Пожалуйста, отключите AdBlock!
AdBlock мешает корректной работе нашего сайта.
Выключите его для полного доступа ко всем материалам РБК
Технологии и безопасность: как справиться с новыми угрозами
Материалы выпуска
Технологии и безопасность: как справиться с новыми угрозами Инновации Алексей Иващенко: «Smart City можно построить уже завтра» Инструменты Михаил Ветров: «Цифровизация России – преодолевая преграды» Экспертиза Семья Большого Брата: что такое комплексная безопасность города? Решения Петербургский smart city: горе без ума Инновации
Инновации Санкт-Петербург и область,
0
Материалы подготовлены редакцией партнерских проектов РБК+.
Материалы выпуска
Технологии и безопасность: как справиться с новыми угрозами
Развитие систем автоматизации, проникновение в обыденную жизнь «интернета вещей», а также прочие инновации могут приводить не только к сугубо положительным эффектам, но и вызывать появление абсолютно новых типов рисков.
Сессия «Безопасный город. Инновации - инструмент защиты или дверь для уязвимостей» в рамках РБК Digital Форум

Если попросить обывателя перечислить известные ему технологии обеспечения безопасности в крупных городах, первым пунктом почти наверняка будет значиться сеть видеокамер, или, как бы сформулировали профессионалы, система передачи и анализа видеоизображений. Однако в современном мире, когда самые разнообразные приборы и механизмы могут управляться дистанционно, любая система – даже изначально предназначенная для повышения уровня безопасности – сама может стать источником угроз.

«Основным трендом с точки зрения киберугроз сегодня является все большее использование интернета вещей (IoT). Например, в 2016 году западное побережье США подверглось мощнейшей атаке ботнетов – не работали крупные провайдеры, сотни крупнейших компаний потеряли доступ к интернету. Мощнейшую и несокрушимую, казалось бы, операторскую сеть «положили» обычные видеокамеры, холодильники, чайники и прочие гаджеты с внедренным в них зловредным кодом», - рассказал руководитель направления IBM Security компании IBM в России и СНГ Андрей Солуковцев, выступая в рамках секции «Безопасный город. Инновации - инструмент защиты или дверь для уязвимостей?» форума РБК Digital City.

Андрей Солуковцев, руководитель направления IBM Security компании IBM в России и СНГ

Можно ли защититься от реализации подобных сценариев? По мнению Андрея Солуковцева, противостоять новым видам угроз невозможно без соответствующего регулирования. «Производители должны ставить средства защиты, обеспечивать нормальную идентификацию, работать с паролями», - рассуждает эксперт. «В России есть система сертификации, и любое производимое устройство должно иметь встроенные системы защиты и декларироваться в соответствии с правилами применения, - возражает заместитель директора департамента инфраструктурных проектов Минкомсвязи Вартан Хачатуров. - Другой вопрос – кто в состоянии написать такие правила применения, которые не только соответствовали бы текущему моменту, но и не устарели через месяц?».

Сверху или снизу?

Директор по специальным проектам ГК ЦРТ Андрей Хрулев полагает, что отсутствие каких-либо регулирующих документов часто замедляет распространение современных решений для безопасности.

«Действительно, без административного нажима коммерческие компании вряд ли что-то будут делать, - соглашается Вартан Хачатуров. – Например, система обеспечения вызова экстренных оперативных служб 112 включает в себя элемент определения местоположения звонящего. Так вот, почти все сотовые операторы поначалу отказались реализовывать данный элемент, потому что для этого нужны дополнительные инвестиции».

«В то же время, когда появляются регулирующие документы, возникает спор, что в них на самом деле написано, потому что концепция может меняться на ходу», — продолжает Андрей Хрулев и приводит пример: идеология постановления правительства по обеспечению туристический защищенности на объектах спорта за год успела развернуться чуть ли не на 180 градусов – сначала декларировалась необходимость внедрения систем видеоидентификации всех посетителей спортивных арен, затем было заявлено, что достаточно только установить обычные камеры видеонаблюдения. «Регулирующие документы должны быть, но также должно быть понимание, как эти принципы будут реализовываться на практике — четко должны быть прописаны правила игры и какая ответственность наступит за их невыполнение. Если не будет прописана обязанность внедрять системы безопасности в какие-нибудь «умные чайники», никто их внедрять не будет», — полагает Андрей Хрулев.

«Один чайник ничего не сделает, но сотни и тысячи этих устройств, объединенных в одну ботнет-сеть, уже могут многое, - поясняет Андрей Солуковцев. - При этом основным источником угроз начинают становиться именно такие устройства, которые сложно отследить. Они могут стать угрозой для всего общества, и о них нужно думать уже сейчас. Государство, естественно, справляется с системами, которые закупает для своих нужд. Но когда речь идет о массовых девайсах, приобретаемых конечными потребителями, пока не совсем ясно, что делать».

Андрей Христофоров, коммерческий директор компании ITV AxxonSoft не согласен с такой постановкой вопроса: «Как только тысячи чайников или телефонов с зловредными «закладками» становятся потенциально опасными с точки зрения общества, мгновенно находят люди, которые принимают какие-то регулирующие решения».

«Есть разные сферы нашей жизнедеятельности, и чем меньше государство лезет в личное или коммерческое поле, тем лучше. Избыточное регулирование таких вещей приведет к тому, что гражданам будут недоступны инновационные разработки», - уверен Андрей Христофоров.

Андрей Христофоров, коммерческий директор компании ITV AxxonSoft

Должен ли в таком случае производитель нести полную ответственность за безопасность массовых девайсов? Директор департамента управления проектами GS Group Василий Сениченков полагает, что делить ответственность в какой-то степени должен и потребитель. «Некоторые люди заводят бойцовских собак, и очень сильно упирают на то, как это животное будет защищать их. Но в то же время бойцовская собака – источник опасности для других людей. То же самое и с отношениями производитель-потребитель. В какой-то момент ответственность за обеспечение безопасности перемещается к покупателю. Другой вопрос в том, что такой покупатель должен быть информационно обеспечен, должен понимать, какое устройство имеет и что необходимо предпринимать, чтобы оно не представляло ни для кого угрозы», - рассуждает Василий Сениченков.

Заведующий кафедрой инфокоммуникационных систем СПб ГУТ им. проф. М.А. Бонч-Бруевича Борис Гольдштейн также обращает внимание на разницу подходов к обозначенной проблеме в России и на Западе. «В отличие от нас, за рубежом инициатива, скорее, идет снизу вверх – от муниципальных служб, от грузоперевозчиков, таксопарков и прочих структур, внедривших у себя различные автоматизированные системы», - говорит Борис Гольдштейн.

Борис Гольдштейн, зав. кафедрой инфокоммуникационных систем СПб ГУТ им. проф. М.А. Бонч-Бруевича (слева)

По мнению Андрея Хрулева, внедрение систем защиты от угроз безопасности в России также возможно двигать снизу вследствие заинтересованности самих участников рынка. «Приведу пример из нашего опыта, — говорит Андрей Хрулев. — Поначалу мы внедряли видеоидентификацию на стадионах как обязательный элемент системы, затем постановление правительства смягчилось, и видеоидентификация перестала быть обязательной, но представители стадионов уже увидели выгоду, причем не только с точки зрения безопасности, но и коммерческую — через уменьшение количества инцидентов на стадионе».

Откуда ждать угроз?

«Основная проблема в том, что у нас нет модели угроз ни для интернета вещей, ни, скажем, для облачных операций. Все упирается в то, что мы столкнулись с новой парадигмой, появилось много новых вещей, и мы еще не до конца понимаем, к чему все это приведет», - формулирует директор Инженерной школы Интернета вещей Санкт-Петербургского государственного университета аэрокосмического приборостроения (ГУАП) Вероника Прохорова.

Причем угрозы могут возникать совершенно неожиданно, а высокотехнологичные системы могут оказаться совершенно беззащитными. «Два года назад в Кении мартышка отключила электричество всей страны. Она залезла на трансформаторную станцию, и что она там сделала, никто не смог понять, - приводит пример Вероника Прохорова. - Слава богу, хоть сама мартышка осталась жива».

Вероника Прохорова, директор Инженерной школы Интернета вещей СПбГУАП

По мнению Вероники Прохоровой, надо начать с обсуждения модели угроз и уже от нее двигаться дальше. При этом участники сессии «Безопасный город» форума РБК Digital City не смогли прийти к единому мнению о том, кто должен отвечать за формулирование модели угроз – государство, научное сообщество или бизнес.

«Модель угроз, конечно, нужно построить. Но я, например, не знаю с чего начать, так как в данный момент отсутствует понимание объекта защиты, системы разнородны - рассуждает, в частности, Николай Якимов, генеральный директор компании «ЛАНИТ Северо-Запад». – Есть некие рекомендации, производители оборудования предлагают свои решения, обещая, что всё будет хорошо. Вопрос в том, обеспечивают ли их решения необходимый уровень безопасности? И самый главный вопрос – как определить этот уровень?»

По мнению Николая Якимова, сначала нужно решить, что мы будем в первую очередь защищать: «Необходимо провести систематизацию и классификацию объектов защиты, а уже после этого строить модель угроз и выбирать технические средства защиты».

Николай Якимов, генеральный директор компании «ЛАНИТ Северо-Запад»

«Мы не можем создать модель угроз для каждого конкретного человека, - рассуждает директор компании НТЦ РАТЭК Юрий Ольшанский. – Поэтому нужно четко разделить, какие угрозы могут привести к катастрофе, а какие – лишь к трагедии, как бы цинично это не звучало. Сформулированная на государственном уровне модель угроз должна позволять защититься от катастроф; подобные угрозы нужно вычленить и научиться прогнозировать. Все остальное – вопрос взаимоотношений производителей и потребителей».

«Помимо ответственности производителя и потребителя, существует также ответственность оператора – то есть той стороны, которая обеспечивает передачу данных через сеть. Эта сеть должна также обеспечивать все необходимые степени защиты», - добавляет Борис Гольдштейн.

Двигаться дальше

По словам заместителя директора по развитию городской системы видеонаблюдения СПб ГКУ «Городской мониторинговый центр» Ивана Лобацкого, основные сценарии происшествий, которые могут возникать в мегаполисе, уже были сформулированы в рамках создания программного комплекса «Безопасный город». «Работа по его созданию идет полным ходом, часть систем уже готова и функционирует. В частности, до конца года мы, надеюсь, сможем перешагнуть рубеж в 20 тыс. источников видеоизображения», - рассказывает Иван Лобацкий.

Ивана Лобацкого, зам. директора по развитию городской системы видеонаблюдения СПб ГКУ «Городской мониторинговый центр»

«Да, есть над чем работать еще, необходимо совершенствовать и нормативную базу. Но многое уже сделано. Нужно отталкиваться от того, что уже есть», - уверен Иван Лобацкий.

РБК Петербург благодарит за помощь в проведении дискуссии Вартана Хачатурова

Телевизионный репортаж с РБК Digital Форума