Личное мнение: Андрей Масалович
https://otr-online.ru/programmy/segodnya-v-rossii/lichnoe-mnenie-andrey-masalovich-63978.html Александр Денисов: Зампред правления «Сбербанка» Станислав Кузнецов сообщил, что за последние два года кибермошенниками, в основном базировавшимся на Украине, в городе Днепре, было похищено у граждан России несколько сот миллиардов рублей. По некоторым данным, киберграбежами там промышляет чуть ли не треть города. В этом году возросло почти вдвое число кибератак и на госсектор – о чем на встрече с президентом рассказал вице-премьер Дмитрий Чернышенко.
Дмитрий Чернышенко, заместитель председателя Правительства Российской Федерации: Конечно, информационная безопасность стоит во главе угла, потому что на 80% увеличилось в этом году число кибератак на Россию. Причем если в прошлом году основной целью кибератак был финансовый сектор, то в этом году – госсектор. 25 тысяч, даже больше, кибератак на госресурсы и 1 200 инцидентов на критической инфраструктуре были успешно ликвидированы. Понятно, что эта борьба будет продолжаться всегда, против нас воюют кибервойска всех недружественных стран. Но очень важно, что по вашему поручению организованы киберштабы во всех органах исполнительной власти, на всей критической инфраструктуре. Мы продолжаем эффективно обороняться.
Александр Денисов: В студии у нас Андрей Игоревич Масалович, президент консорциума «Инфорус», специалист по кибербезопасности. Андрей Игоревич, добрый вечер.
Андрей Масалович: Добрый вечер.
Александр Денисов: Андрей Игоревич, насколько серьезный урон могут нанести нам как раз вот эти координированные сводные кибервойска Запада, которые в этом году почти вдвое – на 80% – увеличили число атак? И это только на госсектор. Про нас – это отдельный разговор.
Андрей Масалович: Увеличились и атаки, и количество мошенничества на нас с вами, просто на обычных людей. Увеличились вдвое – на 80% – атаки на госсектор. И в 15 раз увеличились атаки на массовые ресурсы. То есть раньше все не знали, что они есть. То есть никому в голову не приходило атаковать Rutube, например, а сейчас атакуют.
Из прозвучавших слов большая часть слов – они такие абстрактные, как «атака». А одно слово конкретное. И конкретное слово – это «инцидент». А инцидент – это сбой, приведший к утрате работоспособности. 1 200 сбоев в критической инфраструктуре – это реально много. Ну – тьфу-тьфу! – пока научились их быстро восстанавливать. То есть мы сейчас это все воспринимаем как разведку боем.
То, что какие-то атаки прорываются – это, конечно, плохо. Но, во-первых, как это ни странно звучит, они происходят вовремя. То есть противник торопится. Он что-то атакует, не понимая, что если он сейчас прямо все не развалит, то мы восстановимся, а второй раз такая атака уже не пройдет. То есть это такое постоянное обучение. И часть этого обучения мы прошли.
Кроме того, к счастью, у нас уже три года закону о КИИ. То есть критическая информационная инфраструктура строится и проверяется осмысленно уже три года. Этого достаточно, чтобы все хотя бы привыкли, что она есть, ее надо охранять, за это есть ответственность. Если бы мы сейчас «на новенького проснулись», было бы гораздо хуже, если бы такие атаки были на неподготовленную страну.
Кроме того, у нас есть центр ГосСОПКА. Это центр такого централизованного реагирования на инциденты и на атаки. То есть если где-то что-то происходит, информация сразу попадает в СОПКУ. Если они понимают, что за атака, они объясняют, как защищаться, и даже технически что-то сами могут защитить. Ну, одновременно раздают информацию всем остальным: «Готовьтесь, идет атака вот такого вида», – ну, если она раньше была неизвестна или если статистика показывает, что накапливаются атаки.
Это одна сторона. То есть мы становимся умнее, мы становимся более подготовленными, хотя некоторые удары пропускаем.
Вторая сторона – это просто плотность атак, то есть сколько их. Их сейчас много. Но исходя из всего, что я вижу, во-первых, сейчас они перешли в такой не столько масштабный, а сколько такой истерический вариант, то есть когда лупят, просто чтобы было, чтобы не давать поднять голову. Видимо, это связано с тем, что на носу какая-нибудь важная дата – например, промежуточные выборы в Конгресс. Вот они хотят до них показать хоть какие-то успехи. Ну, значит, надо потерпеть и отбиться.
С другой стороны, я не вижу сейчас критических атак непонятных, хотя в начале года были. В начале года были атаки, которые сносили данные, а эти данные нам казались защищенными. Выяснялось, что у ряда фирм просто не было архивов или эти архивы физически не были отделены от основных данных и терялись – и операционные данные, и архивные данные. Что, вообще-то, в нормально построенных системах это нонсенс.
То есть, с одной стороны, мы взрослеем. С другой стороны, плотность атак продолжает повышаться. Ну, мне кажется, что дальше этого уже не будет, то есть возможности атак уже близки к пределу.
Кроме того, мы уже в этих стенах говорили, что у кибератак есть одна любопытная особенность, по сравнению с остальными видами атак: это как пистолет с одним патроном. То есть большая часть заранее подготовленных таких суператак базируются на так называемом zero day – то есть уязвимости нулевого дня, о которой противник еще не знает. У него здесь есть дырка, по которой можно ударить и развалить, не знаю, остановить работу аэропорта, например, или управление перекрестками, или что-то еще.
Но это царь-пушка с одним ядром. Вот один раз он ее развалил, на день, на два, может быть, на неделю вывел из строя важный узел, но потом, если его работа наладится, такая атака уже не пройдет.
Александр Денисов: А что за zero day? Это что?
Андрей Масалович: Это уязвимость, о которой не знает разработчик, ну или не знает, но не говорит, а знают только спецслужбы или кибервойска, ну и не знает IT-сообщество. То есть zero day – уязвимость нулевого дня. То есть уже где-то на стенде проверено, что она есть, что такой атакой можно свалить этот компьютер. Уже протестировали компьютеры, которые можно так атаковать. И сидят, ждут.
Таких уязвимостей много, они довольно дорого стоят. Ну, их большое количество, счет идет на десятки. Но атак, которые бы вызвали массовые беспорядки, хаос или отказ в работоспособности, ну, все-таки мало, потому что самих критических объектов десятки тысяч, и их таким способом не обезвредить.
Эта особенность вскрылась только в этом году, потому что раньше все так произносили «кибероружие», «кибервойна», но толком в работе никто этого не видел, видели только в фильмах про хакеров. Сейчас, когда стали пробовать, выяснилось, что серьезные кибератаки надо беречь, потому что ты свой патрон извел, а в следующий раз мне задачу поставят, а я уже аэропорт из строя вывести не смогу. Поэтому, кстати, таких кардинальных, разрушающих кибератак мы видим меньше, чем могли бы. Их, наверное, берегут.
Александр Денисов: Андрей Игоревич, стыкуется ли киберполе с реальным полем битвы? Есть ли какой-то определенный стык? Или это все-таки разные сферы? Или бойцы координируются и в определенной точке это сходится ради общей цели?
Андрей Масалович: Тут немножко сложнее, потому что это, во-первых, не два мира, а три, и каждый из них многомерный, они вот так стыкуются.
Александр Денисов: А третий какой?
Андрей Масалович: Информационный. Политический и информационный. Тут есть хитрость. В Соединенных Штатах словом «киберпространство» и «кибервойна» называют все, связанное с компьютерами и большим скоплением людей. То есть у них и информационные атаки, и компьютерные атаки, и атаки на наши с вами психику – это все киберпространство, атаки в киберпространстве.
В России это разные определения. У нас есть киберпространство – это где атакуют компьютеры и серверы, ну или маршрутизаторы. И информационное пространство – где атакуют наши мозги. Соответственно, есть кибервойска, а есть войска информационных операций. Это разное. И есть реальное поле битвы, где воюют настоящие войска. Вот где они стыкуются?
Значит, первое. Сейчас очень странная такая новая война, ну, назовем ее прозрачной войной. Во всех предыдущих войнах выигрывали за счет… выигрывал тот, кто фактически обманывал противника: засадный полк, вывод резерва, какая-нибудь неожиданная атака…
Александр Денисов: Переоделись в форму противника.
Андрей Масалович: Переоделись в форму. То есть кто лучше обманет. Сейчас над каждым висит спутник, у каждого в кармане гаджет, который за ним шпионит.
Александр Денисов: Вот этот стык?
Андрей Масалович: И действия каждого видны. То есть безупречно работает разведка. И появляются новые активы. То есть победит не тот, кто сейчас перехитрит в построении, а победит либо тот, кто перехитрит, как шахматист, ну, переиграет, то есть на два шага вперед просчитает. Ну, например, как наши сейчас: они сделали три группы, где могут ударить. Могут ударить из-под Херсона. Могут ударить сверху, из Белоруссии. А могут ударить справа, из Донецка.
Александр Денисов: Это шахматная игра такая, да?
Андрей Масалович: Да. А где ударят? То есть все видят, что вот здесь собран кулак, здесь собран кулак, здесь собран кулак. А где он стукнет – противник не знает. Соответственно, в этом случае появляется такая очень странная невидимая нагрузка на кибервойска – это разведывательное кибероружие, ну и противодействие.
Александр Денисов: И на наши кибервойска тоже?
Андрей Масалович: И на наши тоже. То есть либо вывести из строя их разведку или средства коммуникации, ну, заставить их «ослепнуть», чтобы они там чего-то не видели…
Александр Денисов: Как недавно, кстати, было.
Андрей Масалович: Недавно было со Starlink. Это было. Вот китайцы сейчас вовсю моделируют, как выводить из строя Starlink. У них даже на математической модели получилось.
Александр Денисов: То есть это произвело впечатление на китайцев, да?
Андрей Масалович: Да. Нет, сейчас все поняли… Во-первых, китайцы делают свой Starlink, он называется… Ну, наши подняли первый спутник системы «Сфера». Ну, первый, зато с почином, хотя бы начали.
Александр Денисов: На прошлой неделе, да?
Андрей Масалович: Да, да. Наши 5 марта сделали феерический шаг, когда… Ну, есть система Starlink этого самого Маска, а есть система OneWeb, британская. 5 марта британцы, если помните, позволили себе все-таки невежливые высказывания в адрес России. А в это время их спутники стояли уже надетыми на нашем носителе. Их взяли и сняли. Ну и они стоят в очереди теперь.
Александр Денисов: А, их должны были отправить?
Андрей Масалович: Их должны были отправить. Ну, их отправляют большими пачками.
Александр Денисов: Ну, это по-британски, так сказать, болтануть, чтобы…
Андрей Масалович: В общем, британцы не вовремя начали наезжать на Россию – их спутники сняли. А чтобы ракета не простаивала, ее пару недель назад все-таки запустили, но не с британским спутником, а выбрали какую-нибудь более передовую страну, с точки зрения коммуникации. Как вы думаете, чей спутник сейчас пошел на этой ракете? Британцы в конце очереди.
Александр Денисов: Из Азии, наверное?
Андрей Масалович: Нет. Из Анголы.
Александр Денисов: Из Анголы?
Андрей Масалович: Из Анголы. То есть сейчас мало кто знает, что у них есть свои спутники, своя коммуникационная система. Сейчас передовая страна Ангола отправила.
Ну, если вернуться к задам разведки, то первое – надо заставить кибервойска «ослепить» противника, то есть средства радиоэлектронного подавления, средства кибератаки на узловые станции, вывод из строя систем позиционирования. То есть здесь много видов атак, где хакеры могут помочь.
И что сейчас происходит? Я что-то не знаю, что-то вижу со стороны, что-то не могу комментировать. Ну, активностей много. А вот по старым случаям могу сказать, что успешное использование хакеров в таких задачах было, то есть когда «ослепляли» и целый регион, и линию боевого соприкосновения, и выводили из строя какие-нибудь базовые станции корректировки на земле. То есть все эти задачи уже в арсенале были. Это одна сторона.
Вторая сторона – добавить разведки. Потому что одно дело – техническая разведка со спутника, какой солдат куда движется. Совсем другое дело – перехват переговоров, о чем думают командиры, вернее, что сейчас обсуждают командиры. И, согласитесь, гораздо более интересно – это взять в руки документ, который сейчас на столе черкают в каком-нибудь штабе, где планируют будущую операцию. И в этих задачах как раз тоже хакеры нужны, кибервойска нужны. И у них работа есть.
Александр Денисов: С «грязной» ядерной бомбой они помогали, потому что больно мы шустро все узнаем. Хотя, может быть, тут сами украинцы особой тайны не делают, безусловно.
Андрей Масалович: Нет, нет.
Александр Денисов: Тем не менее, мы знаем, где, что, как и кто.
Андрей Масалович: Нет, это то, что, кстати, часть такой новой шахматной войны. Наши сейчас второй раз украинцев переиграли. То есть первый раз – когда они переборщили с Дугиной. Наши организовали такое международное обсуждение, и им международное сообщество сказало: «Ай-ай-ай! Мы вас тут поддерживаем, а вы, вообще-то, террористы».
Сейчас второй раз наши так же сыграли. И сейчас у меня есть основания предположить, что украинская сторона получила недвусмысленное предупреждение: «Сверните-ка эти работы. Потому что если сейчас вдруг такой инцидент будет, и неважно, по чьей вине, то крайними будете вы». Тут уже на Россию не свалишь.
То есть тут скорее не хакеры сыграли, а просто правильная такая информационно-политическая составляющая сыграла. Но то, что у нас достаточное количество документов появляется вовремя – это так. Я даже жду сейчас, когда текущих событий станет поменьше, можно будет погрузиться в такую конспирологическую составляющую, потому что хакеры хвастаются, что они там что-то нарыли по ковиду, что все-таки…
Александр Денисов: Так уже вроде бы очевидно, что это в Ухане шли разработки, упустили по заказу американцев.
Андрей Масалович: Но пока это разговоры, которые нам по-бытовому очевидны.
Александр Денисов: Ну, журнал Lancet, вроде бы уже не бытовой.
Андрей Масалович: Ну да. А утверждается, что есть документы на эту тему: кто поручил, кто делал, зачем, куда повезли. Так что ждем-с.
Итак, в кибероружии, как и в обычном, есть три вида направлений вооружений: наступательное, оборонительное и разведывательное. С наступательным более или менее понятно, оно на виду. Это та статистика, которую мы читаем. С оборонительным у нас – тьфу-тьфу! – лучше, чем у других, потому что антивирусы ведущие у нас, сканеры ведущие… Ведущая фирма Xpadder, один из мировых сканеров – это сканеры российской фирмы MaxPatrol, тоже наш. Программное обеспечение для расследования компьютерных инцидентов тоже российское, российской фирмы.
Даже вы будете хихикать, есть такой экзотический сектор рынка, он стыдливо называется «восстановление забытых паролей». Ну, если вы чей-то пароль забыли, он вам его восстановит. Вот есть такой сектор password recovery, и там тоже лидирует российская фирма, называется ElcomSoft. Просто мало кто знает, но полиция 50 стран к ним обращается, если что. Поэтому, с точки зрения оборонительного кибероружия, у нас позиции хорошие.
Александр Денисов: Звучит как «восстановление ключей к чужим квартирам».
Андрей Масалович: Ну, это примерно так и есть. Нет, в этом есть смысл. Ну, несмотря на то, что я руководителями ElcomSoft когда-то вместе работал, даже с их отцом вместе работал, тем не менее с их продуктом я столкнулся один раз случайно, так сбоку. По-моему, в 2007 году мы работали с МВД, у них была проблема: парень потерялся. А парню 17 лет. Ну а в 17 лет, когда не надо прогибаться под изменчивый мир, там любая гипотеза требует проверки. Может, он нашырялся. Может, он где-то пьет. Может, он к девушкам отправился. Может, его в ИГИЛ (запрещенную в РФ террористическую организацию – прим.) записали. Ну что угодно может произойти.
Александр Денисов: Может, он в библиотеке, в конце концов.
Андрей Масалович: Может, он в библиотеке. То есть проверять надо все. И что сделали? Добрались до его компьютера домашнего, он с собой не унес. С помощью этой программы password recovery сломали фактически… ну, не сломали, а добрались до пароля его почты. В почте ничего не нашли. Но тогда защита приложений была послабее. И тогда вместо WhatsApp и Telegram была «аська», ICQ.
Александр Денисов: Была, была.
Андрей Масалович: И ему просто восстановили пароль «аськи» через почту. Ну, соответственно, получили пароль от «аськи». Увидели его переписку. И увидели, что он просто уехал с друзьями в другой город тусить к каким-то знакомым. Это все было на моих глазах, заняло полчаса. И я заценил эту программу восстановления паролей. То есть, когда надо восстанавливать чужие данные, это бывает полезно уметь делать быстро.
Так вот, все эти перечисленные защитные компоненты – российские. То есть здесь мы себя чувствуем спокойно, здесь нам никакое импортозамещение не надо, все свое и подконтрольное.
И есть третий компонент – это разведывательные операции. Соответственно, разведывательное кибероружие, разведывательные группы, хакерские. Но про них очень мало кто знает. Единственная есть группа на слуху – «Берегини». Это женская группа из Украины, которая работает за нас.
Александр Денисов: За нас?
Андрей Масалович: За нас, да. Девушки с Украины.
Александр Денисов: А что это они такие идейные?
Андрей Масалович: Ну, они начали… Их первое появление было, когда появились ЦИПСО – центры информационно-психологических операций.
Александр Денисов: Знаменитые, да.
Андрей Масалович: Собственно благодаря «Берегиням» мы о них знаем, потому что в 2015 году они «сломали» двух админов этих центров и начали публиковать их документы внутренние, фотографии, всякие методички и прочее. Ну, довольно много уже выложили. И до сих пор живы и здоровы. Их, правда, никто не видел. Видели одну девушку, их пресс-секретаря, которая иногда лицо показывает.
Александр Денисов: У них пресс-секретарь есть?
Андрей Масалович: Да, да. Правда, она… Забыл, как это называется. Она русинка. Ну, есть русины.
Александр Денисов: Она себя так называет?
Андрей Масалович: Да. Она относится к нации русинов и обитает где-то в Восточной Европе. Она иногда высовывается.
Есть разрозненные группы, которые… Ну, российская группа, которая сейчас на слуху, Killnet, тоже славится тем, что она много чего интересного притаскивает.
То есть во всех этих направлениях работа идет, просто часть этой работы «под водой», мы ее не видим, но она эффективная. Часть работы идет «в поле». То есть «погасить», «ослепить» врага – это не столько работа с компьютером, а сколько работа с боевой электроникой, с радиоизлучателями. Тем не менее, в этом месте все силы вместе сходятся.
Александр Денисов: Андрей Игоревич, вопрос последний вам задам. Если сравнивать, ну, какие-то параллели проводить, что решает – талант или деньги. Есть знаменитая история. Вот этот Нобель – дядька, который основал эту премию, чтобы якобы, так сказать, замазать свои грехи из-за взрывчатки и прочее, – взрывчатку-то он хреновую делал. И во время Крымской войны как раз был контракт у России с его фабриками, и они делали какие-то подводные мины. И подводные мины даже как бы не щекотали французские и английские корабли, им было абсолютно на это дело начхать.
И появился наш талант – Борис Якоби, который делал такие подводные мины, что рассаживали вообще в дым! Правда, уже было поздно. Лучше бы, конечно, заранее. Очевидный пример, когда талант побеждает все, так сказать, и деньги, и прочее, достаточно хорошие идеи.
В данном случае – в киберпротивостоянии – тоже один человек и его идеи способны побороть целую машину, какой-нибудь киберштабзападный, их все финансовые вливания. Тут тот же механизм срабатывает?
Андрей Масалович: На уровне отдельных атак одиночка может довольно много. На уровне противостояния систем и вообще боевых столкновений партизаны войн не выигрывают.
Александр Денисов: Не выигрывают?
Андрей Масалович: Да. Войны все-таки выигрывают регулярные войска. Но проигрывает не тот, у кого раньше кончатся танки, а проигрывает тот, у кого хуже боевой дух, кто раньше сломается. Поэтому тут и информационная, и психологическая составляющая важнее.
А если вернуться к Нобелю, кстати, то Нобель считал, что он благодетель человечества, потому что изобрел оружие такой разрушительной силы, что люди содрогнутся и войны прекратятся просто потому, что при наличии динамита воевать бессмысленно, все друг друга поубивают.
Александр Денисов: Но он заблуждался. Я уже привел пример.
Андрей Масалович: Сейчас мы видим, что он не все знал.
Александр Денисов: Насвистел, так сказать.
Андрей Игоревич, спасибо вам большое за интересный и всесторонний разговор. Андрей Масалович, президент консорциума «Инфорус», специалист по кибербезопасности, был у нас в студии.