, таких, как Tor или Telegram. Есть ли в этом смысл?
— Существуют десятки таких программ. Например, почти в каждом государстве есть свой национальный мессенджер, который известен только в пределах страны. Более того, никто не контролирует создание новых программ для обмена информацией — сделать это очень просто, нужно буквально несколько часов работы. Есть программы, которые позволяют из готовых компонентов создать собственный мессенджер на базе Android, который невозможно будет отследить. Telegram в этом плане — просто наиболее популярный вариант, и если его запретить, то террористы или иные преступные элементы начнут пользоваться чем-то другим. Более того, никто не ограничивает террористов в применении стеганографии, когда сообщение скрывается в графической картинке или видеофайле, то есть скрывается сам факт передачи информации. Есть алгоритмы, которые позволяют автоматизировать процесс такого сокрытия информация. Так что запрет отдельных программ кажется решением только людям, которые не понимают, как работают технологии.
— Есть два главных страха, связанных с информационными технологиями: кибервойны и кибертерроризм. Насколько это содержательные понятия?
— Кибервойны — это во многом миф. В юридических терминах «кибервойна» — это всего лишь ведение действий в киберпространстве в рамках уже объявленной войны. Есть еще термин «спецоперации в киберпространстве», технически он более правильный. Это когда спецслужба осуществляет атаку на информационный ресурс другого государства: взламывает какой-то сайт или систему управления войсками. Считается, что первым примером такого рода была атака на газопровод в СССР в 1980-х годах. Российские разведчики украли у США программное обеспечение, отвечающее за работу трубопровода. Американские разведчики, узнав об этих планах заранее, встроили в ПО закладку, из-за которой произошел взрыв. Но официально эта версия так и не была подтверждена российской стороной, хотя сам факт взрыва не оспаривается.
Другой известный случай — атака на АЭС в Иране с помощью вируса Stuxnet. США этого не признают, но считается, что они вместе с Израилем хотели таким образом остановить ядерную программу Ирана. Вредоносный код сработал и вывел из строя половину центрифуг для обогащения урана.
Есть сведения о том, что в Америке есть спецподразделение, которое занимается наступательными операциями в киберпространстве. Из ЦРУ и АНБ были утечки архивов наступательных вооружений — там готовятся вполне реальные вещи. В будущем военные действия будут вестись и в виртуальном мире, так что все государства так или иначе движутся в этом направлении. Разница в том, что для обычных войн нужны большие финансовые возможности, промышленный и научный потенциал, а кибератаки, в принципе, доступны любой стране: соответствующий инструментарий свободно продается, и регулярно случаются утечки. Более того, сегодня страна со слабой армией вполне способна иметь очень мощное киберподразделение и наоборот.
— А что с кибертеррором?
— Если говорить про кибертерроризм, то сегодня у нас нет серьезных примеров. Ходили слухи, что в рамках 11 сентября производились атаки на систему управления полетами, из-за которых произошел угон самолетов, но они не подтвердились. Вместе с тем, это лишь вопрос времени: бессмысленно спрашивать, что взломают террористы, надо спрашивать — когда. Пессимистичный сценарий говорит, что это случится вот-вот, менее пессимистичный — что через несколько лет. Первые шаги в этом направлении уже видны, но пока эффекта можно достичь гораздо более простыми методами: нет смысла атаковать АЭС, если можно просто врезаться в толпу на грузовике и тем самым посеять страх, а именно он является целью террористов. Они пытаются нанимать специалистов по наступательным кибервооружениям, но пока что информационные технологии чаще используют для обмена информацией и вербовки.
— Есть еще наиболее футурологический сценарий: война как противостояние двух искусственных интеллектов.
— В некотором смысле это происходит уже сейчас. Известны технологии, которые применяют ИИ для обнаружения атак, для их изучения и классификации. Стычка двух ИИ в будущем выглядит вполне правдоподобно. Через некоторое время такие же инструменты появятся и по ту сторону баррикад — никто не мешает злоумышленникам брать легальные разработки и затачивать их под выполнение других задач; да и первые сведения об этом уже появляются у специалистов.
— Судя по текущему информационному фону, проблемой номер один сейчас являются вирусы-вымогатели.
— Я бы не сказал, что это так. Скорее, это пиар-ход компаний, которые стали говорить об этом на всех мероприятиях. На самом деле программы-шифровальщики известны с 1989 года, а активно распространяться стали с 2014 года. Уже тогда были десятки семейств шифровальщиков-вымогателей, и их владельцы зарабатывали сотни миллионов долларов ежегодно. Это не какая-то новая эпидемия, просто сейчас производители продуктов по безопасности подхватили эту тему. Такая же проблема существует с DDoS-атаками. Есть проблема с утечками данных, которая постоянно растет в последние годы. Кражи с банковских счетов тоже не сходят на нет, хотя меняются акценты: раньше страдали в основном клиенты, теперь больше страдают сами банки.
— Насколько вообще развит рынок кибербезопасности в России?
— По разным оценкам, оборот российского рынка составляет от 400 млн до 1 млрд долларов. Разброс, как видите, большой, потому что рынок в России очень закрытый. Во всем мире компании в области IT представляют собой небольшие стартапы. Конечно, со временем эти компании могут стать крупными, но, по крайней мере, они абсолютно открыты и со временем выходят на биржу или их покупают более крупные игроки. В России нет ни одной публичной компании в этой сфере, чьи акции находились бы в свободном обращении. Многие компании созданы выходцами из спецслужб, а их проекты часто реализуются в интересах государства — непонятно, кому, что и за сколько продали. Наконец, многие занимаются перепродажей чужих продуктов, из-за чего в отчетах продажи учитываются по два-три раза. Все эти факторы делают структуру рынка очень непрозрачной. Но в целом российские сегменты IT и ИБ — это обычно около 1% от мирового рынка, который оценивается в 75—80 млрд долларов, то есть 700—800 млн долларов. Мировых держав в этой области всего три: США (около 80% всех компаний), Израиль (несколько сотен стартапов) и еще более закрытый Китай, в котором сотни игроков по ИБ, но преимущественно работают они на внутренний рынок.
— А какие компании можно считать ключевыми на российском рынке?
— Последние 10—15 лет игроки не меняются: «Лаборатория Касперского», «Информзащита», Positive Technologies, «ИнфоТеКС», «Инфовотч», «Эшелон», ЦБИ. Эти компании успели сформировать тесные связи с регуляторами и получить все необходимые для работы лицензии, поэтому они делят между собой примерно 80% всех заказов на рынке. В России есть и небольшие компании, но они погоды не делают. Если же говорить о заказчиках, то, в первую очередь, это госорганы и крупные госкомпании. В принципе, во многих странах госзаказ считается лакомым куском, который обеспечивает 30—40% рынка (в России эта цифра выше). На втором месте идет корпоративный сегмент. Малый бизнес и домашние пользователи за кибербезопасность платить не готовы — уровень осведомленности среди них довольно низкий, поэтому обычно они ограничиваются недорогим антивирусом или механизмами защиты, встроенными в операционные системы.
— А после 2014 года иностранные компании все-таки остались на российском рынке?
— Пока что да. До недавнего момента они занимали 70% рынка, но с 2014 года их доля постепенно снижается. Сейчас достигнут некий паритет — 50% на 50%, но доля иностранцев постепенно будет снижаться, хотя прямого запрета на приобретение западных продуктов нет. Есть некоторые неформальные ограничения в виде опасений заказчиков и того факта, что столпом рынка остается госсектор, в котором полным ходом пропагандируется импортозамещение. Идет ужесточение требований к иностранным компаниям в плане сертификации, попадания в реестр и предоставления исходных кодов. Так что западные стартапы в Россию не рвутся — они понимают, что на выполнение законодательных требований понадобится больше денег, чем можно будет тут заработать. То же самое касается российских компаний за рубежом: с 2016 года, когда началась шумиха про русских хакеров, им стало гораздо сложнее работать.
— Получается, что сферу кибербезопасности довольно сильно затронуло импортозамещение. Как вы оцениваете его результаты?
— В России появились процессоры «Байкал» и «Эльбрус» — они созданы и работают, но на них нет никакого массового заказа и массового производства. То же самое происходит с отечественными операционными системами: есть «Астра», «Роса», «Заря» и другие аналоги Linux. Обычно у них по два-три заказчика, так что говорить об успехе не приходится, но разработчики, наверное, выходят в плюс. Даже с Microsoft Office конкурировать не получается, не говоря уже о более серьезных приложениях. По многим направлениям кибербезопасности у нас в принципе не существует российских аналогов и не появится в ближайшей перспективе. Из-за изоляционистского курса на цифровой суверенитет многие хорошие технологии просто не доходят до страны. Возможно, ситуацию изменит правительственная программа «Цифровая экономика», но до ее реализации еще очень далеко.
— И все же цифровой суверенитет — это политический лозунг или что-то большее?
— То, что мы видим сейчас, — действительно, скорее, лозунг и профанация, потому что для того, чтобы замещать, надо что-то иметь. В России нет своей системотехники, нет своих операционных систем. Без этого говорить об импортозамещении невозможно, хотя это вещь важная и нужная в отдельных государственных отраслях: как минимум в оборонке, в обеспечении гостайны, в космических технологиях. Но ни в одной стране мира нет общенационального курса на цифровой суверенитет. Даже китайский курс немного другой: сначала они создавали свои продукты путем копирования иностранных разработок, а потом стали замещать, создавая конкурентные решения.
В России чиновники говорят о полном отказе от всего западного, а в разных программных документах прямо говорится о заградительной политике для иностранных решений. Может быть, импортозамещение так и останется лозунгом, а компании продолжат закупать то, что им выгодно. А может быть, ситуация сдвинется к увеличению доли отечественных продуктов в IT и ИБ.
— Чиновники обычно говорят, что импортозамещение необходимо из-за особенной уязвимости госорганов для кибератак.
— Неуязвимых систем не бывает по определению — это аксиома. Госорганы уязвимы больше в том плане, что у них меньше бюджеты на безопасность и ниже уровень зарплат для специалистов. Но, к сожалению, сейчас не делается ничего, чтобы это изменить, — бюджеты как не выделялись, так и не выделяются, а за смешные деньги профессионалы работать не хотят. Разумеется, регулярно всплывают разговоры о некой секретной кнопке, которая может одномоментно выключить все западные IT-продукты. Но наличие такой кнопки не доказано.
— С большими задачами понятно. Поговорим о малых: какие правила цифровой гигиены стоит соблюдать простым пользователям?
— Базовые правила похожи на те, которые действуют в обычном мире: мойте руки перед едой, не переходите дорогу на красный свет. Нужно регулярно обновлять ПО, причем не только ОС, но и прикладное — браузер, плагины, средства защиты компьютера и мобильного устройства. Важно не только поставить антивирус, но и выбирать правильные пароли — не имя питомца и не день рождения. Это простые и понятные правила, которые важно соблюдать так же, как и правила в отношении здоровья и жизни, а более сложные моменты возьмут на себя компании и государство. Главное — избавиться от представления, что в виртуальном мире можно ни о чем не задумываться. Информатизация достигла таких масштабов, что эти два мира оказались связаны неразрывно. Это еще один миф — что ИБ должны заниматься только специалисты. Так было много лет назад, но сейчас ИБ — это дело каждого, у кого есть счет в банке, телефон, компьютер или электронная почта.
— Какой вопрос вы бы задали своему коллеге из Европы?
— Я бы задал философский вопрос: каким вы видите будущее кибербезопасности в мире? Возможна ли победа светлой стороны, будет ли это борьба брони и снаряда или все же победит темная сторона?
Грэм Клали
независимый британский эксперт по кибербезопасности, ветеран индустрии антивирусов
— Как вы стали заниматься кибербезопасностью?
— Я работаю в этой индустрии больше 25 лет, то есть всю свою взрослую жизнь. Начинал с разработки антивирусов в разных компаниях, от McAfee до Sophos. А последние четыре года я работаю сам на себя — как блогер и публичный спикер на темы компьютерной безопасности. Так что сейчас я — что-то среднее между технарем и коммуникатором.
— Сегодня это очень востребованная сфера деятельности.
— Да, безусловно. Сейчас специалисты по кибербезопасности есть в любой крупной фирме, особенно в области финансов и юриспруденции. И, соответственно, в Великобритании есть офисы всех крупных компаний, занимающихся компьютерной безопасностью. У «Касперского», кстати, тоже есть британский офис.
— «Касперский» популярен в Великобритании?
— Я бы не сказал, что это самая популярная компания, но это, безусловно, крупный игрок на британском рынке. Продукты «Касперского» есть во всех специализированных магазинах, и с местным бизнесом они тоже работают. Но, честно говоря, я не очень владею рыночной стороной вопроса — меня больше волнуют угрозы и хакеры, а не продажи.
— Американское правительство обвиняет «Касперского» в том, что российские спецслужбы с помощью антивируса украли данные с личного компьютера сотрудника американской разведки. В своем блоге вы писали на этот счет, что происходящее с «Касперским» на Западе — это охота на ведьм. Почему вы так считаете?
— Мне кажется, что нам было представлено недостаточно доказательств того, что «Касперский» сделал что-то незаконное, что могло бы навредить его пользователям. Подобные слухи циркулируют последние несколько лет, и они уже нанесли ущерб «Касперскому». Я думаю, что если вы выдвигаете такие серьезные обвинения, то обязаны представлять мощные доказательства. Очевидно, что сейчас конкурирующие компании пытаются воспользоваться сложностями «Касперского», чтобы убедить пользователей переключиться на их продукт. Особенно это касается американских компаний: ни в одной другой стране я не видел, чтобы ритейлеры так активно отказывались от продукции «Касперского». Мне такое поведение кажется не очень этичным. Я знаю людей из «Касперского» и из многих других крупных компаний в этой сфере, и мне сложно поверить, что Евгений Касперский мог поставить коммерческий успех компании под такой риск, добровольно работая на российскую разведку. Для этого он слишком профессиональный бизнесмен.
В США часто звучит аргумент, что даже если шанс, что «Касперский» сотрудничал с ФСБ, составляет 1 на 1000, рисковать все равно нельзя. Поэтому нам все равно, делает ли «Касперский» более качественный продукт, — мы в любом случае купим что-то американское. Меня это расстраивает. У «Касперского» отличная история поиска вредоносных программ — в том числе тех, которые разрабатывали сами американские спецслужбы. Так, может быть, давайте тогда запустим еще один слух? Есть вероятность, что американские власти недовольны работой «Касперского»: они не хотят, чтобы компания и дальше фиксировала шпионские коды, которые спецслужбы используют в своих целях. Конечно, это чистой воды конспирология — я просто хочу показать, как легко можно запустить слухи такого рода.
— Что, по-вашему, произошло в этой истории на самом деле?
— Есть несколько возможностей. Прежде всего, конспирологическая теория, которая состоит в том, что «Касперский» действительно намеренно участвовал в краже информации. Есть другая версия: «Касперского» тоже взломали, после чего кто-то проник во внутренние системы сотрудника АНБ. На его компьютере могла быть давно установлена другая шпионская программа. Но важный момент состоит в следующем. Все антивирусы работают по одной схеме: они ищут потенциально вредоносный код и загружают его в облако для дальнейшего анализа. Файлы, которые были загружены «Касперским», действительно выглядят как вирус — любой хороший софт загрузил бы их в облако. И я не видел никаких убедительных доказательств того, что «Касперский» впоследствии слил эту информацию кому-то еще. Как видите, в этой истории и близко нет дымящегося револьвера. При этом хочу отметить, что сам факт того, что сотрудник АНБ по какой-то причине принес конфиденциальную информацию на своем компьютере к себе домой, уже является нарушением всех возможных правил.
— Вопрос в том, насколько тесно IT-компания может сотрудничать с правительством, не ущемляя при этом интересы пользователей.
— Давайте вернемся к основам компьютерной безопасности. Любой производитель антивирусов так или иначе работает с правительствами — не только потому, что хочет продавать государству свой продукт, но и, в первую очередь, потому, что он предоставляет правоохранительным органам информацию о преступной активности. Я по своему опыту знаю, что спецслужбы регулярно просят такие компании о помощи, когда ищут информацию о бандах хакеров или о вредоносных кодах. Такое сотрудничество происходит добровольно и не считается чем-то криминальным — мы в этой битве находимся на одной стороне. Но, конечно, совсем другое дело, когда безопасность и приватность пользователей при этом ставятся под угрозу. Эту границу мы не готовы пересекать — как компании, которые родились из веры в приватность и безопасность. Я думаю, что люди из «Касперского», как и из McAfee и сотни других компаний, действительно верят в эти принципы.
— Что вы думаете об идее запретить закупки иностранного программного обеспечения в целях безопасности и поддержания цифрового суверенитета?
— Я думаю, что это совершенно абсурдная позиция. Как это вообще возможно? Представьте, от какого количества приложений нам пришлось бы отказаться — и все из-за того, что, например, их придумали программисты из России. Или возьмем «хард», который все чаще производится в Китае. У всех сегодня есть iPhone или телефон на Android — но все эти вещи собираются в Китае. Конечно, с этим связаны определенные угрозы: мы уже видели случаи атак на производственные цепочки, когда девайсы приходили покупателям с предустановленным вредоносным кодом (намеренно это делалось или нет — до сих пор неизвестно). Но я думаю, что тотальный запрет на любое российское или китайское ПО — безумная и недальновидная идея, которая только навредит западным компаниям и их рыночным интересам. Причем такая политика выходит далеко за рамки проблемы антивирусов.
— А что вы думаете об истории с «русскими хакерами»?
— По-моему, есть довольно убедительные свидетельства того, что русские хакеры действительно принимали участие во взломе почтовых серверов Демократической партии. Всегда очень сложно доказать, кто именно авторизовал кибератаку, но в этом случае все факты указывают на то, что это было сделано как минимум с одобрения российского правительства. Другой вопрос — повлияло это на выборы или нет. Мы точно знаем, что это не помогло Клинтон: взлом отвлек внимание избирателей от того, что она хотела им сказать. Ну и отдельная проблема связана с русскими троллями в соцсетях, расследование на этот счет еще продолжается. Но в то, что хакеры как-то манипулировали голосами американцев с помощью внедрения специального софта в машины для голосования, я, честно говоря, не верю. В любом случае давайте будем прагматиками: многие страны, в том числе западные демократии, в прошлом пытались повлиять на выборы в других государствах. Это мир, в котором мы все живем сегодня.
— Как вообще можно оценить степень убедительности доказательств в случае киберпреступлений?
— В случае с киберпреступлениями атрибутировать атаку какой-то организации всегда очень сложно. Например, если бы я был Путиным и мне бы сказали, что злоумышленники действовали из России, я бы ответил, что это просто очень патриотические хакеры, а Кремль тут ни при чем. И это работает, потому что доказать обратное крайне сложно — интернет позволяет легко замести следы. Чтобы что-то доказать, требуется проделать много работы. Прежде всего, не обойтись без международного сотрудничества. Если вы подозреваете, что хакер действовал из России, чтобы это точно определить, вам необходима помощь российских правоохранительных органов. То есть полиция в обеих странах должна быть готова инвестировать ресурсы в это расследование, которое может занять месяцы или годы. В прошлом были успешные случаи сотрудничества такого рода, но это были более конвенциональные преступления — вроде обычных спамеров и ботнетов. А в этом случае все гораздо сложнее. Вообще говоря, киберпреступность очень распространена, поэтому расследуются только самые крупные случаи. Если, например, обычный юзер словит какой-то вирус и придет с этим в полицию, его просто не воспримут всерьез.
— Существуют ли в Великобритании кибервойска?
— У меня нет прямого ответа на этот вопрос. Но я думаю, что в большинстве развитых стран есть люди, которые работают на спецслужбы и хорошо умеют взламывать и красть нужную информацию. А современный шпионаж выглядит именно таким образом. Шпионить через компьютер гораздо дешевле, менее скандально и не так опасно в политическом плане, чем десантировать Джеймса Бонда на вражеской территории, как в прежние времена. Но есть одна проблема: спецслужбы часто не могут позволить себе платить хорошие зарплаты специалистам, поэтому многие из них идут в бизнес или даже становятся киберпреступниками. Отсюда давление правоохранительных органов на хакеров — либо вы работаете на государство, либо идете в тюрьму. Но у меня нет точных данных о реальной распространенности таких случаев.
— Как сегодня выглядит типичный киберпреступник?
— Обычно это член организованной группировки, часто многонациональной. Ее члены могут никогда не встречаться друг с другом в физическом мире, не знать настоящих имен и общаться только в зашифрованных чат-румах. Некоторые такие организации зарабатывают сотни миллионов долларов. По некоторым оценкам, их прибыльность даже выше, чем в торговле наркотиками, но я скептически отношусь к таким расчетам (возможно, мне просто не хочется это признавать). А вообще я бы советовал вам обратить внимание на журналиста-расследователя в области киберпреступности Брайана Кребса, который внедрился на российские подпольные форумы хакеров и много об этом писал в своем блоге.
— Какой тип киберпреступлений вы бы назвали самым распространенным?
— Самая большая угроза для бизнеса сейчас и в ближайшем будущем — это атаки на деловые ящики электронной почты. Хакеры находят компании, проникают в почтовый ящик одного из работников, выясняют, какими проектами занимается компания и с какими поставщиками общается. Затем они создают счета в банке на имя этих поставщиков и отправляют в бухгалтерию компании чек, в котором описывают условия реально существующего контракта. Из-за реальности информации люди верят таким мошенникам и теряют на этом миллионы долларов, сейчас это очень распространенная схема. Еще есть вирусы-вымогатели, но они, по моим оценкам, не так распространены.
— Почему тогда в этом году так много шума вокруг вирусов-вымогателей?
— Ну, был вирус WannaCry, который быстро распространялся из-за того, что в его структуре есть элементы сетевого червя. Интересно, что он использовал уязвимость, которую сотрудники АНБ нашли в софте Microsoft, но не предупредили об этом компанию, потому что сами хотели использовать уязвимость для слежки. А потом хакеры взломали АНБ и узнали об этой уязвимости. После этого, конечно, Microsoft выпустила специальный патч, но многие люди до сих пор не обновились. Затем был вирус NotPetya на Украине, где кто-то инфицировал программу для бухгалтерского учета. Обо всех этих историях легко писать, в каждой из них есть очевидная жертва, а пресса такое любит. Преступникам вирусы-вымогатели нравятся тем, что это самый легкий способ монетизировать вредоносные коды. Украденную информацию, к примеру, монетизировать гораздо сложнее.
— Как часто появляются новые киберугрозы? Стоит ли нам ожидать чего-то принципиально нового в будущем?
— По своему опыту могу сказать, что эволюция вирусов происходит не очень быстро. В будущем мы можем увидеть разве что миграцию компьютерных вирусов на мобильные платформы, особенно на Android. Другая большая проблема — это интернет вещей, который все чаще используют хакеры. Обычно эти вещи очень плохо защищены, поскольку их делают люди, которые абсолютно ничего не понимают в кибербезопасности. Беспроводные камеры, wi-fi-роутеры и так далее — любая подключенная к интернету техника может быть использована хакерами для DDoS-атак и последующего шантажа.
Но в целом хакеры используют не так много инноваций: ведь старые трюки пока отлично работают. Взлом почтового ящика главы предвыборного штаба Хиллари Клинтон Джона Подесты не был сложной операцией — он просто получил фишинговую рассылку. Зачем придумывать какие-то сложные техники? Другое дело, когда атаку спонсирует государство — это значит, что цель выбрана не случайно и хакеры будут возвращаться к ней снова и снова, несмотря на все сложности. Тут-то хакеры и достают большие пистолеты: например, уязвимости нулевого дня (неизвестные ранее уязвимости, против которых невозможно защититься до выпуска обновления. — Ред.). Или нанимают человека, который устраивается в нужную компанию и получает доступ к локальной сети. Но я все-таки думаю, что нам стоит больше волноваться насчет более распространенных типов атак.
— Выходит, сегодня не нужно иметь какие-то запредельные компетенции, чтобы быть хакером?
— Сегодня хакером может стать кто угодно. Думаю, за 20 минут я мог бы научить человека основным навыкам. Это не значит, что они всегда работали бы, но во многих случаях — да. Есть, например, вирусы-вымогатели, которые проникают в компьютер, когда люди просто кликают на вредоносные ссылки. В Великобритании были случаи, когда атака начиналась не с почтовой рассылки, а с телефонного звонка. Люди звонили в школы и университеты и представлялись чиновниками из департамента образования, а потом присылали учителям специальную «форму». Звонок усыплял бдительность людей, и они быстро попадали в ловушку. В общем, социальному инжинирингу очень сложно, люди по природе очень доверчивы и легко поддаются манипуляции. Это не технологическая проблема: реальная уязвимость компьютерной безопасности на самом деле кроется в человеке. Так что обновлять нам нужно не софт, а наши мозги. Но, боюсь, этого никогда не случится!
— Когда человечество всерьез столкнется с угрозами кибертерроризма и кибервойн?
— На сегодняшний день мы видели не так много примеров кибертерроризма. Это задача, требующая специальных знаний, которыми типичные хакеры не владеют. Гораздо проще заработать, например, на продаже наркотиков, а потом купить на них обычное оружие. Интернет террористы, скорее, используют для того, чтобы собирать деньги от своих сторонников.
Кибервойна помимо шпионажа может проявляться в виде атаки на промышленные системы контроля. Мы видели такие случаи на Украине, где несколько раз были атакованы электросети. К сожалению, промышленные системы контроля часто очень плохо защищены, что вообще-то удивительно: ведь это очень важные инфраструктурные объекты. Но компании из сферы компьютерной безопасности боятся с ними связываться из-за возможных последствий в случае, если что-то пойдет не так.
— Какой аспект кибербезопасности сейчас активнее всего обсуждается в публичной сфере Великобритании?
— Я думаю, что это вопрос приватности в интернете. Нынешнее правительство не очень хорошо относится к технологии сквозного шифрования, особенно в приложениях вроде WhatsApp. Каждый раз, когда появляются новости о терактах, правительство выворачивает эту историю таким образом, чтобы можно было во всем обвинять социальные сети и мессенджеры. Власти считают, что технологические компании недостаточно им помогают, и говорят, что не собираются запрещать шифрование, а просто хотят получать больше информации про аккаунты людей. Эта дискуссия буквально разделила страну на две части. Некоторые люди, обычно менее продвинутые в технологическом плане, считают идеи правительства правильными. Профессиональное сообщество, напротив, слушает их с большим опасением: вы не понимаете, что информацию надо шифровать, вы же видели утечки и так далее. Моя точка зрения, конечно, состоит в том, что мы пострадаем гораздо больше, если попытаемся как-то ограничить шифрование.
— В России, кстати, совсем недавно вступил в силу запрет анонимайзеров и VPN.
— И это ужасно: ведь на самом деле это значит, что хакерам теперь гораздо проще украсть вашу информацию. Наверное, если бы мы работали в правоохранительных органах, нам бы очень нравилась эта идея. Но в реальности регулировать такие вещи, как анонимайзеры и даркнет, в любом случае невозможно, как бы этого ни хотели политики. Вы можете усложнить доступ к шифрованию для обычного человека, но злоумышленников эти меры не остановят — им все равно, что это незаконно, они найдут способ зашифровать данные или попасть на нужный сайт. Пострадают именно законопослушные граждане.
— С каким мифом о кибербезопасности вы чаще всего сталкиваетесь?
— Мне часто говорят: «Это ведь вы, парни, на самом деле пишете все вирусы». Я отвечаю им: «Разумеется, это мы. А еще я был в Далласе в 1963 году, когда мимо проезжал Кеннеди». Сейчас все это звучит наполовину в шутку, но раньше многие реально верили в это. Это прекрасная конспирологическая теория, но совершенно неправдивая. Нам не нужно писать вирусы за деньги, поскольку огромное количество преступников и так пишет их бесплатно. Большинство людей из нашей сферы понимают, что они могут заработать на преступной деятельности миллионы, но в то же время прекрасно знают, что это неправильно. Для нас киберпреступность — это анафема, мы верим в защиту людей. Конечно, есть люди, которые соблазняются «темной стороной», но я бы не советовал идти по этому пути: вы разрушите не только свою жизнь, но и жизни своих родных и не сможете спать ночами.
— Какие правила информационной гигиены вы рекомендуете соблюдать простым пользователям?
— Самое важное, что может сделать каждый, — это перестать использовать один и тот же пароль в разных местах. Почти половина людей, с которыми я общаюсь, делает именно так — это же чудовищно! Установите себе менеджер паролей, поставьте антивирус, включайте надежный VPN при использовании публичных точек доступа wi-fi, по возможности активируйте двухфакторную идентификацию — и все, вы уже гораздо более защищены, чем средний пользователь интернета.
Моя основная надежда состоит в том, что мы сможем повысить свою грамотность в отношении киберугроз. Если бы люди перестали попадаться на бесконечные схемы с письмами из Нигерии, которые рассылают уже много лет, это уже был бы прогресс. Если каждый раз, когда об этом пишет пресса, хотя бы один-два человека повышают уровень своей сознательности в этом отношении, то я уже рад. Здорово, например, что сегодня люди понимают, что такое «кража личности», — еще 10—15 лет назад это словосочетание звучало бы как научная фантастика. Возможно, это потому, что многим пришлось столкнуться с такой кражей, но что поделать — зато они стали лучше понимать, как это работает. При этом не стоит быть параноиком и не включать компьютер, достаточно быть скептически настроенным и понимать, что в мире всегда будут плохие парни.
— Какой вопрос вы бы задали своим российским коллегам?
— Для начала я бы сказал им: продолжайте бороться, будьте хорошими парнями. Нам нужно как можно больше экспертов по кибербезопасности по всему миру. А насчет вопроса — я спросил бы, когда у вас будет правительство, которое разрешит VPN, и что мы можем сделать, чтобы помочь вам в этом деле (я имею в виду легальные меры, разумеется).
Я считаю, что приватность в интернете — это общечеловеческое право. Каждому должны быть гарантированы свобода и приватность, и я очень не люблю, когда правительства нарушают это право. В Великобритании часто возражают на это, что иначе мы не сможем ловить террористов. Конечно, терроризм — это ужасное явление, но его нельзя полностью искоренить. Возможно, это прозвучит неполиткорректно, но свобода и приватность в данном случае важнее множества других вещей.
Понравился материал? Помоги сайту!