Программа "Археология" Сергея МЕДВЕДЕВА: Призраки кибертеррора (окончание)
Начало:
https://loxovo.livejournal.com/8105887.html
Сергей Медведев: - Возможно какое-либо международное правовое урегулирование кибертранзакций, кибератак, какой-то Киберинтерпол? Здесь действуют какие-то конвенции?
Олег Демидов: - Это довольно старый и больной вопрос. Существующие международные юридические инструменты действуют максимум в масштабах регионов. Например, с 2001 года действует так называемая Будапештская конвенция о борьбе с компьютерной преступностью. Это инструмент, выработанный Советом Европы для ряда целей и помогающий странам, участвующим в ней, эффективнее бороться с компьютерными преступлениями, в том числе обеспечивающий механизм для быстрого трансграничного доступа правоохранительных органов одной страны - члена конвенции к информации, необходимой для расследования, которая хранится в информационных системах на территории другой страны - участницы конвенции. Россия по различным причинам, связанным с национальной безопасностью, не присоединилась к этому механизму, а своего механизма, эффективно действующего подобным образом на пространстве бывшего Советского Союза, де-факто нет.
Это только по киберпреступности. Если же брать некие нормы, которые ограничивали и регулировали бы поведение самих государств в киберпространстве, то диалог об этих нормах ведется как минимум с начала 2000-х годов по инициативе России. В рамках ООН запущен формат группы правительственных экспертов, которые обсуждают такие нормы. Но пока все, что удалось сделать, это выработать проекты таких норм, не имеющие обязательной силы, не принятые де-факто международным сообществом, а просто предложенные этой группой из 25 государств, которая включает Россию, США и другие основные державы.
Там есть интересные предложения, например, государствам предлагается не нападать на критическую инфраструктуру, не допускать и не осуществлять кибератак на центры реагирования на компьютерные преступления, обеспечить целостность цепочек поставок продукции для критически важных объектов инфраструктуры и т. д. Но пока это все на бумаге.
Сергей Медведев: - А это можно сравнить с эволюцией ядерного оружия, с тем, как постепенно мир и государства приходят к регламентированию его применения?
Олег Демидов: - Это довольно распространенная аналогия. Этот диалог в рамках ООН является частью попытки создать такие нормы. С этим сложно. Классические постулаты теории сдерживания, на которых был выстроен режим ядерного разоружения и нераспространения, не работают в киберпространстве: есть проблема с гарантированным взаимным уничтожением, с оценкой потенциала противника.
Ядерное оружие было довольно просто спрятать, но страны и не стремились это делать, они стремились демонстрировать свой ядерный потенциал как доказательство своей силы. А значительную часть киберпотенциала державы сейчас скрывают на черный день, тайно внедряя в сети потенциальных противников бэкдоры, собирая информацию об уязвимостях в критически важных системах, которые, возможно, получится задействовать при необходимости.
Сергей Медведев: - Может быть, сейчас Северная Корея уже создала какой-то смертельный вирус, который может хакнуть атомные станции, и в день Икс предъявит это изумленному человечеству.
Алексей Лукацкий: - Такой сценарий уже реализовывался. За последние лет 15 было не менее десятка атак на различные ядерные объекты с разной степенью успешности. Атомные электростанции - не такой уж изолированный от внешнего мира объект, как это принято считать.
Сергей Медведев: - Киберопасность растет? Ведь от развития технологий отстает и правовая инфраструктура, и инфраструктура защиты.
Алексей Лукацкий: - Правовая инфраструктура всегда отстает, так как она всегда реагирует на то, что уже принято в мире. Более того, я не соглашусь с мнением Саркиса: он говорит о том, что нет юрисдикции, нет границ, и право должно это учитывать. На самом деле как раз сейчас во многих странах мира (и США - не исключение, хотя часто их преподносят как пример такой демократии в интернете) идет такая балканизация интернета, когда каждая страна все-таки старается устанавливать свои правила игры в своем информационном пространстве. Россию преподносят как проводника этой идеи, потому что мы действительно пытаемся отстаивать в ООН, в рамках Международного союза электросвязи и в ряде других организаций позицию, что каждая страна должна иметь право на цифровой суверенитет.
Понятно, что это право может по вполне понятным причинам немного нарушать права граждан, но государство здесь пытается отстаивать свою позицию, связанную с национальной безопасностью, с невмешательством и тому подобными вещами. Такие же разговоры идут и в США, и во многих других странах. Поэтому сейчас нет четкого ответа на вопрос о том, как должно развиваться международное право: либо разрешить все и всем, либо, наоборот, все закрыть. Непонятно, какой ответ будет правильным.
Сергей Медведев: - Мой главный вопрос касается все-таки не права, а способности защищаться от подобного рода атак. Хакер всегда на полшага впереди?
Алексей Лукацкий: - Дело не в том, что он на полшага впереди, а в том, что большинство людей и компаний вообще не занимаются своей безопасностью. По статистике 95% всех атак в мире происходит потому, что человек или компания не закрыли в своем компьютере известную уже не одну неделю уязвимость. Злоумышленники про это знают и лезут через эти известные дырки. И проблема не в том, что нет технологий безопасности - они есть, а в том, что люди беспечны.
Сергей Медведев: - И криптовалюты, и интернет вещей, - это все возможные уязвимости, через которые кибертеррорист может проникнуть в нашу святая святых?
Олег Демидов: - Любая новая технология по мере своего развития и внедрения, как правило, действительно несет в себе уязвимости. Долгое время специалисты технического сообщества пытались достучаться до производителей, которые продают устройства интернета вещей, по поводу того, что не было сформировано никакой политики безопасности. Это привело к тому, что прошлый и позапрошлый годы в плане кибербезопасности выделяются, в том числе, появлением огромных зомби-сетей, ботнетов, собранных впервые из взломанных устройств интернета вещей. Причем техника взлома была настолько элементарной, что там даже не было никакого взлома, просто у огромных партий устройств, таких, как камеры, подключенные к сети, и еще какие-то простейшие устройства с датчиками и доступом в сеть, стояли заводские партии одних и тех же паролей, которые быстро становились известны злоумышленнику.
Сергей Медведев: - Хорошо, злоумышленник взломал холодильник в моем доме…
Олег Демидов: - Сам по себе ваш холодильник ему не нужен, ему нужен ресурс сетевого трафика, который пропускает через себя ваш холодильник. Владея доступом и имея контроль над тысячами таких узлов, как ваш холодильник, он способен при помощи программного обеспечения управлять этим трафиком, объединяя сетевые ресурсы таких устройств. Можно направить этот вредоносный трафик на кого угодно в интернете и положить любой ресурс, любой сервер, любой сайт.
Сергей Медведев: - Холодильник, морозильная камера, машина, подключенная к интернету, могут генерировать Ddos-атаку.
Олег Демидов: - Именно это и происходило.
Алексей Лукацкий: - Страшна не только Ddos-атака, ведь она не нанесет вам никакого ущерба, кроме ситуации, когда против вас будет возбуждено дело по определенной статье Уголовного кодекса. Но если это действительно холодильник, подключенный к интернету, то, как правило, у современных холодильников вы прописываете данные своей кредитной карты для того, чтобы он мог отслеживать качество продуктов и заказывать их. Я думаю, вы будете не рады, если злоумышленник либо украдет данные вашей кредитной карты, либо на все деньги, которые там есть, закажет черной икры и уйдет в минус, а вам придется потом расплачиваться за всю эту черную икру.
Алексей Лукацкий
С автомобилями еще более печальная ситуация. Понятно, что их можно использовать как Ddos, хотя таких примеров не было. Автомобиль можно украсть, или можно отключить на ходу тормоза. И будет практически недоказуемо, что, например, какой-то чиновник, оппозиционер или кто-то еще попал в аварию по причине компьютерной атаки на его автомобиль.
Сергей Медведев: - Или можно направить автобус в толпу.
Алексей Лукацкий: - Многие кардиостимуляторы сейчас тоже подключены к интернету. У них есть встроенный дефибриллятор, который при остановке сердца запускает мощный электроток. Но когда такой сигнал запускается во время работы сердца, это приводит к смерти. Такие факты еще неизвестны, но такая возможность уже доказана и продемонстрирована.
Сергей Медведев: - Как с этим бороться? Устанавливать пароли, коды?
Алексей Лукацкий: - К сожалению, сам пользователь не может ничего с этим сделать - это задача производителя. Нужны не только пароли, но и вообще встроенные механизмы защиты. Поэтому сейчас и в США, и в Евросоюзе, и в России об этом думают, устанавливают требования к таким производителям, чтобы они задумывались о безопасности еще на этапе проектирования, а не только когда происходят инциденты с их продукцией.
Сергей Медведев: - Нужно ли каким-то образом бороться с "Даркнетом", с "Тором"? Ведь там огромное количество ресурсов и трафика - это чистый криминал: торговля оружием, наркотиками, детская проституция, - выложены номера кредиток. Существует такое глухое подсознание глобальной сети.
Олег Демидов: - Необходимо бороться не с технологией, а с ее противоправным применением. У нас есть перед глазами более-менее успешная практика подобного рода. Например, крупнейшие площадки по торговле нелегальными товарами и услугами, развернутые на ресурсах сети "Тор", были успешно разгромлены ФБР, а их администраторы арестованы, и, по-моему, один из них, по крайней мере, получил пожизненный тюремный срок.
Никто не мешает представителям правоохранительных органов заводить себе аккаунты на таких ресурсах, внедряться в доверие к администраторам, проводить оперативную работу, которая должна завершаться арестом, судебным процессом и осуждением людей, которые используют ресурсы и технологии для того, чтобы осуществлять нелегальную торговлю и нелегальные услуги.
Сергей Медведев: - Павел РАССУДОВ, представитель Пиратской партии России, рассуждает о том, может ли вообще государство справиться с интернетом.
#
Павел РАССУДОВ: - Пиратская партия - это объединение единомышленников, которые считают, что демократии не может быть без свободы распространения информации. Если раньше политик говорил из телевизора, и избиратель мог только плюнуть в этот телевизор, то теперь этот плевок вполне вербализирован в виде ответного твита или комментария в посте этого политика. Здесь появляется более тесная обратная связь.
Вообще, интернет, конечно, разрушает монополию государства на власть. В интернете появляется все больше общественных движений, люди могут находить друг друга по общим интересам, объединяться и совершать какие-то коллективные действия. Это, безусловно, является угрозой. Именно поэтому после 2011 года в России началось существенное регулирование интернета, ведь в 2011-12 годах происходили массовые протесты, организованные именно в интернет-среде.
Не стоит сильно иронизировать на тему киберугроз, потому что действительно могут быть такие атаки на инфраструктуру, как, например, атака на электростанцию в Иране, когда было замедлено действие центрифуг и возникла угроза взрыва. Я считаю, что именно государство должно заниматься безопасностью тех же самых инфраструктурных объектов - электростанций, метрополитена, железных дорог. Есть вещи, которыми должен заниматься бизнес, - это, допустим, безопасность банковской системы, ваших транзакций.
Есть вещи, которыми уже успешно занимается общество. Вы должны четко определить для самих себя ту границу приватности, которую хотите установить между собой и интернетом, и не пересылать через сообщения в социальных сетях так называемую чувствительную информацию - коды банковских карточек, обнаженные фотографии или просто ту информацию, которую вы не хотели бы видеть использованной против вас.
#
Сергей Медведев: - С чем должно бороться государство, где пределы его минимальной ответственности?
Алексей Лукацкий: - Здесь я не совсем согласен с Пиратской партией. Государство должно бороться и с терроризмом, и с проявлениями экстремизма, и, разумеется, с различными атаками и другой противоправной деятельностью, для которой интернет очень неплохо подходит и активно используется всеми этими элементами.
Единственное - вызывает вопросы то, как борется государство. Мы прекрасно понимаем, что те же террористы могут использовать для координации своих действий различные мессенджеры. Понятно, что у государства есть задача это контролировать. Другой вопрос, что ее можно решить так, как решают у нас: либо запретить, либо заставить раскрыть все ключи шифрования, тем самым нарушая требования Конституции и ряда других нормативных актов. А можно поступить чуть более грамотно: разобраться, как это работает, и, возможно, взять под контроль отдельные коммуникации людей, вызывающих подозрение.
Это два разных подхода. Первый проще всего - запретить. Реализация второго требует и времени, и ресурсов. К сожалению, второй путь почему-то не приветствуется у нас в государстве - отчасти, наверное, потому, что надо срочно и быстро решить какую-то задачу, хотя опыт других государств показывает, что по нему можно идти.
Сергей Медведев: - Не может ли так получиться, что государство окажется куда большей угрозой для простого человека, чем все кибертеррористы, вместе взятые? Большой брат 2.0…
Олег Демидов: - Есть такие опасения и определенные аргументы в их пользу. Получилось так, что в прошлом году ряд самых опасных уязвимостей, использование которых нанесло наибольший ущерб пользователям по всему миру, пришел на рынок киберпреступности как раз из арсеналов государственных спецслужб. В ходе долгой и запутанной истории кто-то взломал архив кибероружия Агентства национальной безопасности США, выложил этот архив в свободный доступ в сеть, он расползся по глобальному рынку компьютерного криминала и был успешно использован в серии атак, в создании вредоносных инструментов. Глобальный ущерб от подобных атак исчисляется сотнями миллионов долларов, они влекут за собой приостановку деятельности ряда компаний, включая транспортные компании, осуществлявшие морские грузоперевозки, и т. д.
Сергей Медведев: - Это злоумышленники без воли государства использовали специально созданный государственный ресурс. А я говорю именно про надзорную волю государства-Левиафана: мы можем оказаться в этой дистопии тотальной прозрачности, тотального наблюдения. В нашей цифровой безопасности государство будет главным.
Олег Демидов: - Злое государство-Левиафан в цифровой среде возможно в трех ипостасях. Первая ипостась - государство-хакер. Это существует. Сами по себе спецслужбы тоже использовали эти уязвимости. Можно сказать о проектах ЦРУ - там много чего, включая средства и программы для эксплуатации уязвимостей в программном обеспечении умных автомобилей, умного телевидения, различных систем. Есть огромное количество уязвимостей для выкачивания данных с мобильных платформ, с ноутбуков, операционных систем и т. д. То есть это полная линейка средств для кибератак, для похищения данных, которая явно разрабатывалась не просто так, а с целью практического применения.
Вторая ипостась - это государство-регулятор, которое просто зажало все. С такой угрозой мы тоже сталкиваемся. Здесь можно сказать, например, об инициативе российских регуляторов по принятию закона о критической инфраструктуре национального сегмента сети интернет, который подразумевает ужесточение контроля над маршрутизацией трафика в России, вплоть до создания некоей государственной информационной системы, которая будет централизованно мониторить и, если надо, вмешиваться в маршрутизацию интернет-трафика операторами связи. Вот тут, может быть, государство заходит слишком далеко в попытках вручную регулировать сегмент интернета, который исторически развивался в России как совокупность рыночных механизмов.
А третья ипостась - это Китай, государство именно как цифровая диктатура, которая диктует правила взаимодействия в обществе. Китайский проект социального кредита - в своем роде беспрецедентная история, когда с подачи государства вводится единая универсальная система цифрового рейтинга граждан, позволяющая либо давать дополнительные блага и социальные привилегии тем гражданам, у которых этот рейтинг высок в результате их положительных действий, поощряемых государством, либо облагать санкциями тех граждан, у кого рейтинг низок.
Сергей Медведев: - Вас как специалиста по цифровой компьютерной кибербезопасности это не беспокоит? Мы говорим о злоумышленниках, но в результате всех нас взломает государство.
Алексей Лукацкий: - У меня двойственная позиция. С одной стороны, я понимаю, зачем это нужно государству. С другой стороны, я не всегда согласен с теми методами, которые оно использует. Давайте вспомним историю со Сноуденом, который в 2013 году якобы раскрыл глаза на то, что американское правительство слушает все и всех. Началось это в 2008 году и ранее. Пять-шесть лет американское правительство слушало всех и вся, и большинство людей про это не знали. Нанесен ли был кому-то ущерб от действий американского правительства? Фактов нет. Выиграло ли что-то американское правительство? Тоже нет фактов. Они не сказали, что поймали огромное количество террористов, используя данную прослушку. Получается, что государство потратило огромные средства и не получило какого-то большого эффекта, а граждане и общество от этого сильно не пострадали. Это, наверное, такой промежуточный вариант, когда государство пытается что-то делать, но у него не получается, и, к счастью, оно не наносит никакого ущерба.
Во многих текущих проектах, которые осуществляют разные государства (и Россия - не исключение), будет примерно та же самая ситуация, поскольку, как только появятся все эти технологии мониторинга, контроля, запрета и т. д., сразу же появятся технологии обхода - они уже появились и будут появляться. Это всегда будет борьба брони и снаряда, в которой не может быть победителей.
Сергей Медведев: - Директор ФСБ Александр Бортников недавно в своем интервью говорил о реабилитации репрессий. На этом фоне прошло незамеченным то, что нужно воспользоваться китайским опытом, что это хороший опыт, который нужно заимствовать России. Вы не боитесь, что Россию вслед за Китаем ждет цифровой авторитаризм? Российское государство очень хорошо, умело и быстро вписывается в эту цифровую эпоху.
Олег Демидов: - Я, честно говоря, не до конца понял, о каком именно китайском опыте в части регулирования интернета идет речь, поскольку китайский опыт в этой сфере многообразен. Можно говорить об опыте контроля инфраструктуры, составляющей национальный сегмент интернета. Например, в Китае очень хорошо контролируются трансграничные потоки данных, которые приходят в страну через крупные трансграничные каналы, оптоволоконные кабели. В России с этим немножко другая история, потому что у нас национальный сегмент интернета исторически более децентрализован, более развит, имеет большую связанность в плане трансграничных каналов. Но у нас государство потихоньку движется к этой модели.
Можно говорить о китайском опыте в плане контроля контента. Здесь как раз, насколько я себе представляю, текущая практика и дальнейшие планы у России немножко расходятся с китайским опытом. Жаров недавно говорил, что копировать китайский опыт в части контроля над электронным контентом мы не собираемся. Ключевой принцип здесь таков: в Китае этот контроль идет превентивно, заранее составляются какие-то списки, реестры, наборы слов, параметров контента, которые отсекаются. У нас модель регулирования пока все-таки другая: можно все, что не запрещено, но потом, если что-то вносится в реестр запрещенной информации, тогда уже идут меры по отношению к провайдеру, владельцу ресурса и т. д.
Сергей Медведев: - Возможен ли вообще цифровой суверенитет в современном мире, создание внутренней замкнутой системы? В России постоянно пытаются что-то сделать - отечественный поисковик, отечественный процессор "Эльбрус" и т. д.
Алексей Лукацкий: - Возможно все, это вопрос затрат и целесообразности. Сейчас в рамках цифровой экономики и ряда других инициатив государства все идет к тому, что у нас хотят попытаться достигнуть цифрового суверенитета. Хотя уже сейчас понятно, что это технически невозможно, даже экономически невозможно: денег на все эти хотелки просто нет. Скорее всего, будет достигнут некий промежуточный вариант, какие-то критичные сферы будут полностью закрыты российскими разработками, и там будет достигнут некий цифровой суверенитет, но с определенным ухудшением качества этой продукции. В массе своей пока будут использоваться все те технологии, к которым люди привыкли: западные, восточные, азиатские. Запретить это будет достаточно сложно, либо надо идти по пути Северной Кореи, чего не хотелось бы.
Сергей Медведев: - Мне кажется, очень многое в этой теме импортозамещения в цифровой области связано просто с освоением бюджета, с созданием угроз и структур, которые будут предлагать те же самые решения, но за гораздо большие деньги. Покойный Антон Носик очень хорошо показал, как наварят фирмы на применении "закона Яровой" по постановке серверов.
Олег Демидов: - С одной стороны, да, всегда, когда государство вступается за отечественного производителя, выстраивает какие-то механизмы распределения преференций отечественному производителю, отечественные производители выстраиваются в ряд и пытаются поиметь на этом быструю выгоду, не всегда обладая качественными готовыми решениями, соответствующими этой цели. С другой стороны, здесь иногда больше додумок, чем действительности. Например, возвращаясь к тому же "пакету Яровой": у нас сейчас не готово решение, которое можно даже продать, чтобы распилить деньги за счет огромного госзаказа в рамках реализации закона.
Сергей Медведев: - Покупаются тайваньские серверы, на них ставится штамп "Одобрено ФСБ", и тот же самый сервер продается провайдерам интернета втридорога.
Олег Демидов: - Если только так. Но это же де-факто не имеет отношения к импортозамещению.
Сергей Медведев: - Это имеет отношение к самой структуре, к организации российского государства. Я вспомню старый анекдот: Третьей мировой войны, видимо, не будет, но борьба за мир будет такой, что мало не покажется. То же самое, очевидно, относится и к кибервойне, кибербезопасности и кибертерроризму.
Радио Свобода, 21.01.2018
https://www.svoboda.org/a/28985234.html
Примечание: выделение черным болдом - моё.
ВИДЕО: https://www.youtube.com/watch?v=BbFrcc3WqxQ
https://loxovo.livejournal.com/8105887.html
Сергей Медведев: - Возможно какое-либо международное правовое урегулирование кибертранзакций, кибератак, какой-то Киберинтерпол? Здесь действуют какие-то конвенции?
Олег Демидов: - Это довольно старый и больной вопрос. Существующие международные юридические инструменты действуют максимум в масштабах регионов. Например, с 2001 года действует так называемая Будапештская конвенция о борьбе с компьютерной преступностью. Это инструмент, выработанный Советом Европы для ряда целей и помогающий странам, участвующим в ней, эффективнее бороться с компьютерными преступлениями, в том числе обеспечивающий механизм для быстрого трансграничного доступа правоохранительных органов одной страны - члена конвенции к информации, необходимой для расследования, которая хранится в информационных системах на территории другой страны - участницы конвенции. Россия по различным причинам, связанным с национальной безопасностью, не присоединилась к этому механизму, а своего механизма, эффективно действующего подобным образом на пространстве бывшего Советского Союза, де-факто нет.
Это только по киберпреступности. Если же брать некие нормы, которые ограничивали и регулировали бы поведение самих государств в киберпространстве, то диалог об этих нормах ведется как минимум с начала 2000-х годов по инициативе России. В рамках ООН запущен формат группы правительственных экспертов, которые обсуждают такие нормы. Но пока все, что удалось сделать, это выработать проекты таких норм, не имеющие обязательной силы, не принятые де-факто международным сообществом, а просто предложенные этой группой из 25 государств, которая включает Россию, США и другие основные державы.
Там есть интересные предложения, например, государствам предлагается не нападать на критическую инфраструктуру, не допускать и не осуществлять кибератак на центры реагирования на компьютерные преступления, обеспечить целостность цепочек поставок продукции для критически важных объектов инфраструктуры и т. д. Но пока это все на бумаге.
Сергей Медведев: - А это можно сравнить с эволюцией ядерного оружия, с тем, как постепенно мир и государства приходят к регламентированию его применения?
Олег Демидов: - Это довольно распространенная аналогия. Этот диалог в рамках ООН является частью попытки создать такие нормы. С этим сложно. Классические постулаты теории сдерживания, на которых был выстроен режим ядерного разоружения и нераспространения, не работают в киберпространстве: есть проблема с гарантированным взаимным уничтожением, с оценкой потенциала противника.
Ядерное оружие было довольно просто спрятать, но страны и не стремились это делать, они стремились демонстрировать свой ядерный потенциал как доказательство своей силы. А значительную часть киберпотенциала державы сейчас скрывают на черный день, тайно внедряя в сети потенциальных противников бэкдоры, собирая информацию об уязвимостях в критически важных системах, которые, возможно, получится задействовать при необходимости.
Сергей Медведев: - Может быть, сейчас Северная Корея уже создала какой-то смертельный вирус, который может хакнуть атомные станции, и в день Икс предъявит это изумленному человечеству.
Алексей Лукацкий: - Такой сценарий уже реализовывался. За последние лет 15 было не менее десятка атак на различные ядерные объекты с разной степенью успешности. Атомные электростанции - не такой уж изолированный от внешнего мира объект, как это принято считать.
Сергей Медведев: - Киберопасность растет? Ведь от развития технологий отстает и правовая инфраструктура, и инфраструктура защиты.
Алексей Лукацкий: - Правовая инфраструктура всегда отстает, так как она всегда реагирует на то, что уже принято в мире. Более того, я не соглашусь с мнением Саркиса: он говорит о том, что нет юрисдикции, нет границ, и право должно это учитывать. На самом деле как раз сейчас во многих странах мира (и США - не исключение, хотя часто их преподносят как пример такой демократии в интернете) идет такая балканизация интернета, когда каждая страна все-таки старается устанавливать свои правила игры в своем информационном пространстве. Россию преподносят как проводника этой идеи, потому что мы действительно пытаемся отстаивать в ООН, в рамках Международного союза электросвязи и в ряде других организаций позицию, что каждая страна должна иметь право на цифровой суверенитет.
Понятно, что это право может по вполне понятным причинам немного нарушать права граждан, но государство здесь пытается отстаивать свою позицию, связанную с национальной безопасностью, с невмешательством и тому подобными вещами. Такие же разговоры идут и в США, и во многих других странах. Поэтому сейчас нет четкого ответа на вопрос о том, как должно развиваться международное право: либо разрешить все и всем, либо, наоборот, все закрыть. Непонятно, какой ответ будет правильным.
Сергей Медведев: - Мой главный вопрос касается все-таки не права, а способности защищаться от подобного рода атак. Хакер всегда на полшага впереди?
Алексей Лукацкий: - Дело не в том, что он на полшага впереди, а в том, что большинство людей и компаний вообще не занимаются своей безопасностью. По статистике 95% всех атак в мире происходит потому, что человек или компания не закрыли в своем компьютере известную уже не одну неделю уязвимость. Злоумышленники про это знают и лезут через эти известные дырки. И проблема не в том, что нет технологий безопасности - они есть, а в том, что люди беспечны.
Сергей Медведев: - И криптовалюты, и интернет вещей, - это все возможные уязвимости, через которые кибертеррорист может проникнуть в нашу святая святых?
Олег Демидов: - Любая новая технология по мере своего развития и внедрения, как правило, действительно несет в себе уязвимости. Долгое время специалисты технического сообщества пытались достучаться до производителей, которые продают устройства интернета вещей, по поводу того, что не было сформировано никакой политики безопасности. Это привело к тому, что прошлый и позапрошлый годы в плане кибербезопасности выделяются, в том числе, появлением огромных зомби-сетей, ботнетов, собранных впервые из взломанных устройств интернета вещей. Причем техника взлома была настолько элементарной, что там даже не было никакого взлома, просто у огромных партий устройств, таких, как камеры, подключенные к сети, и еще какие-то простейшие устройства с датчиками и доступом в сеть, стояли заводские партии одних и тех же паролей, которые быстро становились известны злоумышленнику.
Сергей Медведев: - Хорошо, злоумышленник взломал холодильник в моем доме…
Олег Демидов: - Сам по себе ваш холодильник ему не нужен, ему нужен ресурс сетевого трафика, который пропускает через себя ваш холодильник. Владея доступом и имея контроль над тысячами таких узлов, как ваш холодильник, он способен при помощи программного обеспечения управлять этим трафиком, объединяя сетевые ресурсы таких устройств. Можно направить этот вредоносный трафик на кого угодно в интернете и положить любой ресурс, любой сервер, любой сайт.
Сергей Медведев: - Холодильник, морозильная камера, машина, подключенная к интернету, могут генерировать Ddos-атаку.
Олег Демидов: - Именно это и происходило.
Алексей Лукацкий: - Страшна не только Ddos-атака, ведь она не нанесет вам никакого ущерба, кроме ситуации, когда против вас будет возбуждено дело по определенной статье Уголовного кодекса. Но если это действительно холодильник, подключенный к интернету, то, как правило, у современных холодильников вы прописываете данные своей кредитной карты для того, чтобы он мог отслеживать качество продуктов и заказывать их. Я думаю, вы будете не рады, если злоумышленник либо украдет данные вашей кредитной карты, либо на все деньги, которые там есть, закажет черной икры и уйдет в минус, а вам придется потом расплачиваться за всю эту черную икру.
Алексей Лукацкий
С автомобилями еще более печальная ситуация. Понятно, что их можно использовать как Ddos, хотя таких примеров не было. Автомобиль можно украсть, или можно отключить на ходу тормоза. И будет практически недоказуемо, что, например, какой-то чиновник, оппозиционер или кто-то еще попал в аварию по причине компьютерной атаки на его автомобиль.
Сергей Медведев: - Или можно направить автобус в толпу.
Алексей Лукацкий: - Многие кардиостимуляторы сейчас тоже подключены к интернету. У них есть встроенный дефибриллятор, который при остановке сердца запускает мощный электроток. Но когда такой сигнал запускается во время работы сердца, это приводит к смерти. Такие факты еще неизвестны, но такая возможность уже доказана и продемонстрирована.
Сергей Медведев: - Как с этим бороться? Устанавливать пароли, коды?
Алексей Лукацкий: - К сожалению, сам пользователь не может ничего с этим сделать - это задача производителя. Нужны не только пароли, но и вообще встроенные механизмы защиты. Поэтому сейчас и в США, и в Евросоюзе, и в России об этом думают, устанавливают требования к таким производителям, чтобы они задумывались о безопасности еще на этапе проектирования, а не только когда происходят инциденты с их продукцией.
Сергей Медведев: - Нужно ли каким-то образом бороться с "Даркнетом", с "Тором"? Ведь там огромное количество ресурсов и трафика - это чистый криминал: торговля оружием, наркотиками, детская проституция, - выложены номера кредиток. Существует такое глухое подсознание глобальной сети.
Олег Демидов: - Необходимо бороться не с технологией, а с ее противоправным применением. У нас есть перед глазами более-менее успешная практика подобного рода. Например, крупнейшие площадки по торговле нелегальными товарами и услугами, развернутые на ресурсах сети "Тор", были успешно разгромлены ФБР, а их администраторы арестованы, и, по-моему, один из них, по крайней мере, получил пожизненный тюремный срок.
Никто не мешает представителям правоохранительных органов заводить себе аккаунты на таких ресурсах, внедряться в доверие к администраторам, проводить оперативную работу, которая должна завершаться арестом, судебным процессом и осуждением людей, которые используют ресурсы и технологии для того, чтобы осуществлять нелегальную торговлю и нелегальные услуги.
Сергей Медведев: - Павел РАССУДОВ, представитель Пиратской партии России, рассуждает о том, может ли вообще государство справиться с интернетом.
#
Павел РАССУДОВ: - Пиратская партия - это объединение единомышленников, которые считают, что демократии не может быть без свободы распространения информации. Если раньше политик говорил из телевизора, и избиратель мог только плюнуть в этот телевизор, то теперь этот плевок вполне вербализирован в виде ответного твита или комментария в посте этого политика. Здесь появляется более тесная обратная связь.
Вообще, интернет, конечно, разрушает монополию государства на власть. В интернете появляется все больше общественных движений, люди могут находить друг друга по общим интересам, объединяться и совершать какие-то коллективные действия. Это, безусловно, является угрозой. Именно поэтому после 2011 года в России началось существенное регулирование интернета, ведь в 2011-12 годах происходили массовые протесты, организованные именно в интернет-среде.
Не стоит сильно иронизировать на тему киберугроз, потому что действительно могут быть такие атаки на инфраструктуру, как, например, атака на электростанцию в Иране, когда было замедлено действие центрифуг и возникла угроза взрыва. Я считаю, что именно государство должно заниматься безопасностью тех же самых инфраструктурных объектов - электростанций, метрополитена, железных дорог. Есть вещи, которыми должен заниматься бизнес, - это, допустим, безопасность банковской системы, ваших транзакций.
Есть вещи, которыми уже успешно занимается общество. Вы должны четко определить для самих себя ту границу приватности, которую хотите установить между собой и интернетом, и не пересылать через сообщения в социальных сетях так называемую чувствительную информацию - коды банковских карточек, обнаженные фотографии или просто ту информацию, которую вы не хотели бы видеть использованной против вас.
#
Сергей Медведев: - С чем должно бороться государство, где пределы его минимальной ответственности?
Алексей Лукацкий: - Здесь я не совсем согласен с Пиратской партией. Государство должно бороться и с терроризмом, и с проявлениями экстремизма, и, разумеется, с различными атаками и другой противоправной деятельностью, для которой интернет очень неплохо подходит и активно используется всеми этими элементами.
Единственное - вызывает вопросы то, как борется государство. Мы прекрасно понимаем, что те же террористы могут использовать для координации своих действий различные мессенджеры. Понятно, что у государства есть задача это контролировать. Другой вопрос, что ее можно решить так, как решают у нас: либо запретить, либо заставить раскрыть все ключи шифрования, тем самым нарушая требования Конституции и ряда других нормативных актов. А можно поступить чуть более грамотно: разобраться, как это работает, и, возможно, взять под контроль отдельные коммуникации людей, вызывающих подозрение.
Это два разных подхода. Первый проще всего - запретить. Реализация второго требует и времени, и ресурсов. К сожалению, второй путь почему-то не приветствуется у нас в государстве - отчасти, наверное, потому, что надо срочно и быстро решить какую-то задачу, хотя опыт других государств показывает, что по нему можно идти.
Сергей Медведев: - Не может ли так получиться, что государство окажется куда большей угрозой для простого человека, чем все кибертеррористы, вместе взятые? Большой брат 2.0…
Олег Демидов: - Есть такие опасения и определенные аргументы в их пользу. Получилось так, что в прошлом году ряд самых опасных уязвимостей, использование которых нанесло наибольший ущерб пользователям по всему миру, пришел на рынок киберпреступности как раз из арсеналов государственных спецслужб. В ходе долгой и запутанной истории кто-то взломал архив кибероружия Агентства национальной безопасности США, выложил этот архив в свободный доступ в сеть, он расползся по глобальному рынку компьютерного криминала и был успешно использован в серии атак, в создании вредоносных инструментов. Глобальный ущерб от подобных атак исчисляется сотнями миллионов долларов, они влекут за собой приостановку деятельности ряда компаний, включая транспортные компании, осуществлявшие морские грузоперевозки, и т. д.
Сергей Медведев: - Это злоумышленники без воли государства использовали специально созданный государственный ресурс. А я говорю именно про надзорную волю государства-Левиафана: мы можем оказаться в этой дистопии тотальной прозрачности, тотального наблюдения. В нашей цифровой безопасности государство будет главным.
Олег Демидов: - Злое государство-Левиафан в цифровой среде возможно в трех ипостасях. Первая ипостась - государство-хакер. Это существует. Сами по себе спецслужбы тоже использовали эти уязвимости. Можно сказать о проектах ЦРУ - там много чего, включая средства и программы для эксплуатации уязвимостей в программном обеспечении умных автомобилей, умного телевидения, различных систем. Есть огромное количество уязвимостей для выкачивания данных с мобильных платформ, с ноутбуков, операционных систем и т. д. То есть это полная линейка средств для кибератак, для похищения данных, которая явно разрабатывалась не просто так, а с целью практического применения.
Вторая ипостась - это государство-регулятор, которое просто зажало все. С такой угрозой мы тоже сталкиваемся. Здесь можно сказать, например, об инициативе российских регуляторов по принятию закона о критической инфраструктуре национального сегмента сети интернет, который подразумевает ужесточение контроля над маршрутизацией трафика в России, вплоть до создания некоей государственной информационной системы, которая будет централизованно мониторить и, если надо, вмешиваться в маршрутизацию интернет-трафика операторами связи. Вот тут, может быть, государство заходит слишком далеко в попытках вручную регулировать сегмент интернета, который исторически развивался в России как совокупность рыночных механизмов.
А третья ипостась - это Китай, государство именно как цифровая диктатура, которая диктует правила взаимодействия в обществе. Китайский проект социального кредита - в своем роде беспрецедентная история, когда с подачи государства вводится единая универсальная система цифрового рейтинга граждан, позволяющая либо давать дополнительные блага и социальные привилегии тем гражданам, у которых этот рейтинг высок в результате их положительных действий, поощряемых государством, либо облагать санкциями тех граждан, у кого рейтинг низок.
Сергей Медведев: - Вас как специалиста по цифровой компьютерной кибербезопасности это не беспокоит? Мы говорим о злоумышленниках, но в результате всех нас взломает государство.
Алексей Лукацкий: - У меня двойственная позиция. С одной стороны, я понимаю, зачем это нужно государству. С другой стороны, я не всегда согласен с теми методами, которые оно использует. Давайте вспомним историю со Сноуденом, который в 2013 году якобы раскрыл глаза на то, что американское правительство слушает все и всех. Началось это в 2008 году и ранее. Пять-шесть лет американское правительство слушало всех и вся, и большинство людей про это не знали. Нанесен ли был кому-то ущерб от действий американского правительства? Фактов нет. Выиграло ли что-то американское правительство? Тоже нет фактов. Они не сказали, что поймали огромное количество террористов, используя данную прослушку. Получается, что государство потратило огромные средства и не получило какого-то большого эффекта, а граждане и общество от этого сильно не пострадали. Это, наверное, такой промежуточный вариант, когда государство пытается что-то делать, но у него не получается, и, к счастью, оно не наносит никакого ущерба.
Во многих текущих проектах, которые осуществляют разные государства (и Россия - не исключение), будет примерно та же самая ситуация, поскольку, как только появятся все эти технологии мониторинга, контроля, запрета и т. д., сразу же появятся технологии обхода - они уже появились и будут появляться. Это всегда будет борьба брони и снаряда, в которой не может быть победителей.
Сергей Медведев: - Директор ФСБ Александр Бортников недавно в своем интервью говорил о реабилитации репрессий. На этом фоне прошло незамеченным то, что нужно воспользоваться китайским опытом, что это хороший опыт, который нужно заимствовать России. Вы не боитесь, что Россию вслед за Китаем ждет цифровой авторитаризм? Российское государство очень хорошо, умело и быстро вписывается в эту цифровую эпоху.
Олег Демидов: - Я, честно говоря, не до конца понял, о каком именно китайском опыте в части регулирования интернета идет речь, поскольку китайский опыт в этой сфере многообразен. Можно говорить об опыте контроля инфраструктуры, составляющей национальный сегмент интернета. Например, в Китае очень хорошо контролируются трансграничные потоки данных, которые приходят в страну через крупные трансграничные каналы, оптоволоконные кабели. В России с этим немножко другая история, потому что у нас национальный сегмент интернета исторически более децентрализован, более развит, имеет большую связанность в плане трансграничных каналов. Но у нас государство потихоньку движется к этой модели.
Можно говорить о китайском опыте в плане контроля контента. Здесь как раз, насколько я себе представляю, текущая практика и дальнейшие планы у России немножко расходятся с китайским опытом. Жаров недавно говорил, что копировать китайский опыт в части контроля над электронным контентом мы не собираемся. Ключевой принцип здесь таков: в Китае этот контроль идет превентивно, заранее составляются какие-то списки, реестры, наборы слов, параметров контента, которые отсекаются. У нас модель регулирования пока все-таки другая: можно все, что не запрещено, но потом, если что-то вносится в реестр запрещенной информации, тогда уже идут меры по отношению к провайдеру, владельцу ресурса и т. д.
Сергей Медведев: - Возможен ли вообще цифровой суверенитет в современном мире, создание внутренней замкнутой системы? В России постоянно пытаются что-то сделать - отечественный поисковик, отечественный процессор "Эльбрус" и т. д.
Алексей Лукацкий: - Возможно все, это вопрос затрат и целесообразности. Сейчас в рамках цифровой экономики и ряда других инициатив государства все идет к тому, что у нас хотят попытаться достигнуть цифрового суверенитета. Хотя уже сейчас понятно, что это технически невозможно, даже экономически невозможно: денег на все эти хотелки просто нет. Скорее всего, будет достигнут некий промежуточный вариант, какие-то критичные сферы будут полностью закрыты российскими разработками, и там будет достигнут некий цифровой суверенитет, но с определенным ухудшением качества этой продукции. В массе своей пока будут использоваться все те технологии, к которым люди привыкли: западные, восточные, азиатские. Запретить это будет достаточно сложно, либо надо идти по пути Северной Кореи, чего не хотелось бы.
Сергей Медведев: - Мне кажется, очень многое в этой теме импортозамещения в цифровой области связано просто с освоением бюджета, с созданием угроз и структур, которые будут предлагать те же самые решения, но за гораздо большие деньги. Покойный Антон Носик очень хорошо показал, как наварят фирмы на применении "закона Яровой" по постановке серверов.
Олег Демидов: - С одной стороны, да, всегда, когда государство вступается за отечественного производителя, выстраивает какие-то механизмы распределения преференций отечественному производителю, отечественные производители выстраиваются в ряд и пытаются поиметь на этом быструю выгоду, не всегда обладая качественными готовыми решениями, соответствующими этой цели. С другой стороны, здесь иногда больше додумок, чем действительности. Например, возвращаясь к тому же "пакету Яровой": у нас сейчас не готово решение, которое можно даже продать, чтобы распилить деньги за счет огромного госзаказа в рамках реализации закона.
Сергей Медведев: - Покупаются тайваньские серверы, на них ставится штамп "Одобрено ФСБ", и тот же самый сервер продается провайдерам интернета втридорога.
Олег Демидов: - Если только так. Но это же де-факто не имеет отношения к импортозамещению.
Сергей Медведев: - Это имеет отношение к самой структуре, к организации российского государства. Я вспомню старый анекдот: Третьей мировой войны, видимо, не будет, но борьба за мир будет такой, что мало не покажется. То же самое, очевидно, относится и к кибервойне, кибербезопасности и кибертерроризму.
Радио Свобода, 21.01.2018
https://www.svoboda.org/a/28985234.html
Примечание: выделение черным болдом - моё.
ВИДЕО: https://www.youtube.com/watch?v=BbFrcc3WqxQ