«Конструктивная безопасность позволяет оставаться на шаг впереди»

Руководитель группы аналитиков по информационной безопасности «Лаборатории Касперского» Екатерина Рудина рассказывает о трудностях в оценке защищенности промышленных объектов и роли профессионального сообщества в их защите, причинах проблем с безопасностью в динамично развивающихся отраслях, а также о влиянии цифровизации на общество

В последнее время много говорят, в том числе на уровне государства, о необходимости обеспечения безопасности промышленных объектов (сюда же отнесем транспорт, логистику, автоматизированные здания). Что, на твой взгляд, сегодня является самым слабым звеном в безопасности таких объектов?

Слабое звено — это отсутствие ответственности за безопасность, точнее, четкого распределения ответственности. Промышленные объекты — это сложные системы, защита которых находится в зоне ответственности и интересов многих людей, юридических лиц и даже государства. Пример: производитель софта для АСУ ТП допускает ошибки и привносит уязвимости, интегратор не учитывает недостатки технологий и устаревание архитектуры, эксплуатирующая компания не закупает средства защиты для обеспечения информационной безопасности. Ни одна из сторон в отдельности не несет полную ответственность за инцидент безопасности. В договоре не предусмотрены разработка и поставка обновлений безопасности для софта, а если производитель выпускает патчи по своей инициативе, то не факт, что эксплуатирующая компания наладит их регулярную установку: для этого могут потребоваться дополнительные испытания, технологические окна для установки и наладки.

Злоумышленник пользуется сочетанием факторов, которые не были учтены или могли возникнуть случайно. Модель швейцарского сыра не работает — злоумышленник находит в сырном лабиринте нужные дырки и проходит его до самой цели. Ключевой фактор, который превращает опасность в угрозу, — люди и принимаемые ими решения. Например, автомобиль — это опасность аварии, опасность для жизни и здоровья людей. Защитные системы современного автомобиля нацелены на то, чтобы уберечь водителя, пассажиров и прочих участников движения от технических сбоев или ошибок в управлении, но они не спасут от целенаправленно опасных действий людей. В химическом производстве стоит вопрос безопасности как для людей, так и для окружающей среды. Функциональная безопасность оперирует категориями опасных ситуаций, например, сбоя или отказа по общей причине, для которых можно вычислить вероятность. Оценивая риски кибербезопасности, мы допускаем, что у кого-то может быть мотив намеренно причинить вред, например, вызвать аварийную ситуацию с участием транспортных средств или произвести химическое заражение. Кто-то скажет: «Да никому не нужно специально мне вредить», кто-то сэкономит на антивирусе, кто-то будет рассчитывать на этот антивирус и не выпустит патч.

Люди и человеческий фактор играют роль с обеих сторон: подверженная атаке сторона может плохо защититься и неэффективно скоординировать действия, а атакующая сторона может этим воспользоваться. Если система спроектирована неправильно, то эксплуатирующая организация может об этом и не знать или не учитывать этот фактор, считая его ответственностью интегратора.   Ведь «в рамках договора все сделано корректно». А интегратор, в свою очередь, может сказать: «В ТЗ не была указана задача обеспечивать киберустойчивость». Такая несогласованность — главная причина последующих проблем. Часто в случившемся инциденте принято винить стрелочников «со слабыми паролями». Однако ответственность должна распределяться иначе.  Используешь слабые пароли — это, конечно, зло. Но зло наименьшее в цепочке зол. Не контролируешь на деле парольную политику во вверенном твоей заботе предприятии — зло большое. Объекту присваивается заниженная категория значимости — зло еще большее. Систематическая экономия на качестве, безопасности и управлении качеством — зло высшего порядка.

Уязвимость промышленных объектов — это риск для обеспечения жизнедеятельности, и нарушения могут привести к реальным последствиям для жизни. А насколько такие нарушения способны повлиять на экономику страны?

Весь вопрос заключается в масштабе инцидента и его последствий. Если это важный промышленный объект, последствия аварии на котором влияют на благосостояние, жизнь и здоровье людей (например, длительный и масштабный блэкаут, экологическая катастрофа), то, разумеется, такие нарушения могут оказать значительное влияние. Это то, что рассматривается на уровне 187-ФЗ¹. Часть ответственности за безопасность такого рода лежит на стороне государства. Ответственность за противостояние некоторым видам угроз государство берет на себя через законы, подзаконные акты и исполнительные механизмы.

Например, в атомной промышленности есть понятие проектной угрозы и документ «Design Basis Threat». Это разработанная МАГАТЭ методика оценки основных видов угроз ядерной физической безопасности. Этот документ принимается на уровне государства и описывает критерии угроз и диверсий, защита от которых лежит на государстве. С определенного момента, когда возможности потенциальных внутренних и внешних нарушителей и уровень возникающей угрозы соответствует этим критериям, ответственность за принимаемые меры несет не оператор и не владелец станции, а именно государство.

В соответствии с этим документом предъявляются требования не только к физической безопасности, но и к кибербезопасности. Такая отсечка обеспечивает отсутствие влияния внутренних и внешних противников на экономику страны во всех отраслях. Государство определяет, когда вопрос кибербезопасности становится вопросом национальной безопасности, четко описывает угрозы, которым оно противостоит, и уже на своем уровне начинает исполнять соответствующие законы, регуляторные акты, требовать их исполнения от граждан, чтобы можно было дать гарантии национальной безопасности.

Это как правила дорожного движения. Допустимая скорость автомобилей в населенных пунктах — 60 км/ч, и государство устанавливает дорожные знаки и в лице сотрудников ДПС следит за соблюдением этого ограничения. Это не гарантирует отсутствие аварий, но помогает обеспечить определенный уровень безопасности. Чтобы избежать аварии, каждый автомобилист следит за дорожной обстановкой и регулирует свою скорость в соответствии с установленными ограничениями. Точно также предотвращение инцидентов кибербезопасности в промышленности вне угроз для важнейших объектов — это ответственность бизнеса, и полностью на государство она не возлагается. Если предприятие реализовало требования Приказа № 239 ФСТЭК², то это еще не значит, что оно полностью защищено.

Существует ли в России и мире какая-либо оценка уязвимости промышленных объектов? Если да, то насколько она коррелирует с геополитической ситуацией?

Есть методологии оценки условной готовности предприятий к атакам — их уровня зрелости. Моделей зрелости много, они могут отличаться в зависимости от объектов, отраслей применения и стран. Обычно эти модели не оценивают текущее состояние уязвимости объекта, а скорее фокусируются на его зрелости и готовности к атакам. При оценке важно учитывать не только технические уязвимости, но и непрерывную работу, сопровождение объекта. То есть это должна быть многофакторная оценка.

Она может коррелировать и с геополитической ситуацией. Сейчас многие говорят, что идет балканизация рынков, в том числе рынка промышленных устройств, интернета вещей. Мой коллега, ведущий эксперт по исследованиям угроз информационной безопасности «Лаборатории Касперского» Владимир Дащенко недавно озвучил такую мысль применительно к ситуации с сертификацией устройств интернета вещей в США, в том числе с учетом места производства. Это добровольная сертификация, своего рода «знак качества», она называется U.S. Cyber Trust Mark и подтверждает соответствие довольно простым требованиям: возможность смены пароля, установки обновления и т. п. Однако эта программа не распространяется на оборудование из «недружественных стран», а также на продукцию компаний из особых списков (список организаций Министерства торговли, список китайских военных компаний Министерства обороны) или запрещенных к федеральным закупкам. То есть оборудование многих крупных компаний, заработавших репутацию на IoT-рынке, не получит сертификаты, даже если будет поддерживать безопасность лучше всех. В России тоже вводятся зеркальные меры «в целях обеспечения технологической независимости». И это не то чтобы плохо. Важно только, чтобы не было подмены понятий: импортозамещенный — еще не значит безопасный или доверенный.

Можно ли сравнивать отдельные государства с точки зрения уязвимости или готовности к атакам?

Здесь ситуация тоже разная — ее можно отслеживать как на уровне статистики атак, так и на уровне готовности регуляторки, ответственных ведомств. Статистику ICS CERT «Лаборатории Касперского» публикует регулярно, а в 2016 году, когда наш центр только начинал работу, мы исследовали управление безопасностью объектов критической инфраструктуры отдельных стран. Это едва ли не первая публикация на нашем сайте, и она описывает различные уровни зрелости в управлении безопасностью для разных государств. Исследование основано на данных Международного союза электросвязи, который опубликовал профили зрелости управления для каждого государства. Тогда мы собрали интересующую нас информацию по отдельным профилям, обобщили ее и сопоставили по уровню наблюдаемых инцидентов на территориях разных стран. Это было достаточно интересно и стало хорошей стартовой точкой. Понятно, что за девять лет многое изменилось, и сейчас такое исследование, вероятно, можно было бы повторить, но материалы придется собирать заново, так как МСЭ закрыл эту программу.

Трудности в сравнительной оценке уязвимости объектов разных стран заключается еще в том, что модели управления безопасностью в разных государствах различаются, хотя можно выделить несколько типов. В одних моделях управления регулятор выполняет роль абсолютного контролера для всех отраслей, в других — его роль чисто субсидиарная, поддерживающая, а управление безопасностью происходит внутри каждой отрасли. Распределение ответственности за безопасность между государственными органами, а также между государством и частным сектором в разных странах тоже отличается. Эффективность конкретной модели управления во многом определяется менталитетом. Например, в Японии традиционно особенное отношение к качеству и безопасности, а также к ответственности за них. Там принято десятилетиями работать на одном производстве, это считается почетным. Люди могут буквально по звуку, по нестандартному гулу определить, что оборудование работает неправильно, и эскалировать проблему. Ко всем правилам японцы относятся серьезно. В основополагающих японских документах (The Basic Act on Cybersecurity) в первых абзацах можно найти мысль об индивидуальной осведомленности и ответственности каждого члена общества за публичную безопасность, включая информационную. Такая культурная особенность, культура послушности, имеет несколько последствий. С одной стороны, почти исключив человеческий фактор, Япония добилась очень низких (хоть и далеко не рекордных) показателей доступности своих систем автоматизации случайным угрозам — об этом свидетельствует вышеупомянутая статистика Kaspersky ICS CERT. С другой стороны, Япония входит в тройку стран с наибольшим количеством киберинцидентов на производстве, вызванных целевыми атаками, — внезапно оказывается, что если тебя атакуют целенаправленно, надеяться на одну только дисциплину сотрудников мало, нужно предпринимать более активные и проактивные меры защиты. Вдобавок, будучи одним из мировых центров промышленного производства, Япония еще и экспортирует небезопасность вместе со своими продуктами — по опыту исследователей Kaspersky ICS CERT, японские производители отличаются крайне низкой культурой информационной безопасности и японские продукты к безопасным отнести — сложно.

То, о чем ты говоришь, лежит в плоскости личностных установок, системы общих жизненных представлений.

Да. И если взглянуть шире, то понятие безопасности для разных народов, национальностей даже на лингвистическом уровне может существенно отличаться.

Например, в английском языке используются два термина: safety и security, в то время как в русском существует лишь одно слово — «безопасность». Эта лингвистическая особенность заставляет уже на уровне подсознания по-разному относиться к аспектам безопасности. Например, из уст русскоязычных людей гораздо чаще можно услышать фразу: «Зачем нам ваша информационная безопасность, если мы обеспечиваем защиту на уровне предотвращения аварии?!» Особенно часто с подобными мнениями мы сталкивались, когда только начали заниматься безопасностью промышленных предприятий.

Однажды мы работали над стандартизацией в составе группы IEEE³ совместно с инженерами из компаний-вендоров промышленного оборудования. Эти инженеры говорили нам: «В промышленности есть механизмы поддержки safety, нам не нужна security, кибербезопасность для нас избыточна». Действительно, существуют отдельные противоаварийные комплексы — safety instrumented systems, основная задача которых — предотвращение аварии, например, на опасных производствах. Эти комплексы независимо от АСУ ТП контролируют определенные показатели окружающей среды и работу оборудования и в случае возникновения опасной ситуации просто все выключают, переводят в безопасное состояние.

Мне стало интересно, и я начала изучать принципы работы таких программно-аппаратных комплексов и их установки в контуре промышленного предприятия. В результате мы подготовили для Международного союза электросвязи документ, который между собой называем «Security for safety», название которого переводится на русский буквально как «Безопасность для безопасности». В нем в одном из примеров рассматривались аппаратные средства защиты и методы защиты этих средств, чтобы они сами выдержали атаку. Документ прошел редактуру, опубликовали его в конце 2017 года. А параллельно с выходом этой рекомендации МСЭ была обнародована информация об атаке Triton на средства противоаварийной защиты Triconex производства Schneider Electric. В ходе этой атаки инструментальные средства защиты были выведены из строя при попытке модификации логики их работы. Вся атака была больше похожа на разведку боем или попытку использовать системы жертвы для разработки, отладки и тестирования вредоносного инструментария, которая, к счастью, была замечена. До того, чтобы инициировать какую-то аварию, тогда не дошло — неаккуратные действия злоумышленников привели к аварийному завершению работы системы ПАЗ, а та в свою очередь остановила подконтрольный технологический участок. Но злоумышленники вполне могли бы добиться и других результатов, как следовало из анализа, проделанного специалистами по информационной безопасности. Это не единственный случай, когда мы с рекомендациями идем буквально нога в ногу с развитием угроз.

Насколько ситуация с безопасностью промышленных объектов в различных регионах мира отличается? Можно ли провести некоторое сравнение в пределах года?

Год — небольшой срок, особенно, если учесть, что многие сложные атаки длятся годами и обнаруживаются лишь спустя длительное время. Есть знаковые атаки, «отсечки», когда теоретические угрозы становятся реальностью. Сейчас я произнесу слово Stuxnet, которое никто не любит за то, что эту атаку слишком часто упоминают в контексте кибервойн и когда нужно повысить градус обсуждения, однако именно она стала первым толчком к зарождению промышленной кибербезопасности. Эта атака постепенно вывела из строя на предприятии по обогащению урана в иранском городе Нетенз более 1300 из 5000 центрифуг. Это больше чем просто физические последствия — это последствия выбранного отдельно взятым государством курса развития. Вторая такая отсечка — та самая атака Triton. Она показала, что нанесение вреда людям и окружающей среде, причинение разрушений может быть результатом атак даже в условиях спроектированной противоаварийной защиты. Третье знаковое происшествие — инцидент Sunburst с ПО SolarWinds в 2020 году. Взлом компании SolarWinds позволил внедрить бэкдор в средство мониторинга и управления ИТ-инфраструктурой. Вредоносный код после этого был доставлен как часть обновления привилегированного ПО. Только по официальным данным, тогда были скомпрометированы нескольких тысяч пользователей, а поскольку ПО SolarWinds часто используется в государственных организациях, ведомствах, говорили, что основной целью атаки тоже были объекты критической инфраструктуры. По итогам этого инцидента были выпущены дополнительные главы NERC CIP, комплекса требований к надежности и безопасности энергосети Северной Америки. Эти знаковые атаки стали вехами, которые изменили наше видение безопасности промышленных объектов. Фактически они подтвердили: то, что мы представляли себе теоретически, возможно в реальности.

Безусловно, можно вспомнить и более ранние атаки на производственные предприятия, например, действия первого советского хакера на АвтоВАЗе. Но до начала 2000-х годов не наблюдалось столь явного интереса одних государств к кибератакам на ключевые промышленные организации других. Здесь, конечно, очень много геополитики.

Есть ли основания сегодня говорить о том, что атаки на важные объекты могут стать поводом для начала (кибер)войны?

Некоторые считают, что она уже идет. Но как определить, что — война, а что — нет? Никто же не объявляет кибервойну: вот ее не было — и вот она есть. Происходят определенные знаковые события, которые приводят к изменению общей ситуации, — это к вопросу про базовую модель угроз для безопасности на уровне государства. На кибератаку отвечают различными средствами, в том числе военными — такого пока нет, и надеюсь, что до этого не дойдет.

Сейчас не война, а скорее накаляющееся противостояние, гонка вооружений, демонстрация возможностей, как в атаках на энергетическую инфраструктуру Украины 2015 и 2016 года. Балканизация интернета, кстати — тоже элемент этого противостояния.

Война же предусматривает еще и национальное противостояние. А профессиональное сообщество людей, которые занимаются информационными технологиями и кибербезопасностью, остается преимущественно дружелюбным на межнациональном уровне. Это комитеты, международные консорциумы, в которых задействованы люди разных национальностей. Я являюсь частью этого сообщества и не замечаю активного противостояния с той стороны. Вероятно, это связано с высоким уровнем профессиональной этики, которая предполагает ответственное отношение к раскрытию информации об уязвимостях. Такие стандарты зафиксированы в международных нормах и соблюдаются центрами реагирования на киберугрозы. Если выявляется уязвимость, то сначала эта информация конфиденциально доносится до производителя, потому что она может быть использована для атаки. Однако на фоне изменений геополитического ландшафта некоторые участники сообщества начинают пренебрегать принятыми этическими нормами. Яркий пример: после того как были выявлены уязвимости лифтового оборудования «Текон-Автоматика» российского производства, один из специалистов по информационной безопасности написал об этом и сразу опубликовал эксплойты в открытом доступе. Это выглядело как призыв: «Давайте ломать российские лифты!» Конечно, это вызвало некоторое возмущение в сообществе, но с другой стороны — вот оно, противостояние людей.

Можно ли говорить о взаимодействии специалистов по кибербезопасности с государством с целью обеспечения безопасности важнейших промышленных объектов, и если да, то как это взаимодействие строится?

Сообщество может играть существенную роль, особенно когда речь идет о новых проблемах, с которыми государство ранее не сталкивалось. И кибербезопасности это касается в первую очередь. Компании, занимающиеся исследованиями в области информационной безопасности, и даже отдельные специалисты помогают «тушить пожар» и предотвращать серьезный ущерб. А дальше начинается интересное: модель государственного управления (о них я уже упоминала) начинает влиять на регулирование новой сферы, в нашем случае кибербезопасности. Если модель управления централизованная, то назначаются ответственные на верхнем уровне, принимаются государственные законы (в нашем случае 187-ФЗ), которые через подзаконные акты распространяются на объекты применения. Сообщество участвует в интерпретации и реализации этих положений. Если же применяется субсидиарная модель, когда внутри каждой отрасли есть собственный «орган», ответственный за качество и безопасность, то вполне возможно, что сообщество тоже разделится на специалистов по отраслям, которые будут принимать частные решения. Этот пазл впоследствии будет собираться в единую национальную стратегию. Это естественные процессы, которым не нужно мешать. Обе модели (и централизованная, и субсидиарная) и даже промежуточные между ними обладают своими достоинствами и недостатками. Влияние сообщества на принятие решений в сфере безопасности чаще всего опосредованное, в рамках принятой схемы государственно-частного партнерства.

Возможно ли формирование единого подхода и общих нормативно-правовых актов, обеспечивающих безопасность промышленных объектов во всех отраслях?

В общих нормативно-правовых актах в принципе во всех деталях невозможно учесть специфику каждой отдельной отрасли. Различаются цели безопасности и соответствующие им критерии. Например, для атомной промышленности важны ядерная или радиационная безопасность, для финансового сектора — экономическая безопасность, для многих других — функциональная безопасность. Достигаются эти цели разными методами, с использованием различных технологий, протоколов, технических средств. Появившиеся перечни типовых отраслевых объектов — важный шаг к отраслевому уточнению. Но в целом реализация единого подхода во всех отраслях — утопия.

Возможно ли добиться того, чтобы безопасность промышленных объектов стала кибериммунной?

Кибериммунный объект умеет противостоять атакам, включая те, которые не были предусмотрены при его создании. Достичь этого можно через конструктивную безопасность, security by design. При создании или модернизации объекта главная цель состоит в исключении опасных ситуаций. Если учитывать не только опасные случайности, но и возможность преднамеренного нарушения, в том числе с использованием новых технологий, то можно оказаться на шаг впереди. Именно это и подразумевает кибериммунность.

Часто спрашивают: «Как это реализовать? Мы зонировали сеть, установили SIEM». Суть эффективного предотвращения атак — не только в механизмах, но и в правильной постановке целей и определении критериев. Требования должны формулироваться исходя не из того, «чего нельзя допустить», а из того, «как именно объект должен себя вести», описывать границы безопасного состояния как математический инвариант, который выполняется в любых условиях. И настраивать механизмы нужно исходя именно из таких требований.

Это напоминает то самое ограничение скорости 60 км/ч: что бы ни происходило, данное правило действует как инвариант. Внутри него могут быть локальные ограничения, требования, которые направлены на одну общую цель, — сохранение безопасной обстановки на дороге.

Работа с ограничениями, политиками — это инженерная дисциплина. Кибериммунность достигается инженерными средствами.

А насколько уместно в контексте обеспечения безопасности промышленных объектов говорить о необходимости формирования и развития культуры информационной безопасности на всех уровнях – от специалистов, которые непосредственно занимаются обеспечением безопасности этих объектов, до пользователей простейших устройств? Иными словами, можно ли сказать, что это вопрос еще и культуры общества, его грамотности, ответственности? Если это так, то как эту культуру воспитывать?

Безусловно, уместно и необходимо. Культура информационной безопасности связана не столько с грамотностью, сколько с осознанной ответственностью, с неготовностью полагаться на авось. Эту культуру нужно развивать — планомерно, долго.

Если мы говорим про функциональную безопасность, про безопасность на производстве, то стоит обратиться к истории. Во времена первой промышленной революции, когда создавались первые фабрики и заводы, о безопасности производства даже не думали. Рабочие получали травмы, теряли трудоспособность, даже гибли. С появлением профсоюзов владельцы предприятий начали осознавать экономический интерес в обеспечении безопасности людей на производстве — до этого вкладывать в нее было невыгодно, как бы цинично это ни звучало. Сегодня безопасность производства воспринимается как само собой разумеющееся, это часть культуры, но на ее формирование ушло немало времени. Аналогичным образом будет формироваться и культура кибербезопасности.

Отрасли развиваются различными темпами. Кажется, что связь, здравоохранение, транспорт развиваются более динамично, чем горнодобывающая или металлургическая промышленность. Можно ли сказать, что отрасли, развивающиеся более динамично, менее уязвимы или наоборот?

Необходимость поддерживать эту динамику нередко приводит к провалам в качестве и безопасности. Вот горячая тема: развитие беспилотного транспорта. Из-за стремления все сделать быстро не хватает ресурсов и времени на то, чтобы подумать лишний раз и переделать первый вариант архитектуры и проекта «под безопасность». Транспорт сам по себе связан с опасностью, а новые технологии добавляют дополнительные угрозы. Хотя существуют методики оценки опасности, угроз и рисков, специалистов, способных использовать эти методики и правильно встроить их в разработку, нет. Они еще учатся. Получается, что безопасность в этом случае в динамично развивающихся отраслях оказывается в роли догоняющего фактора.

Безопасность, которая конструктивно — by design — встроена в новое устройство, в тот же автомобиль, иногда требует дополнительных итераций проектирования и разработки, а также времени. Электронная архитектура автомобиля, базовые технологии бортовой сети не рассчитаны на управление цифровым доверием. Попросту может быть негде хранить ключи и сертификаты. Это создает возможность компрометации, подмены основной функциональности, прошивок блоков управления. Так небольшая экономия времени на этапе проектирования приводит к фундаментальному недостатку в готовых изделиях. И никто не будет исправлять его на этапе производства, когда блоки и компоненты уже поступают на конвейер. Только когда решение отработает, можно будет спроектировать новое поколение изделия, с учетом прошлых ошибок. И здесь тоже получается, что в динамичных отраслях безопасность — догоняющая.

В менее динамичных отраслях — например, металлургической, больше ресурсов вкладывается в долгосрочные проекты и инфраструктуру предприятий, в их оснащение. Объекты проектируются с расчетом на длительную эксплуатацию, и значительное внимание уделяется контролю качества и безопасности. Высокие вложения способствуют повышению надежности и качеству, что косвенно повышает и устойчивость к кибератакам. Выходит, что менее динамичные предприятия оказываются более устойчивыми, хотя и они могут пострадать в случае целевой атаки.

Что нужно для того, чтобы безопасность перестала быть в роли догоняющей?

Использовать системный подход к решению сложных инженерных задач. Если мы будем принимать безопасность как одно из ключевых свойств, обеспечивать ее по принципу by design, учитывать, что информационная безопасность влияет на физическую, на функциональную безопасность, то вполне можем справиться с этим вызовом.

В целом поспевает ли сообщество специалистов по кибербезу за развитием технологичного мира?

У меня ощущение что нет, не поспевает. Кибербезопасность — достаточно новая дисциплина, ей всего несколько десятков лет. Внутри сообщества есть четкое разделение на верхнеуровневых специалистов, которые владеют фундаментальными, научными знаниями, и, назову их так, инженеров-технарей, которые работают на уровне отдельно взятых решений, технологий и реже — отраслей. Экспертов промежуточного, интегрирующего слоя, которые за общим видят частное, а за частным — общее, немного. Заниматься прикладными исследованиями и одновременно держать в штате «ученых на перспективу» могут позволить себе только крупные компании либо имеющие государственную поддержку. Впрочем, лучше всего работают консорциумы вроде The Open Group⁴ или крупные университеты, хотя и им нужны исследования «из полей», иначе они годами, из работы в работу, разбирают одни и те же инциденты, дампы, устаревшие данные. В итоге прикладные инженеры начинают несколько снисходительно относиться к науке. А ведь истории про уязвимость конкретных решений и технологий зачастую лучше рассматривать именно с фундаментальных позиций. «Почему бы нам не отказаться от привычных платформы или протокола и не взглянуть на проблему под другим углом? Может, нужно разработать принципиально новую операционную систему или перенести данные, вычисления в облако?» Такой подход приводит к прорывам там, где раньше был застой.

Интернет вещей развивается огромными темпами. Сегодня уже говорят о создании не только умных вещей, но и умных территорий. Насколько справедливо полагать, что риск нарушения работы этих систем, объединяющих множество устройств, объектов и технологий, и возможные последствия не оправдывают той пользы, тех благ, которые они несут?

Полагать так можно, но это не значит, что кто-то скажет: «Стоп колеса» — и цифровизация остановится. Когда появился первый двигатель внутреннего сгорания, никто не мог оценить масштаб этого события, однако оно предопределило состояние мира, в котором мы живем, с его нефтедобычей, зависимостью от полезных ископаемых и сложившимся геополитическим и культурным контекстом. То же самое с цифровизацией: ее глобальные риски мы сегодня, возможно, даже не видим и не способны их оценить. Но мы можем с уверенностью сказать, что произойдут сдвиги в самом понимании и определении безопасности. Возьмем, к примеру, понятие безопасности частной жизни, privacy: за последние пару десятков лет оно очень сильно трансформировалось.

Люди сегодня как никогда обеспокоены снижением уровня защищенности персональных данных, при этом охотно пользуются умными колонками и пересаживаются на подключенные автомобили. Корпорации предлагают сервисы, часто избыточные, без которых легко можно обойтись, в обмен на доступ к персональным данным — и это выглядит как сделка, от которой невозможно отказаться.

Абсолютно корректные примеры. Стоит понимать, что как только мы садимся в подключенный автомобиль, мы соглашаемся на передачу наших данных. Если это условие нас не устраивает, то нам не следует даже садиться в такой автомобиль, не говоря уже о том, чтобы покупать его. Помню, как в школе я впервые увидела интернет-браузер. Когда я начала вбивать запрос в адресную строку, сразу же появилось предупреждение: «Все, что вы сюда напишете, будет отправлено в интернет».

У privacy есть особенность, прямо противоположная безопасности. Система, которая обеспечивает безопасность (любой вид безопасности), следит за тем, чтобы ничего плохого не произошло. А система, от которой требуется соблюдать нашу privacy, должна сделать ровно одно: запросить у нас согласие на работу с ней (либо мы отказываемся и не используем ее). Это как нажать «Принять файлы cookie» или уйти с сайта. Как мы обычно поступаем?

Конечно, все идет к тому, что конфиденциальность частной жизни станет мифом. Раньше на только что установленной системе браузер предупреждал нас при первом использовании о передаче данных в интернет. Теперь спонтанная активация микрофона умной колонки — обыденная история. И нужно понимать, что даже случайно записанная информация из нашей личной жизни может быть прослушана не только машинами, но и людьми, для улучшения алгоритмов распознавания. Например, только в январе Apple урегулировала коллективный судебный иск на 95 млн долларов, связанный с «непреднамеренной активацией Siri». Компания использовала случайные записи для обучения голосового помощника с привлечением сторонних подрядчиков. Подобный инцидент связан и с виртуальным ассистентом Alexa от Amazon. Такие случаи в практике корпораций неизбежно ведут к тому, что подобные ситуации становятся нормой. Нас постепенно приучают к мысли, что цифровые технологии в нашей жизни делают ее прозрачной.

Все так, однако это не означает, что люди доверяют технологиям. Как-то я читал про исследование, в ходе которого автомобилистов расспросили об опыте использования электронных ассистентов вождения, и оказалось, что многие не пользуются ими, потому что не доверяют. Если экстраполировать ситуацию на весь мир, можно сделать определенные выводы о доверии человека технологиям (а сегодня это практически равно среде). Как это доверие формируется и от чего зависит?

Вопрос доверия технологиям всегда был актуальным. Он тесно связан с природой того, как люди воспринимают риски, с когнитивными искажениями (biases), которые исследовали Даниэль Канеман, Амос Тверски и Ричард Талер. Человек-экон из книги Талера «Nudge» (максимально рациональный субъект, таких людей практически не существует), которому предложили бы воспользоваться ассистентом вождения или поехать на беспилотном такси, непременно изучил бы не только результаты тестов («пять звезд по шкале независимого агентства»), но и методики испытаний, репутацию лаборатории, состояние оборудования, страховые гарантии, прежде чем принять решение. А люди-гуманы, будучи эмоциональными и иррациональными, либо доверяют этим пятизвездочным рейтингам, либо, подозревая подвох, отключают ассистенты вождения, «чтобы чего не вышло». Некоторые углубляются в изучение тех самых методик и прочих факторов, но всегда остается зона предположений и вероятностей — даже опытный инженер не способен математически просчитать все на свете, даже если дело касается его собственной жизни и здоровья или жизни и здоровья близких. Здесь проявляются ошибки восприятия: селективное восприятие информации (ошибка выжившего), предвзятость подтверждения, неприятие риска. Человеческая психика куда старше цифровизации. В мире всегда будут и безрассудные энтузиасты, и луддиты.

Посмотрим на все это с другой стороны. Наивно утверждать, что новая технологическая революция — исключительно про благополучие общества. Большая часть людей и бизнесов не поспевает за развитием технологий, в результате чего оказывается или может оказаться на обочине жизни. Можно ли предположить, что борьба с промышленными предприятиями — а ведь это борьба с технологиями — за прежний, более простой, понятный, а, возможно, и более устойчивый мир?

Термин «Четвертая промышленная революция» сегодня используется редко, но она, безусловно, произошла. Революция никогда не ведет к немедленному благополучию, и в переходный период всегда возникает тоска по прежнему, понятному. Часто слышу: «Многие люди потеряют работу, искусственный интеллект их заменит. Может, не надо его развивать?» Уверена, подобные рассуждения звучали и во время первой промышленной революции. Тогда, например, изобретение станков Жаккарда вызвало опасение, что работа ткачей и художников окажется не нужна. Появление сельскохозяйственной техники заставило задуматься о будущем крестьян и фермеров. Так вот новость в том, что людей с тех пор стало больше, и от отсутствия работы они, кажется, не страдают.

Давай отвлечемся от кибербеза. Сейчас я читаю историю возникновения Баухауса. Долгое время я считала, что появление этой школы было тесно связано с промышленной революцией, что ее основоположники были адептами промышленного дизайна и вдохновлялись индустриализацией. И для меня стало сюрпризом, что истоки этого направления лежат вовсе не в стремлении адаптировать художественное творчество к требованиям массового производства, а совсем наоборот. Художники Джон Рёскин и Уильям Моррис, основавшие движение «Искусства и ремесла» (Arts & Crafts) в Викторианской Англии, выступали против «безвкусного» массового машинного производства и за возврат к ручной работе. Их идеи стали основой для Баухауса и промышленного дизайна в целом. Удивительно, но движение, которое противостояло промышленной революции, в итоге стало ее продуктом, а эстетика Баухауса оказалась неотделима от массового производства. Так и сейчас: художники обеспокоены развитием искусственного интеллекта, пытаются сопротивляться этому процессу, но, похоже, уже поздно что-либо делать.

Каким бумерангом вернется отрицание цифровизации и искусственного интеллекта, трудно сказать. Очевидно, что развитие технологий приведет к очередной трансформации общественных отношений и ценностей. Системам человеческого сообщества все же свойственна устойчивость. А вот как именно изменится общество и каким станет наше представление о безопасности через несколько десятков лет, крайне интересно.

1. Федеральный закон от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». ↩︎
2. Приказ Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 года № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». ↩︎
3. Institute of Electrical and Electronics Engineers (Институт инженеров электротехники и электроники) — некоммерческая инженерная ассоциация из США, разрабатывающая широко применяемые в мире стандарты по радиоэлектронике, электротехнике и аппаратному обеспечению вычислительных систем и сетей. Профессиональное сообщество инженеров, специализирующееся в области электротехники и электроники. ↩︎
4. The Open Group — промышленный консорциум, созданный для установки нейтральных открытых технологических стандартов для вычислительной инфраструктуры. В состав участников группы входят покупатели и производители из отрасли информационных технологий, а также правительственные агентства, например, Fujitsu, Hitachi, Hewlett-Packard, IBM, NASA, Министерство обороны США. ↩︎