Интервью менеджера по развитию бизнеса Cisco Systems Алексея Лукацкого журналисту Владиславу Боярову, 12 октября 2009 г.
Год назад на Cisco Expo я уже имел беседу с Алексеем Лукацким и Михаилом Кадером по вопросам безопасности, и это интервью c Алексеем Лукацким на Десятой юбилейной конференции Cisco Expo 2009, проходившей в Центре международной торговле в Москве с 12 по 14 октября, является продолжением того разговора. Именно продолжением, поскольку сама ситуация не располагает к тому, чтобы считать на сегодняшний день эти проблемы решёнными.
Владислав Бояров: У меня глубокое ощущение, что все те проблемы безопасности, которые мы в прошлый раз обсуждали, остались. Представьте себе, что поставили мы железные двери, повесили замки, а у злоумышленника осталась возможность безнаказанно взламывать эти двери столько, сколько он хочет, и никто его не имеет права схватить, и (или) вызвать милицию. Просто идеальные условия для взлома! Такая картина, на мой взгляд, существует в сфере информационной безопасности. Поэтому главный вопрос: что законодательно предпринимается в этом плане, что есть в судебной практике? Вот злодея вычислили, и?..
Алексей Лукацкий: В России есть всего три статьи в Уголовном кодексе, которые регламентируют данную тему. Это распространение вредоносных программ, это несанкционированный доступ к информации и халатность в использовании средств вычислительной техники, приведшая к негативным последствиям. Достаточно давно ведутся разговоры о том, чтобы увеличить число статей, сделать их, по крайней мере, похожими на то, что существует в Европе, в Соединённых Штатах Америки, но пока до этого дело не дошло. Отчасти, наверное, потому, что те, кто продвигает это законодательство, не всегда подготовлены на должном техническом уровне. Они не могут правильно описать сферу этого преступления, способы доказательства – ведь статья закона не будет работать без методических указаний о том, как расследовать, чем доказывать. У нас с этим пока достаточно большой швах (Это Алексей так попытался смягчить устойчивое выражение «полный швах» – В.Б.).
То есть правоприменительной практики не существует?
Не только правоприменительной практики, но и, экспертов, которые могли бы эту практику нарабатывать. Их нет, их нигде не готовят. Потому что одно дело собирать вещественные доказательства, и другое дело – собирать доказательства, связанные с информацией. На последней конференции DLP Russia (по системам защиты конфиденциальной информации от внутренних угроз информационной безопасности – В.Б.), в которой мы участвовали, было отмечено, что в России всего около 170 экспертов-криминалистов, которые занимаются компьютерными преступлениями. На всю России 170 экспертов – это капля в море. Конечно же, работа идёт, но пока слишком слабо и не выходит на нужный уровень. На Западе, как я уже говорил, статей закона гораздо больше, в полицейских училищах (после известного фильма Police Academy, название которого перевели как «Полицейская академия», их училища стали называть академиями, что неверно – их Academy соответствуют нашим училищам – В.Б.) существуют отдельные курсы по подготовке соответствующих специалистов, которых учат сбору доказательств, фиксации правонарушения, и другим тонкостям, связанным с компьютерной информацией.
Насколько я понимаю, эксперт – это не работник правоохранительных органов, это просто специалист, который…
Я называю его экспертом не в процессуальном смысле, а как обладателя соответствующей квалификации. Например, это следователь, который…
…знает какой вопрос задать эксперту?
Именно. Прибыв на место преступления, знает, чего нельзя делать, чтобы не стереть следы. Не только отпечатки пальцев, но и следы в памяти компьютера. Что надо не просто нажать на кнопку Power, а выдернуть из компьютера кабель питания, чтобы таким образом произвести мгновенное отключение и не потереть временные файлы. У них в полицейских училищах этому учат, а у нас в соответствующих учебных заведениях – нет.
А положительные примеры хоть какие-нибудь есть?
Примеры чего?
Того, что у нас вообще есть прогресс в сфере обеспечения информационной безопасности со стороны правоохранителей. Потому что, честно говоря, ощущение такое, что нет ничего. Борются «Лаборатория Касперского», «Доктор Веб» ... Но это только защита, а не искоренение. Это не борьба с информационной преступностью.
Для того, чтобы наши органы открыли уголовное дело, у них должно быть заявление от лица пострадавшего. Многие люди, к сожалению, не воспринимают несанкционированный доступ к компьютеру, как преступление. Поэтому, когда идёт вирусная атака, либо DoS-атака, либо что-то подобное, они не обращаются в органы, и те дело не открывают. Все говорят, что много компьютерных атак, но реально никто мер не предпринимает, потому что в органах нет соответствующих заявлений, а сами они уголовное дело открыть не могут. За очень редким исключением.
Это всё мне напоминает разговоры о том, что, когда водитель попадает в яму с острыми краями и пробивает колесо, он не ждёт ГАИ для оформления протокола и не обращается затем в органы, чтобы ему дорожная служба компенсировала ущерб, поскольку знает, что из этой затеи всё равно ничего не выйдет. Не обращается только по этой причине, а не потому, что ему на собственные деньги захотелось купить новое колесо.
Отчасти проблема связана с этим, но в большей степени – с неправильным восприятием информационных технологий с точки зрения правонарушений. Чаще всего люди не воспринимают компьютерную атаку как преступление, мол, вирус и вирус. Ну, уничтожил он все мои файлы, ну пропала у меня информация. Когда людей настигают биологические вирусы, они ведь тоже бегут в аптеку, а не в милицию.
Понятно. А всё-таки были примеры положительные, когда люди обращались в органы? Кто-то это делал?
Были.
Есть ли практика? Можно ли к этой практике обратиться? Можем ли мы, пресса, пропагандировать эту практику? Сказать: «Люди, что же вы молчите!? Надо сделать вот это, вот это и вот это, внести свой вклад в борьбу с преступностью, а может, и компенсацию получить!»
Практика есть, но её не так много.
Ну, так расскажите, чтобы мне эти ростки правосознания как-то подать. Нынешним летом пришлось воочию наблюдать эти проблемы: моя жена помогает вести несколько сайтов, и вдруг (прежде никогда такого не было!) на них пошли вирусы. Мы обращаемся в компанию, предоставляющую хостинг: «На сайтах появились вирусы! Пароли меняем, записываем только на бумажку, вычищаем и закачиваем незараженный контент снова, а вирусы опять появляются». А компания отвечает: «Мы тут ни при чём». «А кто при чём?» «А никто ни при чём». Хостинговая компания даже не пытается никуда обращаться, искать виновных. Кто запустил вирусы? Как надо действовать? Вы говорите, что делается мало. А я вообще действий не вижу…
Это связано не только с проблемой восприятия, но и с тем, что сама по себе техническая проблема достаточно сложная. Обычное преступление ведь как выглядит: злоумышленник пришёл на конкретное место, и на этом месте совершил преступление. Вот и жертва здесь, и нарушитель здесь…
…нет, зачем же: нарушитель скрылся…
…но, по крайней мере, он здесь был, и если его не поймали на месте преступления, то скорее всего остались какие-то следы. Это всё относительно просто. Ну, относительно просто. В интернете же всё гораздо сложнее. Я, например, нахожусь в Самаре, сайт – в США, владелец – на Украине. Сайт взломан, и владелец обращается в правоохранительные органы. А те говорят: «Это не наша сфера компетенции, потому что сайт находится не на территории Украины (хотя смысл этих слов не вполне корректен), он находится на территории США. Обращайтесь туда». Владелец обращается туда, а ему говорят: «Злоумышленник действовал не с территории Украины, и не с территории США, а из России, из Самары». И что делать владельцу? Куда ему подавать иск? Все будут отпихиваться, потому что это сложно доказуемое правонарушение. Их компетенции не хватает, и вероятность положительного результата расследования дела будет минимальной.
Хорошо. И всё же какой-то опыт работы компании Cisco по взаимодействию с правоохранительными органами имеется на этот счёт?
У нас скорее имеется большой опыт взаимодействия с провайдерами. В Америке, в том числе, с нашей помощью была создана сеть взаимодействия провайдеров на случай реализации крупных атак…
Это опять самооборона.
Почему же самооборона? Это взаимодействие провайдеров для того, чтобы предотвращать такого рода атаки, чтобы они не наносили ущерба.
Но это опять не выход на злоумышленников и не их ликвидация.
К Cisco это имеет лишь опосредованное отношение, поскольку оборудование использует конкретный заказчик. Он и должен предоставлять правоохранительным органам доступ к логам.
Согласен.
Это всё равно как обращаться за помощью к продавцу оружия…
Здесь я Вас понял. Просто, коль скоро Cisco поставляет оборудование, занимается безопасностью и пропагандирует себя в этой роли, то одна из граней безопасности – это наступление. Не уходить в глухую оборону, не прятаться и ждать со всех сторон атак информационных преступников (они обязательно будут!), а вступать в активную борьбу с ними.
В принципе, да, но здесь надо ещё понимать интерес заказчика. Если информация утекла, то его основной интерес – не наказать виновного, а найти информацию, восстановить её, предотвратить повторение утечки. Лишь немногие готовы идти до конца, доводить дело до суда. У большинства корпоративных заказчиков, в том числе у ведомственных заказчиков, позиция именно такая. Залатали дыру – и всё, на этом можно поставить точку. Тем более что далеко не всегда ущерб настолько серьёзен, чтобы идти в суд. А вдруг проиграем? Суды тоже не настолько подкованы, чтобы во всех случаях выносить решения в пользу пострадавшего. А вдруг в суде скажут, что отсутствует состав преступления, не хватает доказательств, либо ещё что-то.
И что тогда?
И тогда суд будет проигран. Мы заплатили пошлину за возбуждение судебного рассмотрения, мы потратили время наших или привлечённых юристов, а толку ноль. Так зачем идти в суд? Чего мы добьёмся? Информация уже либо потеряна, либо восстановлена. Наказать злоумышленника? Не все на это идут.
Хорошо. А государственные органы? Что они делают в этом направлении?
Они делают, но маловато.
Мы не видим взаимодействия с ними. Т.е. когда что-то случилось, они нам ни помощь, ни поддержка, ничего.
Не всегда, скажем так. Не всегда. Да мы и сами не всегда к ним обращаемся, когда это следовало бы делать. На многих мероприятиях представители Управления по борьбе с преступлениями в области высоких технологий говорят: «Обращайтесь к нам, и мы будем вам помогать». Но не все в это верят. А те, кто раздумывает – верить или не верить, предпочитают полагаться на свои силы, на силы своих служб информационной и физической безопасности, которые со своими сотрудниками сами разберутся.
Т.е. получается так, что мировая практика в деле противодействия этой категории преступности в корне отличается от мировой практики по всем остальным преступлениям. Принципиально отличается, потому что по всем другим преступлениям есть Интерпол, есть различные антитеррористические организации, и государство подключается первым. Достаточно того, чтобы что-то случилось, и не надо никаких особенных заявлений, потому что, если, извините, у вас квартиру обобрали, это дело уже уголовное, и никто в этом не сомневается.
И всё равно без заявления потерпевшего никто этим делом заниматься не будет.
Пусть так. Тем не менее, никто не сомневается, что это дело уголовное и что закон всегда защищает потерпевшего. Другое дело, что злоумышленника могут не найти но разыскивать будут. И уж, по крайней мере, потерпевший судебные издержки не понесёт.
Но потерпевшего прежде всего интересует, как возвратить своё имущество.
В случае квартирной кражи человек, как правило, если не всегда, идёт в милицию, обращается, и происходит какой-то процесс.
Да.
А вот здесь всё происходит принципиально по иной схеме. Кроме самозащиты, никаких попыток обратиться к правоохранителям за помощью в поимке злоумышленника.
Менталитет другой совершенно по отношению к информации, не как к некоему имуществу…
Во всём мире?
Практически во всём мире. Информация – нечто неосязаемое. Ну, удалили, я её восстановил. Никто не подсчитывает её ценность. Во всех ВУЗах учат: самозащита не должна превышать стоимости защищаемой информации. У них, на Западе, тоже никто никогда не считает стоимость защищаемой информации.
Её никто не знает, пока не украдут.
Нет, её можно заранее подсчитать. В бухучёте существуют свои стандарты оценки нематериальных активов, просто никто никогда этого не делает. Никто не считает информацию чем-то дорогостоящим. Информационные ресурсы приносят достаточно большую пользу для компании в финансовом исчислении, а нет ущерба, соответственно, и правоохранительные органы не всегда возьмутся за это дело, если нельзя подсчитать ущерб, который нанесён жертве. Они скажут: «Ну, пострадал у вас сайт. И что для вас это?» И никто не может ответить, какой ущерб был нанесён компании.
Я так понимаю, что материальное – это когда что-то купили, его амортизируют…
Да-да-да…
… деньги, всё понятно. А это информация, которую сами накопили. И при накоплении информации непонятно, какие затраты понесли…
Да-да-да…
…ну, что такое, например, бухучёт? Какие затраты? Зарплата бухгалтера…
Нет, там есть затраты. Но их тоже нужно считать…
…я просто хочу сказать, что зарплата бухгалтера, который набивал базу – это одно, а вот убыток от потерянной базы – это уже другое.
Там тоже по-разному можно считать. Один метод оценки нематериального актива – это затраты на создание этой информации. Другой – это недополученная прибыль, понесённый убыток. Однако немногие могут подсчитать ценность своей информации, соответственно, и подсчитать ущерб. Нет размера ущерба, соответственно, правоохранители не возьмутся за дело. Прецеденты сотрудничества есть. На этой конференции присутствует представитель Управления по борьбе в высокотехнологичных преступлениях в МВД. Более того, мы раз в квартал приезжаем к ним в Домодедово учить их региональных представителей: что такое оборудование и технологии компании Cisco, как это использовать для сбора доказательств. Они интересуются этой тематикой и занимаются этим направлением. В общении с нами они говорят, что, при необходимости можно инициировать межгосударственный запрос и через Интерпол, и напрямую в другие страны. Они неоднократно обращались в США с целью выявления злоумышленников, нахождения их по реальному адресу, но это очень большая бюрократическая машина. Ведь требуется с уровня районного Управления поднять это на уровень МВД, потом организовать межгосударственный запрос и спустить его на тот же районный уровень в другой стране. Этот обмен информацией занимает месяцы. В режиме, когда информация по сетям передаётся в реальном времени, такая схема совершенно не работает. Когда инициатор получит информацию, она уже полностью потеряет свою ценность.
Иными словами, работающей системы не существует?
Хорошо работающей системы, я бы так сказал. Сама процедура взаимодействия, организации запросов существует, примеры были.
Но, если Вы говорите, что пока процедура пройдёт, она потеряет всякий смысл, разве это можно назвать словом «работает»?
Когда-то нет, когда-то есть…
Получается, я пешком быстрее дойду, чем на автомобиле.
Да, иногда и так бывает. Но был пример достаточно известный. Когда несколько военных с одной российской базы в Подмосковье написали угрожающее письмо в ряд министерств США, что вот мы вас, ракету пустим…
???
Делать им было нечего, и они написали ради шутки такое письмо. Была инициализация запроса оттуда в наше МВД, и было совместное расследование. «Шутников» быстро нашли и наказали. Вот пример реальной работы. Но в том случае это действительно могло привести к очень печальным последствиям, все очень напряглись.
Т.е. «шутники» каким-то образом дали понять, что пишут они действительно с военной базы?
Отследили, что писали с адреса, принадлежащего военному ведомству, отследить это было достаточно просто. Здесь взаимодействие органов привело к хорошим результатам, но, это когда могли быть неприятные и жёсткие последствия. А вот когда речь идёт об удалении файлов, о краже личных фотографий, краже паролей, то вероятность того, что дело дойдёт до суда невелика, и вероятность того что судья сможет вынести правильное решение – тоже невелика. Как правило, всё заканчивается выездом сотрудников органов на место, к нарушителю, проведению беседы с ним.
Когда нарушителя всё-таки нашли…
Найти-то его, может быть, и легко. Дело в том, что всё ограничивается проведением беседы, он сознался, происходит досудебное урегулирование, выплата штрафа, возмещения вреда. Но это же не совсем то, о чём мы говорим. Суда не было, «показательной порки» не было, соответственно, все остальные не думают, что это их коснётся. Опять же, нематериальность данного преступления делает его в глазах многих несерьёзным, неосязаемым.
Я считаю, что в Вашем примере: выехали, допросили, состоялась досудебная сделка – всё уже достаточно хорошо. Потому что какие-то действия уже предприняты, хулигана выявили, поставили под контроль. Уже что-то начинает происходить, не просто в очередной раз антивирус обновили, а всё-таки нашли злоумышленника.
Проблема в том, что его нашли, точнее, с ним провели беседу, не опираясь на какие-то факты, доказательства реальной его несанкционированной деятельности, а просто по неким косвенным признакам. К нему пришли, запугали, он сказал: «Я больше так не буду». Реально-то ничего не произошло, органы не проявили квалификации, ничего не доказали… ну, а поскольку это досудебное урегулирование, то ничего доказывать по сути и не надо. А раз до суда дело не дошло, никто не понёс справедливого наказания. Всё осталось по-прежнему, в прессе об этом не сказали, и остальные злоумышленники не начали бояться.
Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems, работает в области информационной безопасности с 1992 года. Опубликовал свыше 350 печатных работ в различных изданиях, в январе 2007 года был включен в рейтинг 100 персон российского ИТ-рынка.