Граблеходство как идея национальной цифровой экономики

Медики, да и мы, простые пациенты, хорошо знакомы с расхожим выражением: «Лечить не причину, а симптомы». Человек или компания обычно устроены так, что пока у них все хорошо, они не беспокоятся о решении своих фундаментальных проблем, а тратят имеющиеся средства на что-то приятное. Когда же наступает кризис, ресурсов катастрофически не хватает, и весь кризис-менеджмент заключается в том, чтобы минимальными затратами затыкать самые крупные дыры. Важно, чтобы после преодоления кризиса, научившись, как принято, на собственных ошибках, люди и компании приложили усилия по искоренению проблем, а не их симптомов.

В последние годы все мы увлеклись автоматизацией и инновациями. Действительно, информационные технологии сделали нашу жизнь удобнее, а бизнес эффективнее. Еще десять лет назад мы не могли даже представить то, какой рывок совершило человечество. Нет, мы не колонизировали Марс и не победили рак, но все равно изменились так быстро, что не успели к этому адаптироваться. Я пишу эту статью в самолете на высоте 10 км, оставаясь при этом онлайн, просматривая странички соцсетей и болтая с друзьями в мессенджерах. То же самое происходит и глубоко под землей, в метро. Я уже не помню, где офисы моих банков и мое отделение налоговой, поскольку плачу налоги и оплачиваю штрафы через мобильное приложение, — огромная часть жизни переместилась в киберпространство. Мой автомобиль ставит мне оценки за стиль вождения, и в зависимости от этого страхование рассчитывает тариф на следующий год. Теперь не надо в каждой командировке покупать местные жетончики и даже проездные на метро: просто приложи телефон к считывателю — и проходи через турникет. Жизнь довольно незаметно стала удобнее.

То же происходит и с компаниями: они стали быстрее и дешевле обслуживать клиентов, поскольку не тратятся на офисы и операторов, поручив обслуживание автоматизированным и роботизированным системам. Табло заказов в ресторанах быстрого обслуживания и кассы самообслуживания в супермаркетах позволяют компаниям сократить расходы на персонал. На складах и в цепочках поставок действуют роботы-погрузчики и дроны-доставщики; GPS-трекеры и RFID-метки позволяют в каждый момент видеть местоположение груза или транспортного средства.

Переход бизнеса в киберпространство не просто удешевил и ускорил транзакции, добавил прозрачности государству и бизнесу, повысил управляемость и упростил учет. Этот переход предоставил бизнесу и государству такое большое количество данных, что оно перешло в качество. Трёхсотлетней давности математический аппарат и вычислительные алгоритмы, имеющие пятидесятилетнюю историю, были названы «искусственным интеллектом» и вкупе с подешевевшими вычислительными мощностями стали доступны и обнаружили удивительную возможность приносить пользу бизнесу.

Две стороны одной медали

Но, доверяя свою жизнь и бизнес информационным технологиям, мы берем от них не только удивительные возможности, но и риски. Прекрасно, что сегодня розница прозрачна для налоговых служб. Как насчет того, чтобы из-за сбоя в программном обеспечении розница целой страны не прекратила деятельность на весь день в период предновогодних распродаж? Корпоративная информационная система представляет собой единую связанную сеть, это очень удобно. А если крупнейшие компании страны неделями не смогут работать, поскольку данные на всех их компьютерах будут зашифрованы?

Думаете, вы используете интернет-сервисы? Похоже, это они используют вас. У вас всегда под рукой популярный навигатор? Будьте готовы к тому, что он прокладывает маршруты не так, как надо вам, а так, как нужно ему, оптимизируя городские потоки и понижая средние показатели пробок. Считаете, что телевизор врет, и поэтому ищете информацию в Интернете? Получайте фейковые новости и манипуляции вашим поведением. Бесплатные почтовые сервисы, мессенджеры и облачные хранилища файлов так просты и удобны? Расстаньтесь с приватностью, ваша переписка и фото легко могут быть использованы против вас.

Так просто и дешево обслуживать клиентов на своем веб-сайте? Получите DDoS-атаки и кражи данных ваших клиентов. Удобно строить архитектуру компании на операционных системах для домохозяек? Для вас — шифровальщики, шпионы, написанное специально под массовую операционку кибероружие и другие прелести. Радуетесь тому, что сотрудники работают с корпоративной информацией с личных гаджетов и можно сэкономить на клиентских решениях? Готовьтесь к утечкам, мошенничеству с зараженных устройств и другим опасностям BYOD. Нравится умное видеонаблюдение и возможность контролировать со смартфона любое помещение? Не удивляйтесь, если вдруг узнаете, что ваши камеры поучаствовали во взломе Пентагона.

Спасибо айтишникам от безопасников

Слишком долго мы гнались за возможностями, игнорируя риски. Мы действительно получили то, к чему стремились. Только инфраструктура, на которой построено наше цифровое счастье, почти не учитывает безопасности на уровне архитектуры. Поэтому мы, безопасники, хорошо зарабатываем на том, чтобы навесить на уже действующие системы не свойственные им функции. Подобная безопасность появляется уже после того, как системы спроектированы, разработаны и написаны. Пользователи часто считают такие решения неудобными, замедляющими процессы, усложняющими доступ, и почти всегда правы. Бизнесы и люди тратят на безопасность все больше и больше. По статистике, это один из немногих уверенно растущих в кризис сегментов ИТ-рынка. И тем не менее инциденты с хищением информации и глобальные сбои происходят все чаще. И день за днем мы узнаем все больше о небезопасности наших систем. Не успели мы переварить новость о том, что каждый компьютер с популярной операционной системой можно заразить, даже не прибегая к социальной инженерии, как оказалось, что практически любой процессор способен без авторизации отдать обрабатываемую информацию злоумышленнику. Уязвимости, импланты и закладки в популярных программах открываются практически еженедельно. Простите за пессимизм, но дальше будет только хуже.

Критическая масса архитектурных ошибок

Увеличение количества результативных кибератак на людей, государство и бизнес приведет к подрыву доверия к информационным системам. Но остановиться мы уже не сможем, конкуренция, новые головокружительные возможности и требования сокращения расходов будут толкать нас к все большей автоматизации, роботизации и интеллектуализации процессов. Стереотипы говорят нам, что информационные технологии — это в первую очередь возможности, «педаль газа» для бизнеса, государства и человека. Информационная безопасность — это риски и «педаль тормоза», которую приходится нажимать, чтобы ненароком не вылететь с трассы. Информационная безопасность ассоциируется с неудобством, потерей времени: длинными труднозапоминаемыми паролями, многошаговой идентификацией, «капчей», «ваша операция выглядит, как подозрительная и требует подтверждения», необходимостью запускать дополнительные программы, типа VPN и так далее. «Безопасность тормозит» — с этим уже все согласились и даже научились оправдывать: вот, раньше какой легкий был доступ в самолет, а теперь прежде чем добраться до своего кресла, приходится проходить серьезный многоуровневый контроль, расставаться с безобидными бутылочками воды и маникюрными ножницами. Это миллиарды потерянных человеко-часов и долларов, но окупаются ли они?

Безопасники сравнивают свою работу то с медициной (вирус, заражение, профилактика и т. п.), то с военным делом (атака, эшелонированная оборона и т. п.). Им понятно: чем больше опасностей, тем они востребованнее и богаче. А что делать тем, кто строит информационные системы или просто пользуется ими?

Как выучить уроки прошлого?

На взгляд автора, созданные системы уже не спасти — у них ошибка, как говорится, в ДНК. Но нам еще предстоит построить во много раз большее количество информационных систем в рамках той же цифровой экономики, и мы не можем не задумываться о том, чему нас научили наши многолетние прыжки по граблям. Есть несколько идей, как можно технологически развиваться дальше таким образом, чтобы вслед за ростом функциональности и сложности систем не увеличивалось количество атак. И автор хотел бы поделиться такими мыслями.

Учитывать безопасность еще на уровне идеи

Нынешний подход «сначала возможности, а потом риски», начинает давать сбои. Когда система уже создана, исправить в ней даже найденные уязвимости часто не представляется возможным — на них уже «навернуто» столько функционала, что проще переписать систему заново. Очевидно, что в команде, проектировавшей «спекулятивное выполнение» в процессоре, были только инженеры, думавшие лишь о повышении производительности. То, что этим они создают угрозу практически для всей компьютерной инфраструктуры, не приходило в голову никому. Поэтому лучше звать безопасников в команду в тот момент, когда у вас только зародилась идея. Возможно, вы выпустите продукт на рынок чуть позже и стоить он будет немного дороже, но впоследствии вы избежите гораздо больших убытков. К сожалению, к информационным системам не так часто предъявляется такие требования, как, скажем, к автомобилям, которые никто не выпустит не только на улицы, но и в автосалоны без встроенной системы безопасности, но, похоже, все к этому идет.

Проектировать не защиту бизнес-процессов, а защищенные бизнес-процессы

Сегодня защита на уровне бизнес-приложений — практически защита бизнеса, поскольку многие транзакции выполняются только в информационной системе. Большинство хищений денег или товаров происходит таким образом, что система воспринимает подобные действия, как легитимные. Обычно хищения обнаруживаются спустя много времени, когда искать преступников и возвращать утраченное слишком поздно. Однако уже сейчас системы машинного обучения позволяют выявить опасные отклонения в процессах и сообщить о них внутреннему контролю. Пока такие системы только оповещают о возможных незаконных действиях, но совсем скоро будут способны и блокировать такие операции, как это уже делается в банковских антифрод- (противомошеннических) системах. Встраивать системы контроля транзакций в процессы сегодня гораздо проще и дешевле, чем потом проводить аудиты и внутренние расследования. Вспомним медицину: профилактика проще и дешевле лечения. Если вы создадите систему с таким встроенным контролем — своеобразным внутренним иммунитетом, — то, даже взломав ее и получив над ней контроль, злоумышленники не смогут провести задуманные операции: система просто их отторгнет, как отторгает болезнетворные клетки сильный организм.

Перестать использовать универсальные решения там, где это возможно

Скажем честно, в настоящее время большинство бизнес-систем организовано на универсальных модулях — компьютерах общего назначения, домашних операционных системах, СУБД, сетевой инфраструктуре и т. п. Проблема универсального оборудования и программного обеспечения в том, что в нем проектируется максимально широкая функциональность, а затем с помощью различных настроек и внешних инструментов их стараются загнать в рамки требуемого функционала. Даже узкоспециализированные функциональные устройства типа банкоматов, контрольно-кассовых машин, информационных табло и других, содержат практически ту же платформу, что и домашние компьютеры, и архитектурно позволяют делать все, что угодно. То же касается и других элементов информационных систем — их функциональность во многом превосходит требования бизнеса. Больше возможностей — больше уязвимостей, больше ресурсов на контроль. Поэтому ответственность за безопасность таких систем переносится с производителя на администраторов и внешние специализированные программы информационной безопасности. Выход можно посмотреть у архитекторов военных и других критических систем (энергетических, транспортных и т. п.): система выполняет только те функции, для которых разрабатывалась. Сегодня открытое программное обеспечение позволяет собирать операционные системы и middleware практически под конкретную задачу, не отключая ненужные функции (неизвестно, кто и как их потом сможет их включить), а просто не внося их в дистрибутив. 

Упрощать безопасность, «встраивать» ее и в привычки пользователей

Сегодня немало атак использует социальную инженерию — доверчивость пользователей информационных систем. Конечно, их надо учить информационной гигиене, но не следует перекладывать на них всю ответственность. Интерфейсы должны быть проще, применять простые, но надежные способы идентификации и аутентификации, биометрию или поведенческие паттерны. Пока вы не замените всех сотрудников роботами, человек будет оставаться самым слабым звеном в информационной безопасности — на него можно давить угрозами или посулами, его можно обмануть и использовать вслепую, он может решить вам за что-то отмстить или просто помутиться рассудком — система должна устойчиво функционировать вне зависимости от его поведения. Поэтому действовать надо одновременно в двух направлениях: с одной стороны — пропитывать привычками безопасности корпоративную культуру таким образом, чтобы они выполнялись рутинно, «на автомате», без критического осмысления «а зачем это мне», а по принципу «здесь так принято». С другой — надо упрощать интерфейсы, встраивать в них безопасность, сокращать количество неэффективных шагов.

***

Перед нами сегодня стоят вызовы едва ли не большие, чем перед первыми автоматизаторами бизнеса и государства. Цифровая экономика, «Интернет вещей», цифровые активы, роботизация и искусственный интеллект расширят информатизацию на сущности, пока остающиеся «аналоговыми», — жилье, транспорт, инфраструктуру, медицину и т. д., гораздо более важные и опасные при инцидентах, чем автоматизированные сегодня учет и управление производством. Поэтому очень важно помнить об ошибках первой волны автоматизации, не в последнюю очередь связанных и с безопасностью.