Сергей Новиков, «Лаборатория Касперского»: WannaCry – это плохо, но то, что он получил такой резонанс, заставит нас задуматься

Заместитель руководителя глобального центра исследований и анализа угроз «Лаборатории Касперского» Сергей Новиков рассказал ИА «Татар-информ», как не дать хакерам запугать себя.
Обеспечение информационной безопасности стало занимать не только умы политиков, но и обычных людей, после недавней вирусной атаки WannaCry, о которой гудел весь интернет. Обеспокоенный вопросом корреспондент «Событий» поймал на форуме IT&Security 2017 Сергея Новикова из центра исследований и анализа угроз «Лаборатории Касперского». Эксперт рассказал, почему WannaCry стал известен всему миру, зачем в организациях нужен security-полис и как Университет Иннополис защищает нас от хакеров.

На форуме практически каждый спикер упомянул о недавней вирусной атаке WannaCry, поэтому сходу вопрос — их можно было предотвратить?

— Давайте с самого начала, базовые вещи. Первое, стопроцентной безопасности не существует. Это база, с которой надо начинать. Нет такой таблетки, которую взял, и все проблемы решены. Невозможно. Какие бы технологии, сервисы, продукты не придумывала индустрия информационной безопасности — не поможет. Что поможет? О чем мы вообще говорим? Мы можем минимизировать риски. Но опять же был вопрос на пресс-конференции: «Сколько процентов?». Не 100, так 99, 85, 62... Мы можем этот процент, условно говоря, повышать.
Те успешные атаки, могли случиться, а могли не случиться. И опять же, все это зависит от уровня настроек вашей информационной безопасности, тех продуктов, которые вы используете, тех сервисов, которые вы используете, тех знаний, осведомленности, опыта и т.д, которые есть внутри вашей организации, домашнего пользователя, пользователя мобильного устройства и т.д.. Попытаюсь ответить на ваш вопрос: «В прошлом можно ли было их предотвратить?». Конечно, конечно. Если у тебя есть базовое понимание того, что и как нужно делать. 

Вы сказали «Успешная атака», а что под этим понятием следует понимать?

— Успешная атака — это уязвимость в определенном программном обеспечении. Это какое-то технологическое средство, которое проникло на ваш компьютер и что-то сделало. Или на ваш мобильный телефон. И зачастую это человеческий фактор. То есть каким-то образом вас обманули. 

Каким-то образом вас заставили открыть это письмо, вас заставили кликнуть по ссылке, вас заставили запустить этот файл, вас заставили открыть этот сайт, скачать что-то с торрентов, что-то вам такое дали, что вы это сделали. Это мы и называем человеческим фактором. 

Что же вы предлагаете сделать, чтобы люди стали грамотнее и не кликали на вредоносные ссылки, не открывали вирусные сайты?

— Опять же на пальцах попробую объяснить. Первый пункт — обучение. Если мы говорим про компании, маленькие, средний бизнес, крупные корпорации, гос корпорации, финансовый сектор, телекомы... обучение персонала! Чтобы минимизировать этот человеческий фактор, мы говорим про обучение. Мы трубим об этом, ведь система защиты, любое программное обеспечение — это никогда не 100 процентов. Всегда в конечном итоге стоит человек, который либо да, либо нет — он может открыть письмо, а может не открыть, может скачать, а может и не сделать этого.

Звучит довольно просто, какой второй пункт?

— У меня на слайде это называлось внедрение процессов, настройка политики безопасности. Когда я говорю про внедрение процессов безопасности в организации, это такой секьюрити полис условно говоря. 
Опять же в крупных компания это регламентировано, в каких-то мелких компаниях этого, безусловно, нет. Что можно и что нельзя? 

Можно пользоваться торрентами или нет? Можно приносить свои флешки или нет? Можно на своем личном мобильном телефоне читать корпоративную почту или нет? Можно с вашего айпада зайти на сервер компании или нет? Каким сотрудникам что можно, каким нельзя — это и есть security-policy.

Например, зачем в бухгалтерии, например, пользоваться социальными сетями? Зачем? Я ничего плохого против социальных сетей не имею, но они — одно из средств распространения вредоносного программного обеспечения. 

А зачем внутри компании операционистке, бухгалтеру и т.д. пользоваться социальной сетью? Я не говорю, что это плохо или хорошо, я говорю, что, условно говоря, офицер безопасности компании или директор по информационной безопасности должен регулярно эти политики безопасности в компании настраивать. И пересматривать, обновлять. Нельзя ее сделать в 2010 году и на 10 лет забыть. Эти политики безопасности надо пересматривать. 

Как думаете, это должен быть просто какой то список?

— Естественно, это делается с помощью программного обеспечения. Это совсем не сложно, хватит почти стандартного файла антивируса, чтобы разграничить права доступа. Есть огромное количество разных средств, как разграничить права доступа, куда можно заходить, куда нельзя заходить. Все это программно настраивается, а не каким-то списком. Но это прописывается в так называемой security-policy.

Какой третий ответ на извечный вопрос «Что делать?»?

— Это ключевая рекомендация — внедрение надежных защитных решений, эшелонированной защиты. Это не про то, что мы просто поставили антивирус на рабочую станцию и забыли. Не работает так, к сожалению. 
Один из элементов вашей защитной инфраструктуры — это наличие сервис-провайдера, который предоставляет вам безопасность и круглосуточный мониторинг. 

Еще раз все три пункта — обучение, внедрение процессов и использование надежных средств защиты, эшелонированной защиты.

Раз все так просто, почему никто этого не делает?

— Значит, пока не ощущает рисков. Опять же, тут такая проблема российская, не только российская, специфика «авось», «грабли», какие угодно можно называть. Пока что-то не случится, мы не станем даже об этом думать. 
Мы все рвемся за технологиями, новыми решениями — информатизация, компьютерезиация, бюджетизация... А когда мы говорим про информационную безопасность, то она замедляет этот процесс. Она как пятое колесо в телеге. 

К сожалению, мы беспечны. Мудро действовать в контексте превентивной защиты — лучше предотвратить что-то, что не случилось, чем когда оно произошло. 

Допустим, мы все вдруг испугались последней вирусной атаки и решили усилить информационную безопасность. На всех хватит имеющихся специалистов?

— Если мы вдруг сейчас начнем думать, то да, это классно. Это очень хорошо. Это ни в коем случае не плохо, ресурсов должно хватить, главное, чтобы хватило как бы приоритетов, я повторяю свой тезис про безопасность и про пятое колесо. Хватило бы энергии, ресурсов, времени, желания и т.д. 

WannaCry, это естественно плохо, страшно, неприятно, но то, что он получил такой резонанс, очень хорошо. Мы надеемся, что это заставит нас немножко задуматься.

Хоть о вирусе WannaCry говорилось уже много, скажите, что вы об этом думаете?

— WannaCry везде! Я уверен, вы об этом тоже писали. По крайней мере все — маленькие, средние, большие — средства массовой информации за последнюю неделю точно об этом что-то написали. Это эпидемия. Давно не было таких крупных резонансных эпидемий в индустрии.

Как раз последнее время тактика злоумышленников — точные и нешумные атаки, чтобы не звучать вот так громко и везде, а наоборот.

Злоумышленники боятся этого?

— Не то чтобы боятся. Никто ничего не боится. Стратегия другая — быть незамеченными, украсть информацию, что-то сделать, чтобы как можно дольше быть незамеченными. 

А история с WannaCry действительно превратилась в глобальную эпидемию, резонансную, безусловно, резонансную. Это как бы новая старая тактика. Раньше, много лет назад, тоже были крупные большие эпидемии. 

И что же произошло в случае с эпидемией WannaCry?

— Большое количество зараженных компьютеров в России, в наших регионах, в разных странах мира. Что такое зараженный компьютер? Это зашифрованные данные, то есть вы не имеете доступ к вашим файлам, документам, фотографиям, видео, офисному приложению и т.д. Все зашифровано, но есть некое окошечко, которое вы видите на обоях рабочего стола. И это окошечко требует выкуп за то, чтобы вам вернули ваши данные. Таким образом, была парализована работа многих крупных организаций. 

Это распространялось с помощью уязвимости в программном обеспечении операционной системы компании Microsoft. Совершенно удивительно, что уязвимость эта известная, к ней выпущены соответствующие обновления, которые закрывают эту уязвимость и выпущены они были 2 месяца назад. 

Если у вас регулярно обновляется программное обеспечение операционной системы, то все было бы нормально. Но опять же успех этого вредоносного кода говорит о том, что, к сожалению, оно не регулярно обновляется.
 
Может, нам тогда стоит переключиться на какое-нибудь российское програмное обеспечение?

— Вопрос импортозамещения — ключевой, он не первый день поднимается. Но ваше предложение... Если бы это было так просто, я бы на это посмотрел.

Если говорить о российском ПО, то оно будет чуть более безопасным по очень простым причинам. Большая часть всех вирусов нацелена на платформу Microsoft. Если мы говорим про мобильные платформы, то 99 процентов атак направлена на Android. И существенно меньше вредоносных программ настроены под Mac OS, например. 

Этому есть очень простое объяснение. Первое — Microsoft абсолютно открытый, а Mac OS совершенно закрытый. Второе — Microsoft везде, он массовый, а Mac OS точечный, его в разы меньше, поэтому не так интересно.

Специалистов, экспертов, программистов под Microsoft миллионы! Ключевых программистов, которые могут писать что-то, даже вредоносную программу, под Mac OS — их единицы. Это сложнее, это дороже, это не так выгодно. Поэтому такая массовая история. 

Это пример к тому, что будет уникальное российское ПО , то априори, на бумаге это выглядит более надежным, более защищенным, потому что это нечто уникальное. Решение ли это проблемы? Вопрос. 

А вообще «Лаборатория Касперского» — одна из тех компаний, которая сейчас издает свою собственную операционную систему, это не секрет. Но она будет направлена не на домашних пользователей. В первую очередь мы говорим про операционную систему для критических объектов, для индустриальных объектов. Думаем, что там это действительно будет востребовано, это для нас очень амбициозный интересный объект. 

А теперь давайте о тех, кто может нас защитить — IT-специалисты. Одни говорят, что есть хорошие, но их мало. Другие считают, что многим надо пройти курс повышения квалификации. Третьи вообще говорят, что придется заманивать людей из зарубежья. Что вы по этому поводу думаете?

— Очень классный вопрос! Я люблю на него отвечать и вообще в эту сторону размышлять. Мало или много достойных специалистов в области IT? Много, и очень хорошего уровня. 

Не секрет, кто в мире самые крутые хакеры. Конечно, российские хакеры. 

Кто в мире самые крутые специалисты в области безопасности программирования и безопасности? Российские специалисты. Это не секрет. Российские IT-специалисты востребованы во всем мире. Тут другой вопрос — как предотвратить утечку кадров? И это не ко мне вопрос, я надеюсь. Не секрет, какое большое количество, я бы сказал, уникальных IT-специалистов за последние несколько лет эмигрировали. Но говорить о том, что у нас их мало я бы не стал. Общий уровень достаточно высокий. 

А как заинтересовать людей оставаться работать в стране?

— Об этом нужно разговаривать. Мотивировать ребят. «Касперский» этим занимается, для нас это важное направление работы, мы много сотрудничаем с различными высшими учебными учебными заведениями в России. Мы, естественно, работаем и со школьниками, на это есть несколько причин. Во-первых, это будущий резерв, во-вторых, это лояльность компании, в-третьих, я искренне лично сам в это верю. 

Для меня это интересный вопрос. Кто такие хакеры? Кто такие эти люди на темной стороне? Неочевидный ответ, но так или иначе это люди, которые не смогли найти себе применение, которые много знают, они крутые. Никто не умоляет их заслуг ни в коем случае. Просто они не увидели для себя возможности поработать на благо, что ли. Что-то создавать конструктивное, нежели разрушать и воровать. И для меня эта грань проходит где-то в школе, в последних классах, может быть, на первых курсах вузов, когда мы действительно можем дать возможность новому поколению применить, проявить себя, показать, что он на нашей стороне. Я говорю не только про «Лабораторию Касперского», но и про индустрию в общем. 

Я говорил на пленарной дискуссии, кстати, про то, что мы должны с ними работать. Это про колоборацию, важно, чтобы никто не был в отрыве друг от друга. Это высшая школа, научная школа — раз. С одной стороны. Частный бизнес с другой стороны. Государство с третьей. Гос компании с четвертой. Когда мы в одной лодке будем работать, это будет интересно. И здесь научный сектор, высшая школа играют важную роль. 

По-моему, в Университете Иннополис как раз стараются переманить молодежь на светлую, как вы сказали, сторону. Там такая обстановка, что хочется работать во благо, а не заниматься вредительством.

— Согласен. Я с этого начал сегодня пленарку не просто для красного словца, а правда так думаю. 

Республика Татарстан впереди, вы молодцы, вот серьезно. Университет Иннополис абсолютно классный пример из разряда «как надо», на мой взгляд. Если таких центров будет больше, опять же, республика Татарстан продолжит тестировать этот секрет успеха, тогда это то, что нужно. 

Вы подаете правильный пример остальным регионам, куда и как нужно развиваться. Поэтому тут я как раз снимаю шляпу. Классно. Молодцы.

Сейчас много говорят об электронных паспортах с биометрическими данными. В связи с этим вопрос — электронные документы безопаснее обычных?

— Однозначного ответа на этот вопрос нет, но, то, что вы говорите про электронные паспорта, про всю эту гаджетизацию, электронное цифровое общество, и т.д., — это реальность. Мы не можем это отменить. Это уже здесь. Эти беспилотные поезда и автомобили, мобильные платежи — это реальность. Мы сейчас с вами, сидя здесь на диванчике, точно ни в коем случае не отменим происходящего. 

Отвечая на ваш вопрос, скажу, что мы становимся более уязвимыми и не отдаем себе в этом отчет. Но при этом происходящее — прогресс. Нам удобнее с электронными платежами, нам удобнее с беспилотными поездами, нам удобнее пользоваться порталом госуслуг. Нам хорошо! Это те сервисы, которые помогают нам в жизни. И теперь фундаментальный вопрос — а на сколько это все защищено? Тьфу, тьфу, тьфу. Понятно, что есть регулярные утечки, хотя это старая история, когда утекали базы ГИБДД, базы всего и вся. 

Наверно, это нормально, ведь из всех правил есть исключения. Верно?

— Нет, неправильный тезис — нормально или ненормально. Это, к сожалению, реальность. Когда мы говорим про все эти новые технологии и все цифровое, мы просто должны задумываться с самого начала про вопрос безопасности. Если так будет, тьфу, тьфу, тьфу, можно быть спокойным. 

Все сейчас подключено к интернету, начиная от камер, умных телевизоров, холодильников — все подключено к интернету на базовом уровне со стандартными паролями. Никто их не меняет никогда, трафик в каких-то устройствах абсолютно не шифруется. 

Но тут уже каждый для себя выбирает, надо или не надо задумываться. Многие не думают, а большинство, к сожалению, не обладают знаниями, которые позволяли бы им хотя бы задавать эти вопросы. Но задумываться надо!

Я купил себе камеру, которая следит за ребенком, а данные зашифрованы или нет? А эта камера, к ней доступ через стандартные пароли или все таки их можно поменять и усложнить? 

Мы снова возвращаемся к обучению, к первому ответу на вопрос «Что делать?».

— Продолжим с чего начали. Нет таблетки. Но при этом интересно очень думать над решениями. Конечно, обучение должно быть со школы, абсолютно точно, многие дети получают сейчас гаджеты еще в детсадовском возрасте, но это, наверно, нормально. 

Еще в школе мы должны назидать, говорить о вопросах информационной безопасности. Точно так же в обычной жизни! 

Я люблю эту параллель. В обычной жизни нам же рассказывают про правила дорожного движения — на зеленый надо переходить, на красный не надо. Некую физическую безопасность мы же своим детям объясняем, и примерно то же самое должно быть в информационной безопасности. 

Интернет — та же среда общения, как и реальная жизнь. Там точно такие же угрозы. У тебя могут что-то украсть. 

Прошу прощения, если мы говорим про детей это другая совершенно тема. Я боюсь всех этих слов, но так или иначе, педофилия — не педофилия, какие-то предложения неприятные и т.д. Если точно так же, как мы объясняем ребенку, что надо идти на зеленый свет и не идти на красный, и чуть-чуть будем говорить про информационную безопасность, поверьте — будет хорошо. 

Про ваших родителей и бабушек скажу то же самое. Они же как дети. 

Точно так же надо говорить: «Бабушка, дедушка, вот есть сайт, интернет-магазины, есть сайт социальной сети, есть сайт почты электронной». Сейчас же все бабушки и дедушки пользуются электронной почтой. Но надо говорить: «Вот это хорошо, это можно, но не на все надо кликать, не все надо открывать, не везде заходить. Все что бесплатно сразу подозрительно». 

Если мы этому научим, будет уже хорошо, вы считаете?

— Я уверен. Вот с этим нет сомнений. 

Некоторые интернет-провайдеры предоставляют услугу «Детский интернет». В этом случае блокируются все сайты сомнительного и не предназначенного для детской аудитории содержания. Такая услуга работает на благо информационной безопасности?

— Наверно, лучше спрашивать у интернет-провайдеров, они более компетентно ответят. Я могу сказать, что любое даже мало-мальски защитное решение поможет. Поэтому, конечно же, это благо, конечно же, это хорошо

Это все так просто, мне кажется. Неужели таких обычных вещей хватит? 

— Я пытаюсь упрощать, безусловно. Но даже если мы немножко осветим эти базовые принципы, поверьте, будет лучше. На любом уровне — на уровне детей, на уровне взрослых, на уровне наших друзей. 

Дети же все публикуют в интернете. Абсолютно все. Вот открой любой аккаунт в социальной сети среднестатистического российского ребенка, ты узнаешь столько... а зачем? 

Ну да, это мода такая, к сожалению. Да, это какие-то современные тенденции. Но так или иначе это доступно всем. Твоей будущей жене, мужу, любимому человеку. Твоим родителям, твоему будущему работодателю, твоим будущим детям. И, конечно же, это доступно злоумышленникам. Конечно же, это доступно правоохранительным органам. Зачем?! Мы столько о себе публикуем в социальных сетях. 

Надо чаще эту тему поднимать.

— Пожалуйста, вы и делайте. Это я о СМИ, а я буду говорить.