Россия подарила Западу свою цифровую подноготную
«Черные дыры» киберпространства
«Холодная война 2.0» между Россией и США с каждым днем становится горячее. Прежде всего от обвинений и угроз в адрес нашей страны, на которые Вашингтон не скупится. Ракетными ударами пока, слава богу, не грозят, но вот сделать нам больно с помощью кибероружия — это уже обещают открыто. Так чего нам ждать со дня на день: отключения связи и электричества, транспортного коллапса, техногенного катаклизма? Оказывается, бояться в цифровом мире, в котором мы оказались, надо другого. Да и спохватились мы, к сожалению, поздно. Ровно как в июне 1941-го.
Да, угроза хакерской атаки на объекты нашей критической инфраструктуры — энергетику, транспорт, городское хозяйство — вещь вполне реальная. Устроить блэкаут, проникнув в системы управления энергосистем, могут не только герои экшен-фильмов. Но эта опасность давно осознана — и люди научились от таких угроз защищаться. Есть куда более опасная проблема цифрового мира, которую еще только предстоит осознать и парировать. Так считает один из гуру российской IT-сферы, основатель группы компаний DZ Systems Дмитрий ЗАВАЛИШИН, который дал эксклюзивное интервью.
СПРАВКА "МК"
Дмитрий Завалишин родился в Москве в 1967 году. С 1985 года — в сфере информационных технологий.
Окончил альма-матер многих отечественных айтишников — Московский инженерно-физический институт (МИФИ). Работал в вычислительном центре Центрального статистического управления СССР. В 2000–2004 годах руководил разработкой и развитием портала Яндекса, тогда же создал Яндекс.Маркет. В 2005 году открыл компанию Digital Zone, специализирующуюся на разработке программного обеспечения, из нее и выросла его группа компаний. Член программного комитета Института развития Интернета. Один из основателей ежегодной конференции программистов и пользователей OS DAY.
Киберугрозы
— Дмитрий, в начале марта киберкомандование минобороны США провело конференцию, посвященную планам ведения кибервойн. Авторы доклада сравнили стратегию кибератак на объекты критической инфраструктуры России или Китая с бомбардировками немецких городов авиацией США и Великобритании во время Второй мировой. Это не преувеличение? Насколько тяжелыми для нас могут быть последствия таких атак?
— Действительно, угроза атак реальна. Информационная защищенность огромного количества объектов довольно слабая. В каком-то объеме она существует. Но мало кто уверен, что она в реальном объеме работает.
Конечно, есть определенный опыт обеспечения информационной безопасности. Некоторые организации даже специально нанимают хакеров, чтобы они проверяли защищенность сетей. Но будем честны: по большому счету это делают очень-очень немногие структуры и в небольшом количестве.
То есть я полагаю, что есть огромное количество объектов, которым можно нанести ощутимый ущерб через информационные системы. Но это если посмотреть на вопрос с одной стороны. Я считаю, что есть куда более существенные угрозы и риски нашей безопасности в киберпространстве или цифровом мире. Попробую объяснить.
Во-первых, у меня большие сомнения, что тот ущерб, о котором я говорил, можно нанести на очень большую глубину и с большой длительностью. Есть примеры очень масштабных отказов, например в системах энергоснабжения, и опыт по устранению их последствий. Они, кстати, случались без всяких хакерских атак, а по техническим причинам.
Если помните, лет 15 назад в Москве и нескольких областях был огромный blackout, когда половина столицы была обесточена. Не работали светофоры, поезда метро не ходили. Но Москва все это пережила без каких-то бешеных проблем. И относительно быстро все было восстановлено.
Есть некоторый режим дублирования автоматических систем переходом в ручное управление. Этот механизм более-менее существует все еще. То есть в случае кибератаки на нас в течение какого-то небольшого срока система будет восстановлена в режиме ручного управления.
Поэтому анонсированные в США кибератаки я бы не рассматривал в качестве смертельной угрозы. К тому же, знаете, есть поговорка: собака, которая много лает, редко кусает. Поэтому, когда в США озвучивают эту угрозу, я бы ее не очень опасался. Это скорее словесная интервенция, чтобы посеять страх. Но вряд ли именно это будет сделано. Хотя бы из-за опасения ответного удара. Ведь пока никто не знает, как и чем ответят на такую атаку Россия или Китай.
Хотя, конечно, известен случай реального нападения Соединенных Штатов на ядерную инфраструктуру Ирана. Тогда вирус поразил систему управления центрифугами по обогащению урана, они были выведены из строя, что задержало реализацию ядерной программы Тегерана. Это сделали США, и это зафиксированный случай.
Но, повторю, такое воздействие возможно скорее фрагментарно и ненадолго. А вот чего действительно, на мой взгляд, надо опасаться больше, чем прямого внешнего деструктивного воздействия, и что мы пока в полной мере не осознали — это те немыслимые по объемам потоки информации обо всех нас, которые ежесекундно уплывают за границу, в США. Там очень и очень многое знают про нас, ведут постоянную аналитику.
Мюллеру и не снилось
— Как в кино про Штирлица: «мы все под колпаком у Мюллера»?
— Можно сказать, что Мюллер со своими методами слежки и сбора информации отдыхает. Если мы возьмем количество инструментов, благодаря которым западные страны могут сегодня получать информацию о нас, то оно просто потрясающее.
— Имеете в виду гаджеты с геолокацией, телефонные видеокамеры, американские приложения WhatsApp, Facebook, Instagram? Говорят, эти приложения могут скачивать и другую информацию с гаджета или компьютера и передавать ее.
— Да, WhatsApp или Facebook, к примеру, по законам США обязаны предоставлять своим спецслужбам доступ ко всему и ключи шифрования. Но возьмите и обычные банковские кредитные карты, которыми мы расплачиваемся. Все наши транзакции известны, и все отслеживаются. По транзакциям кредитной карты о человеке можно узнать очень многое, включая место, где он работает, куда ездит, что покупает.
Это сведения, которые вы размещаете в социальных сетях, информация, которая снимается с ваших телефонов, включая очень точную геолокацию. При желании по этим данным о вас можно узнать все, включая не только предприятие, где вы работаете, но и то, в какую проходную вы заходите и даже в каком кабинете сидите.
— Допустим, о каждом из нас кто-то все знает. Чем это опасно?
— Огромные объемы информации о нас анализируются и могут быть использованы в чьих-то интересах. На основании всех этих данных можно формировать воздействие на объекты той же самой критической инфраструктуры.
— То есть уязвимости могут быть не только в компьютерных программах, но и в таком элементе информационной системы, как человек?
— Человек — это вообще-то обязательный пункт в любой системе информационной безопасности. Вот смотрите, совершенно банальная, элементарная ситуация. Может быть, она не так часто встречается, но вполне вероятна.
Совершенно очевидно, что все наши секретные ученые на Западе известны. И вот по геопозиции телефона те, кто этим ученым интересуется, знают, куда он заходит, где работает, с кем общается. Проанализировав контакты, могут составить подробный каталог всех людей, которые работают с ним на том или ином важном объекте.
А дальше уже, как говорится, вопрос техники или методов, используемых в работе с интересующим субъектом: давление, шантаж, подкуп… Понятно, что большинство наших людей достаточно патриотичны, чтобы не поддаться ни на какие методы. Но сводки ФСБ, к сожалению, показывают, что находятся и те, кто готов сотрудничать, поддается на шантаж или подкуп. И вы не знаете, сколько их на самом деле.
Например, помните ту ситуацию, когда произошла авария космической ракеты «Протон» из-за того, что при сборке один из датчиков технарь установил «вверх ногами». И подобных ЧП, где случайным образом виноват какой-то стрелочник, немало. А если предположить во всем этом некую систему, принцип работы которой мы не знаем?
Мы же не знаем, действительно ли произошла случайность или кто-то совершил непреднамеренную ошибку. А может, кому-то заплатили миллион долларов, чтобы он ошибся?!
Только не приписывайте мне призывы к поиску врагов народа. Я о другом. Я о масштабе проблемы. О том, что из нашей страны выкачиваются террабайты и террабайты информации, которая анализируется, и неизвестно, где и как будет использована, возможно, против нас же.
Троянский конь цифровой эры
— То есть мы вместе со всеми благами цифрового мира пустили к себе настоящего троянского коня?
— Можно сказать только одно: на Западе существует механизм обработки огромных данных, которые у нас никак не защищены и выброшены в открытый доступ. Этот механизм вполне может использоваться против нас, и мы не знаем, насколько массово он используется. Де-факто у нас просто нет такой информации.
Вот все это я бы считал куда более опасной угрозой и большей проблемой, чем проблема нападения на критическую инфраструктуру или возможность устроить отказ огромного количества систем электропитания. Да, повторюсь, это тоже возможно, но это дает короткий эффект. На ручной режим управления системы всегда перевести можно.
А вдруг цель наших визави — постоянно отслеживать нас и постоянно наносить мелкие, точечные уколы, создавать проблемы, которые не выглядят как воздействие извне, а создают впечатление череды неприятностей или неприятных случайностей? И вы, когда вам сообщают о каждом новом ЧП, думаете: ну надо же, опять что-то случилось, или не запустилось, или упало. И понемногу все эти «случайные» ЧП выстраиваются в общую довольно неприглядную картину. Вот, мол, какие мы криворукие, не способные ни к чему, неорганизованные люди, которые не могут наладить работу сложных систем.
— Вроде того, что «земля у нас обильная, порядка только нет, приходите и владейте нами»?
— Вот-вот. А ведь это вполне может быть потоком небольших, крошечных, точечных диверсий, которые не очень сложно организовать. А результат — огромные имиджевые потери, снижение конкурентоспособности, упущенные инвестиции.
— И как бороться с информационной обнаженностью?
— Вопрос очень-очень сложный. С моей точки зрения, единственный способ успешной борьбы с проблемой, который существует, — это то, что называется великая китайская противопожарная стена — Firewall. То есть фактически создание закрытого информационного контура, в котором живет вся страна. Но для России это тяжелее реализовать, чем для Китая. Хотя не то чтобы совсем уж невозможно.
Объясню, что я имею в виду. Дело в том, что у России есть небольшой, но существенный плюс. Вот посмотрите, если возьмем, например, Францию, то она не может позволить себе отказаться от англоязычного контента в Интернете. То есть французы вынуждены работать с материалами на английском языке, потому что французского контента недостаточно для того, чтобы полностью обеспечить некоторую социальную среду, которая замкнута внутри страны.
А Россия в отличие от той же Франции достаточно велика, и количество контента на русском языке вполне достаточно для того, чтобы, в принципе, среднестатистический человек мог жить в Интернете, не интересуясь зарубежным контентом.
Так что теоретически некая автаркия возможна. Но, во-первых, она неприятна в этическом смысле. А во-вторых, создает определенные проблемы кросс-культурным коммуникациям.
Нас сосчитали
— Что надо для создания своего информационного контура?
— Безусловно, нужна ключевая инфраструктура, которая бы контролировала полностью все на нашей стороне. Что к ней относится? Все инструменты онлайн-взаимодействия. В этом направлении работа идет.
Например, сделана платежная система «Мир». Она полностью контролирует денежные транзакции внутри России. То есть информация о денежных операциях в рамках системы «Мир» уже не уплывает за рубеж, не пройдет через другие страны. Если мы даем сотруднику секретного завода карточку «Мир», то узнать, где он ей расплачивается, зарубежным интересантам уже невозможно.
Куда сложнее решать вопрос с мессенджерами. Через них идут огромные потоки информации. Причем идут в США. Сейчас голосовые коммуникации процентов на 70 перешли в мессенджеры. Огромное количество голосовых звонков совершается не через обычную телефонию, а через мессенджеры. Их инфраструктура позволяет очень многое отслеживать.
Теоретически зарубежные инструменты коммуникации, конечно, должны быть заблокированы здесь, внутри страны. Чтобы нельзя было отслеживать взаимодействие людей и строить карты этого взаимодействия. Это очень важная вещь.
Есть интересный факт, известный еще со времен Союза. Советская милиция уже тогда знала, что по трем первым телефонным звонкам можно точно идентифицировать человека. Вы можете уехать в Нью-Йорк, но, если вы оттуда сделаете три звонка, можно вас вычислить на 100%, потому что ближайший круг общения людей довольно уникален. Как правило, мы сначала звоним родителям, супругам и лучшим друзьям.
Соответственно, по контактам в соцсетях тоже можно про человека очень многое узнать. Поэтому соцсети, мессенджеры, онлайн-коммуникации — и видео, и голосовые, — все, что относится к современной информационной инфраструктуре, без которой мы уже не можем жить, все это должно быть в той или иной степени локализовано в стране.
Сегодня в существенной степени люди перестали пользоваться такими приложениями, как World или Excel. Очень многие используют онлайн-версии этих программ, например Google.doc или похожие инструменты. Это тоже огромный слой информации, которая просачивается за пределы страны. И он тоже требует какой-то локализации.
— А можно привести пример непроизвольной утечки информации?
— Покажу на примере нашей группы компаний. Она полностью живет в Google-документах. То есть все наши внутренние документы, строго говоря, известны зарубежным владельцам соответствующего сервиса. Вся деловая информация, включая наши контракты, контрагентов, финансовые данные, аналитику. Все, что у нас происходит в компании, в режиме онлайн можно анализировать за рубежом.
Ну хорошо, мы средний бизнес и не особо интересны. Но если это крупная компания, то на основании этих данных можно проводить серьезнейший промышленный шпионаж, который позволяет просто-напросто эффективнее конкурировать.
К примеру, у зарубежной компании есть российский конкурент. И получается, мы дарим ей всю информацию, то есть помогаем усилить экономику той стороны и ослабить экономику нашу. И это эффективно вполне себе действует. Это не сложно. Здесь не требуется какого-то волшебного слова. Мы уже отдали данные, они находятся там, и вполне доступны. Мало того, они проиндексированы, их можно автоматизированно обрабатывать, не прибегая к ручному труду.
— Хорошо, когда-нибудь мы создадим в России свой информационный контур. Но ведь он тоже будет кем-то контролироваться. Например, спецслужбами. С этим как?
— Это вечный вопрос соотношения личных прав и свобод и безопасности. Если наша страна и наши люди заинтересованы в собственном развитии, на что, собственно, хочется надеяться, то будут найдены правильные решения, чтобы соблюсти баланс, и они не будут во вред стране и людям.
Правоохранительные органы у нас давно имеют возможность доступа к информации с санкции прокурора. Соответствующие органы уже много лет назад приходили и в Яндекс.Почту, и другие компании, чтобы получать от них содержимое почтового ящика, в случае если содержание этой почты имело отношение к какому-то расследуемому делу. Сейчас им дали возможность более оперативно получать такую информацию без санкции прокурора, на основании более простых документов. Причина — бывают ситуации, в которых прямо сейчас и здесь происходит правонарушение.
Например, теракт, и нужно прямо сейчас отследить местоположение террористов по телефону, без волокиты и необходимости запрашивать разрешение.
В вопросе личных прав и безопасности надо искать разумный баланс. Мы хотим иметь более эффективные правоохранительные органы? Значит, у них должна быть возможность оперативно реагировать на угрозы, работать на упреждение, а не бить по хвостам. Если ограничить их возможности, обращаясь к личным правам на защиту информации, можно снизить их эффективность. Ну и, конечно, надо думать, как не допустить в этом вопросе злоупотреблений.
Запрет или стимул?
— Как вы относитесь к недавней ситуации с торможением Твиттера?
— Все очень просто. Существует понятие государственной юрисдикции. Сервис, который приходит в страну извне, должен подчиняться ее законам, исполнять требования. Это даже не предмет разговора. То есть здесь все правильно делали.
Причем сам подход заслуживает внимания. Метод, который сейчас применяется, с одной стороны, не является абсолютно административным и деструктивным. Нет такого общественного напряжения. У этого шага очень выраженный экономический эффект для той стороны. Потому что у нее снижаются показы рекламных баннеров, количество транзакций, и это очень четко у них видно, на их экономических метриках. Они видят, что начинают в России меньше зарабатывать. С другой стороны, соцсеть не выключили, она живет — пожалуйста, но денежный поток снизился. И понятно, что он может снизиться еще. Это очень правильное давление на карман. Молодцы, правильно сделали.
— Это технически сложно сделать или уже научились?
— Это довольно сложно сделать.
— В России могут появиться аналоги Facebook, Twitter или ТикТок? Когда? Что для этого надо?
— На самом деле это экономическая проблема. Ситуация неприятная. Налицо обидное технологическое отставание. Но факт есть факт. В принципе, сделать реплики зарубежных интернет-сервисов не очень сложно. Но это требует вложений и работы. У нас, кстати, есть реплики многих зарубежных социальных сетей и сервисов. Они, конечно, не сказать что идеальны и полностью соответствуют зарубежным аналогам. В чем-то они уступают, но уступают не катастрофически.
Существует, например, сеть ВКонтакте. Вполне нормальная, ею можно пользоваться. Она, наверное, в чем-то уступает Фейсбуку, но не настолько сильно, что жить нельзя. Можно.
Существует видеохостинг российский RuTube наряду с американским YouTube. Создан очень давно, много людей им пользуется, и опять же никакой особенной технологической проблемы в его создании нет. Проблема в другом. Покрытие у YouTube очень большое. Очень много людей им пользуется. Его знают все, и если вы выкладываете свой ролик на YouTube, то получаете огромную аудиторию. Если выкладываете на RuTube, то получаете меньшую аудиторию. Хуже того, аудитория YouTube полностью перекрывает аудиторию RuTube.
Выкладывая ролик только на зарубежный сервис, вы гарантированно получаете всю возможную аудиторию. Выкладывая в RuTube, получаете меньшую аудиторию. В этом и проблема. Люди предпочитают чужой сервис просто потому, что у него аудитория больше. То же самое касается Facebook и ВКонтакте.
Вообще ВКонтакте довольно известный в России сервис. Им многие пользуются. Но существует слой людей, которые живут только в Фейсбуке. Им там привычнее и проще.
Это, возможно, вопрос антимонопольной службы. Западные сервисы, имея мощный ресурс, заняли очень сильные позиции на нашем рынке. И очень трудно их превзойти именно по этой части.
— Это безвыходная ситуация?
— Я полагаю, что она требует государственного участия. Может быть, каких-то преференций для наших компаний. Я знаю, например, что есть идея сделать так, чтобы доступ через Интернет к российским сервисам был бесплатный. То есть два тарифа на интернет-трафик. Если хочешь получать доступ к внешним социальным сетям и сервисам, получается дороже. А если через внутренние сервисы — дешевле. Не знаю, сработает это или нет.
Наверное, надо больше пропагандировать свои разработки, над ними надо больше работать технически, чтобы они были более привлекательными для пользователя, чем зарубежные. Я не думаю, что в принципе невозможно эту ситуацию решить. Более того, я уверен, что возможно. Но политическая воля в этом случае, скорее всего, потребуется.
— Китай смог эту задачу решить, потому что там огромная внутренняя аудитория?
— Нет, они просто жестко закрыли все внешние сервисы, как говорится, железной рукой выключили у себя Facebook и прочие сервисы made in USA.
Сегодня у них существует огромный объем внутренних сервисов, которые очень эффективно сделаны. Кстати, некоторый китайский опыт и для нас представляет определенную ценность. Китайцы, например, очень активно работают над взаимодействием в своих сервисах и их совместимостью. Кроме того, у них внутренние сервисы обеспечивают некоторые возможности, которые тот же Facebook обеспечить не может.
У нас тоже есть такие примеры. Вот Яндекс.Такси является примером успешной конкуренции с зарубежными сервисами. Ведь он выходил на рынок, когда зарубежные сервисы в России уже были. И тем не менее он смог достичь очень хорошего положения на рынке и фактически обойти конкурентов чисто рыночными усилиями.
— Некоторые говорят, что комплексную информационную безопасность в стране не обеспечить, не создав единый орган управления, своего рода министерство цифровой безопасности. Как вы к этой идее относитесь?
— Мне кажется, формирование нового органа или передача этой функции в ведение существующего органа — просто технический вопрос. Это вопрос, на чьей двери, условно говоря, будет висеть табличка «Ты отвечаешь за информационную безопасность». Это может быть замминистра в Минцифры, а может быть какой-то человек в ФСБ. Это абсолютно не принципиально.
Вообще проблема информационной безопасности — вопрос осознания проблемы. Причем в том аспекте, о котором я говорил и который пытался описать. Проблема не в том, что на нас нападут или могут напасть и это будет действительно война, а проблема в том, что нас медленно, аккуратно вскрывают, как раковину, и делают беззащитными. Мелочным, но непрерывным давлением по всему фронту снижают нашу эффективность, постепенно, исподволь усложняя жизнь страны.