Samara Portal Technology, Computers

Самарский портал "Технологии, компьютеры"

Банальные слова всё равно придётся сказать: чем больше мы рассчитываем на ИТ, тем надёжнее и безопаснее всё это должно работать. Помню, с каким скрипом в начале 90-х внедряли мы свою интегрированную систему «Октава»: все сотрудники продолжали вести бумажную документацию, а параллельно, из-под палки, вбивали данные на компьютере. И вот как-то раз я прихожу в бухгалтерию заказчика и вижу абсолютно нерабочую обстановку, в середине рабочего дня никто даже не создаёт видимость работы. Что за праздник? Да свет отключили! Этот день для меня стал действительно праздником, я понял, что внедрение реально состоялось. Но тут же во весь рост встали вопросы обеспечения бесперебойной работы ИТ-систем, в том числе, конечно, и проблемы информационной безопасности в её безбумажной форме.

Алексей Лукацкий (Cisco)

Вопросы к бизнес-консультанту Cisco по безопасности Алексею Лукацкому я, конечно, заготовил заранее, но начали мы разговор на темы, не связанные с интервью, и мне не хотелось резко менять тон беседы.

Владислав Бояров: Алексей, расскажите, пожалуйста, о том, что считаете наиболее важным? Например, Ваш коллега Михаил Кадер сказал, что хранение персональных данных на российских граждан исключительно в России – вещь технически невозможная. В частности, это касается россиян, живущих и работающих за рубежом и вынужденных иметь дело с различными организациями тех стран, начиная с государственных.

Алексей Лукацкий: Формально это так. Но, во-первых, закон вступит в силу только в сентябре 2015 года, и за это время может поменяться всё, что угодно. Во-вторых, по этому закону за границей можно хранить персональные данные обезличенные или архивные. Существует несколько сценариев того, как, не нарушая закон, можно хранить за границей персональные данные. Я не вижу большой угрозы от вступления в действие этого закона.

Есть другая угроза, связанная с тем, что Роскомнадзор выходит из-под регулирования и становится абсолютно самостоятельным органом, который не обязан согласовывать свои проверки с прокуратурой, и поэтому может их проводить сколько угодно раз, а не раз в три года. Он получает практически неограниченные возможности по «принуждению к миру» оператора. Следует учесть также, что штрафы возрастают до полумиллиона. В результате картина вырисовывается более печальная, чем с запретом хранить персональные данные (ПД) россиян за границей.

В.Б. А за что в первую очередь могут наказать?

А.Л. Сегодня - за всё. За отсутствие списка лиц, допущенных к обработке персональных данных. Или на вахте не предупредят, для чего они записывают посетителей в журнал посещений. Или из-за нарушения правил обезличивания. Да много из-за чего. Из 5 миллионов операторов ПД сегодня только 300 тысяч уведомили Роскомнадзор о том, что они их обрабатывают. И оставшихся можно наказать за отсутствие уведомления. Скоро должны принять закон об увеличении штрафов за нарушение законодательства о персональных данных. Наказание станет серьезнее, но, правда, и составы правонарушений станут более понятными.

В.А. А с чем вообще связана активность нашего государства по поводу персональных данных? Мне как-то не встречались люди, которых бы лично волновала эта проблема.

А.Л. Не знаю. Наверное, это один из немногих законов в сфере ИБ, который касается всех и по которому всех можно наказать. Похожая ситуация, в том смысле, что закон касается всех, с Законом о защите прав потребителей. Так же и здесь – замечательный рычаг для потенциального давления на бизнес, особенно на иностранный.

В.Б. Однако как потребителю мне реально нужны права и с проблемами в этой области сталкиваться приходилось. Но за свои персональные данные не волновался ни разу и готов хоть сейчас подписать документ, разрешающий их разглашение. Даже не могу представить, что я хотел бы скрыть.

Кстати, а как с этим обстоит дело в других странах?

А.Л. В других странах нет таких запретов. Там и регуляторов нет. Есть только уполномоченный орган, состоящий из одного-двух человек на всю страну. А у нас штат Роскомнадзора насчитывает больше сотни человек, и они постоянно жалуются, что им не хватает людей для осуществления проверок. Ни в одной развитой стране проверок на предмет хранения ПД не проводится. Начинают разбираться только по конкретным инцидентам, то есть плановые проверки – это нонсенс. В Европе, которая и придумала ратифицированную Россией Конвенцию о защите физических лиц при автоматизированной обработке персональных данных, их тоже нет.

В.Б. И только когда случается инцидент, тогда получается…

А.Л. Ничего не получается. В России нет ответственности за инцидент.

В.Б. Интересно… но я говорил про них.

А.Л. У них есть. В том и разница, что у них только ответственность за инцидент, а у нас только ответственность за невыполнение правил.

В.Б. Непонятно. В праве есть понятие вины: человек не может быть виноват, если он ничего не нарушил. Как же оператор может быть виноват в инциденте, если он ничего не нарушил?

А.Л. Зачем же? Есть конвенция, она определяет общие правила. Но там нет подзаконных актов, а у нас их целая куча, каждое ведомство выпускает свои.

В.Б. А что главное эта конвенция определяет?

А.Л. Что обрабатывать надо с согласия гражданина… фактически наш закон о ПД списан с этой конвенции. Здесь мы ничем не отличаемся. Однако подзаконные акты трактуют положения конвенции так, что их бывает трудно узнать. Важно, что в Европе при возникновении инцидента субъект в первую очередь выясняет отношения напрямую с оператором, и только в случае, если они не пришли к взаимопониманию, субъект может жаловаться в уполномоченный орган. У нас Роскомнадзор сам решает за субъекта, какие его права были нарушены, пишет протоколы и направляет материалы в прокуратуру. При этом позиция субъекта никого не интересует.

В.Б. Однако сами правила, как Вы говорите, одинаковы.

А.Л. Кроме фактического запрета на хранение персональных данных за рубежом – этого нет почти нигде в мире. Бразилия полтора года обсуждала такую поправку (не неделю, как у нас), но в результате отказались. Такую поправку принял Вьетнам, в результате часть крупных иностранных интернет-компаний покинула страну.

В.Б. А как с точки зрения российского регулятора выглядит ситуация, когда человек сам регистрируется в Фейсбуке, добровольно передавая свои данные на заграничный сервер. При этом он осознаёт свои действия, подписывает на сайте согласие.

А.Л. Никого не волнует. По закону Фейсбук обязан держать в России базу российских граждан.

В.Б. То есть как только при регистрации человек указывает родным языком русский…

А.Л. Нет, что он гражданин России.

В.Б. Согласен, например, на Украине тоже говорят по-русски. Кстати, а в Фейсбуке есть поле «гражданство»?

А.Л. Ни в одном сервисе нет. Даже при заказе билетов нет гражданства.

В.Б. А как тогда фильтровать российских граждан?

А.Л. Роскомнадзор не волнуют такие мелочи.

В.Б. Здорово! А я ведь и не задумывался!

А.Л. Гражданства нет ни в одном сервисе, кроме оформления виз.

В.Б. Да, это весёлая тема. Но, пожалуйста, расскажите о реальных угрозах, с которыми приходится бороться частным и корпоративным пользователям. От общения с Вашим коллегой Михаилом Кадером осталось главное впечатление, что никакой отдельной мерой, никаким антивирусом или брандмауэром, как бы ни были они хороши, обезопасить себя невозможно. Только комплексно, и только с какой-то долей вероятности. И чем больше мы будем знать о каждом пользователе (кто он, с какого географического места зашёл, из какой сети, с какого устройства и т.д.), тем лучше мы сможем выстроить защиту.

А.Л. Я бы выделил два категории угроз, отличающиеся своей фокусировкой:

1. Целенаправленные атаки, которые бьют сразу по разным векторам, используют разные дыры для проникновения на отдельные узлы, а дальше они уже делают разные вещи в зависимости от решаемой задачи: крадут данные, выводят что-либо из строя и т.д. Такие угрозы разрабатываются под конкретного заказчика либо группу заказчиков.

  1. DDoS-атаки. Здесь уже не до тонкостей: DDoS-атака просто забивает канал и выводит из строя серверы. В результате останавливаются приложения и чем более критична непрерывность процессов, тем больший ущерб наносится.

В.Б. Но ведь DDoS-атаки тоже направлены на кого-то конкретно?

А.Л. Не всегда. Они могут быть веерными и затрагивать множество сервисов. Если DDoS-атака выводит из строя всю инфраструктуру ЦОДа, но, вместе с тем, на кого нацелена атака, страдают и все остальные клиенты этого ЦОДа. Если это оператор связи и атака направлена против одного из его клиентов, то здесь тоже понятно, что связь прервётся у всех. Объектом DDoS-атаки может быть даже государство, соответственно, пострадают все граждане и компании, находящиеся в этом государстве.

В.Б. То есть в случае DDoS-атаки мы не всегда можем узнать её истинного адресата?

А.Л. Да, в общем случае мы техническими средствами не сможем определить, против кого были направлены действия злоумышленников.

В.Б. Вы сказали «выводит из строя». Но на самом оборудование остаётся работоспособным, просто наступает перерыв в функционировании?

А.Л. Да, до аппаратного уровня атаки редко доходят, однако были случаи, когда перепрошивка микросхем, произведённая атакой, делала эти микросхемы неработоспособными, и они подлежали замене. Но это, конечно, не DDoS-атаки, а целенаправленные воздействия на конкретные микросхемы.

В.Б. А то, что связано с интернетом вещей? Честно говоря, мне не очень нравится само слово «вещей», потому что под вещью в русском языке понимается что-то совсем неодушевлённое – чемодан какой-нибудь или рубашка.

А.Л. Уже прижилось: интернет людей, интернет вещей, всеобъемлющий интернет. В свою очередь интернет вещей можно поделить на две категории. Это персональный интернет вещей (Google Glass, умные браслеты, подключённые кофеварки) – и здесь сбои могут создать проблемы для одного человека, хозяина этих вещей. Хотя и здесь могут быть тяжёлые последствия. Например, та же кофеварка, запущенная без воды злоумышленником, может взорваться и вызвать пожар. Есть вещи и посерьёзнее. Например, кардиостимулятор со встроенным дефибриллятором, связанный с интернетом, может просто убить пациента. Инсулиновые помпы могут выстрелить сразу всё содержимое – тоже драматические последствия. Пока такие устройства существуют скорее в виде опытных образцов, но со временем они наверняка станут массовыми, поэтому готовиться к атакам надо уже сейчас.

Вторая категория – это, к примеру, системы управления технологическими процессами. Электростанции (в том числе и атомные), шлюзы, трубопроводы и прочие комплексы, способные при сбоях устроить катастрофа в целых регионах. К сожалению, здесь обычные системы компьютерной безопасности не могут быть использованы в первую очередь по той причине, что разработчики систем никого туда не подпускают. В то же время сами они, как правило, не имеют опыта борьбы с киберугрозами. Традиционно эти системы были физически изолированы от внешнего мира, поэтому им ничего и не угрожало, сейчас они начинают подключаться, и возникают опасности.

В.Б. А отказаться от подключения к интернету они могут? Чем вызвана необходимость подключения, таящего такие опасности?

А.Л. Есть требования законодательства. Например, электростанциям по закону необходимо передавать информацию системному оператору ЕЭС. Также бывают ситуации, когда производитель АСУ ТП не берёт на гарантию системы, к которым у него нет удалённого доступа для осуществления регламентных работ. А если не поставить на гарантию, то вся ответственность ложится на эксплуатирующий персонал, к тому же любые неисправности придётся устранять за свой счёт, а это немалые деньги. И если подключение к интернету создаёт мифическую пока угрозу, то снятие с гарантии грозит вполне реальными убытками. К тому же зловредный код можно занести в систему и на флешке. В 2003 году в США на атомную электростанцию занесли червя на флешке, результатом заражения было каскадное отключение юго-восточного побережья.

Стандартизация протоколов, платформ, приложений наряду с положительным эффектом приводит к тому, что традиционные угрозы начинают появляться в нетрадиционных местах. Сейчас ведутся разработки стандартов межмашинного взаимодействия с включением в них механизмов защиты.

В.Б. А защита личных устройств?

А.Л. Обычное соревнование брони и снаряда. Если клиент сомневается в безопасности системы или в том, что он правильно всё сделает, лучше её не использовать. Тем не менее, все используют смартфоны – удобство перевешивает.

В.Б. Мне кажется, что ущерб от использования смартфонов не может быть большим. Ваши примеры с дефибриллятором и инсулиновой помпой просто страх нагоняют.

А.Л. Ну, это как сказать. Людей с инсулиновыми помпами единицы, а со смартфонами, на которые заведён счёт сбербанка – огромное количество. Когда этот счёт обнуляется отправкой СМС-ки, и пенсионер может не дожить до следующей пенсии, эффект будет не слабее, чем от дефибриллятора.

В.Б. А что касается классических угроз, не интернета вещей?

А.Л. Угрозы становятся всё более целенаправленными, они стараются проникнуть по разным каналам и выполнить разные задачи. Например, кража информации, пересылка её на внешние ресурсы, выведение из строя элементы инфраструктуры, перехват управления. Здесь мало что нового появилось. Разница, пожалуй, в том, что если раньше угрозы были либо массовыми, либо однонаправленными, то сейчас один и тот же вредоносный код пытается проникнуть и через Wi-Fi, и через операторские сети 3G/4G, и через проводное соединение, и через сменный носитель. При этом он использует десятки уязвимостей, что повышает вероятность успеха для злоумышленника. То есть цели те же, но совершенствуется инструментарий: он становится более унифицированным и многофункциональным.

В.Б. А что Вы видите в перспективе? Куда всё это движется и чего следует ожидать от злоумышленников?

А.Л. Продолжает формироваться теневой рынок со специализацией: разработчики, продавцы, техподдержка, арбитраж, посредники, адвокаты при разборе конфликтов. Например, заказчик считает, что заказанная и оплаченная им вредоносная программа не выполняет своих функций. Техподдержка стала включать в себя бесплатные обновления в течение оговоренного периода. Соответственно, и борцы со злоумышленниками будут всё больше организовывать альянсы, потому что действовать в одиночку становится всё труднее. Будут вырабатываться протоколы, позволяющие обмениваться информацией. Несколько лет назад компания Cisco анонсировала такой протокол. Это не прямая аналогия InterCloud, но идея та же: чем больше взаимодействия, тем эффективнее работа.

В.Б. А на межгосударственном уровне?

А.Л. Пока я здесь не вижу перспектив. Пока будет нарастать противостояние России и США, в такой области, как безопасность, взаимодействия не будет. Не будет вырабатываться единых правил. США играют первую скрипку во многих международных организациях, в частности, в ООН, и поэтому на уровне ООН России договориться будет невозможно. Скорее всего, это будут блоковые взаимодействия. С одной стороны Россия будет пытаться продвигать себя в БРИКС, ШОС, СНГ, ОДКБ, с другой – НАТО и другие блоки, куда входит США. Конечно, если не дай бог случится какая-нибудь крупная катастрофа, то на этом фоне возможно и объединение усилий для борьбы, но и то не факт: возможно, кто-то захочет использовать катастрофу в своих целях.

Fujitsu HMD: с ним бы я в разведку пошёл

«КРОК Поволжье» зовёт к диалогу