Алексей Лукацкий о «хороших» и «плохих» парнях из мира ИБ

Каковы основные тренды рынка систем информационной безопасности сейчас и в ближайшем будущем? Какие технологии, решения, задачи будут занимать первые роли в ближайшем будущем?

Алексей Лукацкий: Все тренды рынка ИБ можно связать с тремя основными драйверами его развития – угрозы, compliance (регуляторика) и информационные технологии. 

В первой области общепринятыми трендами развития являются: сетевая безопасность, облачная ИБ, аналитика ИБ, управление угрозами, Security/Threat Intelligence, защита оконечных устройств, поведенческая ИБ, безопасность приложений, мобильная безопасность, управление инцидентами. Угрозы ИБ так же транснациональны, как и проблемы экологии и коррупции, а поэтому они будут одинаковыми и в Америке, и в России, и в Украине, и в ЮАР, и в Исландии (хоть и с небольшими отличиями). При этом угрозы все чаще позволяют злоумышленникам как можно дольше оставаться незамеченными и получать баснословные барыши от своей противоправной деятельности – среднее время нахождения злоумышленника незамеченным в корпоративной сети составляет сегодня около 200 дней.

По итогам исследования Cisco, проведенного в 12-ти странах мира, мы сделали неутешительный вывод — уверенность специалистов по информационной безопасности в своих способностях предотвращать, обнаруживать и реагировать на современные киберугрозы снизилась на 5% за прошедший год. Не очень-то хороший сигнал для отрасли! В то время как злоумышленники давно уже объединились в транснациональные организованные преступные группы, безопасники пока действуют по принципу «каждый сам за себя». Это и приводит к росту числа успешных взломов корпоративных сетей, утечек данных, краж денег.

В области регуляторики общими трендами является движение в сторону защиты государственных систем, локализации и защиты персональных данных, кибербезопасности критических инфраструктур, цифрового суверенитета. 

В исследовании Cisco мы отметили переход в прошлом году Рубикона, когда объем зашифрованного трафика в интернете превысил значение в 50% от общего объема коммуникаций в Сети. Это и положительное, и отрицательное достижение одновременно. Плюс в том, что со стороны отрасли растет понимание необходимости обеспечивать приватность граждан и конфиденциальность передаваемых данных. Минус — в том, что зашифрованный трафик сложно анализировать с точки зрения национальной (террористы могут использовать зашифрованные коммуникации) и корпоративной (вредоносный код может маскировать свою деятельность) безопасности.

Третий драйвер – ИТ-технологии – практически един во всем мире: переход к облачным вычислениям, внедрение мобильных устройств, виртуализация, промышленные сети, социальные сети, agile-разработка, защищенное программирование… 

И тут тоже очень интересны результаты проведенного Cisco аудита устройств, «выставленных» в интернет, большая часть которых разработана именно Cisco. Многие ИТ-специалисты привыкли, что оборудование Cisco работает очень надежно и к нему можно не прикасаться годами. Но у этого огромного для айтишников плюса есть и обратная сторона: они забывают о необходимости обновления ПО сетевого оборудования. 92% доступных из интернета устройств имеют не менее 20 известных уязвимостей, а часть оборудования использует ПО, которое уже снято с продажи и даже с послепродажной поддержки. Этим, конечно же, могут воспользоваться и пользуются злоумышленники. Принцип «работает — не трогай» применительно к информационной безопасности, увы, не годится.

Когда мы общаемся с экспертами в области безопасности, всегда хочется задать им один и тот же вопрос: сейчас идет война между специалистами по безопасности и киберзлоумышленниками. Ваше мнение: возможна ли полная победа «хороших» парней? Будут ли когда-то созданы надежные – непреодолимые – барьеры на пути угроз, в т.ч. социального инжиниринга?

А.Л.: В свое время я читал роман Сергея Лукьяненко «Лабиринт отражений», а до этого «Нейроманта» Уильяма Гибсона, и в обоих случаях была интересная идея о том, что система защиты или система нападения может быть построена на базе искусственного интеллекта, который постепенно наращивает свою активность, то атакуя, то противостоя атакам. И вот в таком непрерывном противоборстве участвуют уже не люди, а машины. И понятно, что в идеальных условиях, когда никто не делает ошибок, ни одна из сторон никогда не возьмет верх в этом противостоянии. Эпизодическое превосходство возможно, а окончательная победа – нет. Поэтому у специалистов по безопасности всегда будет работа; как, к сожалению, и у «плохих» парней.

Вопрос в продолжение. Сейчас идут активные и успешные разработки в области квантовых вычислений. Вы можете попытаться спрогнозировать, как они повлияют на сферу ИБ по достижении определенного уровня зрелости – позитивно или негативно? Упрощенно говоря, это будут невзламываемые системы ИБ или беззащитные информационные активы?

А.Л.:  Все, что создано человеком, может быть им же взломано или обойдено. Квантовое шифрование из той же области. Это интересная технология, но и она может быть использована злоумышленниками двояко – как инструмент скрытия своих черных дел и как мишень для воздействия. Например, в Швеции в конце прошлого года было продемонстрировано, что у квантового шифрования есть слабости, позволяющие незаметно прослушивать защищенный канал связи, что раньше считалось невозможным. Поэтому квантовые вычисления – это всего лишь одна из технологий, которая появилась в последнее время. Их будет еще много. Главное, чтобы у потребителя не возникало чувство ложной защищенности, которое может культивироваться отдельными специалистами или СМИ.

Если вернуться к настоящему, то в одной из своих недавних публикаций Вы указали, что на сегодня уверенность безопасников в своих силах снизилась, причем в целом по миру. Каковы основные причины этого, и что будет предпринято для исправления этой ситуации, по Вашему мнению?

А.Л.:  Причина одна – рост числа и сложности современных атак. Раньше многие безопасники жили в своем мире – мире нормативных документов, новомодных технологий защиты и широко разрекламированных средств ИБ. Теперь, когда о методах злоумышленников становится известно все больше и больше, безопасники начинают понимать, что жизнь не так проста, как раньше казалась на презентациях производителей средств защиты. Многовекторные, быстро меняющиеся, деструктивные атаки обходят защитные механизмы, нанося ущерб компаниям по всему миру. Разумеется, это не добавляет оптимизма. Однако, я думаю, это ненадолго. Отношение меняется, осведомленность растет… Совсем скоро уверенность безопасника из «пошатывающегося колосса на глиняных ногах» превратится в устойчивую конструкцию, которая сможет эффективно противостоять новым технологиям хакеров. Я верю в это; иначе жить становится грустно. Главное – не опускать руки и заниматься постоянным самообразованием, которое и позволяет встречать злоумышленников во всеоружии.

Вы много путешествуете и в курсе того, как в различных государствах обстоит дело с отраслью ИБ, с государственным регулированием, с общей грамотностью населения в области ИБ. Назовите страны, которые можно было бы поставить в пример «нашим широтам», и уточните, каковы главные достижения этих стран в данной области. На что держать ориентир?

А.Л.: Очень сложно сравнивать страны по уровню информационной безопасности, так как, наверное, нет государств, схожих по всем параметрам. Допустим, возьмем США. Да, они дальше всех продвинулись в отрасли ИБ, по сути, и создав ее. Но так это потому, что они являются наиболее автоматизированной нацией в мире и поэтому наиболее уязвимой; им надо как-то решать эту проблему, что они и делают. Хотя отчеты о низкой защищенности то госорганов, то критических инфраструктур США появляются постоянно. С другой стороны, США считают себя сверхдержавой и не хотят делить этот статус с кем бы то ни было. Поэтому они пытаются навязывать – и достаточно жестко – свои технологии, продукты, подходы. И при этом контролируют все, что делается за пределами своей страны; даже в нарушение международного или локального законодательства (достаточно вспомнить историю с разоблачениями Сноудена, если это, конечно, не спланированная провокация). На другой части Земли есть Китай, который использует совершенно иную парадигму – все подчинено государственным интересам, мировой экспансии и концепции «мягкой силы», позволяющей постепенно и незаметно насаживать свои технологии. Но у Китая совсем иная культура, тысячелетняя история и менталитет. Они могут себе позволить идти не нахрапом, а постепенно, что уже сейчас дает свои плоды. Достаточно посмотреть, как китайские ИТ-компании проникли в разные страны миры и каким скандалам это приводит. Россия, к примеру, живет наследием КГБ в области информационной безопасности, означающем закрытость и отрицание всего нового, что есть в мире технологий. Отсюда устаревшие требования по ИБ и нежелание что-то менять. При этом в России очень сильна ориентация на нормативные требования, которые не успевают за развитием технологий, что приводит к определенной отсталости в системе защиты госорганов; в отличие от коммерческих компаний. А в контексте санкций и импортозамещения Россия, не имея развитого локального рынка ИБ, еще больше отскакивает назад. Но и положительные моменты есть в каждом из описанных государств. У США – четкое деление между жесткими требованиями ИБ для государства и свободой выбора защитных мер для бизнеса. В Китае можно взять их долгосрочную стратегию развития, рассчитанную на десятилетия. Россия не желает плясать под чужую дудку и старается обеспечить для себя цифровой суверенитет. Но единственно правильного ориентира нет – у каждого свой путь.

Говорят, что в Северной Корее есть очень неплохие кибервойска. С Вашей точки зрения, как они смогли доучить их до «международно признанного уровня» в условиях, наверное, самой закрытой страны мира? 

А.Л.: Существует также мнение, что никаких серьезных кибервойск в Северной Корее не существует и это миф, который выгодно поддерживать северокорейскому правительству. Но в любом случае создание когорты высококлассных хакеров на службе государства – это не такая уж и неподъемная задача. Как показывает мой опыт, проведение киберучений – это сложный, но вполне подъемный вопрос даже для одной компании. А уж если киберучения проводить постоянно и поднять их на государственный уровень, то вот у нас уже и хорошо подготовленные эксперты, способные как ломать, так и защищать информационные системы. Было бы желание эту задачу реализовать (с чем в Северной Корее, с ее жесткой дисциплиной и ориентацией на государственные нужды, нет недостатка), а открытость технологий и знаний в этой области позволяет обучить им даже не имеющих опыта работы с компьютерами людей.

Система шифрования, которая не поддается взлому (в том числе, с помощью социального инжиниринга). Возможна ли она? Если да, то станет ли она «золотой пулей», которая решит все или хотя бы подавляющее большинство проблем ИБ? Как она может быть устроена, на основе какой технологии или их комбинаций?

А.Л.: В 1963 году в работе «Теория связи в секретных системах» Клод Шеннон доказал существование абсолютно стойких или теоретически стойких криптосистем, которые не поддаются взлому какими бы возможностями и ресурсами не обладал злоумышленник. Однако их применение ограничено соображениями стоимости и удобства использования и широкого распространения они не получили, исключая область государственных секретов. На практике же ситуация еще хуже, так как любой системой пользуется человек, а ему, как известно, свойственно ошибаться, что и приводит к проблемам, взломам, обходу защитных механизмов.

Известный специалист по ИБ Брюс Шнайер, начинавший свой публичный путь с написания книги «Прикладная криптография», считал, что криптография может решить все проблемы ИБ. Спустя годы он кардинально пересмотрел свою точку зрения, заявив, что криптография – это одна из множества систем безопасности, не хуже и не лучше других. Я придерживаюсь такой же точки зрения. Средство шифрования, реализованное с ошибкой… Неудачная настройка шифрования… Неверно выбранный пароль… Некорректная архитектура… Причин, когда в теории стойкие средства криптографической защиты информации дают сбой, можно назвать много.  И пока человек является неотъемлемой частью современных средств шифрования, именно он будет оставаться самым слабым звеном.

Не так давно Вы посетили очередную RSA Conference. Какие основные тренды, события, надежды или опасения были озвучены на этом мероприятии? Что привлекло именно Ваше внимание?

А.Л.: Надо понимать, что, как и любая выставка, она отражает не всегда чаяния потребителей, которые еще не навели даже порядок в базовых вещах, а зачастую продвигает новые продукты участников, которые всеми правдами и неправдами пытаются доказать, что именно их продукта и не хватало киберпространству для его спасения. Если же отбросить столь меркантильную составляющую, то среди самых активных можно назвать тему аналитики в области ИБ. Данных становится настолько много, что обрабатывать их становится все сложнее и сложнее – нужен специализированный инструментарий, умеющий вычленять из плевел зерна истины. Активно также говорили о мобильной и облачной безопасности, защите приложений, реагировании на инциденты. Темы защиты данных, сетевой безопасности, защиты персональных компьютеров уже много лет остаются в фаворе и интерес к ним не убывает.

На конференции же подход был более прагматичным – рассматривались темы более приземленные и находившие живой отклик у слушателей. При этом уже который год много внимания уделяется не техническим, а бизнес-вопросам ИБ – как донести важности ИБ до руководства, как посчитать ИБ, как общаться с бизнесом, как выжить в мире agile и т.п.

Встречаются ли Вам книги по ИБ, которые есть смысл читать, к примеру Вам? Если да, назовите 3-5 книг, которые Вы бы рекомендовали специалистам по ИБ. Какими основными источниками информации Вы пользуетесь? Если можно, назовите те, которым Вы доверяете больше, чем другим.

А.Л.: Ох… Я бы не хотел, чтобы на мое мнение сейчас кто-либо ориентировался и делал бы такие же выводы. Но лично для себя я давно сделал вывод, что на русском языке ничего достойного у нас не публикуется и это закономерно. Во-первых, у нас мало специалистов по ИБ по сравнению с той же Америкой. Во-вторых, у нас невыгодно писать книги – временные затраты просто не окупятся, а славу можно заслужить и более простыми методами (хотя в конце 90-х, когда я писал свою первую книгу, ситуация была ровно обратная). В-третьих, те, кто может что-то написать интересное и поделиться своим опытом, предпочитают работать, а не брать в руки перо и радовать читателя. Наконец, писать надо уметь. Это определенные навыки и опыт, которые есть не у всех. Читать же неграмотного автора, каким бы умным и опытным он ни был, неинтересно. Вот и получается, что на русском книг по ИБ у нас почти нет. С иностранной литературой ситуация совсем иная, но я ее не стану рекламировать. Слишком много книг выпущено на английском языке и слишком они разносторонни; выделить одно-два-три наименования я не смогу.

Интернет вещей – Big Thing в мире ИТ (на стыке с АСУ ТП). Особенности его возникновения (к примеру, зоопарк технологий и производителей) и функционирования делают его очень уязвимым для злоумыш-ленников, а последствия зловредных действий – потенциально катастрофическими и даже трагическими. Возможно, вопрос безопасности – основное препятствие (помимо финансового) на пути IoT. Какие Вы видите основные шаги, условия, которые необходимо выполнить для того, чтобы ИВ стал достаточно безопасным для производителей и интеграторов?

А.Л.: Как раз безопасность не является препятствием на пути IoT. Мы видим огромное количество «умных» устройств (часов, фитнес-трекеров, холодильников, кофеварок, унитазов, секс-роботов, автомобилей), которые были выброшены на рынок в отсутствие каких-либо механизмов защиты. И это вполне закономерная вещь, которая присуща абсолютно любой технологии. Достаточно вспомнить Windows, MacOS, Android и др. Сначала на рынок выпускается местами сырой, но все-таки работающий продукт, задача которого – захватить внимание пользователя и привлечь к нему внимание СМИ, когорты разработчиков, аналитиков. По мере роста клиентской базы к продукту возрастает и интерес злоумышленников, а за ним – и требования к защите продукта. Вспомним MacOS. Когда эта система была уделом дизайнеров и гламурных блондинок, ни о какой безопасности компания Apple и не помышляла. И только после превышения порога проникновения в 12% произошел взрывной рост интереса к функциям защиты «яблочной» продукции.

С интернетом вещей ситуация аналогичная. Пока у производителей стоит задача «застолбить» себе место на растущем рынке, показать свои возможности и привлечь к себе внимание. О безопасности не думает никто – инцидентов нет или очень мало, а потребитель никогда не выбирает «умные» устройства с точки зрения их уровня защищенности. Отсюда и мнение о том, что интернет вещей и безопасность несовместимы. Это не так. Пройдет время и ситуация изменится в лучшую сторону. Хотя на этом пути придется пройти немало сложностей – и огромное количество разноплановых и разнотипных устройств, и отсутствие общепринятых стандартов, и упор на автономность работы (что мешает расширению интернет-вещей новыми функциями, включая и ИБ, которые «едят» системные ресурсы), и миниатюрность.

У нас есть немало читателей, работающих в области АСУ ТП и от их имени хотим спросить: в мире, в наших регионах в том числе, масса промышленных, энергетических и т.д. объектов. Мы догадываемся, что ситуация с их защитой не так уже и хороша, и все же – сможет ли группа злоумышленников устроить технологический Армагеддон в отдельно взятой стране СНГ, к примеру? Или все не так плохо? Не слишком ли поздно государствам и частным компаниям принимать меры по защите своей критически важной инфраструктуры? Может быть, все системы уже заражены и ждут часа X?..

А.Л.: Если вспомнить фильм «Крепкий орешек 4.0», то может сложиться впечатление, что технологический апокалипсис вполне возможен. Однако я скептически отношусь к тому, что было показано в этой франшизе. Все-таки кино и жизнь – это немного разные вещи. Конечно, можно атаковать отдельную электростанцию, гидротехническое сооружение, нефтеперерабатывающий завод или компрессорную станцию на трубопроводе. Но сделать такую атаку скоординированной?.. В это я не очень верю. Отчасти по причине не очень высокой автоматизации в этой области (это пока играет нам на руку). Отчасти в отсутствие цели для такой атаки. Все-таки в «Крепком орешке» технологический Армагеддон был ширмой для кражи денег – в России, в Украине, в других странах СНГ такое маловероятно. Остается, конечно, кибертерроризм, но пока (именно пока) у террористов нет соответствующей квалификации.

Со временем ситуация изменится. И число квалифицированных преступников увеличится, и уровень автоматизации вырастет. Чтобы не кусать потом локти, государствам стоит задуматься о стратегии в области кибербезопасности критических инфраструктур. Пока на территории постсоветского пространства с этим дело обстоит не очень хорошо. К сожалению, руководят безопасностью у нас люди далекие от компьютеров, получавшие образование тогда, когда вычислительная техника занимала многоэтажные дома или вовсе была уделом фантастов. Отсюда недоверие и непонимание важности этой темы и того уровня проникновения информационных технологий в нашу жизнь. Остается ждать… Либо смены поколений, либо большого «бабаха», который заставит пересмотреть руководителей нацбезопасности свои взгляды.