Сегодня многие говорят, что мир после пандемии COVID-19 никогда не будет прежним. Действительно, коронавирус оказал беспрецедентное влияние на нашу жизнь, ускорив цифровизацию экономики, бизнеса, образования, медицины, торговли и даже человеческого общения. Однако некоторые эксперты считают, что стремительный переход в цифровой формат имеет свои подводные камни. Генеральный директор научно-производственной компании «Криптонит» Вартан Микаэлович Хачатуров рассказал нашему журналу об этих подводных камнях и о том, почему актуальность информационной безопасности сейчас высока как никогда.
Вартан Микаэлович, почему вопрос кибербезопасности сегодня так важен? И какие опасности нас подстерегают в интернете?
Многие задачи, которые компании и государство планировали выполнить в течение пяти-десяти лет, пришлось решить за две недели. Это переход сотрудников на удаленную работу, предоставление всевозможных государственных услуг удаленно, онлайн-обучение. И те решения, которые были в итоге реализованы, вряд ли были глубоко продуманы с точки зрения обеспечения их устойчивости и безопасности. Вполне возможно, даже если сейчас мы не наблюдаем очень масштабных реализованных атак, мы увидим их после того, как пандемия закончится. Мы пока не знаем, сколько новых хакерских группировок закрепилось в инфраструктурах компаний, которые были вынуждены часть своих сервисов предоставлять сотрудникам через интернет, сколько данных утекло на черный рынок и когда они появятся на соответствующих биржах. Сколько еще звонков в Zoom будут выложены на YouTube. Сколько информации, которая прошла через эти звонки, будет использовано для промышленного шпионажа. Сколько людей, вынужденных вести часть своих процессов через интернет, нажали на фишинговые ссылки в письмах. Думаю, это будет впечатляюще.
В таком экстренном режиме построить безопасность невозможно. Но это должно заставить нас задуматься, как нам лучше действовать в будущем.
Есть несколько векторов атаки на организацию c целью проникновения. Наиболее популярный, превосходящий все остальные в сотни раз, — это фишинг. Когда люди взволнованы и общий эмоциональный фон очень нервный, высок шанс, что человек кликнет на ссылку в письме, в котором написано: «Новая информация о зараженных коронавирусом в вашей организации» или: «Это срочно: протестировано новое лекарство». В ситуации общей паники вероятность того, что люди сделают глупость, гораздо больше. Инструменты взлома те же самые, просто тематики меняются.
В условиях пиковых нагрузок остро стоят вопросы устойчивого функционирования интернета. Как бороться с угрозами в условиях бесперебойной дистанционной работы?
Очень любить инженеров своих операторов. Не затягивать с ежемесячной оплатой интернета. Сейчас люди, на которых лежит максимальная нагрузка в этой сфере, — инженерно-технический персонал операторов связи, конкретные инженеры, которые расширяют каналы, ставят новое оборудование, борются с возросшей нагрузкой.
В условиях всеобщего карантина технические службы продолжают выезжать, меняют оборудование, проводят срочные работы. Я, конечно, не сравниваю их с врачами, которым в разгар пандемии было сложнее всех, но работа инженеров — одна из самых существенных, она обеспечивает всю инфраструктуру. Всем будет приятно, если вы напишете письмо в поддержку своего оператора, в котором скажете: «Ребята, спасибо!», и вовремя заплатите за услуги связи.
Как организовать личную безопасность в интернете и снизить риски для компании, в которой работаешь на удаленке?
Это традиционные советы. Если вы используете средства удаленной коммуникации, старайтесь проверить все галочки в настройках этих средств, разобравшись, что они означают. Не паникуйте и не пытайтесь реагировать на любое письмо, которое к вам приходит с заголовком о COVID-19. Не нажимайте на подозрительные ссылки. В случае если в вашей организации не используются защищенные механизмы удаленного доступа, требуйте, чтобы они использовались.
Сейчас отличное время для сотрудников ИТ-подразделений, чтобы проводить учения в компаниях. Например, отправить всем письма с текстом «Нажмите сюда, чтобы проверить себя на COVID-19 через интернет» — и посмотреть, какое количество сотрудников откликнется. А потом еще раз тщательно объяснить тем людям, которые ответили, как они должны вести себя в интернете.
Если вы используете какую-то стороннюю платформу или сервис, нужно убедиться, что они достаточно безопасны, обеспечивают шифрование, причем шифрование из конца в конец. Если вы понимаете, что шифрование не обеспечивается, посмотрите, какой трафик на этой платформе, как он маршрутизируется. В случае с Zoom можно сделать ряд интересных открытий: например, что трафик периодически ходит через китайские сети.
Сотрудники организации должны быть очень аккуратными в том, что они сейчас делают. Не надо обмениваться документами через внешний сервис, если аналогичного сервиса в вашей компании нет или он не предоставлен. Попросите ИТ-службу срочно его организовать. Не пересылайте рабочие материалы через публичные почтовики, если у вас нет доступа к своему.
Пандемия закончится. Те механизмы, которые организованы, необходимо пересмотреть. Может быть, они подойдут как временные решения, но как постоянные они непригодны. Самый большой риск — если временные механизмы станут постоянными, это станет системной проблемой, которую нужно будет решать.
Как показали предыдущие два месяца, высокие риски скрыты не столько в ускоренной цифровизации бизнеса, сколько в ускоренной цифровизации государства. Бизнес справился, а у государства с организацией безопасных сценариев в создаваемом ландшафте на первом этапе возникали проблемы. Задумано все верно, но скорость внедрения была очень высокой — отсюда утечки, большую часть которых мы пока даже не видим. В дальнейшем необходимо трезво оценить все принятые решения, еще раз все проанализировать, уже не находясь в ситуации форс-мажора, когда можно пренебречь какими-то рисками ради скорости.
А какую роль может сыграть фундаментальная наука в борьбе с рисками, о которых вы говорите?
Существенная часть всего, о чем мы говорим, базируется на серьезных фундаментальных научных основаниях. И, к сожалению, сейчас немного тех, кто занимается научной работой, которая продвигает вперед именно фундаментальные дисциплины. Я считаю, что настоящие прорывы происходят именно там, где больше науки, где речь идет о новых алгоритмах, о применении неожиданных математических конструкций из других областей математики.
Вот, например, искусственный интеллект (ИИ). Большая часть людей, которые говорят про ИИ и машинное обучение, используют решения, которые придумали не они.
И Россию с ее научным потенциалом мало видно в околонаучном мире, где эта область развивается. То же самое происходит в других сферах. Это касается информационной безопасности, криптографии, телекоммуникаций. Мы — в некотором роде потребители уже готовых решений. Если говорить о тех, кто эти направления в России развивает именно в фундаментальном смысле, то мы окажемся в очень узком кругу, в котором много университетов, академических институтов, но при этом мало бизнеса.
В то же время, если посмотреть на крупные западные компании, такие как Google, Facebook, здесь много внимания уделяется именно исследовательской работе. Основной поток публикаций в тех областях, которые интересуют Google, — новые алгоритмы, новые реализации и новые открытые продукты, которые они делают и которыми начинает потом пользоваться все сообщество, — идет именно оттуда. А мы в части исследований не очень заметны, и это плохо. Создается впечатление, что научные направления не нужны, а ученые приходят к мысли, что лучше заниматься ими в той стране, где их исследования ценятся. Но настоящий прорыв без таких специалистов невозможен, так как он должен быть на стыке фундаментальных наук и прикладных дисциплин.
Именно эту нишу мы и решили занять, создав компанию, где можем собрать людей с научным складом ума, дать им возможность вести активную научную работу, определяя для них направление. Затем из результатов их работы мы делаем множество прикладных выводов. В основе создания компании было несколько главных идей. Одна из них — привлечение умных и грамотных специалистов, соответствующих духу времени цифрового прорыва и устремления в цифровую экономику, склонных к здоровому скепсису по отношению к «хайпу» в цифровизации.
Вторая идея — вернуть в России моду на науку, уважение к достижениям, которые есть в нашей стране: инженерным, научным, фундаментальным. Все эти достижения в значительной степени сформированы еще в Советском Союзе и с тех пор не прерывались, просто о них мало известно. Когда мы начали глубоко изучать эту тему, говорить об информационной безопасности, телекоммуникациях, у нас возникло понимание, что есть огромное количество наработок, которые могут быть использованы. Это удачно совпало с настроем госкорпораций, нацеленных на коммерциализацию тех знаний, которые у них есть. Сочетание все этих идей легло в основу «Криптонита» — прикладного научно-исследовательского института. Он призван занять место, которое в СССР занимали отраслевые институты.
Тогда в них решались задачи, которые ставила промышленность. За последние 20 лет люди, которые имели к ним отношение, переместились либо в бизнес, занимаясь только прикладными задачами, либо в фундаментальную науку, и мы себя нашли именно в этой недостающей роли посредника.
Идея компании возникла в начале 2018 г. Сегодня у нас работает более 150 человек, из которых 80% — математики, разработчики, специалисты в области информационной безопасности. Мы довольно долго размышляли, как ее назвать. Криптонит — это вымышленный минерал из вселенной DC Comics, единственное вещество в мире, способное ослабить Супермена — канонического супергероя американских комиксов. Это слово настолько прижилось в английском языке, что существует даже выражение you are my kryptonite — «ты моя слабость», синонимичное тому, что мы называем ахиллесовой пятой. Как говорят наши западные коллеги, pun intended.
Какие конкретно исследования ведутся в вашем институте?
На базе нашей компании создан научно-исследовательский центр, включающий несколько лабораторий. Мы выбрали для себя важные направления, в которых разбираемся сами: криптографию, информационную безопасность, телекоммуникации и машинное обучение. Но мы не ограничиваем себя, и в будущем присоединятся другие области — например робототехника.
Лаборатория криптографии занимается вопросами международного взаимодействия, разработкой, адаптацией криптографических стандартов к различным отраслям, в частности к устройствам с низким потреблением энергии, радиочастотным идентификаторам, той сфере, которая называется «стандартизация киберфизических систем». В специализации лаборатории — постквантовые алгоритмы (то есть такие, которые позволят использовать криптографию после распространения квантовых компьютеров), разработка протоколов защиты персональных данных. Таким образом, лаборатория занимается тем, что, с одной стороны, имеет прикладной характер, а с другой — требует научного подхода, чтобы делать это хорошо и безопасно.
В последние годы в мировой науке происходит очень серьезное движение в сторону развития новых постквантовых алгоритмов. Несмотря на то что достоверно неизвестно, насколько реальна возможность создания достаточно производительного и доступного квантового компьютера, ученые думают над тем, как мы будем жить в мире, когда он будет создан. Это перспектива, может быть, 20 лет, но уже сейчас над ней надо думать, чтобы алгоритмы, которые будут созданы для защиты, в том числе от атак с помощью квантового компьютера, были бы безопасными и прошли независимые исследования мировым сообществом.
Лаборатория информационной и сетевой безопасности — кроссфункциональная, она занимается машинным обучением и его применением в конкретных задачах.
В мире, меняющемся практически каждый день, могут возникать новые угрозы и виды атак, и поддерживать традиционную жесткую систему, основанную на статических правилах, очень сложно. Поэтому в последние годы оказалось, что использование алгоритмов машинного обучения в информационной безопасности — это очень хороший способ анализировать те виды угроз, которые нам заранее неизвестны. В этом смысле есть огромное поле для исследования алгоритмов выявления аномалий. Это те задачи, которые умеют решать математическая статистика и основанное на ней машинное обучение.
В чем актуальность проблемы информационной и сетевой безопасности в России? И есть ли, на ваш взгляд, у нас перспективы создания своей национальной системы доступа к интернету и мобильной связи, независимой от других стран? Насколько это важно?
Я не считаю, что мы в этом смысле принципиально отличаемся от всего мира. И эта актуальность везде высока. Погоня за цифровизацией и переносом в цифровую среду все большего количества жизненных процессов приводит к тому, что существенную роль начинают играть традиционные риски. Если раньше какие-то системы были цифровыми, они были полностью изолированы. И даже тогда возникали сложности с информбезопасностью. Сегодня весь мир объединен глобальной компьютерной сетью, все больше процессов критически важных производств оказываются в интернете, происходит постоянный обмен персональными данными. Это создает огромный простор для тех, кто заинтересован в том, чтобы устраивать риски информационной безопасности, атаковать, нарушать, просто развлекаться. Это общемировой тренд. Судя по тому, как растут масштабы и сложность атак, их будет еще больше. И мир, который мы представляем через 10-15 лет, может быть с этой точки зрения мрачным. Актуальность данной темы будет только расти.
Что касается создания национальной системы доступа к интернету, точного ответа у меня на этот вопрос нет. Ценность интернета в том, что он глобален и взаимосвязан. Любая попытка его фрагментировать приводит к потерям со всех сторон. В интернете есть не только информационные войны, атаки, но и сервисы, доступ к знаниям, программам, статьям.
На самом деле в России никто не собирался и не собирается отключаться и создавать национальный отдельный интернет. Дело в том, что, с одной стороны, мы слышим публичные заявления о демократическом подходе к управлению основными механизмами интернета и сохранении его децентрализованного характера; с другой стороны, в этих заявлениях есть определенное лукавство: у интернета есть критически важные части, степень централизации которых довольно высока. И вопрос управления этими ключевыми механизмами важен, поскольку есть некоторые участники процесса, которые склонны периодически использовать свои контроль и влияние на эти механизмы как инструмент геополитики. Мы хотим, чтобы интернет был по-настоящему децентрализован и чтобы он оставался достоянием всего человечества. А значит, и механизмы управления в нем должны быть демократическими, глобальными и прозрачными.
К сожалению, сегодня это не вполне так. Всегда остается вопрос: кто нажимает на кнопку? А ведь эта кнопка есть. Именно поэтому нам нужно обеспечить равные права в управлении, работать в направлении децентрализации основных механизмов интернета с целью обеспечения их устойчивости к различным воздействиям, в том числе политическим.
То же самое относится к мобильной связи. Нет никакой необходимости, да и просто невозможно создавать локальные решения в этой сфере. Это и бессмысленно, потому что теряется огромное международное сообщество, которое тоже работает в этом направлении. Вместе с тем необходимо усилить наше участие и влияние в этом сообществе.
Если вы посмотрите на мобильную связь, то на протяжении 30 лет нас не было видно и слышно в этой области. Мы никак не участвовали в развитии, в написании стандартов, в науке. Хотя, конечно, у нас есть наука, которая все это время занималась базовыми вещами: антенными решетками, алгоритмами кодирования и т.д. Я выступаю за то, чтобы мы были полноправными участниками этого сообщества. Для этого нужно, чтобы нас ценили как людей, способных привнести что-то новое. И тогда не будет никакой необходимости заниматься отсоединением.
Когда речь заходит о том, что нам нужен национальный сегмент, сначала требуется подумать: а зачем? И что нам это даст, а чего мы лишимся? В мобильной связи гораздо важнее владение соответствующими технологиями, чтобы иметь возможность производить свои технологии. А в интернете очень важно наше присутствие на международной арене, там, где происходит ключевое инфраструктурное управление, разработка стандартов. Это движение в будущее. Вот что принципиально.
Какой главный вывод должен быть сделан в области информационной безопасности после пандемии?
После пандемии мы выясним реальное количество успешных атак на созданную наспех инфраструктуру. В спокойные времена всегда надо быть готовым к тому, что они в один момент могут стать неспокойными. И традиционное неправильное отношение к информационной безопасности как к тому, что ни на что не влияет, должно измениться. И если в организации, в государстве не было цифрового удаленного процесса c нужным уровнем безопасности, мы обязательно должны задуматься над тем, как его создать.
Самый главный момент — сколько процессов нам нужно цифровизовать и как это сделать достаточно безопасно. Мы много лет планировали создать собственную платформу телеконференций. Было множество решений, бумаг, выступлений начальников, чиновников, даже, возможно, на это были потрачены какие-то деньги. Стоило наступить событию, когда она срочно понадобилась в огромных объемах, как выяснилось, что у нас нет такой платформы. И львиная доля людей воспользовалась для организации своей работы западными платформами, в том числе Zoom, Skype, которые сразу же «легли» от такой нагрузки. И это сигнал к тому, что если мы не хотим оказаться еще раз в подобной ситуации, то должны готовиться к ней заранее.
Знаю, что вы хотите открыть музей криптографии и вычислительной техники. Расскажите об этом, пожалуйста.
Мне всегда было обидно, что выдающиеся достижения советской или российской научной школы до какого-то момента были закрытой темой и даже сегодня эта область остается в тени.
За рубежом у наших коллег трепетное отношение к сохранению своей истории. Вся их история отражена в художественной литературе, в кино, везде. В США можно приехать в Национальный музей криптографии Агентства национальной безопасности, в Великобритании — в Блетчли-парк, где вы увидите машины, людей, которые это создавали. И у вас возникнет чувство, что действительно здесь есть большая история, которой гордятся.
А куда вы поедете в России? Нам хотелось бы показать, что криптография — уникальная математическая дисциплина, которая всегда была очень тесно переплетена с государством, с международными делами, историями про разведчиков, то есть всем тем, что увлекательно само по себе. Создание такого музея должно вызвать интерес к этой дисциплине и вообще к занятиям математикой. Мы приложим все усилия, чтобы музей открылся в следующем году. К сожалению, все ограничения, связанные с пандемией, нас тоже задели. Строительство сейчас вести сложно. Но проект идет, есть команда, которая работает, есть инвестиции. Музей будет расположен в Москве на территории бывшего НИИ автоматики в Марфине. Людям, которые знакомы с отечественной историей, это здание должно быть хорошо известно. Это здание марфинской «шарашки» на Ботанической улице, у которого длинная история. И этот факт нас очень стимулирует. Мы хотим сделать музей с уважением к памяти места, потому что история, которую хранят эти стены, окна, впечатляющая и одновременно интригующая. Это пространство буквально создано для музея.
■
Беседовала Мария Кравчук
Вартан Хачатуров. Источник: стопкадр интервью портала "Научная Россия"