Игры, письма и всё хорошее: что не так с понятием «стопроцентная кибербезопасность»
Мой приятель работает начальником в крупной организации, всегда страшно занят и крайне далёк от ИТ. В своё свободное время он включает домашний компьютер и пытается провести время за любимой игрой. Почему пытается? Ну, потому что, включая компьютер раз в несколько недель, он, вместо того чтобы наслаждаться игровым процессом, наблюдает за тем, как ОС, лаунчер и сама игра устанавливают многогигабайтные обновления. Я сам периодически расстраиваюсь, что любимой игре, чтобы запуститься, нужно скачать внушительный патч, но моему приятелю это буквально рушит планы на вечер.
Как-то он спросил у меня:»Когда это всё закончится, а? Вы, безопасники, постоянно что-то обновляете, исправляете, патчи выпускаете, а в новостях взломы, утечки, дипфейки и эти, как их, дропперы. Сколько можно! Когда Вы уже решите это всё? »
И я бы хотел его обнадёжить, но, скорее всего, новости у меня неутешительные. Короткий ответ — никогда. А развёрнутый… всё ещё «никогда», но есть нюанс.
Как прогресс изменил мир и сознание человека
Весь наш человеческий опыт нам намекает на существование технологического прогресса. Да, безусловно, в истории были периоды отката назад с «тёмными веками» и прочими прелестями, но в целом Homo Sapiens пытается улучишь свою жизнь и в основном с помощью технологий. Учёные, конечно, никогда не были «рок-звёздами», но, даже занимая свою нишу, влияли на жизнь целых континентов. Это сегодня в XXI веке мы восхищаемся открытиями физиков и биологов прошлого, но так было далеко не всегда. Несмотря на это, мы держим в голове связку «открытие = решение проблемы». И таких проблем человечество решило огромное количество.
Например, мы ещё не умеем лечить рак, но люди не умирают массово от полиомиелита или чумы. Вообще опция не умирать во время эпидемии — это привилегия, которую многие воспринимают как должное. Это похоже на то, когда, научившись охотиться с помощью оружия и добывать огонь, люди исключили себя из пищевой цепочки. Мы как-то рефлексируем сейчас на эту тему, гуляя по улицам наших городов? Ни в коем случае. У нас есть время быть озадаченными ставками по ипотеке и ситуацией на Ближнем востоке, а не тем, что за нами сейчас будет гнаться гепард и мы окончим свои дни в качестве его ужина. Всё это случилось благодаря технологиям, и это перевернуло наше представление о нормальном.
Или путешествия. Вы помните, сколько занимало путешествие из Петербурга в Москву в XVIII веке? Не 4 часа на «Сапсане». Декабристов доставляли в Тобольск несколько месяцев, а сегодня вы можете нажать в приложении на место на карте, купить билет, сесть на самолёт, поесть разогретую курицу с рисом, посмотреть комедию с любимым комиком — и вы на месте. Глобально проблема перемещения по земному шару решена.
Давайте ещё: что там с коммуникациями? Письмо из Петербурга в Нью-Йорк в XIX веке шло от 4 недель до нескольких месяцев, в зависимости от маршрута и даже времени года. А ещё оно могло не дойти из-за штормов на Атлантике. Сегодня вы можете в реальном времени высказать человеку на том конце глобуса, что вы думаете о нём в ходе жаркой сетевой баталии в любимой игре.
Энергетика, космос, гигиена и чистая вода, автоматизация и электрификация: весь этот фарш уже не провернуть назад. Но так почему же я сегодня опять с утра читаю, как был взломан очередной форум и что в даркнете лежат мои персональные данные?
Не всесильные технологии
Я думаю, чтобы понять и принять это, нам нужно обратиться к классике и вспомнить, какие бывают конфликты. Кибербезопасность — это не конфликт человека против природы и даже не человека против самого себя, а именно борьба человека с человеком. Это вечная и бесконечная гонка между атакующим и защищающимся. Если угодно, проблемы с кибербезопасностью — это наш налог на прогресс.
Технологии постоянно развиваются, а каждое нововведение — это новые уязвимости, о которых хакеры узнают раньше вас. Вы же хотите заказывать пиццу в два клика уже сейчас, а не через пару лет, когда всё проверят вдоль и поперек? Вы и сами прекрасно знаете эти истории, когда база данных пользователей службы доставки оказалась в открытом доступе, и ваши друзья и коллеги узнали, что именно вы любите есть по пятницам. За последние 10 лет были взломы множества банков, служб заказа такси и интернет-магазинов. Но мы уже не готовы отказаться от всего этого удобства. А между тем компании конкурируют между собой и готовы закрывать глаза на отдельные проблемы. Мне лично неоднократно доводилось работать с командами разработчиков, которым ставилась задача »выпустить продукт как есть, а там по ходу всё исправим».
Но подождите, это же технологии! Это же не люди со своими врождёнными недостатками. Но кто пишет этот текст и читает его? Человеческий фактор — самая слабая точка любой системы. А финансово мотивированный хакер найдёт подход практически к любому человеку.
В 2021 году специалисты ООН делали доклад о перспективах кибербезопасности в организациях системы ООН, где кроме привычной воды констатировалось, что ничего хорошего не будет и давайте хотя бы включим кибербезопасность в общие процессы управления рисками. Иначе вообще непонятно, что с этим делать. Обратите внимание, речь не идёт о полной безопасности, а лишь о рисках, которые нужно избегать, принимать, передавать, контролировать и тому подобное. Есть и другие исследования, и модели, говорящие, что полная безопасность — утопия.
Например, можно обратиться к исследованию Росса Андерсона «Почему информационная безопасность — это сложно: экономический взгляд». Андерсон — профессор инженерии безопасности в Кембриджском университете, практикующий консультант по информационной безопасности: он хорошо знает, о чём говорит. В своей работе он показывает, что ИБ — это во многом экономическая проблема. Компании, даже самые крупные, вынуждены балансировать между затратами на защиту и возможными убытками от атак. И если представить себе некую полную защищённость от всего, то такая система стоит бесконечное количество денег. Кто на это согласен? Работа вышла в 2001 году, но не утратила актуальности и сегодня.
Можно посмотреть и с другой стороны. В 2024 году компания IBM выпустила своё исследование (Cost of a Data Breach Report 2024), где показала, что более половины всех утечек данных — это человеческий фактор. Что с этим делать? Заменить всех на ИИ уже завтра? И это проблема, которую в своей классической «The Art of Deception» Кевин Митник подсвечивает постоянно: самые защищённые, самые надёжные системы можно взломать, умело манипулируя людьми.
Главное, что мне было всегда непонятно: откуда взялась фантазия о том, что полная безопасность вообще возможна? Как люди дошли до этой мысли и убедили себя в том, что так бывает? Разве другие технологии решили проблемы на 100%?
Проблема в том, что мы слишком много хотим от технологии, при этом не прилагая никаких усилий самостоятельно. Пускай роботы работают. Но кто их будет изобретать, собирать и программировать?
С кибербезопасностью примерно та же картина. В 2022 году с помощью социальной инженерии взломали Uber и утащили внутренние документы компании. Кто-то стал от этого реже заказывать такси? А в 2020 году хакеры, используя тот же метод атак, заставили сотрудников Twitter передать им данные для входа во внутренние системы, а затем запустили полномасштабный криптовалютный скам. Разве соцсеть Twitter перестали читать миллионы и миллионы людей? Конечно нет: мы как-то смирились, что да, сервис может быть недоступен. Можно пожаловаться на это друзьям, но не более того.
Что в итоге?
Мы очень быстро привыкаем к хорошему. Сначала привыкаем, потом воспринимаем как должное, а затем начинаем искать изъяны и критиковать их. Мой друг, который так и не смог поиграть в игру, не написал ни строчки кода в жизни и абсолютно уверен, что всё должно быть устроено иначе. Но как?
Всё это подводит нас к неприятной мысли, что полная защита невозможна в принципе. А как же прогресс, который решил наши проблемы, технологии и вот это всё? Строго говоря, здесь тоже нет ничего нового. Вы же заметили, что не так в этих примерах, где человечество решило свои проблемы благодаря прогрессу? Да, некоторые болезни побеждены, но все ли делают прививки? Самолёт летит быстро, но у всех ли есть деньги на билет, или кто-то всё ещё путешествует на автомобиле?
Поэтому стоит расслабиться и платить свой налог на прогресс. Никто не предъявляет претензий к выключенному телефону за то, что он не звонит, потому что все понимают, что это невозможно. Так и со всем остальным: нужно видеть полную картину, тогда вопросов и разочарований будет значительно меньше. В этом может очень сильно помочь изучение того, как на самом деле работают технологии.
Например, разберитесь, как работает двухфакторная аутентификация, и защитите ваши собственные аккаунты. Это абсолютно жизненная вещь. Попутно вы поймёте, как работает фишинг и как можно с ним бороться. Часто работаете вне дома — посмотрите, как устроен VPN, какой он бывает и зачем вам на работе выдали вот эту «флешку для доступа в офис из кафе». Часто делаете рутинные задачи — попробуйте что-то автоматизировать. Материалов в сети полно, причём для представителей совсем разного уровня. Научпоп для ИТ существует очень давно — помните, была такая серия книг «Для чайников»? «Windows для чайников», «Модемы для чайников»… А теперь и книги покупать не нужно: под рукой Интернет и ИИ.
Но если вы это и так знаете, то можно обратиться к более сложным практикам, решая свои бытовые задачи. Если бы вы работали в крупной компании и вам бы поручили оценить текущее состояние ИБ, то Вы бы, конечно, начали с анализа рисков, т. е. попытались понять, какие угрозы наиболее вероятны, как ужасны их последствия и что из мер защиты сейчас применяется. Вообще подходов к оценке есть несколько, и на практике их часто комбинируют:
Анализ рисков. Самая классическая классика, где мы выявляем критические активы, собираем векторы атак и вероятные угрозы, а затем оцениваем потенциальный ущерб. Подобным анализом часто занимаются и далёкие от ИТ люди в ходе анализа рисков для всей компании.
Оценка зрелости и соответствия стандартам. Все эти наши ISO 27001 и NIST CSF, от которых веет трудом дорогих специалистов и многостраничными отчётами.
Практические способы — пентесты, отслеживание аномальной активности, тренинги по ИБ. Это если вы получаете хвалебные отчёты о том, как всё прекрасно, но данные ваших клиентов всё равно регулярно оказываются в открытом доступе.
Всё это можно адаптировать и для «домашнего» использования.
Сначала определите критические активы для своих данных — фото, документы, финансовая информация, что угодно. Проанализируйте, что им может угрожать, — взломы, вирусы, кража. Оцените, какие уязвимости вы видите — от отсутствия двухфакторной аутентификации до устаревшего оборудования, куда не поставить сложный пароль. Отлично — теперь у вас есть матрица угроз и активов, самое время составить приоритетный список улучшений: что нужно купить, что настроить, от чего отказаться. И это практически полноценный анализ и менеджмент рисков, как у взрослых.
Переходим к мерам безопасности. У «Центра интернет-безопасности», больше известного как CIS, описано 18 мер и 153 практики, которые снижают вероятность атак. Всё это нам не нужно, но мы можем провести инвентаризацию устройств и ПО: удалить ненужное и обновить существующее, посмотреть, что и кто имеет доступ в вашу сеть. Убедиться, что полный доступ есть только у вас, а также, что на всех устройствах есть логирование для возможного расследования инцидентов. Кстати, не могу вам запретить на досуге скачать и прочитать CIS Controls — это подкинет вам ещё идей по поводу того, что можно улучить и добавить.
Ну и наконец, практическая часть. Звать хакеров не нужно, вы можете попробовать сами взломать свою сеть. Начните со сканирования вашей сети снаружи каким-нибудь nmap, а внутри подберите пароль к своему же Wi-Fi: подойдёт бесплатный набор aircrack-ng или даже airgeddon, там любой разберётся. Ещё полезно проверить, куда в вашей сети можно добраться вообще без пароля? И какие умные устройства ходят в интернет без вашего ведома? Заодно проверьте резервные копии: вы их делаете сами или полагаетесь на облачный сервис?
Всё это доступно каждому, необязательно быть опытным ИТ-специалистом. На самом деле, люди, далёкие от ИТ, сегодня сами разрабатывают приложения в своей профессиональной области, журналисты занимаются анализом данных с помощью Python, а музыканты и художники разрабатывают специализированные сервисы ИИ, чтобы создавать новые произведения искусства. А куда это увлечение может завести вас?
