Сегодня 31 декабря, и у многих блоггеров чешутся руки подвести итоги прошедшего года. У ИБ-блоггеров, естественно, анализ касается своей профессиональной сферы, смежных сфер и себя самого. Некоторые еще раньше выложили свои мысли, чтобы иметь возможность 30-31 декабря вместе со всем своим городом поехать в супермаркет за покупками.
Уходящий 2017 год, без преувеличения, можно назвать годом начала эры кибербезопасности. В этом году даже абсолютно не связанные с информационными технологиями и безопасностью люди узнали, что такое шифровальщики и кибератаки. Рядовому гражданину и нерадивому ИТшнику стал понятен возможный ущерб от взлома. Многие стали на всякий случай бояться русских хакеров, и при посещении некоторых зарубежных ресурсов можно нарваться на бан ценой страны.
name='more'>Например, одна сеть отелей решила, что лучше пусть русские хакеры бронируют через букинг - так архитектурно безопаснее:
2017 год ознаменовался такими событиями, как попадание в открытый доступ кибероружия спецслужб и вирусные эпидемии, ущерб бизнесу в результате которых исчислялся миллионами. Уязвимости популярного ПО дали широкое поле деятельности для темной стороны. Утечкам информации, просочившимся в СМИ, счет пошел на десятки. Россия с целью противодействия киругрозам приняла Федеральный Закон №187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и развивает комплексную государственную программу "Цифровая экономика".
И ведь это только начало эпохи, ключевыми угрозам по результатам 2017 года я вижу следующие:
Цифровизация личности. Среди большого количества новостей как-то незаметно проскользнула одна, на мой взгляд, самая важная, которая показывает, куда катится мир. В начале ноября из-за уязвимости в формировании криптографических ключей Эстония отменила действие 760 тысяч национальных ID-карт. На них необходимо было обновить сертификат для полного восстановления функционала. Подробности здесь, здесь и здесь.
То есть, что было сделано: сначала, в течение многих лет, процессы в стране выстраивались таким образом, чтобы по максимуму замкнуть их на наличие ID-карты. Даже участие в выборах - и то по карточкам. Затем, в один прекрасный момент, был человек - и нет человека. Как утверждают вышеописанные источники, ID-карта продолжала работать как удостоверение личности, но был закрыт доступ к электронным ресурсам, процедура аутентификации в которых осуществляется при помощи ID-чипа карточки. А в Эстонии цифровые сертификаты ID-карты жители страны используют для получения медицинских услуг, взаимодействия с налоговой службой, начисления зарплат сотрудникам и других подобных задач.
Решение правительства приостановить действие цифровых карт затронуло, в частности, компании, которые предоставляют бухгалтерские услуги. И это случилось как раз перед выплатой заработных плат и пенсий. В этот же период времени работодатели перечисляют в казну налоги с прибыли. Компании, работа которых приостанавливается из-за проблем с картами, недовольны.
Хочешь сдать налоговую отчетность - не примут, потому что ТЕБЯ НЕТ. Заболел - лечить не будут, потому что ТЕБЯ НЕТ. Чем больше функций завязано на систему, тем ощутимее результат ее отключения. Апокалиптический сценарий реализуется в полной мере: за счет сбоя, компрометации или некорректных действий люди, зависящие от системы, перестают полноценно существовать.
Зависимость от технологий. О том, чему нас учит Petya, WannaCry и BadRabbit, я писал раньше, с точки зрения обеспечения ИБ. Если же абстрагироваться от специфичных вещей и охватить картину в целом, можно заметить: степень информатизации даже в непрофильных компаниях стала настолько высокой, что от работоспособности любых информационных систем напрямую зависит бизнес. Не работает ПК в отделе обслуживания клиентов - клиента не обслужат. Не сможешь ни сдать анализы, ни получить результаты. Кредит не возьмешь, номер не подключишь, заявление не подашь, машину не заправишь. Перечень последствий зависит от направления бизнеса компании. О том, как Интернет вещей связан с безопасностью людей, я писал ранее. То же самое и в промышленности, и в офисах, где IoT в чистом виде отсутствует, но информационные технологии давно перешли в сегмент управления бизнесом, и от их защищенности напрямую зависит работа всей компании.
Искусственный интеллект. Сейчас все компании стремятся сократить расходы на персонал, максимально автоматизировав процессы, таким образом постепенно переведя ИТ-часть из области обеспечивающих и сопровождающих технологий в ранг критичных. Экономически это целесообразно:
внедрение информационной системы = инвестиции в высокие технологии
в то время как
труд человека = затраты на персонал
В какую статью охотнее раскошелится инвестор - вопрос риторический. И все же, автоматизация каждого блока работы отдельно требует дополнительного труда. Мечта капиталиста: все само работает, решает все проблемы, и только деньги приносит. Закономерно созревает мысль включения в процессы компании искусственного интеллекта. Процессы ускоряются, рутинная и даже некоторая аналитическая работа выполняется мгновенно и без ошибок человеческого фактора. Если научить систему адаптироваться под изменения самостоятельно - можно совсем оптимизировать количество персонала (чем многие и занимаются), начиная с юристов. Только чем больше полномочий у искусственного интеллекта, тем страшнее. И не только рядовым сотрудникам, но и самой компании. Посчитает противоестественный интеллект, что если задержать зарплату за месяц сотрудникам, то ее можно будет прокрутить в банке, а профит покроет и штрафы, и другие риски - расхлебывать человеку. А может и решить, что дивиденды инвесторам лучше не платить - так финансовые показатели компании лучше будут. В итоге, на базе принятых решений, подразделения компании либо будут сокращены, либо перепрофилируются в обслугу искусственного интеллекта. Который не оштрафуешь и не посадишь.
А ведь есть и темная сторона вопроса: в алгоритмы работы противоестественного интеллекта можно вносить корректировки в свою пользу. Как разработчиками, так и при получении несанкционированного доступа. Пара штрихов - и мощная аналитическая самообучающаяся машина, не знающая ни сна, ни отдыха, ни сострадания, ни милосердия, обладающая широкими полномочиями и абсолютной безнаказанностью, ведет бизнес компании так, как ей было велено, но не руководством компании.
Возвращаясь к изначальной теме поста, желаю в следующем году и последующих в этой эпохе соблюсти разумный баланс между машиной и человеком. Диджитализация - то модно, но в погоне за сиюминутной модой не стоит терять голову - она всегда в цене.
ЗЫ. И ни одного слова про блокчейн. Интересно, кто-то дочитал до сюда?
