—Когда вы поняли, что цифровая безопасность станет главным вопросом, который встанет перед человеком сейчас?
— Я занимаюсь информационной безопасностью без малого 30 лет, и я наблюдаю, что все новые технологии, которые появляются, обязательно несут в себе еще и риски. Эти риски либо встроены прямо в технологию — то есть технологии изначально уязвимы, либо они проявляются или становятся известны злоумышленникам уже после того, как технология начинает массово распространяться.
—Риски могут быть встроены в технологии сознательно?
— Да, многие технологии имеют сознательно встроенные уязвимости. Например, удаленное управление. Я думаю, что люди, которые придумали, скажем, интернет вещей, понимали, что они делают это в том числе с целью получения удаленного управления устройствами, куда IoT встраивался. А удаленное управление — это что? Это контроль, возможность выключения. В данном случае эта возможность была заложена заранее.
Я не говорю о специальных закладках, когда в изделия намеренно встраивают вредоносные функции, программные или аппаратные, а то и взрывчатку, как в случае с израильскими пейджерами для "Хезболлах".
Однако чаще всего технология все-таки создается с конкретной практической целью, и уже после этого людям становится понятно, как она может быть использована для нанесения вреда.
—Мы на форуме "Российский промышленник", и здесь говорят в первую очередь о различных отраслях. С точки зрения защищенности наших промышленных компаний и тех цифровых продуктов, которые они используют, — что у нас появилось в России, о чем мы можем говорить: "Это наше, и мы тут обеспечиваем безопасность"?
— Когда в стране начался новый виток цифровизации — до этого это явление называлось "информатизация", его основным отличием стало внедрение интернета вещей, то есть внедрение интернет-технологий в привычные системы автоматизации. Основное отличие интернета вещей от информатизации прошлых лет состоит как раз в возможностях удаленного управления.
Конечно, это делалось с целью помочь производителям удаленно контролировать свои устройства, чтобы их вовремя чинить или заменять.
Однако защищенность любой системы считается по ее слабейшему звену. И интернет сейчас как раз и является таким слабейшим звеном. Поясню на примере. У атомной станции очень высокая защищенность, допустим 99,99999%. Тогда как уровень защищенности интернет-систем в 99% считается хорошим, т.е. система, пропускающая максимум 1% угроз, считается нормальной. Это означает, что если мы некритично внедрим интернет вещей в атомную станцию, то защищенность атомной станции упадет в 10 тыс. раз, т.е. на 5 порядков.
Поэтому внедрение интернета в промышленные системы, конечно, не делается в лоб. Обязательно применяются защитные меры. Из самых очевидных — разделение сетей общего пользования и промышленных, они не должны сообщаться. Сохранение возможности физического отключения промышленных сетей. И, наконец, технические средства информационной безопасности. Они — как последний эшелон защиты, потому что, к сожалению, они не все могут защитить. Например, если иностранный производитель внутри своей промышленной системы использует, например, незадекларированные функции, то наружные средства защиты от них не помогут. А в России автоматизированные системы управления технологическими процессами (АСУ ТП) на 90% иностранные. Это означает, что доверия им нет.
Ну а если непонятно, как защитить АСУ ТП, то лучше подождать с их цифровизацией до момента, пока не станет понятно, как можно обеспечить их информационную безопасность.
—Если говорить о киберугрозах, на каком уровне мы сейчас находимся с точки зрения "самостоятельности" в плане систем безопасности и собственной защиты?
— Отрасль информационной безопасности, наверное, самая развитая из всех информационных технологий России. У нас лучшие в мире антивирусы, лучшие системы защиты от утечек, хорошая собственная школа шифрования, оставшаяся еще с советских времен — в стране около 100 компаний по шифрованию. В ИБ России много сильных компаний мирового уровня. К сожалению, наши разработки не могут полностью обеспечить безопасность информационных технологий иностранного производства.
Приведу пример. Иностранные производители АСУ ТП могут отследить, что производимое ими оборудование поставляется, например, на оборонное предприятие, и могут просто прекратить его работу удаленно. Поэтому для обеспечения безопасности государства в целом начинать надо с нуля — с процессора, оборудования, ПО, которое мы устанавливаем.
Государство не случайно ведет политику импортозамещения. Не обеспечив всю технологическую цепочку, невозможно гарантировать безопасность, можно лишь закрыть основные дыры. Хотя на текущий момент даже это закрытие дыр позволило нам обеспечить устойчивость государственных и коммерческих ИТ-систем в условиях беспрецедентных атак 2022 и 2023 годов. Так что можно без прикрас считать, что российская информбезопасность — лучшая в мире, поскольку инфраструктура ИТ РФ тогда устояла.
—Как вы оцениваете импортозамещение в самой сфере ИТ в 2024 году?
— Программа импортозамещения в России была начата еще в 2015 году. Основополагающим документом для ИТ стало постановление правительства Российской Федерации от 16 ноября 2015 г. №1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд". Напомню, оно было введено после первых санкций против нашей страны, последовавших после присоединения Крыма.
Не могу сказать, что следующие семь лет госучреждения и предприятия с госучастием ничего не делали, но они точно не особо старались. Было придумано много разумных аргументов, почему не надо переходить на отечественное: от "Мы используем лучшее, что есть на рынке" до "Смена ИТ-систем приведет к нарушению бесперебойности работы".
Потом наступил 2022 год и начался уход иностранных производителей. С этого момента импортозамещение у нас пошло в "режиме ошпаренной кошки". И те же самые предприятия, которые не хотели закупать отечественные продукты на протяжении предыдущих семи лет, стали кричать: "Срочно дайте нам отечественные продукты того же качества и функционала, к которому мы привыкли". Но чудес не бывает — дерево не вырастает сразу, оно начинается с ростка. И там, где эти ростки были слабые, придавленные прессом транснациональных корпораций, теперь приходится ждать, пока они поднимутся и наберутся сил.
В информационной безопасности, к счастью, выросли достаточно крепкие и сильные деревья. А, например, в области промышленного инженерного софта у нас были небольшие компании, которые "подъедали крошки" со стола транснациональных корпораций. Когда иностранцы ушли, заказчики навалились на эти компании с длинным списком срочных требований и доработок.
Но это еще не самая плохая ситуация, потому что тут хотя бы у нас есть производители. А есть области, где у нас вообще нет наработок. Например, языки программирования, платформы искусственного интеллекта и т.п. Их писать надо с нуля, и непонятно, кто это будет делать.
Что касается оборудования для ИТ, то тут ситуация еще хуже. В свое время база микроэлектроники в РФ была уничтожена, и теперь ее надо восстанавливать. А заводы и производственные мощности — это огромные инвестиции.
Тем не менее можно констатировать, что за два года ситуация в плане импортозамещения сильно улучшилась, особенно в тех областях, где у нас были заделы. Дальше нужно системно работать над областями, где у нас заделов нет. В них, к сожалению, без помощи государства очень сложно обойтись. Инвесторы из "частного кармана" не могут финансировать большие, наукоемкие проекты — срок их окупаемости слишком длинный, что просто экономически нецелесообразно для частных инвесторов. Нужно государственное плечо для того, чтобы эти вложения сделать.
В целом, мы далеко продвинулись по импортозамещению, и главное — не сворачивать с этого пути, тогда ситуация будет постепенно улучшаться.
—Назовите, пожалуйста, основные принципы цифровой гигиены, которые люди не соблюдают.
— Я скажу про использование смартфона. Большинство допускает две ключевые ошибки. Первая — люди воспринимают электронное устройство у них в кармане как свое личное. Личным оно не является, оно принадлежит производителю смартфона, а также производителям тех приложений, которые на смартфоне есть. Все эти производители имеют доступ к гаджету, получают с него данные и со всех сторон анализируют поведение своего пользователя. И если вы, например, чиновник определенного уровня — вычислить это несложно, вам можно показывать определенный контент или полностью собирать с вас всю вашу переписку, а дальше на вас влиять.
Вторая ошибка — люди часто позволяют себе общаться через Сеть или мессенджер так, как не стали бы общаться очно. Позволяют себе грубые высказывания, картинки, которые показывать не надо, и т.п. Я уже не говорю про пересылку чувствительной информации.
—То есть им кажется, что они в некоем поле анонимности?
— Да — им верится в анонимность. Но даже сообщение в закрытом чате для друзей или вообще личное сообщение все равно находится в одном клике от того, чтобы распространиться по всему земному шару. Достаточно вспомнить знаменитый случай с одним российским футболистом.
Смартфон — это инструмент публичного общения, это просто надо держать в голове. Мне нравится такое сравнение: писать в смартфон — это все равно что кричать на площади.
—Об утечках данных. У нас, кажется, столько населения нет, сколько уже утекло данных граждан.
— Да, за прошлый год утекло 1 121 млн учетных записей. Это 7,5 раз население России. Причем это только те утечки, которые заметил экспертно-аналитический центр InfoWatch. Конечно, часть утечек данных проходит мимо нас. Мы собираем данные только о тех утечках, которые либо утекли в прессу, либо были выложены на ресурсах хакеров.
Такое гигантское число утекших персональных данных означает просто, что одни и те же базы "гуляют" по Сети, многие — по нескольку раз. Это значит, что если в базе InfoWatch описано 656 утечек на общую сумму 1 121 млн учетных записей, то в реальности их еще больше. Например, ваш телефон мог утечь 10 или 15 раз.
А звонящие вам телефонные мошенники строят схемы обмана на основе тех самых утечек персональных данных. Знания о ваших контактах, кредитах, болезнях мошенники используют для разводок. И чем больше информации о вас они сумели получить, тем эффективнее их атаки.
—Можно ли определить, откуда идет вредоносный поток?
— Касательно телефонного мошенничества — около 80% идет с территории Украины. Там есть системно работающие кол-центры, откуда людям звонят и вымогают средства. Это видно просто по тому, как уходят деньги — человек их направляет на определенные счета, откуда средства очень быстро переводятся в криптовалюту и далее, скорее всего, за границу.
То, что пытаются сделать банки, Центральный банк в первую очередь, — это поставить заслон быстрым транзакциям. Они называют это периодом охлаждения. Чтобы человека, когда он просит кредит в банке, просили подождать, подумать сутки о том, нужно ли ему это. Возможно, такой ход сократит число жертв. Однако людей системно зомбируют — [генерал-майор полиции Филипп] Немов из МВД говорил, что их ведомство сталкивается с такими жертвами, которые настолько зомбированы, что даже полиция в очном разговоре не может их переубедить, что против них действуют мошенники.
—Можно сказать, что с этими людьми что-то не так?
— Это в любом случае наши граждане, их защищать надо. Есть незащищенные слои: дети, подростки, пенсионеры. И я считаю, что защищаться от мошенников — не их задача, это задача государства. Есть мнение, что достаточно обучить граждан — и проблема будет решена. Однако у нас сейчас везде — и в метро, и в МФЦ — лежат разные брошюрки на тему того, как отличить мошенников. А число преступлений неуклонно растет. Мошенники ведь тоже не спят и все время придумывают новые схемы.
Граждан дезориентируют, создают на них давление, чтобы они в условиях ограниченного времени быстро принимали решения, и они принимают их неправильно. На той стороне работают профессионалы в области психологии, которые придумывают схемы "разводки" и передают их в кол-центры, в которых мошенники действуют по этим схемам — и эти схемы работают.
—Какой вы могли дать совет людям? "Не верить никому", допустим?
— Если сомневаетесь в себе, лучше вообще не отвечать на звонки с незнакомых номеров, это самый простой совет. Вот что вы можете пропустить, не взяв трубку? Рекламу, наверное.
Я сама сталкивалась с такими звонками и удивилась проработанности схемы. Мне позвонили от имени дочери, очень реалистично представили ситуацию, так что я почти поверила услышанному — до того момента, как мнимый лейтенант полиции (на той стороне работали двое) не задал мне вопрос: "В каких банках у вас счета?" Я ответила: "Во всех" и выдохнула.
Кстати, если звонят от имени родственника, то хорошо бы иметь на этот случай проверочный вопрос. У нас такой в семье есть. И как только речь зашла о деньгах и счетах, я задала этот вопрос мнимой "дочери", она начала уворачиваться и трижды не ответила. Тогда стало окончательно понятно, что я имею дело с мошенниками.
—Какие два главных события в 2024 году вы можете выделить?
— С точки зрения программного обеспечения — произошло сближение между производителями программного обеспечения и крупными заказчиками. В 2022 году заказчики не знали, существует ли вообще российский софт, а теперь у них уже конкретные требования доработок.
С точки зрения бизнеса InfoWatch — на рынке появилось понимание необходимости защиты АСУ ТП, которого раньше мы не наблюдали. И резко вырос интерес к межсетевым экранам. Раньше у нас эту тематику закрывали полностью иностранные производители, а сейчас в этом сегменте есть порядка 10 российских производителей, и это уже решения, которые вполне можно использовать. За два года произошло серьезное продвижение в этой области.
—Что бы вы попросили у Деда Мороза на 2025 год?
— Я бы попросила о том, чтобы нам просто дали спокойно работать. Все остальное мы сами сделаем, без помощи Деда Мороза.
—Что вы думаете по поводу возможностей наших ИТ-компаний с точки зрения международного сотрудничества? Надо ли этим вообще заниматься в текущих условиях?
— Безусловно. Современные информационные технологии практически все имеют возможности удаленного управления, которые использовались транснациональными корпорациями, по сути, для технологической колонизации отсталых стран. К сожалению, Россия до сих пор является цифровой колонией, хотя мы и сильно продвинулись в направлении освобождения от зависимости.
В мире же цифровой разрыв между странами, могущими разрабатывать свои ИТ, и теми, кто не может, неуклонно расширялся. Последние отстают все больше, а следовательно, впадают все в большую зависимость от иностранных решений. Почему? Да потому, что у них нет кадров, людей, ресурсов, знаний, университетов, разработческих компаний, то есть нет экосистемы для производства технологий. И они вынуждены все импортировать.
2022 год нам показал, что западные импортеры могут просто уйти с рынка, несмотря на подписанные контракты и обещания. И Россия является прекрасным примером устойчивости после подобного исхода. У нас протяженные границы, и наши соседи видят как поведение якобы надежных ИТ-брендов, так и устойчивость России.
А это значит, что России есть что предложить таким странам — технологии, методики разработки, алгоритмы, обучение. Я знаю, что многие российские производители готовы открывать исходные коды своих продуктов. Это дает маленьким странам, не имеющим собственной ИТ-инфраструктуры, шанс. Надо нам просто громче заявлять о таких возможностях.
Что же касается международного сотрудничества в более широком смысле, то другим его аспектом может стать создание альянсов по разработке тех или иных технологий. Например, производство ИТ-оборудования и процессоров не является сильной стороной России. Наша сильная сторона — разработка программного обеспечения. Но если мы объединимся, скажем, с Китаем, с которым нас все время "сталкивают в друзья", то мы сможем закрыть практически все сферы ИТ.