Может ли секьюрити-компания сотрудничать
с государством:

Реальность такова, что сегодня любая серьезная компания, работающая в сфере кибербезопасности, не просто может, а должна взаимодействовать с госорганами. Но это сотрудничество должно оставаться в рамках закона и ограничиваться вопросами защиты и обороны от кибератак.
В результате многолетней работы мы смогли накопить огромный опыт того, как строить кибероборону, разгребать завалы после взлома и находить цифровые следы злоумышленников. По запросу мы проводим криминалистические исследования цифровых улик, и наши сотрудники выступают в роли технических экспертов при проведении следственных мероприятий во многих странах мира. Иногда это часть наших коммерческих сервисов, а иногда мы делаем это бесплатно, потому что защищать пользователей – наша работа. Кроме того, в разных регионах мы проводим тренинги для киберполицейских по цифровой криминалистике и разбору вредоносного ПО.
Я могу понять, откуда берутся мифы о том, что компании, занимающиеся кибербезопасностью, работают со спецслужбами. Но здесь нельзя допускать упрощений – шпионить за кем-то, «сливать» данные и уж тем более участвовать в атакующих операциях – такого мы никогда не делали и не будем делать. Точка. Во-первых, это незаконно! Во-вторых, для нашей компании это абсолютно неприемлемо с точки зрения бизнес-этики. В-третьих, с точки зрения здравого смысла это просто глупо – в результате таких действий очень скоро от нашего бизнеса ничего бы не осталось, ведь мы международная компания, работающая по всему миру.

Все секьюрити-компании в мире так или иначе сотрудничают с государственными органами – они предоставляют им информацию о тех угрозах, которые в настоящий момент существуют в мире. Государство привлекает этот бизнес, расследуя инциденты безопасности или интересуясь построением какой-либо архитектуры. Большинство вендоров по безопасности сотрудничают с государственными органами, такими как Интерпол и международный центр компетенций по безопасности (Центр компетенций по информационной безопасности). Сама по себе информация не будет нести ценности, если ею не обмениваться. Сотрудничество необходимо для борьбы с масштабными киберугрозами.

Кибербезопасность – это тема, которая сегодня стоит на повестке дня почти всех государств мира, и поэтому вопрос должен звучать не как «может или не может», а «в какой форме такое сотрудничество должно осуществляться». Как минимум ИБ-компании получают различные лицензии на свою деятельность или сертифицируют свои решения, что подразумевает определенный уровень сотрудничества, хотя оно и не носит равнозначного характера для обеих сторон. Помощь государству в обеспечении защиты тех или иных государственных ресурсов – это тоже одна из форм сотрудничества, в рамках которого ИБ-компания не только поставляет свои решения, но и делится экспертизой по кибербезопасности. Например, защита ГАС «Выборы» или портала госуслуг не может обойтись без соответствующего сотрудничества. Еще одна форма взаимодействия – поиск уязвимостей и наполнение ими государственных баз данных, содержащих сведения об уязвимых местах в программном обеспечении, используемом в госсекторе. Например, у ФСТЭК России есть такой банк данных угроз и уязвимостей (БДУ), который наполняется в том числе и за счет активного сотрудничества с ИБ-компаниями. Наконец, у многих государственных структур, особенно регулирующих вопросы ИБ (например, ФСБ, ФСТЭК, Совет безопасности и т.п.), существуют рабочие группы и экспертные советы, в состав которых входят представители ИБ-компаний и которые разрабатывают государственную политику по тому или иному направлению кибербезопасности. Поэтому государственно-частное партнерство в области информационной безопасности – это нормальная практика в любой стране мира и обычно публичная тема, которую не принято скрывать. Исключение, пожалуй, составляет только работа ИБ-компаний в интересах спецслужб, которые не предаются широкой огласке. Тут речь может идти о разработке кибервооружений, об обмене информацией об угрозах, о расследовании специфических инцидентов ИБ, об обучении сотрудников спецслужб и правоохранительных органов и т.п. Такое сотрудничество также присутствует в деятельности ряда компаний отрасли информационной безопасности, но оно обычно не является предметом общественного обсуждения, оставаясь по понятным причинам в тени.

Государственное регулирование охватывает самые разнообразные системы и процессы – от строительства зданий и дорожного движения до авиаперевозок и хранения опасных химических веществ. Сейчас разделение на кибер- и обычную безопасность перестает быть актуальным. И если при строительстве жилого дома установлено, какие марки бетона и электрические провода можно использовать, а какие нельзя, то в сфере создания IT-систем, компьютерных сетей, систем управления промышленным оборудованием такие стандарты только начинают появляться и вводиться. При этом последствия киберпреступлений уже давно «выходят в офлайн» и напрямую влияют на жизни людей. Поэтому кибербезопасности на государственном уровне нужно уделять такое же внимание, как и безопасности физической. Методы могут отличаться, но суть одна: с помощью централизованных и хорошо скоординированных действий и мер нужно сделать так, чтобы злонамеренное вмешательство в работу общества обходилось преступникам дороже, чем потенциальная выгода, и чтобы ущерб от такого вмешательства был минимальным. А если вмешательство все же случается – максимально быстро обнаружить его и нейтрализовать. В России для этого уже есть законодательство и специальная инфраструктура, например ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) или принятый в прошлом году закон о безопасности критической информационной инфраструктуры. Начало, в общем, положено. Главный вопрос в том, как эти инструменты будут применяться на практике.

Государственные органы должны обеспечивать условия, в которых частные компании смогут развивать и совершенствовать информационную безопасность, получать доступ к международному опыту и применять лучшие практики у себя. Государство должно растить собственную экспертизу в этом вопросе – только так можно быть на шаг впереди потенциальных киберугроз

Кибербезопасность на уровне страны – это очень непростое понятие, которое меняется в угоду геополитическим и политическим интересам. Если в прежней редакции Доктрины информационной безопасности России под этим термином понималось «состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства», то уже в прошлом году, в новой редакции документа, термин изменился на «состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства». Обратите внимание, что появился акцент на суверенитет и территориальную целостность страны. И мы сейчас видим, что если бизнес достаточно прохладно относится к теме импортозамещения в информационных технологиях, то государство делает на него ставку. Если раньше интернет развивался сам по себе, то сейчас государство активно вовлекается в управление им – устанавливаются новые правила для участников информационного обмена в интернете, вводятся различные ограничения и блокировки, устраняется анонимность и т.п. Все это – информационная безопасность на уровне страны и отстаивание ее интересов, хотя они могут временами и противоречить интересам граждан и бизнеса.

Геополитика – это вообще камень преткновения во многих сферах международного сотрудничества, не только в кибербезопасности. В этой же сфере геополитика приводит к двум большим проблемам – росту числа геополитических киберугроз и затруднению сотрудничества в деле предотвращения киберугроз и их расследования. В первом случае ярким примером являются обвинения «русских хакеров» в атаке на все западные демократии, что сильно ухудшает отношения и на межправительственном уровне. Аналогичные обвинения США предъявляют Северной Корее (вводя против нее санкции), Китаю (вытесняя китайские компании с американского рынка из-за обвинений в промышленном шпионаже), Ирану (ставя под угрозу уже оформленную ядерную сделку). Есть и менее известные геополитические киберскандалы – Индия и Пакистан, Израиль и Сирия, Россия и Украина, Северная и Южная Корея и т.п. Геополитика могла бы помочь в расследовании таких инцидентов, но она же и мешает ему. Отсутствует международное право в области кибербезопасности, отсутствуют принятые всеми сторонами правила атрибуции киберпреступников.

Геополитика сегодня оказывает на нашу жизнь гораздо большее влияние, чем хотелось бы. Не хочу и не буду нагнетать истерию вокруг «русских», «американских» или любых других хакеров. Мы принципиально исходим из того, что у киберпреступности и кибератак не существует национальности или границ, это глобальное явление и глобальная проблема. Но в то же время нельзя отрицать, что у многих государств есть официально признанные киберармии. И часть инцидентов последнего времени обусловлена в том числе геополитической ситуацией в мире.
Лично у меня здесь самую большую тревогу вызывает то, что государства обладают несравнимо большими ресурсами, чем любые частные лица. Это значит, что и инструменты кибершпионажа или киберсаботажа, которые разрабатываются по заказу правительств, значительно мощнее и разрушительнее, чем технологии обычных преступников.

Мы видим, что многие государства действительно занимаются кибербезопасностью на уровне страны. Если раньше этот вопрос не включался в повестку дня, то сейчас разные государства активно говорят о том, что у них есть подразделения, которые занимаются разработкой защитных механизмов или инструментов нападения – это становится частью любой геополитики. Конечно, это вызывает некоторые опасения, потому что государства могут использовать технологии шпионажа и разрабатывать специальные схемы, которые позволят получать информацию.

В условиях отсутствия принятых правил атрибуции сегодня ответить на вопрос «кто?» с уверенностью нельзя. Достаточно вспомнить утекшие секреты из АНБ и ЦРУ, в которых убедительно доказывалось, что американские спецслужбы способны маскироваться под любую известную существующую преступную кибергруппировку. В таких условиях говорить о том, что за какими-либо атаками стоят те или иные государства, нельзя. Вполне возможно, что за угрозами якобы «русских хакеров» стоят совсем иные государства, которые хотели бы повесить всех собак на Россию с целью снизить геополитическое влияние нашей страны и ударить по ее экономике санкциями. С другой стороны, не секрет, что информатизация активно проникает во все сферы экономики большинства стран мира, и вполне очевидно, что с ее ростом увеличивается и число кибератак. Неслучайно Всемирный экономический форум в своих последних документах (на протяжении последних пяти лет) упоминает киберпреступность как одну из десяти основных мировых проблем. Действительно, детские шалости хакеров-одиночек переросли в проблему мультинационального характера, а ущерб от нее стал измеряться триллионами долларов США. А так как у нас правит миром информация, то и попытки ее украсть, подменить, уничтожить будут только учащаться.

Кто угодно и что угодно – хакеры давно перестали быть однородной группой, которую можно описать по месту жительства, полу, возрасту или образованию. Сегодня доминирующая мотивация киберпреступников – это деньги или информация. Происходит быстрая эволюция этой среды, и если раньше была четкая граница между старой, «офлайновой» организованной преступностью и группировками киберпреступников, то сейчас эти границы стираются. И конечно же, за особыми, самыми сложными и опасными угрозами стоят все те же особые киберотделы при спецслужбах.