Глава Group-IB: как выжить в кибервойнах?

Другая версия – что это спецслужбы организовали для шпионажа. Но это просто нелогично - шпионаж должен вестись незаметно. Этот же вирус мог бы также распространяться, только незаметно, не показывать никакое сообщение, зашифровать данные и просто искать информацию, которая бы потом оправлялась куда нужно.

- А может это спецслужбы каким-то образом тестировали новое современное кибероружие?

- Это возможно. Версия о том, что это тестирование кибероружия, допустима. Организаторами может быть теоретически какая-то киберармия или спецслужба какой-либо страны. Тем более что совсем недавно первый раз за историю России было подтверждение участия северокорейских войск в нападении на российские банки. Причем они маскировались под русских хакеров.

В случае с WannaCry нет оснований полагать, что организаторы – спецслужбы. Вирус, предположительно, утек из АНБ и выложен в открытый доступ. И так как коды вредоноса были публичными, ими мог воспользоваться кто угодно. Предполагать, что если какая-то атака похожа на другую атаку, то ее сделали одни и те же люди – нет, это неправильно. То есть квартирная кража, убийство, атака вирусом – это типы преступления, но их могут совершать разные люди.

Если рассматривать географию распространения этого вируса, можно ли говорить о том, какая страна более защищена, какая менее?

- География особо ни о чем не говорит. Она дает понимание, как и в какой очередности злоумышленники пытались отправлять вирус. И, может быть, теоретически чисто случайно Россия и Украина попали в этот список. Почему Россия и Украина – интересные объекты? Большая инфраструктура, большое количество компаний, достаточно низкий уровень компьютерной грамотности, большая вероятность успешного распространения. Другая версия - для кого-то эти территории могут быть полигоном для проверки того, как будет распространяться цифровое оружие. Ну, понятное дело, что не нужно драматизировать, но парализованная работа, допустим, энергетической компании плюс какие-то вброшенные сообщения в СМИ, в принципе, могут вызывать некие народные волнения. А это достаточно опасная ситуация.

Карта распространения вируса от компании McAfee

- Есть ли какая-нибудь информация, почему именно сейчас произошла атака? Можно ли оценить размер ущерба для компаний?

- У меня есть конспирологическое предположение. Сейчас сезон отпусков. Многие люди не в России сейчас. Обычно атаки проходят либо перед Новым годом, либо в сезон отпусков. Бдительность теряют. О работе никто не думает. Это просто версия, но она достаточно логичная, потому что количество людей, которые сейчас обеспечивают безопасность на местах, меньше, чем в обычный период.

Сейчас последствия атаки гораздо более ощутимые, чем от WannaCry. На предприятиях одномоментно заражалось больше количество компьютеров именно благодаря способу распространения уже внутри сети. И до сих пор сейчас большое количество моих коллег занимаются тем, что пытаются восстановить данные. Это крайне сложно, и ликвидировать последствия работы вируса пока не смогли. Поэтому многие компании, в том числе в Москве, не работают.

Опять же я надеюсь, что после освещения атаки WannaCry во всех СМИ компании усвоят урок, что нужно делать и чего не нужно. Этот вирус не чудо техники, для его активации от человека требуется какое-то действие. Поэтому в итоге самое слабое звено все равно человек. Если он сам не откроет файл – вирус не попадет. Приведу аналогию: за рулем наша безопасность во многом зависит от водителя. При этом почти неважно, какая машина. Но если мы целенаправленно на самой безопасной машине в мире врежемся в грузовик, который едет по встречке, вероятность того, что мы останемся в живых, крайне мала. И в информационной безопасности очень много зависит от нас, от каждого пользователя телефона, компьютера. Не нужно надеяться на то, что антивирусная компания вас спасет. Она не спасет.

- Но сотрудники предприятий, могут, например, возмутиться: "Я бухгалтер, я не хочу быть экспертом по кибербезопасности. Пусть специалисты обеспечат мне безопасность".

- Так можно было говорить в 2005-2008 годах. Сейчас кибербезопасность - это обязательные знания. Считаю, что, еще учась в школе, надо осваивать такие навыки. Современные войны с полей сражений перемещаются в киберпространство. Поэтому, если вы нанимаете бухгалтера, который говорит вам фразу: "Я бухгалтер, не хочу разбираться в кибербезопасности", то подумайте, лучше нанять его и увеличить шансы потерять потом все деньги со счета вашей компании или поискать другого специалиста?

- То есть сейчас при найме на работу обязательно наличие у соискателей определенного уровня грамотности в сфере кибербезопасности?

- Я могу сказать, что сейчас меняется поколение людей – компании молодеют в целом. Кроме того, очень много людей среднего возраста и даже пожилых могут безопасно работать на компьютере. Не нужно думать, что это какие-то сверхзнания. Это набор простых правил, их надо освоить.

Если мы хотим строить цифровую экономику, то безопасность является ее существенной частью. Если у нас не работают онлайн-сервисы, летят биржи, плохо с онлайн-транзакциями, то экономика будет развиваться плохо. Будущее такой экономики зависит от трех ключевых факторов.

Первое – простота технологий. Да, бухгалтер не должен быть антивирусным экспертом, но должен знать некие основы общеобразовательные. Все должно быть очень просто, прозрачно, удобно, интуитивно. Системы должны быть "невидимые". И они уже есть сейчас. Например, если вы с любого компьютера зайдете на сайт Сбербанка или еще нескольких банков, с которыми мы работаем, вы даже не заметите, как через нашу технологию на вашем компьютере пройдет проверка на наличие банковского трояна. Если там обнаружится какой-то вирус, вам не разрешат провести операцию. Вы даже об этом не знаете, вы об этом не думаете. Вы можете не разбираться в информационной безопасности, за вас банк отвечает на вопрос: можно ли вам доверить проведение операции.

Второй фактор - внедрение специализированных предметов в систему образования. У нас в школах уроки информатики – это не компьютерная гигиена и безопасность. А специалистов, которые этому учат, тоже пока нет.

И третий важный пункт - это повышение ответственности за совершение киберпреступлений. Когда киберпреступники чувствуют себя расслабленно, такими же членами общества, как добропорядочные граждане, и это считается каким-то позитивным видом деятельности, хотя преступление вписано в Уголовный кодекс, – это неправильно.

- В случаях с WannaCry и Petya преступники требуют выкуп в биткоинах. Вновь у криптовалюты, которая пытается завоевать себе место под солнцем, неприятное соседство с какими-то кибервредителями. Если бы злоумышленники требовали выкуп в деньгах, их транзакции было бы проще отследить?

- На самом деле, процент преступлений, финансируемых криптовалютой, ничтожно мал в сравнении с теми случаями – взятками, коррупционными сделками и т. д., - где фигурируют обычные деньги. Чем хорош блокчейн? Все операции видны: биржи, кошельки, обменники оставляют много цифровой информации. На самом деле, биткоин с точки зрения отслеживания – гораздо более понятная история, чем наличка. Поэтому, я считаю, что бояться криптовалют не стоит. И запрещать не надо по одной простой причине – это уже не запретишь, как интернет.

Эту технологию можно понятным образом легализовывать и контролировать. Сервисы обменников, вывод из биржи - государство с этого всего может получать налоги, как это делают другие страны, которые криптовалюту легализовали. Американские биржи Kraken, Poloniex аттестованы комиссией по ценным бумагам, платят огромные налоги государству. Люди из-за того, что это биржи сертифицированы, идут туда очень охотно. На этих сайтах онлайн всегда 300-400 тыс. человек. И вопрос: если российский гражданин хочет купить валюту, а возможности нет, то что он делает? Он идет в теневую экономику или в экономику другой страны. Если вы купили валюту на Coinmama, то сервис заплатит за вас налог в той стране, где зарегистрирован.

Поэтому либо мы легализуем криптовалюты и экономически получаем от этого пользу: налоги, сертификация бирж, лицензия – всё, как с банками. Либо мы это запрещаем, но это не исчезнет, просто будет в теневом обороте.

- Так как все атакованные ПК были с установленной Windows, возможно увеличение количества инициатив по разработке российского ПО, отечественных компьютеров, процессоров, госмессенджеров, операционок и т. д. Насколько это вообще может помочь?

- Что-то нужно иметь свое, безусловно. Но все нужно взвешивать. Либо проверять безопасность того, что сделали компании другой страны, вложив в это много сил и денег, либо попытаться сделать что-то свое только для того, чтобы заменить. Представьте себе, что в одном месте собрались одни из самых талантливых инженеров разных стран, в том числе русские. И на протяжении 30 лет делают операционную систему. Вокруг этого - культура безопасного "программирования, огромное количество инвестиций, отзывов от клиентов разных стран. Понятно, что есть угроза, что будут "жучки" и "закладки". Но российские специалисты умеют это все находить.

В каких-то областях можно заниматься импортозамещением: там, где у нас есть хорошая инженерная школа, возможность делать продукт не только для отечественного пользователя, но и для экспорта на внешние рынки. Если продукт экспортируется, это означает, что он хорош. Почему американцы продолжают летать на наших ракетах? Они могут создать свой продукт и очень хотят. Но они знают, что экономически это достаточно глупая история, а российские ракеты - классные.

Если ставить целью заработать, то надо делать такую систему, которая будет конкурировать с операционными системами в мире. Сейчас я не верю, что это может произойти. Мы подорвем нашу экономику, и это будет искусственная история. Здесь нет стратегии "голубого океана", которая была, когда сражались Mac OS и Windows. Apple делали совершенно другую ОС, очень удобную. И у людей появляется выбор. Расскажите мне, зачем третья операционная система с российскими корнями на международном рынке?

- Если не операционку, то что российская ИТ-инфраструктура может создать?

- Сервера свои нужны, "железки". Мы покупаем сервера Dell. В России никто не может сделать сервер такой же производительности и по такой же цене. У нас начинается следующее: тяп-ляп собрали из нероссийских комплектующих, сказали, что это русский сервер, и продали его в 6 раз дороже при гораздо более плохом качестве. Либо просто нет технологий – с электроникой у нас большая проблема. Сервера – это важная вещь. Я больше верю, что мы создадим хороший сервер, нежели операционную систему. У нас такая проблема: когда хорошие разработки вдруг начинает поддерживать государство и заниматься импортозамещением, компания расслабляется: "Мы и так продадим, вариантов у заказчика уже нет". Это очень опасное состояние. Нужно всегда быть готовым к конкуренции: если ты сделаешь плохо, придет конкурент и сделает хорошо. Отсутствие реальной конкуренции русским технологиям мешает.

Можно ли назвать все, что происходило на этой неделе, месяц назад, началом третьей мировой кибервойны? Или это слишком громкие заявления?

- Я очень не хочу в это верить. С гуманной точки зрения. Третья мировая война, если она будет вестись такими методами, закончится крайне плохо. Потому что, в отличие от обычного оружия, цифровое оружие, в случае утечки, может быть дуплицировано и использоваться абсолютно ненормальными людьми, в этом главная опасность.

Цифровое оружие - это код, который каждый может скопировать. Как в случае с утечкой из АНБ – этой уязвимостью потом воспользовались тысячи разных хакеров. Ею же могут воспользоваться террористы. Если какое-то государство, не дай Бог, создает цифровое оружие, нужно всегда представлять: а если оно попадет к ненормальным людям из террористических группировок, что будет происходить после этого? Ведь это же оружие может быть использовано против его создателей. Поэтому слухи про третью цифровую мировую войну ходят, но я надеюсь, что ни один политик в мире даже не задумается о таком сценарии, потому что это закончится очень и очень плохо.