Потерянное поколение в информационной безопасности. Интервью члена Правления АРСИБ Павла Головлева журналу NBJ

29.07.2015
 Источник: Национальный Банковский Журнал






П. ГОЛОВЛЕВ:

«Люди все время пытаются материализовать информацию. Нужно изменить мышление, иначе мы постоянно будем сталкиваться с проблемами» 


СМП Банк, входящий в ТОП-40 российских финансовых учреждений, одним из первых попал под влияние западных санкций. Начальник управления информационной безопасности кредитной организации Павел ГОЛОВЛЕВ ответил на вопросы NBJ о том, насколько велика возможность импортозамещения в сфере информационных технологий, как обстоят дела с компьютерной грамотностью среди россиян и как следует усовершенствовать отечественное законодательство с точки зрения защиты данных.


Когда речь заходит об отечественных продуктах в сфере ИБ, то понимаешь – выбирать особо не из чего

NBJ: Павел, как санкции повлияли на обеспечение информационной безопасности в банках? Пока мы слышим не столько оценки ситуации, сколько слова о необходимости импортозамещения в сфере высоких технологий.

П. ГОЛОВЛЕВ: В первую очередь санкции действительно связаны с импортозамещением. Это объясняется тем, что мы слишком сильно привязаны к зарубежным технологиям, несмотря на то что в основном они создаются нашими бывшими соотечественниками. Было бы на что замещать, но на российском рынке, к сожалению, хороших решений в последнее время нет.

У нас нет культуры производства и поддержки того, что нужно пользователям. Российские производители средств защиты ориентированы в большей степени на требования регуляторов, которые, как правило, произносятся один раз, «отливаются в бронзе» и с трудом меняются, даже когда это действительно нужно. У западных производителей есть свои маркетинговые перекосы, бывает, что они изобретают то, в чем нет необходимости, но их способность подстраиваться под текущую ситуацию, обгонять рынок неоспорима. У нас этого нет.

Кроме того, существует разница между защитными средствами одного уровня, выпущенными в России и за рубежом: у западных продуктов помимо основного функционала есть масса различных «вкусностей», «бантиков», удобств – одним словом, того, что называется «юзабилити». У отечественных решений есть только основной функционал, и пользоваться им – «из Москвы в Питер через Владивосток». Даже если мы используем технологические возможности, работая в каких-то сегментах, то делать так, чтобы это было удобно, все равно не получается. Видимо, это особенности русского менталитета: что бы мы ни делали – выходит либо сковорода с разделяющейся боеголовкой, либо паровоз, который надо дорабатывать напильником.

Санкции имеют скрытый нюанс: западные системы защиты не могут работать жестко настроенными по принципу «выстрелил и забыл». Они требуют постоянной информационной подпитки, поэтому отключение от источника этой подпитки приводит к деградации защитных свойств. Наши разработчики исторически стараются делать все наоборот. В связи с тем, что требования регулятора строго заданы, у отечественных компаний получается производить жесткие средства защиты. Предполагается, что они могут быть установлены, подключены – и будут работать. 

К сожалению, в современном мире это не так. Ситуация меняется очень быстро, нужно постоянно ее мониторить. Западные производители либо имеют для этого собственные аналитические центры, либо настраиваются на какие-то крупные над- или межотраслевые центры консолидации и обработки большого количества информации из множества разных источников – так отображается картина постоянно меняющегося мира. Данные используются при создании новых технических средств и при внесении корректировок в сценарии работы имеющихся. У нас в России это только начинает зарождаться. 

Во время межбанковской конференции в Магнитогорске ФСТЭК России (Федеральная служба по техническому и экспортному контролю. – Прим. ред.) заявила, что будет создавать такие центры и уже начала публиковать свои списки угроз и уязвимостей. Но опять-таки мало их публиковать – нужно предлагать решения, механизмы по обнаружению и расшифровке угроз. И самое главное – встраивать обработку информации в средства безопасности. В России этим уже занимаются антивирусные компании, но обеспечение безопасности не ограничивается только приобретением их продуктов. «Лаборатория Касперского», Dr.Web и ряд других компаний, занимающихся информационной безопасностью, пытаются делать что-то для своих сервисов, потому и могут конкурировать на отечественном рынке. Но «узок круг этих революционеров…»

Надо признать, что за счет стремления сэкономить у нас все же появляются интересные решения. В России есть очень хорошие оптимизаторы, которые могут, например, поставить прочную «заплатку» в конкретном месте. Но решать проблемы в комплексе у нас почему-то не умеют.

NBJ: Ваша коллега Наталья Касперская говорит о том, что в России есть программные продукты, составляющие ее цифровой суверенитет, и приводит в качестве примера несколько клонов Linux, ключевые разработки в области СУБД и ERP, офисные приложения, основанные на открытом ПО, специализированные разработки для промышленности, в том числе военной.

П. ГОЛОВЛЕВ: Понимаете, для России – это капля в море. Я не говорю о том, что у нас нет программных продуктов – они есть, но их не хватает. Выбирать особо не из чего. А уровень поддержки разработок совершенно не соответствует денежным аппетитам их производителей. Основная же масса информационных продуктов вообще находится на грани добра и зла…

Я всегда говорю о том, что информационная безопасность сродни медицине, она должна полностью пронизывать общество: от первичной гигиены, которой обучают, как правило, ребятишек в детсадовском возрасте, до лечения в центрах косметологии, поликлиниках, хосписах. На развитие медицины непременно должны направляться государственные ресурсы. То же самое с информационной безопасностью: несмотря на чисто экономическую составляющую, без государственной и социальной поддержки она бессмысленна.

«Гигиене» в информационной безопасности людей надо обучать, начиная с детского сада

NBJ: Раз уж зашла речь о «первичной гигиене» в сфере информационной безопасности, то скажите, пожалуйста, как Вы относитесь к инициативе Российской ассоциации электронных коммуникаций ввести в школьную программу новый предмет «Основы ИБ»?

П. ГОЛОВЛЕВ: Это необходимо сделать. Людей нужно обучать элементарным правилам компьютерной «гигиены» с раннего возраста. Дети рано начинают пользоваться гаджетами, еще не осознавая того, что общество стремительно переходит из материального мира в мир виртуальный, не менее опасный. Просто опасности там другие.

Самая ценная сегодня вещь – информация, но люди еще не поняли этого. Фактически мы уже потеряли целое поколение, представители которого публикуют в социальных сетях снимки своих паспортов, кредитных карточек, пишут, куда они летят, каким рейсом и кто остается в квартире. Когда видишь это, начинаешь сильно сомневаться в адекватности окружающего мира. А потом люди, игнорирующие правила компьютерной «гигиены», начинают соответствующим образом производить информационные продукты. 

Круг замыкается. Иными словами, люди, не привыкшие мыть руки перед едой, начинают делать на рынке шаурму в антисанитарных условиях.

NBJ: Неужели в информационной безопасности такое возможно?

П. ГОЛОВЛЕВ: Не в информационной безопасности, а в информационных технологиях в целом. Как показывает практика, есть люди, которые по крайней мере думают об этом. Почему процветают поддельная продукция и контрафакт? Потому что накладные расходы на соблюдение всех правил «гигиены» для честного производителя слишком велики. При производстве компьютерных технологий и девайсов, при написании программ предпочтение зачастую отдается студенту первого курса, который едва успел выучить какой-нибудь язык программирования. Да, среди них встречаются гении, но чаще всего это не так. Притом с гениями есть свои, особые проблемы.

В бизнесе существует треугольник понятий «быстро – качественно – недорого». Безопасность – термин позиции качества. Соответственно, когда из этого треугольника выбирают два понятия – предпочтение отдают «быстро» и «недорого» – про категорию «качество», в том числе и про безопасность, очень часто забывают.

Государственное регулирование должно заявлять о себе именно на этапе расстановки приоритетов, а не после него. В противном случае мы так и будем иметь дело с «заплаточными» методами, «костылями», прокрустовым ложем так называемой наложенной безопасности, которая помогает бороться с уже возникшей проблемой, но не предотвращает возникновение новых, а зачастую их создает. Безопасность же должна быть органично встроена в продукт на принципах security by design, только тогда она будет эффективной.

NBJ: Можно ли из Ваших слов сделать вывод о том, что российское законодательство в области информационной безопасности несовершенно?

П. ГОЛОВЛЕВ: Цельного и непротиворечивого законодательства в области информационной безопасности как такового нет. В России существует некий ментальный разрыв: за информатизацию у нас отвечает Минкомсвязь, за безопасность – такие силовые структуры, как ФСБ, ФСТЭК, ФСО (Федеральная служба охраны России. – Прим. ред.) и прочие, а за развитие общества в целом – Минэкономразвития. К тому же в каждой бизнес-отрасли есть своя специфика и свой регулятор. В результате получается, что в одном месте густо, в другом – пусто, иногда до абсурда.

С одной стороны, за ИБ (хотя сам термин немного неверный – корректно говорить «защита информации») у нас вроде как отвечает одно министерство. С другой стороны, есть силовые структуры, которые привыкли «держать и не пущать», стоять на страже гостайны. Их объективно мало волнует реальный бизнес и происходящие в нем информационные процессы. В результате возникает проблема несовершенства российского законодательства.

Я думаю, должен пройти определенный этап эволюционного развития. Приведу еще одно сравнение: пока пол-Европы не вымерло от чумы и холеры, люди не перестали выливать содержимое ночных горшков из окон своих домов и иным образом игнорировать правила гигиены. Для осознания проблемы людьми и государством должна была произойти реальная катастрофа.

NBJ: Судя по всему, катастрофа уже происходит: по данным аналитического центра InfoWatch, за 2014 год утечка информации в мире увеличилась на 22%, а в России – на 73%.

П. ГОЛОВЛЕВ: Любимая шутка безопасников – число аварий выросло в три раза: была одна, стало три. Всегда нужно смотреть еще и на абсолютные цифры. Обратное также верно. Возьмем, к примеру, шум вокруг того, что в банках похищают миллионы. Если поделить эти деньги на реальные обороты банковской системы, взятые из официальной статистики ЦБ, получится, что риск составляет одну копейку на тысячу рублей. 

В этом плане информационная безопасность, как и статистика, – достаточно циничная наука. Но тогда возникает вопрос: если ничего не происходит – это означает, что извне ничто не угрожает или служба информационной безопасности работает хорошо? У этой медали есть оборотная сторона: если ничего не происходит, зачем тратить деньги на защиту информации? На эти вопросы пока нет ответа.

NBJ: Допустим, банку угрожает опасность. Служба безопасности узнает об этом, даже если атака не произойдет?

П. ГОЛОВЛЕВ: Это очень сложный и интересный вопрос, ответ на него зависит от того, каков уровень атаки и каков уровень подготовленности самого атакующего. Например, антивирусные программы будут распознавать и отражать только те угрозы, информация о которых им известна. В данном случае службе безопасности достаточно будет раз в неделю просматривать общую статистику, убеждаться в том, что система работает нормально.

Если система антивирусной защиты все-таки не сработала, то должен подключиться следующий защитный механизм, который даст информацию о том, что первичный слой защиты пробит. В этом случае необходимо подключать собственную аналитику и проводить расследование, корректировать имеющиеся защитные меры или внедрять новые – бороться с болезнью и вырабатывать иммунитет.

А бывают случаи, которые можно сравнить с грабежом в подворотне. Тут уже против ножа или пистолета одним иммунитетом не отделаешься. Если организму будет нанесен неожиданный удар, его иммунная система, конечно, активно заработает – начнется процесс заживления и восстановления функций. Но защитные меры уже нужно будет принимать на другом уровне. К делу должны подключиться специалисты из других областей, в частности сотрудники правоохранительных органов, которые помогут поймать нападавшего, или врачи, которые будут лечить пострадавшего.

NBJ: Можно ли говорить о том, что при атаке на систему информационной безопасности банка все зависит только от фантазии грабителя из подворотни?

П. ГОЛОВЛЕВ: Да, при этом с вирусом мы боремся одним способом, с паразитом – другим, с инсультом – третьим, с грабителем – четвертым, пятым или шестым.

При ответе на данный вопрос хотелось бы затронуть тему привычки к компьютерам. Люди нажимают на кнопки, скачивают что-то из Интернета, ставят галочки на пользовательских соглашениях. На самом деле за всем этим стоят реальные интересы реальных людей. Прежде чем сделать что-то, подумайте: в жизни ничто не происходит просто так. Альтруизм не является настолько широко распространенным, как этого хотелось бы.

Данный подход перекладывается на информационную безопасность: казалось бы, мы защитили компьютеры – и все. Но это далеко не так. Нельзя полагаться только на иммунную систему – везде нужно включать голову, особенно при входе в темную подворотню. Нам нужно понять, что мы перешли из материального мира в виртуальный, где самой большой ценностью является информация. Не нами было сказано: кто владеет информацией – тот владеет миром. Сейчас миром владеют Microsoft, Apple, Google, Facebook. 

Оруэлловский «1984» уже на дворе. Телевизоры, которые управляются голосом и жестами, уже могут подслушивать и подсматривать.

Был период, когда с компьютерами могли работать только посвященные люди – те, кого учили программированию, кто оканчивал специальные учебные заведения. В определенный момент началась так называемая консьюмеризация: компьютер из вещи для посвященных превратился в предмет домашнего обихода, вышел на общедоступный рынок.

У Стива Круга, гуру веб-дизайна, есть книга «Не заставляйте меня думать». Ее название в полной мере является девизом современного общества. Люди перестали самостоятельно мыслить. Мне кажется, с этого и началась та катастрофа, о которой мы говорили.

Всеобщая безопасность невозможна, если не обеспечена безопасность каждого в отдельности

NBJ: Ваши доводы о защите персональной информации могут быть опровергнуты лишь одним риторическим вопросом обычного человека: кому я нужен?

П. ГОЛОВЛЕВ: Почитайте Оруэлла: каждый конкретный человек не нужен, но он является частью общей картины. Теория «маленького человека» – особенность русского менталитета: мы не платим за медицинскую страховку, не думаем о безопасности заранее – нам кажется, что нас обдирают, но когда что-нибудь случается, то мы превращаемся в страшных людей. В России многие часто задаются вопросом: почему меня плохо обслужили в больнице? Но мысли о том, что человек ни копейки на нее до этого не потратил, не приходят ему в голову. А врачам надо кормить семьи. И больницы оборудовать необходимо. Даже если никто сейчас не болеет.

NBJ: Вы сказали, что государство должно контролировать процесс построения защиты информации. Допустим, в регулировании оно перетянуло гайки, а как обстоят дела с инвестированием? Существует Российский инвестиционный фонд информационно-коммуникационных технологий, и он пока, как утверждают большинство наблюдателей, работает не очень эффективно.

П. ГОЛОВЛЕВ: Не нами было сказано, что голодному можно помочь двумя способами: дать ему рыбу и научить его ловить рыбу. Просто дать денег – это не то. Средства нужно стратегически инвестировать в сложные или низкомаржинальные, а то и вовсе в дотационные, но жизненно необходимые технологии – те, которые бизнес игнорирует, потому что выбирает «быстро и недорого, но прибыльно». В этом контексте инвестирование, основанное только на сроках возврата инвестиций и доходности, бессмысленно. А в России проблема не только в финансировании, но и в административных барьерах.

Например, помимо международных, принадлежащих крупным ИТ-корпорациям удостоверяющих центров, практически в каждой стране есть собственный, национальный УД, который выдает сертификаты, чтобы обеспечить защищенный канал между компьютером пользователя и сервером организации – так называемые SSL/TLS-сертификаты. Любая организация может обратиться в этот центр и заявить о том, что ей необходимо обеспечить защиту клиента, работающего в любой стране мира, на любой операционной платформе – и минимальный уровень защиты в рамках мировых стандартов будет обеспечен.

Пожалуй, Россия – единственная страна, в которой нет удостоверяющего центра национального уровня, потому что это неинтересно бизнесу. А наши государственные структуры никогда не пойдут на то, чтобы реализовывать защиту в рамках стандартных протоколов, которые поддерживают западные продукты. Мы стоим за наш ГОСТ, но в обычных устройствах пользователей его нет и не будет без манипуляций, недоступных простым обывателям, или без полного и безоговорочного импортозамещения.

Когда вступили в действие санкции, удостоверяющие центры отозвали свои сертификаты, выданные организациям, включенным в черные списки. Я неоднократно разговаривал с российскими производителями средств защиты – они говорят, что это не их бизнес, что это неинтересно и сложно.

NBJ: Это к Вашим словам о том, что вендоры любят «вкусное» и дорогое, а за остальное не берутся?

П. ГОЛОВЛЕВ: Да, и про это тоже. Хотя такой сертификат на рынке стоит от ста до тысячи долларов в год, мы платим их «чужому дяде». Я понимаю, что здесь есть свои экономические и геополитические нюансы. Необходимо договориться со всеми основными производителями программных средств, чтобы корневой сертификат был прописан во всех операционных системах. Этим надо заниматься, но заинтересованных нет. Опять же – санкции. Кроме того, производителю нужно будет договариваться и с отечественными государственными надзорными органами, которые с высокой долей вероятности не захотят выдавать разрешение на работу такого удостоверяющего центра.

NBJ: Как Вы думаете, нам удастся эволюционировать до того дня, когда открытие подобного центра заинтересует бизнес?

П. ГОЛОВЛЕВ: В этом плане санкции являются возмущением иммунной системы, которое заставит, может быть, задуматься о том, что нужно заниматься чем-то и внутри страны. Но не надо превращать это в очередной фетиш импортозамещения. От того, что мы заменим Microsoft на отечественную операционную систему, ничего не изменится – проблема не в этом. Возвращаясь к предыдущей аналогии: кто-то все равно должен патрулировать подворотни, следить за их освещением, обеспечивать работу бригад скорой помощи и заниматься профилактикой заболеваний, финансировать производство и распространение жизненно необходимых лекарств. Я, конечно, понимаю, что спасение утопающих – дело рук самих утопающих, но все же.

NBJ: Вы как-то сказали, что коллекционируете ответы вендоров. Какой из последних ответов российских вендоров Вас порадовал?

П. ГОЛОВЛЕВ: Это был не ответ, а очень интересное предложение о сотрудничестве от одного из интеграторов, который хочет стать вендором. Круг людей, действительно разбирающихся в технологиях безопасности, есть, но он очень узок.

В области информационных технологий и разработок проблема состоит не в том, чтобы выпустить какой-то продукт на рынок, а в том, чтобы его сопровождать. Сопровождение очень часто выходит дороже, чем создание.

Я еще могу согласиться с тем, что для завоевания какой-то ниши рынка необходимо выпустить пусть корявый и дырявый, но продукт. Но при этом важно осознавать, что в течение нескольких месяцев нужно обнаружить и исправить все недоработки, которые в нем есть.

У нас только появляется методология Bug Bounty, когда производитель программного решения или технического средства, в том числе и средства защиты, объявляет во всеуслышание, что за нахождение уязвимости в своем продукте выплачивает определенное вознаграждение тому, кто ее нашел, описал и предоставил информацию о ней на условиях конфиденциальности. Это очень эффективный способ решения проблемы, но у нас его почему-то боятся. Мы считаем ниже своего достоинства платить за то, чтобы люди специально что-то искали в наших гениальных разработках. Гораздо проще написать в лицензионном соглашении – мы ни за что не отвечаем.

Тут важно понимать, что если не оплачивать работу «белых» хакеров – потом придется платить налог хакерам «черным». Кто не хочет кормить свою армию – будет кормить чужую. Если вы не хотите оплачивать труд талантливых людей, которые пытаются остаться на светлой стороне силы, они уйдут на темную и начнут отбирать у вас деньги.

Другая проблема, наверное, состоит в том, что наше законодательство еще живет понятиями римского вещного права: у меня было десять монет, вор украл три, у меня стало меньше монет, у него больше, но общее количество монет в мире не изменилось. Их можно у вора отобрать и вернуть законному владельцу – восстановить статус-кво.

С информацией все, к сожалению, не так: у меня украли данные, на моей стороне ничего не изменилось, вор может получить на их основании новое знание и монетизировать его. При этом общее количество данных в мире увеличивается. Что, как и кому возвращать?

Характеризуя инциденты, связанные с информацией, российское уголовное и административное право оперирует материальными носителями этой информации. Мы все время пытаемся материализовать нематериальное. Надо изменить мышление для того, чтобы понять: информация живет по другим принципам. До тех пор пока это не будет переосмыслено, мы будем постоянно сталкиваться с проблемами, в том числе в сфере законодательства и регулирования. Еще Эйнштейн сказал, что мы не сможем решить наши проблемы, используя тот же образ мышления, который применялся при их создании.

NBJ: Казалось бы, в российском законодательстве давно закреплена нематериальная норма о защите чести и достоинства личности.

П. ГОЛОВЛЕВ: Она не работает, потому что слишком субъективна, нематериальна, непонятна. Хотя на Западе она эффективна – у них другой менталитет.

До тех пор, пока человек не научится защищать свои собственные информационные интересы, ничто не заставит его защищать информационные интересы других – это основная проблема закона «О персональных данных». Если человек не бережет свои персональные данные, раздавая их направо и налево, то он никогда не будет защищать конфиденциальную информацию о других людях. Они будут для него информационным мусором. Всем нам знаком стандартный маркетинговый подход, при котором нас просят оставить номер телефона или паспорта, адрес электронной почты и обещают скидку 5%. Или предлагают получить купон за информацию о пяти знакомых – все купонаторы живут персональными данными. Люди не задумываясь передают им информацию, и тем более они не задумываются о том, что происходит с ней дальше – как и кому она продается.

Но и это уже в прошлом. Теперь достаточно дистанционно включить микрофон на телевизоре или в телефоне для того, чтобы робот оцифровал ваш разговор, выбрал в нем необходимые слова, а потом передал агрегированную информацию о вас в специализированные поисковые системы. И бог бы с ним, если бы только коммивояжерам и спецслужбам, так нет же никаких гарантий, что к этому телевизору не подключится сосед или тот же грабитель из подворотни. Тут и возникает вопрос о том, кому вы интересны. Это зависит от того, где вы работаете и о чем говорите.

NBJ: Как Вы относитесь к инициативе принятия закона о хранении персональных данных россиян на территории Российской Федерации?

П. ГОЛОВЛЕВ: Наши законы либо слишком технологичны, либо слишком политизированы. Не мной было сказано, что в мире существует право прецедентное и право статутное, а в России – право толковательное. Закон есть закон, но все зависит от того, как его истолковать.

Данный нормативный акт достаточно политизирован, причем он выступает надстройкой над не менее политизированным законом «О персональных данных». Сейчас Роскомнадзор начал серию толкований этого закона для различных отраслей бизнеса.

Мне довольно часто приходится погружаться в хитросплетения юриспруденции – зачастую по одному и тому же вопросу читаешь в «Консультанте» два диаметрально противоположных решения, иногда даже одного и того же суда. Поэтому сейчас трудно о чем-то говорить – жизнь покажет. Критерий истины – практика.

NBJ: СМП Банк уже столкнулся с какими-то подводными камнями информационной безопасности в 2015 году?

П. ГОЛОВЛЕВ: Этот год создал проблемы для всех – мы все живем в условиях оптимизации расходов, интенсивного энергосбережения. Кризис коснулся не только СМП Банка.

У нас есть специфичные проблемы, связанные с тем, что мы напрямую находимся под санкциями, но в целом наши проблемы находятся в той же самой плоскости, что и у других. Ничего экстраординарного. С этим вполне можно жить.

Беседовала Анна Кислицына специально для NBJ

 

 

 

Лица Правления АРСИБ

Весь состав Правления АРСИБ
Смирнов Михаил Борисович

Смирнов Михаил Борисович

Член правления АРСИБ

Партнеры АРСИБ

Информационные партнеры

Яндекс.Метрика