Высокий уровень развития информационных технологий, достигнутый человечеством за последние полвека, и глубина их проникновения во все сферы жизни общества, превратили ИТ в мощное орудие влияния в различных областях общественных отношений.
Всё откровеннее политики, экономисты и военные говорят об использовании ИТ в целях силового воздействия на конкурентов и политических противников. Всё чаще ИТ используются как инструмент политического и экономического шпионажа. Всё активнее хактивисты выступают против насилия в информационном пространстве, зачастую нарушая при этом действующие законы. Всё больший ущерб наносят отдельным гражданам, компаниям и целым странам действия киберпреступников.
Амит Йоран, старший вице-президент по унифицированным продуктам компании RSA, являющейся подразделением безопасности корпорации EMC, поделился с научным редактором PC Week/RE Валерием Васильевым своим пониманием некоторых наиболее важных современных аспектов информационной безопасности, характерных для сложившейся сегодня в информационном пространстве непростой ситуации.
PC Week: Передовые технологии всегда использовались в самых разных аспектах международных отношений, включая военное противостояние. Поэтому так много сегодня говорят о кибершпионаже и кибервойнах. Однако у современной цивилизации есть общий враг — киберпреступность. Как наладить согласованное международное противодействие киберпрестуности в условиях разгорающихся в настоящее время между странами кибервойн и активизации кибершпионажа, чтобы, с одной стороны, защищать национальные интересы и не выдавать государственных секретов, а с другой — иметь возможность обмениваться с иностранными коллегами необходимыми сведениями?
Амит Йоран: На этот вопрос нет простого ответа. Сегодня уже существует множество различных международных соглашений — многосторонних и двусторонних — о противодействии киберпреступности; есть и механизмы, которые поддерживают сотрудничество через национальные границы специалистов в области криминалистики, действует институция Интерпола.
Вместе с этим я бы выделил здесь два аспекта, на которых следует сосредоточиться особо: нужно добиваться большей прозрачности в отношениях и быть более осторожными в части соблюдения интересов отдельных людей и компаний, прежде всего интересов экономических.
PC Week: А это возможно?
А. Й.: Это просто необходимо. Чем глубже процессы глобализации охватывают национальные экономики, чем больше национальных экономик увязываются друг с другом, чем теснее они взаимодействуют, в том числе в области ИТ, тем острее необходимость сотрудничества, в частности и в борьбе с киберпреступлениями. Вопрос в том, как много времени понадобится, чтобы добиться этого. Пока же достижения в данной области я не могу признать достаточными — необходимые процессы идут очень медленно. Тем не менее у меня есть надежда на их ускорение.
PC Week: Что изменили в отношениях между странами в области информационной безопасности откровения Эдварда Сноудена?
А. Й.: В современном мире, который можно определить как информационный, все страны шпионят друг за другом с использованием самых современных технологий. Тем самым они создают базу для публикаций, подобных тем, с которыми выступил Эдвард Сноуден. Однако лично для меня в связи с подобного рода деятельностью остается слишком много неясного: кто является заказчиками шпионажа, как его последствия меняют расстановку сил и влияют на взаимоотношение между странами и компаниями… Я недостаточно осведомлен в этом, чтобы иметь четко сформулированную позицию по данному вопросу.
PC Week: Анонимность в Интернете — ваше мнение об этом.
А. Й.: Нужно соблюдать баланс между анонимностью и точной аутентификацией личности, между безопасностью и тайной личной жизни. Для этого следует действовать в соответствии с конкретными ситуациями. С одной стороны, при том или ином информационном взаимодействии от вас могут потребовать пройти строгую аутентификацию, чтобы удостовериться в том, что вы — это вы. С другой — вы сами можете потребовать строгой идентификации, чтобы иметь высокий уровень доверия к ресурсу, с которым обмениваетесь информацией в Интернете.
PC Week: А как соблюсти баланс между тайной личной жизни и персонально таргетированным обслуживание? Наверное, каждому из нас все-таки хочется, чтобы поставщики самых разных продуктов и услуг знали о наших индивидуальных предпочтениях?
А. Й.: И тут тоже важно сохранять баланс. Замечу, что разные страны и разные культуры имеют разное представления о конфиденциальности. Даже в границах одной страны, скажем в США, представления о конфиденциальности различаются у людей разных возрастных групп. Мои дети, например, мой младший брат и его друзья — сторонники более высокой личной информационной прозрачности, и они менее строги в требованиях к конфиденциальности. В то же время у моих родителей требования к конфиденциальности гораздо выше, чем у меня.
Нужно отдавать себе отчет в том, что чем активнее мы используем современные технологии, тем шире распространяем информацию о себе и тем самым неизбежно снижаем уровень персональной конфиденциальности. Поэтому мы просто обречены на открытую дискуссию о конфиденциальности и о том, как следует пользоваться информацией в обществе.
Сегодня на уровень конфиденциальности очевидное влияние оказывают правительства и бизнес. В США, например, регулирование конфиденциальности таково, что правительство может получать доступ к информации о гражданах. У нас также нет сильных ограничений для сбора информации частными компаниями о людях, которые имеют отношение к их бизнесу. В то же время людей в мире беспокоит сбор сведений силовыми структурами США о гражданах других стран, например европейских. Правда в том, что мы должны быть восприимчивы к разным позициям в отношении людей к конфиденциальности.
PC Week: Что сегодня выгоднее компаниям — оглашать сведения о произошедших у них ИБ-инцидентах или сохранять их в тайне от общественности?
А. Й.: Я думаю, что для бизнеса важно раскрывать информацию о нарушениях безопасности. Когда эта информация утаивается, перестает работать система свободного рынка — люди не в состоянии понимать, какие существуют риски инвестирования в тот или иной бизнес, если компания не раскрывает сведения о нарушениях безопасности. Без опубликования таких сведений невозможны оценка и осознание серьезности возможных проблем с безопасностью информации. Я думаю, что сегодня даже в США, несмотря на множество действующих законов и правил, с этим реальная проблема.
PC Week: На протяжении нескольких последних лет эксперты признают выполнение требований государственных и отраслевых регуляторов основным локомотивом национального ИБ-рынка В России. А как с этим обстоят дела в других странах? Что является главным стимулом развития национальных ИБ-рынков в Западной Европе, Северной и Южной Америке, в Азии?
А. Й.: Думаю, что выполнение требований регуляторов и в других странах играет роль важного стимула повышения ИБ. Но вместе с этим я хочу отметить, что в последние несколько лет в США многие бизнес-лидеры стали понимать, что есть ИТ- и ИБ-риски, которые могут представлять собой реальную угрозу их бизнесу. Поэтому они стараются выявлять наиболее критичные из них и принимать меры по минимизации возможных ущербов, связанных с ними. В этом случае риски несоответствия требованиям регуляторов могут отодвигаться на второй план. Думаю, что похожая ситуация складывается и в странах других регионов, хотя, по моим оценкам, Азия в движении в этом направлении отстает от Западной Европы и Северной Америки.
PC Week: Благодарю за беседу.