«Интернет – это суровое место»
Главный человек по ИТ-безопасность в Google уверен, что в ближайшем будущем никому не придет в голову отправлять через Интернет незашифрованные тексты, как никто не отправляет обычные письма в прозрачных конвертах. Сегодня же каждая компания сама решает, что безопасно, а что нет, и изобретает свое “колесо" безопасности.
− Г-н Эшельбек, в середине сентября глава Google Ларри Пэйдж объявил, что намерен преобразовать концерн в холдинг, который получит название Alphabet и будет включать в себя многочисленные дочерние компании, в том числе «похудевший» Google, состоящий преимущественно из поисковика и сопутствующих подразделений, таких как MapsС кем мы разговариваем: с главой отдела безопасности и защиты данных Google – или Alphabet?
− Такое заявление само по себе было громким и для многих, конечно же, неожиданным. Но в том, что касается повседневной работы, все осталось по-прежнему. Безопасность и защита данных имеют для нас высокий приоритет. Именно этим мы, по сути, и занимаемся.
− То есть, вы по-прежнему будете защищать от хакерских атак не только Gmail, но и автомобили, ездящие без водителя?
− Да, мы определенно будем отвечать за существенные аспекты безопасности автомобилей. В новых «сестринских» компаниях, в зависимости от их бизнес-моделей, возможно, будут происходить какие-то незначительные изменения, но в целом мы управляем ИТ-безопасностью во всем, чем занимается Alphabet.
− В таком случае работы у вас будет достаточно. В цифровом мире постоянно обнаруживаются бреши в системах безопасности. Так, несколько недель назад экспертам в ходе своего рода краш-теста удалось взломать защиту автомобилей, находившихся на расстоянии нескольких километров, и получить контроль над ними. Вас это шокировало?
− Нет, о такой возможности говорили уже давно. Автомобиль сегодня – это не что иное, как большой суперкомпьютер, подсоединенный к сети, располагающий датчиками и возможностью беспроводного подключения к другим устройствам. Это касается все больших типов техники. Мы, причем я имею в виду всю отрасль, должны позаботиться о том, чтобы впредь конструкторы с самого начала интегрировали в свои разработки элементы безопасности, будь то в автомобилях или кардиостимуляторах.
− От того, что мы слышали в последние месяцы, становится не по себе: хакеры могут вмешиваться в работу приборов для ввода наркоза, пытаются подключаться к бортовым системам самолетов. Как можно предотвратить реализацию таких кошмарных сценариев?
− Мы стоим еще в начале эры «интернета вещей» или как еще называют этот мир подключенных к сети устройств. Это означает, что каждый что-то такое мастерит в одиночку и самостоятельно решает, что можно считать безопасным и сколько усилий нужно потратить на соответствующие аспекты. Такую систему нужно срочно менять, необходимы последовательный подход и стандарты. В ближайшие два-три года должны быть разработаны блоки, которые просто будут использоваться в различной технике, чтобы не приходилось каждый раз заново изобретать колесо.
- Насколько велики связанные с этим технические проблемы?
− Они не больше, чем в любой другой ИТ-сфере. Центральную роль играют сетевая коммуникация и шифрование. Поэтому нам необходимо продумать единую сертификацию безопасности таких устройств с возможностью соответствующей проверки.
− По нашим ощущениям, каждую неделю появляются новые сообщения о кибератаках на компании. Злоумышленники пытались проникнуть и в компьютерную сеть Бундестага. Это только начало кибервойны, набирающей обороты?
− Угрозы заметно усиливаются, что обусловлено различными факторами. С одной стороны, ИТ-мир становится все сложнее. С другой – компании и государственные ведомства постоянно расширяют свою ИТ-структуру: здесь – дополнительный сервер, там – новая компьютерная сеть. Если безопасность с самого начала не была интегрирована в архитектуру, следствием становятся ситуации, облегчающие кибератаки. Кроме того, злоумышленники становятся все более изощренными, располагают все более мощными инструментами. В целом угрозы сильно изменились.
− Можно конкретнее?
− Я работаю в отрасли более 20 лет и начинал карьеру в области научных исследований вредоносного программного обеспечения (ПО). В 90-е годы мы сталкивались всего лишь с горсткой новых компьютерных вирусов в месяц. Мы даже не подозревали тогда, что нам предстоит. Сегодня вирусы в большинстве случаев пишут уже не люди, а машины, их число составляет до 300 000 в день. Цель такого автоматически генерируемого вредоносного ПО состоит в максимально широком самотиражировании и нанесении максимального вреда. Так было последние десять лет.
− Сегодня, напротив, атаки становятся более целенаправленными.
− Именно так. Благодаря нашей глобальной инфраструктуре, специалисты Google получают точное представление о том, что происходит. Кроме того, мы все чаще имеем дело с злоумышленниками, спонсируемыми определенными странами и преследующими вполне конкретные цели.
− Как компании могут защитить себя в столь сложных условиях?
− Во многих фирмах ИТ-инфраструктура формировалась последние 15 лет очень постепенно, и о безопасности никто особо не задумывался. В компаниях с 200 сотрудниками зачастую нет ни одного соответствующего эксперта, если без него удается обойтись. Откуда здесь взяться инфраструктуре безопасности?
− Как пользователь может обезопасить себя?
− Пароли - самое слабое звено в это цепочке. Мы настоятельно рекомендуем двойную аутентификацию, при которой, помимо пароля, также используется какой-то второй код. Проще всего купить за пару евро миниатюрный так называемый ключ безопасности (Security Key), подключаемый к USB-порту компьютера.
− Похоже, труднее повысить безопасность электронной переписки. Технические решения существуют уже долгое время, но почему их реализация все еще пробуксовывает?
− На пути между крупными интернет-провайдерами и нами электронные письма уже давно находятся в своего рода защищенном туннеле. Куда сложнее обстоит дело с так называемым сквозным шифрованием на всем пути от отправителя письма до его получателя. Мы предлагаем такую возможность в качестве тестовой версии на Gmail, но здесь нам еще только предстоит собрать опыт.
− То есть шифрование станет стандартом?
− Определенно. Причем это касается не только электронной переписки. Мы работаем над этим на всех уровнях передачи данных. Через пять лет мы, вероятно, оглядываясь назад, будем удивляться, как когда-то нам вообще могло прийти в голову отправлять через интернет незашифрованные тексты. Ведь никто не станет отправлять обычное письмо в прозрачном конверте.
Читайте на смартфоне наши Telegram-каналы: Профиль-News, и журнал Профиль. Скачивайте полностью бесплатное мобильное приложение журнала "Профиль".