«Тих, хто атакує компанії Татарстану, цікавлять персональні дані і комерційна таємниця»

8.09.2018

Глава центру інформаційної безпеки Університету Іннополіс про Павла Дурове, зарплатах кіберзащітніка і професійної параної

«Джентльменський набір» від кібератак для пересічного росіянина простий: персональний міжмережевий екран, антивірус, VPN і авторизація на мобільному пристрої, вважає автор міжнародних книг з кібербезпеки Сергій Петренко. До «закону Яровий», на його думку, варто поставитися спокійніше: в США зберігають цифрові сліди до 10 років, в Європі - 5-6 років, і «ніхто з плакатами не ходить». Чому Татарстан привабливий для кібершахраїв і що мінзв'язку робить для нашого захисту, Петренко розповів «БІЗНЕС Online».

«Ми захотіли, ЩОБ ПРО НАС ГОВОРИЛИ, ЩО МИ ТЕХНОЛОГІЧНІ ЛІДЕРИ»

- Ви експерт секції з проблем інформаційної безпеки наукової ради при раді безпеки РФ. Розкажіть, чим саме ви займаєтеся на цій посаді? З якими питаннями найчастіше стикаєтеся?

- У нас існує група з проблем інформаційної безпеки. У ній приблизно 25 фахівців, є так звані постійно діючі, є запрошують фахівці з якихось вузьких питань. (В постійному списку наукової ради під керівництвом Миколи Патрушев а Петренко не значиться, але він працює в раді як запрошений експерт вже кілька років - прим. ред. ) Регламент роботи Ради безпеки відомий, як це зазвичай відбувається: наради приблизно раз на місяць по вузьких проблем. Наприклад, недавно ми обговорювали використання блокчейна і криптовалюта, питання, пов'язані з утворенням, говорили про проблеми промислового інтернету речей, тобто те, що відноситься до Індустрії 4.0, - найостанніші віяння, які є. Призначення нашої секції в чому? Моніторинг новинок інновацій в області кібербезпеки, обговорення і локалізація на прикладі території РФ, навіть вище: у співпраці з БРІКС і ШОС - стратегічними альянсами.

На цю позицію я був запрошений в 2015 році, коли ще працював у Москві в АФК «Система». Потім мене покликали сюди (в Університет Іннополіс), відповідно, я почав уже представляти інтереси Республіки Татарстан і університету.

З липня 2017 року Росії стартувала держпрограма «Цифрова економіка», в рамках якої за 6 напрямами прописана дорожня карта. Одне з цих напрямків - з інформаційної безпеки. З точки зору цифрової економіки Росія і Республіка Татарстан займають 41-43-е місце в світі. Поставлено завдання до 2025 року увійти в десятку лідерів - це дуже амбітно. Звичайно, ми хочемо цю задачу вирішити в основному за рахунок інновацій в області цифрової економіки і, природно, в області кібербезпеки. Тому зараз на федеральному рівні сформований так званий центр компетенцій у напрямку інформаційної безпеки. Він управляється АНО «Цифрова економіка», і на технічному рівні ним керує служба безпеки Ощадбанку.

28 серпня мене запросили представляти інтереси РФ в ООН: вони проводять семінар у Відні, присвячений протидії кіберзлочинів в молодіжному середовищі. Ми будемо обговорювати навчальні матеріали, в дискусіях уточнювати навчальні модулі, відстоювати свої пропозиції.

- Восени в датському видавництві River Publishers у вас виходить монографія «Інновації кібербезпеки для цифрової економіки» англійською мовою. Розкажіть, на кого орієнтована ця книга?

- Ця книга виходить не тільки першої по цій темі в Росії, якщо всі терміни ми витримаємо, але і вона одна з найперших в Європі - це точно. Зазвичай, коли заводять розмову про лідерів цифрової економіки, в першу чергу називають навіть не США, а Великобританію - у них кращі показники. Потім кажуть про США, потім ЄС (Німеччина, Данія), Японія. Десь там на передостанніх позиціях називають Китай і Росію. Тому ми захотіли, щоб нас згадували не в кінці, а говорили, що ми технологічні лідери.

Оскільки ми ведемо дослідження досить давно і вже є у нас певні результати, ми оформили і представили широкій публіці інноваційні розробки в області кібербезпеки для цифрової економіки. У цільову аудиторію книги входять три категорії осіб. Перша - керівники державних та комерційних підприємств, які беруть участь в держпрограмі цифрової економіки, тобто це, по суті справи, керівники цифрових підприємств по ключових секторів економіки. Друга категорія - відповідальні особи, які забезпечують інформаційну безпеку: це, як правило, начальники служб IT і директора служб інформаційної безпеки. Третя категорія - інженери-дослідники, студенти та аспіранти відповідних спеціальностей.

В області кібербезпеки номером один вважається видавництво Elsevier (Нідерланди), друге - Springer Science + Business Media (Люксембург): в цьому видавництві ми вже випустили книгу в квітні, вона називається «Застосування технологій великих даних для моніторингу загроз інформаційній безпеці». Ми могли продовжити з ними спілкування, але цикл підготовки в будь-якому міжнародному видавництві - 6-8 місяців. Ми вирішили не чекати, і паралельним курсом у нас готується ще третя книга. Видавництво, з яким ми зараз працюємо, - це американське видавництво асоціації обчислювальної техніки (ACM). Вона дійсно збирає кращих - як нобелівських лауреатів, тільки в області обчислювальної техніки і програмування. З цим видавництвом ми зараз теж працюємо, і за планом в грудні-січні 2019 року в нас вийде ще одна книжка у них.

У мене вже є близько 250 статей російськомовних, приблизно 12 монографій випущено до цього. Ще дві монографії, про які говорили, підготовлені і випускаються, і одна готується на іспанською мовою (у нас є партнер в Іспанії: університет Ов'єдо), видається в березні 2019 року. Четверта монографія в ACM - найбільшої в США і Канаді.

«НА ВАС Спочатку нападник, ВИ ЯКОЮСЬ ЗБИТКИ, А ПОТІМ ПОЧИНАЄТЕ ВИПРАВЛЯТИ ЦЮ СИТУАЦІЮ»

- Ви говорили , Що в 2018 році слід очікувати розвитку кібератак на блокчейн і цифрові валюти. Можете назвати найбільшу кібератаку в цій галузі?

- Ми два місяці тому готували технічний звіт, в якому описали 16 типових атак на системи, які побудовані на основі блокчейна. За динамікою тут нічого незвичайного немає: дійсно, коли у нас технологія якась з'являється, то спочатку, як кажуть, є такий пік очікувань - від нової технології чекають якихось фантастичних речей. Потім западина розчарування, коли вважають, що технологія незріла. Потім невеликий, але впевнене зростання. Відносно блокчейна: на мою суб'єктивну думку, він зараз входить в западину розчарування, тобто коли про цю технологію знають всі, але про те, що там існують якісь серйозні проблеми, - немає. Ми зіткнулися з цим 4-5 місяців тому, і зараз просто йде дослідження цих вразливостей і загроз і спроба їх нейтралізації для практичного застосування. Ну і очікується, що в найближчі 6-7 місяців цей процес буде логічно завершений і технологія почне невеликий, але впевнене зростання в плані стабільності.

Взагалі всі потенційні загрози національній безпеці докладно розписані в новій доктрині інформаційної безпеки. Це і загрози, пов'язані з терористичною діяльністю, - так званий антитерор, і зокрема кібертеррор, і протидія йому. Це боротьба зі злочинністю, наприклад в частині відмивання грошових коштів. Це загрози, пов'язані з веденням діяльності спецслужб іноземних держав. Ну і інші.

У нас останні 8 місяців все в основному говорили про три таких масштабних атаках. це WannaCry , Petya , Bad Rabbit . У чому була новизна цих атак? Зазвичай кібератаки ділять на три види: це так звані класичні кібератаки - їх на сьогоднішній день приблизно 2,5 тисячі типів, і в рамках кожного типу можуть бути різновиди. Далі все, що пов'язано з шкідливим ПЗ: там близько 1,8 тисячі типів, і, знову ж таки, в кожному такому типі є різновиди. Третій напрям - так звані масовані кібератаки, які використовують комбіновані засоби, в тому числі поліцейські функції, вбудовані програмно-апаратні закладки, вбудовані цільові атаки, трояни в комбінації. Останні типи атак якраз ставилися до цих комбінованим масовим груповим атакам. Збиток відомий: від 150 тисяч доларів до кількох мільйонів. Атаці піддавалися і федеральні об'єкти, і республіканські, але епідемію вдалося нейтралізувати.

Ми витягли урок: в Іннополісе створили центр реагування та попередження кібератак і зосередилися на загальному перспективному напрямку - це раннє попередження комп'ютерних атак. Якщо сьогодні більшість засобів комп'ютерної безпеки оборонні і працюють за фактом нападу (на вас спочатку нападають, ви несете якийсь збиток, а потім починаєте виправляти цю ситуацію), то ми подивилися на це трохи інакше: вирішили по можливості не допускати комп'ютерні атаки до об'єкта . Щоб реалізувати цю функцію і вирішувати завдання раннього попередження, припинення і попередження, потрібно вийти за рамки периметра підприємства, мати можливість виставити так званих дозорних в кіберпросторі - сенсори, які будуть вловлювати не стільки сам факт атаки, скільки інформаційні ознаки підготовку агресії. Завдяки цьому ми змогли отримати дані про підготовку атаках за два тижні до того, як вони трапилися.

Відповідно, були оповіщені технічні наші служби. Коли епідемія вже трапилася, у нас був такий інформаційний бум в Іннополісе: до нас приїжджали журналісти республіканські, російські, з СНД ... Ми зробили масу заяв, і все цікавилися, як нам вдається виявляти і попереджувати атаки.

- Який обсяг кібератак зараз йде на компанії Татарстану? Чи є зміни щодо минулих років, позитивні чи негативні?

- Татарстан лідирує в плані інформатизації та цифрової економіки серед основних регіонів РФ так само, як і з точки зору кібербезпеки. У цьому є і зворотна сторона: раз у нас високий рівень інформатизації, ми більш привабливі для зловмисників.

Ми в центрі інформаційної безпеки УІ в 2017 році виявили витік конфіденційної інформації приблизно в 600-800 тисяч записів, з них 75 відсотків - це персональні дані громадян. Причому високотехнологічні компанії склали майже три чверті з них. В цілому ці дані збігаються із середніми показниками витоку по інших регіонах Росії і міжнародної статистикою. Зловмисників, які атакують компанії Татарстану, стабільно вже який рік цікавлять персональні дані, платіжні дані, комерційна таємниця, інтелектуальна власність.

- Які татарстанські підприємства краще всіх захищаються, а хто - в зоні ризику?

- Краще за всіх захищаються телеком, банки і оборонно-промисловий комплекс. Гірше - ритейл, охорону здоров'я.

- Яка вартість впровадження системи безпеки на робоче місце для великих, середніх і малих підприємств? Наприклад, сума для обладнання одного робочого місця.

- Вартість підсистеми захисту інформації знаходиться в рамках від 30 відсотків від вартості ІТ-активів до 400 відсотків відповідно - при підвищеному рівні інформаційної безпеки.

«Наша підготовка унікальна, ми займаємося технологіями Індустрії 4.0, розглядаємо технології найсучасніші, які ще не знайшли відображення в навчальних програмах в інших вузах» Фото: Сергій Єлагін

«КОЖЕН НАШ ВИПУСКНИК ОТРИМУЄ ВІДРАЗУ ВІД 5 ДО 7 РОБОЧИХ ПРОПОЗИЦІЙ»

- Чи виховують в Університеті Іннополіс фахівців з кібербезпеки? Де ще в Росії готують хороших фахівців з кібербезпеки?

- У нас більше 100 вузів, які готують фахівців з інформаційної безпеки по Росії. Але наша підготовка унікальна, ми займаємося технологіями Індустрії 4.0, розглядаємо технології найсучасніші, які ще не знайшли відображення в навчальних програмах в інших вузах. Щороку набирається мінімум одна група, в минулому році було дві, в середньому випускаються близько 60-80 осіб на рік. При тому що в минулому році у нас було 554 студента, дві групи - це багато. Таке можна порівняти з іншими найбільш популярними спеціальностями - робототехнікою і розробкою ПЗ для програмних додатків.

В цілому по Росії ситуація виглядає наступним чином: кожен рік випускаються приблизно 5 тисяч фахівців, а потреба - 25 тисяч фахівців в рік. Навчальні програми класичних вузів досить консервативні, тобто вони розраховані на 4-6 років, а ІТ настільки стрімко розвиваються і змінюються кожні півроку, що випереджають програму, яка розробляється на 5-6 років, і після виходу студенту доводиться переучуватися. В Університеті Іннополіс ми не замикаємо студента в тунель: «Ти заходь, через чотири роки вийдеш фахівцем і будеш працювати». Вони постійно в тренді, разом з викладачами беруть участь в розробках і постійно себе підтримують в такому тонусі. Тому коли вони розподіляються, кожен наш випускник отримує відразу від 5 до 7 пропозицій від компаній. Навіть в мій центр - а у нас зараз пора випуску - підходили молоді хлопці і дівчата і ще задають такі питання: «Чи варто нам до вас йти і чому ваша пропозиція краще, ніж робота у якихось спеціалізованих виробників або вендорів? Або розвиток селфіша? »Як і більшість викладачів, я дотримуюся позиції, що не потрібно переконувати, треба показати кілька варіантів і потенційні результати кожного. Коли у нього є вибір, він повинен сам оцінити, що для нього краще.

- Скільки в середньому отримує фахівець з кібербезпеки в Росії?

- Якщо ми говоримо про Європу та США, то у них фахівці-за вашою практикою отримують достатньо - є такі прецеденти, коли людині відразу запропонували 130 тисяч доларів на рік. Але це Європа з США і Канадою. У Росії ми дотримуємося середньої зарплати в сфері по регіону, тому цифри не буду називати, але в цілому виходить так: якщо середня зарплата в регіоні - 25-40 тисяч рублів на місяць, то наш фахівець знаходиться ближче до верхньої планки. Є ті, хто отримує більше. Можна сказати, що в Москві ще більше - в 5-6 разів. Але тим, хто займається ІТ, гріх скаржитися: це досить високооплачувана робота.

З точки зору безпеки є три моделі поведінки. Перша: довіряю всім і завжди. Крайня модель: чи не довіряю нікому і ніколи - це параноїк. І модель життєва і реалістична: довіряю деяким і на певний час Фото: pixabay.com

«Крайнощів властиві СПЕЦИАЛИСТАМ БЕЗПЕКИ, У ЯКИХ ПОЧИНАЄТЬСЯ ПРОФЕСІЙНА параноя»

- Чи всі тепер в зоні ризику кібератак? Кому може знадобитися атакувати звичайного жителя, що можна з нього взяти? Чи можете дати практичні поради, як убезпечити себе і свій будинок, соцмережі та особисту пошту?

- Бути в системі і незалежно від системи - неможливо, можна зайняти позу «нічого мене не стосується», але це не так: ми елементи системи, хочемо цього чи ні. Значить, ми суб'єкти суспільства, тому на нас завжди йде якесь проектування, відображення, ми в цьому процесі участь. Які тут рекомендації? Перше - не потрібно цього боятися, тому що багато що нагадує боротьбу з Індустрією 3.0, коли механічні машини змінювалися на парові і робочі і навіть інженери з вищою освітою виходили і ламали його, так як боялися, що втратять роботу. Звичайно, прогрес не зупинити, незалежно від нашого бажання він буде далі розвиватися, і, звичайно, грамотно і, напевно, розумно просто користуватися цими досягненнями цивілізації. Користуватися просто для того, щоб наше життя було комфортніше і безпечніше.

Если з безпеки, то у нас є організаційні заходи и технічні. Організаційні - це організація режиму, навчальні курси, інструкції, якась особиста пільність, коли ми встановлюємо пароль на Користування своими гаджетами, якісь елементарні Антивірусні засоби. Ну Звичайно Використовують персональний міжмережевій екран, антивірус, іноді встановлюються VPN - способ организации віртуальної мережі, щоб закрити свой трек від цікавіх очей - и пароль на вхід. Ось такий «джентльменській набір», ВІН Скрізь присутній І, Звичайно, его відкідаті не потрібно. Если ви его відкідаєте, щось не дівуйтеся, что Чомусь ви зайшла в соцмережах або месенджер и хтось дізнався пароль від Сторінки. Дізнався чому - тому що у вас не захищений вхід. Найчастіше допускають такі помилки в офісах: закінчується робочий день - потрібно переводити систему в спеціальний режим або вимикати, екран гаситься і далі його активація можлива тільки після того, як ви вводите логін і пароль. Часто це забувають робити. Багато на повному серйозі вважають, що якщо їх сторінку ВК зламали, то це було зроблено спеціальними діями, що це якась атака, це був перехоплення інформації. Ні, це можуть бути просто ознаки недостатньої обережності.

Інша крайність властива фахівцям з безпеки, особливо тим, хто працює більше 10-15 років, - я підходжу до цієї категорії - у яких починається «професійна параноя». Вони можуть в звичайному дії побачити щось, спрямоване проти безпеки в цілому, відповідно, можливо зловживанню запобіжними заходами забезпеченнями безпеки - так званий захист заради захисту.

Якщо заглиблюватися, з точки зору безпеки є три моделі поведінки. Люди так чи інакше відносяться до цих трьох моделей. Перша - «довіряю всім і завжди». Крайня модель - "не довіряю нікому і ніколи», це параноїк. І модель життєва, реалістична - «довіряю деяким і на певний час, в рамках виконання службового завдання, в рамках проекту». Це найправильніша модель: якщо людина йде на посилення, то він сам собі починає заважати, замість своїх цільових завдань і функцій він починає займатися надлишкової безпекою, підозрює, може самого себе загнати в кут. Якщо ж він безтурботний, то стовідсотково він втратить рано чи пізно важливу інформацію і будуть негативні наслідки. Тому, якщо говорити про рекомендації, ось ця модель і використання базових засобів захисту: персональний міжмережевий екран, антивірус, VPN і засіб авторизації на мобільному пристрої.

«Якщо зараз говорити про Павла Дурове і Telegram, то були повідомлення, і я їх бачив, що оцінюють втрати до 1/5 російськомовної аудиторії» Фото: «БІЗНЕС Online»

«АМЕРИКАНЦІ не соромлячись ЗБЕРІГАЮТЬ ЦИФРОВІ СЛІДИ ПРОТЯГОМ 10 РОКІВ»

- Чи вважаєте ви Павла Дурова сучасним героєм або, навпаки, шкідником? Чи справді Telegram представляє загрозу інформаційній безпеці країни?

- По професійними якостями, звичайно, я вважаю, що він технологічний лідер. По взаємодії з законодавством, знову-таки це моя суб'єктивна думка, що, звичайно, потрібно дотримуватися тих правил, які є. І у нас трохи нехтують цим і починають давати інфоприводи. Наприклад, «закон Яровий»: його скільки обговорювали і приймали в штики, але якщо подивитися на американців, європейців і порівняти, то у нас було просто вимога: зберігати цифрові сліди протягом трьох років. Технічно це складно, заявляло більшість інформаційних ресурсів і заявляло терміни не більше 6 місяців. Американці не соромлячись зберігають цифрові сліди протягом 10 років. У Європі практика - 6-8 років. За соцмережах і мессенджерам американці і європейці навіть не питають - у них є закон, спрямований проти терору, і, згідно з цими законами, в разі офіційних запитів це листування повинна бути надана без уповільнення. Більш того, в США у них прямий доступ як до операторів зв'язку, так і до розробників. Apple, IBM зобов'язані надавати цю інформацію, і ні у кого це не викликає обурення, ніхто з плакатами не ходить.

У нас чомусь кожен раз відбуваються такі події. Сприймають це як обмеження особистому житті, але мало хто замислюється, що він насправді вже залишає якісь інформаційні сліди (покупка квитків, відвідування ресторану), хоче він цього чи не хоче. Якщо він їздить відпочивати за кордон, то навіть якщо він не є громадянином ЄС, то на нього вже певний цифрове досьє тут же формується: відслідковуються банківські транзакції, його переміщення, покупки його родичів, місця переваги відвідування, якісь установи культури. І, здавалося б, навіщо їм це, але це досьє зберігається протягом 10-12 років. Тому що у нас відбувається: є закон антитерору, його треба виконувати, нічого тут складного немає.

Я думаю, що в кінцевому рахунку компроміс буде знайдений. І якщо зараз говорити про Павла Дурове і Telegram, то були повідомлення, і я їх бачив, що оцінюють втрати до 1/5 російськомовної аудиторії. Хоча я думаю, що трохи перебільшують, я не думаю, що такі втрати великі відбулися. Я вважаю, що вони знайдуть зараз компроміс і цей компроміс дозволить цим месенджером користуватися, тому що він дійсно зроблений на гарному рівні, і, більш того, не секрет, в Іннополісе у нас завжди його підтримували і вся переписка ділова велася в Telegram. Зрозуміло, що ми намагаємося не порушувати тих вимог, які є. Там же є звичайний режим і режим включення криптографічного трафіку - ми його не піднімаємо, щоб не провокувати порушення. У нас відкрита виходить листування, але ми користуємося, і я користуюся, і рішення, я вважаю, вдале, своєчасне.

- Ваша думка про Едварда Сноуденом, викриття якого вплинули на те, що тема кібербезпеки виявилася в центрі суспільної уваги? І чому, на ваш погляд, суспільство схильне героїзувати таких персонажів?

- Питання цікаве і дуже складний. Якщо оцінювати його з точки зору громадянина і патріота США, то, звичайно, в їх очах він є зрадником - розкрив секрети, надав інформацію. Якщо розглядати з точки зору людських якостей, то він показав всьому світу, що ні багато ні мало в 2011 році вже існувало близько 85 тисяч закладок і зрозуміло, що ці закладки ставилися в апаратуру, в технічні засоби не просто так. Тому з людської позиції, як проповідник, що він показав це і, більш того, розкрив факти прослуховування уряду Німеччини, Франції, Мексики, - резонанс був величезний, медійний ефект був дуже сильний після його висловлювання - це викликає повагу як до людини. Коли він про це сказав, він себе прирік все життя ховатися - все життя буде переміщатися з однієї закритої площадки в іншу, змінювати вид (може, і підлогу, я не знаю), але він буде весь час в бігах. Він на цей крок пішов свідомо.

У мене до нього суперечливі почуття. Як фахівець з безпеки я розумію, що він порушив певні правила гри. З іншого боку, він показав всю цю небезпеку. У нас насправді подібні прецеденти були, в Росії теж, але тільки не в цій області. Наприклад, яке ваше ставлення до Солженіцина або Сахарову? Наші всі визнають, що Сахаров - велика розумниця, дуже великий вчений, оцінюють його професійні та особисті якості, але є й ті, хто його не сприймає. Тут питання з серії «бути чи не бути», дуже філософський.

Сергій Анатолійович Петренко - керівник центру інформаційної безпеки Університету Іннополіс.

Народився в 1968 році в місті Калінінграді (Балтійський).

Має дві вищі освіти (Військово-космічна академія ім. Можайського і ЛДУ ім.Пушкіна) спеціальність - інженер-математик. У 2011 році захищена докторська дисертація в області ІБ, в 2013 році присвоєно звання професора по кафедрі. В області захисту інформації працює з 1991 року.

2013-2015 - АФК «Система» (ГТВ, МТС, МГТС, ВТСС), директор центру кібербезпеки.

2015-2016 - ВАТ «ІнфоТеКС», радник генерального директора компанії з питань розвитку ГосСОПКА.

З 2016 року по теперішній час - АНО ВО «Університет Іннополіс», керівник центру інформаційної безпеки.

Одружений, двоє дітей (син і дочка).