Олексій Барановський:
Хакерам не важливо, чи захищена ваша система. Якщо вона становить для них цінність – вас обов’язково зламають
Досьє
Олексій Барановський – спеціаліст із захисту інформації, виконавчий директор Київської академії кібербезпеки (Kyiv Cebersecurity Academy)
Олексій Барановський – спеціаліст із захисту інформації, виконавчий директор Київської академії кібербезпеки (Kyiv Cebersecurity Academy)
— Коли ми говоримо про технології майбутнього, то користь їх зрозуміла: ми хочемо вирішити з їх допомогою певні проблеми. Однак поряд з ними існують і загрози. Якими вони можуть бути?
О. Б.: Поява будь-якої нової технології пов’язана із вирішенням певної проблеми. Проте з часом вона може бути використана нелегальним чином чи для завдання якоїсь шкоди. Для цього є море прикладів: від атомної енергетики, від електроенергетики, і закінчуючи останніми, наприклад, інтернет речей (internet of things). Це коли хакери атакували кавоварки і холодильники. Тобто, що б ми не вигадали, що б ми не застосували, завжди знайдеться ситуація, коли ця технологія буде використана неналежним чином.
— Як можна оцінити перспективи технологій? Чи можемо ми якимось чином передбачити чи обмежити їх розвиток?
О. Б.: Напевно що ні. Неможливо себе захистити і неможливо передбачити, до чого призведе технологія. Тому що для цього потрібно перерахувати безліч варіантів. А це неможливо просто фізично. Тому як би ми не хотіли і не намагались захистити себе від повстання роботів, я все ж думаю, що воно колись буде.
Як би ми не хотіли і не намагались захистити себе від повстання роботів, я все ж думаю, що воно колись буде.
— Повстання роботів?
О. Б.: Я маю надію, що цього не буде. Але час показує, що, можливо все, як ті кавоварки, які атакували інтернет. Тому якщо казати про можливість захистити себе, то, напевно, варто говорити про те, чи варто взагалі ці технології запускати, чи достатньо піти іншим шляхом, більш простим, і просто заборонити їх. Адже те що було створене «во благо», рано чи пізно може призвести до шкоди.
— Є таке поняття «технологічний детермінізм», тобто те, що обов’язково має бути винайдено і застосовано, все ж буде винайдено і застосовано. Така природа людини: винаходити, застосовувати, полегшувати собі життя. Здається, нам не зупинити цю лавину…
О. Б.: Зараз ми живемо в час безлічі стартапів, переживаємо такий собі такий технологічний прорив. Але не все те, що вигадали і застосували, призводить до масового використання. Тобто не завжди кількість переходить в якість, і навпаки. Корисна технологія може не подобатись людям. Наприклад, коли Google винайшов так звану Google Wave — інструмент спільної роботи й спілкування. Але він просто не сподобався. Люди звикли користуватися електронною поштою і відправляти листи. А там була заміна електронній пошті й багато чого іншого, тобто все одразу. Тому потрібно враховувати, чи буде ця технологія застосована масово. Якщо буде, то чи перейде кількість в якість, чи вона помре і всі про неї забудуть.
Хоча сучасний світ настільки непередбачуваний, що для прогнозів потрібно проводити дослідження. Стартапи намагаються визначати, наскільки вони цікаві людям, чи будуть вони використовувати ті чи інші продукти.
Якщо технологія стала популярною, то може саме тоді потрібно буде коригувати її, і вставляти певні запобіжники й обмеження.
Кібератаки зупинити практично не можливо. Вас будуть атакувати. Є компанії, яких зламали і які про це знають, і ті, яких зламали, але вони ще про це не знають.
— Питання про кібервійни та вразливість. У своїй книжці про кібервійни екс-радник Президента США Річард Кларк стверджує, що найбільш розвинені держави є найменш захищеними від кібератак, оскільки, скажімо, в тоталітарних державах під контролем і фізичні мережі, й доступ до інтернету. Зате у відкритих суспільствах кожна корпорація може мати свої стандарти захисту. Тому хто ж насправді найбільш вразливий у кібервійні?
О. Б.: Це буде помилкою сказати, що в кібервійні хтось більш вразливий, а хтось менше. Вразливі усі. Питання в тому, скільки часу і грошей треба витратити. Наприклад, Китай має дуже сильний контроль над інтернет-простором і над реальним життям. Проте держава не захищена від атак.
В реальному житті ви можете закрити свій кордон — від контрабандистів, від нелегального перетину. Але ви не захистите свій кордон від спеціалістів розвідки, від шпигунів, ви не захистите свій кордон від десанту з повітря.
Така ж ситуація і в кіберсвіті. Сучасні корпорації встановили системи захисту, але неможливо повністю захиститися, тому загроза є завжди і питання в цінності цієї компанії для зловмисників. Кібератаки зупинити практично не можливо. Вас будуть атакувати. Експерти кажуть, що існує два типи компаній: які вже зламані і які будуть зламані. Або так: є компанії, яких зламали і які про це знають, і ті, яких зламали, але вони ще про це не знають.
Це стосується не тільки компаній, це стосується і державного рівня. Не існує держави, яку не зламали. Тому не можна казати, що тоталітарна держава захищена. Дуже важливий приклад — вірус stuxnet, який був розроблений саме для зупинки іранської ядерної програми. Іран можна вважати тоталітарною державою. Але хакери знайшли варіанти відключення центрифуги іранської ядерної компанії.
Чи приклад Прикарпаттяобленерго: чи були у них системи захисту? Були! З точки зору традиційної безпеки – там все було добре. Проте сучасні атаки — це такі події, яким важко запобігти.
Вся сучасна традиційна зброя використовує порох, проти якого придумували захист. У кібервимірі кожного разу винаходиться нова зброя, до якої треба шукати механізми захисту.
Якщо в нашому житті, до якого ми звикли, зброя не міняється, то кіберпросторі зброя міняється постійно.
— Що тоді робити, якщо ви стверджуєте, що ми надто відкриті? Тобто ми не можемо запобігти кібератакам?
О. Б.: Справді, неможливо запобігти усім атакам. Якщо ми будемо переходити вулицю по пішохідному переході, то ми зменшуємо ймовірність того, що нас зіб’є машина. Те саме й тут. Певними запобіжними заходами ми зменшуємо імовірність того, що нас атакують. Ми закриваємо щілини, але повністю ми вберегтися не можемо.
Нам залишається лише усвідомити це. Ми маємо бути свідомими того, що ми незахищені. Ми маємо прийняти цей ризик і діяти відповідно до цього. Модна провести аналогію зі звичайними хворобами. Людина соціальна істота, але, спілкуючись з іншими людьми, ми наражаємо себе на віруси, наприклад, на грип, який нам потім доведеться полікувати.
Так само і з вірусами чи зламами. Ми повинні розуміти, що обладнання, яким ми користуємося, може бути зламано, може бути викрадена наша інформація.
Ми маємо звикнути до цього ризику і відповідно діяти до цього ризику. Напевно у вас вдома є мед або ліки від застуди. Це елементарні засоби захисту від хвороби. Аналогічно варто мати бекап (резервну копією) своєї інформації, тому якщо вірус пошкодить ноутбук, то резервна копія дозволить відновити дані.
Втручання хакерів у мозок чи тіло людини через чіпи-імплантанти — цілком реальний, я б навіть сказав, неминучий сценарій. Ми маємо бути до цього готові
— Гаразд, а що робити, коли така атака спричинить Blackout, тобто коли така атака відбудеться на систему контролю мережами, від якої залежить життя мільйонів людей?
О. Б.: До цього треба, знову ж таки, звикнути. Наприклад, в ситуації атаки на Прикарпаттяобленерго виявилось дуже добре, що в Україні управління електронними мережами ще не повністю автоматизовано. І тому, коли стався такий Blackout, то спеціалісти поїхали на підстанції і вручну включили рубильники. Тобто це не призвело до великих критичних змін і наслідків.
Хакери перепрограмувати контролери і потрібно було поїхати на підстанції і вручну включити рубильники.Ці дублюючі системи контролю у цьому випадку зіграли гарну річ: дозволили швидко відновитися. Те саме стосується, наприклад, залізниці: контроль і резервні канали управління. Але у більш розвинених країнах, наприклад, у США, системи значно більше автоматизовані, там рубильник не включиш. Тому ось є відповідь на запитання щодо технологій: тобто треба лишати умовні рубильники, інші канали контролю і управління.
— Тобто не завжди доцільно перестрибувати у Digital World?
О. Б.: Я б сказав, що не завжди потрібно повністю переходити на нову технологію. До чого б це не відносилося.
— Обговорюючи кібербезпеку, ми не можемо уникнути питання ролі штучного інтелекту. Є реальна небезпека, що ці технології можуть використовуватися для швидшого, кращого підбору ключів, дешифрування і так далі. Але штучний інтелект може допомагати й злочинцям?
О. Б.: Не буде допомагати, а вже допомагає. Будь-яка технологія, яка використовується корисно, використовується і з злочинною метою.
Уже існує програмне забезпечення, яке на основі вашого профайлу в соціальній мережі, ваших друзів, родичів, знайомих формує під вас словник з потенційними паролями. Ймовірність вгадати пароль за допомогою цих інструментів – біля 50%.
Це теж робить штучний інтелект. Наприклад, минулого року мій дипломник за допомогою машинного навчання мав навчити програми робити висновки щодо стійкості паролю. Працювало це наступним чином: людина реєструється в системі і вказує свій профайл «ВКонтакті», Facebook чи інший соціальної мережі. Після цього вона вводить свій пароль, програмне забезпечення сканує про файл, генерує під нього словник, і дивиться, чи є цей пароль у цьому словнику. Якщо є, то каже, «панове, це поганий пароль
Ми тестували це на одному з невеличких проектів. На сайті реєструвалися близько 10 тис людей. І з них у 6,5 тис тисяч перший пароль був поганий, тобто, він був у словнику, який згенерувало наше програмне забезпечення. І ми не використовували якісь надскладні системи навчання, ми просто оцінювали статистичні мутації символів і все.
— Сьогодні активно розвивається інтернет речей. Ця технологія створює багато зручностей. Але вона несе багато загроз. Чи ви бачите вирішення проблем безпеки інтернету речей?
О. Б.: Будь-яка людина має усвідомити потенційну небезпеку від використання кавоварки чи ще чогось, підключеного до інтернету. Люди мають звикнути до того, що використання інтернету речей може призвести до певної небезпеки і застосовувати якісь профілактичні заходи. Тільки тоді це буде ефективно.
Проблема атаки на кавоварки, яку я згадував, полягає в тому, що бот-мережа, яка використала ці пристрої для атаки, застосувала логіни і паролі по замовчуванню. Тобто якщо ви не змінили у свого модема логін і пароль по замовчуванню, то ви є об’єктом атаки. Але якщо б людина змінила цей логін і пароль, то ризику такої атаки не було б.
Окрім того, потрібно розуміти, що не на всі пристрої інтернету речей можна встановити антивірусне забезпечення. Тому лише профілактика і розуміння можуть призвести до збільшення рівня безпеки. Технічно, які б системи контролю ми зверху не нав’язували, поки людина не усвідомить рівень небезпеки, нічого не буде.
— Якщо людина усвідомила, то що їй потрібно зробити?
О. Б.: А дії дуже прості — ті, які записані в інструкції. Наприклад, якщо сказано змінити логін і пароль по замовчуванню, то це потрібно зробити.
Якщо в інструкції в соціальній мережі написано «не використовуйте слабкий пароль», то так й потрібно зробити.
Поки все відбувається навпаки: фахівці з безпеки дають поради, але користувачі не виконують. Це як лікар каже: «Не їж цього бургера», але ми все одно йдемо в Макдональдс і їмо цей бюргер.
— Яке ваше бачення майбутнього інтернету?
О. Б.: Пам’ятаємо про те, що кількість підключених до інтернету речей пристроїв перевищить 50 млрд до 20 року. При цьому навряд чи будуть змінюватися протоколи й технології. Адже з 2001 року технології практично не змінилися.
Якщо в них будуть зміни, то вони будуть повільними і стимулюватимуться від необхідності. Вони виникнуть тому, що іншим шляхом йти не можна.
Протоколи будуть оновлюватися з оновленням апаратного забезпечення, але це буде відбуватися не так швидко, як би цього хотілося. Плюс не варто забувати про те, що такі апаратні зміни вартують дорого.
— Як зміниться приватність і те, що ми розуміємо під приватністю. Чи вона стане вже байдужою для людей?
О. Б.: Вона вже стає байдужою. Будемо відвертими: сьогоднішні молоді люди, яким по двадцять років, є дуже відверті. В соцмережах активно публікуються не лише фото в бікіні, але й напіверотичні знімки. І вони вже не сприймаються так, як раніше.
Сьогодні не можна сказати, як раніше, що ви працюєте топ-менеджером, якщо ви насправді стоїте на касі у МакДональдсі. Але у цьому криється дуже велика небезпека: перехід від достатньої відкритості до небезпечної відкритості.
Справа в тому, що люди звикли довіряти. Але вони довіряють не тому, що є насправді, а тому, що виглядає так, як правда.
Наприклад, я знаю ситуацію, коли дівчина відправила свої фотографії у модельне агентство і через кілька місяців побачила, що їх використали для реклами проституції на одному із закордонних сайтів. Наразі важко сказати, чи зламали сервер модельної агенції, чи це дійсно було шахрайство, але факт є фактом.
І знову ж, я повторюсь: повинні бути певні запобіжні заходи з точки зору самої людини. Я погоджусь з моїм знайомим, який колись казав: якщо ви розмістили фотографію в інтернеті, — це вже не ваша фотографія. Якщо ви розмістили якийсь відеоролик, — це вже не ваш відеоролик. Можна сказати, що це власність усього інтернету. Будь ласка, звикніть до цього.
— Але ж мають бути якісь обмеження, стандарти по захисту приватності, в тому числі для корпорацій, які займаються збором і опрацюванням особистих даних?
О. Б.: Вони уже давно є. Наприклад, у США діє документ HІBА(34,42) — акт, який регулює зберігання медичних даних в Америці. Він дійсно встановлює відповідальність за збереження цих даних. Більше того, в Україні теж є закон про збереження приватних даних, і він дійсно встановлює відповідальність щодо того, хто обробляє, хто зберігає, хто є власником цих даних.
Проте, що таке персональні дані? Персональні дані — це дані, які дозволяють недвозначним чином ідентифікувати суб’єкта. А тепер беремо фотографію. Чи дозволяє фотографія однозначно ідентифікувати суб’єкта? Не дозволяє. Вона не може бути доказом. Тому це не є персональні дані. Тому вона не підпадає під захист. Але наразі питання лише в тому, коли ці інструменти ідентифікації з’являться і коли це буде зафіксовано у законодавстві.
— Наскільки актуальні загрози біохакерства? Особливо, коли люди масово «покращуватимуть» себе за допомогою чіпів, інтегрованими в мозок чи інші частини тіла?
О. Б.: Це цілком реальний, я б навіть сказав, неминучий сценарій. Ми маємо бути до цього готові.
— Тобто це відповідальність кожного, хто погоджується на ці чіпи і інструменти ?
О. Б.: Так, без цього ніяк. Простий приклад: штучне електричне серце. Воно ж має якось контролюватися. Значить є канал зв’язку. Є канал зв’язку — є вразливість. Є вразливості — є атаки. Ми цього не уникнемо.
— А ми можемо принаймні щось зробити, щоб бодай мінімізувати ці небезпеки?
О. Б.: Ми повинні, насамперед, зрозуміти ці небезпеки. Потім розуміти елементарні правила безпеки, наприклад, не підключати своє серце до свого мобільного телефону. Уникнути прориву технологій неможливо, й захиститись від їх проникнення у наше життя, одягнувши маску, теж.
— Якщо говорити про комунікацію між людьми, то є небезпека, що віртуальна реальність сильно її змінить Коли людина буде щаслива сидіти в своєму шоломі віртуальної реальності, створювати свої світи, їй не потрібно буде комунікувати фізично з кимось іншим…
О. Б.: Погоджуюся, це справді виклик. Дуже класно свого часу заспівав Макаревич «И вместо беседы лишь холод заученных фраз. И судят о мне и тебе по нашим машинам, Остатки свободы сменив на тормоз и газ».
Колись я грався в онлайн-ігри, але з часом переріс. Це як дитинство. Усі мають пройти період гри у пісочниці. Може ця віртуальна реальність теж стане періодом, який повинні пройти діти, щоб подорослішати. Минуле покоління дивилися телевізор. Сучасне покоління дивиться інтернет. Але все одно, якщо треба їсти, то йдуть на кухню.
— Пропоную трохи пофілософствувати: чи зміниться саме уявлення про людину, про її роль, про її природу у світлі цих технологій?
О. Б.: На мій погляд, ще ніколи технологія не приводила до зміни ролі людини. Якщо взяти, наприклад, війну, то ми можемо удосконалювати зброю, але на гачок має хтось натискати. Ми можемо вигадувати безліч винаходів для медичної сфери, але тільки хірург бере в руки скальпель. Всі ці нові технології, засоби і інструменти звільняють людину від певних рутинних задач, але сама сутність людської діяльності від цього не змінюється. Я маю дуже великі сумніви, що колись робот зможе написати вірша. Я маю сумніви, що колись робот зможе оцінити колір очей дівчини. Тому сама суть людини не змінюється, змінюється тільки все довкола.