Интервью Владимира Кабанова для информационного агентства «РИА Новости»
22 октября 2019
Владимир Кабанов: в киберпространстве дешевле нападать, чем защищаться
Противостояние в киберпространстве сегодня выходит на первый план. Крупнейшие мировые державы тратят огромные деньги на создание систем, способных защитить объекты критической инфраструктуры от хакерского вмешательства.
Генеральный директор концерна "Автоматика", являющегося куратором крупного государственного проекта по информационной безопасности, Владимир Кабанов в интервью обозревателю РИА Новости Алексею Паньшину рассказал об основных тенденциях развития систем киберзащиты в России и на Западе, о создании в РФ глобальной системы нейтрализации киберугроз, а также о технологиях защиты сетей 5G от внешнего воздействия и перспективах замены операционной системы от Microsoft.
— Какова ситуация сегодня в киберпространстве? Какие основные угрозы?
— На сегодняшний день парадигма информационной безопасности изменилась глобально и необратимо. Причин множество, одна из них – это эффективная эксплуатация злоумышленниками такого явления, как "уязвимости нулевого дня". Сам термин означает, что у разработчиков программного обеспечения (ПО) было 0 дней на исправление дефекта. Еще 5-7 лет назад разработчикам достаточно было получить сертификат (пройдя соответствующие процедуры проверки надежности), чтобы затем — в течение довольно длительного срока — опираться пусть и не стопроцентную, но тем не менее на некую гарантию безопасности. Сегодня же этот метод не работает, поскольку многие злоумышленники фиксируют свои усилия именно на поиске неизвестных уязвимостей и на их последующей эксплуатации. Это одна из основных причин, почему тема кибербезопасности на сегодняшний день неразрывно тесно связана с качеством ПО.
В ситуации, когда кибернападение связано с внедрением вредоносной программы (червь, вредоносный код, фишинговая система), последствия можно предотвратить, просто своевременно обновив антивирус. Что же касается уязвимости ПО, то все гораздо сложнее. Ведь речь идет о дефектах исходного кода, которые никак не связаны с действиями злоумышленника, потому что высокая дефектоемкость ПО – это фактически его естественное свойство.
— Можно ли этому противодействовать?
— Начну с того, что на сегодняшний день ни одна крупная компания в мире не производит все необходимое ПО самостоятельно. Для этих целей существует открытое программное обеспечение (open source software) или "программное обеспечение с открытым исходным кодом". То есть применительно к целому спектру направлений и тем существуют готовые типовые модули, которые можно (конечно же, при соблюдении определенных условий) взять готовыми и не тратить на их разработку миллионы долларов. На сегодняшний день 96% всего создаваемого софта использует этот открытый код. Вместе с тем 85% из этого ПО в процессе анализа в рамках конкретного проекта демонстрирует наличие уязвимостей. Поэтому, если вы берете что-то чужое и делаете на его основе свой продукт, у вас получается нечто весьма сомнительное с точки зрения безопасности.
Отвечая на ваш вопрос, да, можно, но при соблюдении определенных условий. Должен быть задействован механизм отслеживания качества исходного кода используемых внешних (по отношению к вашему проекту) программных пакетов. Такие механизмы есть, но они все достаточно дорогостоящие. В реальном масштабе времени формируются глобальные базы данных, которые интегрируют информацию обо всех выявленных уязвимостях в ПО. Лидеры индустрии, имеющие доступ к этим базам, анализируют одновременно около трех миллионов уязвимостей и 10 миллионов различных файлов (библиотек). В процессе фиксирования конкретной уязвимости в базе данных разработчик конкретного пострадавшего пакета открытого кода формирует новый релиз, избавленный от выявленных дефектов. В идеале этот процесс должен быть полностью автоматизирован, тогда злоумышленники просто не успеют воспользоваться уязвимостями в своих целях. В противном же случае, если не предпринимать системных мер защиты, с самого первого этапа жизненного цикла ПО обеспечить его безопасность фактически невозможно, поскольку фактические затраты на обеспечение информационной безопасности превысят стоимость самой разработки ПО.
— А как злоумышленник находит уязвимости?
— Методы разнообразны. Существует три основных класса довольно широко распространенных инструментальных средств, позволяющих реализовать эффективный поиск. Не специалистам использование специфической терминологии ничего не пояснит, скорее внесет путаницу, поэтому скажу главное: сегодня в киберпространстве гораздо дешевле нападать, чем защищаться. Не буду брать на себя ответственность за конкретику количественного сравнения, но на один-два порядка – несомненно. Однако собственно поиском конкретной уязвимости дело не заканчивается. Есть такое понятие "эксплойт" (еxploit). Это программа, которая и позволяет злоумышленнику эксплуатировать уязвимость, то есть практически реализовывать некие враждебные действия. Так вот, если несколько лет назад промежуток времени между обнаружением уязвимости и появлением эксплойта измерялся месяцами и неделями, то сегодня он сократился до трех дней.
Если кем-то обнаружена уязвимость ПО, то велика вероятность, что в течение нескольких дней вы или иной желающий сможете найти в сети интернет работоспособный эксплойт для ее эксплуатации. Но опасность для конкретного разработчика это будет представлять только в том случае, если охотники за уязвимостями (их еще называют "белыми хакерами") не получили заранее оговоренной платы за свой труд. Если компания-разработчик отказывается платить, то спустя какое-то время хакер абсолютно легально выкладывает информацию об уязвимости в интернет.
— Как вы оцениваете потенциал российских разработок в этой области в сравнении с Западом?
— С точки зрения технической реализации узловых аспектов технологии мы уступаем Западу, однако если говорить о комплексности применения этих технологий, вопрос о лидерстве весьма и весьма спорный.
— Что конкретно делает "Автоматика" в направлении увеличения безопасности объектов критической инфраструктуры от внешнего воздействия?
— В этом направлении работают все холдинги радиоэлектронного кластера Ростеха, которые активно участвуют в реализации государственной программы импортозамещения в сфере электроники и IT. Наша главная задача — обеспечить максимальную защиту государственных информационных систем и объектов критической инфраструктуры. "Автоматика", в частности, является куратором крупного государственного проекта, результатом которого должна стать гармонизация требований по качеству программного обеспечения и информационной безопасности, а также создание некоего набора систем и комплексов, которые позволят с учетом разумного уровня затрат обеспечить необходимую защиту. Сейчас проходит этап принятия решения для перехода этой темы в практическую плоскость. Данный этап должен завершиться в 2020 году.
— Звучит весьма обтекаемо.
— В этом смысле можно сослаться на аналогичные разработки США. Речь идет о проекте DARPA CHESS (Computers and Humans Exploring Software Security). Наши западные партнеры реализуют этот проект с конца 2018 года. Он представляет собой глобальную государственную систему, в рамках которой искусственный интеллект активно взаимодействует с человеком. Нейронная сеть производит поиск уязвимостей, анализирует их и предоставляет эксперту (офицеру по кибербезопасности) сильно урезанный набор данных, в котором человек уже способен без потери эффективности локализовать источник опасности и выдать рекомендации по его устранению. Это единственный возможный путь для обеспечения эффективной защиты в условиях галопирующего развития технологий. В 2021 году работы планируется завершить и, как говорится, принять на вооружение. При этом созданная система будет способна отслеживать и нейтрализовывать уязвимости "нулевого дня" в режиме времени, близком к реальному.
— А у нас есть что-то подобное?
— Соответствующие разработки у нас ведутся, но подробностей я приводить не могу.
— Есть ли разработки, позволяющие уже сейчас безопасно передавать засекреченную информацию на предприятиях промышленности посредством не фельдъегерско-почтовой службы, а с помощью компьютеров, соединенных в сеть?
— Конечно, есть. Эта технология уже работает.
— Большинство предприятий российской оборонки пользуются ПО, созданным далеко не российскими разработчиками. В связи с этим решение вопросов, связанных с поиском уязвимостей "нулевого дня" априори невозможно. Как решать эту проблему?
— Это вопрос, который на сегодняшний день является ключевым. Я не знаю, слышали вы или нет, но с 1 января 2020 года ФСТЭК запретит использование на территории России программного обеспечения, которое не прошло анализ уязвимостей в испытательной лаборатории этой службы. А санкционное американское законодательство гласит, что разработчики ПО, прошедшие тестирование своего продукта в России, не получат от Вашингтона ни единого цента. То есть фактически запрета на продажу нет, но есть запрет на тестирование, без которого невозможно использовать ПО в России. Для того чтобы устранить эти противоречия, необходимы бизнес-соглашения. На территории Западной Европы существует большое количество авторизованных центров по проведению анализа уязвимостей. Можно ПО протестировать в Западной Европе их средствами, а к анализу результатов тестирования допустить российских специалистов. Либо они туда приедут, либо это будет зашифрованный канал связи, либо это будет облачная услуга. Если бизнес способен договориться, что при подобных действиях коммерческая тайна будет сохранена, то уровень ее защиты будет не ниже государственной.
— Неужели в нынешних условиях это возможно?
— А почему нет? Это вопрос не абстрактных возможностей, а политической воли. С технической точки зрения никаких препятствий нет.
— Есть подобные центры у нас?
— В составе Ростеха такой центр создается на базе "Автоматики", он будет максимально защищен по уровню обработки данных, составляющих государственную тайну. То есть центр будет у нас, центры есть в Европе, а основной вопрос связан с тем, как обеспечить их взаимодействие.
— А что в итоге с тем ПО, которое уже используется в России?
— Сейчас говорят, что необходимо заменить Microsoft какой-то другой операционной системой. В Едином реестре российского программного обеспечения этих национальных операционных систем 42. Но в рамках этого Единого реестра не существует механизма оценки качества программного обеспечения, то есть их фактически нельзя использовать. Чтобы эту проблему устранить, необходимо ввести стандарты технической поддержки и обслуживания ПО из реестра, необходимо также определить правовые основания для планирования дополнительных затрат, принять меры по утверждению необходимой нормативно-правовой базы и тому подобное. Иными словами – необходимо на государственном уровне озаботиться комплексом практических вопросов разработки безопасного ПО и управления качеством разрабатываемого софта.
— У вас на сайте заявлено, что концерн занимается созданием новых методов защиты от киберугроз. Что это за методы?
— Развитие IT-технологий неразрывно связано с возникновением новых угроз, использующих уязвимости, которых в новых технологиях обычно много. Задача состоит в том, чтобы оперативно понимать возможные проблемы и применять для их решения адекватные методы. Это, в свою очередь, требует развития широкого спектра методов информационной безопасности, включая криптографические методы, искусственный интеллект, поддержку принятия решений, корреляционный анализ инцидентов и кластерные методы классификации событий и угроз безопасности.
— Какие конкретные разработки сегодня уже внедрены и функционируют? Можете привести примеры успешной работы ваших комплексов и систем?
— Предприятиями Ростеха уже реализовано несколько проектов, в которых используется преимущественно или полностью российское вычислительное, телекоммуникационное оборудование и программное обеспечение, гарантированно свободные от закладок и несанкционированного вмешательства. В 2016 году нами был введен в эксплуатацию Центр обработки данных Государственной системы миграционного и регистрационного учета "Мир". "Автоматика" создала и поставляет операторам связи программно-аппаратный комплекс на базе системы хранения данных "Купол" в обеспечение требований 374-ФЗ, более известного как "закон Яровой". Сегодня широкий спектр продуктов концерна активно используется в федеральных органах исполнительной власти, корпоративном секторе и экономически значимых структурах. Концерн в своем составе имеет не только научные предприятия, но и заводы-изготовители, тем самым образуется замкнутый цикл создания продукта.
— Проводит ли "Автоматика" исследования в направлении защиты оборудования для сетей 5G от внешнего воздействия?
— Естественно, так как без соответствующей системы защиты данную технологию внедрять нецелесообразно.
— Одной из проблем, провоцирующих утечку информации, является использование людьми, обладающими доступом к закрытой информации, мобильных телефонов американского производства. Как решается эта проблема?
— В случае с гостайной никаких американских телефонов не используется и помещения оборудуются средствами, блокирующими возможные утечки по техническим каналам. В случае конфиденциальной информации, во-первых, телефоны бывают не только американские, во-вторых, в большинстве корпораций развертываются платформы управления мобильными устройствами, которые, в частности, минимизируют такие риски.
— Есть ли опыт продажи разработанных вами систем по борьбе с киберугрозами на внешние рынки? Кому?
— Последние несколько лет существующие на нашем рынке решения очень интересуют зарубежных партнеров. Это страны Европы, Азии, Латинской Америки и Африки. Кстати, 23-24 октября наша делегация планирует серию переговоров с африканскими партнерами и заказчиками на полях саммита Россия-Африка в Сочи. Мы готовим презентации по темам "Обеспечение информационной безопасности и защита от кибератак информационной инфраструктуры" и "Современные решения по обнаружению и противодействию применению БПЛА для VIP-персон, стратегических объектов, критических объектов гражданской и военной инфраструктуры", продемонстрируем на площадке ряд ключевых продуктов.
Вообще, в центре внимания зарубежных заказчиков присутствуют в первую очередь решения по выявлению и предотвращению киберугроз, информационно-аналитические системы и принципы, а также решения по построению защищенных информационно-телекоммуникационных систем. По условиям соглашения о конфиденциальности информация о партнере не поддается разглашению.
