Халед Фатталь
Глава группы компаний MLi Group Халед Фатталь работает в сфере безопасности, стабильности и отказоустойчивости глобальной интернет-инфраструктуры с середины 90-х годов прошлого века. В 2003 году он принимал участие в организации подписания 172 странами Декларации Принципов мультиязычного интернета.
А в 2004-м году вошел в число немногих экспертов, приглашенных генеральным секретарем ООН Кофи Аннаном в Нью-Йорк на первые консультации ООН по вопросам регулирования интернета.
Глава международной консалтинговой группы MLi Group, специализирующейся на аудите кибербезопасности правительственных структур и крупных частных корпораций, Халед Фатталь на BIS Summit Spb рассказал читателям Anti-Malware.ru о том, почему термин «кибербезопасность» уступил место понятию «кибервыживаемость», а современные стратегии кибербезопасности становятся динозаврами 21 века.
Как вы считаете, как изменился глобальный ландшафт киберугроз за последние несколько лет?
Х. Ф.: В области глобального ландшафта угроз произошли глобальные сейсмические изменения, которые выводят угрозы за рамки кибербезопасности в традиционном понимании. Речь уже идет не о безопасности, а о выживаемости. Я в своей презентации на BIS Summit Spb привел 6 фактов, которые это доказывают: тот факт, что вы встаете утром, пьете чашечку кофе и идете на работу, кажется вам нормальным, однако это отнюдь не означает, что всё, что находится вокруг вас, остается тем, что и вчера.
Приведу несколько примеров. Во-первых, у нас появилось совершенно новое поколение, новый тип террористов, которые нацелены на тотальное разрушение. Во-вторых, появились политические хакеры, которые действуют чтобы изменить экономические и политические курсы других стран. То, что происходит сегодня – новая реальность. В-третьих — это сложность кибератак, уровень преступников. Сложность атак и компетенции преступников растут так быстро, что правоохранительные органы не могут поспеть за ними. В-четвертых, каждый квартал к интернету подключается примерно 1 млрд устройств. Причем это устройства, на которых нет никаких систем безопасности и операционных систем. На них нельзя установить обновление безопасности или обновить прошивку — это устройства IoT (интернет вещей). IoT сейчас переживает бурное развитие, и нам остается говорить о кибервыживаемости.
Я привел целый ряд примеров, которые доказывают, что правительство, бизнес, отдельные лица используют решения для устойчивости, непрерывности бизнеса и обеспечения кибербезопасности. Но эти решения уже не работают — и в 21 веке это динозавры. Возникает вопрос: как нам защищать страны, бизнес, организации, людей и что делать дальше? Первым делом надо полностью менять свое мышление. Речь сейчас не идет о том, как нас атакуют, что мы потеряем в результате, а речь уже идет о выживании — выживет ли бизнес вообще или нет? Нам необходимы новые процессы, нам необходимы новые механизмы, которые нужно добавить к тому, что мы сейчас делаем. И делать это нужно на высоком уровне, чтобы результат был высшего качества.
Что такое PoliCyber — термин, который вы упомянули в своей презентации?
Х. Ф.: Мы придумали этот термин для того, чтобы обозначить им новые угрозы, которые отличаются от настоящих известных угроз. Мы вынесли его на широкое обсуждение в 2013 году. Под него подпадают атаки, спонсорами которых являются террористические организации, типа ИГИЛ, или государственные агентства по безопасности, а также посредники между ними. Мотивы этих атак могут быть идеологическими, так называемыми «религиозными», политическими. Их основная цель — тотальное разрушение, и если можно разрушить, они мешкать не будут.
Если мы говорим о кибертерроризме. Можно ли сделать что-то с этими явлениями на уровне межгосударственного взаимодействия? Почему мы не боремся с первопричиной этих явлений?
Х. Ф.: Вопрос хороший, но непрактичный. Потребовалось более 30 лет для того, чтобы заключить договор об ограничении ядерных вооружений. Сейчас я не вижу интереса у больших игроков к тому, чтобы заключить такой же договор в области кибербезопасности. Хотя все эти большие игроки на данном поле играют.
Правильный вопрос был бы: каким образом защититься от подобного типа угроз?
Мы не можем ждать, пока эти ребята заключат какой-то международный договор или будут приняты какие-то законы, потому что технологии развиваются так быстро, что никакие договоры и законы за этим не успеют. Очень важно, чтобы руководители государств, руководители компаний или просто каждый человек подумал, что он лично может сделать? Какие меры нужно предпринять, чтобы от таких атак защититься? Вопрос сейчас состоит не в том, будете ли вы атакованы или нет. Вы точно будете атакованы! Вопрос: когда и где? Здесь и сейчас или это будет что-то новое? Это будет какой-то террористический акт или какое-то государство будет играть в какие-то игры на вашей территории, чтобы вас завоевать, либо это будут террористы, которые будут делать все возможное, чтобы разрушить наши государства как цивилизацию, чтобы нельзя было ничего сделать, и так далее! Мы живем сейчас в режиме беспрецедентной асинхронной гибридной войны. Если мы не подготовимся, то мы просто не выживем.
По вашему мнению, какие меры защиты необходимо предпринимать, чтобы защититься? Точнее, как нужно поменять мышление, чтобы выжить в данной ситуации?
Х. Ф.: Начинать нужно с изменения мышления — важно признать эту угрозу и то, что если жить так, как мы живем сейчас и делать то, что мы делаем, мы просто не выживем. При этом необходимо понимать, что прекращать те действия, которые предпринимаем, сейчас не нужно. Нужно продолжать в том же духе, но делать все лучше и качественней. Необходимо образовывать людей, которые принимают решения, рассказывать им о новых угрозах и влиянии этих угроз на их компании, бизнес, страны.
На текущий момент понятие стен (например, сетевые экраны и защита периметра) как защиты устарело. Если оглянуться в прошлое: у Рима были самые высокие стены, и где они теперь? У Константинополя тоже были самые лучшие стены, и его уже нет! Так что прошлое учит нас тому, что стены не помогают, не выживает тот, кто защищается стенами.
Нужно смотреть на геополитику, нужно широко смотреть на кибертерроризм, пытаться понять, каким образом они атакуют, пытаться предупредить их действия и вести работу, изучая их механизмы в этом направлении. На самом деле нет никакой волшебной пилюли, так же как и нет никакого решения, которое можно было бы развернуть и быть уверенным на 100%, что защита обеспечена. Обеспечение выживаемости – это процесс и путь. Поэтому самый главный и первый шаг на этом пути — изменение традиционного мышления с кибербезопасности на корпоративную и национальную выживаемость. Например, если здесь сейчас погаснет свет и прозвучит сигнал пожарной тревоги, мы тут же прекратим все презентации и попытаемся эвакуироваться. Так же и руководители государства должны понять, что может такое произойти в любое время и что следует сделать в этом случае, разработать план действий для защиты граждан и организаций в их стране.
В последние годы было достаточно много публичных случаев, когда спецслужбы закладывали в оборудовании или программах недокументированные возможности. Ими могут воспользоваться не только для благих дел.
Х. Ф.: В 2015 году хакеры ИГИЛ атаковали канал TV5 Monde во Франции и все его 11 телевизионных станций были выведены из строя, то есть технология играет на руку того, кто может ей управлять и имеет ее в своих руках. Плохие парни играют лучше, чем хорошие. Именно поэтому я и говорю, что вопрос стоит о выживании. Этика отходит на второй план, важнее выживание.
Еще одна важная вещь: тут нет такой стратегии, которая одинаково подходила бы двум компаниям, организациям, государствам. У каждого игрока на этом поле есть своя специфика, и поэтому необходимо разрабатывать уникальные стратегии, учитывающие специфику страны, города, организации. Нужно смотреть, что они уже делают хорошо, а чего не хватает? Что нужно добавить? Поэтому первым делом необходимо определить, какими ресурсами обладает противник? Далее необходимо понять весь ландшафт угроз, который оказывает влияние, и что может произойти? И третье — определить дополнительные меры противодействия. Необходимо правильно расставить приоритеты. Например, если сейчас зазвучит пожарная тревога, вы же первым делом заберете ноутбук, а не пирожок с чаем. Всегда существует ограничение в ресурсах, поэтому правильно расставленные приоритеты сыграют важную роль в киберзащите.
И последний вопрос. К сожалению, в сообществе недооценивается весь ландшафт угроз, и это происходит потому, что люди пока не слишком часто слышат о случаях кибертерроризма. Конечно, были инциденты, но массовой гибели людей не было. На ваш взгляд, стоит ли ожидать каких-то масштабных атак с большим количеством жертв и когда?
Х. Ф.: Это хороший вопрос. Сравнение частоты и силы воздействия очень важно для кибертерроризма. Случаев все больше, но и их последствия гораздо серьезнее, нежели от кибератак, которые проводятся только с целью финансового обогащения. Также обратите внимание на атаку на Equifax, в первую неделю они потеряли 25% от стоимости акций — 4 млрд долларов. Кроме того, эта компания позиционировала себя как надежное хранилище данных, и данные 140 млн клиентов были скомпрометированы. Исправление этого ущерба привело к огромным потерям и повлияло на жизни 140 млн человек. Вы говорили о потере человеческих жизней, это очень важно, но если террористы получат доступ к критически важной национальной инфраструктуре, то речь пойдет не о потере человеческой жизни, а об угрозе для всего человечества, о выживании человечества как такового! Вот что нужно усвоить и с чем нужно бороться!
Например, нужно ли нам стоять и ждать автобуса и того, что он нас собьет? Мы знаем, что погибнем, и поэтому нам не нужно стоять в том месте, где может проехать автобус. Точно так же — нужно ли нам ждать, пока террористы действительно что-то разрушительное сделают, что приведет к большим жертвам? Поверьте, они это могут и уже продемонстрировали это. Мы живем в эпоху беспрецедентных атак. Нужно ли нам сидеть и ждать жертв? Если политики не будут ничего предпринимать, то сохранят ли они свои посты на следующих выборах?
Благодарим за интервью и желаем успехов!