Ночные кошмары.

Недавно прикинул сколько интервью с прессой у меня случается каждый месяц. Раз на раз не приходится, но в наиболее «жаркое» время это число добивает до 70. И это только «голосовых», т.е. при личной встрече или по телефону. Сколько с учётом e-mail интервью – вообще страшно подумать.

Но я ни разу не жалуюсь. Наоборот – я обожаю это дело. У Брэнсона есть одно правило: «Если в дверь постучался журналист CNN — бросьте всё и дайте интервью». И следую я этому правилу неспроста. В совсем небольшом проценте интервью имеешь дело с очень въедливыми и хорошо понимающими тему журналистами. Они за час буквально вынимают душу. Это самые тяжёлые и самые полезные моменты. Потому что в такие встречи мозг начинает работать, думать нестандартно, смотреть на обычные вещи с другой стороны. Причём даже по окончанию интервью работа по инерции продолжается и, порой, выходишь на очень интересные идеи.

Один из самых распространённых вопросов: самые актуальные проблемы IT-секюрити. Читай: какие профессиональные ночные кошмары меня мучают :) И это не только вопросы журналистов. Тема постоянно поднимается практически на каждой специализированной IT-конференции. Так вот: как обещал представляю список пяти главных проблем IT-секюрити в широком понимании этого слова. Известия уже опубликовали сжатую версию. Тут же будет без лирики, но максимально развёрнуто. И сразу скажу – у меня нет ответов на все вопросы. Задача этого поста – обозначить проблему, начать думать над ней самому и вовлечь в процесс всех заинтересованных, неравнодушных и сочувствующих.

Итак:


ПРАЙВАСИ, которой нет.

Решил оставить английский вариант этого феномена. У русского «частная жизнь» слишком широкое толкование. А «прайваси» среди Интернет-аудитории уже прочно ассоциируется прежде всего с неприкосновенностью частной жизни в Сети.

На самом деле, угроза прайваси уже перешла на качественно другой уровень. Всё больше пользователей начинают понимать, какой огромный объем информации о них хранится в Интернете. Начиная с добровольной передачи данных о себе различным интернет-сервисам, информацией о всех авиаперелетах, использовании банковских карт, передвижениях по улицам крупных городов, телефонных разговоров, электронной переписке и т.д. Вспомните хотя бы ситуацию с утечкой текстов SMS пользователей «Мегафона» в поисковую выдачу Яндекса! Объём информации, который аккумулируется в глобальной сети о каждом из нас, чрезмерен и может представлять огромную опасность не только для каждого человека, но для национальной безопасности некоторых государств. Поэтому сбор и хранение информации, которая накапливается в результате деятельности пользователей, обязаны законодательно регулироваться. И для этого не стоит изобретать велосипед – я бы советовал поступать по образу и подобию того, как мы живем в офлайн-мире. Так, например, интернет-сервисы не должны иметь право требовать от вас приватной информации, если подобные услуги можно получить в обычном мире без предъявления этих данных.

А кто считает, что в Интернете осталась неприкосновенная частная жизнь, то рекомендую почитать вот это.

ИНТЕРНЕТ-ПАСПОРТ как единственное средство спасти демократию.

Эта тема уже поднималась на нашей декабрьской итогово-прогнозной пресс-конференции. Теперь подробнее.

Банально говорить, что молодое поколение отличается от нас. Но ведь они вообще другие! Они живут и мыслят по-другому, уже не могут представить этот мир без технологий – мобильного телефона, интернета и т.д. Они уже живут в онлайне и будут жить там всегда. И никогда(!) не будут участвовать в голосовании, если для этого нужно, что называется, пойти ногами. Они будут голосовать только в том случае, если им предложить систему онлайн-голосования. А для этого вначале необходимо ввести работающую систему интернет-паспортов. Чего, как вы и сами знаете, у нас сейчас нет.

Отсутствие интернет-паспортов приведет не только к тому, что молодое поколение прекратит голосовать. Конфликт отцов и детей, конфликт поколений вырастет в принципиальное противостояние: огромный пласт населения – самого молодого и активного – окажется абсолютно отрезан от принятия политических решений. Политическая власть будет отражать интересы только предыдущих поколений –  так называемых Digital Immigrants, а не Digital Natives. При этом политическая активность молодого поколения, конечно, все равно будет пробиваться «к свету» – и чем дальше, тем более протестной она будет. Что может привести к революциям и краху демократических режимов.

Поэтому задачу разработки и внедрения безопасных цифровых ID, или паспортов, я считаю на сегодняшний день одной из самых важных. Радует лишь то, что техническая реализация этой задачи очень даже возможна.

Было бы логично перевести на биометрические интернет-паспорта только те сервисы и службы, которые и в обычном мире требуют физической идентификации пользователя: банковские сервисы (в случае операций, при совершении которых у вас и так попросили бы паспорт), регистрация на рейс в аэропорту и т.п. Если же в физическом мире в идентификации нет необходимости, то этого не должно быть и в Интернете: скажем, при покупке книг в онлайне или переписке с друзьями вы не обязаны использовать паспорт. Есть и «средняя» зона идентификации – сервисы, которые требуют не ваши ФИО, но, скажем, прохождение возрастного ценза: при покупке алкоголя или табачных изделий, доступе к «взрослым» ресурсам и т.п. И поддержка анонимной «срединной» идентификации технически также возможна.  

СОЦИАЛЬНЫЕ СЕТИ как инструмент манипулирования общественным мнением.

В любом обществе, в любой стране есть конфликты – пусть даже спящие. Можно ли с помощью соцсетей перевести их из спящего режима в активную фазу? Да легко! Особенно если учесть, что большая часть пользователей соцсетей – молодежь с явной и активной гражданской позицией.

Подумайте сами. Сегодня мы получаем информацию из множества источников, среди которых: ТВ, радио, газеты и – теперь уже – социальные сети. Однако насколько соответствует действительности опубликованная информация? Если говорить про традиционные СМИ, то их деятельность регулируется на законодательном уровне. Так, если журналист публикует недостоверную информацию или занимается провокацией, то рано или поздно его издание понесёт ответственность. Плюс ко всему, на подкорке всегда маячит вопрос репутации. В соцсетях же не всегда известно, кто скрывается за тем или иным ником, а потому нет того осторожного отношения к публикуемой информации. И с этой точки зрения социальные сети могут быть отличной платформой для анонимного манипулирования массами, местом для распространения слухов, провокаций и дезинформации населения.

Теоретически, а может и практически, соцсети уже используются для того, чтобы дестабилизировать обстановку в обществе. Во всяком случае, это было бы очень логично. За примерами далеко ходить не надо: вспомним арабскую весну, американское лето, британскую осень и русскую зиму. Примерно как во время войны с самолетов сбрасывали листовки на территории противника, так и сегодня соцсети могут использоваться для проведения похожих акций.

Проблема очень серьезная. Китайский метод ее решения, а именно – регистрация всех пользователей в соцсетях по удостоверению личности – это, пожалуй, перебор. Однако найти золотую середину, при которой бы гарантировалась свобода слова, анонимность, и в то же время – невозможность манипуляций массовым сознанием – очень непросто. Это та самая проблема, на которую у меня нет ответа.

КИБЕРПРЕСТУПНОСТЬ, о которой так много говорят.

Киберпреступность глобальна. Не исключаю, что урон от деятельности киберпреступников измеряется сотнями миллиардов долларов в год. Правда, нельзя не отметить, что правительства различных стран наконец-то начали конструктивный диалог по этому вопросу, активизировались международные проекты и региональные национальные киберполицейские подразделения. Так, в ООН уже не первый год работает подразделение IMPACT, а Интерпол анонсировал открытие в 2014 году в Сингапуре специального Отделения по борьбе с киберпреступностью.  Поэтому, даже если проблема киберпреступности не будет решена полностью в течение следующих нескольких лет (что вряд ли, конечно), то киберпреступники хотя бы будут чувствовать себя куда мене комфортно, чем раньше. В отличие от зачинателей кибервойн.

КИБЕРВОЙНЫ.

Общепринятого и устоявшегося определения военной либо террористической кибератаки пока нет. Я понимаю под кибервойной атаку на системы, критически важные для национальной и глобальной экономик, а также для национальной и глобальной безопасности, с целью ослабления военного потенциала, нанесения существенного урона деятельности государств, государственных учреждений, критической инфраструктуры. И если вы считаете, что подобные угрозы – нечто из области научной фантастики, то вынужден открыть вас страшную правду: все это реально уже сегодня.

Первая из подобных целенаправленных атак, случившаяся в 2007 году, носит более и менее «безобидный» характер (если здесь в принципе применимо это слово). Возможно, вы помните историю о том, как в результате DDoS-атак на эстонские сайты вся страна оказалась отрезана от Интернета.

Однако уже в 2010г. мир узнал о втором – и на этот раз чрезвычайно серьезном – случае целенаправленной атаки. Компьютерный червь Stuxnet смог проникнуть в сеть иранского ядерного объекта и нарушить работу компьютерной индустриальной системы таким образом, что произошло физическое разрушение центрифуг по обогащению урана. При этом компьютерная сеть данного объекта была физически отключена от Интернета. Дальше новости с кибервоенного фронта начали поступать с тревожной частотой. Последняя «находка» червь Flame наглядно показал насколько высок сегодня градус кибервойны в мире. И у меня нет сомнений, что за всеми этими атаками стоят правительства.

В чём опасность кибероружия? Не буду повторяться: смотрите недавний пост. Остановлюсь на выводах.

Самое опасное — непредсказуемый побочный эффект. Сценарий: некое кибероружие, нацеленное на определенный индустриальный объект, будет не в состоянии точно вычислить свою жертву. Либо по причине недоработок в алгоритме, либо по причине банальных ошибок в коде. И в результате нападения жертвой будет не только конкретный объект – условная электростанция, – но и все электростанции мира, построенные по тому же проекту. Эффект бумеранга.

Защититься от подобной атаки в современных условиях практически невозможно. Для этого нужно переписать весь софтверный код на базе безопасных операционных систем. Понятно, что это физически невозможно, да и потребовало бы громадных бюджетов. Боюсь, ни одна экономика современного мира не может себе позволить такие инвестиции в IT-безопасность.

Поэтому сегодня эту проблему необходимо решать так же, как были решены проблемы с химическим, биологическим и ядерным оружием в прошлом. Необходимо международное соглашение о сотрудничестве, нераспространении и неприменении кибероружия. И ответственность за реализацию этого проекта должна взять на себя независимая международная организация – некое КиберМАГАТЭ, возможно, в рамках ООН.

Я верю, что рано или поздно государства поймут всю опасность подобных мероприятий и откажутся даже если не от разработки, то хотя бы от применения и распространения кибероружия.

Прочитать комментарии 10
Комментарии 4 Оставить заметку

    Alexey

    Интернет-паспорта приведут не только к хорошим вещам. Я более, чем уверен, что интернет-паспорта потихоньку привяжут абсолютно к любой активности в сети.
    Часть считает, что анонимность нужна только лишь криминалу. Я с ними не согласен. В текущем далеко не правовом(и местами цензурируемом) поле анонимность нужна многим. Иначе будет новый дивный мир. Так и до сроков за мыслепреступление не далеко.

    yeon256

    Интересно, на что способен COPM^^

    linewatch

    Ого, у Е. К. уже 212 тысяч лайков на Facebook, народу нравится

    Александр

    Проблемы безопасности в сети последнее время действительно актуальны. На данный момент не существует протоколов безопасности рассчитаных на такое количество информации хранящейся в сети и соответствующих приросту IT-сферы деятельности. Количество удачно завершенных атак на сайты и платежные порталы защищенные протоколами SSL даже за последний год просто поражает.

Обратные ссылки 6

«Ночные кошмары» Евгения Касперского | Vegazeta. Актуальные Интернет новости: сервисы Интернет, IT-новости, обзоры рынка Интернет-технологий

ImPuls.Name » Касперский спасет демократию с помощью интернет-паспортов

Что можно почитать на выходных 07-08.07.2012 « Просто о сложном

Социальные сети: Империя против Республики | Nota Bene

Есть пять основных вопросов ИТ-безопасности, в соответствии с Евгением Касперским | CheckAntiDdos.info — Все о безопасности в сети!

Что можно почитать на выходных 07-08.07.2012 | Планета Групповой политики

Оставить заметку