Каждый интернет-пользователь в любой момент может потерять свои данные от сайтов, карт и другую личную информацию. При этом мало кто реально понимает, как можно защититься от взлома. Корреспондент «Агентства Бизнес Новостей» узнал у эксперта по безопасности компании Cisco Алексея Лукацкого о способах защиты от угроз, почему бизнес может быть заинтересован в пользовательской безопасности и какое наказание предусмотрено УК РФ за плохо защищенный сайт.
По вашему мнению, какие угрозы по итогам 2014 года стали самыми опасными для пользователей?
Для пользователей самая опасная угроза — это интернет-мошенничество, потому что основная масса пользователей сидит в интернете. Интернет-мошенничество существует в разных проявлениях. Например, в виде так называемого клик-фрода, когда пользователь кликает по ссылке и попадает на мошеннический сайт, где у него крадут идентификационные данные к тем или иным сервисам. К примеру, к банковским сервисам, либо к игровым, либо к почтовым и так далее.
Второй вид мошенничества — это непосредственно кража финансовых данных, которые можно продать либо использовать для своей наживы. То есть, это кража данных кредитных карт, взлом интернет магазинов и, опять же, кража информации о кредитных картах и потом снятие средств с этих карт, либо продажа скопом данных карт, которые кто-то будет обналичивать. Это, разумеется, рекламные баннеры, это тоже некий аналог клик-фрода, когда пользователей заставляют куда-то перейти.
Все это вещи, связанные с интернет-тулбарами. Они с одной стороны, помогают пользователям автоматизировать решение каких-то задач, а с другой стороны, собирают данные о том, что, как и чем занимается пользователь в интернете для того, чтобы предложить ему какую-то контекстную рекламу или отправить рекламным компаниям информацию о поведении пользователя, на базе которого они потом будут строить свою деятельность. То есть, это тоже некоторое вторжение в частную жизнь, и на базе этой информации тоже осуществляются некоторые мошеннические действия. Для пользователя именно это сейчас представляет наибольшую угрозу, по нашим оценкам.
Вы упомянули тулбары — например, один такой от «Яндекса» устанавливается со многими бесплатными программами. Не притупляет ли это внимательность пользователя?
Притупляет. И решить эту проблему можно тремя способами.
Первое — это повышение осведомленности самого пользователя, то есть, его надо регулярно обучать различным вопросам по информационной безопасности. В США, например, каждый год проходит так называемый «месячник информационной безопасности», когда разные компании на сайтах, через средства массовой информации, через телевидение повышают осведомленность граждан, рассказывая о тех или иных рисках небезопасного поведения в интернете. Это в свою очередь, побуждает пользователей постоянно думать об этом. Таким образом, повышается защищенность.
В России такую идею тоже пытались двигать и, я надеюсь, в ближайшее время ситуация должна тоже сдвинуться с мертвой точки. Должен быть принят документ «Основы государственной политики в области формирования культуры информационной безопасности». Мне довелось участвовать в разработке этого документа. В нем прописаны различные шаги по стимулированию повышения безопасного поведения пользователя различных возрастных категорий — начиная от детских садов и заканчивая пожилым поколением. Можно использовать средства массовой информации, курсы повышения квалификации, обучающие курсы в рамках школ и ВУЗов. Все это направлено на то, чтобы пользователь знал, как безопасно сидеть в интернете, пользоваться средствами вычислительной техники. Это первое направление.
Второе направление связано с технологиями, оно подразумевает установку на компьютер пользователей средств защиты. Это не банальный антивирус, а некоторые средства endpointprotection («защита конечных точек», т.е. компьютера пользователя — АБН), которые включают в себя множество разных технологий: и антивирус, и борьбу с неизвестным вредоносным кодом, и анализ поведения, и анализ утечек, и так далее. То есть, это некая компенсация, может быть, невысокой осведомленности пользователя, когда мы часть задач пытаемся переложить на техническое средство.
И третья задача (наверное, её сейчас сложно реализовать) но это повышение защищенности посещаемых сайтов для того, чтобы их нельзя было взломать и через взломанный сайт установить контроль над компьютером пользователя. Здесь нужна, опять же, работа с самими разработчиками сайтов, нужны какие-то, возможно, регулятивные требования и нужна практика, связанная с наказанием (возможно, здесь нужно продумать более серьезно) за халатность в отношении защиты собственных ресурсов.
У нас есть 274 статья в Уголовном кодексе, назовем её так, «халатность в области применения средств вычислительной техники, повлекшая за собой нанесение ущерба». Статья, к сожалению, неработающая. Но если её транслировать из уголовной статьи в административное правонарушение и научить судей правильно её применять, то возрастет ответственность и со стороны разработчиков сайтов. И после выполнения трех составных частей безопасность пользователей повысится существенно, да и вообще вся защищенность интернета.
А как можно доказать, что заражение произошло по вине сайта, а не со стороны самого пользователя?
В этом, собственно, и проблема, на самом деле. Поэтому-то статья и не работает. На самом деле, доказывается это все очень просто — при регистрации событий. Сейчас у нас по законодательству многие операторы, как и распространители информации (а сайты являются распространителями информации), могут фиксировать поведение пользователя и многие другие вещи. Как на стороне пользователя можно фиксировать что он делает, как и что он получает к себе на компьютер, так и на стороне провайдера связи можно это фиксировать. И на стороне сайтов также возможно фиксировать все события, которые происходят — в том числе, установка нового ПО, изменение существующего ПО, различные плагины и так далее. И по комбинации этих логов можно делать вывод о том, кто же все-таки был инициатором или источником заражения. Пользователь, который где-то что-то подхватил или сайт, который не соблюдал требования по защите.
Грубо говоря, за уязвимость Heartbleed можно будет засудить?
На самом деле, если внимательно смотреть российское законодательство, за него можно судить и сейчас. Есть статья в Гражданском кодексе, если мне не изменяет память, 1095, которая подразумевает, что если физическому лицу нанесен ущерб вследствие недостатка товара, продукта, услуги, о котором разработчик пользователю не сообщил, то разработчик, по вине которого был нанесен ущерб, обязан этот ущерб возместить. Поэтому если кто-то из физических лиц (а закон действует только на них) сможет доказать, что Heartbleed нанес ущерб, доказать его финансовое исчисление, то, по идее, в суде можно потребовать возмещение ущерба. Но учитывая, что пока что квалификация судей не очень высокая, заранее предсказать результат такого судебного процесса нельзя. Хотя с юридической точки зрения, при ушлом адвокате попытаться можно.
То есть, законы для повышения безопасности есть, но они не работают?
Не работают, да.
Что касается защиты пользователя, а именно программ. С его стороны это выглядит так: «Я хожу по правильным сайтам, никуда не захожу, зачем мне что-то еще ставить, ведь оно еще и денег стоит?» Как реагировать на такие аргументы?
Аргументы понятные. Здесь, опять же, нужно повышать осведомленность. Надо объяснять, что источниками угроз бывают не только «плохие» сайты, но и сайты вполне себе респектабельные. Те же самые операторы связи могли бы предлагать за небольшую абонентскую ежемесячную плату (в размере, скажем, 100 рублей) пользовательскую защиту от вредоносного кода. На Западе это очень активно предлагается, в России есть тоже отдельные примеры, когда провайдер таким образом увеличивает свои доходы, незначительно увеличивая абонентскую плату пользователя в месяц. Здесь все зависит от того, насколько бизнес-модель провайдера позволяет такое предлагать, насколько продвинуты маркетологи, чтобы пытаться извлечь из этого соответствующую выгоду для себя.
А эта защита — она на стороне провайдера или пользователя?
Она может быть по-разному реализована. Есть примеры, когда на компьютер пользователя устанавливается расширенный антивирус, полноценный endpoint protection. Есть вариант, когда это делается на стороне провайдера — то есть, специальный сетевой шлюз, который пропускает через себя трафик и ищет в нем среды вредоносной активности.
Не подвергает ли защита «от провайдера» сомнению конфиденциальность данных пользователя? Вроде как этого тоже сейчас опасаются.
Опасаются, безусловно. Это те риски, которые должен взвешивать сам пользователь. Если он считает, что оператор связи может вторгнуться в тайну его переписки, тогда он должен предпринимать какие-то усилия. Но, как показывает опыт, пользователи много об этом говорят, но ничего не предпринимают. То есть, они пользуются тем же самым mail.ru, gmail, Hotmail, yandex.ru как почтовым сервером, а он в открытом виде хранит данные. Они пользуются незащищенными сайтами, то есть, не используют https и поэтому беспокоиться о конфиденциальности в этом контексте не совсем логично. Не говоря уж о том, что по закону оператор связи обязан обеспечить тайну связи и того, что передается по его сетям. И здесь, опять же, добавляется юридическая составляющая — суды должны, если оператор связи не соблюдал тайну связи, применять к нему меры наказания. И такие примеры тоже есть, они не единичные.
К вопросу об инициативе по повышению грамотности — кто это должен делать и есть ли шанс, что она будет реализована?
Поскольку мы говорим о культуре, то культуру нельзя навязать. Это должна быть именно государственная политика, так документ и прописывался. Это набор различных шагов, которые делаются и государством, и отдельными компаниями, которые участвуют в этом. Компании участвуют в продвижении такого рода информации, роликов, используют рекламное время на телевидении, в СМИ и получают определенные льготы, награды какие-то. Это мотивирует компании вовлекаться в этот процесс с целью демонстрации своего внимания к проблемам пользователей. То есть, это целая работа, она не является обязательной. Это некий набор шагов, которые делаются со стороны и бизнеса, и общественных организаций, и со стороны государства.
Сейчас, конечно, есть определенные сомнения, что эта работа будет запущена, потому что она требует бюджетного финансирования, а деньги сейчас нужны на более важные дела. Если даже такой документ в этом году примут, вероятно, его реализация будет отложена на более-менее среднесрочную перспективу, когда в России появятся свободные деньги на данные задачи.
То есть, пока что пользователям нужно разбираться со своей безопасностью самим?
Да. Пока что спасение утопающих — дело рук самих утопающих.
Андрей Фролов / АБН