Бесполезная таблетка: как отличить информационную безопасность от гомеопатии?
Илья Сачков — CEO и сооснователь Group-IB — о том, почему за последний год "информационная безопасность" превратилась в очередной карго-культ.
Кадр видео “The Matrix Meeting Morpheus Scene HD”. Скриншот © L!FE
Давайте представим: человек приходит в казино. Крупье говорит ему: вот рулетка, до вас тут 20 раз выпадало "красное", на что поставите? Правильный ответ: а какая разница?
Всякий раз, когда крупье бросает шарик, выпадет красное или чёрное — 50 на 50, а предыдущие результаты ни на что не влияют. В казино не работает интуиция, работает только теория вероятностей. Так же и в безопасности и, конечно, в информационной безопасности.
Мы сталкиваемся с компаниями, которые говорят: "Мы защищены. Нас 20 лет никто не атаковал". Это иллюзия контроля. Если вас ещё не взломали, это не ваша заслуга. У хакеров просто не дошли руки. 20 лет не взламывали. Взломают завтра. Успешность будущего взлома от предыдущего опыта охраны не зависит. Точно так же с самолётом, каждый раз когда вы летите. Не имеет значения, падали самолёты у этой авиакомпании ранее или нет.
Не хочу, чтобы сложилась неправильная картинка. Компьютерная преступность существует, она стала организованной, и это огромная проблема. Мы в своей среде очень часто об этом говорим. Но смысл в том, что нужно в каждой ситуации правильно оценивать риски и делать это научно. У нас есть бизнес — криминалистика и аналитика по расследованиям. Все наши расследования — это расследования для крупных и обеспеченных компаний.
Считается, что корпорации и банки вроде бы хорошо защищены, они тратят большие деньги на информационную безопасность, покупают новые технологии. А с другой стороны, они начинают действовать, когда у них уже происходят инциденты.
Парадокс: что здесь не так? Главная причина: люди и компании не понимают, от чего защищаться, не понимают, что такое компьютерная преступность.
Понятие "информационная безопасность" возникло от слова опасность. А опасность создают не технологии, а люди. Чтобы понимать, от чего защищаться, надо понять, кто такие компьютерные преступники и чего они хотят. И это фундамент.
2016-й год стал годом торжества лженауки, а информационная безопасность обросла мифами и легендами.
Если верить СМИ и некоторым отраслевым экспертам, "русские хакеры" фактически захватили мир. Они якобы взломали сервера демпартии в США и привели к власти Дональда Трампа. Они похитили базу данных WADA. Они оставили Украину без света, совершили кибератаки на Бундестаг, МИД Польши и готовятся атаковать АЭС, заводы.
Страх хорошо продаётся. Если сейчас показать 12 слайдов с авиакатастрофами, нам будет казаться, что летать очень опасно. На самом деле это генерализация частных случаев — безосновательный перенос единичных случаев на всю картину мира, говоря простым языком, "теория заговора".
Мы оперируем статистикой, которую даёт наш мониторинг угроз Threat Intelligence: русскоговорящая преступность, действительно, создаёт 80% особо сложных и резонансных дел в мире. Но 99% всех инцидентов — это воровство денег. Хакеров интересуют только деньги. При этом существует около 1% преступлений, который мы делим пополам — шпионаж и кибертерроризм. Понятно, что одна атака, подобная Stuxnet (вирус, атаковавший завод по обогащению урана в Иране), может поставить мир на грань третьей мировой войны, но вероятность её пока слишком мала.
Нам говорят: хакеры будут массово взламывать АЭС, заводы. Но зачем компьютерному преступнику атаковать атомную электростанцию? Это не принесёт денег и натравит на него спецслужбы всего мира. Компьютерные преступники стремятся к максимальной монетизации и минимальному риску. Гораздо проще атаковать банковский счёт, чем лезть в АЭС.
Непонимание вектора атак приводит к парадоксальным вещам — распылению бюджетов. Это как если бы Белоруссия купила несколько атомных подводных ракетоносцев. Хорошее оружие, мощное. Но что с этими подлодками делать? У Белоруссии нет выхода к морям!
Замечательный Нобелевский лауреат по экономике Даниэль Канеман написал книгу "Думай медленно. Решай быстро". Эта книга очень хорошо подходит для людей, которые занимаются безопасностью. Она о когнитивных искажениях. О том, как наш мозг неправильно оценивает риски и не умеет работать с теорией вероятности.
Одна из самых частых ловушек для мозга — амплификация. Это когда мы строим бесконечные возможные системы защиты, опираясь на неправильные данные. Я видел отчёт одной из известных консалтинговых компаний — они за огромные деньги впаривали оценку рисков, которых никогда не существовало!
В России зарегистрировано около 4 млн компаний и ИП. Только 36 из них запросили официальную статистику из Интерпола по компьютерным преступлениям. Остальные опираются на данные, высосанные из пальца, сообщения в СМИ или консалтинг, который больше похож на лженауку. Почему лженауку? Мы часто видим, что даже "большая четвёрка" делает оценку рисков, исходя из опросов.
Чтобы показать, насколько это порочная практика, я сам во время выступлений провожу простой опрос. Предлагаю назвать 3 главные причины смертности в Москве. Самые популярные ответы: сердечно-сосудистые заболевания, рак, старость. На самом деле, если обратиться к статистике, рейтинг такой: 1. Отравления. 2. ДТП. 3 Травма. Как мы видим, результаты опроса очень далеки от реального положения дел. Многие просто склонны путать причины смерти с болезнями, которыми люди страдали.
Как общество воспринимает киберпреступников — это отдельная история. Люди склонны идеализировать "хакеров", пока сами не станут жертвой. В 2011 году российские суды рассматривали три совершенно разных уголовных дела. Игорь Блинников взломал рекламный щит на Садовом кольце в Москве и крутил там порнографию. Михаил Гаврилов выкопал у своей соседки с дачного участка два куста роз. Евгений Аникин из Новосибирска в составе организованной преступной группы украл у банка почти $10 млн. Если следовать логике, строже всего должны были наказать кражу из банка. Но приговоры были такие: за порнографию дали шесть лет колонии, за розы — два года строго режима, за кражу из банка — пять лет условно.
В тот же вечер по федеральным телеканалам история про хакера прошла третьей новостью: "Талантам молодого программиста удивился американский банк". После этих сюжетов количество регистраций на хакерских форумах увеличилось в 300–400 раз. Многие правильно поняли посыл: выкапывать цветы опасно, порнография — сомнительна, а тут за кражу из банка $10 млн суд дал 5 лет условно! Да это же идеальное преступление.
Я внимательно слежу за последними научными исследованиями, которые помогают человеку лучше работать и лучше жить. Мы живём в безумно интересное время: огромное количество источников информации и исследований, которые отвечают на вопросы чуть ли не о смысле человеческой жизни. Люди продолжают верить в гомеопатию и находиться в плену у мифов. Я надеюсь, никто из вас не лечится гомеопатией, потому что гомеопатия не помогает. Для того чтобы построить правильную стратегию безопасности, надо знать, кто враг, как он действует и какие инструменты он использует. В основе борьбы с врагом лежат знания. Если не знаешь, от кого защищаешься, то защищаться бесполезно.