Как бороться с утечками информации? Да и нужно ли с ними бороться или это новая реальность, к которой нужно привыкать? И почему интернет вещей принес в нашу жизнь не только удобство, но и массу опасностей?
Наталья Касперская. Фото: infowatch.ru
Главный редактор Business FM Илья Копелевич и президент группы компаний InfoWatch, председатель правления Ассоциации разработчиков программных продуктов «Отечественный софт» Наталья Касперская поговорили о том, почему вести бизнес в облаке оказалось не так продуктивно, как все надеялись.
У нас в гостях Наталья Касперская, президент группы компаний InfoWatch, председатель правления Ассоциации разработчиков программных продуктов «Отечественный софт». Естественно, мы говорим о кибербезопасности, которая все чаще сводится к словам «утечка данных». Мне кажется, что не только я, но и очень многие настолько привыкли, что любые данные, переданные куда-либо, утекают в той или иной форме, что уже с этим смирились: утекают и утекают. Все понятно, все мы на виду, и добраться до нас — это вопрос каких-то усилий, чтобы узнать, где мы живем, сколько у нас денег в каком банке. И если там есть, что искать, то будут желающие, которые это сделают, потратят эти усилия. Если нет, то это уже свалка, считайте, что копаться в ней просто так нет смысла. Может быть, не стоит уже бояться этого, принять это как новую реальность?
Наталья Касперская: Да, сейчас довольно много об этом говорят, это называется девальвация утечек, поскольку много данных уже лежат в открытом доступе так или иначе, то считается, что давайте не будем защищать. С началом СВО довольно сильно изменилась модель угроз: помимо стандартных угроз похищения денежных средств, для чего использовались персональные данные, сейчас еще появились угрозы физической безопасности, например членам СВО, членам их семей, политическим деятелям. Я знаю, были случаи прямых угроз или воздействия. Это уже совершенно другая угроза, это уже экзистенциальная угроза, понятно, что защищаться надо. Именно поэтому Госдума так активизировалась и пытается сейчас ужесточить законы по защите от утечек данных.
В чисто гражданской плоскости, какие самые заметные опасности, которые возникают для людей, экономики из-за этих массовых утечек, которые все равно стали нормой?
Наталья Касперская: Самая большая, заметная, с чем сталкивается чуть ли не каждый гражданин России, — это мошенничество с данными и телефонные мошенники. Они мутируют, переходят из телефонной связи в мессенджеры, придумывают новые схемы. Второе — это перепродажа данных, с тем чтобы выискивать людей по каким-то признакам. Самая большая такая утечка, которую обсуждают чуть ли не год, это «Яндекс.Еда», где было выложено огромное количество данных, по которым можно вычислить примерные предпочтения, понять, где люди работают, и это риск анализа больших данных. Поскольку сейчас инструменты анализа стали очень хорошими, то по ним можно вычислить все что угодно.
Эта проблема нарастает, или мы адаптируемся к ней, люди, может быть, в меньшей степени уже подвержены разводкам, которые основаны на знании персональных данных, или все становится только хуже?
Наталья Касперская: Данные никто не забывает, к сожалению, они появляются, и если удается вытащить еще что-нибудь про человека, то они обогащаются, становятся все более полными, и в этой связи для конкретной личности риск возрастает, потому что можно эти данные использовать против него. Что касается самого количества утечек, то с началом ковида количество утечек пошло на спад, а в 2022 году вдруг произошел резкий рост и не только в России, но и в мире. Я связываю это с тем, что ужесточение такой политической ситуации приводит к тому, что все начинают воровать друг у друга данные. Причем, если по России все равно большинство утечек — это персональные данные, то по миру очень интересно изменилось соотношение. Обычно персональные данные составляют от 75% до 85% всех утечек в количественном отношении, в прошлом году это было 56% по миру. Коммерческая тайна, секреты, ноу-хау и так далее, то есть все стали друг у друга воровать информацию, это такая тенденция. Интересно будет понаблюдать, как будет в этом году, куда пойдет этот тренд. Дискуссия о том, как бороться с этим, кто за это должен отвечать и в какой мере, у нас продолжается уже некоторое время и пока не завершается каким-то решением. Было нашумевшее предложение, которому многие поаплодировали, — ввести на компании оборотные штрафы в случае массовой утечки данных. То есть, грубо говоря, «Яндекс» мог бы за утечку из «Яндекс.Еды» поплатиться процентом от всей выручки, а выручка там огромная. Это нашумевшее предложение не принято, против него многие выступают, прежде всего говорят, что компании могут стать просто жертвами, но отнюдь ничего не смогут противопоставить, даже находясь под таким риском. Есть несколько проблем с оборотными штрафами. Первая — это то, что компания может действительно не иметь к этому отношения, предположим, компания предприняла все необходимые меры по защите, а утечка тем не менее произошла. Надо понимать, что вот мы работаем с защитами от утечек 20 лет, и мы видим, что очень большую роль играет человеческий фактор.
Конечно, это в огромном количестве случаев человеческая диверсия.
Наталья Касперская: Вот «Яндекс.Еда», там был администратор, который просто совершил политический демарш, он сказал: я вытащил столько данных, потому что считаю, что этим самым я борюсь с кровавым режимом. Там вопрос, конечно, а почему он имел доступ ко всем данным? Почему они не были разделены на группы, категории, и каждая категория не была защищена, и к ней отдельный должен был бы быть доступ, понятно, что есть способы уменьшения этого риска. В целом, я думаю, что они предпринимали все меры.
У кого-то ведь все равно есть ключ от всего.
Наталья Касперская: Это неправильно, когда есть ключ от всего, лучше иметь десять маленьких ящичков с десятью ключиками.
Но эти ящички должны сообщаться так или иначе.
Наталья Касперская: Это другой вопрос. Первое — это вина не всегда стопроцентная. Второе — существуют отмазки у компаний, и мы их знаем. Отмазки такие: смотрите, уже все украли, вот эта база, которую вы нам показываете, утекла неизвестно когда, вообще она скомпилирована, и вообще это не наша база, иди доказывай. А доказывать очень сложно. В рамках административного дела такое расследование провести иногда чрезвычайно затруднительно, нужны уголовные дела, чтобы прийти в компанию, изъять сервера, начать смотреть, действительно ли была утечка, не была, а это трудноосуществимо. Тогда нам нужно уголовные дела заводить. Уголовные дела — это уже совершенно другой уровень.
Зачастую, если мы говорим об администраторе, который сознательно похитил из компании данные и отправил их на рынок, это, по сути, уголовное преступление. Это не преступление компании, это конкретный поступок конкретного человека с преступным умыслом.
Наталья Касперская: Абсолютно согласна.
А в рамках гражданского процесса против компании он вообще не является стороной. Как его преследовать?
Наталья Касперская: Я считаю, что должно быть уголовное преследование виновных лиц. Это гораздо более правильно, чем наказывать по площадям. Третий момент, про оборотные штрафы я скажу, подпадают под них не все, например госорганы не подпадают, а из них идут большие утечки. МВД у нас — самый большой поставщик данных был до недавнего времени. Оборотные штрафы не решат проблему, если их ввести. Поэтому, наверное, штрафы какие-то должны быть, но разумные все-таки, не 5 тысяч рублей, как «Яндекс» оштрафовали на 60 тысяч рублей, но они не должны быть какими-то сумасшедшими. И должно быть все-таки уголовное наказание для лиц, непосредственно виновных. И для этого надо совершать расследования, производить все действия, смотреть, кто допустил утечку, были ли совершены предприятием все необходимые меры по защите, и наказание должно быть разным. В случае если меры приняты, но утечка произошла, это одно, или когда они вообще безопасностью не занимались, у них все двери были открыты.
Я ничего не слышал о том, чтобы какое-то законодательное движение происходило в эту сторону. Все обсуждают то ли оборотные штрафы на компании ввести, то ли просто штрафы, исходя из прибыли. Понятно, что прибыль, слава богу, значительно ниже, чем выручка в целом. Поэтому я как-то не вижу, чтобы в эту сторону работали наши регуляторы, законодатели. Надо, чтобы искали тех, кто это совершил, потому что в большинстве случае это отнюдь не результат технологии как таковой, это результат целенаправленных действий определенных лиц, которые с компанией никак не связаны, как раз наоборот.
Наталья Касперская: Они могут быть связаны, могут быть не связаны. Мы, кстати, наблюдаем сращивание внешних и внутренних утечек. Мы раньше считали процент внутренних, то есть то, что шло изнутри, и внешних, то, что было осуществлено внешними хакерами. Это тоже одна из отмазок компаний: нас взломали, что же мы будем делать, бедные мы, несчастные. Но сейчас идет тенденция, что внешние хакеры практически никогда не действуют в одиночку, они обязательно находят инсайдера, который помогает им ориентироваться внутри инфраструктуры конкретной корпорации и находить болевые точки.
Вы знаете что-либо о том, чтобы такого рода изменения в законы были внесены, в том числе в уголовные?
Наталья Касперская: Это обсуждается, но как-то, мне кажется, что это недостаточно находит отклика у наших законодателей, хотя это было бы более логично.
А что касается практики наших правоохранительных органов, можно ее назвать успешной в розыске, привлечении к ответственности конкретных виновных лиц в утечках данных или мы делаем вид, что просто виноват «Яндекс» и все?
Наталья Касперская: Было несколько уголовных дел за прошлый год, я сейчас не готова сказать сколько, явно их было штучное количество.
Для следователя расследование таких уголовных дел в отношении конкретных лиц, их розыск и так далее — это технологически посильная задача?
Наталья Касперская: Посильная, но сложная. Нужно получить доступ к инфраструктуре конкретного оператора персональных данных, понять, как у него устроено хранение, получить доступ, посмотреть логи, кто имел доступ. Понятно, что если это преступный вынос данных, то логи затираются, как правило, значит, нужно будет как-то восстанавливать. Это сложное техническое действие. У нас мало людей в стране, которые способны вести такого рода компьютерные расследования. Вы должны понимать, что у нас количество компьютерных преступлений за последние несколько лет растет по 70-80% в год, и расследователей просто на всех не хватает с такой квалификацией.
Может быть, я не прав, но на бытовом уровне я давно ничего не слышал о взломах квартир, в которых зачастую не лежит ничего, кроме карточки, и то она там не лежит. Взломать пытаются наш телефон, потому что все находится там. Здесь надо как-то в том числе на уровне правоохранительной системы понять, что сейчас не замки взламывают.
Наталья Касперская: К чести МВД, я должна сказать, что они это понимают. Я смотрела статистику МВД за прошлый и 2021 год, и они видят, что количество физических краж и преступлений пошло на спад, особенно в Москве это заметно, а количество компьютерных преступлений резко выросло. Чтобы предотвращать эти преступления и бороться с ними, кадры нужно готовить пять-семь лет, люди должны закончить институт, специальность по компьютерной криминалистике. У нас на компьютерной криминалистике не скажу сколько, но это десятки людей работают, а их должны быть тысячи. Их просто нет, их не готовили к такому валу, у нас пошла очень быстрая цифровизация, и к этому валу никто просто не готов. Чтобы подготовить эти кадры, уйдет какое-то время, а пока мы будем сидеть сейчас, грустно разводить руками и смотреть на эту несчастную статистику.
Системы защиты, которые и вы производите и поставляете на рынок, во всей этой конструкции какую роль играют? Они играют решающую роль или при похищении данных все равно работают люди, которые имеют доступ к любой системе?
Наталья Касперская: Я бы сказала так, что без этой системы утечка данных будет гарантирована. Все-таки при наличии системы защиты от утечек это сделать сложно, нужно как-то потрудиться. Но любая система, построение системы защиты от утечек — это не только технические средства, это целый набор организационных мероприятий, когда мы вводим у себя режим тайны, защищаем персональные данные, понимаем, как и где мы их храним. Мы используем разные средства защиты, так называемые эшелонированные. На внешнем периметре, например, межсетевой экран, чтобы злоумышленнику трудно было пробраться, на внутреннем периметре — система защиты от утечек, еще отдельный можно поставить монитор на действия сотрудников, которые вызывают у нас подозрение, того же администратора, чтобы логи с его компьютера собирались, чтобы можно видеть, он вообще взламывал или не взламывал. Это тоже делается. Набор таких средств и набор административных мер довольно эффективно позволяют снизить утечки. Но, к сожалению, что бы вы ни делали, гарантий нет. Нам говорят иногда: дайте гарантии. А их никто дать не может. Это как если вы попытаетесь защищать дверь, вы можете поставить железную, риск взлома снизится, вы можете поставить две двери, они влезут в окно, или они просто постучатся, и вы сами откроете.
Тем не менее в необходимости двери никто не сомневается, а то войдет любой прохожий. Теперь совершенно о другой стороне кибербезопасности. Сейчас во Владивостоке, затем в Новосибирске отключились паркоматы, которые, к счастью, никому особо не нужны, отключились они по той причине, что их французский производитель их отключил, и они превратились просто в столбики. Ладно, это заметно, но не страшно. Но я разговаривал с главой «Трансмашхолдинга» и спросил его про станки, он сказал, это самая большая головная боль в том, чтобы они не превратились в кирпич. Это станки с числовым программным управлением, более того, они управляются из облака. И это облако не наше. Не вдаваясь в подробности, он сказал, что у них целое подразделение работает, чтобы отделить станки от облака. Это, конечно, будущее этих станков, использование этого оборудования сильно ограничивает, но защищает от остановки. А в принципе насколько актуальна эта тема с учетом того количества программного продукта, который мы используем, начиная от наших телефонов и заканчивая промышленным оборудованием, чтобы в ближайшей перспективе изолироваться и защитить их от отключения, каков спрос на такого рода работу?
Наталья Касперская: Отключение — это вообще большая тема, потому что в последние годы информационные технологии развивались исключительно в сторону все большей привязки пользователя к производителю. Для производителя это чрезвычайно выгодно, потому что это позволяет продолжать доить пользователя на протяжении всего времени, что он использует их продукт. Это касается и автомобилей, и станков с ЧПУ (числовым программным управлением. — BFM.ru), практически всех областей.
Это как iPhone: выбраться из экосистемы так трудно, что не стоит начинать. Возможно, но очень трудно.
Наталья Касперская: Конечно, вообще интернет вещей очень сильно пропагандировали, говорили, что это новое будущее, новая индустриальная революция, это классно, модно, здорово, но при этом как только вы встраиваете интернет, появляются сразу две проблемы. Первая: все те угрозы, которые свойственны интернету, приходят в физическое устройство, куда этот интернет вещей встраивается. То есть кофемашина может вам кипяток так нагреть, что у вас все взорвется, если она подключена к интернету и если злой хакер ее попробует так разогнать. Это я так, фантазирую, но эксперименты с остановкой автомобилей на ходу проводились, и они успешны. Это прямо демонстрации, когда подключались к системам управления автомобилем и вполне себе останавливали это движущее средство на дороге. А вторая проблема — это сами производители. Я об этом давно говорила, потому что мы понимаем, что если есть техническая возможность, то она рано или поздно может быть использована. Наша страна это прочувствовала после начала СВО, когда у нас стали отключаться разные системы. И вот задача по тому, чтобы обезопасить систему, отключить ее от внешнего управления, — это прямо отдельная большая задача, которая не всегда реализуема легко, потому что производители пытались всегда оставить для себя какой-то блок управления. Например, с автомобилями встраивали антенны в такие места, где ты ее не найдешь, а если найдешь и отключишь, то автомобиль может превратиться в тыкву, просто перестанет ездить, потому что электроника оказывается задействована вот на этот конкретный элемент.
Все процессы идут через эту антенну?
Наталья Касперская: Да, информационные технологии — это способ поставить пользователя в зависимость. Что с этим делать? Есть два пути. Первый: пробовать производить свое. Это у нас неплохо получается по программным продуктам. У нас широкий спектр этих продуктов, 18 тысяч штук только в одном реестре программного обеспечения российского, там есть что предложить. Там есть некоторые лакуны, места, где хотелось бы иметь больше, это промышленное программное обеспечение, средства разработки, еще что-то, но в целом там все неплохо. А вот с программно-аппаратными комплексами и со станками ЧПУ засада. Потому что это встроенный софт, который писался специально под эти станки. У них там своя операционка стоит маленькая, другая и своя оболочка, и под нее никто ничего не делал, потому что это не имело смысла на рынке. Пока производитель поставляет этот станок, он поставляет его как большую железяку вместе с мозгами, мозги внутри, и отдельно мозгов не существует. Мы анализировали по некоторым серверам для создания межсетевых экранов и поняли, что даже использовать межсетевые экраны иностранных производителей, чтобы на них поставить свой продукт, невозможно, потому что стоит микрошифрование, которое при попытке его взлома или убирания системы просто обнуляет всю систему.
Если говорить глобально, скажите, это неизбежная черта интернета вещей, что ты привязываешь те или иные устройства, будь то станки, будь то устройства домашние, будь то автомобиль, и неизбежно привязываешься к облаку конкретного производителя? И все это предопределено или можно пытаться продвигать другую тенденцию, что если я купил станок, то у меня должна быть возможность вообще отделиться от его изготовителя и работать автономно, что это должно быть, допустим, такое требование? Или технологически мы уже выглядим так, что можно что угодно принять, а будет все равно вот так?
Наталья Касперская: Во-первых, конечно, есть разные ситуации с разными видами устройств. Некоторые устройства требуют для своего функционирования облако, некоторые не требуют. Нетребование облака, в частности, состоит в том, что не всегда есть возможность получить стабильный интернет, поэтому устройство должно работать и так, без интернета. Поэтому большинство устройств имеют такую возможность, и это, собственно, позволяет от облака отключиться. Но производители очень сильно давили в эту сторону, они рекламировали эти возможности.
Да, мы не осознавали, что это пожизненная зависимость может быть.
Наталья Касперская: Да, вот помните, как облака рекламировали? Приходите в облако, облачный сервис — это так удобно, это выгодно, это очень выгодно, на это все давили. Удобство, выгода, вот это вот все. Когда вам говорят про удобство и выгоду, у меня вот как у человека, 25 лет работающего в области информационной безопасности, сразу возникает такое отторжение, думаю, что-то мне хотят втюхать что-то нехорошее. И когда начинаешь разбираться, да, понятно, что нехорошо. Когда эти облака начали отключать, те, кто вообще на облачных сервисах сидел, вот, например, строили, я знаю завод один, клиент наш, большую свою систему, огромную построил на облаке. И, естественно, в марте у них все отключается, и все деньги, во-первых, которые они потратили, просто пропали, у них просто исчезла система, все, и все данные, которые там были. Они обращаются к производителю, а производитель говорит: «А против вас санкции, что же мы можем сделать? Мы бы с радостью, но против вас санкции, мы ничего не можем сделать». А местный поставщик, который обеспечивал, собственно, поставку, говорит: «А я-то что, это же они все делают, что я-то?» Поэтому какое-то время понятно, что эти умные устройства с ограниченным уже действием, уже без подключения к облаку, будут работать. Что делать дальше? Понятно, что тенденция мировая никуда не делась, производители по-прежнему хотят контролировать своих пользователей, и чем больше они их контролируют, тем больше пользователь попадает от них в зависимость и тем выгоднее это производить. Понимаете, это просто выгодно.
На бытовом уровне, если ты все свои воспоминания поместил в чье-то облако, то вынуть их оттуда возможно, но сложно, затратно, и перенести куда-то, в общем, у тебя там терабайты информации, все, ты, так сказать, из него не смоешься. Но на самом деле не только ведь, наверное, мы в очень острой форме столкнулись с этой стороной цифровизации, но, как мы видим, все-таки это и во всем мире. В принципе возможен ли какой-то обратный тренд, когда будут требовать от производителей, будут смотреть какие-то протоколы, которые обеспечат возможность потребителя, клиента уйти и уйти безболезненно максимально?
Наталья Касперская: Я думаю, что российский пример на самом деле довольно показателен. Россия, к счастью, имеет довольно большую протяженность границ, и наши соседи, конечно, смотрят, что происходит в России. И, конечно, когда целую страну можно вот так — раз, взять и выключить, то они начинают задумываться: мы сейчас купим, а нас тоже вот возьмут и выключат по какой-то причине. И я думаю, что потребность такая на рынке, конечно, будет возникать. Как на нее будут производители реагировать, это вопрос отдельный. Мое убеждение, что нам все равно нужно двигаться в сторону создания своего. Это не должно быть только вот, что мы будем сидеть и молиться на западных производителей, что когда-то в них все-таки совесть взыграет.
Я недавно видел на выставке новый ноутбук белорусский — «Горизонт», наши белорусские коллеги этим гордятся. Но все равно в нем процессор Intel, все-таки там доля критически важных в цифровой экономике элементов, которые мы можем производить сами сегодня, ничтожна мала, в перспективе она, предположим, вырастет, но чтобы она перевалила черту в 50%, мне кажется, сейчас это реалистично трудно себе представить. Или я ошибаюсь?
Наталья Касперская: К сожалению, микроэлектроника — это болевая точка, скажем так, нашего государства. Исторически Советский Союз довольно неплохо начал развивать собственные информационные технологии, и первые вычислительные машины у нас были не хуже, чем американские, где-то шли примерно вровень. Но в 1972 году ЦК КПСС принял исторически неверное решение, на мой взгляд, о переходе на единую серию вычислительных машин, которая была построена на платформе ЭBM. И это была большая диверсия под всю микроэлектронику тогдашнего СССР и потом Российской Федерации. И с этого момента у нас своя микроэлектроника начала деградировать, потому что не стало смысла, потому что мы закупали, создавали крупные серии, потом стали закупать компьютеры, потом пришла эпоха персональных компьютеров, и потом у нас все заместилось. А надо понимать, что создание электроники это очень сложный, очень дорогой процесс, который требует огромных инвестиций.
Но он вообще везде глобализован, США тоже все не производят, верно? Литографические машины производятся только в Нидерландах вообще.
Наталья Касперская: Да, есть такая проблема. Но для того, чтобы у тебя была электроника в стране, у тебя должен быть полный цикл, то есть у тебя должны быть специалисты, которые в этом разбираются, институты, которые готовят, научные институты, которые готовят научную базу, куда идут специалисты тоже, компании, которые это производят. Понимаете, целая экосистема. Вот у нас экосистемы нет, ее строить долго. У нас есть процессоры, вы говорите, что у нас нет процессоров, это неправда, у нас есть процессоры. Есть процессоры для специальных применений и есть процессоры для массового применения, для нашего с вами домашнего пользования. Для домашнего пользования, если вы хотите в смартфон воткнуть шесть нанометров, то, извините, это не к нам. А вот если станок какой-то, трактор, условно, работает, вот на трактор есть у нас процессоры. Они работают, почему, у нас там десятками тысяч производятся, сейчас производят еще больше, сейчас объем растет. Но текущее производство, конечно, позволяет делать, во-первых, не миллионами штук, а во-вторых, только для специальных применений. И второе, конечно, вы правильно заметили про литографические машины.
Я к тому, что ни в одной стране нет полного цикла.
Наталья Касперская: Китайцы сейчас пытаются у себя сделать. И я думаю, что здесь нам нужно строить альянс, конечно, в одиночку одной стране очень трудно вытащить, даже такой мощной, как Китай. Но с какими-то альянсами, БРИКС например, это вполне себе выглядит реалистично.
Спасибо. На этом прогнозе остановимся. Мне кажется, мы больше говорили пока о вызовах, нежели чем о их решениях, но такова участь жизни в быстро меняющемся и развивающемся технологическом мире.
