Как комментарии Трампа о защите информации могут отразиться на политике в области кибербезопасности
Накануне Нового года избранный президент Дональд Трамп сказал несколько слов о кибербезопасности. Как это бывает, его слова вызвали ажиотаж.
«Если вы хотите передать действительно важную информацию, запишите ее и доставьте по старинке — курьером. Вот что я вам скажу: безопасных компьютеров не существует, — заявил Трамп. — Неважно, что говорят другие».
Хотя многие высмеяли это заявление, вопрос хранения конфиденциальной информации офлайн стал особенно интересен после нашумевших взломов федерального Управления кадровой службы, Налогового управления США и Национального комитета Демократической партии. Следует ли правительству подумать о возвращении в дотехнологическую эпоху?
Общение офлайн изначально безопаснее цифрового, так как для перехвата сообщения требуется находиться в непосредственной физической близости к источнику информации (по имеющимся сведениям, Трамп редко использует электронную почту или компьютер, хотя и очевидно, что ему нравится «Твиттер»).
Дональд Трамп не понаслышке знаком с действиями хакеров. За последние несколько лет сеть отелей Trump Hotel пострадала от множества кибератак, в результате которых была раскрыта личная информация 70 000 клиентов, а штат Нью-Йорк оштрафовал сеть на 50 000 долларов.
Проблема заключается в невозможности даже предположить возвращение к услугам курьеров из-за чрезмерного развития наших технологий.
«Мы выпустили технологического джина из бутылки и его уже не вернуть обратно, — утверждает главный директор по вопросам безопасности и стратегии Eastwind Networks Роберт Хубер (Robert Huber). — Тенденция направлена на переход коммерческих услуг исключительно в Интернет, делая подчас невозможным получить эти услуги другими способами».
«Не существует на 100 % безопасного способа связи. А значительный ущерб эффективности при возврате к ручному письму делает этот метод неприменимым».
Роб Соберс (Rob Sobers)
Директор по вовлекающему маркетингу Varonis
Данные, которые еще не переведены в цифровую форму, легко можно в нее перевести с помощью базовых современных технологий.
Роб Соберс, директор по вовлекающему маркетингу компании Varonis, специализирующейся на кибербезопасности, утверждает: «Широкое распространение мобильных телефонов со встроенными камерами делает оцифровку письма элементарной задачей. Не существует на 100 % безопасного способа связи. А значительный ущерб эффективности при возврате к ручному письму делает этот метод неприменимым».
Полный отказ от цифровой связи ради безопасности практически невозможен. Генеральный директор Exabeam Нир Полак (Nir Polak) соглашается: «Отказ от цифрового хранения банковской, коммерческой, медицинской и другой информации обречен на провал. В конце концов, даже если как-то убедить каждого сотрудника отправлять бумажные письма вместо электронных, они все равно будут сидеть в Интернете и, таким образом, заносить в систему вредоносное ПО с сомнительных веб-страниц».
Специалисты считают, что лучше всего предотвращать проблему.
Нир Полак добавляет: «Суть в том, что большая часть ценной информации любой компании уже хранится в цифровом виде и количество способов получить ее растет, а не уменьшается. Следует сосредоточиться на защите системы, а не на возвращении в прошлое».
Саймон Гибсон (Simon Gibson), разработчик системы безопасности в Gigamon и бывший директор по информационной безопасности Bloomberg, утверждает, что дело не в отсутствии защищенных компьютеров. По его мнению, «проблема в том, как мы думаем о защите данных. Чем лучше взаимосвязаны системы, тем они эффективнее».
Саймон Гибсон объяснил, что следует лучше оценивать риски, отслеживая информацию, доступную в электронном виде и в целом доступную через Интернет. Тем не менее даже самая лучшая система безопасности не защищает от неправильного обращения.
«В конечном итоге лучшие способы защиты от вредоносного ПО и фишинга, а также биометрическая аутентификация станут для всех такими же привычными, как застегивание ремня безопасности в автомобиле».
Итан Эйер (Ethan Ayer)
Генеральный директор Resilient Network Systems
«Службы кибербезопасности могут уменьшить риск, но следует предоставить им соответствующие ресурсы и постоянно отслеживать их работу для снижения опасности, — заявил Роберт Хубер. — Хотя физические средства защиты, такие как замки, камеры и датчики движения, могут повысить безопасность дома и в офисе, есть еще и остаточный риск».
Тем не менее есть проверенные методы, которые усложняют взлом или делают его более затратным, начиная от технических методов (шифрование, многофакторная аутентификация, защищенная электронная почта) и заканчивая культурой (повышение знаний, осторожность при обмене информацией, защита конфиденциальности).
Генеральный директор Resilient Network Systems Итан Эйер утверждает следующее: «На раннем этапе развития автомобилизма, до изобретения подушек безопасности, зон деформации и ремней безопасности с креплением в трех точках, быть водителем было куда опаснее. В цифровую эпоху фактически каждый находится за рулем опасного транспорта, загруженного данными, и мы по-прежнему находимся на начальном этапе развития цифровой безопасности. В конечном итоге лучшие способы защиты от вредоносного ПО и фишинга, а также биометрическая аутентификация станут для всех такими же привычными, как застегивание ремня безопасности в автомобиле».
Что из этого следует?
На данный момент Дональд Трамп не сообщил подробностей плана обеспечения кибербезопасности, хотя после атак российских хакеров на прошлой неделе он сделал следующее заявление:
«Идет ли речь о нашем правительстве, организациях, объединениях или предприятиях, нам следует решительно бороться и остановить кибератаки. Я назначу команду людей, которые должны будут представить мне план в течение 90 дней после вступления в должность. Инструменты, методы и тактики для обеспечения безопасности Америки не должны быть достоянием общественности, которое можно использовать нам во вред. Через две недели я приму присягу и безопасность Америки станет моей главной целью».
Так как в настоящий момент мало известно о конкретных планах Трампа в информационно-технологической области, специалисты размышляют, как подобные заявления, сделанные накануне Нового года, отразятся на политике страны в области кибербезопасности. В каком направлении он пойдет? Получится ли затормозить развитие информационных технологий правительства США?
«Мы живем в технологическом обществе, и я сомневаюсь, что мы полностью вернемся в дни работы курьеров, отслеживаемых конвертов и обмена записками внутри учреждений».
Джон Бэмбенек (John Bambenek)
Менеджер систем выявления угроз компании Fidelis Cybersecurity
Роб Соберс из Varonis считает, что будет создано что-то подобное новому Генеральному регламенту о защите персональных данных Евросоюза, согласно которому компаниям разрешается использовать технологии, но требуется обеспечить серьезную защиту важных данных.
Менеджер систем выявления угроз компании Fidelis Cybersecurity Джон Бэмбенек предсказывает, что взгляд Дональда Трампа на технологии позволяет понять: он будет использовать стратегический консервативный подход при применении новых технологий.
Бэмбенек заявил: «Я не представляю, чтобы новое руководство применяло новые технологии ради применения новых технологий. Мы живем в технологическом обществе, и я сомневаюсь, что мы полностью вернемся в дни работы курьеров, отслеживаемых конвертов и обмена записками внутри учреждений. Но следует ожидать, что новое руководство не будет торопиться внедрять новые технологии без понимания рисков и способов их сокращения».
«Избранному президенту Трампу понадобятся знания о рисках и возможностях обеспечения кибербезопасности, чтобы противопоставить их полученным преимуществам, — говорит Роберт Хубер. — Я убежден, что преимущества технологий очевидны для господина Трампа, благодаря чему он особенно сосредоточится на кибербезопасности в ходе своего президентского срока».
Как это может отразиться на частном секторе?
Как это ни парадоксально, общественность огорчает увеличение количества процедур для обеспечения безопасности, а значит, повышенная безопасность может быть в интересах общества, но при этом не являться оптимальным решением. Последнее исследование компании McKinsey выявило, что клиенты, которые почувствовали досаду во время процедуры аутентификации, обычно используют цифровые услуги на 20 % меньше.
«Наибольшим препятствием для повышения безопасности компьютеров является изначальный конфликт между безопасностью и простотой использования, — утверждает Итан Эйер. — Потребители хотят, чтобы использование цифровых технологий не доставляло проблем, однако многие современные меры защиты негативно сказываются на использовании и в конечном итоге на чистой прибыли компаний, предоставляющих цифровые услуги. Мы находимся на том этапе развития, когда потребители и компании пытаются найти равновесие между удобством и безопасностью».