В.Цепкало: ”Предлагаем создать международный центр в области компьютерной безопасности для государств Евразии на базе ПВТ“

Выступление директора ПВТ Валерия Вильямовича Цепкало на 7-м Евразийском форуме ”Международные аспекты информационной безопасности и информационного взаимодействия“, который состоялся 9-10 июня 2011 года в г. Москве (Российская Федерация).

”Начнем рассмотрение проблем безопасности в развитии современного информационного общества со случая, который уже стал хрестоматийным, несмотря на то, что имел место лишь 3 года назад. Это компьютерная атака на правительственные серверы Эстонии. Здесь мы не будем затрагивать политический контекст, на фоне которого происходило это событие – это увело бы нас далеко за рамки обозначенной нами проблематики.

В той истории важно другое. А именно то, что компьютерной атаке подверглось государство, ставшее одним из европейских и мировых лидеров в области развития "информационного общества" и "электронного правительства". В Эстонии уже давно реализована концепция "электронного государства". Там уже практически отсутствуют государственные услуги, которые гражданин или бизнес не мог бы получить без использования интернет, информационных технологий.

В Эстонии уже давно не надо стоять в очередях за получением какой-либо справки, или для подачи каких-либо сведений (например, налоговых). В этой стране предприятие может получить сертификат на ввоз каких-то товаров (компьютеров или смартфонов) или лицензию на право заниматься каким-либо видом деятельности, не выходя из офиса компании. Да и зарегистрировать компанию любой гражданин Эстонии может через интернет, не выходя из дома.

Нам пока это сложно представить. Нам куда проще представить себе государство, где документы выдаются на бумажных бланках, где человек должен обойти множество государственных органов, собрать в них какие-то справки для того, чтобы предъявить другому госоргану. Нам совсем не сложно представить себе страну, где развитие "электронного правительства" остановилось на уровне фиксированной телефонной связи. Нам совсем не сложно представить себе государство, где даже министерство связи и информатизации (практически во всех странах отвечающее за государственную ИТ - политику) не имеет электронного "одного окна", куда можно было бы обратиться, скажем, за сертификатом на продукцию Apple или Sony.

На такое государство компьютерных атак быть не может a priori, по определению, так как нет соответствующей цели – государственных информационных сетей. Но чем выше уровень развития технологий, тем больше угроз она за собой несет.

Так что же? Ради безопасности не развивать информационные технологии? Кто-то может так и думает.

Но при более внимательном рассмотрении оказывается, что отсутствие этих технологий приводит к еще большим угрозам для национальной безопасности.

Почему?

Дело в том, что информационные технологии сегодня – это не только предпосылка эффективности экономики, но и условие национальной конкурентоспособности. Без их активного использования сегодня не может эффективно работать ни одно промышленное предприятие, ни один банк. В противном случае происходит потеря эффективности управления, снижение производительности труда, что очень быстро приводит к утрате конкурентоспособности. В конце концов, это сказывается на общем уровне экономического развития страны, влечет за собой снижение уровня жизни людей.

И напротив. Использование информационных технологий в государственном управлении повышает качество жизни людей (получать справки можно не выстаивая в длинных очередях и не бегать от одной государственной инстанции к другой). Оно способствует развитию экономики (улучшается инвестиционный и деловой климат, снижаются бюрократические и административные барьеры), что положительным образом сказывается на уровне благосостояния населения.

В конечном счете, использование ИКТ формирует удовлетворенность государством со стороны граждан – они реально ощущают заботу государства в удовлетворении их нужд и потребностей.

Если не развивать современные технологии в управлении предприятием, банком, государством, то ваше экономическое отставание становится неизбежным. В итоге это является куда более серьезным вызовом национальной безопасности, чем любые кибер угрозы, в том числе и те, которые испытала на себе Эстония.

Поэтому не ограничивать надо использование новой технологии, а искать ответы на новые вызовы (безопасности).

Если разобраться, то любая новая технология порождает новые вызовы. Так было всегда. Придумали автомобили – люди стали гибнуть в авариях. Начали строить самолеты – люди стали гибнуть в авиакатастрофах. И так практически с любой технологией. Как образно выразился Гегель: "нельзя сорвать розу с креста настоящего, не приняв и крест". Нельзя воспользоваться какой-то новой технологией, чтобы тут же не иметь дело с возникающими в связи с ее применением угрозами.

Поэтому вполне естественно, что никому из здравомыслящих людей не пришло в голову ограничивать развитие авто- или авиастроения, так как все прекрасно понимали, какие новые перспективы это дает для экономического развития. В результате эксперты шли двумя путями совершенствования системы безопасности: "внешнее" регулирование – создание правил дорожного движения, правил воздушного сообщения; и "внутреннее" - повышение технологической безопасности транспортных средств (от совершенствования тормозных систем и создания подушек безопасности для автомобилей до системы раннего предупреждения для самолетов).

То же самое и в области компьютерной безопасности. Здесь также идет движение по двум направлениям – "внешнему", регулятивному и "внутреннему", технологическому. С одной стороны практически все государства в мире и на национальном и на международном уровне думают о том, как регулировать интернет, установить там некие правила (ограничивать спам, пресекать детскую порнографию, отслеживать источники распространения компьютерных вирусов, и т.п.). С другой стороны идет работа над развитием технологий в области защиты персональной, финансовой и прочей информации.

"Внешнее" регулирование интернет имеет ряд особенностей. И главная особенность в том, как установить в сети определенные правила, чтобы при этом не посягнуть на свободу интернет. Основных вызовов я здесь вижу, по крайней мере, два.

Первый в установлении ответственности за содержание/контент, создаваемый пользователями в сети. С одной стороны, мы не хотим ограничить право каждого интернет-пользователя комментировать те или иные события. С другой, мы понимаем, что необходимо соблюдение и прав тех, "кого комментируют".

Ведь оскорбления, ложь, нецензурная брань, направленная против конкретных людей – это стало, к сожалению, одной из характерных черт "сети". В реальной жизни такое, конечно, тоже случается, но крайне редко. В реальной жизни человек, оскорбляющий другого, идентифицирован, то есть он как бы обозначил самого себя, представился. Он понимает, что за чрезмерное оскорбление он может получить отпор, в том числе и физический. Это является достаточно серьезным фактором сдерживания при желании проявить вербальную агрессию.

В сети на вас нападает какой-нибудь "стебун" или "аноним" или кто-то еще, кого вы не знаете. Он может позволить себе называть вас как ему захочется, обкладывать руганью, или распространять откровенную дезинформацию.

Что в такой ситуации делать? Не знаю.

Могу сказать лишь то, что одной из причин успеха социальных сетей является общественная потребность к наведению какого-то порядка в интернет, где "стебунам" и "анонимам" нет места. На facebook или linkedin человек как бы представился, обозначил свою идентичность (в противном случае, он не попадет в группу пользователей). В результате этический уровень комментариев там неизмеримо выше. Какой может быть следующий "тренд" в сети?

Возможно, некоторые интернет-ресурсы будут давать право комментировать только пользователям социальных сетей, чтобы повысить культуру обсуждения затрагиваемой темы? Тем более, что через 3-4 года практически все пользователи интернет будут в той или иной форме участниками социальных сетей. Собственно говоря, это уже и происходит посредством регистрации информационных ресурсов в социальных сетях.

Второй вызов заключается в том, что безопасность информации из заботы преимущественно государственной становится проблемой каждого из нас. В этой связи чрезвычайно интересной являются попытки оценить Wikileaks. Кто-то считает Ассанджа преступником, а кто-то современным Робин Гудом.

Конечно, вполне объяснима симпатия и одобрение со стороны многих людей к ресурсу, который вскрывает тайные пружины внешней и внутренней политики. Люди хотят сегодня быть более осведомленными в отношении того, что происходит в современном мире. С другой стороны возникает вопрос: а как мы будем реагировать на то, что Wikileaks опубликует медицинские записи конкретных людей? Или выложит в «сеть» номера всех мобильных телефонов? В этом случае, мы не будем уж столь категоричными.

Теперь о вопросах "внутреннего" регулирования, то есть технологической составляющей информационной безопасности. Здесь необходимо, прежде всего, иметь в виду ряд особенностей, характеризующих этот вид технологий.

Традиционные вызовы безопасности, как правило, характеризуются более или менее взвешенным соотношением угроза – адекватный ответ. То есть, чтобы представлять угрозу, необходимо иметь серьезный материальный ресурс.

Информационное же пространство характеризуется ассиметричностью. Суть ее заключается в том, что для того, чтобы создать серьезную угрозу для безопасности предприятия, банка или даже для государственных информационных сетей, нет необходимости строить дорогие системы. Не надо иметь военных судов, танков или самолетов, чтобы организовать атаку на общественные институты. Здесь угрозу может представлять… один компьютер. Его низкая стоимость означает, что источников этих угроз может быть неограниченно много. И эти источники очень сложно идентифицировать. Ракеты имеют обратный адрес. Кибератаки, в большинстве случаев – нет.

Посланный по интернет сигнал за 0,3 секунды дважды проходит земной шар. Но усилия, необходимые для идентификации источника, могут потребовать нескольких месяцев.

Можно условно выделить существование 2 типов кибер угрозы. Угрозы военным сетям мы рассматривать не будем, так как они были идентифицированы достаточно давно и имеют свои специфические формы обеспечения безопасности (например, технологический запрет на выход во внешние сети).

1. Угроза для инфраструктуры – электростанции, транспорт, финансовый сектор может приводить к физическому ущербу для экономики в крупных масштабах. (Эти угрозы эффектно описаны в фильме Крепкий Орешек – 4).

2. Угроза интеллектуальной собственности. Это проникновение в базы данных – предприятий, банков с целью изъятия/кражи некой информации. Либо создание так называемого "враждебного кода", который включает т.н. "логические бомбы", способные проникнуть в ваше программное обеспечение с целью удаленного манипулирования системой.

С моей точки зрения, одной из основных мер по укреплению безопасности лежит в сотрудничестве между государством и частным сектором. Ведь только частный сектор может быть источников инноваций и изобретений. Лишь только частному сектору позволено рисковать в создании новых программ, продуктов и решений в области компьютерных и иных высоких технологий.

Именно в частном секторе разрабатываются основные технологические элементы компьютерной безопасности – от создания антивирусных программ, программ резервного копирования информации, firewalls и иных методов обеспечения информационной безопасности.

Далее осуществляется технологический трансфер от частного сектора к академическим и образовательным структурам и затем к правительственным органам.

Таким образом, главным ответом на вызовы информационной безопасности является усиление человеческого, интеллектуального потенциала. Оно может лежать лишь на пути к подготовке значительного количества квалифицированных специалистов.

Международный советник нашего Парка высоких технологий доктор Махатхир Мохамад, великий модернизатор и премьер-министр Малайзии (1981-2003) прочувствовал значимость информационных технологий в целом и компьютерной безопасности частности в будущей постиндустриальной экономике и обществе. На базе созданного по его инициативе крупнейшего ИТ-парка Азии - Киберджаи, он создал международный центр в области компьютерной безопасности. Этот центр пока является единственным в мире в своем роде.

Мы предлагаем создать такой же центр в Минске – для государств Евразии - на базе Парка высоких технологий. На сегодняшний день белорусский ПВТ является единственным кластером в области информационных технологий в регионе. Это то место, где частный бизнес, университеты и исследовательские центры вместе с заинтересованными государственными структурами стран СНГ и Центральной Евразии могли бы вести совместные разработки в области компьютерной безопасности и разрабатывать предложения по регулированию этого, во многом нового, направления в развитии информационного общества.

Спасибо за внимание!“