Самарский портал "Технологии, компьютеры"

Интервью менеджера по развитию бизнеса Cisco Systems Алексея Лукацкого журналисту Владиславу Боярову, 12 октября 2009 г.

«Спасение утопающих – дело рук самих утопающих…». Часть 1.

Владислав Бояров: Вернёмся к вопросу об ответственности профессионалов. Вы привели пример, когда сайт в одном месте, провайдер в другом, владелец в третьем. А кто всё-таки несёт ответственность? Скажем, я создал сайт, получил доменное имя, компания, предоставляющая хостинг, прислала пароль на редактирование (доступ по ftp). Я этот пароль спрятал так, что ни один хакер его не найдёт. Вдруг сайт оказался там изуродованным, что-то с ним сделали. Виновата компания, предоставляющая хостинг?

Алексей Лукацкий: Нет.

Владислав Бояров: А кто?

Алексей Лукацкий: А никто не виноват. Виноват только владелец сайта.

Владислав Бояров: А владелец в чём виноват?

Алексей Лукацкий: Нет, ну, в смысле, он не виноват, он – жертва, а больше никто не виноват. Если с компанией, предоставляющей хостинг, нет договора, в котором она несёт ответственность за защиту сайта, то компания не виновата.

Владислав Бояров: Хостинговая компания не обязана защищать? Т.е. ты просто сам думай, выбирай хостинг, который…

Алексей Лукацкий: Спасение утопающих – дело рук самих утопающих…

Владислав Бояров: То есть выбирай хостингувую компанию, которая будет твой сайт защищать. А если не защитила, то ничего тебе не должна. По договору просто предоставляется место…

Алексей Лукацкий: Площадка…

Владислав Бояров: Но никакой ответственности не существует?

Алексей Лукацкий: Более того, даже если в договоре прописать эту ответственность, есть огромное количество способов уйти от неё. Тема непроста, и доказать, что виноват именно хостинг, а не владелец сайта, очень сложно.

Владислав Бояров: Т.е. схема – деньги в банковский сейф я положил, потом пришёл, у меня этих денег нет, и банк отвечает – здесь не работает?

Алексей Лукацкий: Нет. Вам обеспечивают доступность Вашего сайта.

Владислав Бояров: Доступность на редактирование не только для владельца (администратора) сайта, но и для всех остальных? Такого вроде бы не подразумевается…

Алексей Лукацкий: Работы ведутся. В этом плане Россия оказалась одной из первых, под эгидой ITU (Международный союз электросвязи, МСЭ – В.Б.) разработан базовый уровень защиты операторов связи…

Владислав Бояров: Связь – это не хостинг…

Алексей Лукацкий: Здесь уже зависит от формулировок. Подразумевается, что любой оператор должен выполнить базовый набор мероприятий по защите своих абонентов от несанкционированного доступа. И там содержится набор простых, логичных, понятных клиенту, шагов со стороны оператора. Расписано что надо сделать, чтобы повысить хотя бы до минимального уровень защиты абонента.

Владислав Бояров: И если что-то случилось?

Алексей Лукацкий: Про ответственность пока ничего не говорится. Как бы это обязанность оператора, и речь об этом шла, но, к сожалению, пока все разговоры затихли. Также и о том, что это будет условием при получении лицензии, оказании услуг.

Владислав Бояров: Вот он получил лицензию, но там произошло нарушение.

Алексей Лукацкий: А это уже вопрос совершенно отдельный, кто будет нести ответственность, не знаю. Может быть, Михаил (тут как раз за соседний столик сел Михаил Кадер) лучше знает, как один из участников разработки этих предложений на базовом уровне. Миша, ты же разрабатывал, до чего там сейчас дошло? Или оно зависло пока?

Михаил Кадер: В ITU есть рабочая группа, туда сдаётся некоторый набор предложений. Они на постоянной основе предложения рассматривают, но до состояния готовности дело пока не дошло. Надо понимать, что это именно базовый уровень, сравнимый с базовым уровнем других стран. Например, там есть требования по СОРМу (система оперативно-розыскных мероприятий – В.Б.)…

Владислав Бояров: …по сути это то, что предоставляется доступ правоохранителям. Чтобы они смотрели что хотят.

Михаил Кадер: Ни чего хотят…

Алексей Лукацкий: А то, что в рамках закона.

Михаил Кадер: Есть правила составления этого доступа, и во многих странах требования по СОРМу гораздо жёстче, чем в России. Но в ряде стран обеспечение определённого уровня безопасности является условием получения операторской лицензии, а его невыполнение ведёт, соответственно, к её отзыву. Что касается базового уровня – все эти работы ведутся в рамках стандартов, которые описывают архитектуру безопасности. И рабочая группа здесь в основном занята однозначными толкованиями терминов. Но при этом опять же, стандартов много, и многие из них являются рекомендательными.

Владислав Бояров: Мы с Алексеем разбирали вопрос об ответственности хостинга.

Михаил Кадер: Это вопрос клиентского договора.

Владислав Бояров: А дальше у нас был вопрос про базовый уровень. Пусть низкий, но не полная же безответственность.

Михаил Кадер: Хостинговая компания несёт ответственность за то, что описано в вашем договоре. Если в вашем договоре записан набор услуг по безопасности, то предоставляющая хостинг компания обязана их оказать, а если нет, то – нет.

Владислав Бояров: Но вот, например, сдавая вещи в багаж, разве мы заключаем с авиаперевозчиком специальный договор? Или мы всё же надеемся, что регулятор (законодатель) изначально, по умолчанию предусмотрел его ответственность?

Михаил Кадер: Как-то из багажа украли мобильный телефон моей жены и сказали: «Ребята, извините, вы не задекларировали его стоимость, и мы заплатим по нашим расценкам». Поэтому … можно подразумевать, но при этом, если мы хотим иметь возможность точно понять на что можно претендовать, нужно внимательно читать договор и дополнительные условия. И не надо забывать, что реализация дополнительного уровня ответственности по отношению к вам, требует у них ряда финансовых затрат. И если 9/10 людей это не спрашивают, то в этом случае автоматом они это всем обеспечивать не будут.

Владислав Бояров: То есть определённую ответственность авиаперевозчик по умолчанию несёт, другое дело, что в случае особо ценных вещей она недостаточна. Плюс в случае атаки на сайт он может послужить площадкой для массированного нападения на другие сайты, рабочие станции. Или пока это мало кого волнует?

Михаил Кадер: Это не пока. Я вам хочу сказать фактический пример. Был случай известный в России, когда в результате атаки у одного из операторов реально произошёл отказ в обслуживании. И оператор вынужден был поставить себе систему, предотвращающую подобные инциденты. С другой стороны, компании, у которых ничего подобного не происходило, не желают тратиться на дополнительные меры безопасности. Вопрос: как заставить их это сделать и правомерно ли их заставлять?

Владислав Бояров: Если общая обстановка такова, что, образно говоря, не надо носить с собой оружия.... Собственно, с этого вопроса я и начал: что делается государственными службами на предмет обеспечения общей безопасности? Чтобы злодеи не атаковали постоянно всех подряд и не вынуждали защищаться.

Михаил Кадер: Поймите, Вы оператору скажете: «Мы хотим, чтобы государство обязало вас обеспечить необходимый уровень безопасности», а оператор ответит: «Опять нас защищают за наши деньги».

Владислав Бояров: Понятно.

Михаил Кадер: Но при этом надо защищать за наши деньги информацию с необъявленной ценностью. Когда они вынуждены защищать что-то в соответствии с законом о персональных данных – они защищают. Предположим, они повысили безопасность, а вы говорите: «Мне не нравится, что мой сайт дорожает». Если вы в состоянии оценить стоимость своего ресурса, то в этом случае готовы и потратить адекватную сумму на его защиту, а если нет? Некоторые люди, занимающиеся регулированием в российском интернете говорят, что все операторы должны обеспечивать целостность и конфиденциальность передаваемой информации. Хорошая мысль, чудесная мысль, только при этом естественным компонентом будет падение производительности сетей раз в 5-10-20. Следствием будет не только многократное падение скорости, но и такое же повышение стоимости услуг. Так что повышение безопасности интересно далеко не всем, скорее, это будет нужно только избранным категориям потребителей.

Владислав Бояров: Понимаете, в обычной жизни я привык к тому, что некий подразумевающийся уровень безопасности всё же существует и охраняется государством. Существуют некоторые нормы, т.е. если я купил в магазине конфету за 2 копейки, то безо всякого договора надеюсь, что она не отравлена.

Алексей Лукацкий: Вы сейчас говорите о вещах, связанных с ущербом для жизни и здоровья, к которому у нас всегда относились отдельно. А мы говорили об ущербе, о некой коммерческой составляющей…

Владислав Бояров: Даже не коммерческой – вот мои личные фотографии…

Алексей Лукацкий: Тем более. Они для вас какую-то неопределённую ценность имеют. А ущерб жизни и здоровью – это вещь абсолютная. Информация, она очень сильно меняет ценность в зависимости от ситуации. Поэтому, наверное, необходимо разработать некий базовый, минимальный набор мероприятий, что сделали сейчас операторы и пытаются провести. Но это в любом случае ложится на оператора.

Владислав Бояров: Понятно, что это удорожает услугу.

Алексей Лукацкий: Нет, это не только удорожает. Решение о том, сделать это или не сделать, ложится на него, и на сегодняшний день сам оператор это решает. Базовый уровень – это всего лишь рекомендательный документ. Просто, с точки зрения борьбы с угрозами, оператор может принять решения снизить риск путём внедрения защитных мер. Второй вариант – переложить его на третьих лиц, например, застраховав свои риски. Это тоже стратегия, она достаточно распространена на Западе, где люди меньше занимаются собственной безопасностью сами, а больше перекладывают на страховщика. Пострадали, страховщик выплатил деньги. И третий вариант – принять риски. Многие сейчас и по этому пути идут, рискуют в прямом смысле. Оператор думает – а вот не коснётся меня это. Зачем я буду с этим бороться, лучше пойду судиться с пострадавшим и посмотрим ещё, кто выиграет. Разные стратегии. К сожалению, в этой теме пока это выглядит так. Но даже здесь есть чёткое деление. Есть информация, которая принадлежит каким-то коммерческим структурам, либо частным лицам. И ответственность за их защиту лежит на этих структурах. Либо государственная, либо, так называемая, критическая система. Хорошая иллюстрация – Саяно-Шушенская ГЭС. Это частная компания, но её деятельность сильно влияет на безопасность страны, национальную экономику. Для таких компаний выставляют обязательные требования по защите, в том числе их информационной инфраструктуры.

Владислав Бояров: А вот такой пример: обычный водитель должен получить права, пройти техосмотр.

Алексей Лукацкий: Опять же жизнь и здоровье – это отдельная тема. То, что мы сейчас рассказываем, это касается в первую очередь частников. Соответственно, они должны в первую очередь беспокоиться о безопасности своей информации. За них эту проблему никто не решит. Либо решит, но за их деньги. Недавно хотели на операторов повесить проблему борьбы с детской порнографией, т.е., чтобы именно операторы уже отвечали за то, что передаётся по их сетям. Это не корректно. Они не могут за это отвечать.

Владислав Бояров: Абсолютно с этим согласен.

Алексей Лукацкий: Более жёсткая ситуация. Детская порнография запрещена и поэтому здесь либо да, либо нет. При этом мы пытаемся навесить ответственность на оператора, который что-то сделать на сегодняшний день не в состоянии. А за то, что они это не сделали, пытаемся их наказать. Иногда доходит до абсурда. Недавно чиновники московского правительства выдвинули инициативу, чтобы владельцев интернет-кафе и операторов связи наказывать за то, что через их ресурсы люди обращаются в казино в интернете. Это заблуждение, наказывать надо владельца интернет-казино, а не операторов, по чьим сетям этот трафик передаётся.

Владислав Бояров: Я понимаю, что детская порнография – это плохо. Но если мы отправляем по почте посылку, содержащую журнал с порнографией, формально обязанность почты – доставить посылку. И не дело почты заниматься анализом пересылаемых вложений.

Алексей Лукацкий: В вашем случае то же самое…

Владислав Бояров: Нет, в моём случае посылку вскрыли и содержимое украли.

Алексей Лукацкий: Так на самом деле у операторов основная задача обеспечить доступность сервиса и он вам её обеспечит. Ваш сайт работает…

На самом деле у самого Интерпола есть подразделение, которое реально работает. Но с одной оговоркой: если в стране высокий уровень грамотности, то система безопасности работает, если не высокий, то не работает. Есть взаимодействие на уровне самих операторов, но пока не в России. В России сложно. При АДЭ (ассоциация документальной электросвязи – В.Б.) создавалась межведомственная операторская группа реагирования на атаки, но проблема в том, что непонятно из каких денег финансировать работу этой группы.

Владислав Бояров: А сами операторы не хотят друг другу помогать?

Алексей Лукацкий: Они помогают. Они понимают свой статус, осознают социальную ответственность. Взаимодействие есть, но оно базовое. Когда пошла вирусная атака, они звонят коллегам и сообщают с каких адресов трафик заблокировать. Официального органа, который выдаёт рекомендации, прописывает некие стандарты, координирует деятельность – нет. Это ведь требует дополнительных усилий и, в первую очередь, финансов. А сами операторы не хотят выделять на это свои деньги. Они говорят: «Если это нужно государству, давайте это делать за деньги государства». В ФСБ, в МВД говорят: «Да, нам это интересно, но бюджет мы не готовы на это выделять». Это неправильно, но это так. Поскольку, нет денег, то и инициатива, собственно, заглохла. Хотя хорошая инициатива была. На Западе операторы средства на это выделили.

Владислав Бояров: Обязало государство?

Алексей Лукацкий: Не обязало, они сами, поскольку для них это чистая потеря. У нас пока рынок не настолько конкурентный, чтобы оператор думал: «А вдруг меня атакуют, у меня не будет доступен сервис в течение недели, и клиенты от меня уйдут? Да не уйдут, потому, что я один такой в регионе». Вот и всё. И зачем ему думать о безопасности, если от него и так никто не уйдёт? Пока нет конкуренции, никто не думает о повышении качества обслуживания и предоставления дополнительных услуг.

Владислав Бояров: Алексей! Из этого разговора я вывел для себя, что есть два стимула, две вещи, которые подвигают операторов на обеспечение безопасности. Первое – это обязательные требования, примерно как санитарно-гигиенические, пожарные, ещё какие-то требования, выдвигаемые государством. Начал работать, ты обязан эти требования выполнить, и всё! Второе – это вопрос конкуренции, репутации, рынка, который тоже подвигает любой бизнес к тому, чтобы он работал хорошо. С той же самой пожарной безопасностью, бизнес и сам думает: «А зачем нужно, чтобы у меня всё сгорело, куплю-ка я огнетушители». Даже если никаких требований не было бы. Только дело в том, что если существуют обязательные требования по безопасности, то клиент, потребитель этого бизнеса точно знает, на что он вправе рассчитывать на любом, даже самом низшем, базовом уровне. А вот в случае, если решение вопросов безопасности ложится исключительно на бизнес, и вообще никакого базового уровня нет, меня это, честно говоря, пугает.

Алексей Лукацкий: Но это пока. Законодательство у нас только формируется, поэтому, возможно, со временем эта ситуация изменится.

Владислав Бояров: Я думаю, что чем больше мы будем в колокола бить, тем быстрее изменится. Спасибо за интересный разговор.

Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems, работает в области информационной безопасности с 1992 года. Опубликовал свыше 350 печатных работ в различных изданиях, в январе 2007 года был включен в рейтинг 100 персон российского ИТ-рынка.

Михаил Кадер - ведущий инженер-консультант компании Cisco Systems по вопросам информационной безопасности, работает в компании с 1997 года, в 2008 году стал первым сотрудником в СНГ, удостоенным звания заслуженного системного инженера Cisco, присуждаемого исключительно профессионалам, определяющим техническое развитие компании. Уровень его квалификации станет понятен, если напомнить, что в Cisco этим званием обладают не более 30 человек.