Коли «чорні капелюхи», – будучи санітарами дикого лісу кіберпростору, – виявляються особливо успішними у своїй чорній справі, жовті ЗМІ пищать від захоплення. У результаті світ починає дивитися на кібербезпеку серйозніше. Але, на жаль, не відразу. Тому, незважаючи на кількість катастрофічних кіберинцидентів, світ поки що не дозрів до активних запобіжних заходів. Однак очікується, що в найближчому майбутньому завдяки «чорним капелюхам» світ таки почне дивитися на кібербезпеку серйозно. [7]
Так само серйозно, як і на пожежі… Колись міста були дуже вразливі для катастрофічних пожеж. Однак, незважаючи на потенційну небезпеку, запобіжні захисні заходи не вживалися, - навіть після гігантської пожежі в Чикаго, в 1871 році, забрала сотні життів і позбавила притулку сотні тисяч людей. Запобіжні захисні заходи були вжиті тільки після того, як подібна катастрофа повторилася знову, через три роки. Те саме з кібербезпекою – світ не вирішуватиме цієї проблеми, якщо не буде катастрофічних інцидентів. Але навіть якщо такі інциденти і будуть, світ не вирішуватиме цю проблему одразу. [7] Тому навіть приказка: «Поки баг не вдарить, чоловік не перепатчиться», - працює не зовсім. Тому у 2018 році ми відсвяткували 30-річний ювілей нестримної незахищеності.
Ліричний відступ
Початок цієї статті, яку я спочатку писав для журналу «Системний адміністратор», виявився в певному сенсі пророчим. Видання журналу з цією статтею буквально день у день із трагічною пожежею в кемерівському ТРЦ «Зимова вишня» (2018, 20 березня).
Покласти Інтернет за 30 хвилин
Ще в 1988 році легендарна хакерська плеяда L0pht, виступаючи в повному складі перед зборами найвпливовіших західних чиновників, заявила: Ваше комп'ютеризоване обладнання вразливе для кібератак з Інтернету. І софт, і залізо, і телекомунікації. Їх вендорів такий стан речей зовсім не турбує. Тому що в сучасному законодавстві не передбачено жодної відповідальності за недбалий підхід до забезпечення кібербезпеки виробленого софту та заліза. Відповідальність за потенційно можливі збої (хоч мимовільні, хоч викликані втручанням кіберзлочинців) лежить виключно на користувачеві обладнання. Що ж до федерального уряду, воно для вирішення цієї проблеми немає ні навичок, ні бажання. Тому якщо ви шукаєте кібербезпеки, то Інтернет не те місце, де її можна знайти. Повністю зламати Інтернет, і відповідно захопити повний контроль над зав'язаним на нього обладнанням, може кожна з семи людей, які сидять перед вами. Наодинці. 30 хвилин хореографічного натискання клавіш – і справа зроблена». [7]
Чиновники багатозначно кивнули, даючи зрозуміти, що розуміють всю серйозність ситуації, але так нічого й не зробили. Сьогодні, рівно через 30 років після легендарного виступу L0pht, у світі, як і раніше, панує «нестримна незахищеність». Злом комп'ютеризованого, зав'язаного на Інтернет обладнання, настільки легкий, що Інтернет, що спочатку представляє собою царство ідеалістично налаштованих учених і ентузіастів, поступово окупували найпрагматичніші з професіоналів: шахраї, аферисти, шпигуни, терористи. Усі вони експлуатують уразливості комп'ютеризованого обладнання – для отримання фінансової чи будь-якої іншої вигоди. [7]
Вендори нехтують кібербезпекою
Вендори іноді звичайно намагаються виправити деякі з виявлених уразливостей, але роблять це дуже неохоче. Тому що прибуток їм приносить не захист від хакерів, а нова функціональність, яку вони надають споживачам. Будучи орієнтованими виключно на короткостроковий прибуток, вендори вкладають гроші лише у вирішення реальних проблем, а не гіпотетичних. Кібербезпека ж, в очах багатьох із них, – річ гіпотетична. [7]
Кібербезпека річ невидима, невловима. Відчутною вона стає лише коли з нею проблеми виникають. Якщо ж про неї добре подбали (багато грошей на її забезпечення витратили), і проблем з нею не виникає – переплачувати за неї кінцевий споживач не захоче. Крім того, окрім збільшення фінансових витрат, реалізація захисних заходів потребує додаткового часу на розробку, потребує обмеження можливостей обладнання, призводить до зниження його продуктивності. [8]
У доцільності перерахованих витрат навіть своїх маркетологів переконати важко, що вже говорити про кінцевих споживачів. А оскільки сучасних вендорів цікавить виключно короткостроковий прибуток від продажів, вони не схильні брати відповідальність за забезпечення кібербезпеки своїх творінь. [1] З іншого боку, більш дбайливі вендори, які все-таки подбали про кібербезпеку свого обладнання, стикаються з тим, що корпоративні споживачі віддають перевагу – більш дешевим та простим у користуванні альтернативам. Т.о. Очевидно, що корпоративних споживачів кібербезпека теж турбує мало. [8]
У світлі сказаного вище не дивно, що вендори схильні нехтувати кібербезпекою, і дотримуються наступної філософії: «Продовжуй будувати, продовжуй продавати і при необхідності роби патчі. Впала система? Потерлася інформація? Вкрадено базу даних з номерами кредитних карток? В обладнанні виявлено непереборні вразливості? Не біда!" Споживачам у свою чергу доводиться дотримуватися принципу: «Пропатчили і молись». [7]
Як це відбувається: приклади з дикої природи
Яскравий приклад зневаги до кібербезпеки при розробці – корпоративна мотиваційна програма Microsoft: «Вибився зі строків – з тебе штраф. Не встиг уявити реліз своєї новації вчасно – її не буде впроваджено. Не буде впроваджено – не отримаєш акцій компанії (шматок пирога від прибутку Microsoft)». Починаючи з 1993 року, Microsoft почала активно зав'язувати свої продукти на Інтернет. Оскільки ця ініціатива діяла в руслі цієї самої мотиваційної програми, функціональні можливості розширювалися швидше, ніж за ними встигав захист. На радість прагматичним мисливцям за вразливістю… [7]
Інший приклад – ситуація з комп'ютерами та ноутбуками: вони не постачаються із встановленим антивірусом; і передвстановлення надійних паролів у них також не передбачено. Мається на увазі, що встановлювати антивірус і задавати параметри конфігурації безпеки буде кінцевий користувач. [1]
Ще один, екстремальніший приклад: ситуація з кібербезпекою торговельного обладнання (касові апарати, PoS-термінали для торгових центрів і т.п.). Так повелося, що вендори торговельного обладнання продають лише те, що продається, а не те, що безпечно. [2] Якщо вендори торговельного устаткування щось і піклуються щодо кібербезпеки, то це у тому, щоб у разі виникнення спірного інциденту – відповідальність впала іншим. [3]
Показовий приклад такого розвитку подій: популяризація EMV-стандарту для банківських карток, який завдяки грамотній роботі банківських маркетологів виглядає в очах недосвідченої технічними знаннями публіки – як безпечніша альтернатива для «застарілих» магнітних карток. При цьому основна мотивація банківської індустрії, яка відповідала за розробку EMV-стандарту, полягала в тому, щоб перекласти відповідальність за шахрайські інциденти (що трапляються з вини кардерів) – з магазинів на покупців. Тоді як раніше (коли платежі здійснювалися магнітними картками) через розбіжності у дебіті/кредиті фінансова відповідальність лежала на магазинах. [3] Т.о. банки обробні платежі звалюють відповідальність або продавців (які користуються їх системами дистанційного банківського обслуговування), або банки випускають платіжні картки; двоє останніх у свою чергу перекладають відповідальність на власника картки. [2]
Вендори перешкоджають забезпеченню кібербезпеки
У міру того, як поверхня цифрових атак невблаганно розширюється, завдяки вибуховому приросту підключених до Інтернету пристроїв, встежити за тим, що підключено до корпоративної мережі, стає все важче. При цьому турботи про безпеку всього підключеного до Інтернету обладнання, вендори перекладають на кінцевого користувача [1]: «Порятунок потопаючих – справа рук самих потопаючих».
Мало того, що вендори не дбають про кібербезпеку своїх творінь, то вони в деяких випадках ще й перешкоджають її забезпеченню. Так наприклад, коли в 2009 році мережевий хробак Conficker просочився в медичний центр «Beth Israel» і заразив там частину медичного обладнання, – технічний директор цього медичного центру з метою запобігання виникненню подібних інцидентів у майбутньому, вирішив відключити на постраждалому від хробака обладнання функцію підтримки з мережею. Однак він зіткнувся з тим, що «обладнання не може бути оновлено через нормативні обмеження». Йому були потрібні значні зусилля, щоб узгодити з вендором відключення мережевих функцій. [4]
Принципова кібер-небезпека Інтернету
Девід Кларк, легендарний професор MIT, який заслужив своєю геніальною проникливістю прізвисько «Альбус Дамблдор», точно пам'ятає той день, коли світові відкрилася темна сторона Інтернету. Кларк головував у листопаді 1988 року на конференції з телекомунікацій, коли пролунала новина про те, що по мережевим проводам ковзнув перший в історії комп'ютерний черв'як. Кларку цей момент запам'ятався тому, що до відповідальності за розповсюдження цього хробака – було притягнуто присутній на його конференції доповідач (співробітник однієї з провідних телекомунікаційних компаній). Цей доповідач у запалі емоцій необережно обмовився: «Ось ті на! Я начебто закрив цю вразливість», – за ці свої слова він і поплатився. [5]
Проте пізніше з'ясувалося, що вразливість, якою поширився згаданий черв'як – не є заслугою якоїсь окремої людини. І це, строго кажучи, навіть не вразливість була, а фундаментальна особливість Інтернету: засновники Інтернету при розробці свого дітища зосередилися виключно на швидкості передачі даних та стійкості до відмов. Завдання кібербезпеки вони собі не ставили. [5]
Сьогодні, через десятиліття з моменту заснування Інтернету, коли вже сотні мільярдів доларів витрачені на марні спроби забезпечити кібербезпеку, Інтернет не став менш вразливим. Проблеми з його кібербезпекою з кожним роком лише посилюються. Проте, чи маємо ми засуджувати за це родоначальників Інтернету? Адже, наприклад, ніхто ж не засуджуватиме будівельників швидкісних автострад за те, що на «їх дорогах» аварії трапляються; і ніхто ж не буде засуджувати містобудівників за те, що в їхніх містах пограбування відбуваються. [5]
Як зароджувалась хакерська субкультура
Хакерська субкультура зародилася на початку 1960-х років, у «Клубі технічного моделювання залізниці» (що діє у стінах Массачусетського технологічного інституту). Ентузіасти клубу спроектували та зібрали модель залізниці – настільки величезну, що вона заполонила собою всю кімнату. Члени клубу мимоволі ділилися на дві групи: миротворці та системники. [6]
Перші працювали із надземною частиною моделі, другі – з підземною. Перші збирали та прикрашали моделі поїздів та міст: моделювали цілий світ у мініатюрі. Другі працювали над технічним забезпеченням всього цього миротворчості: поєднання проводів, реле та координатних комутаторів, розташованих у підземній частині моделі, – усім тим, що контролювало «надземну» частину і запитувало її енергією. [6]
Коли виникала проблема з трафіком і хтось вигадував нове дотепне рішення для її усунення, це рішення називали «хаком». Для членів клубу пошук нових хаків перетворився на самоцінний сенс життя. Саме тому вони почали називати себе хакерами. [6]
Перше покоління хакерів реалізовувало набуті в «Клубі моделювання залізниці» навички – при написанні комп'ютерних програм на перфокартах. Потім, коли до 1969 року до університетського містечка прибуло ARPANET (попередник Інтернету), його найбільш активними та кваліфікованими користувачами стали саме хакери. [6]
Тепер, через десятиліття, сучасний Інтернет нагадує ту саму «підземну» частину моделі залізниці. Тому що його родоначальниками були ці ж хакери, вихованці «Клубу моделювання залізниці». Тільки хакери наразі замість змодельованих мініатюр орудують реальними містами. [6]
Як з'явилася BGP-маршрутизація
До кінця 80-х в результаті лавиноподібного збільшення кількості пристроїв, підключених до Інтернету, Інтернет наблизився до жорсткого математичного обмеження, вбудованого в один з базових інтернет-протоколів. Тому будь-яка розмова тодішніх інженерів зрештою переходила в обговорення цієї проблеми. Не були винятком і двоє друзів: Яків Рехтер (інженер з IBM) та Кірк Локхід (засновник Cisco). Випадково зустрівшись за обіднім столом, вони почали обговорювати заходи щодо збереження працездатності Інтернету. Приятелі, що виникають ідеї записували на тому, що трапилося під руку, - забрудненої кетчупом серветці. Потім другий. Потім третій. "Протокол на трьох серветках", як його жартома назвали винахідники, - відомий в офіційних колах як BGP (Border Gateway Protocol; протокол прикордонної маршрутизації), - незабаром зробив революцію в Інтернеті. [8]
Для Рехтера і Локхіда BGP був просто невимушеним хаком, розробленим у дусі згаданого вище «Клубу моделювання залізниці», – тимчасовим рішенням, яке незабаром слід було б замінити. Приятелі розробили BGP у 1989 році. Однак сьогодні, вже через 30 років, переважна частина Інтернет-трафіку, як і раніше, маршрутизується «протоколом на трьох серветках», – незважаючи на все більш і більше тривожні дзвіночки про критичні проблеми з його кібербезпекою. Тимчасовий хак став одним із базових інтернет-протоколів, а його розробники на власному досвіді переконалися, що «немає нічого більш постійного, ніж тимчасові рішення». [8]
Мережі у всьому світі перейшли на BGP. Впливові вендори, заможні клієнти та телекомунікаційні компанії дуже швидко полюбили BGP і звикли до нього. Тому навіть незважаючи на дедалі більше тривожні дзвіночки про небезпеку цього протоколу, – IT-громадськість так і не виявляють ентузіазму до переходу на нове, більш захищене обладнання. [8]
Кібер-не-безпека BGP-маршрутизації
Чим же така хороша BGP-маршрутизація і чому IT-громадськість не поспішає від неї відмовлятися? BGP допомагає маршрутизаторам приймати рішення про те, куди слід направляти гігантські потоки даних, що передаються через величезну мережу ліній зв'язку, що перетинаються. BGP допомагає маршрутизаторам вибирати потрібні шляхи, незважаючи на те, що мережа постійно змінюється і на популярних маршрутах нерідко утворюються пробки з трафіку. Проблема в тому, що Інтернет не має глобальної карти маршрутизації. Маршрутизатори, що використовують BGP, приймають рішення про вибір того чи іншого шляху – на основі інформації, отриманої від сусідів по кіберпростору, які, у свою чергу, збирають інформацію від своїх сусідів тощо. Однак цю інформацію легко фальсифікувати, а значить, BGP-маршрутизація дуже вразлива для MiTM-атак. [8]
Тому регулярно виникають питання на кшталт наступних: «Чому трафік між двома комп'ютерами в Денвері зробив гігантський гак через Ісландії?», «Чому секретні дані Пентагону одного разу були передані транзитом через Пекін?». Такі питання мають технічні відповіді, але всі вони зводяться до того факту, що робота BGP-протоколу заснована на довірі: на довірі до рекомендацій, отриманих від сусідніх маршрутизаторів. Завдяки довірчій природі BGP-протоколу таємничі повелители трафіку за бажання можуть залучати чужі потоки даних у свої володіння. [8]
Живий приклад – BGP-атака Китаю на Пентагон. У квітні 2010 року державний телекомунікаційний гігант, China Telecom, відправив десяткам тисяч маршрутизаторів по всьому світу, у тому числі 16 тисячам із США, BGP-повідомлення про наявність кращих маршрутів. Без системи, яка могла б перевірити достовірність BGP-повідомлення від China Telecom, маршрутизатори по всьому світу почали відправляти дані транзитом через Пекін. У тому числі, трафік Пентагону та інших сайтів американського міністерства оборони. Легкість, з якою був перенаправлений трафік, і відсутність ефективного захисту від таких атак, – черговий дзвінок небезпеки BGP-маршрутизації. [8]
Протокол BGP теоретично вразливий навіть для ще більш небезпечної кібератаки. У випадку, якщо міжнародні конфлікти розгорнуться в кіберпросторі на повну силу, China Telecom, або якийсь інший телекомунікаційний гігант – міг би спробувати оголосити своїми володіннями ділянки Інтернету, які йому не належать. Такий хід збив би з пантелику маршрутизатори, яким довелося б метатися між заявками, що конкурують, на одні й ті ж блоки інтернет-адрес. Не маючи можливості відрізнити достовірну заявку від підроблених, маршрутизатори почали б діяти хаотично. В результаті ми зіткнулися б з Інтернет-еквівалентом ядерної війни – відкритим великомасштабним проявом ворожнечі. Такий розвиток подій за часів відносного світу здається нереалістичним, але технічно він цілком здійсненний. [8]
Марна спроба перейти від BGP до BGPSEC
При розробці BGP кібербезпека до уваги не бралася, тому що на той момент зломи були рідкісними, а збитки від них незначними. Перед розробниками BGP-протоколу, оскільки вони працювали в телекомунікаційних компаніях і були зацікавлені у продажу свого мережевого обладнання, стояло нагальніше завдання: уникнути мимовільних поломок Інтернету. Тому що перебої в роботі Інтернету могли відштовхнути користувачів і тим самим знизити продаж мережевого обладнання. [8]
Після інциденту з передачею американського військового трафіку через Пекін у квітні 2010 року темпи робіт із забезпечення кібербезпеки BGP-маршрутизації звичайно прискорилися. Однак телекомунікаційні вендори не виявляють великого ентузіазму до того, щоб нести витрати, пов'язані з переходом на новий безпечний протокол маршрутизації BGPSEC, що пропонується як заміна небезпечного BGP. Вендори, як і раніше, вважають BGP цілком прийнятним, навіть незважаючи на незліченні інциденти з перехопленням трафіку. [8]
Радія Перлман, яку за винахід у 1988 році (за рік до появи BGP) іншого важливого мережевого протоколу, назвали «матір'ю Інтернету», – захистила в MIT докторську дисертацію, яка стала пророчою. Перлман передбачила, що протокол маршрутизації, який залежить від чесності сусідів у кіберпросторі, – докорінно небезпечний. Перлман виступала за використання криптографії, яка б обмежити можливості фальсифікації. Проте впровадження BGP вже йшло повним ходом, впливова IT-громадськість звикла до нього і нічого не хотіла змінювати. Тому після аргументованих попереджень з боку Перлман, Кларка та деяких інших відомих світових експертів, відносна частка криптографічно захищеної BGP-маршрутизації анітрохи не збільшилася і, як і раніше, становить 0%. [8]
BGP-маршрутизація - далеко не єдиний "хак"
Адже BGP-маршрутизація – не єдиний хак, що підтверджує ідею про те, що «немає нічого більш постійного, ніж тимчасові рішення». Іноді Інтернет, що занурює нас у фантастичні світи, здається настільки ж елегантним, як гоночний автомобіль. Однак насправді через нагромаджені один на одного хаки, Інтернет швидше на Франкенштейна схожий, ніж на Феррарі. Тому що ці хакі (які більш офіційно називають патчами) так і не замінюються надійними технологіями. Наслідки такого підходу плачевні: щодня та щогодини кіберзлочинці зламують уразливі системи, розширюючи масштаби кіберзлочинності до немислимих раніше масштабів. [8]
Чимало експлуатованих кіберзлочинцівми вади відомі вже давним-давно, і збереглися виключно завдяки схильності ІТ-громадськості вирішувати проблеми, що виникають - тимчасовими хаками/патчами. Іноді, через це застарілі технології тривалий час нагромаджуються одна на одну, ускладнюючи життя людей і наражаючи їх на небезпеку. Що б ви подумали, якби дізналися, що ваш банк будує своє сховище на фундаменті із соломи та бруду? Чи довірили б ви йому зберігати свої заощадження? [8]
Безтурботний настрій Лінуса Торвальдса
Минули роки, перш ніж Інтернет досяг своїх перших ста комп'ютерів. Сьогодні до нього підключається по 100 нових комп'ютерів та інших пристроїв – щомиті. У міру лавиноподібного зростання підключених до Інтернету пристроїв зростає і актуальність проблем кібербезпеки. Однак людина, яка могла б зробити найбільший вплив у вирішенні цих проблем, – відноситься до забезпечення кібербезпеки з нехтуванням. Цю людину називають генієм, хуліганом, духовним лідером та доброзичливим диктатором. Лінус Торвальдс. Переважна більшість підключених до Інтернету пристроїв працюють під управлінням його операційної системи, Linux. Швидка, гнучка, вільна - Linux з часом стає все більш популярною. При цьому поводиться дуже стабільно. І може працювати без перезавантаження протягом багатьох років. Саме тому Linux має честь бути домінуючою операційною системою. Практично все комп'ютеризоване обладнання, доступне нам сьогодні, працює під управлінням Linux: сервери, медичне обладнання, бортові комп'ютери, крихітні дрони, військові літаки та багато іншого. [9]
Linux процвітає в основному тому, що Торвальдс робить акцент на продуктивності та відмовостійкості. Проте робить він це акцент – на шкоду кібербезпеці. Навіть коли кіберпростір і реальний фізичний світ переплелися і кібербезпека стала питанням загальнопланетарного масштабу, Торвальдс продовжує протистояти впровадженню безпечних новацій у свою операційну систему. [9]
Тому навіть серед численних шанувальників Linux зростає занепокоєння про вразливість цієї операційної системи. Особливо самої інтимної частини Linux'а – його ядра, над яким Торвальдс працює особисто. Шанувальники Linux'а бачать, що Торвальдс не ставиться до проблем кібербезпеки серйозно. Більше того, Торвальдс оточив себе розробниками, які поділяють його безтурботність. Якщо ж хтось із найближчого кола Торвальдса починає розмову про впровадження безпечних новацій, – його одразу зраджують анафемі. Одну групу таких новаторів Торвальдс звільнив, назвавши їх «мастурбуючими мавпами». Прощаючись з іншою групою розробників, що дбають за безпеку, Торвальдс сказав їм: «Чи не зволите ви вбити себе. Світ від цього став би кращим». Коли б не йшлося про додавання функцій безпеки, Торвальдс завжди був проти. [9] У Торвальдса у зв'язку з цим є навіть ціла філософія, яка не позбавлена зерна здорового глузду:
«Абсолютна безпека – недосяжна. Тому її слід розглядати лише у порівнянні з іншими пріоритетами: швидкість, гнучкість і простота використання. Люди, які цілком віддають себе забезпеченню захисту – божевільні. Їхнє мислення обмежене, чорно-біле. Безпека сама по собі марна. Суть завжди знаходиться десь в іншому місці. Тому ви не зможете забезпечити абсолютну безпеку, навіть якщо сильно захочете. Звичайно, є люди, які приділяють безпеці більше уваги, ніж Торвальдс. Однак ці хлопці просто працюють над тим, що їм цікаво, і забезпечують безпеку у вузьких відносних рамках, що окреслюють їх інтереси. Не більше. Тож збільшенню абсолютної безпеки вони жодним чином не сприяють». [9]
Врізання: З OpenSource як на пороховій бочці [10]
OpenSource-код зекономив мільярди у витратах на розробку софту, виключивши необхідність дубльованих зусиль: з OpenSource програмісти мають можливість користуватися актуальними новаціями без обмежень і оплати. OpenSource використовується повсюдно. Навіть якщо ви найняли розробника софту для вирішення свого спеціалізованого завдання «з нуля», цей розробник найімовірніше задіяє якусь OpenSource-бібліотеку. І, напевно, не одну. Таким чином, елементи OpenSource присутні практично скрізь. Разом з тим слід розуміти, що ніякий софт не є статичним, його код постійно змінюється. Тому принцип «розмістив та забув» – для коду ніколи не працює. У тому числі і для OpenSource-коду: рано чи пізно буде потрібна його оновлена версія.
У 2016 році ми побачили наслідки такого стану речей: 28-річний розробник ненадовго зламав Інтернет, вилучивши свій OpenSource-код, який раніше зробив загальнодоступним. Ця історія вказує на те, що наша кіберінфраструктура дуже тендітна. Деякі люди – на яких тримаються OpenSource-проекти – важливі для її підтримки настільки, що якщо їх не дай Бог зіб'є автобус, то Інтернет зламається.
Важко підтримуваний код - це саме те місце, де таїться найсерйозніші вразливості кібербезпеки. Окремі компанії навіть не підозрюють, наскільки вони вразливі через код, що важко підтримується. Пов'язані з таким кодом уразливості можуть визрівати у реальну проблему дуже повільно: системи повільно прогнивають, не демонструючи у процесі цього гниття видимих збоїв. А коли вони все ж таки дають збій, то наслідки виявляються фатальними.
Нарешті, оскільки OpenSource-проекти зазвичай розвиваються спільнотою ентузіастів, на кшталт Лінуса Торвальдса або на кшталт згаданих на початку статті хакерів з «Клубу моделювання залізниці», – проблеми коду, що важко підтримується, не вдається вирішувати традиційними способами (із застосуванням комерційних і урядових важелів). Тому що члени подібних спільнот норовливі і цінують свою незалежність понад усе.
Може бути нас захистять спецслужби та розробники антивірусів?
У 2013 році стало відомо, що в «Лабораторії Касперського» існує спецпідрозділ, який здійснює замовлення розслідування інцидентів у галузі інформаційної безпеки. Донедавна цей відділ очолював колишній майор поліції, Руслан Стоянов, який до цього працював у столичному Управлінні «К» (УСТМ ГУВС Москви). Усі співробітники цього спецпідрозділу «Лабораторії касперського» – це вихідці з правоохоронних органів, у тому числі Слідчого комітету та Управління «К». [11]
Наприкінці 2016 року ФСБ заарештувало Руслана Стоянова і пред'явило йому оголошення у державній зраді. У тій же справі заарештували Сергія Михайлова, високопоставленого представника ЦИБ ФСБ (центр інформаційної безпеки), де до арешту була зав'язана вся кібербезпека країни. [11]
Кібербезпека в примусовому порядку
Незабаром російських підприємців примусово примушуватимуть приділяти серйозну увагу кібербезпеці. У січні 2017 року представник Центру захисту інформації та спеціального зв'язку Микола Мурашов заявляв, що в Росії одні лише КІІ-об'єкти (критична інформаційна інфраструктура) зазнали у 2016 році атак більше 70 млн. разів. До КІІ-об'єктів належать інформаційні системи держорганів, підприємств оборонної промисловості, транспорту, кредитно-фінансової сфери, енергетики, паливної та атомної промисловості. Для їхнього захисту 26 липня президентом Росії Володимиром Путіним було підписано пакет законів «Про безпеку КІІ». До 1 січня 2018 року, коли закон набирає чинності, власники КІІ-об'єктів мають реалізувати комплекс заходів щодо захисту своєї інфраструктури від хакерських атак, зокрема підключитися до ДержСОПКУ. [12]
Бібліографія
- Jonathan Millet. // 2017.
- Росс Андерсон. How smartcard payment systems fail // Black Hat. 2014 року.
- SJ Murdoch. Chip and PIN is Broken // Proceedings of IEEE Symposium on Security and Privacy. 2010. pp. 433-446.
- David Talbot. // MIT Technology Review (Digital). 2012 року.
- Craig Timberg. // The Washington Post. 2015 року.
- Michael Lista. // Toronto Life. 2018 року.
- Craig Timberg. // The Washington Post. 2015 року.
- Craig Timberg. // The Washington Post. 2015 року.
- Craig Timberg. // The Washington Post. 2015 року.
- Joshua Gans. // Harvard Business Review (Digital). 2017 року.
- // CNews. 2017. URL.
- Марія Коломиченко. //РБК. 2017.
Джерело: habr.com