«У России есть все шансы стать мировым лидером на рынке кибербезопасности»

Риски, связанные с утечкой данных и цифровым мошенничеством, сегодня одни из ключевых для граждан и ИТ-индустрии. Почему Россия оказалась в числе наиболее неблагополучных стран и что ей нужно предпринять, чтобы стать мировым лидером по кибербезопасности? Эти вопросы обсуждали эксперты на сессии «Кибербезопасность в России: новые вызовы и угрозы»  Дискуссионного клуба ВШЭ и Сбера, который работает в рамках XXII Апрельской международной научной конференции.

С каждым годом тема кибербезопасности становится актуальнее, «и я специально собрал представителей науки, бизнеса, общественной деятельности – тех, кто не входит в число людей, традиционно комментирующих тему кибербезопасности и мошенничества», – так начал дискуссию ее модератор Станислав Кузнецов, заместитель председателя правления Сбербанка.

По данным МВД, которые привел модератор, в 2020 году ущерб от киберпреступности в России превысил 68 млрд рублей. Если брать отрезок в семь лет, уровень киберпреступности в стране вырос в 46 раз. Одним из главных киберпреступлений считается телефонное мошенничество, которое в России приобрело масштабы национального бедствия.

Только за первое полугодие 2020 года мы зафиксировали рост телефонного мошенничества на 76%. По сравнению с 2019 годом мы видим двукратное увеличение. Если в 2019 году в Сбербанк поступило 2,3 млн жалоб на телефонное мошенничество, то в 2020 году — 3,7 млн

Мошенники организованы — прежде всего речь идет о так называемых «кол-центрах», которые размещаются в том числе на территории соседних государств. «Несмотря на принимаемые правоохранительными органами меры, количество случаев телефонного кибермошенничества продолжает расти и растет в разы — за прошлый год оно увеличилось в два раза. Сейчас каждый десятый звонок может быть звонком мошенника», — подчеркнул Станислав Кузнецов. При этом, в силу низкого уровня киберграмотности граждане сами оставляют свои данные на многочисленных фишинговых сайтах. Если не изменить подхода к организации кибербезопасности в стране, то через короткое время мы можем столкнуться с последствиями, способными парализовать целые отрасли экономики. 

Если бы вы обладали всеми необходимыми полномочиями в стране, с чего бы начали выстраивать борьбу с кибермошенничеством? На такой вопрос модератор предложил ответить участникам дискуссии.

Илья Сачков, генеральный директор, основатель Group-IB, обозначил такой алгоритм действий. Действие «0» — понять, где мы находимся признать, что ситуация плохая. Действие «1» — вести мораторий на создание кибервооружений, поскольку если страна допускает вредоносное ПО, то, как должны действовать правоохранительные органы, ведь многие преступники маскируются под   государственные структуры. Действие «2» — политика нулевой толерантности к киберпреступникам, изменение государственной системы образования, начиная со школ.

«Сначала я бы определил объекты, которые должны быть под защитой, у нас так принято, что в борьбе с киберпрестпуностью пытаются зашифровать вообще все», — вступил в дискуссию Анатолий Кучерена, председатель Общественного совета при МВД России. По его мнению, у нас в стране пытаются предотвратить преимущественно внешние риски, упуская при этом такие важные моменты, как лояльность сотрудников компаний, что очень важно.   

В свою очередь, Игорь Ляпунов, вице-президент по информационной безопасности «Ростелекома», считает, что должно быть три фокуса внимания: государство, бизнес, население. Необходима государственная централизация ответственности за защиту всех систем государственного управления, создание отраслевых центров ответственности за защиту информации для каждой из отраслей, повышение осведомленности населения. И укрепление правозащитных функций. Эти три шага позволят пройти по основным болевым точкам там, где наибольшие потери для государства, для суверенитета, и решить задачу в течение двух-трех лет. 

Арутюн Аветисян, академик РАН, директор Института системного программирования РАН, заведующий кафедрой факультета компьютерных наук ВШЭ, уверен, что у нас в стране существуют компетенции, есть хорошая наука, есть понимание государства, регулирующих органов, что нужно делать: «Думаю, для всех очевидно, что необходимо тотально и очень быстро повысить грамотность населения, грамотность разработчиков, эксплуатирующих организаций, ведь мы иногда годами не обновляем программное обеспечение».

Должна быть общая консолидация всех участников системы, в то время как сейчас каждый пытается решить эту задачу самостоятельно, что невозможно. Даже в мировом масштабе, ни один технологический гигант сделать этого не может

«Я искренне считаю, что у России есть все шансы стать мировым лидером на рынке кибербезопасности», — говорит Юрий Максимов, генеральный директор Positive Technologies. Что значит быть лидером? Это значит иметь достаточное национальное решение, с помощью которого можно защитить граждан, государство и бизнес, то есть должны быть программные продукты, методики, способы. Плюс ко всему этому нужна долгосрочная государственная стратегия, ее реализация должна быть при консолидации общества, бизнеса и государства.      

«Илья, чего нам не хватает, чтобы навсегда победить хакеров?», — обратился модератор к Илье Сачкову, напомнив, что некоторые время назад тот на подобный вопрос ответил — мозгов и честности у тех, кто должен с хакерами бороться. «К сожалению, с тех пор ничего не изменилось. Мы видим, что регулярно останавливаются предприятия, например, из-за вируса «шифровальщики», потому что нельзя ни расшифровать данные, ни найти злоумышленников. Причина в том, что государство ничего не предпринимает», — сказал Илья Сачков. Непонятно, говорит эксперт, почему некоторые преступники в 2007-2008 годах остались на свободе, и теперь они снова занимаются кибермошенничеством.  На вопрос модератора есть ли хотя бы один повод для оптимизма, Илья Сачков сказал: «Понятно, как все исправить».   

Анатолий Кучерена тоже не видит «особых успехов» в борьбе с кибермошенничеством. Он обращает внимание на то, что в основном она направлена на госструктуры, и государству, в том числе по этой причине, нужно понять, что киберпреступность — злейший враг. Кроме того, нужно решать вопрос, как интегрироваться в соответствующие международные институты.

Юрий Максимов уверен, что для отработки инструментов противодействия мошенничеству нужно создавать пилотные зоны, «нужно делать все по-новому, если делать по-старому, то и будет все по-старому».

Рынок цифровизации сделал большой рывок, по оценкам McKinsey, он за год убежал на шесть лет вперед, напомнил Игорь Ляпунов: «Вот эта легкая конница умчалась вперед, а груженная обозами знаний по кибербезопасности осталась не месте». Все компании «напилили» удаленных доступов, наделали приложений, но не обеспечили защищенность.

Причем их атакуют не коммерческие группировки, а целевые профессиональные группы, спонсируемые государствами, что видно по тому ПО, которое используется для этих атак, какие ресурсы стоят за этим, говорит эксперт

Однако, по мнению Игоря Ляпунова, например, у объектов инфраструктуры, нет никакой мотивации обеспечивать свою кибербезопасность. Если ничего не предпринимать, крупный холдинг может заплатить 8-10 млн рублей в год, тогда как на обеспечение кибербезопасности придется потратить 100 млн рублей. Главное в том, что санкции и штрафы налагаются не за ущерб, а за нарушение требований регуляторов.

Арутюн Аветесян повернул тему иначе, отметив, что разговор не может свестись только к организационным, юридическим вопросам: «Проблема такого масштаба, что без передовой науки и технологий решить невозможно. Более того, нет уровня, которого ты достиг и можешь почивать на лаврах». В качестве примера он привел распространение использования искусственного интеллекта. То есть вас заботит, как взять под контроль искусственный интеллект, спросил его Станислав Кузнецов. Речь не совсем об этом, ответил эксперт: «Если вы обучались на трафике с серверов, которые всем известны, можно построить контрпример, когда вы даже не определите, что вас уже взломали и забирают данные». Современная технология устроена так, что вы не можете гарантировать, что в программном обеспечении не было ошибок.

В финале дискуссия завязалась вокруг темы ИТ-образования. Обязанности учить людей сегодня поделены между бизнесом и государством, отметил Юрий Максимов, но мы обращаем внимание на то, что государство могло бы тратить средства эффективнее, вкладывая их в специалистов.

Станислав Кузнецов возразил: по его мнению, специалисты одинаково хорошо подготовлены, человек, проработавший в Ростелекоме, вполне может оказаться на своем месте в Сбере. Вопрос в том, что нас не устраивают выпускники, которых надо доучивать в компании. Анатолий Кучерена посочувствовал тем, кто «не такой большой как Сбер и Ростелеком», задав риторический вопрос «а как быть другим?». Как рассказал Арутюн Аветисян, сейчас принята новая номенклатура специальностей, где есть «кибербезопасность». В ближайшее время будет паспорт этой специальности, это означает, что на всех факультетах, где читается курс по информационной безопасности, обязательно начнут учить этот предмет.