Это интервью я хотел взять ещё в начале 2023 года на форуме «Магника», но тогда не получилось в силу объективных причин. В конце концов мне предложили посетить BIS Summit — крупное событие в сфере информационной безопасности, где я смогу получить все ответы. Я, не задумываясь, согласился. Из‑за плотного графика мне пришлось испортить обед интервьюируемой, но, на мой взгляд, получился довольно интересный разговор. Представляю вам интервью с президентом группы компаний InfoWatch, председателем правления ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» и сооснователем компании «Лаборатория Касперского» Натальей Ивановной Касперской. Приятного чтения!
Насколько выросло количество утечек конфиденциальной информации (в основном персональных данных россиян) в России в условиях сложившейся ситуации (с начала 2022 года)? Что произошло за тот же период с утечками в мире?
По нашим подсчётам, количество утечек выросло в два с половиной раза, это беспрецедентный рост. Мы собираем статистику утечек с 2007 года, на начальных этапах был значительный рост, а в 2020 и 2021 годах мы отметили снижение количества утечек. И решили, что тема с утечками стабилизировалась. Но в 2022 году начался их резкий рост, причём, что интересно, не только по России, но по всему миру. На мой взгляд, это связано с изменением политической ситуации — разные государства начали ещё более активно, чем раньше, похищать друг у друга информацию. Изменился и характер утечек. Например, по России сейчас больше крадут персональные данные, а по миру большинством краж стала коммерческая тайна и другие подобные утечки. Обычно пропорция украденных данных выглядит как 80% на 20%, где 80% — это персональные данные, а 20% — всё остальное. Сейчас получается так: персональные данные по миру — это 56%, а 44% — всё остальное.
Ваше отношение к биометрии известно. За последний год оно изменилось? Как вы видите возможность защиты биометрических данных граждан? Что тут главное?
С одной стороны, биометрия — это некая общедоступная информация, по крайней мере лицо. Оно у нас открыто, маски мы носить перестали, паранджу не все носят. Да и с маской или паранджой глаза открыты, а вот отпечатки пальцев — уже менее доступная информация. Меня смущает единая база биометрических данных россиян, которую хотят сделать. Во‑первых, это единая точка входа, и любой безопасник вам скажет, что наличие единой точки входа создаёт уязвимость, потому что одно дело — распределённые ресурсы, когда злоумышленнику надо влезть в несколько различных систем, другое — в единую базу. Во‑вторых, согласно 152-ФЗ «О персональных данных» обработка информации должна осуществляться с определённой, заявленной целью в единой базе. Создание единой базы биометрии предполагает, что человек добровольно сдаёт информацию, и дальше она будет как‑то и кем‑то использована, но неизвестно, кем и как. Это прямое нарушение 152-ФЗ. И для меня загадка: если единой базы нет, но при передаче биометрии написано, что «вашу информацию передаём кому угодно, куда угодно», то получается, что база общая есть и про защиту персональных данных можно забыть. Отказ граждан от сдачи биометрии тоже вызван непониманием, для чего её сдавать, как эта информация будет использоваться, с какими целями, каким образом. На мой взгляд, это сейчас выглядит так: давайте в общую помойку всё свалим.
Как вы относитесь к облачным решениям и переносу сервисов в облака? Считаете ли вы, что современные российские провайдеры смогут обеспечить сохранность данных и сервисов в своих облаках?
Я безопасник, я к облакам отношусь плохо, потому что любое облако — это сервера, которые находятся где‑то не у клиента в инфраструктуре. Это «где‑то» клиент не может контролировать. И ни в одном соглашении с облачным провайдером нет никаких гарантий. Облачные провайдеры стараются от гарантий отвертеться. Да, они говорят: есть защита, они обещают услуги, поддержку, но гарантий не дают. Поэтому если у клиента что‑то случилось, он может в рамках лимитированной ответственности предъявлять иски к провайдеру, но облачные сервисы будут от них отбиваться. И дальше начнётся изнурительная волокита. Очень хорошая «прививка против облаков» была сделана в 2022 году, когда несколько компаний перенесли чувствительные и важные сервисы в большое облако, а потом это облако в одночасье было отключено. Очень нехорошая история. Я, например, не вижу, чтобы многие компании переносили инфраструктуру в облака. Я бы сказала, что сейчас, скорее, обратная тенденция — многие компании возвращаются к собственной IT‑инфраструктуре.
Что касается размещения облаков на территории Российской Федерации, обеспечения защиты провайдерами, то проблема ответственности облачного провайдера за клиентскую информацию остаётся. Сколько мы с провайдерами ни беседовали, никто не хочет брать на себя ответственность. Провайдеры понимают, что не смогут защитить информацию, и они это вставляют в контракт. А если у клиента сверхчувствительная информация и защиты не будет на должном уровне, то в облаках её размещать нельзя.
Стоит ли российским разработчикам ПО переносить свою разработку в облака или лучше сосредоточиться на собственной инфраструктуре и её безопасности?
Про разработчиков я ничего пока не говорила. Они могут по желанию размещать среду разработки в любой IT‑инфраструктуре. Я говорила про обычных клиентов, юридических и физических. Повторюсь, если есть сверхчувствительная информация, её не стоит размещать в облаке.
Вы высказывались по поводу возможной блокировки смартфонов на базе ОС Android и iOS. Почему такой блокировки пока не произошло? И произойдёт ли она в дальнейшем? При каких условиях?
Я думаю, этого не произошло, потому что это возможность влияния. Техническая возможность, все понимают, есть. Не хочется гадать, почему не отключают, но могу предположить. Во‑первых, это явно враждебно, и ответ может быть симметричным, и десять раз надо думать, стоит ли это делать. Во‑вторых — это однократное действие. Один раз сделал, больше его повторить не получится. Моя оценка такого события — это маловероятно.
Нашей стране надо, конечно, разрабатывать какие-то свои носимые устройства для населения. Несколько попыток было, все они окончились неудачей. Это сложный и с точки зрения разработки, и с точки зрения продвижения вопрос. Даже наша компания пробовала сделать носимое устройство — «Тайгафон». Мы делали телефон для корпоративного применения и думали, что с такими потребителями будет чуть легче, но ошиблись. Тут встаёт много вопросов — например, вопросы изменяемости версии, модельного ряда, логистики, поставок и так далее. Сейчас у нас на заводах нет возможности создать полный цикл производства носимых устройств. И это проблема для импортонезависимости таких устройств.
Насколько увеличился запрос от различных коммерческих компаний на ваши продукты за последние 2 года? Возможно, всё осталось на прежнем уровне? Был ли рост запросов на ваше ПО от государственных предприятий? С чем он был связан?
Запрос от коммерческих компаний вырос в среднем за 2 года на 45%. Однако надо понимать: есть часть коммерческих компаний с государственным участием. Вот по этому поводу затрудняюсь сказать. Я бы сказала, что если и есть рост запросов от госкомпаний, то незначительный. Мы в основном продаём решения в коммерческий сегмент. Хотя у многих заблуждение, что InfoWatch — компания для госорганов, а у нас в основном крупные коммерческие клиенты.
Насколько вам сейчас сложнее закупать электронную компонентную базу (ЭКБ), по сравнению с 2021 годом? Что ваша компания смогла сделать в связи с этим?
Да, стало сложнее, всем стало сложнее. Но мы открыли несколько новых каналов, работаем с несколькими дистрибьюторами. Мы работаем исключительно с внутрироссийскими компаниями и не занимаемся трансграничной перевозкой, это вообще не наше дело, единственное, что могу сказать — у нас увеличились сроки поставки и цены, что логично. Однако мы все свои внутренние потребности и потребности по поставке для заказчиков закрываем.
В своих решениях вы используете отечественную ЭКБ? Насколько удобны процессоры «Эльбрус» и «Байкал» для ваших решений?
Нет, не используем. Мы проводили тестирование на совместимость «Эльбруса», а с «Байкалом» вообще неизвестная история. Однако процессор — не самая большая проблема, то, что он существует, это хорошо. Вопрос в его использовании, если нет массовых операционных систем для него, нет массового софта, нет массового спроса, то он нам не подходит. Мы пишем ПО верхнего уровня, будет много запросов — можно будет детально говорить о решениях на «Эльбрусе», единичные запросы не дадут развития. Распространённость «Эльбрусов» в нашей стране, мягко говоря, незначительная, поэтому для бизнеса делать на них решения не имеет смысла.
Вы говорили, что на open source нельзя строить системы государственной значимости — на ваш взгляд, что лучше: сделать на основе open source собственное решение или создать его целиком с нуля, не на базе открытого ПО?
С нуля никто не пишет уже много лет. Когда мы начинали в 1994 году антивирус Касперского, наши ребята резидентный перехватчик и сканер писали с нуля на языке Си, но эти времена уже канули в Лету. И я не говорила, что надо всё писать с нуля. Сейчас есть огромное количество библиотек, можно их найти и относительно быстро написать свой софт. Самый яркий пример: фаервол NGFW. Есть определенный стек технологий, берём этот стек, и через 2–3 месяца получаем NGFW, он маленький, низкопроизводительный, тем не менее, это NGFW. Если писать с нуля, я думаю, что это годы.
Когда я говорю, что нельзя государственные информационные системы строить исключительно на open source, я имею в виду, что государственные служащие берут сами какие‑то компоненты, сами пишут, сами адаптируют и сами внедряют. Потом люди, которые писали эти решения, уходят, а в госструктуре остаются те, кто не знает, как всё внутри устроено. Дальше эти решения ломаются. Это известная тема.
Вместо того чтобы создавать вот такие не самые удобные решения на базе open source, я полагаю, лучше брать их из реестра Минцифры РФ. У нас там есть много хороших решений. Пусть лучше профессиональные разработчики занимаются созданием таких решений для госведомств. Они дадут свою гарантию, что это решение будет работать, а не сломается тут же, завтра. Да, они тоже пишут на open source, но в схеме «госведомство»‑»разрабочик»‑»конечный пользователь» есть посредник, ответственный за проблемы созданного ПО. А если сам госорган пишет нужные решения, какой с него спрос, он госорган. Например, лег критически важный сервис, он скажет: «Ну да, лег, мы не виноваты, у нас оpen source», — но так нельзя делать. Поэтому я уверена в том, что такие решения должны делать российские разработчики, которые смогут поправить недочёты и поддержать созданные на open source решения. С них и будет спрос при крушении системы. И это будет правильно. И клиентов, использующих такие решения не оставят один на один с большими техническими и иными проблемами.
Какими вы видите меры наказания за утечки данных для компаний, которые их допустили? Про оборотные штрафы вы говорили, что это не лучшее решение. Что, на ваш взгляд, будет оптимально?
Наказание — вообще сложная тема. Так, например, на пленарной сессии BIS Summit их обсуждали, на эту тему высказывалось много мнений, они были радикально противоположными. Например, регулятор высказался за наказание всех подряд. Если произошла утечка, ответственные за ИБ в любом случае несут ответственность. Однако вице‑президент «Газпромбанка» Александр Егоркин возразил, сказав, что внедряется презумпция виновности для безопасников. Они там старались, внедрили все мыслимые системы информационной безопасности, построили сложную, круговую, многоуровневую, многослойную защиту, но утечка произошла. Потому что может быть «крот» внутри или хитрая многослойная атака с использованием внутренних людей (методов социальной инженерии), особенно если компания огромная. Стопроцентной гарантии от утечки нет. И эти безопасники должны быть менее наказуемы, чем те, кто вообще ничего не делал, а данные разбрасывал налево и направо. На мой взгляд, такие вещи тоже нужно учитывать.
Второй вопрос — кто виноват. Это острый вопрос. К сожалению, я не читала законопроект по утечкам данных, его прячут где‑то в кулуарах. Только на BIS Summit впервые от Александра Хинштейна я услышала концепцию по этому документу. Пресса всё время обсуждает законопроект по утечкам данных, из неё мы узнаём какие‑то отрывочные куски. По этим кускам, основными виновными будут генеральный директор и начальник службы информационной безопасности. Это тоже не совсем правильно, тем более если вспомнить предыдущую идею Егоркина. Причём про людей, непосредственно допустивших утечку, их выявление, доказательство их вины ничего не сказано. Мне кажется, это неправильный подход. В основе алгоритма определения вины должно лежать более взвешенное решение.
На той же пленарной сессии возник диалог с «Роскомнадзором» (РКН). Представитель ведомства заявил, что РКН готов работать и выявлять виновных взвешенно Не просто ответственных по умолчанию должностных лиц, а тех, кто действительно причастен к утечкам. И если это будет сделано, это станет феноменальным итогом нашего общения на сессии.
Разговор получился интересным, во многих вопросах я согласен с Натальей Ивановной. Да, есть ряд утверждений, которые покажутся спорными — не мне, а представителям отраслей, указанных в интервью. Однако сами по себе обсуждаемые вопросы сложные и вряд ли имеют одно чёткое решение. Большого послесловия не будет.
