Герберт Лин является старшим научным сотрудником по информационной политике и безопасности в Центре по вопросам международной безопасности и сотрудничества (CISAC) при Стэнфордском университете (США). Лин также является специалистом по информационной политике и безопасности в Институте Гувера – престижном научно-исследовательском центре публичной политики. В дополнение к его работе по вопросам информационной политики и безопасности, Лин является доктором физических наук в Массачусетском технологическом институте.
Panda Security (P.S.): Каково Ваше общее представление о состоянии информационной безопасности предприятий в 2017 году?
Герберт Лин (Г.Л.): Информационная безопасность на предприятиях очень сложна. Большинство предприятий понимают, что они вынуждены обращать внимание на эти вопросы, но многие из них не до конца понимают, как делать инвестиции в информационную безопасность. Поэтому, если вы являетесь руководителем по информационной безопасности в своей компании, а ваш директор говорит вам «Я готов дать тебе миллион долларов», то каким образом вы должны потратить эти средства? И я думаю, что большинство людей не могут дать точный ответ, потому что у них нет [четкой] идеи, как потратить эти средства. Это – первая проблема.
Вторая проблема заключается в том, что зачастую существует неверная оценка рисков, которые могут быть на самом деле. Я думаю, что руководство часто не понимает, что является их основным активом, что действительно необходимо защищать. Вы не можете защитить все на одинаковом уровне, а потому вам необходимо расставить приоритеты: какие вещи являются наиболее важными. И на предприятиях это очень трудно сделать.
Третья проблема связана с тем, что даже если на предприятии правильно управляют своими бизнес-рисками (что бы ни значило слово «правильно»), они управляют ими в рамках потребностей собственного предприятия. Но данное предприятие может иметь более критический для общества характер функционирования, чем могут думать на самом предприятии. А в этом случае можно говорить о серьезных социальных последствиях большой проблемы, связанной с информационной безопасностью данного предприятия. Например, если ваше предприятие является энергетической компанией, электростанцией или чем-то подобным, то в случае остановки в работе пострадают не только акционеры предприятия. Пострадают все люди, которые зависят от работы вашего предприятия. Пострадает больница на соседней улице, все заведения и люди, у которых хранится еда в холодильниках и т.д.
Герберт Лин
P.S.: Как Вы думаете, критическая инфраструктура защищена адекватным образом?
Г.Л.: Вопрос заключается в том, что значит «адекватно»? Можем ли мы сделать больше? Я бы рад, чтобы сделали больше, но в США есть неоспоримый факт, что отключения электроэнергии чаще происходит из-за белок, чем из-за кибер-атак. Что будет дальше в будущем? Я не знаю. Наверное, это глупое сравнение, но все же белки не делают это злонамеренно, а вот преступники – так делают. Опасения связаны с тем, что если преступники это делают злонамеренно, то они могут причинить намного больше вреда, чем белки.
P.S.: Атаки шифровальщиков по-прежнему развиваются. Какие выводы мы можем сделать из недавних атак WannaCry и Petya?
Г.Л.: Атаки шифровальщиков – это, по сути, разновидность DoS-атаки (denial of service), а потому предприятия должны быть способны бороться с ними, они должны иметь процедуры резервного копирования и много чего другого. Резервное копирование – это ресурсоемко, порой сложно, но вы должны это делать. Вы должны знать, как действовать, если вы подвержены угрозе. Например, когда ваши электронные медицинские записи перестали быть доступны вам по интернету. Вы должны знать, как действовать при таких обстоятельствах.
P.S.: Вы можете сказать, что нас ожидает еще одна крупномасштабная атака шифровальщика?
Г.Л.: Да, в целом я думаю, что да. Вы будете видеть подобного рода вещей все больше и больше, а ведь шифровальщики – это простой способ делать деньги.
P.S.: Как Вы думаете, какую роль компании будут играть в потенциальной кибер-войне?
Г.Л.: Они будут играть как случайную, так и осознанную роль. Одна из проблем заключается в том, что предприятия случайно могут допустить ошибку в одной из своих программ, и не исправят ее. Это – проблема, потому что они имеют уязвимость, которую они не устранили. Так что они играют определенную роль, т.к. допустили эту уязвимость. Они это сделали не осознанно, но все же они допустили уязвимость в своем программном обеспечении.
Предприятия имеют возможность настраивать свои системы различными способами, делая их более или менее безопасными. Иногда компании дают своим пользователям некие профили по умолчанию, которые легко настраиваются и при этом не совсем безопасны. Это их выбор. Причина такого выбора кроется в том, что они это делают ради удобства пользователей. Они не хотят, чтобы пользователи им говорили «Ваши продукты сложно использовать», потому что это дает им плохие отзывы в СМИ. Поэтому они делают свои продукты более простыми в использовании, но зачастую они становятся менее безопасными. И тут данное решение – это осознанное решение предприятия. Таким решением они ненароком содействуют усугублению проблемы.
Есть и другие примеры, когда компании сотрудничают с правительственными спецслужбами для обеспечения наступательных операций. Например, спецслужба может обратиться в компанию (допустим, антивирусную компанию), и сказать: «Вот сигнатура, и мы хотим, чтобы вы ее игнорировали, а за это мы заплатим вам 10 миллионов долларов». Зачем они это делают? Потому что они хотят кого-то атаковать, но они знают, что их будущие жертвы используют определенную антивирусную программу. Я не говорю, что это законный способ, но все же он является способом, который использовался спецслужбами. Таким образом, в данном примере компания, которая идет на сотрудничество, помогает наступательной операции, которая в некотором роде может способствовать кибер-войне.
P.S.: Как Вы думаете, через 10 лет мир будет в большей безопасности или нет?
Г.Л.: Я думаю, что будет хуже, но состояние не будет катастрофическим. Если бы мне пришлось выбирать наиболее вероятный исход, то я бы сказал так. Насколько хуже? Я не знаю. Но я думаю, что это будет немного хуже.
P.S.: Почему?
Г.Л.: Потому что я вижу все тенденции, которые идут в этом направлении. Люди хотят выгоды от информационных технологий, но при этом они не хотят оплачивать издержки. Поэтому ценой этому становится безопасность. Я думаю, что в долгосрочной перспективе люди все же начнут обращать внимание на эту проблему. А пока будет «немного хуже», потому что я не думаю, что мы находимся в переломной точке, когда издержки превышают выгоды. Но рано или поздно мы окажемся там. Хотя я думаю, что движение в этом направлении идет медленно. Но когда мы достигнем этой точки, будет совсем другое дело.
Но почему всего лишь «немного хуже», а не катастрофично? Я думаю, что в конечном итоге весь мир настолько взаимозависим, что в случае катастрофы пострадают все. Китай не выиграет, если «уронит» всемирную сеть. Они хотят использовать ее для своей небольшой игры. Если вы нахлебник, вы не хотите убить своего хозяина. Вы просто хотите пользоваться им. Но всегда существует предел тому, сколько вы сможете для себя извлечь.
P.S.: Какой самый важный совет по информационной безопасности Вы бы дали предприятиям?
Г.Л.: Я бы сказал, что информационная безопасность – это бесконечная битва, и вы никогда не будете способны решить эту проблему один раз и навсегда. Вам следует инвестировать больше, чем вы думаете.
P.S. Некоторые части этого интервью были немного отредактированы для большей ясности.