На выездном заседании Совета безопасности в Вологде глава СБ Николай Патрушев акцентировал внимание на компьютерной безопасности. По его словам, с прошлого года резко выросла активность враждебного проникновения в компьютерные сети госструктур РФ. А главная угроза, как ни парадоксально, в культуре использования компьютеров среди представителей низовых органов власти.
Цитата Патрушева о «внедрении вирусов» – всего лишь наиболее броская из всего, что секретарь Совета безопасности рассказал на выездном заседании в Вологде. Та часть его выступления, которая была посвящена кибербезопасности, была достаточно адресна и детализирована. Николай Патрушев выделил слабые звенья цепи государственной электронной коммуникации, через которые реально организовать постороннее проникновение в общую систему вплоть до высших уровней.
«ФСБ России только в прошлом году пресекла 74 миллиона кибератак на официальные сайты российских структур и государственных органов»
По его словам, наиболее незащищенными оказались низовые органы власти в провинции, которые зачастую используют телекоммуникационные технологии и интернет не по назначению. Фиксируются «факты нарушения обязательных требований по защите служебной информации в органах государственной власти субъектов РФ и органах местного самоуправления». Проще говоря, провинциальные чиновники используют доступ к интернету для каких-то своих нужд или просто не соблюдают элементарные правила «гигиены интернета»: открывают «письма счастья», заходят на сомнительные сайты, используют на рабочем месте социальные сети, оставляют там персональные данные и тому подобное. К наиболее распространенным видам нарушений относятся подключение официальных информационных систем государственных органов к интернету, а также использование в органах госвласти информационных систем, не прошедших аттестацию по требованиям ФСТЭК.
А «не прошедших аттестацию по требованиям ФСТЭК» – подавляющее большинство. Но при этом даже лицензионные программные средства иностранного производства никак не гарантируют защиту государственно важной информации на низовом уровне. Пару лет назад все смеялись над кампанией, которая была развернута в государственных структурах против покупки и установки нелицензионных вариантов Windows в провинциальных органах власти и даже школах. Тогда это было связано с защитой прав на интеллектуальную собственность. А ведь даже лицензионные системы не гарантируют абсолютной безопасности, поскольку в большинстве случаев уже сами программы настроены на «несознательное» шпионство. Сейчас же все это стало проблемой национальной безопасности в целом.
Компьютер условного сотрудника пенсионного фонда в условном Урюпинске (многострадальный в публицистике город), условной тетечки бальзаковского возраста, прекрасной матери и жены, а может, и бабушки, автоматически соединен с Москвой для передачи данных в ежедневном режиме. Из этого автоматического контакта и происходит в конечном итоге выплата пенсий в условном Урюпинске или его части. Но следующий по счету компьютер в этой цепочке – уже в Москве – связан с Центробанком, Казначейством и Министерством финансов. А внутри них – уже Бог знает с кем.
Это только на первый взгляд слишком долгая и надуманная цепочка. Но вирус – он же «вредоносное программное средство» – проходит эту дорогу за несколько секунд. В особо сложных случаях – минут. При современном уровне концентрации сил на именно компьютерных войнах такая схема вполне жизнеспособна, и в мире достаточно очкастых программистов, работающих на то или государство даже не за какую-то великую идею, а просто ради доступа к любимому делу, за что еще и хорошо платят.
ФСБ России только в прошлом году пресекла 74 миллиона кибератак на официальные сайты российских структур и государственных органов. Работа по созданию государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информресурсы началась в 2013 году. При этом надо понимать, что наиболее важные компьютерные узлы государственной системы автономны и обладают собственными внутренними сетями. Другое дело, как эти сети используются. Внутренние сети разведки и ФСБ переполнены излишней информацией, зачастую просто бытовыми переговорами или материалами идеологического и пропагандистского характера. А по большому счету, стоило бы задуматься и о том, что до самого последнего времени вся компьютерная система той же ФСБ базировалась на американском Oracle, который считался почему-то дружественной компанией. Специалисты по Oracle были очень востребованы в ФСБ еще лет 10 назад, при этом отмечался резкий рост попыток внедрения во внутреннюю систему с территории прибалтийских государств. Есть свидетельства, например, о проведении операции по перевербовке гражданина Литвы русского происхождения, «компьютерного гения», который пробивался во внутреннюю систему ФСБ из Вильнюса именно через окна, открытые Oracle, с серверов, зарегистрированных в Новой Зеландии. И это притом, что с Oracle был заключен официальный контракт.
То же самое касается и баз данных, чье физическое нахождение озаботило буквально на днях нового директора американского АНБ адмирала Майкла Роджерса. Агентство выстроило в штате Юта нечеловеческих размеров банк хранения данных. Туда можно поместить содержимое всего мирового интернета. Адмирал Роджерс – парень простой, как все моряки. Презентуя на прошлой неделе новые технологические системы на закрытой «выставке достижений», он особенно напирал на физическое местонахождение всех компьютерных данных. Он не университетский очкарик, а моряк, для него особо важна именно физическая составляющая виртуального. И он понимает, что каждый раз, отвечая на дурацкую анкету в Фейсбуке (типа «Кто ваши лучшие друзья» – а то вы сами не знали?), вы связываетесь с населенным пунктом Пало-Альто, штат Калифорния, и оставляете о себе любимом персональные данные, начиная от IP-адреса до последних телефонных соединений. Все это физически остается хранимым в виде единиц и нолей на кремниевых пластинках, которые даже не горят, а только слегка плавятся.
И потому создание собственных баз хранения данных и телекоммуникационных центров на территории России – еще одна задача первостепенной важности. В России, и не только в провинциальных органах власти, не сформировалась еще культура интернета и обращения с телекоммуникационными системами в принципе. Это вопрос и государственной безопасности, но и, к сожалению, просто бытовой безграмотности. Не говоря уже о том, что многие до сих пор не осознали, что война идет, где-то физическая, где-то идеологическая, а где-то и компьютерная.
Объяснить это на бытовом уровне и требовать сознательности от каждой тетеньки из провинциального отделения федеральной структуры невозможно. Куда эффективнее как раз и создать собственную систему передачи и хранения данных, защищенную (насколько это возможно) от постороннего вмешательства.
Но это примерно как с танками и противотанковым вооружением. Средства поражения всегда технологически опережают средства защиты. Поэтому эта гонка бесконечна и неостановима. Каждая новая система защиты системы будет рано или поздно взломана, потребуется ее обновлять. В этом нет стратегической беды, надо только вовремя включиться в эту борьбу, к чему, собственно говоря, и призывал Николай Патрушев.
Знаменитый Институт криптографии при ФСБ РФ (ранее еще КГБ СССР) всегда пользовался исключительной популярностью. Например, в Москве в 80-х годах было несколько общеобразовательных школ со специальным преподаванием после 8-го класса математических и физических дисциплин. Пройти в 9-й класс можно было, только сдав дополнительные экзамены по профильным предметам. В одной из них учился и автор этих строк, и надо сказать, что воспоминания о девяти уроках по субботам, с изучением низшего языка программирования (тогда ассемблера), набиванием перфокарт и работой на занимавшей весь подвал советской ЭВМ (с бобинами, людьми в белых халатах и приглашенными профессорами) до сих снится в кошмарах. Но это была советская система подготовки, из которой люди прямиком отправлялись в Институт криптографии.
Сейчас времена изменились, и нет никакого смысла в искусственном выращивании компьютерных гениев. Они сами родятся, чуть ли не с пеленок дети способны двигать пальцами по экрану, а в начальных классах писать вирусы с целью исправить оценки в электронных дневниках. И особой проблемы с заменой программного обеспечения на свое не будет. Как и с постройкой где-нибудь под Новосибирском банка хранения данных. Проблема, как всегда, в человеческом факторе.
Компьютерная безопасность останется болевой точкой государства до тех пор, пока люди, подчиняясь инстинкту, будут открывать с рабочего компьютера письма с предложениями 80-процентной скидки на тушь и губную помаду. Это неистребимо, это в природе человека.
И потому эта война будет вечной. В ней нет необходимости жаловаться на обстоятельства, а, как совершенно разумно предлагает глава Совета безопасности, надо просто внедрять новые системы в ответ на угрозы взамен уже взломанным. И так – до бесконечности. Людей и денег хватит. Это даже по-своему увлекательно.
