Линки доступности

Главная проблема кибербезопасности: невежество


Вашингтонские эксперты: Соблюдение «кибергигиены» может предотвратить большинство взломов

Нет лучшего способа испортить утро офисного работника, чем автоматическое напоминание на экране компьютера, что ему пора сменить пароль. После попытки придумать новый пароль, компьютер безапелляционно заявляет, что пароль никуда не годится – во-первых, слишком короткий, во-вторых, в нем не смешаны буквы верхнего и нижнего регистра, и в-третьих, хорошо бы добавить специальные символы. Сжав губы, работник отстукивает на клавиатуре новый пароль. Ответ компьютера: «Вы не можете использовать пароль, который уже был в употреблении». Из последних сил сохраняя спокойствие, работник набирает 12-значный пароль, старательно используя все возможные рекомендации. И записывает его на бумажку возле компьютера, чтобы не забыть.

Питер Сингер и Аллан Фридман (Peter W. Singer, Allan Friedman), авторы новой книги «Кибербезопасность и кибервойна: что все должны знать» ("Cybersecurity and Cyberwar: what everyone needs to know"), называют кибербезопасность «самой непонятой среди важных тем». На мероприятии Института Брукингса (The Brookings Institution) на этой неделе состоялось обсуждение этой темы и самой книги.

«Примеров невежества в сфере кибербезопасности множество, – говорит Питер Сингер. – Высокопоставленные чиновники в американской администрации не подготовлены к тому, чтобы заниматься этой темой. Бывшая министр внутренней безопасности с гордостью рассказывала о том, что она больше десяти лет не пользовалась электронной почтой. Один дипломат высокого ранга, направляясь на переговоры с китайцами, задал нам вопрос, что такое ISP (интернет-провайдер – Г.А.).Это примерно как если бы во времена Холодной войны дипломаты шли на переговоры с Россией, не зная, что такое МБР (Межконтинентальная баллистическая ракета – Г.А.). На Капитолийском холме, начиная с 2002-го года, не было принято серьезного законодательства по кибербезопасности».

Второй проблемой, по мнению авторов, является отсутствие баланса в подходе к различным киберугрозам.

«Мне кажется, что на сегодняшний день массированная кампания по краже интеллектуальной собственности, которая ведется против США и потери от которой оцениваются почти в триллион долларов – это угроза посерьезнее кибертерроризма, – утверждает Питер Сингер. – При этом в Совете национальной безопасности США 12 сотрудников занимаются вопросами кибербезопасности в связи с терроризмом — и только один занимается экономическими вопросами. Тысячи статей и книг были посвящены кибертерроризму, от которого еще толком никто не пострадал, – при том, что белкам удается отключать электричество чаще, чем хакерам, которым это пока не удавалось. История войн показывает, что к защите нужно готовиться не меньше, чем к нападению, однако на сегодняшний день в сфере кибербезопасности Пентагон тратит в 2,5-4 раза больше на разработку техник нападения, нежели защиты. Самое время задать вопрос: является ли инструмент для заточки ножей лучшей защитой твоего дома от грабителей?”

Его соавтор Аллан Фридман предлагает взглянуть на вопрос кибербезопасности глобально – по его мнению, необходимо выработать правила игры, которые сделают цену защиты ниже цены нападения.

«Когда мы говорим об атаках против «их» систем , а они – про атаки против наших систем, стоит помнить о том, что мы ведь используем одни и те же платформы, и всем было бы лучше, если бы система в целом была стабильнее, – полагает Фридман. – Было бы хорошо, если бы кибербезопасность перестала быть этой «новой интересной темой», в которой мало кто разбирается, и стала рутиной, интегрированной в обсуждения профессионалов во всех сферах – технологии, торговли, дипломатии. Потому что вопросов множество, и их будет еще больше по мере «балканизации» интернет-пространства, когда каждая страна начинает разрабатывать свои собственные законы, и, в итоге, для каждой страны понадобятся свои собственные микросхемы, это затормозит инновации. Еще один вопрос, который встанет в полный рост в ближайшем будущем – кто несет ответственность, к примеру, за безопасность твоего мобильного телефона: производитель или провайдер сети? Думаю, что в 2014-м нас ожидает много судебных исков на подобные темы».

При этом эксперты напоминают, что, несмотря на то, что хакерскими атаками уже необязательно занимаются «тинейджеры в шлепанцах в подвальном этаже дома своих родителей», большую часть ущерба можно предотвратить элементарным соблюдением «кибергигиены».

«Основная проблема – в базовой неосторожности людей, – говорит Сингер. – К примеру, история солдата, которая привела к взлому системы, потому что он нашел на парковке флэш-карту и решил подключить ее к своему компьютеру. Или работник технологической компании, который нашел в мужском туалете лазерный диск и решил посмотреть, что на нем. Если устранить все эти базовые ошибки, можно было бы избежать свыше 90 процентов взломов».

Интернет-пространство меняется, и, по словам Питера Сингера, если рядовые пользователи не станут активнее участвовать в установлении правил, государство подомнет их под себя.

«Мне кажется, будущее интернет-свободы – негативное. Если мы не будем следить за этим, наши дети уже не унаследуют тот Интернет, к которому мы привыкли и который полюбили, – предупреждает он. – У меня такое ощущение, что интернет-свобода, которая была приоритетом для Госдепартамента, практически исчезла с повестки дня. Существуют очень разные идеи по поводу того, как нужно управлять Интернетом и какова должна быть роль государства. Если вам нравится, как Россия заблокировала десятки тысяч сайтов – это может быть будущим всего Интернета, если мы за этим не уследим. Из-за информации, обнародованной Эдвардом Сноуденом у нас уже существует кризис доверия между бизнес-сектором и властями. Все говорят о том, как слежка АНБ отразилась на политическом дискурсе, но в долгосрочной перспективе, это отразится на американских компаниях высоких технологий – им грозит потеря около ста миллиардов долларов прибыли».

Сингер с Фридманом предупреждают, что ситуация на шахматной доске виртуального пространства меняется: на сегодняшний день основным поставщиком вредоносных программ в Интернете является Индонезия, но и это может изменится.

Питер Сингер ответил на несколько вопросов Русской службы «Голоса Америки».

Наташа Мозговая: Как Вы оцениваете военные возможности России в киберпространстве?

Питер Сингер: У более чем 100 стран есть военные киберпрограммы, но это примерно как с военно-воздушными силами – есть примерно 20 стран, которых можно считать серьезными игроками, способными на проведение широкомасштабных операций. Россия – в этой категории, вместе с такими странами, как США, Китай, Израиль и так далее. Россия также использует свою «патриотическую хакерскую общину», которая формально не является частью военного истеблишмента, однако они обеспечивают некоторые возможности – вкупе c предоставленной властям возможностью не нести ответственность за их действия».

Н.М.: Что такое эстонская модель, и чем она хороша?

П.С.: Речь идет о подходе к резервам кибербезопасности. Вместо модели армейских резервов, которую использует Америка и другие страны, Эстония использует в сфере кибербезопасности специалистов, которые не носят формы и оружия. Они создали национальную лигу киберзащиты, которая позволяет задействовать более широкий спектр экспертов. Я бы отметил то, что, поскольку вопросы, связанные с Интернетом, касаются как больших, так и маленьких стран и неправительственных организаций, мы можем и должны учиться друг у друга.

Н.М.: В связи с растущей изощренностью кибератак, стоит ли рассматривать увеличение роли государства в управлении Интернетом как исключительно отрицательное явление?

П.С.: Не стоит смешивать две разные вещи. Сотрудничество между правительствами в борьбе с сетевым криминалом – это они могут делать более эффективно. Однако целью попыток навязать контроль государства в Интернете является не борьба с киберпреступностью, а желание ограничить свободный поток информации – то самое, что превратило Интернет в мощный и полезный инструмент для нас всех.

Н.М.: Есть ли реальная возможность сотрудничества в этой сфере, скажем, США и России – или Китая?

П.С.: Безусловно. Нам нужно отказаться от взглядов времен Холодной войны, и понять, что, во-первых, речь идет об игре с множеством заинтересованных сторон, и, во-вторых, что даже если мы являемся соперниками в некоторых сферах безопасности, есть сферы, где мы разделяем интересы и угрозы. В некоторых случаях не удастся включить в коалицию все страны, но стоит попробовать создать ключевые групп, и расширить уже существующие соглашения о сотрудничестве, вместо того, чтобы пытаться заново изобретать велосипед. Прежде всего, нам необходимо повысить уровень понимания вопроса и взаимной ответственности, начиная с уровня международных игроков и до отношения к кибербезопасности в офисе или на своем домашнем компьютере.

Н.М.: Невежество чиновников, ответственных за принятие решений, о котором вы говорили – как это отражается на ситуации?

П.С.: Мне кажется, эта проблема видна повсюду: начиная от замешательства в СМИ и среди обывателей по поводу деятельности АНБ, продолжая недавней кражей номеров кредитных карточек, и кончая неспособностью Конгресса сформулировать что-либо мало-мальски эффективное в сфере законодательства. В 2013-м году стукнуло 12 лет с тех пор, как Конгресс утвердил последний значимый закон в этой сфере – тогда никто не слышал о метаданных или очках «Google Glass». Но это вопрос не только для политиков: к примеру, 70 процентам генеральных директоров коммерческих компаний приходилось принимать управленческие решения, связанные с кибербезопасностью – при том, что обязательные курсы на эту тему не включены в степень магистра делового администрирования. То же самое происходит в программах обучения дипломатов, адвокатов, генералов, журналистов, и так далее. Разумеется, эти разрывы не являются исключительно проблемой США – то же самое мы слышали по всему миру, от Китая до Франции, от Сингапура до Арабских Эмиратов.

Н.М.: Вы призываете рядовых пользователей Интернета к более активной позиции по поводу управления Сетью – насколько они действительно способны повлиять на политику властей, если уже было принято решение об активном вмешательстве государства?

П.С.: Это хороший вопрос. Думаю, время покажет. Хотя Интернет не контролируется одним государством – люди живут в конкретных странах. Когда государство пытается ограничить доступ к Интернету и коммуникациям, это увеличивает его власть, но в то же время подрывает собственную безопасность и процветание. К примеру, Северная Корея применяет жесткий контроль, и, вероятно, у них лучшая система кибербезопасности в мире. Но у них также худшая экономика в мире, и в политическом плане их трудно назвать успешной моделью.
XS
SM
MD
LG