Евгений Касперский: "Риск-менеджмент в кибербезопасности больше не работает"Источник: vedomosti
Последние два года прошли для "Лаборатории Касперского" под знаком проблем на американском рынке: президент США Дональд Трамп запрещал правительству пользоваться продуктами компании, а крупный магазин электроники снимал их с полок. По итогам 2018 г. североамериканская выручка компании снизилась на 25% год к году, что "Лаборатория" объясняла сложной геополитической обстановкой. Она выбрала оригинальный способ защиты, открыв в Швейцарии специальный центр прозрачности, где демонстрировала свои продукты тем, кто желал убедиться в их безопасности. Параллельно "Лаборатория" осваивает смежные рынки: индустриальную безопасность, офисный софт. Наконец, прорабатывает собственную операционную систему. Первый прототип системы для смартфона Евгений Касперский показал корреспонденту "Ведомостей" - на гаджете одного из азиатских вендоров. На ее загрузку пока требуется время, система показывает пользователю программный код, потом переходит к черно-серому интерфейсу. У прототипа Касперского были иконки приложений для звонков и сообщений. Он также сказал, что разработчики успешно устанавливали на прототип офисный софт и браузеры. Корреспондент "Ведомостей" смог позвонить со смартфона Касперского на свой. Аналогов будущей ОС "Лаборатории" нет, уверен Касперский. Ее плюсами он называет кардинально иной подход к безопасности и способность работать не только на смартфонах, но и на множестве других устройств, включая и промышленные, - индустриальная безопасность в последние годы весьма сильно интересует Касперского. Свою разностороннюю бизнес-активность он объясняет на примере плотины, на которую давит вода: где прорвало, туда и бежим. - Вице-премьер Максим Акимов рассказывал нам, что после покупки доли в "Новых облачных технологиях" (НОТ) вы готовите полный стек технологий отечественного софта. - Мы провели техническую экспертизу этого проекта, и мы считаем, что у него очень большое будущее. Это система, эквивалентная Microsoft Office, но при этом она может работать на совершенно разных операционных системах, не только Windows. Она и на Linux работает, и на мобилках работает. У "МойОфис" очень правильная архитектура, у которой нет "родовых" травм. Например, Microsoft Office - это набор в общем-то независимых приложений, у них немножко разные форматы, немного разные языки. Если говорить про офис от НОТ - это правильное законченное решение, у которого все компоненты равноправны и каждый компонент имеет одни и те же стандарты. Если бы вы мне сейчас сказали: "Женя, нужно сделать офисный софт", - я бы сделал такой же. Как я считаю, мир идет к диверсификации операционных систем (ОС), их становится больше. Это не только компьютерные, мобильные, операционные системы для телевизоров. Понятно, что они базируются на Android или на Windows, MacOS, так вот "МойОфис" хорошо будет работать везде. - Почему вообще вам пришла идея покупать "офис"? - Мы этих ребят знаем очень давно, и когда у нас появился шанс проинвестировать, сразу это сделали. На самом деле мы инвестируем в разные проекты. Это не только НОТ. У нас есть несколько стартапов, которые мы развиваем. Большой успех - это система Polys, безопасная и надежная платформа на основе технологии блокчейн и прозрачных криптоалгоритмов. Например, недавно закончилось голосование за благоустройство территорий в Волгоградской области, в котором приняли участие 82 500 человек. Мы довольно много вкладываем - сравнимые с НОТ деньги в нашу операционную систему для индустриального интернета вещей. Мы идем дальше, поскольку компьютерные угрозы проникают в новые области: это и интернет вещей, и критическая инфраструктура, индустриальные всякие вещи, транспорт. Соответственно, мы должны защищать цифру в любых устройствах: от кармана до клапана в сердце, до атомного реактора и всего, что посередине. - Это должно расширять саму идею безопасности. - Абсолютно. Раньше кибербезопасность была риск-менеджментом: вы оцениваете свои риски, считаете, где они меньше, где выше, и в соответствии с этим распределяете бюджет так, чтобы закрыть эти риски. Если вы магазин мебели, у вас один сценарий угроз безопасности, а если вы банк - то совершенно иной, хотя количество сотрудников может быть одинаковым, да и сети примерно одинаковы, просто информация по-разному устроена. Но сейчас мы перемещаемся из цифры как сервиса в полностью цифровой мир. Это значит, что человек как личность, как объект начинает генерить огромное количество цифры, которая хранится не у него в кармане, а в облаке. Включая индустриальные системы. Вся цифра - и индивидуальная, и корпоративная, и индустриальная - все подключено, и все "там". И риск-менеджмент больше не работает. - Почему? - Потому что ущерб непредсказуем. Его можно считать в цифрах национальной экономики. А раз так, нужно переходить к концепции иммунитета. Это у меня такой термин: система считается иммунной, если успешная атака дороже, чем ущерб. То есть если турбина стоит миллиард, значит, затраты на то, чтобы ее хакнуть или сломать, должны быть больше миллиарда. Стоимость хакерских услуг, времени и рисков примерно оценить можно. Это требует совершенно другого подхода к разработке подобных систем. Мы предлагаем безопасную операционную систему, где все приложения работают изолированно и у каждого приложения есть доверенный сценарий работы. Если ты калькулятор, у тебя нет доступа к интернету, и даже не проси. Если ты турбина, у тебя нет доступа в интернет и к клавиатуре, потому что они тебе не нужны и в сертификате у тебя не прописано. Поэтому, если хакнули калькулятор, он не достучится до турбины, потому что у него нет прав с ней общаться. Это уникальная штука, больше ни у кого такой нет. Мы над ней давно работаем. - Где она применяется? - У нас уже есть первые устройства. Мы работаем с Kraftway, c другими разными компаниями. На рынке есть роутеры от Kraftway, разнообразные датчики для интернета вещей, есть камеры наблюдения на нашей ОС. В Москве есть проект "Смарт-квартал Марьино" - они обвешали весь район датчиками, которые мерят потребление воды, электричества, и смотрят сейчас на большие данные, чтобы оптимизировать управление районом. Вся информация собирается на защищенном контроллере, который работает на нашей операционной системе, а потом передается в защищенное облако. Эту часть проекта мы делаем вместе с компанией "Информационные системы и стратегии". - А что для людей? Мобильную операционную систему вы тоже делаете? - Наша операционная система работает на любых устройствах. - Я могу запустить ее на iPhone? - Технически мы можем запустить ее на любом телефоне, но вот мобильных приложений у нас нет - есть лишь прототипы нескольких. - Вы показывали ее Акимову? - Мы показывали все, над чем работаем. Мы и на компьютере ее поднимаем, и на мобильных устройствах. На самом деле нам нужно сейчас понять, куда копать дальше. Мы ему все это объяснили. Я считаю, что для нас главное сейчас направление - это критическая инфраструктура и индустриальная безопасность. - А государство разделяет интерес к этому или же больше хочет собственную ОС? - Они все хотят. Но здесь нужно понимать, куда раскидывать ресурсы. Мне бы хотелось копать во все стороны. Неизбежно рано или поздно наша операционная система пойдет во все стороны. Куда она будет развиваться быстрее, зависит от того, где будет больше интереса. Я это объясняю нашим сотрудникам следующим образом: вода давит на плотину - там, где трещина, там потечет быстрее, значит, там будем делать прорыв и туда вливать все ресурсы. - Вы смотрели на концепцию "Авроры" (мобильная операционная система "Ростелекома")? Это похоже на то, что вы можете сделать? - Конечно, мы же смотрим по сторонам. Скажем так: то, что мы можем сделать, мы можем сделать лучше. Попыток сделать мобильные операционные системы было очень много. У "Яндекса" была мобильная ОС, у Microsoft была - закрыли. У всех совершенно разные причины. Если говорить про мобильные операционные системы, которые являются клонами Android, чем они лучше? Это то же самое, но немножко другое, а может, даже и с урезанным функционалом. Почему их кто-то должен покупать? - А зачем покупать вашу операционную систему? - Если мы сделаем мобильную операционную систему, то среди обычных пользователей рынка нет, потому что обычный пользователь думает о безопасности так: "антивирус поставлю". А у нас не нужен антивирус, она гарантирует безопасность. Так что это не обязательно должен быть телефон, это могут быть планшеты для специального использования: система онлайн-голосования, управления инфраструктурой. А то ходят люди, управляют турбинами, а у них там стоит Android. Речь идет о корпоративном и enterprise-сегментах, которые управляют критической инфраструктурой. Банковский сектор, допустим, банкоматы. - В каждом из них будет работать собственная версия ОС? - Есть разные понятия операционных систем: это либо платформа для приложений, либо же ОС, в которой все есть, которую поставил и можно начинать работать. Вот для того чтобы можно было начинать работать, нужно создавать AppStore, Play и т. д., мы можем, конечно, это сделать, но это потребует очень много времени. Еще люди нужны. На проект операционной системы (в широком смысле - и индустриальной, и мобильной, и IoT) мы сейчас ищем около 100 инженеров, архитекторов, технических дизайнеров и тестировщиков. - Если государству это интересно, то может ли оно помочь? - История довольно сложная, потому что если государство, то это бюджет, а мы как частная компания немного не вписываемся в некоторые модели. Допустим, мы не просим денег. Нам более интересно, если бы нам государство помогло делать экосистему - поддерживать производителей приложений. Есть полная, большая операционка, а есть маленькая. Поднять нашу операционку на двух десятках разных устройств можно за полгода. А сделать набор приложений для нее сложнее - это нужно строить экосистему. Мы не сможем делать все, а экосистема в современном мире критически необходима. Apple ее вообще не строит, а строит вертикаль власти - они теряли рынок, теряют и будут терять. Потому что все остальные производители будут уходить на другие платформы. - Вы мыслите "прорывом плотины": давим везде, где прорвало, туда и плывем. А импортозамещение и госзаказ на отечественные телефоны являются таким прорывом? - Частично да. Если мы заинтересуем наших домашних гигантов вроде "Яндекса" и Mail.ru Group. Мы уже показывали им наработки. Правда, мобильную операционную систему мы не обсуждали. Пока нечего показывать. Рассматривали интернет вещей, посмотрели то, что готовы делать в индустриальной безопасности. У них есть свои разработки, мы сейчас готовы садиться и делать решения с ограниченным функционалом: интернет вещей, индустриальная безопасность, робототехника. - "Яндекс.Станция"? - Да, безусловно. С "Яндексом" у нас была первая встреча больше полугода назад, в сентябре надо заново встречаться, показывать, что у нас появилось. Возможно, у нас будут прорывы в смартфонах. Если будет интерес государства поддерживать экосистему, гиганты типа "Яндекса" и Mail.ru Group пойдут в этот проект, то мы готовы делать техническую часть. - Удается экспортировать новые продукты в IoT и индустриальной безопасности? - Они потихоньку расползаются по миру, мы выступаем на индустриальных выставках. Интерес есть, с нами разговаривают. Мы предлагаем их и в России, что одновременно позволяет и увеличить местную выручку, и опробовать продукты. - Как меняется структура выручки, в том числе с появлением новых продуктов? - За последний год больше чем в полтора раза выросли продажи в сегменте non-endpoint, т. е. продажи решений, не основанных на традиционном антивирусе. Да, это быстрый рост с небольшой базы, но темп очень хороший. Продажи крупному бизнесу растут на 16% в год. То есть мы постепенно становимся менее b2c-компанией и менее антивирусной компанией. - Какова ситуация с продажами в США? - В США сейчас все ровненько, возможно, будет отскок. Онлайн-продажи растут. Причем это ведь была только американская история, Канаду она не затронула. Это совершенно политическая история конкретно в США. - А сколько потратили на юристов, тяжбы? - Это несущественно в сравнении с выручкой компании. Это меньше, чем наш контракт с Ferrari. - А дорого обошелся Центр открытости? - И это тоже меньше спонсорского бюджета Ferrari. - Что он вам дал? - Мы сказали: если у вас есть вопросы к нашей компании, приходите, смотрите. И приходили, и смотрели. Мы даже в ближайшее время открываем второй, в Мадриде. - Вам не предлагали участвовать в законе о суверенном рунете? - Этот закон на самом деле очень сильно резонирует с событиями в других странах. Это ужесточение контроля за персональными данными в форме GDPR, и то, что происходит в Китае. Готовятся аналогичные законопроекты в некоторых других странах. Это геополитика на фоне утраты доверия. Просто количество "цифры" такое, что обладание ею опасно - и поэтому государства будут требовать, чтобы все хранилось внутри. - Опубликованная модель угроз этого законопроекта весьма расплывчата. - А вот это напрасно, потому что начинать любой разговор о безопасности надо с модели угроз и сценариев. Я всегда говорю: если есть объект, прежде надо провести аудит, построить модель угроз. А сейчас опаснее всего не в телеметрии и персональных данных, а в критической инфраструктуре. - Насколько опасен агрегированный сбор каких-либо данных? У государства есть сразу несколько подобных идей. - И приложить по этой штуке агрегированной! (Cмеется.) Я имею в виду нарушение работоспособности системы. С точки зрения бюджета такой сбор удобен и дешев. Но с точки зрения безопасности - необходимы не столь удобные запасные решения, то, на чем мы продержимся, пока не восстановят. Если отключили свет, надо в доме держать фонарик. Дело в том, что есть разные сценарии атак. Есть атака "украсть", есть атака "манипулировать", есть атака "остановить". Кража - самый легкий случай, остановка - второй по легкости, а вот подправить так, чтобы оно работало не так, как хочет система, а как хочет кто-то еще, - это самое сложное, потому что это можно не обнаружить никогда. Это сценарий Stuxnet. |