Массированные кибератаки, в том числе недавняя атака нового вируса Petya на госструктуры и компании по всему миру, спровоцировали массу версий и гипотез относительно появления виртуальных вредителей. О том, как работает вирус, чем он интересен, как хакеры "двигают" прогресс, о недооцененной угрозе кибербезопасности в современном мире, об отличии биткоинов от привычных электронных денег и многом другом в интервью корреспонденту РИА Новости Марии Зуевой рассказал главный технический директор Группы QIWI Кирилл Ермаков.
— Кирилл, каким образом киберспециалисты по безопасности обеспечивают защиту компаний от хакерских атак?
— Кто такие люди, занимающиеся информационной безопасностью? Это IT-специалисты, которые хорошо понимают, как работают те или иные системы и с какими угрозами они могут столкнуться. Хорошие эксперты по информационной безопасности — это системные администраторы, разработчики, юридические консультанты и хакеры в одном лице. Их цель заключается в том, чтобы стоимость процедуры возможного взлома или несанкционированного вмешательства в систему превышала возможные бенефиты от этих действий. Между прочим, это ключевой момент всей индустрии. Невозможно сделать так, чтобы информационную систему нельзя было взломать. Мы всего лишь стараемся сделать процесс взлома нерентабельным.
— Недавно силовые ведомства подверглись массированным хакерским атакам. Обращались ли к вам государственные структуры за помощью в вопросах кибербезопасности?
— Нет, ни одного официального обращения не было. Кому мы стараемся оказывать помощь самостоятельно — это ФинЦЕРТ Центрального Банка России, который выступает центром обмена данными об угрозах информационной безопасности между участниками финансового рынка в России. Им мы с удовольствием помогаем экспертизой и предоставлением данных, которые получили в результате внутренних исследований. К примеру, начали распространяться новые вирусы, мы получили образцы раньше остальных, разобрались, как они работают, сделали аналитический отчет. А дальше уже предоставили отчет в ФинЦЕРТ.
— Есть же какой-то процент неудач в защите киберсистем?
— Конечно. В среднем для большой компании условной нормой является один инцидент с крупными потерями раз в три года. Это если присмотреться к открытым источникам. Но сколько инцидентов умалчивается?
— А крупные потери — это сколько в финансовом смысле?
— Это свыше миллиона долларов. Вообще, вся безопасность — это разговор про деньги. Специалисты стоят дорого. Программное обеспечение, которое необходимо создать самостоятельно или купить у разработчиков, стоит не меньше. И не стоит забывать, что внедрение усиленного контроля безопасности приводит к понижению эффективности бизнеса. Поэтому инвестиции надо рассчитывать очень и очень грамотно.
— А каковы зарплаты киберспециалистов?
— Сотрудник хорошего уровня получает в диапазоне 120-150 тысяч рублей. Высококвалифицированные специалисты с уникальной экспертизой запросто получают 200-300-400 тысяч, звезды могут получать до плюс бесконечности. Это зависит чаще всего от востребованности редких компетенций в специфичных областях для конкретных компаний.
— Что мешает эффективной работе киберсистем безопасности и какие в них есть слабые места?
— Мешает неосведомленность программистов и ненасытность бизнес-заказчиков. Все уязвимости и проблемы информационной безопасности у типовых компаний появляются от того, что они сильно фокусируются на скорости развития бизнеса, на том, чтобы как можно быстрее выпустить продукт. Тем самым получается негативное влияние именно бизнес-компоненты компании на качество продукта с точки зрения информационной безопасности. Самый правильный вектор развития, если вы хотите создать продукты, которые не взломают одним кликом, — обучение разработчиков. С этого надо начинать, и это самое эффективное средство.
— Как часто киберспециалистов пытаются привлечь к незаконной хакерской деятельности и кто это делает?
— Никто не пытается их самих привлечь. Это всегда добровольный шаг.
— Но откуда-то же они находят выходы на незаконные структуры. Все-таки как законопослушный киберспециалист становится незаконным хакером?
— За всю мою практику меня никто ни разу никуда не звал, не приглашал заняться чем-то незаконным. Поэтому я могу строить только догадки. Все-таки интернет — это слабо регулируемая сфера, да и уровень анонимности в сети достаточно высок. Помножим это на медленное развитие безопасности у малого и среднего бизнеса и получим Дикий Запад. Но все-таки индустрия развивается, и стоимость взлома возрастает для всех сфер онлайн-активности.
— Я так понимаю, зарплата киберспециалиста вырастет до такой степени, что им не будет нужды переходить в хакеры…
— Нет, дело не в зарплате. Уровень защищенности программного обеспечения "из коробки" может возрасти настолько, что хакерам будет невыгодно его взламывать, так как затраты на процесс взлома будут выше, чем прибыль от него. Почему киберпреступники выживают? Потому что есть очень много компаний, которые относятся безответственно к информационной безопасности. Их дешево взломать, и можно хорошо на этом заработать.
— Какие сейчас ведутся разработки для улучшения защитных систем и какие планируются нововведения в данной сфере?
— Многообразие этих систем настолько большое, что обрисовать ситуацию можно только достаточно общими расплывчатыми фразами. С точки зрения трендов мы видим, к примеру, что AI (искусственный интеллект) начал успешно применяться для систем защиты. Что мы можем предсказать на будущее? Что скоро он начнет применяться для систем атаки.
Если посмотреть на рынок самых популярных решений защиты онлайн-бизнеса, то можно отдельно выделить класс решений web application firewall, который сейчас развивается очень динамично. Это программное обеспечение для защиты веб-ресурсов. Есть достаточно яркий представитель российского рынка, ребята, которые называются Wallarm. Это редкий случай, когда российский стартап взлетел в Кремниевой долине. Это как раз тот случай, когда искусственный интеллект был удачно применен.
Команда QIWI является авторами и основными разработчиками базы данных уязвимостей программного обеспечения Vulners. Это как Google только в мире информационной безопасности. И там тоже под капотом искусственный интеллект и другие современные технологии.
— А почему вирус Petya (PetrWrap) вызвал такой ажиотаж? В чем его особенность?
— Этот вирус был достаточно интересным технически, но с абсолютно непонятными мотивами его создателей. Почему был ажиотаж? Потому что у него была очень высокая эффективность распространения. То есть он очень быстро перемещался с одного компьютера на другой и обладал парализующим эффектом. Бывают такие вирусы, которыми компания может заразиться и даже не знать, что злоумышленники используют их компьютеры в собственных целях. И это нормальная и гораздо более привычная история. Злоумышленники пришли, сделали свое дело, но у них не было интереса остановить работу компании. Petya особенно интересен тем, что его коммерческая составляющая вымогателя была лишь прикрытием. На деле он просто парализовал работу компаний без какого-то понятного мотива его создателей.
— Чего добивались люди, которые этот вирус запускали?
— Понятно, что целью этой атаки явно не было заработать деньги на выкупе. Россия и Украина были одними из первых стран, кто массово пострадал от нее. Есть гипотеза, что распространение началось со взлома украинского разработчика ПО. Какие были мотивы, я не знаю, потому что помимо Украины и России — опять же это в российских СМИ не очень сильно было освещено — пострадали Израиль, Индия, США. В итоге паника и заражения охватили полмира.
— То есть с Украины пришло, а по остальным распространилось?
— На Украине были замечены первые проявления. То есть сказать гарантированно, что оно пришло оттуда, невозможно. Первые инциденты мы видели там, но уже буквально через час инциденты начались по всему миру. Я не знаю, чего добивался злоумышленник вирусом PetrWrap. Что у них точно получилось сделать — это снова привлечь внимание к проблеме информационной безопасности и заставить бизнес инвестировать в это деньги. И это, с моей точки зрения, огромный плюс.
— Каким образом Petya распространялся?
— Он использовал несколько векторов распространения. Он основывался на том, что многие не ставят обновления безопасности на свои компьютеры. А дальше вирус использовал как известные уязвимые места ПО, так и стандартный функционал Windows, который используют системные администраторы. За счет верно построенной стратегии распространения вирус смог заразить даже те компании, которые поставили обновления безопасности после атаки вируса WannaCry. Но что показательно, очень мало компаний относятся серьезно к управлению уязвимостями и процессами управления обновлениями безопасности. А это, между прочим, базовые процессы, отсутствие которых в современном мире является серьезнейшей недоработкой IT-команды.
— Украина обвиняла в этой атаке Россию…
— Я сомневаюсь, что здесь госструктуры могут иметь принадлежность к подобным атакам, потому что целесообразность этих действий абсолютно нулевая с точки зрения даже парализации предприятий. Многие компании не имеют сильных команд, которые могут выстроить информационную безопасность. Но уж системы резервного копирования информации имеет большинство. Вирус притормаживает деятельность компаний, но компания восстанавливается из бэкапов и продолжает работать дальше. Мне очень понравилось предположение, которое я прочел в статье, что все эти атаки провоцируют дергание курса биткоина.
— Не может быть такого?
— Это интересные домыслы, потому что курс действительно резко изменился в результате этих атак. Изменение составило порядка 5%. Может быть, кто-то заработал на этом…
— Как думаете, можем ли мы в будущем полностью перейти на биткоины?
— Мне кажется, целиком на расчеты в криптовалютах мы не перейдем. Но не в силу того, что они чем-то плохи, а по причине того, что остается еще очень много так называемых cashlovers (любителей наличных денег). Что пытаются сделать ребята из Visa, Mastercard, AmEx? Они стараются всех перевести на безналичные расчеты, отдалить нас от физических денег. В ряде стран это получается эффективно, но все равно слишком много людей, которые предпочитают наличность.
— Как, например, расплачиваться биткоинами в ресторане?
— Для человека это будет выглядеть так же, как любой электронный кошелек. У вас будет цифровой биткоин-кошелек и пара монеток на счету. А дальше в качестве расплаты вы просто переведете со своего кошелька в пользу кошелька получателя какое-то количество этой валюты.
— Чем принципиально отличаются биткоины от электронных денег на карточке?
— Двумя основными вещам: децентрализованностью и отсутствием физического эквивалента. Мне, как техническому эксперту, гораздо интереснее, как работает вся механика криптовалют внутри — здесь нет единого процессинга, информация обо всех транзакциях хранится у всех участников системы. А грамотное применение криптографических алгоритмов позволяет обеспечить невозможность подмены платежа, как и возможности его отмены.
— То есть более защищенная система?
— С точки зрения защищенности и устойчивости к инцидентам она, несомненно, интересна. С точки зрения всего остального у меня двойственное отношение. Как, в принципе, развивались деньги? Изначально что-то всегда стояло за этой бумажкой или монетой. Раньше был золотой запас, которым была обеспечена валюта. Был курс, по которому можно обменять купюры на золото. Но эволюция привела нас к тому, что стоимость валют зависит только от спроса и предложения. Система биткоин вышла на этот рынок сразу в таком режиме биржи. Может быть, это перспективно, а может, и нет.
— Скажите, а в будущем возможна такая ситуация, что киберсистемы заменят живых специалистов?
— К такому мы никогда не придем. Пока технологии не стоят на месте, нельзя придумать универсальной защиты, как минимум пока мы не изобретем искусственный интеллект, который способен создавать другие искусственные интеллекты. Но в информационной безопасности смекалка даже более важна, чем образованность и опыт. Мне кажется, это человеческое качество машины заменить не смогут.
— А вообще, насколько преувеличена киберугроза безопасности?
— Она недооценена. Если мы взаимодействуем со СМИ, мы видим абсолютно парадоксальную ситуацию: те угрозы, которые реально относятся к классу средних или низких, драматизируются до состояния критичных. И общий уровень защищенности, который на самом деле драматически низкий, оценивается СМИ как высокий. Действительно, высоким уровнем защищенности могут похвастаться очень и очень немногие компании.
Если буквально 5-10 лет назад угроза информационной безопасности расценивалась как угроза потери денег, то сейчас мы говорим, что угроза информационной безопасности — это угроза остановки и потери бизнеса. Это угроза глобальных катастроф, потому что, к примеру, захваченное управление ядерной электростанции может привести к самым ужасным последствиям.
— А насколько быстро развиваются хакерские технологии?
— Быстрее, чем технологии защиты. Хакеры — двигатель прогресса. Они придумывают что-то новое, и мы вынуждены придумывать что-то в ответ. При этом сделать какую-то универсальную систему, которая защитит от всего в будущем, невозможно.
— Назовите самые вредоносные изобретения хакеров.
— Самые большие проблемы сейчас доставил архив, который утек у хакеров из спецслужб США. Он добавил работы специалистам по всему миру, потому что это достаточно качественные разработки для проведения атак на информационные системы.
— Что это за архив?
— Так называемый Vault 7 и утечки от Shadow Brokers. Ребята из ЦРУ и АНБ допустили кражу их архива кибероружия. Внутренние разработки для проведения разнообразных активных действий в сети стали публично доступны. Конечно, их выкладывают достаточно корректно — они публикуют информацию по частям, предварительно показывая тем производителям ПО, кого она затрагивает. Производитель выпускает обновления, и только потом публикуются данные об уязвимости. Petya, WannaCry — яркие представители тех, кто использовал наработки из этой коллекции. Вот теперь весь мир дружно разгребает последствия этой утечки.
— Раз уж мы затронули тему, связанную с США, хочется услышать ваше мнение и по следующему вопросу. Ранее "Лаборатория Касперского" заявила, что предоставит властям США исходный код, чтобы развеять подозрения по поводу работы компании. Поясните, пожалуйста, что это за исходный код и чем он поможет властям США.
— В чем проблема любого продукта для обеспечения безопасности? Это тоже чье-то ПО, которое написали разработчики какой-то компании. И как может конечный пользователь убедиться в том, что ПО не содержит в себе лазейки для его авторов?
В данном случае "Лаборатория Касперского" говорит: "Клянемся, никаких закладок в нашем обеспечении нет, держите — проверьте". США очень сильно опасаются, что наше ПО может содержать какие-то сюрпризы, которые позволят нам получить несанкционированный доступ к американским системам. США посмотрят исходные коды, убедятся, что все замечательно, и смогут применять ПО "Касперского" дальше.
— Ранее зампред правления Сбербанка Станислав Кузнецов сообщил, что обсуждает с банками и ведомствами создание некой технологической платформы, где бы кредитные организации и телекомкомпании могли бы обмениваться фродовой информацией (информацией о фактах мошенничества). Что вы думаете по поводу такой инициативы?
— В целом, несомненно, самый правильный шаг, который можно сделать по противодействию мошенничеству, это консолидировать информацию со всех банков. Потому что сейчас этого обмена данными нет, что дает возможность злоумышленнику удачно отстреляться в одном месте и потом пойти в следующее. Если они скорректируют законодательство таким образом, что регулятор в виде ЦБ будет иметь возможность эту информацию собирать, суммировать и предоставлять, то это будет антифрод на федеральном уровне, что станет очень хорошим подспорьем для минимизации мошеннических операций в банках и платежных системах.
— Госдума приняла в первом чтении законопроект, который запрещает использовать анонимайзеры — технологии обхода блокировки сайтов с запрещенной информацией. Будет ли работать запрет анонимайзеров, как вы думаете?
— Технологически — нет, потому что это можно запретить только на юридическом уровне и требовать от компаний, чтобы они не предоставляли данные услуги на территории России.
— Анонимайзеры невозможно отследить?
— Отследить анонимайзеры можно. Проблема в том, что их легко спутать с легитимными технологиями построения защищенных соединений. Я думаю, с ними будут бороться так же, как с запрещенными сайтами — блокировками адресов по списку. Как технологию запретить анонимайзеры не выйдет.
— По вашему мнению, нужно ли вносить какие-то изменения в законодательство для улучшения ситуации с кибербезопасностью?
— Нам в законодательстве не хватает вариативности. Разнообразие возможных действий в сети настолько большое, что нельзя уже пытаться все грести под одну гребенку из пяти параграфов. Законодательство требует расширения, чтобы по мере развития цифрового мира оно не стояло на месте.
— А что конкретно вы бы предложили добавить в законодательство?
— Я бы настаивал на необходимости более плотного регулирования безопасности в финансовом секторе, обязательное выполнение адекватных современных стандартов безопасности. Если это дополнить контролем выполнения регулярных аудитов как документальной, так и практической составляющей (так называемые тесты на проникновение), то это дало бы необходимый толчок для повышения уровня защищенности и позволило бы спать спокойнее.
