Завтра в мире IT-безопасность и как можно её обеспечить

Программу "Завтра в мире" ведёт Лариса Катышева.

Гость в студии – директор Координационного центра доменов .RU и .РФ Андрей Воробьёв. Он рассказал о том, что такое IT-безопасность и как можно её обеспечить? Чем сегодня занимается Координационный центр доменов .RU/.РФ. Как работа Центра влияет на информационную безопасность российского Интернета? Как специалисты обнаруживают домены, которые используются неправомерно и как борются с ними? Как обращаться с персональными данными граждан России?

С вами мы будем говорить о безопасности. Новые возможности, которые нам даёт современный мир, часто оборачиваются или на самом деле должны сочетаться с определёнными угрозами. Вот так устроен мир, они сочетаются. И мы должны не только пользоваться современным комфортом, но и учитывать все вопросы безопасности, о которых сейчас говорят всё чаще и чаще. Что вы думаете, что сейчас происходит?

А. Воробьёв: Это действительно так. Сначала мы говорили о том, что нам нужно повсеместное внедрение интернет-технологий. И как-то забывалось немного о том, что само по себе повсеместное внедрение приведёт к тому, что придут вместе с широким распространением этих технологий злоумышленники, которые в виртуальном мире точно так же, как и в реальном мире, будут искать способы обогатиться, потроллить кого-то и остаться безнаказанным, устроить какие-то не совсем хорошие акции, иногда очевидно противоречащие закону, а иногда нет. Иногда закон не описывает то или иное действие, которое позволяет сегодня пользователям делать сеть. Оно просто никак не регламентировано законом. И здесь уже мы видим, что повсеместное распространение интернет-технологий приводит к тому, что государство начинает регулировать те отношения, которые возникают в связи с использованием Интернета. И речь уже в программе, даже той же программе "Цифровая экономика", идёт о повсеместном, но безопасном использовании Интернета.

А такое бывает – повсеместное, но безопасное? Это же утопия.

А. Воробьёв: Конечно, нет. Это идеал, к которому надо стремиться. Мы понимаем, что любая история борьбы с хакерами, с фишерами, которые выуживают данные кредитных карт и получают доступ к деньгам интернет-пользователей, – это вечная технологическая борьба. Притом государство, те компании, которые ведут социально ответственный бизнес в Интернете, они всегда вторые в этой гонке. Потому что все равно сначала приходит мошенник, который что-то придумывает. Дальше обнаруживается дыра в безопасности, и затем все придумывают, как это дыру залатать и, соответственно, не допустить новую. Это вечная гонка.

Как в игре "казаки-разбойники", когда разбойники всегда впереди…

А. Воробьёв: Конечно, так и в виртуальном мире, в мире интернет-технологий. Плюс не надо забывать ещё о том, что нам необходимо обязательно резервировать все данные. Потому что, помимо злоумышленников, есть технологические аварии, есть то же самое отключение электроэнергии. И мы помним, как в 2005 году Москва пережила блэкаут из-за того, что был пожар на подстанции Чагино, и половина столицы России была без Интернета. Потому что на тот момент у многих провайдеров была одна точка подключения с другими операторами связи, и, соответственно, никто не думал о резервных каналах связи. Естественно, этот опыт научил. То есть, вроде бы все в теории знали, что надо бы иметь резервирование, но никто этого не сделал или мало кто сделал. Соответственно, после конкретной реальной ситуации, положение дел начали исправлять.

Сейчас тема безопасности в области информационных технологий, применения этих технологий у государства, потому что государство сейчас активно применяет IT-решения для общения с населением, для решения каких-то своих внутренних задач, общения между ФОИВами, выходит на первый план. Как вы оцениваете, достаточно ли серьёзно смотрят сейчас на вопросы безопасности? Или пока "наслаждаются" новыми возможностями, которые даёт цифровой мир?

А. Воробьёв: Нет. Этап, когда просто наслаждались и не задумывались, наверное, прошёл. Да и то только ФОИВы, например, переходили или органы власти переходили не просто к возможности общения с населением, но и принимали вопросы через сайт и давали ответы через сайт. Вот здесь просто наслаждались. Там было не страшно, если кто-то взломает систему управления контентом сайта и получит права администратора. Ну и что? Он увидит список вопросов и список ответов.

Другое дело, когда перетекли базы данных, когда перетекла информация, например, с историями болезней, которые мы уже видели, на рынках появлялись диски с подобного рода данными, которые, естественно не должны были там никоим образам появиться. И вот здесь уже вопрос о том, насколько сохранны данные наших пользователей, да и вообще, кто ими должен распоряжаться и кто должен контролировать их использование, встал в полный рост.

И не просто так работает сегодня рабочая группа по "большим данным" (big data). Пока ещё нет чёткого ответа на то, как вообще это защищать, как этим распоряжаться даже на международном уровне. На европейском уровне только-только появился документ, который вступает в силу в мае 2018 года, который действительно огромные требования предъявляет к операторам персональных данных, персональных данных не в нашем понимании, у нас они очень чётко прописаны в нашем национальном законодательстве, а, по сути, ко всем личным данным пользователей. Это много лет работали европейские коллеги, и я думаю, а сейчас у нас эксперты работают, в том числе Института развития Интернета, что рано или поздно мы увидим законодательные инициативы, связанные с регулированием личных данных пользователей и с их надёжной защитой.

По шкале от 1 до 10, насколько сейчас надёжно защищены данные наших граждан?

А. Воробьёв: Смотря, какие данные. Надо понимать, что все равно все данные, так или иначе, защищены. У нас операторы персональных данных делятся на категории. Как известно, самые секретные сведения там, где вообще нет у компьютеров доступа к сети Интернет. Как было это основное требование, так оно и есть.

Что касается, например, данных банковских карт, то здесь проблема не в том, что банки недорабатывают и не защищают, проблема в компетенциях наших цифровых пользователей, потому что карты банковские уже у всех на руках, начиная от студента, а иногда и школьника, и заканчивая пенсионерами. Как правильно ими пользоваться в Интернете, а не просто использовать карту только для получения зарплаты, когда снимаешь все деньги в банкомате. Хотя в этом случае это тоже достаточно надёжная защита. А вот если человек начинает пользоваться активно электронными платежами, электронными сервисами, то он очень часто из-за того, что он просто элементарных правил финансовой безопасности в Интернете не знает, как раз становится хорошей добычей для финансовых мошенников в сети.

Как от них уберечься?

А. Воробьёв: Работа идёт по разным направлениям. И интернет-бизнес, который занимается онлайн-транзакциями, и государство, и система образования – все сейчас уже об этом думают. Есть единые уроки безопасного Интернета. Они появились не так давно. Общефедеральный уровень у них стал по инициативе Совета Федерации. Сенаторы решили, что их надо поддержать на глобальном уровне. И вот то, когда раньше приходили эксперты интернет-компаний и просто какие-то лайфхаки (полезные советы) давали школьникам о том, как уберечься от мошенников  в Интернете, – теперь уже есть некая программа проведения этих уроков. Поняли, что уже мало проводить один раз в году такой урок, что нужно включать эту информацию чаще. Тем более она наработана, интернет-компании с удовольствием делятся всем тем, с чем они борются. Они поборолись и поняли, как это можно донести до пользователей, как можно предвосхитить наступление такого события, как, например, кража денег у потребителя. Соответственно они готовы рассказать это уже старшеклассникам. И с удовольствием это делают, пишут методические материалы, их уже даже утверждают на уровне Министерства образования и внедряют в школьную программу.

Сейчас серьёзно встал вопрос о том, как включить эту дисциплину в тот же ОБЖ (Основы безопасности и жизнедеятельности) или в какие-то другие предметы.

Очень хорошая идея! А почему бы и нет? Это часть современной жизни.

А. Воробьёв: Мы, со своей стороны, как регистратура национальных доменов, конечно, тоже заинтересованы в том, чтобы не использовались домены в национальных доменных зонах для правонарушений.

У нас есть целый ряд компетентных организаций. Это и государственные организации, то есть ФинЦЕРТ Центробанка (это центр реагирования на финансовые преступления в Интернете), который выявляет мошеннические интернет-ресурсы очень оперативно. И у нас ежемесячно блокируется несколько сотен доменов в зонах .RU и .РФ как раз по основанию, что там фишинговые атаки происходят. Как только наши компетентные организации выявляют подобное правонарушение, в досудебном порядке домен блокируется. Потому что, обнаружив фишинг, не надо ждать, чтобы подать заявление в полицию, когда затем управление "К" передаст это дело в суд, суд признает кого-то виновным. Естественно, за это время будет много денег своровано. Вот для того чтобы это происходило, разработан механизм саморегулирования для немедленной блокировки.

Сейчас уже существует законодательная инициатива, Министерство связи и массовых коммуникаций её прорабатывает, чтобы наделить полномочиями тот же ФинЦЕТР для того, чтобы блокировать не только домены в зонах .RU и .РФ, но и во всех других доменных зонах, где выявляется фишинг.

Какие впереди решения, идеи? Что сейчас обсуждается?

А. Воробьёв: Самое интересное, что вызывает гордость, то, что реализовано у нас в российских национальных доменах, это результат работы Института и компетентных организаций, – проект "Нетоскоп", который позволяет анализировать информацию об использовании доменов в противоправных целях и понять, какие ещё домены могут в ближайшее время подвергнуться атакам или же, наоборот, быть использованы, что даже их владелец не будет знать, что вирус распространяется через тот или иной сайт, через тот или иной домен. Вот проект "Нетоскоп" собирает информацию со всех крупных игроков рынка, все туда передают то, с чем они столкнулись, а это такой единый аналитический центр.

И, соответственно, аналогичный проект сегодня запускает международная корпорация ICANN, но он уже будет распространяться на все доменные зоны мира. А их уже больше 2000, с учётом того, что появилось с 2014 года: очень много доменных имён верхнего уровня. Но это мы говорим сейчас про доменную индустрию. Да, она, хоть и большая, но все равно это инфраструктурная часть, Интернет сильно шире.

И если говорить об угрозах и, соответственно, ответах на эти угрозы, то здесь необходим, и все уже это понимают, и, в общем-то, в стратегии информационной безопасности это тоже прописано, необходим некий единый центр реагирования на компьютерные инциденты, который будет и аналитическим центром и, соответственно, разрабатывать планы мероприятий, которые позволят предугадать ход мыслей мошенников, что они ещё могут придумать, или, соответственно, защититься от крупных атак.

Полностью беседу с гостем программы слушайте в аудиофайле.