Ссылки для упрощенного доступа

Призраки кибертеррора


Кто страшнее: хакеры или государства?

Основные тезисы программы:

– Специалисты различают "кибербезопасность" (предотвращение угроз со стороны техники) и "информационную безопасность" (угрозы со стороны контента). На Западе, как правило, борются с первой, в России – со второй

– Государства все чаще пользуются услугами хакеров для ведения информационных спецопераций, в структурах безопасности появляются специальные киберподразделения. Вместе с тем, история с российской атакой на выборы в США представляется сильно преувеличенной

– С точки зрения международного правового регулирования кибертехнологий и кибератак сейчас мы находимся примерно в той же фазе, в какой человечество находилось в 50-х годах в отношении ядерного оружия: есть технология, есть прецеденты ее применения, но нет норм, которые ограничивали бы это применение

– По мере усложнения технологий в мире растет число уязвимостей, один из примеров – интернет вещей, который может быть элементарно "взломан", что может нанести огромный урон

– Но все же велик риск, что государство, Большой брат 2.0, окажется куда большей угрозой для простого пользователя, чем все кибертеррористы, вместе взятые

Сергей Медведев: Мы говорим об угрозах будущего. В частности, у всех на слуху угроза кибертерроризма, кибервойн, русские хакеры, которых сейчас ищут под каждой кроватью в Америке, да и в Европе тоже. Или даже на более бытовом уровне – программы-шифровальщики, которые захватывают наши компьютеры, так что те становятся практически непригодными. Идет ли глобальная кибервойна, грозит ли нам кибертерроризм? Об этом в сюжете нашего корреспондента Антона Смирнова.

Следы, которые мы оставляем в сети, становятся продолжением наших личностей

Антон Смирнов: Все чаще тема кибербезопасности, сохранности личных цифровых данных, становится предметом скандалов, причем предметы для скандалов самые горячие: личная жизнь, политика и финансы.

Следы, которые мы оставляем в сети, по сути, становятся продолжением наших личностей. Они хранят данные о наших жизнях, тратах, маршрутах и мыслях. Так называемые "чувствительные" данные – переписки и пин-коды – становятся желаемой добычей для киберпреступников. Но и государство, которое должно защищать наше право частной жизни, также желает получить данные о нас.

И получается, что с одной стороны пользователю угрожает хакер, который хочет похитить его ценные данные, а с другой стороны – государство, желающее контролировать каждый шаг гражданина.

Сергей Медведев: У нас в гостях Алексей Лукацкий, консультант по информационной безопасности Cisco Systems, и Олег Демидов, консультант ПИР-центра. Хочу сначала разобраться с терминами. Есть информационная безопасность, а есть кибербезопасность – это разные вещи?

Алексей Лукацкий: Исторически и юридически они разные, потому что в России на достаточно высоком уровне запрещено использовать в официальных документах термин с приставкой "кибер-": считается, что он навязывается нам геополитическими противниками. Второй момент: кибербезопасность – все-таки более технологическая тема, чем информационная безопасность, которая, согласно доктрине об информационной безопасности, имеет еще некую контентную составляющую: это защита от негативной информации. В кибербезопасности этого слоя в принципе нет.

Сергей Медведев: Откуда все-таки исходит главная угроза – со стороны хакеров или со стороны государства?

Олег Демидов: И оттуда, и оттуда, причем противопоставлять эти два источника угрозы иногда не совсем верно, потому что все больше сюжетов, расследований и гипотез о том, что действуют группировки, тесно связанные с правительствами. То есть хакерские юниты, источники постоянной повышенной опасности, напрямую работают на правительство, государство выступает заказчиком их действий, кибератак. И мы получаем два источника угрозы в одном лице.

Сергей Медведев: А есть ли подтвержденные случаи наличия поддерживаемых государством хакерских групп?

Государство выступает заказчиком кибератак

Олег Демидов: Все зависит от того, насколько убедительным мы считаем подтверждение. После каждой крупной компьютерной атаки проводится расследование частными компаниями, и параллельно пострадавшее государство проводит расследование своими силами. И каждый раз собирается какой-то массив доказательств. Вопрос в том, насколько они убедительны, ведь крайне сложно стопроцентно точно приписать то или иное действие тому или иному субъекту в киберпространстве.

Сергей Медведев: А как же все эти известные случаи, когда ловят хакеров?

Алексей Лукацкий: Поймать и атрибутировать – это разные вещи. Если его поймали, то дальше у него, как правило, изымаются его средства вычислительной техники, компьютеры, планшетники, смартфоны. Получается доступ к информации, которая хранится на этих устройствах, к его почтовым ящикам, и дальше уже специалисты, опираясь на достаточно большой объем найденной информации, могут делать определенные выводы о том, что именно этот человек стоял за какими-то атаками или входил в группировку, которая за ними стояла.

В Соединенных Штатах Америки практикуется практика сделок со следствием, когда пойманному человеку предлагается сознаться в чем-то для того, чтобы уменьшить его срок в американской тюрьме. Поэтому достаточно большое количество лиц, которые были экстрадированы в США или пойманы там же, сознаются в том, чего они, возможно, никогда не совершали, но им проще сознаться, чем очень долго сидеть и доказывать свою невиновность.

Сергей Медведев: Как вы смотрите на эту коллизию, что хакеров все больше и больше берут под контроль государство и разные спецслужбы? Или все-таки есть некий отдельный от этого интернационал, вообще романтики-одиночки?

Пока хакеры – это киберкриминал, который не находится под контролем государства

Алексей Лукацкий: Их не так много берет под контроль государство. Пока все-таки хакеры – это киберкриминал, который не находится под контролем государства. Они выполняют свои задачи ради довольно банальной выгоды – заработать денег либо на прямом взломе, либо на перепродаже того, что они взломали. А действия хакеров в угоду государству – это пока скорее эпизодические примеры, которые во многом пока еще не доказаны.

Сергей Медведев: Хакером сейчас может стать практически каждый? Как я понимаю, все есть в "Даркнете"?

Олег Демидов: Войти на рынок компьютерной преступности может каждый, не развивая специальной квалификации и навыков – просто потому, что на рынке компьютерной преступности очень развита аренда и продажа готовых инструментов, например, программа для управления ботнетами, для совершения Ddos-атак и других видов действий.

Сергей Медведев: Для считывания кредитных карт… Эти программы продаются за какие-то копейки.

Олег Демидов: Есть огромный рынок, огромное количество позиций на продажу и аренду разных инструментов, которые может купить и использовать человек, даже не имеющий специальных навыков. Интерфейс управления у них простой, как у любой программы на рабочем столе вашего компьютера.

Алексей Лукацкий: Более того, майнинг криптовалют зачастую осуществляется незаконно, когда на компьютер пользователя подсаживается вредоносная программа, которая тратит ресурсы компьютера. А если это какой-то стратегический объект, то это может повлечь за собой печальные последствия, связанные с всплеском затрат на электричество, а может быть, и со сбоями электричества, что может в определенный момент сказаться на национальной безопасности. При этом администратор, который подсаживал эту программу, никогда не думал, что он хакер или террорист, он просто хотел быстро заработать денег.

Сергей Медведев: В таком случае, я удивляюсь, почему до сих пор нет крупных хакерских атак на критические объекты инфраструктуры? Почему мы до сих пор не сталкиваемся с исламским кибертерроризмом?

Алексей Лукацкий: Любая атака начинается с мотивации. Запущенный в толпу народа исламист с ножом или грузовиком дает гораздо больший эффект с минимальными затратами.

Хакером сейчас может стать практически каждый

Сергей Медведев: Есть ли какой-то тип хакера-романтика, такого скрытого кибертеррориста – "черная шляпа", "белая шляпа"? Хакеры-одиночки, сумасшедший ученый, сумасшедший хакер…

Олег Демидов: Есть разные термины, которые позволяют сконструировать этот образ, начиная от молодежи, которая балуется, пробует свои возможности: что они смогут сломать, а что не смогут. Второй вариант – это какие-то идеологически мотивированные люди, которые пытаются находить уязвимости и эксплуатировать их с политическими или еще какими-то целями. Такие люди всегда есть и были, но их деятельность никогда не определяла глобальный масштаб киберугроз и никогда не была угрозой номер один.

Мотивация у них самая разная. Есть забавные случаи. Иногда это могут быть бывшие сотрудники, обиженные на своего бывшего работодателя и предпринимающие взлом системы предприятия.

Сергей Медведев: Ведется глобальная война, о которой нам говорят? Существует ли отдельно взятая война в киберпространстве?

Алексей Лукацкий: Все-таки война – это то, что объявляется одним государством другому. В этом плане с юридической точки зрения говорить о кибервойне, разумеется, не приходится. Можно говорить о спецоперациях в киберпространстве, которые, скорее всего, проводятся теми или иными государствами.

Сергей Медведев: Взломали иранские центрифуги – говорили, что ЦРУ запустило вирус.

Алексей Лукацкий: Явных доказательств нет, хотя по всем воспоминаниям участников этого дела и по ряду других доказательств, все сходится к тому, что за этим стояли США и Израиль.

Сергей Медведев: А взрыв газопровода в Западной Сибири – там есть документальные подтверждения?

С юридической точки зрения говорить о кибервойне не приходится

Алексей Лукацкий: Это подтверждения бывшего так называемого киберцаря США Ричарда Кларка в его воспоминаниях. Он писал, что это усилия ЦРУ привели к тому, что в 80-х годах после кражи у американцев соответствующего программного обеспечения, установленного на газопроводе в Сибири, произошел взрыв. Но в России никогда этого не признавали, хотя сам факт взрыва известен.

Сергей Медведев: Если брать отдельные спецоперации, насколько вы доверяете нынешним расследованиям и признаниям относительно российских атак, идущим из США?

Олег Демидов: Уровень тех докладов, которые были представлены сначала совместно ФБР и Министерством внутренней безопасности, а потом уже объединенным разведывательным сообществом США в январе прошлого года, с технической точки зрения очень низок, они подверглись разгромной критике сообщества. Там есть откровенные ляпы. Например, в качестве доказательства связи источника атаки с Россией приводятся, в числе прочего, данные о диапазоне IP-адресов, которые были задействованы в ходе атаки. Буквально в первые часы после публикации доклада американские же исследователи выяснили, что половина из этого списка IP-адресов задействованы для обеспечения работы сети "Тор", то есть они могут быть использованы кем угодно для чего угодно и абсолютно не привязаны ни к какой географической локации, ни к какому субъекту. И из таких ляпов состоит буквально весь текст доклада.

Сергей Медведев: Мне кажется, это скорее из категории паранойи, охоты на ведьм. Или все-таки нет дыма без огня? В России есть спецподразделения, кибервойска или какие-то специальные отделы ГРУ, ФСБ, ведущие подобного рода деятельность?

Алексей Лукацкий: Кибервойска, по-моему, существуют официально только в двух государствах – это США и Китай. В остальных странах есть отдельные подразделения. Я не берусь утверждать, что таких подразделений нет в России. Я более чем уверен, что такие специалисты есть в Минобороны, ФСБ, МВД и других структурах. Но достаточно странно говорить о том, что у нас есть кибервойска и тем более в таком количестве, чтобы нас обвиняли, что мы стоим за взломами абсолютно всего, что есть в мире, за всеми выборами, что у нас такие же войска, которые насчитывают тысячи специалистов, как в США или в Китае.

Сергей Медведев: А в Северной Корее?

Олег Демидов: Ее часто упоминают.

Сергей Медведев: Можно вспомнить случай с Sony.

Олег Демидов: Так считается с подачи киберкомандования США. При этом на Северную Корею вешают ряд других громких атак, в частности, деятельность группировки "Лазарус", известной рядом громких взломов. По-моему, Лаборатория Касперского тоже подтверждает эту версию в своих исследованиях. Но опять же нет настолько очевидных фактов, которые можно было бы использовать при обращении в международные инстанции. На таком уровне пока не хватает доказательств, технологий атрибуции. Все, что есть, это подкрепленные какими-то фактами и суммой косвенных доказательств, аргументированные, логичные, но догадки.

Олег Демидов
Олег Демидов

Сергей Медведев: В интервью нашему корреспонденту Антону Смирнову киберадвокат Саркис Дарбинян рассказывает о личном цифровом праве.

Ни в одном законодательстве мира не закреплены отдельно цифровые права человека

Саркис Дарбинян: Наша компания стоит на стыке права и технологий. Мы занимаемся исключительно киберправом, защитой цифровых прав граждан и бизнеса, с которыми они сталкиваются либо в связи с использованием интернета, либо в связи с использованием высоких технологий, компьютеров и всевозможных гаджетов.

Цифровые права – это, прежде всего, право на доступ к интернету, на шифрование, на анонимность, на свободное распространение и использование информации в сети интернет и, конечно же, на использование криптовалют.

Ни в одном законодательстве мира не закреплены отдельно цифровые права человека, но Организация Объединенных Наций последнее время все чаще подчеркивает отдельные права, которые должны соблюдаться государствами в цифровом веке. Понятно: мы живем в мире без юрисдикционных границ, и должны определяться какие-то стандарты пользователей, о которых должны заботиться и публичные компании и власти разных стран. Это все те же права, которые еще давно были гарантированы конвенциями – право на тайну связи, на частную жизнь, на тайну коммуникации почтовых и телефонных звонков и отправлений. Это все повторяется в интернете.

Сегодня мы не можем рассчитывать на то, что Конституция сама по себе сможет обеспечить нам наши права в интернете, ведь мы используем современные технологические средства. И, несомненно, настанет время, когда эта конвенция будет принята, потому что не получается регулировать интернет внутри одного государства, это довольно глупо. Как только вы создаете излишние стандарты или правила, сайты и даже пользователи могут уходить в другие юрисдикции.

Естественно, сюда будут добавляться какие-то положения, регулирующие и права роботов (сегодня мы отчетливо видим эту тенденцию), и права, связанные с работой децентрализованных платформ. Мы видим эти вызовы и от блокчейна, и от интернета вещей. Несомненно, все это надо будет как-то стандартизировать для того, чтобы это могло существовать в легальном поле.

Интернет не знает каких-либо границ, и он кидает серьезный вызов суверенитету любой страны

Интернет сам по себе – это такая сущность, которая не знает каких-либо границ, и она кидает серьезный вызов суверенитету любой страны. Это то, с чем государства не могут справиться.

Сергей Медведев: Возможно какое-либо международное правовое урегулирование кибертранзакций, кибератак, какой-то Киберинтерпол? Здесь действуют какие-то конвенции?

Олег Демидов: Это довольно старый и больной вопрос. Существующие международные юридические инструменты действуют максимум в масштабах регионов. Например, с 2001 года действует так называемая Будапештская конвенция о борьбе с компьютерной преступностью. Это инструмент, выработанный Советом Европы для ряда целей и помогающий странам, участвующим в ней, эффективнее бороться с компьютерными преступлениями, в том числе обеспечивающий механизм для быстрого трансграничного доступа правоохранительных органов одной страны – члена конвенции к информации, необходимой для расследования, которая хранится в информационных системах на территории другой страны – участницы конвенции. Россия по различным причинам, связанным с национальной безопасностью, не присоединилась к этому механизму, а своего механизма, эффективно действующего подобным образом на пространстве бывшего Советского Союза, де-факто нет.

Это только по киберпреступности. Если же брать некие нормы, которые ограничивали и регулировали бы поведение самих государств в киберпространстве, то диалог об этих нормах ведется как минимум с начала 2000-х годов по инициативе России. В рамках ООН запущен формат группы правительственных экспертов, которые обсуждают такие нормы. Но пока все, что удалось сделать, это выработать проекты таких норм, не имеющие обязательной силы, не принятые де-факто международным сообществом, а просто предложенные этой группой из 25 государств, которая включает Россию, США и другие основные державы.

Там есть интересные предложения, например, государствам предлагается не нападать на критическую инфраструктуру, не допускать и не осуществлять кибератак на центры реагирования на компьютерные преступления, обеспечить целостность цепочек поставок продукции для критически важных объектов инфраструктуры и так далее. Но пока это все на бумаге.

Может быть, Северная Корея уже создала смертельный вирус, который может хакнуть атомные станции

Сергей Медведев: А это можно сравнить с эволюцией ядерного оружия, с тем, как постепенно мир и государства приходят к регламентированию его применения?

Олег Демидов: Это довольно распространенная аналогия. Этот диалог в рамках ООН является частью попытки создать такие нормы. С этим сложно. Классические постулаты теории сдерживания, на которых был выстроен режим ядерного разоружения и нераспространения, не работают в киберпространстве: есть проблема с гарантированным взаимным уничтожением, с оценкой потенциала противника.

Ядерное оружие было довольно просто спрятать, но страны и не стремились это делать, они стремились демонстрировать свой ядерный потенциал как доказательство своей силы. А значительную часть киберпотенциала державы сейчас скрывают на черный день, тайно внедряя в сети потенциальных противников бэкдоры, собирая информацию об уязвимостях в критически важных системах, которые, возможно, получится задействовать при необходимости.

Сергей Медведев: Может быть, сейчас Северная Корея уже создала какой-то смертельный вирус, который может хакнуть атомные станции, и в день Икс предъявит это изумленному человечеству.

Алексей Лукацкий: Такой сценарий уже реализовывался. За последние лет 15 было не менее десятка атак на различные ядерные объекты с разной степенью успешности. Атомные электростанции – не такой уж изолированный от внешнего мира объект, как это принято считать.

Сергей Медведев: Киберопасность растет? Ведь от развития технологий отстает и правовая инфраструктура, и инфраструктура защиты.

Алексей Лукацкий: Правовая инфраструктура всегда отстает, так как она всегда реагирует на то, что уже принято в мире. Более того, я не соглашусь с мнением Саркиса: он говорит о том, что нет юрисдикции, нет границ, и право должно это учитывать. На самом деле как раз сейчас во многих странах мира (и США – не исключение, хотя часто их преподносят как пример такой демократии в интернете) идет такая балканизация интернета, когда каждая страна все-таки старается устанавливать свои правила игры в своем информационном пространстве. Россию преподносят как проводника этой идеи, потому что мы действительно пытаемся отстаивать в ООН, в рамках Международного союза электросвязи и в ряде других организаций позицию, что каждая страна должна иметь право на цифровой суверенитет.

Большинство людей и компаний вообще не занимаются своей безопасностью

Понятно, что это право может по вполне понятным причинам немного нарушать права граждан, но государство здесь пытается отстаивать свою позицию, связанную с национальной безопасностью, с невмешательством и тому подобными вещами. Такие же разговоры идут и в США, и во многих других странах. Поэтому сейчас нет четкого ответа на вопрос о том, как должно развиваться международное право: либо разрешить все и всем, либо, наоборот, все закрыть. Непонятно, какой ответ будет правильным.

Сергей Медведев: Мой главный вопрос касается все-таки не права, а способности защищаться от подобного рода атак. Хакер всегда на полшага впереди?

Алексей Лукацкий: Дело не в том, что он на полшага впереди, а в том, что большинство людей и компаний вообще не занимаются своей безопасностью. По статистике 95% всех атак в мире происходит потому, что человек или компания не закрыли в своем компьютере известную уже не одну неделю уязвимость. Злоумышленники про это знают и лезут через эти известные дырки. И проблема не в том, что нет технологий безопасности – они есть, а в том, что люди беспечны.

Сергей Медведев: И криптовалюты, и интернет вещей, – это все возможные уязвимости, через которые кибертеррорист может проникнуть в нашу святая святых?

Олег Демидов: Любая новая технология по мере своего развития и внедрения, как правило, действительно несет в себе уязвимости. Долгое время специалисты технического сообщества пытались достучаться до производителей, которые продают устройства интернета вещей, по поводу того, что не было сформировано никакой политики безопасности. Это привело к тому, что прошлый и позапрошлый годы в плане кибербезопасности выделяются, в том числе, появлением огромных зомби-сетей, ботнетов, собранных впервые из взломанных устройств интернета вещей. Причем техника взлома была настолько элементарной, что там даже не было никакого взлома, просто у огромных партий устройств, таких как камеры, подключенные к сети, и еще какие-то простейшие устройства с датчиками и доступом в сеть, стояли заводские партии одних и тех же паролей, которые быстро становились известны злоумышленнику.

Сергей Медведев: Хорошо, злоумышленник взломал холодильник в моем доме…

Олег Демидов: Сам по себе ваш холодильник ему не нужен, ему нужен ресурс сетевого трафика, который пропускает через себя ваш холодильник. Владея доступом и имея контроль над тысячами таких узлов, как ваш холодильник, он способен при помощи программного обеспечения управлять этим трафиком, объединяя сетевые ресурсы таких устройств. Можно направить этот вредоносный трафик на кого угодно в интернете и положить любой ресурс, любой сервер, любой сайт.

Холодильник, морозильная камера, машина, подключенная к интернету, могут генерировать Ddos-атаку

Сергей Медведев: Холодильник, морозильная камера, машина, подключенная к интернету, могут генерировать Ddos-атаку.

Олег Демидов: Именно это и происходило.

Алексей Лукацкий: Страшна не только Ddos-атака, ведь она не нанесет вам никакого ущерба, кроме ситуации, когда против вас будет возбуждено дело по определенной статье Уголовного кодекса. Но если это действительно холодильник, подключенный к интернету, то, как правило, у современных холодильников вы прописываете данные своей кредитной карты для того, чтобы он мог отслеживать качество продуктов и заказывать их. Я думаю, вы будете не рады, если злоумышленник либо украдет данные вашей кредитной карты, либо на все деньги, которые там есть, закажет черной икры и уйдет в минус, а вам придется потом расплачиваться за всю эту черную икру.

Алексей Лукацкий
Алексей Лукацкий

С автомобилями еще более печальная ситуация. Понятно, что их можно использовать как Ddos, хотя таких примеров не было. Автомобиль можно украсть, или можно отключить на ходу тормоза. И будет практически недоказуемо, что, например, какой-то чиновник, оппозиционер или кто-то еще попал в аварию по причине компьютерной атаки на его автомобиль.

Сергей Медведев: Или можно направить автобус в толпу.

Алексей Лукацкий: Многие кардиостимуляторы сейчас тоже подключены к интернету. У них есть встроенный дефибриллятор, который при остановке сердца запускает мощный электроток. Но когда такой сигнал запускается во время работы сердца, это приводит к смерти. Такие факты еще неизвестны, но такая возможность уже доказана и продемонстрирована.

Сергей Медведев: Как с этим бороться? Устанавливать пароли, коды?

Многие кардиостимуляторы сейчас тоже подключены к интернету

Алексей Лукацкий: К сожалению, сам пользователь не может ничего с этим сделать – это задача производителя. Нужны не только пароли, но и вообще встроенные механизмы защиты. Поэтому сейчас и в США, и в Евросоюзе, и в России об этом думают, устанавливают требования к таким производителям, чтобы они задумывались о безопасности еще на этапе проектирования, а не только когда происходят инциденты с их продукцией.

Сергей Медведев: Нужно ли каким-то образом бороться с "Даркнетом", с "Тором"? Ведь там огромное количество ресурсов и трафика – это чистый криминал: торговля оружием, наркотиками, детская проституция, – выложены номера кредиток. Существует такое глухое подсознание глобальной сети.

Олег Демидов: Необходимо бороться не с технологией, а с ее противоправным применением. У нас есть перед глазами более-менее успешная практика подобного рода. Например, крупнейшие площадки по торговле нелегальными товарами и услугами, развернутые на ресурсах сети "Тор", были успешно разгромлены ФБР, а их администраторы арестованы, и, по-моему, один из них, по крайней мере, получил пожизненный тюремный срок.

Никто не мешает представителям правоохранительных органов заводить себе аккаунты на таких ресурсах, внедряться в доверие к администраторам, проводить оперативную работу, которая должна завершаться арестом, судебным процессом и осуждением людей, которые используют ресурсы и технологии для того, чтобы осуществлять нелегальную торговлю и нелегальные услуги.

Сергей Медведев: Павел Рассудов, представитель Пиратской партии России, рассуждает о том, может ли вообще государство справиться с интернетом.

Павел Рассудов: Пиратская партия – это объединение единомышленников, которые считают, что демократии не может быть без свободы распространения информации. Если раньше политик говорил из телевизора, и избиратель мог только плюнуть в этот телевизор, то теперь этот плевок вполне вербализирован в виде ответного твита или комментария в посте этого политика. Здесь появляется более тесная обратная связь.

Вообще, интернет, конечно, разрушает монополию государства на власть. В интернете появляется все больше общественных движений, люди могут находить друг друга по общим интересам, объединяться и совершать какие-то коллективные действия. Это, безусловно, является угрозой. Именно поэтому после 2011 года в России началось существенное регулирование интернета, ведь в 2011–12 годах происходили массовые протесты, организованные именно в интернет-среде.

Интернет разрушает монополию государства на власть

Не стоит сильно иронизировать на тему киберугроз, потому что действительно могут быть такие атаки на инфраструктуру, как, например, атака на электростанцию в Иране, когда было замедлено действие центрифуг и возникла угроза взрыва. Я считаю, что именно государство должно заниматься безопасностью тех же самых инфраструктурных объектов – электростанций, метрополитена, железных дорог. Есть вещи, которыми должен заниматься бизнес, – это, допустим, безопасность банковской системы, ваших транзакций.

Есть вещи, которыми уже успешно занимается общество. Вы должны четко определить для самих себя ту границу приватности, которую хотите установить между собой и интернетом, и не пересылать через сообщения в социальных сетях так называемую чувствительную информацию – коды банковских карточек, обнаженные фотографии или просто ту информацию, которую вы не хотели бы видеть использованной против вас.

Сергей Медведев: С чем должно бороться государство, где пределы его минимальной ответственности?

Алексей Лукацкий: Здесь я не совсем согласен с Пиратской партией. Государство должно бороться и с терроризмом, и с проявлениями экстремизма, и, разумеется, с различными атаками и другой противоправной деятельностью, для которой интернет очень неплохо подходит и активно используется всеми этими элементами.

Единственное – вызывает вопросы то, как борется государство. Мы прекрасно понимаем, что те же террористы могут использовать для координации своих действий различные мессенджеры. Понятно, что у государства есть задача это контролировать. Другой вопрос, что ее можно решить так, как решают у нас: либо запретить, либо заставить раскрыть все ключи шифрования, тем самым нарушая требования Конституции и ряда других нормативных актов. А можно поступить чуть более грамотно: разобраться, как это работает, и, возможно, взять под контроль отдельные коммуникации людей, вызывающих подозрение.

Это два разных подхода. Первый проще всего – запретить. Реализация второго требует и времени, и ресурсов. К сожалению, второй путь почему-то не приветствуется у нас в государстве – отчасти, наверное, потому, что надо срочно и быстро решить какую-то задачу, хотя опыт других государств показывает, что по нему можно идти.

Сергей Медведев: Не может ли так получиться, что государство окажется куда большей угрозой для простого человека, чем все кибертеррористы, вместе взятые? Большой брат 2.0…

Необходимо бороться не с технологией, а с ее противоправным применением

Олег Демидов: Есть такие опасения и определенные аргументы в их пользу. Получилось так, что в прошлом году ряд самых опасных уязвимостей, использование которых нанесло наибольший ущерб пользователям по всему миру, пришел на рынок киберпреступности как раз из арсеналов государственных спецслужб. В ходе долгой и запутанной истории кто-то взломал архив кибероружия Агентства национальной безопасности США, выложил этот архив в свободный доступ в сеть, он расползся по глобальному рынку компьютерного криминала и был успешно использован в серии атак, в создании вредоносных инструментов. Глобальный ущерб от подобных атак исчисляется сотнями миллионов долларов, они влекут за собой приостановку деятельности ряда компаний, включая транспортные компании, осуществлявшие морские грузоперевозки, и так далее.

Сергей Медведев: Это злоумышленники без воли государства использовали специально созданный государственный ресурс. А я говорю именно про надзорную волю государства-Левиафана: мы можем оказаться в этой дистопии тотальной прозрачности, тотального наблюдения. В нашей цифровой безопасности государство будет главным.

Олег Демидов: Злое государство-Левиафан в цифровой среде возможно в трех ипостасях. Первая ипостась – государство-хакер. Это существует. Сами по себе спецслужбы тоже использовали эти уязвимости. Можно сказать о проектах ЦРУ – там много чего, включая средства и программы для эксплуатации уязвимостей в программном обеспечении умных автомобилей, умного телевидения, различных систем. Есть огромное количество уязвимостей для выкачивания данных с мобильных платформ, с ноутбуков, операционных систем и так далее. То есть это полная линейка средств для кибератак, для похищения данных, которая явно разрабатывалась не просто так, а с целью практического применения.

Вторая ипостась – это государство-регулятор, которое просто зажало все. С такой угрозой мы тоже сталкиваемся. Здесь можно сказать, например, об инициативе российских регуляторов по принятию закона о критической инфраструктуре национального сегмента сети интернет, который подразумевает ужесточение контроля над маршрутизацией трафика в России, вплоть до создания некоей государственной информационной системы, которая будет централизованно мониторить и, если надо, вмешиваться в маршрутизацию интернет-трафика операторами связи. Вот тут, может быть, государство заходит слишком далеко в попытках вручную регулировать сегмент интернета, который исторически развивался в России как совокупность рыночных механизмов.

А третья ипостась – это Китай, государство именно как цифровая диктатура, которая диктует правила взаимодействия в обществе. Китайский проект социального кредита – в своем роде беспрецедентная история, когда с подачи государства вводится единая универсальная система цифрового рейтинга граждан, позволяющая либо давать дополнительные блага и социальные привилегии тем гражданам, у которых этот рейтинг высок в результате их положительных действий, поощряемых государством, либо облагать санкциями тех граждан, у кого рейтинг низок.

Государство может оказаться куда большей угрозой для простого человека, чем все кибертеррористы, вместе взятые

Сергей Медведев: Вас, как специалиста по цифровой компьютерной кибербезопасности, это не беспокоит? Мы говорим о злоумышленниках, но в результате всех нас взломает государство.

Алексей Лукацкий: У меня двойственная позиция. С одной стороны, я понимаю, зачем это нужно государству. С другой стороны, я не всегда согласен с теми методами, которые оно использует. Давайте вспомним историю со Сноуденом, который в 2013 году якобы раскрыл глаза на то, что американское правительство слушает все и всех. Началось это в 2008 году и ранее. Пять-шесть лет американское правительство слушало всех и вся, и большинство людей про это не знали. Нанесен ли был кому-то ущерб от действий американского правительства? Фактов нет. Выиграло ли что-то американское правительство? Тоже нет фактов. Они не сказали, что поймали огромное количество террористов, используя данную прослушку. Получается, что государство потратило огромные средства и не получило какого-то большого эффекта, а граждане и общество от этого сильно не пострадали. Это, наверное, такой промежуточный вариант, когда государство пытается что-то делать, но у него не получается, и, к счастью, оно не наносит никакого ущерба.

Во многих текущих проектах, которые осуществляют разные государства (и Россия – не исключение), будет примерно та же самая ситуация, поскольку, как только появятся все эти технологии мониторинга, контроля, запрета и так далее, сразу же появятся технологии обхода – они уже появились и будут появляться. Это всегда будет борьба брони и снаряда, в которой не может быть победителей.

Сергей Медведев: Директор ФСБ Александр Бортников недавно в своем интервью говорил о реабилитации репрессий. На этом фоне прошло незамеченным то, что нужно воспользоваться китайским опытом, что это хороший опыт, который нужно заимствовать России. Вы не боитесь, что Россию вслед за Китаем ждет цифровой авторитаризм? Российское государство очень хорошо, умело и быстро вписывается в эту цифровую эпоху.

Олег Демидов: Я, честно говоря, не до конца понял, о каком именно китайском опыте в части регулирования интернета идет речь, поскольку китайский опыт в этой сфере многообразен. Можно говорить об опыте контроля инфраструктуры, составляющей национальный сегмент интернета. Например, в Китае очень хорошо контролируются трансграничные потоки данных, которые приходят в страну через крупные трансграничные каналы, оптоволоконные кабели. В России с этим немножко другая история, потому что у нас национальный сегмент интернета исторически более децентрализован, более развит, имеет большую связанность в плане трансграничных каналов. Но у нас государство потихоньку движется к этой модели.

Можно говорить о китайском опыте в плане контроля контента. Здесь как раз, насколько я себе представляю, текущая практика и дальнейшие планы у России немножко расходятся с китайским опытом. Жаров недавно говорил, что копировать китайский опыт в части контроля над электронным контентом мы не собираемся. Ключевой принцип здесь таков: в Китае этот контроль идет превентивно, заранее составляются какие-то списки, реестры, наборы слов, параметров контента, которые отсекаются. У нас модель регулирования пока все-таки другая: можно все, что не запрещено, но потом, если что-то вносится в реестр запрещенной информации, тогда уже идут меры по отношению к провайдеру, владельцу ресурса и так далее.

Сергей Медведев: Возможен ли вообще цифровой суверенитет в современном мире, создание внутренней замкнутой системы? В России постоянно пытаются что-то сделать – отечественный поисковик, отечественный процессор "Эльбрус" и так далее.

Алексей Лукацкий: Возможно все, это вопрос затрат и целесообразности. Сейчас в рамках цифровой экономики и ряда других инициатив государства все идет к тому, что у нас хотят попытаться достигнуть цифрового суверенитета. Хотя уже сейчас понятно, что это технически невозможно, даже экономически невозможно: денег на все эти хотелки просто нет. Скорее всего, будет достигнут некий промежуточный вариант, какие-то критичные сферы будут полностью закрыты российскими разработками, и там будет достигнут некий цифровой суверенитет, но с определенным ухудшением качества этой продукции. В массе своей пока будут использоваться все те технологии, к которым люди привыкли: западные, восточные, азиатские. Запретить это будет достаточно сложно, либо надо идти по пути Северной Кореи, чего не хотелось бы.

Многое в теме импортозамещения в цифровой области связано просто с освоением бюджета

Сергей Медведев: Мне кажется, очень многое в этой теме импортозамещения в цифровой области связано просто с освоением бюджета, с созданием угроз и структур, которые будут предлагать те же самые решения, но за гораздо большие деньги. Покойный Антон Носик очень хорошо показал, как наварят фирмы на применении "закона Яровой" по постановке серверов.

Олег Демидов: С одной стороны, да, всегда, когда государство вступается за отечественного производителя, выстраивает какие-то механизмы распределения преференций отечественному производителю, отечественные производители выстраиваются в ряд и пытаются поиметь на этом быструю выгоду, не всегда обладая качественными готовыми решениями, соответствующими этой цели. С другой стороны, здесь иногда больше додумок, чем действительности. Например, возвращаясь к тому же "пакету Яровой": у нас сейчас не готово решение, которое можно даже продать, чтобы распилить деньги за счет огромного госзаказа в рамках реализации закона.

Сергей Медведев: Покупаются тайваньские серверы, на них ставится штамп "Одобрено ФСБ", и тот же самый сервер продается провайдерам интернета втридорога.

Олег Демидов: Если только так. Но это же де-факто не имеет отношения к импортозамещению.

Сергей Медведев: Это имеет отношение к самой структуре, к организации российского государства. Я вспомню старый анекдот: третьей мировой войны, видимо, не будет, но борьба за мир будет такой, что мало не покажется. То же самое, очевидно, относится и к кибервойне, кибербезопасности и кибертерроризму.

Партнеры: the True Story

XS
SM
MD
LG