Такой точки зрения придерживается киберэксперт Брюс Шнайер (Bruce Schneier).
Смарт-гаджеты повсюду. Вероятно, они есть у вас на работе, дома, и скорее всего, даже у вас на запястье. Согласно подсчетам исследовательской фирмы Gartner, в этом году в обращение поступило более 11 миллиардов устройств, связанных с Интернетом (за исключением смартфонов и компьютеров), что почти в два раза превышает их количество два года назад.
Скоро появятся миллиарды других онлайн-гаджетов. Их основная польза заключается в том, что они могут подключаться к Сети, однако именно это делает их потенциальным ночным кошмаром для кибербезопасности. Хакеры уже доказали, что они могут скомпрометировать что угодно, начиная от автомобилей и до медицинских приборов, и все громче звучат предупреждения о том, что компании урезают безопасность, стремясь быстрее выпустить продукцию на рынок.
В своей новой книге под названием “Click Here to Kill Everybody” («Нажмите сюда, чтобы убить всех»), Брюс Шнайер утверждает, что правительства должны заставить компании, занимающиеся разработкой гаджетов, выходящих в Интернет, поставить безопасность на первое, а не на последнее место. Автор влиятельной рассылки и блога по кибербезопасности, Шнайер также является сотрудником центра Berkman Klein Center for Internet and Society в Гарварде, и читает лекции по общественной политике в гарвардском Колледже им. Кеннеди. Помимо всего прочего, он состоит в совете Фонда Electronic Frontier Foundation и является главным специалистом по технологиям в фирме IBM Resilient, которая помогает другим кампаниям подготовиться к потенциальным кибер-угрозам.
В своем интервью для MIT Technology Review Шнайер рассказал о том, какие риски мы берем на себя в мире, где все больше устройств имеет выход в Интернет, и какие законы срочно необходимы, чтобы их уравновесить.
Название вашей книги как бы специально вызывает тревогу. Это просто попытка увеличить продажи?
Может показаться, что это просто наживка для читателя, однако я пытаюсь донести до людей, что Интернет теперь влияет на мир физическим образом, напрямую, и это меняет все. Разговор идет уже не про риск для ваших данных, а про угрозу для жизни и имущества. И название действительно указывает на то, что присутствует ощутимая опасность, и что ситуация сейчас отличается от положения вещей пять лет назад.
Как эти перемены влияют на изменение нашего понимания кибербезопасности?
Наши машины, наши медицинские приборы, наши домашние гаджеты теперь являются компьютерами, к которым присоединены вещи. Ваш холодильник — это компьютер, который поддерживает холодную температуру продуктов, а микроволновка — компьютер, который делает их горячими. Автомобиль — это компьютер с четырьмя колесами и мотором. Компьютеры перестали быть просто экраном, который мы включаем и смотрим в него, и это огромная перемена. То что раньше было лишь компьютерной безопасностью, отдельным царством, превратилось в безопасность всего.
Вы придумали новый термин: “Интернет+”, чтобы отразить этот технологический сдвиг. Однако разве для этого уже не существует словосочетание “интернет вещей”?
Мне не хотелось придумывать еще одно модное словечко, потому что их и так уже очень много. Однако понятие “интернет вещей” слишком узкое. Оно обозначает лишь подключенные к Сети приборы, термостаты и другие гаджеты, представляющие из себя лишь часть того, о чем мы говорим. На самом деле это интернет вещей плюс компьютеры, плюс сервисы, плюс большие построенные базы данных, плюс интернет компании, плюс мы сами. Я всего лишь сократил это до “Интернет+”.
Давайте сосредоточимся на части уравнения “мы сами”. В книге вы говорите, что мы становимся “виртуальными киборгами”. Что вы под этим имеете в виду?
Люди уже очень тесно привязаны к устройствам, таким как наши телефоны, в которые мы смотрим множество раз на день, к поисковым системам, которые превратились в подобие наших онлайн-мозгов. Системы энергоснабжения, транспорта, коммуникаций — все завязано на Интернете. Если Сеть рухнет, то сама распространенность и самовыражение человечества остановятся, потому что мы зависим от нее на всех уровнях своей жизни. Пока что компьютеры не являются неотъемлемой частью наших тел, однако они очень тесно взаимосвязаны с нашей жизнью.
Разве нельзя просто отключиться от Сети, чтобы хоть как-то минимизировать риски?
Это становится все сложнее и сложнее. К примеру, я пытался купить машину, не подключенную к Интернету, и у меня не вышло. Причем дело не в том, что таких машин больше нет, просто та, что мне была нужна, шла с интернет-подключением. Даже если его отключить, нет никакой гарантии, что хакеры не смогут его включить дистанционно.
Хакеры также могут использовать уязвимости в системе безопасности в одном устройстве, чтобы атаковать другие, верно?
Этому существует множество примеров. Сеть ботов Mirai использует уязвимость домашних гаджетов, таких как видеорегистраторы и веб-камеры. Хакеры могут взломать эти вещи и использовать их, чтобы атаковать основной сервер имен доменов, а затем отключить ряд популярных веб-сайтов. Хакеры, атаковавшие Target, проникли в сеть розничных платежей через прореху в IT-системах подрядчика, работавшего в некоторых из магазинов данной сети.
Верно, однако эти случаи не привели к потере жизни или части тела, поэтому пока что нельзя сказать, что было много случаев нанесения физического вреда, так ведь?
Все верно. Большинство атак все еще связаны с посягательством на данные, личную жизнь и конфиденциальную информацию. Однако мы входим в новую эру. Я очень обеспокоен тем, что кто-то может украсть мои медицинские данные, однако что если эти люди изменят в базе данных мою группу крови? Я не хочу, чтобы кто-то взломал Bluetooth-соединение в моей машине и прослушивал мои разговоры, однако еще меньше мне хочется, чтобы они отключили управление рулем. Эти посягательства на целостность и доступность систем — именно то, о чем следует беспокоиться в будущем, потому что они напрямую влияют на нашу жизнь и имущество.
В этом году в США было много дискуссий относительно кибер-угроз для важных инфраструктур, таких как электросети и плотины. Насколько все это серьезно?
Нам известно, что национальные хакеры проникали в системы некоторых американских энергетических компаний. Данные взломы были пробными, и не причинили никакого вреда, однако мы знаем, что в потенциале это возможно. Если есть страны, враждебно относящиеся к США, то от них следует ожидать подобных нападений. Соединенные Штаты также будут использовать их против своих врагов, так же как мы используем кибер-атаки, чтобы отложить ядерные программы в Иране и Северной Корее.
Что это означает для нашего нынешнего подхода к компьютерной безопасности, такого как написание патчей и исправление ошибок в ПО?
Написание патчей — это один из способов обеспечить безопасность. Мы производим не очень хорошие системы, затем находим в них изъяны и закрываем с помощью патчей. На телефоне или компьютере это прекрасно работает, потому что отсутствие безопасности обходится сравнительно дешево. Однако возможен ли подобный подход к машине? Нормально ли внезапно заявить, что в автомобиле небезопасно, что ее может взломать хакер, но не беспокойтесь, потому что на следующей неделе выйдет патч? А как насчет вживленного кардиостимулятора? Так как компьютеры сейчас влияют на мир напрямую, в физическом смысле, мы не можем себе позволить дожидаться исправлений.
Однако у нас уже есть очень высокие стандарты безопасности для ПО, используемого в таких важных кибер-физических областях, как авиация, разве нет?
Да, но это очень дорого. Данные стандарты были установлены, потому что государство очень строго следит за этой и некоторыми другими областями промышленности. В сфере потребительских товаров нет такого уровня безопасности, и это должно поменяться. На данный момент рынок вообще не поощряет безопасного ПО в данной сфере. Если только вы, как компания, не получите дополнительной доли рынка из-за того, что ваша продукция более безопасна, вы не станете тратить время на этот вопрос.
Что же нам нужно сделать, чтобы эра Интернет+ стала безопасней?
Нет такой сферы промышленности, которая бы увеличила или улучшила свою безопасность без принуждения со стороны правительства. Снова и снова компании экономят на безопасности, пока их не заставляют отнестись к этому серьезно. Нужно, чтобы правительство поднажало в этом вопросе, и применило ряд мер в отношении фирм, разрабатывающих устройства, соединенные с интернетом. Сюда входят гибкие стандарты, строгие правила, и суровые обязательства с достаточно серьезными наказаниями за нарушения, чтобы это ударило по прибыли производителей.
Однако разве суровые обязательства не негативно скажутся на инновациях?
Да, негативно, но сейчас это необходимо! Смысл в том, что инновации в мире Интернета+ могут убить вас. Мы стараемся приостановить инновации в таких вещах как разработка лекарств, дизайн самолетов или ядерных заводов, потому что плата за ошибки, допущенные в этих сферах, слишком велика. Мы уже прошли тот момент, когда нужно обсуждать регуляцию, а не отсутствие регуляции вещей с выходом в Сеть: сейчас следует сосредоточиться на обсуждении умной регуляции, вместо глупой регуляции.
Разве этот вопрос не вызывает фундаментальное напряжение? Правительства тоже любят использовать уязвимые места для шпионажа, внедрения законов или других вещей.
Правительства определенно выступают как браконьеры, а не только как стражи порядка. Я считаю, что в конечном итоге нам все же удастся разрешить это давно сложившееся противоречие между защитой и нападением, однако это будет долгий и сложный путь.
В основном ваша книга описывает ситуацию в США. Вы думаете, что все пойдет именно отсюда?
Я описываю США, потому что именно тут расположены основные техно-корпорации, и именно этот режим я изучил лучше всего, однако в книге также много сказано и о Европе. На данный момент Евросоюз имеет высшую регламентирующую силу. Я считаю, что он продвинется дальше и быстрее США. В Америке больше всего надежды на власти штатов, особенно Массачусетса, Нью-Йорка и Калифорнии.
По моему мнению, также будут подписаны международные договора и нормы, которые обезопасят некоторые связанные с Интернетом инфраструктуры от национальных кибератак, по крайней мере в мирное время. Нам срочно нужно предпринять меры на всех уровнях, начиная с поместного и заканчивая международным. Моим самым большим страхом является то, что произойдет киберкатастрофа, и что государства поспешат в суматохе внедрить меры, которые не решат данную проблему.
Источник: MIT Technology Review
