Евгений Касперский: «Нельзя подходить к новой киберреальности с точки зрения традиционных средств безопасности» - «Финансы»
Генеральный директор «Лаборатории Касперского» во время форума Finopolis 2016 рассказал «Финансы и Банки» о новых подходах к созданию безопасных информационных систем, о сильно опередившей время технологии блокчейн и о том, как правильно перекачивать нефть.
— Евгений, вы часто выступаете на самых разных конференциях по всему миру, но на чисто банковском мероприятии лично я вижу вас впервые. Какими судьбами?
— По двум причинам. Во-первых, Finopolis — очень интересное мероприятие, и когда меня пригласили выступить здесь, я с удовольствием согласился. Во-вторых, за два дня до форума в Иннополисе проходила наша конференция по промышленной кибербезопасности, и у меня появилась возможность одним выстрелом убить двух самых главных зайцев. Два основных направления угроз — это финансовый сектор и промышленность. Финансовый сектор атакуют чаще, и понимание проблемы есть у большинства вовлеченных людей. Атаки на промышленные предприятия происходят пока гораздо реже, и в плане защиты там практически ничего не сделано. Однако каждая атака весьма болезненна, поэтому обучение происходит быстро, внимание к проблеме растет.
— Банковская индустрия вроде бы использует ту же цифровую технику, что и все, и даже по программным продуктам большое пересечение. Однако банкиры говорят на своем языке, и если его не знать, договориться будет трудно.
Многие компании, которые говорят, что занимаются безопасностью, на самом деле работают с небольшим кругом клиентов
— Да, естественно. Любая индустрия — транспорт, нефтегаз, банки — говорит по-своему. Все идет от задач, от внутренней индустриальной этики, если хотите.
На самом деле, каких-то трудностей в общении я не вижу. Многие компании, которые говорят, что занимаются безопасностью, на самом деле работают с небольшим кругом клиентов. Мир, в котором они живут, скажем так, недостаточно сложен. Действуя в его рамках, они добиваются определенного эффекта. Но стоит выйти наружу, и все. Наши ребята понимают языки индустрий еще и потому, что компания глобальная, и мы судим о происходящем по информации, поступающей из разных сфер со всего мира.
Понятно, что TCP/IP везде одинаковый, электроны бегают те же самые, но везде есть своя специфика. И мы стараемся ее замечать. Причем речь давно идет не только и не столько о традиционной компьютерной безопасности, но и о безопасности промышленности, о безопасности встроенных систем, защите мобильных устройств, индустриальных объектов и транспорта.
— Сейчас складывается занятная картина: можно закупать прекрасные средства защиты, выстраивать оборону периметра, а потом в офис поставят умный чайник или кофейный аппарат, и заинтересованные граждане отлично зайдут в сеть через него.
На место нарушения должен прилететь охранник с собакой по кличке Мухтар, которые нарушителя больно покусают
— Совершенно верно. Но проблема возникает только в том случае, если умный чайник появляется в критическом сегменте сети. И избежать ее можно очень легко: проектировать сеть, изначально помня о том, что в ней может появиться такой чайник. А если он вдруг появится, к безопасникам должен полететь большой красный свисток. И тут же на место нарушения должен прилететь охранник с собакой по кличке Мухтар, которые нарушителя больно покусают.
Мы делаем такие решения. Только это, конечно, не традиционный антивирус, а безопасная операционная система, на базе которой пишутся правила мониторинга происходящего в сети. Например, у нас есть решение для нефтеперерабатывающей отрасли. Привозят в цистерне нефть. Просто так качать ее не получится: когда она холодная, по ней можно гулять. Поэтому необходимо нагреть уже имеющуюся нефть, закачать ее в цистерну, перемешать, и уже потом выкачивать.
Соответственно, есть цистерны с теплой нефтью, с холодной, все это по циклу циркулирует при помощи системы насосов. Это технологический процесс. Мы ставим туда свою систему, которая мониторит разрешенные сценарии: температура такая-то, скорость такая-то, давление такое-то. Режим старта, рабочий режим. Как только что-то выходит за разрешенные пределы, следует тот самый красный свисток. В технологический процесс мы не вмешиваемся, но даем сигнал: ребята, у вас там непорядок.
В новых банковских сервисах можно (и нужно) на стадии разработки выделять критические узлы и защищать их радикальным способом
Такая система менее гибкая, софта для нее мало, игрушку скачать не получится. Но она проста и надежна, как кирпич. Именно на ее базе строится система индустриальной безопасности.
Если говорить о финансовой отрасли, то целиком сетку на нашей операционной системе сделать не получится. Программисты забастуют. Но самые критичные узлы на ней построить вполне реально. Например, совершенно непробиваемую, железобетонную систему мониторинга. В новых банковских сервисах можно (и нужно) на стадии разработки выделять критические узлы и защищать их таким, можно сказать, радикальным способом.
— Мы совсем недавно рассказывали о случае, когда преступники, потратив уйму времени, замаскировались под добросовестного клиента, и когда от них пришел троян, служба безопасности санкционировала отключение системы защиты…
— Да, бывает и такое. Очень хорошо помогает заявление в полицию.
Антивирус в банке: не такой, как все В годовом отчете о работе FinCERT среди основных причин успешных атак на банки называется отсутствие антивирусного ПО и (или) несвежие базы зловредов. Мы решили разобраться в том, что такое антивирус для банка и насколько он защищает финансовые учреждения от недружелюбных внешних воздействий.
— Но там, говорят, просто не понимают, о чем речь вообще?
— Уже понимают. Не поймут в полиции, стоит обратиться в ФСБ. Многое зависит от уровня инцидента. С мелкими кражами разбирается полиция, но если атака была достаточно масштабная и серьезная, стоит выходить на следующий уровень.
Есть много удачных расследований и арестов киберпреступников. Яркий пример — история с троянцем Lurk, которым занималось больше 50 человек, и этим летом в одну ночь взяли всех. Сейчас они проходят по 210-й статье УК РФ «Организация преступного сообщества (преступной организации) или участие в нем (ней)». Она очень тяжелая. За участие в преступном сообществе от 5 до 10 лет.
— Идти в ФСБ — это хорошее дело, но ведь банковское сообщество традиционно закрытое, и стремится оставлять внутри большинство инцидентов.
— Если нет государственного регулирования, закрытыми оказываются очень многие индустрии. Никто не знает, что у них там внутри творится. Позавчера, например, прошла новость: два или три года назад в какой-то стране, которая не называется, была кибератака на атомную станцию, которая не привела к физическому нарушению, но вызвала сбои в работе. То есть несколько лет назад где-то могло рвануть. Но где, мы не узнаем.
Организация атаки на любую компанию включает два персонажа: того, кто умеет кодить, и того, кто разбирается в процессах. Всё. И с учетом того, что в России за последние годы стало на треть меньше банков, разбирающихся в процессах хватает.
— Вы видите угрозы в наступлении финтеха, когда процессы, раньше выполнявшиеся 400–500 сотрудниками, перекладываются на три-пять человек с компьютерами?
Это новая киберреальность. Нельзя подходить к ней с точки зрения традиционных средств безопасности
— В этом нет ничего уникального. Подобное происходит практически во всех индустриях. Это примерно из серии беспилотных автомобилей, автоматических кораблей, умного государства…
Это не просто новый рынок для меня и других компаний. Это новая киберреальность. Нельзя подходить к ней с точки зрения традиционных средств безопасности. То есть сделали систему, шлеп сверху антивирус — и поехали. Это плохо. Это работает медленнее и дороже в обслуживании. Так устроены технологии, которые мы используем сейчас, и они на самом деле все очень старые. Им по 20–30 лет. Их разрабатывали в те времена, когда хакеров не было, и не существовало понятия кибертерроризма.
Первый случай цифровой преступности зафиксирован в Великобритании в конце 1970-х годов, когда запрограммированная хитрым способом ЭВМ отсекала с транзакций мелочь и направляла на счет программиста. И попался он только при уплате налогов, потому что не смог объяснить, откуда, собственно, пришло столько денег? Первые системы и их наследницы изначально надежны, но не защищены (safe, but not secured). Когда кнопки нажимал живой человек, это было не очень надежно из-за вмешательства человеческого фактора, но зато защищено, потому что этот человек абы кого к кнопке не подпускал.
Сегодня необходимо изначально проектировать новые системы на безопасных платформах, где будут развиты обе составляющие. И у нас уже есть клиенты, которые переводят на них бизнес. Начинают, как правило, с малого, частями, потому что никто не готов брать риск по переводу сразу всего и вся. Пример с перекачкой нефти, который я приводил раньше, реализован компанией «Танеко» здесь, в Татарстане.
— Модная тема блокчейна вас коснулась?
Я вполне представляю национальные криптовалюты, но независимые — вряд ли
— Очень красивая тема. Блокчейн с точки зрения криптовалют — одно из гениальнейших изобретений, но, к сожалению, мир к нему пока не готов. Лет через 500 денег не останется, а будут только аналоги того, что мы сегодня называем криптовалютами. Но пока мы живем в современной мировой политической системе, как только криптовалюты начнут представлять ей угрозу, их тут же возьмут под контроль. Я вполне представляю национальные криптовалюты, но независимые — вряд ли.
На пути блокчейна стоит серьезная проблема — квантовые компьютеры. Как только они появятся, вся современная криптография пойдет лесом. Появится квантовая криптография. Для шифрования информации придется использовать квантовые компьютеры, которые изначально будут стоить очень дорого. И современные принципы блокчейна окажутся под угрозой.
— На Finopolis 2016 говорили о создании возможности удаленного открытия счетов в банках, если человек прошел идентификацию в офисе хотя бы одного из них или на сайте госуслуг. Вам нравится такая идея?
Нужно определить некий базовый уровень клиента, чтобы исключить мошеннические схемы
— Лично мне — очень. Но, как безопасник, я сразу начинаю искать слабые места. Например, мне кажется необходимым создание личного профиля клиента, наподобие резюме. Где работает, сколько зарабатывает. Чтобы не было ситуации, когда нигде не работающий гражданин, принесший в банк 1000 рублей, получит возможность открывать счета в десятках и сотнях других. Нужно определить некий базовый уровень клиента, чтобы исключить мошеннические схемы.
— А вы сами пользуетесь онлайн-банкингом?
— Нет. Ни мобильным, ни онлайн. У меня телефон Sony Ericsson C510, на котором нельзя установить соответствующие приложения. Если надо за что-то заплатить, использую кредитные карты. Смартфоны, умные часы и так далее — это пока не мое.
— Опасаетесь?
— Нет, просто мне не нужна функциональность смартфона. У меня есть ноутбук с Windows, где стоит наш продукт. И он уже не раз спасал во время поездок — то на флешке что-нибудь принесут, то в отеле окажется зараженной страница подключения к Wi-Fi.
Я не параноик. Просто очень консервативен в вещах. Этой моделью телефона пользуюсь уже лет десять, наверное. И у меня дома лежит еще один — новенький, запечатанный. Еще лет на десять хватит, а потом, так уж и быть, куплю iPhone 3G.