Разработчики должны нести ответственность за уязвимости в своих программах - Совбез РФ

отметили
24
человека
в архиве

Западные страны рассматривают интернет как виртуальный театр боевых действий для решения своих политических, экономических и даже военных задач, но обвиняют в кибератаках все чаще почему-то Россию. Кто на самом деле «мутит» киберпространство и почему Россия выступает исключительно за мирное использование глобальной Сети, в интервью «Российской газете» рассказал заместитель секретаря Совета безопасности РФ Олег Храмов.

источник: cdnimg.rg.ru

Олег Владимирович, западные страны постоянно обвиняют Россию в компьютерных атаках, вмешательстве в выборы и чуть ли не тотальном распространении «русскими хакерами» вредоносных программ по всему интернету. А сколько таких атак за последнее время было проведено на российские информационные ресурсы?

Олег Храмов: По данным Национального координационного центра по компьютерным инцидентам, в 2018 году было совершено более 4,3 миллиарда информационных воздействий на критическую информационную инфраструктуру Российской Федерации. Участились случаи скоординированных целенаправленных компьютерных атак, то есть состоящих из нескольких связанных между собой акций. В 2014-2015 годах количество таких атак составляло около полутора тысяч в год, а в 2018-м уже превысило 17 тысяч.

С начала этого года предотвращено внедрение вредоносного программного обеспечения на более чем 7 тысячах объектов критической информационной инфраструктуры. При этом целями атак становились объекты кредитно-финансовой сферы — 38 процентов от общего числа атак, органов государственной власти — 35 процентов, оборонной промышленности — 7 процентов, сферы науки и образования — 7 процентов, сферы здравоохранения — 3 процента. Эти цифры красноречиво говорят о колоссальной опасности, которую несут компьютерные атаки, поскольку атакуемые объекты обеспечивают повседневную жизнедеятельность общества и государства, безопасность наших граждан.

Понятно, откуда идет большинство кибератак?

Олег Храмов: Аналитические отчеты известных зарубежных компаний показывают, что основным источником распространения вредоносного программного обеспечения являются интернет-ресурсы на территории США. К примеру, по данным американской компании Webroot, в 2018 году на долю США пришлось 63 процента вредоносных источников, доля же Китая и России — всего 5 процентов и 3 процента соответственно. Еще один факт, приводимый американскими компаниями McAfee и IBM, — примерно треть центров управления бот-сетями находится на территории США. Доля России — менее 5 процентов.

Особое беспокойство вызывают попытки вывода из строя оборудования объектов критической информационной инфраструктуры. Общее количество компьютерных атак на эти объекты за последние шесть лет выросло более чем наполовину, если быть точнее — то на 57 процентов.

Целями атак стали объекты финансовой сферы — 38 процентов от общего числа атак, органов госвласти — 35 процентов, оборонной отрасли — 7 процентов

Как правило, активность деструктивных информационных воздействий резко возрастает в период проведения значимых общественно-политических мероприятий, в том числе спортивных состязаний мирового уровня. Так было во время проведения зимней Олимпиады 2014 года в Сочи, чемпионата мира по футболу и выборов президента Российской Федерации в прошлом году.

Конец света перед конфликтом

То есть можно говорить о том, что Всемирная сеть все чаще становится глобальным виртуальным полем боя. Насколько такая киберреальность может угрожать международной стратегической стабильности?

Олег Храмов: В доктринальных установках западных стран глобальное информационное пространство рассматривается как пространство межгосударственного противоборства, виртуальный театр боевых действий для решения реальных политических, экономических и даже военных задач. Для достижения этих целей Запад разрабатывает все новые и новые способы использования информационных технологий для силового воздействия на своих политических оппонентов.

Примечательно, что мероприятия по подготовке к подобным акциям стали носить публичный характер. Так, на сайте Агентства национальной безопасности США в качестве одной из основных задач в программе исследований указано создание «средств проникновения в труднодостижимые цели, которые представляют угрозу государству, где бы, когда бы или от кого бы они ни исходили». Фактически официальные круги стран Запада открыто заявляют о необходимости проведения превентивных кибератак. В середине июня текущего года известное американское издание New York Times со ссылкой на источники в правительстве опубликовало статью о том, что спецслужбы США активизировали попытки внедрения вредоносного программного обеспечения в энергосистемы России с целью отключения ее элементов в случае серьезного конфликта. Президент США Дональд Трамп назвал эту публикацию актом предательства. Не просто «фейком», а госизменой. Справедливо возникает вопрос: что это было? Утечка секретной информации или пропагандистская акция устрашения?

источник: cdnimg.rg.ru

Человечество придет к обязательной идентификации устройств, подключаемых к мировой сети. Фото: peshkov / istock

А если это действительно так, то насколько отечественные объекты критической инфраструктуры готовы к защите от массированного вмешательства извне?

Олег Храмов: На этом направлении сделан ряд конкретных шагов. Прежде всего это организационные меры. Еще в 2012 году были утверждены Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры страны.

Следующим шагом стало принятие президентом в 2013 году решения о создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России — ГосСОПКА. Эта система представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для реагирования на компьютерные инциденты.

Сегодня мы можем говорить о создании более 50 ведомственных и корпоративных центров ГосСОПКА, позволяющих с учетом распределенности системы обеспечивать единые организационные, технические и научно-методологические подходы к противодействию компьютерным атакам и ликвидации их последствий. Одновременно решается не менее важная задача по повышению защищенности самих объектов критической информационной инфраструктуры. Системный характер этой деятельности был заложен принятым в 2017 году Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации».

Невидимки в сети

Если проводить аналогии с международными договорами о нераспространении оружия массового уничтожения, не пора ли заключать соглашения о безопасности в глобальной Сети, которая не должна становиться инструментом давления или даже агрессии одних стран против других?

Олег Храмов: Россия и ее союзники стремятся делать все возможное, чтобы не допустить превращения информационных и коммуникационных технологий в инструмент для решения геополитических задач. Фундаментом системы международной информационной безопасности должны служить соответствующие правовые нормы. Но при этом, по нашему убеждению, нельзя основываться на безусловной применимости существующего международного права, которое создавалось в «доцифровую» эпоху.

Исходя из принципа коллективной ответственности за безопасность общего информационного пространства, Россия призывает все страны к деполитизированному и равноправному сотрудничеству. Мы исходим из того, что нашим общим целеполаганием должно быть недопущение конфликтов в информационной сфере. Российский подход к обеспечению международной информационной безопасности основан, в частности, на принципе признания ведущей роли ООН в обеспечении международной информационной безопасности. Мы считаем необходимым предотвращать, а не регулировать конфликты, возникающие в результате использования информационных и коммуникационных технологий. Выступаем против враждебной пропаганды с целью вмешательства во внутренние дела других государств. Активно развивается международное сотрудничество по линии Национального координационного центра по компьютерным инцидентам. В 2018 году обмен сведениями о компьютерных инцидентах осуществлялся со 116 странами. Практика подобного взаимодействия положительно показала себя в том числе при обеспечении информационной безопасности значимых общественно-политических событий, проводимых в стране.

Насколько страны Запада готовы и стремятся к взаимодействию с Россией в вопросе противодействия компьютерным атакам?

Олег Храмов: К сожалению, Вашингтон и союзники проблематику безопасного использования информационных и коммуникационных технологий рассматривают с позиций геополитической конъюнктуры и своекорыстных интересов. В адрес тех, кто не является их политическими единомышленниками, постоянно выдвигаются обвинения в совершении компьютерных атак.

«Горячие головы» в США и других англосаксонских странах, входящих в разведывательную структуру так называемых «пяти глаз», прекрасно понимают, что достоверно определить источник атак очень сложно. Они сходятся на том, что виновником компьютерного инцидента можно объявить любое государство и, ссылаясь на закрепленное Уставом ООН право на самооборону, агитируют за возможность предпринимать любые ответные действия. Что фактически становится возвратом к печально известному в нашей стране периоду 30-х годов прошлого века, когда применялся принцип «объективного вменения» — то есть привлечение человека к уголовной ответственности без установления его вины.

Так, для придания хоть какой-то легитимности надуманным обвинениям в проведении кибератак американцы продвигают новую концепцию — «Выяви и Пристыди» («Name and Shame»). Они настаивают, что группа стран в одностороннем порядке может выносить вердикт виновности в совершении кибератаки. По их разумению, доказательной базой может стать «коллективная атрибуция» — то есть совместное определение источника атаки. Однако технология такой атрибуции не раскрывается, и, значит, о достоверности речь не идет. Основным фактором в определении виновного будет, видимо, политический контекст. А доказательным аргументом — известный тезис «Хайли лайкли» («Highly likely») — «с высокой вероятностью». Оппоненты не хотят слышать никаких доводов, показывающих их неправоту. Цель ясна — легализовать возможность проведения не только информационных, но и военных операций против «неудобных» государств, вплоть до применения ядерных арсеналов. В российской резолюции Генеральной Ассамблеи ООН «Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности» в виде правил ответственного поведения государств предложены конкретные меры по обеспечению безопасности информационных и коммуникационных технологий. Резолюцию поддержали 119 стран, из которых 32 стали ее соавторами, против проголосовали 46 государств, 14 — воздержались. Именно те страны, которые бездоказательно обвиняют нас в противоправном ­использовании информационных и коммуникационных технологий, выступили против принятия правил. Тем не менее большинство государств поддерживает российские инициативы, направленные на формирование мирной, безопасной и стабильной информационной среды.

источник: cdnimg.rg.ru

Олег Храмов: необходимо предотвращать, а не регулировать конфликты. Фото: РИА Новости

Анонимно и очень опасно

На ваш взгляд, технически возможно будет обезопасить информационное пространство от вредных и опасных посягательств и что для этого потребуется?

Олег Храмов: Во-первых, одной из основных проблем в противодействии компьютерным атакам является сложность определения источника атаки. Решение этой проблемы лежит в плоскости снижения анонимности глобального информационного пространства. Полагаем, что в результате человечество придет к обязательной идентификации устройств, подключаемых к мировой сети связи. Это, в свою очередь, позволит уполномоченным структурам суверенного государства более эффективно бороться с противоправными деяниями в информационной сфере.

Основным источником распространения вредоносного программного ­обеспечения стали интернет-ресурсы на территории США

Во-вторых, любая компьютерная атака осуществляется с использованием уязвимостей в программном или аппаратном обеспечении. Решению этой проблемы может способствовать введение ответственности производителей за безопасность своих программных и аппаратных средств. Сейчас, к сожалению, мы видим, как под предлогом борьбы с уязвимостями и «закладками» в ИТ-продуктах осуществляется откровенное «выдавливание» с рынка конкурентов. Яркий пример — действия американцев против китайской компании Huawei и российской компании «Лаборатория Касперского» с применением вошедших в моду экономических санкций. В-третьих, должным образом обеспечить информационную безопасность невозможно без полноценного участия в этом процессе всех заинтересованных сторон: коммерческих структур, научного сообщества, общественных организаций.

Важно максимально эффективно задействовать имеющиеся механизмы государственно-частного партнерства. На их основе должна быть выстроена системная работа обеспечения информационной безопасности в целом и объектов критической информационной инфраструктуры в частности.

Добавил waplaw waplaw 14 Августа
проблема (1)
Комментарии участников:
fStrange
+2
fStrange [БАН], 14 Августа , url
 

Во-вторых, любая компьютерная атака осуществляется с использованием уязвимостей в программном или аппаратном обеспечении. Решению этой проблемы может способствовать введение ответственности производителей за безопасность своих программных и аппаратных средств.

 В очереднйо раз убеждаюсь что в Совбезе сидят престарелые дебилы. Храмов не понимает что такое программа и что такое разработка, а пытается что то вякать.

Во-первых не любая атака. Во-вторых он не понимает что в том же Айфоне допустим уязвимость может быть как во внешней установленной программе, так допустим и в софте Айфона, а может быть в железе от Эппла, а может быть в чипе от стороннего производителя. И чо, производитель должен отвечать?

А если уязвимость не в софте и ни в аппаратке, а в протоколе или стандарте?

Престарелое гэбешное быдло сующее нос туда куда оно ни бумбум. Он же наверно даже смартом пользоваться не умеет, как през, а туда же регулировать и брехать про уязвимости...

Юлька с н2
0
Юлька с н2, 14 Августа , url

У Храмова биография — работа в КГБ, работа в ФСБ. Поэтому и мысли такие, не профессионала, а спецслужбиста. Ограничивать анонимность для борьбы с хакерами, наказывать разработчиков за уязвимости для борьбы с внешним врагом и т.п.

oleg_ws
0
oleg_ws, 15 Августа , url

У Храмова биография — работа в КГБ, работа в ФСБ

Если только не забыть, что там работают и работали достаточно много программеров намного более профессиональных и разбирающихся в этоих вопросах, чем ты. Так что ты глупость в этом плане говоришь.

А то, что он глупость морозит — согласен. Только принадлежность к КГБ или ФСБ ну никак не может это характеризовать.

waplaw
+1
waplaw, 14 Августа , url

Дебил это ты, так как до сих пор не знаешь, что под термином «с использованием уязвимостей в программном или аппаратном обеспечении» подразумевает все существующие протоколы и стандарты. И если такой писакодик как ты не знает об этом, то безграмотность не должна освобождать его от ответственности. Не нравится проверять на безопасность протоколы и стандарты, то нефига таким болванам лесть в высокотехнологичный бизнес. А то развелось вас «слишком» умных с коридорным образованием и большими амбициями.

Юлька с н2
0
Юлька с н2, 14 Августа , url

А чего сразу огрызаться-то? На тебя никто не нападал. Ты правильно сделал, что заменил оригинальный заголовок РГ на главную глупость в интервью. Сразу виден уровень этого «спеца».

Как бы сейчас не прибежали местные хакеры оценки массово фигачить. Вот в чем главная угроза! )

Никандрович
+2
Никандрович, 14 Августа , url

Вверху одна мадам глупость написала:

работа в КГБ, работа в ФСБ. Поэтому и мысли такие, не профессионала

 Но я ее пожалуй разовью:

волейболист-любитель, сетевой провакатор-профессионал. Поэтому и мысли такие, не профессионала :)

Dowdjoness
+2
Dowdjoness, 14 Августа , url

Будет пользователей по паспорту в интернет пускать, а разработчиков сажать? Йульку поймает первую. )))

fStrange
+1
fStrange [БАН], 14 Августа , url

под термином «с использованием уязвимостей в программном или аппаратном обеспечении» подразумевает все существующие протоколы и стандарты.

 ты дебил того же уровня. Тебе в Совбез. Ты же даже не понимаешь какой бред ты счас сказал.

Не может производитель какой нибудь мелкой электронной шняги отвечать за уязвимость к примеру в bluetooth .

Mopok
0
Mopok, 15 Августа , url

а завтра построят квантовый компьютер с достаточным количеством кубитов, чтобы ломать RSA — и пиздец — отвечайте все, где он используется, то есть вообще все)))

severjanovich
+3
severjanovich, 15 Августа , url

Совбез и подчиненные ему спецслужбы должны нести ответственность за подбор разрабочиков. Круг замкнулся.



Войдите или станьте участником, чтобы комментировать