Курс биткоина этим летом отправился в пике. Впервые с ноября прошлого года он опустился ниже 6 тыс. долларов. Причиной стали кибератаки на южнокорейские биржи. Профессор кафедры информационной безопасности Национального исследовательского университета Высшая Школа экономики (НИУ ВШЭ) Михаил Левашов в интервью «Умной стране» рассказал о том, насколько безопасен блокчейн и сколько стоит разработка современных решений в области информационной безопасности.

Михаил Левашов, профессор кафедры информационной безопасности Национального исследовательского университета Высшая Школа экономики (НИУ ВШЭ)

Цифровой прогресс несет в себе определенные киберриски. Среди них DDoS-атаки, различные виды кибермошенничества, распространение фейковых новостей. Способны ли современные системы информационной безопасности ответить на все вызовы?

Вопросы информационной безопасности, если понимать их широко, всегда пронизывали все сферы деятельности человека, все отрасли хозяйства. Это происходит, прежде всего, потому, что обмен информацией - один из самых распространённых видов взаимодействия как среди людей, так и разных автоматизированных систем и их элементов.  

В последние годы на фоне активного развития цифровых технологий сильно выросло число инцидентов и преступлений в области компьютерных технологий, в интернете и киберпространстве.

Во всем мире наблюдается усиление внимания к защите чувствительной информации. Косвенным проявлением этих процессов стала разработка разных директив по противодействию кибератакам, защите персональных данных (например, введённая недавно в действие директива Евросоюза GDPR), а также усиление международной кооперации ведомств и организаций, занимающихся обеспечением кибербезопасности.

Системы информационной безопасности постоянно совершенствуются и модернизируются. Раньше новейшие системы создавались обычно после выявления новых угроз, после реальных инцидентов. В последнее время, благодаря новым технологиям, связанным с методами машинного обучения, элементами искусственного интеллекта и другими новшествами, появились разработки, способные противостоять новым неизвестным ранее рискам, например, угрозам нулевого дня. То есть, фактически, развитие средств защиты информации по отдельным позициям стало опережать появление новых методов кибератак.

В каких отраслях следует уделить вопросом информационной безопасности больше внимания?

Наиболее чувствительными и уязвимыми звеньями стали финансовые технологии, интернет вещей (IoT), важнейшие элементы промышленности, включая ядерные технологии, электроэнергетику, добывающую промышленность, космос и т. д.

Компаниям выгоднее разрабатывать системы кибербезопаности самостоятельно или как-то их закупать?

Все современные системы защиты информации достаточно дороги. Приобретать их самостоятельно могут только большие и богатые предприятия и организации. Однако и здесь существуют и развиваются методики организации защиты средних и малых структур. В основе этих методик – разные схемы аутсорсинга и корпоративные центры кибербезопасности. Такие центры берут на себя обязанности по защите информации у своих клиентов на долгосрочной договорной основе.

Технологию блокчейн называют «изобретением десятилетия», в том числе и из-за ее высокой безопасности. Но в одном из своих исследований вы утверждаете, что преступники могут использовать технологию блокчейн как мессенджер для запрещенной информации. Как это можно реализовать на практике?

Это очень серьезный вопрос, о котором недавно появилась информация в СМИ. И дело здесь не только в возможностях использования блокчейна как мессенджера

Фактически любой мессенджер может стать инструментом для обмена информацией между преступниками. Речь идёт о том, что блокчейн может использоваться для хранения и распространения законодательно запрещённой информации. При этом любой участник и одновременно хранитель этого реестра не будет информирован о том, что на его компьютере находятся подобные данные. Он не только хранит их, но и распространяет! Очевидных решений этой проблемы, кроме пересчета цепочек блоков, пока нет. Здесь нужен комплексный подход. Нужна совместная работа юристов, законодателей и разработчиков конкретных блокчейнов для выработки различных решений этой задачи.

Допустим, киберпреступникам удалось реализовать свой план. В какой-либо системе блокчейн, например, в одной из криптовалют, зашифровано экстремистское сообщение или реклама сайта с детской порнографией. Как быть дальше? Разработаны ли какие-то программы, способные очистить блокчейн от данного контента? Или на данный момент единственное решение – сворачивание этой криптовалюты?

Зачем же сразу «сворачивать»? Очевидный ответ на этот вопрос уже дан выше. Это, например, удаление подобной информации из блоков с пересчетом всех блоков, начиная с первого, где такая информация обнаружена. В целом, это - большая и трудоемкая работа. Поэтому и нужно искать и разрабатывать другие менее трудоемкие методы «очистки».

Недавно была взломана южнокорейская криптобиржа «Bithumb». Ранее взлом криптобиржи Coinrail стал одной из причин снижения стоимости биткоина. Взломы криптовалютных экосистем приобрели системный характер. Связано ли это с тем, что криптобиржи и платформы для сбора криптовалюты не имеют современных систем информационной безопасности?

Участившиеся в последнее время атаки на криптобиржи негативно влияют на курсы криптовалют. Но это не обязательно означает, что криптобиржи плохо защищены. Я не знаком с деталями использованных методов обеспечения информационной безопасности в указанных биржах. Удачные атаки на них могут быть связаны не только с техническими аспектами защиты информации, но и с методами социальной инженерии, методами защиты пользовательских устройств (кошельков) и другими потенциальными возможностями.

Нужно также отметить, что криптобиржи привлекают к себе внимание многих опытных хакеров. Это тоже способствует успешным взломам.

Сколько стоит разработка современных решений для повышения безопасности финансовых систем?

Обеспечение безопасности любых информационных систем – сложная задача. Решать ее можно разными путями. Один из таких подходов связан с оценкой информационных рисков и принятием защитных механизмов, снижающих эти риски до допустимых владельцами информационных ресурсов величин. Другой подход связан с выполнением требований регуляторов отрасли, если такие имеются. В финансовой отрасли используются оба эти подхода. Основным регулятором финансовой отрасли, как известно, является Банк России. Он и определяет основные требования и подходы к обеспечению информационной безопасности в финансах. Эти требования изложены в различных указаниях и положениях, которые обязательны к исполнению, а также в комплексе стандартов  по обеспечению информационной безопасности организаций банковской системы России (СТО БР ИББС).

Недавно были приняты два национальных стандарта по данной тематике. Согласно этим стандартам все банки будут разделены на 3 категории, которые отличаются количеством и глубиной реализации тех или иных требований информационной безопасности. Выполнение всех требований, конечно, весьма затратно и доступно только крупным банкам, отнесённым к значимым или системным. Для других банков из второй и особенно третьей категории эти расходы могут существенно уменьшиться. При этом всегда можно воспользоваться схемой аутсорсинга, когда внешняя компания- аутсорсер на договорной основе реализует и контролирует некоторые процессы информационной безопасности, снижая общие затраты банков.

Откуда берутся хакеры? Являются ли они серьезными программистами-разработчиками с опытом работы в известных корпорациях? Или это простые самоучки?

Есть много разных методов оценки уровня подготовки тех или иных специалистов. Например, тот же ЕГЭ для школьников.

Однако уникальные люди, как известно, появляются иногда без всякой видимой подготовки. Они могут получить образование и нужные навыки разными формальными и неформальными путями. Известный математик Эварист Галуа прожил всего 20 лет. Занимаясь математикой всего 4 года, он создал теорию Галуа. Эта теория позволила  решить ряд сложнейших математических задач высшей алгебры.

Поэтому опытные и уникальные хакеры могут появиться буквально из ниоткуда. Навыкам они могут обучаться за домашним компьютером.

Беседовал: Александр Столяров