Интернет-мошенничество в России не сбавляет обороты, а утечки данных продолжаются. Но за несколько лет страна достигла серьезных успехов на пути импортозамещения в ИТ. В интервью ТАСС на площадке форума "Российский промышленник" президент группы компаний InfoWatch, председатель правления АРПП "Отечественный софт" Наталья Касперская рассказала о прогрессе наших производителей, похвалила российскую информационную безопасность и объяснила, что нужно помнить о защищенности личных гаджетов
— Когда вы поняли, что цифровая безопасность станет главным вопросом, который встанет перед человеком сейчас?
— Я занимаюсь информационной безопасностью без малого 30 лет, и я наблюдаю, что все новые технологии, которые появляются, обязательно несут в себе еще и риски. Эти риски либо встроены прямо в технологию — то есть технологии изначально уязвимы, либо они проявляются или становятся известны злоумышленникам уже после того, как технология начинает массово распространяться.
— Риски могут быть встроены в технологии сознательно?
— Да, многие технологии имеют сознательно встроенные уязвимости. Например, удаленное управление. Я думаю, что люди, которые придумали, скажем, интернет вещей, понимали, что они делают это в том числе с целью получения удаленного управления устройствами, куда IoT встраивался. А удаленное управление — это что? Это контроль, возможность выключения. В данном случае эта возможность была заложена заранее.
Я не говорю о специальных закладках, когда в изделия намеренно встраивают вредоносные функции, программные или аппаратные, а то и взрывчатку, как в случае с израильскими пейджерами для "Хезболлах".
Однако чаще всего технология все-таки создается с конкретной практической целью, и уже после этого людям становится понятно, как она может быть использована для нанесения вреда.
Мне до сих пор не попадалось ни одной абсолютно безопасной технологии. В любой информационной технологии есть уязвимости и риски. Просто надо искать их
— Мы на форуме "Российский промышленник", и здесь говорят в первую очередь о различных отраслях. С точки зрения защищенности наших промышленных компаний и тех цифровых продуктов, которые они используют, — что у нас появилось в России, о чем мы можем говорить: "Это наше, и мы тут обеспечиваем безопасность"?
— Когда в стране начался новый виток цифровизации — до этого это явление называлось "информатизация", его основным отличием стало внедрение интернета вещей, то есть внедрение интернет-технологий в привычные системы автоматизации. Основное отличие интернета вещей от информатизации прошлых лет состоит как раз в возможностях удаленного управления.
Конечно, это делалось с целью помочь производителям удаленно контролировать свои устройства, чтобы их вовремя чинить или заменять.
Однако защищенность любой системы считается по ее слабейшему звену. И интернет сейчас как раз и является таким слабейшим звеном. Поясню на примере. У атомной станции очень высокая защищенность, допустим 99,99999%. Тогда как уровень защищенности интернет-систем в 99% считается хорошим, т.е. система, пропускающая максимум 1% угроз, считается нормальной. Это означает, что если мы некритично внедрим интернет вещей в атомную станцию, то защищенность атомной станции упадет в 10 тыс. раз, т.е. на 5 порядков.
Поэтому внедрение интернета в промышленные системы, конечно, не делается в лоб. Обязательно применяются защитные меры. Из самых очевидных — разделение сетей общего пользования и промышленных, они не должны сообщаться. Сохранение возможности физического отключения промышленных сетей. И, наконец, технические средства информационной безопасности. Они — как последний эшелон защиты, потому что, к сожалению, они не все могут защитить. Например, если иностранный производитель внутри своей промышленной системы использует, например, незадекларированные функции, то наружные средства защиты от них не помогут. А в России автоматизированные системы управления технологическими процессами (АСУ ТП) на 90% иностранные. Это означает, что доверия им нет.
Ну а если непонятно, как защитить АСУ ТП, то лучше подождать с их цифровизацией до момента, пока не станет понятно, как можно обеспечить их информационную безопасность.
— Если говорить о киберугрозах, на каком уровне мы сейчас находимся с точки зрения "самостоятельности" в плане систем безопасности и собственной защиты?
— Отрасль информационной безопасности, наверное, самая развитая из всех информационных технологий России. У нас лучшие в мире антивирусы, лучшие системы защиты от утечек, хорошая собственная школа шифрования, оставшаяся еще с советских времен — в стране около 100 компаний по шифрованию. В ИБ России много сильных компаний мирового уровня. К сожалению, наши разработки не могут полностью обеспечить безопасность информационных технологий иностранного производства.
Приведу пример. Иностранные производители АСУ ТП могут отследить, что производимое ими оборудование поставляется, например, на оборонное предприятие, и могут просто прекратить его работу удаленно. Поэтому для обеспечения безопасности государства в целом начинать надо с нуля — с процессора, оборудования, ПО, которое мы устанавливаем.
Государство не случайно ведет политику импортозамещения. Не обеспечив всю технологическую цепочку, невозможно гарантировать безопасность, можно лишь закрыть основные дыры. Хотя на текущий момент даже это закрытие дыр позволило нам обеспечить устойчивость государственных и коммерческих ИТ-систем в условиях беспрецедентных атак 2022 и 2023 годов. Так что можно без прикрас считать, что российская информбезопасность — лучшая в мире, поскольку инфраструктура ИТ РФ тогда устояла.
Но если нам захотят эту инфраструктуру выключить, то до сих пор это во многих случаях возможно, потому что инфраструктура пока — не полностью отечественная
— Как вы оцениваете импортозамещение в самой сфере ИТ в 2024 году?
— Программа импортозамещения в России была начата еще в 2015 году. Основополагающим документом для ИТ стало постановление правительства Российской Федерации от 16 ноября 2015 г. №1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд". Напомню, оно было введено после первых санкций против нашей страны, последовавших после присоединения Крыма.
Не могу сказать, что следующие семь лет госучреждения и предприятия с госучастием ничего не делали, но они точно не особо старались. Было придумано много разумных аргументов, почему не надо переходить на отечественное: от "Мы используем лучшее, что есть на рынке" до "Смена ИТ-систем приведет к нарушению бесперебойности работы".
Потом наступил 2022 год и начался уход иностранных производителей. С этого момента импортозамещение у нас пошло в "режиме ошпаренной кошки". И те же самые предприятия, которые не хотели закупать отечественные продукты на протяжении предыдущих семи лет, стали кричать: "Срочно дайте нам отечественные продукты того же качества и функционала, к которому мы привыкли". Но чудес не бывает — дерево не вырастает сразу, оно начинается с ростка. И там, где эти ростки были слабые, придавленные прессом транснациональных корпораций, теперь приходится ждать, пока они поднимутся и наберутся сил.
В информационной безопасности, к счастью, выросли достаточно крепкие и сильные деревья. А, например, в области промышленного инженерного софта у нас были небольшие компании, которые "подъедали крошки" со стола транснациональных корпораций. Когда иностранцы ушли, заказчики навалились на эти компании с длинным списком срочных требований и доработок.
Но это еще не самая плохая ситуация, потому что тут хотя бы у нас есть производители. А есть области, где у нас вообще нет наработок. Например, языки программирования, платформы искусственного интеллекта и т.п. Их писать надо с нуля, и непонятно, кто это будет делать.
Что касается оборудования для ИТ, то тут ситуация еще хуже. В свое время база микроэлектроники в РФ была уничтожена, и теперь ее надо восстанавливать. А заводы и производственные мощности — это огромные инвестиции.
Тем не менее можно констатировать, что за два года ситуация в плане импортозамещения сильно улучшилась, особенно в тех областях, где у нас были заделы. Дальше нужно системно работать над областями, где у нас заделов нет. В них, к сожалению, без помощи государства очень сложно обойтись. Инвесторы из "частного кармана" не могут финансировать большие, наукоемкие проекты — срок их окупаемости слишком длинный, что просто экономически нецелесообразно для частных инвесторов. Нужно государственное плечо для того, чтобы эти вложения сделать.
В целом, мы далеко продвинулись по импортозамещению, и главное — не сворачивать с этого пути, тогда ситуация будет постепенно улучшаться.
— Назовите, пожалуйста, основные принципы цифровой гигиены, которые люди не соблюдают.
— Я скажу про использование смартфона. Большинство допускает две ключевые ошибки. Первая — люди воспринимают электронное устройство у них в кармане как свое личное. Личным оно не является, оно принадлежит производителю смартфона, а также производителям тех приложений, которые на смартфоне есть. Все эти производители имеют доступ к гаджету, получают с него данные и со всех сторон анализируют поведение своего пользователя. И если вы, например, чиновник определенного уровня — вычислить это несложно, вам можно показывать определенный контент или полностью собирать с вас всю вашу переписку, а дальше на вас влиять.
Вторая ошибка — люди часто позволяют себе общаться через Сеть или мессенджер так, как не стали бы общаться очно. Позволяют себе грубые высказывания, картинки, которые показывать не надо, и т.п. Я уже не говорю про пересылку чувствительной информации.
— То есть им кажется, что они в некоем поле анонимности?
— Да — им верится в анонимность. Но даже сообщение в закрытом чате для друзей или вообще личное сообщение все равно находится в одном клике от того, чтобы распространиться по всему земному шару. Достаточно вспомнить знаменитый случай с одним российским футболистом.
Смартфон — это инструмент публичного общения, это просто надо держать в голове. Мне нравится такое сравнение: писать в смартфон — это все равно что кричать на площади.
Смарфтон и соцсети — не приватная зона и не личное пространство. Если строить политику владения устройством с этих позиций, то можно серьезно снизить свои персональные риски
— Об утечках данных. У нас, кажется, столько населения нет, сколько уже утекло данных граждан.
— Да, за прошлый год утекло 1 121 млн учетных записей. Это 7,5 раз население России. Причем это только те утечки, которые заметил экспертно-аналитический центр InfoWatch. Конечно, часть утечек данных проходит мимо нас. Мы собираем данные только о тех утечках, которые либо утекли в прессу, либо были выложены на ресурсах хакеров.
Такое гигантское число утекших персональных данных означает просто, что одни и те же базы "гуляют" по Сети, многие — по нескольку раз. Это значит, что если в базе InfoWatch описано 656 утечек на общую сумму 1 121 млн учетных записей, то в реальности их еще больше. Например, ваш телефон мог утечь 10 или 15 раз.
А звонящие вам телефонные мошенники строят схемы обмана на основе тех самых утечек персональных данных. Знания о ваших контактах, кредитах, болезнях мошенники используют для разводок. И чем больше информации о вас они сумели получить, тем эффективнее их атаки.
— Можно ли определить, откуда идет вредоносный поток?
— Касательно телефонного мошенничества — около 80% идет с территории Украины. Там есть системно работающие кол-центры, откуда людям звонят и вымогают средства. Это видно просто по тому, как уходят деньги — человек их направляет на определенные счета, откуда средства очень быстро переводятся в криптовалюту и далее, скорее всего, за границу.
То, что пытаются сделать банки, Центральный банк в первую очередь, — это поставить заслон быстрым транзакциям. Они называют это периодом охлаждения. Чтобы человека, когда он просит кредит в банке, просили подождать, подумать сутки о том, нужно ли ему это. Возможно, такой ход сократит число жертв. Однако людей системно зомбируют — [генерал-майор полиции Филипп] Немов из МВД говорил, что их ведомство сталкивается с такими жертвами, которые настолько зомбированы, что даже полиция в очном разговоре не может их переубедить, что против них действуют мошенники.
— Можно сказать, что с этими людьми что-то не так?
— Это в любом случае наши граждане, их защищать надо. Есть незащищенные слои: дети, подростки, пенсионеры. И я считаю, что защищаться от мошенников — не их задача, это задача государства. Есть мнение, что достаточно обучить граждан — и проблема будет решена. Однако у нас сейчас везде — и в метро, и в МФЦ — лежат разные брошюрки на тему того, как отличить мошенников. А число преступлений неуклонно растет. Мошенники ведь тоже не спят и все время придумывают новые схемы.
Граждан дезориентируют, создают на них давление, чтобы они в условиях ограниченного времени быстро принимали решения, и они принимают их неправильно. На той стороне работают профессионалы в области психологии, которые придумывают схемы "разводки" и передают их в кол-центры, в которых мошенники действуют по этим схемам — и эти схемы работают.
— Какой вы могли дать совет людям? "Не верить никому", допустим?
— Если сомневаетесь в себе, лучше вообще не отвечать на звонки с незнакомых номеров, это самый простой совет. Вот что вы можете пропустить, не взяв трубку? Рекламу, наверное.
Но если уж вы сняли трубку, по крайней мере нужно держать ухо востро, как только речь заходит о деньгах. В этом случае, скорее всего, на той стороне люди, которые хотят у вас эти деньги выманить
Я сама сталкивалась с такими звонками и удивилась проработанности схемы. Мне позвонили от имени дочери, очень реалистично представили ситуацию, так что я почти поверила услышанному — до того момента, как мнимый лейтенант полиции (на той стороне работали двое) не задал мне вопрос: "В каких банках у вас счета?" Я ответила: "Во всех" и выдохнула.
Кстати, если звонят от имени родственника, то хорошо бы иметь на этот случай проверочный вопрос. У нас такой в семье есть. И как только речь зашла о деньгах и счетах, я задала этот вопрос мнимой "дочери", она начала уворачиваться и трижды не ответила. Тогда стало окончательно понятно, что я имею дело с мошенниками.
— Какие два главных события в 2024 году вы можете выделить?
— С точки зрения программного обеспечения — произошло сближение между производителями программного обеспечения и крупными заказчиками. В 2022 году заказчики не знали, существует ли вообще российский софт, а теперь у них уже конкретные требования доработок.
С точки зрения бизнеса InfoWatch — на рынке появилось понимание необходимости защиты АСУ ТП, которого раньше мы не наблюдали. И резко вырос интерес к межсетевым экранам. Раньше у нас эту тематику закрывали полностью иностранные производители, а сейчас в этом сегменте есть порядка 10 российских производителей, и это уже решения, которые вполне можно использовать. За два года произошло серьезное продвижение в этой области.
— Что бы вы попросили у Деда Мороза на 2025 год?
— Я бы попросила о том, чтобы нам просто дали спокойно работать. Все остальное мы сами сделаем, без помощи Деда Мороза.
— Что вы думаете по поводу возможностей наших ИТ-компаний с точки зрения международного сотрудничества? Надо ли этим вообще заниматься в текущих условиях?
— Безусловно. Современные информационные технологии практически все имеют возможности удаленного управления, которые использовались транснациональными корпорациями, по сути, для технологической колонизации отсталых стран. К сожалению, Россия до сих пор является цифровой колонией, хотя мы и сильно продвинулись в направлении освобождения от зависимости.
В мире же цифровой разрыв между странами, могущими разрабатывать свои ИТ, и теми, кто не может, неуклонно расширялся. Последние отстают все больше, а следовательно, впадают все в большую зависимость от иностранных решений. Почему? Да потому, что у них нет кадров, людей, ресурсов, знаний, университетов, разработческих компаний, то есть нет экосистемы для производства технологий. И они вынуждены все импортировать.
2022 год нам показал, что западные импортеры могут просто уйти с рынка, несмотря на подписанные контракты и обещания. И Россия является прекрасным примером устойчивости после подобного исхода. У нас протяженные границы, и наши соседи видят как поведение якобы надежных ИТ-брендов, так и устойчивость России.
А это значит, что России есть что предложить таким странам — технологии, методики разработки, алгоритмы, обучение. Я знаю, что многие российские производители готовы открывать исходные коды своих продуктов. Это дает маленьким странам, не имеющим собственной ИТ-инфраструктуры, шанс. Надо нам просто громче заявлять о таких возможностях.
Что же касается международного сотрудничества в более широком смысле, то другим его аспектом может стать создание альянсов по разработке тех или иных технологий. Например, производство ИТ-оборудования и процессоров не является сильной стороной России. Наша сильная сторона — разработка программного обеспечения. Но если мы объединимся, скажем, с Китаем, с которым нас все время "сталкивают в друзья", то мы сможем закрыть практически все сферы ИТ.
И это может стать альтернативой тем самым транснациональным корпорациям, которые пытались захватить все технологическое управление миром
Комментарии
Вот для этих слов не может быть слишком частого повторения.
секрет полишинеля.
Тоже самое касается и ПК и ноутбуков и всего, что имеет доступ в сеть.
Иногда важно "проговорить". Понятным для всех образом. Так, чтобы и я осознал, не просто понял :)
Бесполезно. Опыт десятилетий это показывает. Осознанием человек там не работает (ни в компьютере, ни в смартфоне). Если ему что-то УДОБНО, он все эти умные мысли мгновенно отбросит, как наваждение.
Да в общем-то всем по барабану "безопасность".
"Встал с утра - авторизуйся в ЦРУ (через Whatsapp, например)". Именно такую фразу я пользователям говорю. Стандартный ответ: "Ой, да нужны мы этому ЦРУ". Big Data не укладывается в человеческой голове. Просто не может человек силой мысли противостоять всей этой махине. И не хочет, пока смартфон не взорвется, как в Ливане. Но потом раны заживут, и по новой... Я уверен.
А сколько закладок!? Кто знает? Была бы очень нужна безопасность, давно бы работали на ПО, рекомендуемом FSF, и компилировали бы систему с нуля, лично под себя. А так этого даже сисадмины не делают. А Касперский - это не окончательное решение, да и вообще почему ему нужно доверять, если подумать. Но не будет такого никогда.
Мы быстрее окажемся в матрице и все будут довольны, прежде чем наступит "цифровая гигиена".
на самом деле, всё проще. Достаточно иметь в голове понимание - что любая (!) электроника - это досье на вас у товарища Майора. И не важно, где это всё авторизуется. Этой простой мысли досточно для информационной гигиены.
Я бы все-таки уточнил: любая электроника, имеющая выход в глобальную сеть.
Если иметь компьютер без выхода в интернет, иметь скромный набор софта, прошедший аудит и не светить монитор в окне, то "товарищу Майору" сложновато будет до информации добраться. Электромагнитные поля ловить?
спорить не буду. Мы, обычные люди, спецслужбам не интересны. Но. Нужно всегда помнить про историю с прослушкой посольства США в 1951 г. Если не в курсе, почитайте, очень рекомендую. («Уши» Сталина в посольстве США: как пионеры подарили американцу герб с «жучком»). Это 1951 год. Сейчас 2024. Надо понимать, что технологии улетели вперед настолько, насколько нам сложно представить. Но кое-что просачивается. Поэтому - вся электроника это будущее досье на вас, нужно держать это в голове))
дубликат. Написал выше.
Лопнет государство от усердия. На каждом водоёме спасателей не хватит, самим нужно соображать, где купаться, а где -нет.
Да-да. "Кто не впишется я не виноват"
…особенно в ситуации отсутствия физической возможности сделать «неправильный» с точки зрения заказчика схемы выбор.
Над чем (обеспечением возможности) и предлагается поработать.
Аж в рамочку хочется повесить.
Озаботился вопросом, как удалить программы спецслужб , практически никак. Надо прошивать, а нет возможности. Так что просто не наблюдаю, как айфон пару раз в кирпич полностью разряжали, и так же давали заряжать. Сейчас от сети заряд идёт чуть за 50% и потом вниз. Как то борюсь, не скажу как, обходы.
А как вы нашли эти программы? признаки?
Один смартфон раннее уже полностью стал кирпичом, выбросил. Ноутбук, явные следы внешнего управления - курсор сам бегал, демонстративно. Откатывал несколько раз, не помогало надолго - я же в общественной сети. Был смарт Самсунг, там удалось выявить, при откате, точный размер левой программы, 300 с чем-то кб.
Сейчас айфон, был нормальным, заряжался на 100%, а как стал критические заметки у себя в вк писать, то перестал. Обхожу, при выключенном заряжается на 100, но не при включенном.
Никак не удалишь, это в т.ч. в прошивке модуля связи
Спасибо. А вот прочитал, если запустить виртуальную модель, тоже без бесполезно?
Сегодня пришла СМСка от Совкомбанка на дистанционный кредит. Это сознательно сделанный ход для мошенников. Почему Дума не запретит безналичную выдачу кредитов? Стараются для толстосумов, чтобы из-за границы добром управлять?
Принят закон, НЯЗ, который запрещает дистанционную выдачу кредитов банками клиенту при наличии заявления клиента о запрете такового.
Вступает в силу в первые месяцы 2025 года На всей территории РФ.
В некоторых банках уже можно прийти лично и оставить заявление о выдаче кредита только при личном визите в банк.
Заявление в каждый банк отдельно надо писать? А если кто-то не написал (например, не знал о такой возможности), то ему кучу кредитов "впарят"?
Да, до вступления в силу закона, писать в каждый банк отдельно, если у банка есть такая опция.
Не знал, не написал - сам виноват!
Всегда найдётся банк который не получил уведомление.
С марта 25го можно будет оформить самозапрет на выдачу кредитов без личного участия.
Ага, только будет как с Росреестром. Подписанное с ЭЦП = личное участие (присутствие). Очередная дыра.
"А есть области, где у нас вообще нет наработок. Например, языки программирования, ..."
Имеется ввиду, что в софте типа Visual Studio на этапе компиляции, например, текста на фортране, уже может быть внедрена закладка, активируемая при запуске экзешника и внедряющая вредоносный код, позволяющий удаленный доступ к ПК специально обученным людям?
написанный вами текст на фортране будет скомпилирован верно, будет выполнена та или иная оптимизация - запрошенная вами, вставлена или нет отладочная информация, как запросили вы.
Однако, ваш текст, скорее всего, будет нежизнеспособен без среды исполнения, которую формируют различные библиотеки, которые вы указали для сборки.
И вот, что в этих библиотеках, неизвестно. Неизвестно в том плане, что практически любой импортируемый вами внешний модуль был написан неизвестным коллективом, который 10% написал сам, а остальные 90% взял из чьих-то готовых наработок. И вот уже там могут быть как умышленно добавленный функционал, умышленно вставленные уязвимости.
И в результате вроде текст на фортране ваш, а функционал, в итоге - нет.
Ну и сам гцц нужно проверять. Иногда.
Не задумывался над такой деталью.
Спасибо
Если говорить о VS, то .NET - открытый проект, исходники системных модулей доступны. Также (если не применялась обфускация кода) можно сделать реверсинженеринг. Т.е. если сделан свой компилятор JIT, то платформа .NET относительно безопасна в плане закладок (это касается любых платформ с jit компиляцией)
все дело в деталях
Делаете, вы, примеру бота телеграм. Там простой вроде протокол, но если реализовывать плюшки, то там будет и клавиатура, и миниигры, и, может, платежи. Конечно, можете сами сесть и написать обработку - но это а - объём писанины и б - почти наверняка - упрощение, которое потом может заставить вас переделывать. А можете взять и использовать внешнюю библиотеку, обрабатывающую все эти случаи.
В больших проектах ваш код может интегрировать несколько десятков готовых сервисов. Очень непросто убедиться, что там нет побочных эффектов.
Конечно, может быть всё ок и ваше приложение будет работать честно. А может и нет, и узнаете вы это вовсе не первым.
но конкретно в описанном мной случае можно влезть в исходный код практически всегда и поискать хотя бы топорное if кацап then нагадить. Имхо, нужна отдельная госструктура проверки и свой репозиторий библиотек
Если даже во FreeBSD в 2014 году закладка обнаружилась.
Во Фре! Стерильно чистой. И она всегда там была. Тихо-мирно спала. пока Крым не наступил.
Для Дельфей был такой вирус, после сборки приложение получалось зараженным, один раз схватил такое
Правильнее сказать, что использовать смартфон по важным делам, это как ходить по площади без штанов.
Не согласен. Ходить по площади без штанов - куда безопаснее в плане последствий.
А есть варианты не использовать?
По многим пунктам у неё профдеформация.
Ну, утёк, допустим, номер телефона с паспортными данными - дальше что?
Хохлы из колл-центров знают моё ФИО, номер телефона и прочее. Но ничего отжать неспособны, печалька.
Узнают, когда вы уйдете из дома, и нагадят в тапки, например. Тут же можно использовать и уязвимые сервисы операторов связи!
Но так то да, если лично вы никому не интересны - этим заниматься не будут. Или будут.... Но другие.
Можно вообще скрыться в тени. Как мышь.
И никто вообще о тебе ничего не будет знать. (Только тихо, это я по секрету).