Наталья Касперская: Цифровизация в роли ящика Пандоры

ПЛАС: Как вы оцениваете эффективность импортозамещения софтверных ИТ-решений в финансовой сфере? С одной стороны, риск введения очередных санкций, которым будут вынуждены последовать вендоры западного ПО, по-прежнему велик. С другой — существует мнение, что целому ряду зарубежных систем в России пока нет реальных аналогов (либо отечественные разработки критично им уступают), и это касается как ИТ-ландшафта банков в целом, так и систем ИБ. При этом стоимость такой миграции высока, а ее конечный результат для бизнеса никем не гарантирован. Ваше видение ситуации?

Н. Касперская: Как вы знаете, я представляю Ассоциацию разработчиков программных продуктов «Отечественный софт», и этим направлением мы занимаемся уже 12 лет. Да, аргументы типа «у нас в стране ничего нет», «по качеству мы сильно уступаем зарубежью», «это сложно, а это дорого», у нас весьма распространены. Однако если подойти к вопросу объективно, нельзя не заметить, что в действительности у российских вендоров имеются хорошие аналоги практически всем популярным решениям их зарубежных коллег. Если говорить о банковском секторе, то нельзя забывать про плеяду известных компаний- разработчиков, включая ЦФТ, «Диасофт» и целый ряд других компаний, продукты которых покупаются не только в РФ и СНГ, но и на международном рынке.

Другое дело, что не всегда российские разработки соответствуют своим зарубежным аналогам по функционалу. Однако в большинстве случаев эта проблема решаема, и заказчику лишь необходимо потребовать ее оперативного решения от своего вендора. Однако для этого упомянутый заказчик должен быть готов к сотрудничеству и пониманию проблем безопасности. Стандартный лукавый аргумент «сделайте нам лучше и дешевле аналогов, а потом мы у вас купим» подменяет проблему безопасности и независимости проблемой удобства. Приведу лишь один пример — продукт Microsoft Word разрабатывается 30 лет, имеет более 300 различных функций, но сколько из них используется потребителями на практике? Я бы предположила, что в лучшем случае 10–15%, остальные — это маркетинг для создания ощущения мощи продукта. А это значит: если российский аналог, к примеру, содержит «всего лишь» 20% функционала Microsoft Office, то это вполне покрывает основные потребности пользователя. А недостающий функционал можно доработать по требованию заказчика.

Если вернуться к теме импортозамещения в области информационной безопасности, то в России разработан целый ряд решений мирового класса. Та же «Лаборатория Касперского», несмотря на известные попытки «перекрыть ей кислород» в США и Европе, продает свое ПО в 195 странах и зарабатывает на мировом рынке — конкурируя с крупнейшими американскими корпорациями.

Убедительно представлен и российский сегмент решений в сфере защиты от утечек, не говоря уже про системы криптографии — сектор, в котором заняты около 120 отечественных компаний.

Что же касается якобы высокой цены импортозамещения, а точнее — самого процесса перехода на отечественное ПО, — то, во первых, существуют широкие возможности для поэтапного внедрения, во вторых, с отечественным поставщиком гораздо удобнее работать — он рядом и отзывчив, в отличие от иностранных суперкорпораций. А кроме того — использование российского защищает от западных санкций, которые могут внезапно обойтись гораздо дороже.

ПЛАС: Ваша оценка опасности таких моделей популяризации и масштабирования преступной деятельности (в том числе среди молодого поколения и несовершеннолетних), продвигаемых криминалитетом, как «Cybercrime as a service» и другие подвиды противоправных действий «… as а service»? Можно ли говорить о необходимости ужесточать уголовную ответственность именно за оборот различного рода преступных методик и софтверных решений, одновременно повышая раскрываемость таких дел в части выявления «продавцов», чаще всего уходящих сегодня от ответственности?

Н. Касперская: Я пришла на рынок антивирусного ПО в 1994 году, когда только- только начали появляться отдельные разрозненные вредоносные программы, созданные в основном скорее для «развлечения», чем с целью наживы. В целом это был не слишком криминальный бизнес, имеющий ярко выраженные «игровые» черты. В течение следующих десятилетий на наших глазах он все более криминализировался, все более ориентировался на хищение денег, данных и причинение вреда.

Начали развиваться организованные группировки, и рынок вредоносных программ значительно усложнился, как усложняется в ходе своего развития любая сфера деятельности. Злоумышленники стали практиковать четкое и развитое разделение труда. Одни писали вирусы, а потом и генераторы вирусов, другие искали клиентов, третьи рассылали спам с вирусами, обналичивали украденные средства. Появились сайты, предлагающие услуги по написанию конкретного вируса, ботнет-сети, а затем и аренду ботнет- сетей. Таким образом, со временем сформировался развитый рынок черных услуг такого рода, где криминальный потребитель может заказать взлом конкурентов, хищение конкретной критичной информации и т. п. В некотором смысле это — неизбежное зло в цифровом мире, так как цифровизация вообще повышает риски и легкость совершения преступлений.

Вопрос — «что с этим делать?» Цифровизация последних лет поставила перед борцами с цифровым криминалом очень сложные задачи. Потому что если раньше в год появлялось относительно ограниченное количество новых технологий, что позволяло производителям средств защиты информации своевременно создавать системы защиты, то в последние лет десять вал технологий наступает с такой скоростью, что средства защиты уже за ним просто не успевают.

Возьмем, например, Интернет вещей. В мире сейчас появляется огромное число разнообразных новых устройств, которые по умолчанию подключаются к интернету. При этом многие производители не задумываются о защите этих устройств или сознательно не делают защиты, чтобы быстрее вывести товар на рынок. Получается, что на рынок массово выходят незащищенные устройства, а когда совершается успешная массовая атака на такие устройства, все просто разводят руками.

Пример самой массовой атаки такого рода — знаменитый «червь» Mirai, первый вирус, атаковавший Интернет вещей, главным образом, веб-камеры. Когда встал вопрос, что делать, выяснилось, что единственный способ обезопасить себя от дальнейшего распространения вируса — демонтировать все зараженные камеры, заменив их новыми, поскольку старые камеры в принципе не предполагали никакой защиты. Этого, конечно, никто делать не стал — тем более что большинство владельцев этих веб-камер и знать не знают, что их камеры работают на криминальный ботнет.

Итак, в ходе цифровизации отставание между средствами ИБ и «цифрой» год от года неизбежно увеличивается. Некоторые эксперты нашей индустрии полагают, что здесь мы уже прошли точку невозврата. Впрочем, сама я не настроена так пессимистично и считаю, что ситуация не столь фатальна. Однако надо быть объективными — надеяться, что кто-то установит вам кнопку «Полная защита», сегодня уже не приходится.

ПЛАС: Ваша оценка эффективности текущей работы правоохранительных органов. Что мешает им быть успешнее в противостоянии киберпреступникам — отсутствие соответствующих компетенций, несовершенство законодательства, низкий уровень коммуникаций с банковским сообществом?

Н. Касперская: Я считаю, что, с одной стороны, уголовную ответственность за утечки персональных данных граждан надо ужесточать, а с другой — надо адаптировать Уголовный кодекс РФ к современным реалиям. Потому что появляется много новых видов правонарушений, и очень часто — с использованием методов социальной инженерии, которые остаются безнаказанными, так как на них просто нет «статьи». Тут, конечно же, должна быть организована совместная работа специалистов по ИБ и экспертов в уголовном праве.

А сегодня ситуация в области ИБ напоминает послевоенную Одессу, как ее показали в сериале «Ликвидация», — милиции почти нет, опытные спецы еще не вернулись с фронта, а преступники всех мастей спешат воспользоваться благоприятной ситуацией.

В то же время, если говорить о моей оценке эффективности текущей работы правоохранительных органов, то отмечу — когда разрабатывали программу цифровизации страны, наши правоохранительные органы никто не спрашивал, готовы ли они к тому валу мошенничеств, который за этим безусловно последует. Никто не спрашивал их при внедрении на предприятиях цифровых систем, ежедневно плодящих утечки данных (рост на 34% по итогам 2020 года, и на 40% — за первое полугодие 2021 го).

По итогам этих утечек у граждан массово вымогают деньги, воруют, обманывают. Такого вала мошенничеств не было никогда. По статистике Генпрокуратуры, число мошенничеств с использованием ИТ в России выросло на 36% в 2020 году по сравнению с годом ранее, а доля мошенничеств с использованием ИКТ выросла с 50% до 71%. То есть большинство современных мошенничеств совершается с использованием новых технологий.

Правоохранительным органам трудно бороться с таким взрывным ростом. Тем более что специалистов катастрофически не хватает, а цены на таких специалистов постоянно растут. Что делать правоохранительным органам в создавшейся ситуации? МВД организует различные кибердружины, а в некоторых регионах — киберполицию. Но на организацию этих структур и разработку адекватных мер противодействия требуется время, а быстрая, форсируемая государством и бизнесом цифровизация этого времени не дает.

Поэтому перекладывать всю ответственность на правоохранительные органы в этой ситуации было бы крайне несправедливо. Напротив, им срочно требуется помощь. Их ответственность, если говорить откровенно, вообще-то начинается с момента подачи заявления потерпевшим. А ответственность за создание условий для совершения преступления начинается раньше — в момент внедрения «дырявых» цифровых систем и передачи полномочий коррумпированным цифровым клеркам.

ПЛАС: В феврале 2021 года вы отмечали, что большая часть сбора и использования данных сейчас осуществляется в серой зоне, и, если не остановить сбор персональных данных кем попало, нас ждут «цифровые Фукусимы». Тогда в качестве ответной меры вы предложили создать некий «цифровой кодекс», а также разработать и принять законы о цифровой идентичности, о праве на тайну идентичности и об обороте пользовательских данных. Какое развитие получили эти инициативы?

Н. Касперская: Если говорить о предварительных результатах, то стоит отметить в том числе и поручение Президента РФ от января 2021 года разработать проект концепции защиты прав граждан в цифровом пространстве как один из первых шагов к созданию такого Кодекса. Исполняя это поручение, Совет по правам человека 31 июля сего года подготовил и передал в администрацию Президента РФ и правительство РФ концепцию защиты цифровых прав граждан. Эта концепция утверждена правительством и должна быть направлена президенту нашей страны, после чего можно будет ожидать от него соответствующего поручения на разработку закона. Таким образом, работа идет.

ПЛАС: В последние годы огромные массивы персональных данных создаются в самых различных сегментах российского информационного рынка, в том числе в системе обслуживания российских граждан в медицинских учреждениях. При этом доступ к этим персональным данным максимально упрощен и находится вне правового поля. Не является ли данный сегмент еще одной из будущих версий упомянутой вами «цифровой Фукусимы», в которой неуправляемая цепная реакция уже началась, и при нынешнем отношении к этой проблеме нам остается только ожидать катастрофы в самое ближайшее время? Что необходимо делать в такой ситуации — даже не вчера, а позавчера?

Н. Касперская: Да, миллиарды звонков гражданам в последние три года — это, конечно же, катастрофа вроде Фукусимы — эти токсины добрались практически до каждого. Мы действительно открыли ящик Пандоры, и оттуда продолжают валиться нам на голову самые разнообразные риски. А что делают наши «цифровизаторы»? Они говорят: «давайте еще приоткроем его, пошире — например, введем повсеместную и поголовную биометрию».

И это при наличии открытой информации об экспериментах по «пробиванию» биометрии. Например, алгоритмы биометрической идентификации Microsoft и Amazone пробивались в 68% и 78% случаев дипфейками1. Нетрудно предположить, что произойдет, если сейчас все население России сдаст ту же лицевую биометрию. Наши лица окажутся в базах — и в единой ЕБС, и в «зоопарке» других баз данных, после чего эти данные будут совершенно неизбежно проданы, украдены и станут доступны преступникам. А ведь собственное лицо уже не поменяешь…

Уверена, что форсированно, поспешно внедрять такого рода системы, не проанализировав всех рисков, не создав адекватную модель угроз, не проведя открытых тестов на устойчивость системы, неправильно. Вначале необходимо «закрыть» все вопросы с безопасностью. Как мы вообще собираемся защищать единый реестр биометрических данных, единую государственную систему сбора данных со всех ведомств? Сейчас у нас активно «цифровизуется» медицина — и я вас уверяю, что в ближайшие годы мы столкнемся с весьма специфическими проблемами…

Следует также учесть, что при объединении различных ИТ-систем, конечно же, можно выделить больше средств на защиту этой системы, но в то же время создание единой точки доступа дает злоумышленникам очень привлекательный объект для взлома. Да, обычно разработчиками систем биометрии заявляется, что биометрические данные в системах типа ЕБС хранятся в деперсонализированном виде и раздельно с идентифицирующими данными (например, ФИО и лицо — раздельно) или вообще не хранятся в «сыром виде», а только в виде криптографических сигнатур («хэшей»), и поэтому даже несанкционированный доступ к ним якобы не может грозить владельцам персональных данных. Но в реальности не все так радужно. Во-первых, сырые данные хранятся всегда. Ибо они нужны для разрешения инцидентов («это заплатил не я», «этот клиент — мошенник» и т. п.), а также для выемки данных по запросу спецслужб и т. п. Да и по «закону Яровой» — тоже. Конечно, хранятся даже не только эталонные фото и видео, но и динамические данные — серии транзакционных снимков (иначе как потом проверять инциденты). А кроме того, их постоянно используют для переобучения и дообучения системы при обновлении ПО.

Во-вторых, проданные или похищенные данные из разных баз могут быть объединены продавцом или его заказчиками- преступниками по идентификаторам и ключевым признакам с помощью тех же систем искусственного интеллекта. Ну и кроме того, массовое хищение таких данных позволит делать массовые же атаки на другие системы авторизации — вне той системы, из которой они украдены. Просто пока биометрия не очень распространена, это не стало массовым явлением. Но все еще впереди.

Поэтому ситуация действительно близка к критической, и необходимо как-то привлечь внимание Минцифры РФ и правительства в целом к этой проблеме. Возвращаясь к уже упомянутому ящику Пандоры, на наш взгляд, именно сейчас следует несколько притормозить, не открывать его еще шире, а лучше даже прикрыть пока крышку, потому что прежде необходимо сформулировать и принять модель угроз и базовые принципы безопасности. Этим, в частности, занимается наша рабочая группа по информационной безопасности нацпроекта «Цифровая экономика РФ», которая сформулировала довольно очевидную цель «каждый гражданин РФ должен чувствовать себя информационно защищенным». Но пока наши инициативы, к сожалению, по большей части не встречают понимания в правительстве, увлеченном цифровизацией всего и вся.

ПЛАС: Продолжая тему социальной инженерии. Ряд экспертов утверждают, что некоторые сотовые операторы до сих пор не заняли активную позицию в противодействии активности мошенников, использующих официально запрещенную подмену телефонных номеров. В результате они, с одной стороны, фактически содействуют мошеннической деятельности, повышающей трафик, а с другой — продают банкам дорогостоящие сервисы для противодействия телефонному мошенничеству. Что делать в этой ситуации? Есть ли смысл, например, повысить юридическую ответственность сотовых операторов за преступления с использованием такой технологии?

Н. Касперская: Я согласна, что ответственность телефонных операторов, прямо и или косвенно способствующих массовому телефонному мошенничеству, равно как ответственность их персонала и руководства, необходимо повышать, вплоть до уголовной.

Пока мы ведь не видели, чтобы кто-то ответил за чудовищный вал мошеннических звонков, захлестнувший всю страну. Не слышно пока в СМИ об увольнениях, арестах, уголовных делах, заведенных ни на цифровых клерков, ни на их начальство.

Совсем недавно, на заседании нашей рабочей группы по информационной безопасности, мы обсуждали вопрос подмены номеров — в ответ на него один из крупнейших телеком- операторов страны заявил, что технически способен пресечь попытки подмены номеров, но ему требуется для этого указание регулятора и т. п. Это что вообще такое?! У них что, нет социальной ответственности? Их нужно заставлять угрозой судебного преследования? Ну, значит, действительно нужно…

А пока, по некоторым оценкам, каждому гражданину нашей страны, имеющему смартфон, мошенники уже успели позвонить по нескольку раз, т. е. счет идет на миллиарды звонков. Такие масштабы преступной деятельности невозможны без мощной инфраструктуры, с использованием существующих платформ связи, а стало быть, те же операторы могут (и должны) успешно бороться с подобной активностью техническими способами. И если они не борются, то фактически являются соучастниками, как ни печально это признавать.