Новый год эпохи кибербезопасности

Новый год эпохи кибербезопасности
Сегодня 31 декабря, и у многих блоггеров чешутся руки подвести итоги прошедшего года. У ИБ-блоггеров, естественно, анализ касается своей профессиональной сферы, смежных сфер и себя самого. Некоторые еще раньше выложили свои мысли, чтобы иметь возможность 30-31 декабря вместе со всем своим городом поехать в супермаркет за покупками.


Уходящий 2017 год, без преувеличения, можно назвать годом начала эры кибербезопасности.  В этом году даже абсолютно не связанные с информационными технологиями и безопасностью люди узнали, что такое шифровальщики и кибератаки. Рядовому гражданину и нерадивому ИТшнику стал понятен возможный ущерб от взлома. Многие стали на всякий случай бояться русских хакеров, и при посещении некоторых зарубежных ресурсов можно нарваться на бан ценой страны.
name='more'> Например, одна сеть отелей решила, что лучше пусть русские хакеры бронируют через букинг - так архитектурно безопаснее:

2017 год ознаменовался такими событиями, как попадание в открытый доступ кибероружия спецслужб и вирусные эпидемии, ущерб бизнесу в результате которых исчислялся миллионами. Уязвимости популярного ПО дали широкое поле деятельности для темной стороны. Утечкам информации, просочившимся в СМИ, счет пошел на десятки. Россия с целью противодействия киругрозам приняла Федеральный Закон №187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и развивает комплексную государственную программу "Цифровая экономика". 

И ведь это только начало эпохи, ключевыми угрозам по результатам 2017 года я вижу следующие:

Цифровизация личности. Среди большого количества новостей как-то незаметно проскользнула одна, на мой взгляд, самая важная, которая показывает, куда катится мир. В начале ноября из-за уязвимости в формировании криптографических ключей Эстония отменила действие 760 тысяч национальных ID-карт. На них необходимо было обновить сертификат для  полного восстановления функционала. Подробности здесь , здесь и здесь .  
То есть, что было сделано: сначала, в течение многих лет, процессы в стране выстраивались таким образом, чтобы по максимуму замкнуть их на наличие ID-карты. Даже участие в выборах - и то по карточкам. Затем, в один прекрасный момент, был человек - и нет человека. Как утверждают вышеописанные источники, ID-карта продолжала работать как удостоверение личности, но был закрыт доступ к электронным ресурсам, процедура аутентификации в которых осуществляется при помощи ID-чипа карточки. А в Эстонии цифровые сертификаты ID-карты жители страны используют для получения медицинских услуг, взаимодействия с налоговой службой, начисления зарплат сотрудникам и других подобных задач. 
Решение правительства приостановить действие цифровых карт затронуло, в частности, компании, которые предоставляют бухгалтерские услуги. И это случилось как раз перед выплатой заработных плат и пенсий. В этот же период времени работодатели перечисляют в казну налоги с прибыли. Компании, работа которых приостанавливается из-за проблем с картами, недовольны. 
Хочешь сдать налоговую отчетность - не примут, потому что ТЕБЯ НЕТ. Заболел - лечить не будут, потому что ТЕБЯ НЕТ. Чем больше функций завязано на систему, тем ощутимее результат ее отключения. Апокалиптический сценарий реализуется в полной мере: за счет сбоя, компрометации или некорректных действий люди, зависящие от системы, перестают полноценно существовать. 

Зависимость от технологий. О том, чему нас учит Petya, WannaCry и BadRabbit, я писал раньше , с точки зрения обеспечения ИБ. Если же абстрагироваться от специфичных вещей и охватить картину в целом, можно заметить: степень информатизации даже в непрофильных компаниях стала настолько высокой, что от работоспособности любых информационных систем напрямую зависит бизнес. Не работает ПК в отделе обслуживания клиентов - клиента не обслужат. Не сможешь ни сдать анализы, ни получить результаты. Кредит не возьмешь, номер не подключишь, заявление не подашь, машину не заправишь. Перечень последствий зависит от направления бизнеса компании. О том, как Интернет вещей связан с безопасностью людей, я писал ранее . То же самое и в промышленности, и в офисах, где IoT в чистом виде отсутствует, но информационные технологии давно перешли в сегмент управления бизнесом, и от их защищенности напрямую зависит работа всей компании.

Искусственный интеллект. Сейчас все компании стремятся сократить расходы на персонал, максимально автоматизировав процессы, таким образом постепенно переведя ИТ-часть из области обеспечивающих и сопровождающих технологий в ранг критичных. Экономически это целесообразно: 
внедрение информационной системы = инвестиции в высокие технологии 
в то время как 
труд человека = затраты на персонал 
В какую статью охотнее раскошелится инвестор - вопрос риторический. И все же, автоматизация каждого блока работы отдельно требует дополнительного труда. Мечта капиталиста: все само работает, решает все проблемы, и только деньги приносит. Закономерно созревает мысль включения в процессы компании искусственного интеллекта. Процессы ускоряются, рутинная и даже некоторая аналитическая работа выполняется мгновенно и без ошибок человеческого фактора. Если научить систему адаптироваться под изменения самостоятельно - можно совсем оптимизировать количество персонала (чем многие и занимаются), начиная с юристов . Только чем больше полномочий у искусственного интеллекта, тем страшнее. И не только рядовым сотрудникам, но и самой компании. Посчитает противоестественный интеллект, что если задержать зарплату за месяц сотрудникам, то ее можно будет прокрутить в банке, а профит покроет и штрафы, и другие риски - расхлебывать человеку. А может и решить, что дивиденды инвесторам лучше не платить - так финансовые показатели компании лучше будут. В итоге, на базе принятых решений, подразделения компании либо будут сокращены, либо перепрофилируются в обслугу искусственного интеллекта. Который не оштрафуешь и не посадишь. 
А ведь есть и темная сторона вопроса: в алгоритмы работы противоестественного интеллекта можно вносить корректировки в свою пользу. Как разработчиками, так и при получении несанкционированного доступа. Пара штрихов - и мощная аналитическая самообучающаяся машина, не знающая ни сна, ни отдыха, ни сострадания, ни милосердия, обладающая  широкими полномочиями и абсолютной безнаказанностью, ведет бизнес компании так, как ей было велено, но не руководством компании.

Возвращаясь к изначальной теме поста, желаю в следующем году и последующих в этой эпохе соблюсти разумный баланс между машиной и человеком. Диджитализация - то модно, но в погоне за сиюминутной модой не стоит терять голову - она всегда в цене.

ЗЫ. И ни одного слова про блокчейн. Интересно, кто-то дочитал до сюда?
Alt text
История Ричарда Столмана - от любви до ненависти. Раскрыты подробности уплаты выкупа вымогателям а киберграбители взялись за цифровое искусство. Смотрите 12 выпуск security-новостей на нашем Youtube канале.

Андрей Дугин

Практическая информационная безопасность и защита информации | Information Security and Cyber Defense in Deed