Кто в сети? Две стороны кибербезопасности

В начале апреля на площадке форума «ЭКСПОТЕХНОСТРАЖ» прошла конференция по кибербезопасности, организованная клубом «ИТ Диалог» при поддержке правительства Санкт-Петербурга. На пленарном заседании руководители органов государственной власти и вузов, а также признанные эксперты в области информационной безопасности обсудили методы противодействия современным угрозам. Говорили об интеграции искусственного интеллекта в образовательный процесс, этических аспектах использования технологий для профориентации и потенциальных угрозах, связанных с цифровым мошенничеством.

Разрушая мифы

Дискуссия началась с обсуждения романтизации хакерства. По мнению Александра Шойтова, заместителя министра цифрового развития РФ, хотя романтизация хакерства становится глобальной тенденцией, у каждой страны есть свои нюансы. Особенно это заметно в России, где слово «романтизация» очень подходит для описания отношения молодых людей к этому явлению.

Он обратил внимание на то, что в юности многие стремятся изменить мир, но часто сталкиваются с общественным давлением, которое призывает их сначала получить профессиональный опыт. Шойтов сравнил эту динамику с сюжетами советских художественных произведений и песен, отражающих молодежный максимализм и желание проявить себя. Однако существует риск, что подобный энтузиазм может привести к нелегальной деятельности. Никакой романтизации хакерства быть не должно. Хакеры, незаконно атакующие информационные системы, — преступники, и общество должно четко осознавать это. По мнению замминистра, важно демонстрировать молодежи негативные последствия таких действий и предлагать пути легальной реализации в сфере кибербезопасности. Недавно в Санкт-Петербурге был арестован 16-летний подросток, занимавшийся технической поддержкой мошеннических кол-центров. Как бороться с иллюзиями легкого заработка, если он ведет к преступлению? Как убедить молодежь в том, что киберпреступления, несмотря на их «бескровный» характер, могут быть столь же вредными или даже более опасными для общества, чем традиционные виды преступлений?

Вице-губернатор Санкт-Петербурга Станислав Казарин считает, что в обществе всегда найдутся люди, стремящиеся заработать вне закона. Важно, по его мнению, предлагать молодежи альтернативные пути и вовлекать в конструктивные проекты, чтобы перенаправить их таланты в положительное русло. Он предлагает использовать массовую информационную кампанию как основной инструмент для изменения отношения к киберпреступлениям.

Не менее эффективно вовлекать молодежь и в программы по кибербезопасности, такие как Bug Bounty и CTF (Capture The Flag). Вице-губернатор предложил организовать CTF в Петербурге, где можно, сочетая виртуальные и реальные пространства, добавляя зрелищности, сделать данные мероприятия более привлекательными для молодежи и широкой публики.

Когда обсуждение перешло к важному вопросу о наказаниях за киберпреступления, модератор поднял тему необходимости жесткого реагирования на серьезные нарушения, аналогично тому, как это делается с другими видами преступлений, например, с наркоторговлей или террористической деятельностью молодежи. Особое внимание он уделил тому, как общество и законодательство должны реагировать на преступления, совершаемые даже очень молодыми людьми, которые иногда имеют возможность уйти от ответственности благодаря своему возрасту.

Александр Шойтов считает, что хотя в российском законодательстве уже существуют нормы для наказания хакеров, нужна более четкая дифференциация степени наказания в зависимости от уровня ущерба, который преступление наносит обществу. Необходимо разграничивать случаи, когда кибератаки приводят к серьезным последствиям, в частности, к физическому или материальному ущербу, и более мелкие нарушения, которые могут быть ошибочно восприняты как серьезные преступления.

Bug Bounty и другие

Правильно ли делить хакеров на «белых» и «черных»? По словам Рагима Ахадова, советника губернатора Ленинградской области по цифровизации, само понятие «хакер» ассоциируется с негативным образом, поэтому имеет смысл искать альтернативные способы описания деятельности «белых» хакеров, чтобы отойти от стереотипов и привлечь больше людей в эту отрасль.

Вопрос о цвете хакеров давно обсуждается в ИБ-сообществе. Могут ли, например, «белые» хакеры быть двойными агентами? Может ли легализация деятельности через программы Bug Bounty создать ситуацию, когда хакеры днем работают на благо общества, а ночью используют свои навыки для совершения нелегальных действий? Есть ли риск, что у хакеров фактически будет «лицензия на взлом», полученная благодаря участию в Bug Bounty?

Александр Шойтов признает существование такого риска, сравнивая его с обучением боевым искусствам, где навыки, приобретенные для защиты, могут быть использованы и в агрессивных целях. Поэтому, помимо необходимости организации пропагандистской работы, важным аспектом является контроль за действиями участников программ Bug Bounty. Кроме того, государство имеет полную информацию о зарегистрированных на платформе участниках, что позволяет отслеживать их действия и иметь представление об их «почерке». Это предоставляет дополнительные возможности для контроля и предотвращения злоупотреблений, хотя и не устраняет риск полностью, ведь технологии информационной безопасности по своей природе могут быть использованы и для вредоносных целей.

В университете телекоммуникаций имени проф. Бонч-Бруевича накоплен солидный опыт интеграции реальной практики в учебные программы. Руслан Киричек, ректор вуза, тоже считает, что в условиях санкционного давления и нехватки оборудования большое значение приобретают открытые тестирования типа Bug Bounty. Такие мероприятия позволяют студентам не только применять на практике свои знания, но и делать важные открытия в области безопасности нового оборудования, что способствует их профессиональному росту и реальному вкладу в кибербезопасность страны. Ректор также акцентировал внимание на значении хакатонов, которые университет активно использует для стимулирования интереса и профессионального развития студентов. По его словам, такие события должны получать больше внимания на уровне всей страны, учитывая колоссальную потребность в квалифицированных кадрах в сфере информационной безопасности.

Меняется и парадигма взаимодействия выпускников с рынком труда. Многие студенты начинают работать уже в процессе учебы, что часто определяет их дальнейшую карьеру. Это, по словам Киричка, требует от компаний активного участия в жизни университета, в том числе через предложение стипендий и грантов, чтобы привлечь талантливых студентов и мотивировать их к последующему трудоустройству в этих компаниях.

Хотя кино и медиа часто изображают хакерство как что-то привлекательное и безопасное, реальность может быть совершенно иной. Лука Сафонов, эксперт по информационной безопасности, говорит, что многим молодым людям представляется, будто легче и менее рискованно совершать преступления в Интернете, чем заниматься физическим насилием, ведь виртуальные действия кажутся им менее реальными и серьезными.

Лука также является амбассадором движения Bug Bounty в России и владельцем первой в стране платформы Bug Bounty. Он убежден, что такие программы могут помочь привлечь молодежь на «светлую сторону» кибербезопасности, предоставляя возможности для законного заработка и профессионального развития. Так, топовые багхантеры в России могут зарабатывать значительные суммы, работая всего несколько часов в день.

Зыбкие границы

Но действительно, различие между «белыми» хакерами и другими специалистами по кибербезопасности часто размывается и не всегда понятно. Сафонов сравнил «белых» хакеров с охотниками, имеющими лицензию, которые действуют в рамках закона, в то время как другие могут становиться браконьерами. Это сравнение подчеркивает, что даже при наличии навыков и инструментов моральный выбор и соблюдение законов остаются ключевыми для определения, станет ли человек защитником или угрозой в сфере кибербезопасности.

Игорь Бедеров, основатель компании «Интернет Розыск», сомневается в бескровности хакерских преступлений. Например, убийство Евгения Шишкина в 2018 году стало первым случаем убийства, полностью организованного в Даркнете. Кроме того, многие преступления совершаются из-за наличия так называемой серой зоны, где отсутствует эффективный контроль за соблюдением законодательства. Это создает условия, при которых молодые люди видят возможность для совершения преступлений без риска быть пойманными.

Он считает, что бороться с этим явлением можно с помощью образовательных инициатив. Например, Федерация спортивного программирования начинает работу с молодежью уже в школьном возрасте. Игорь предлагает даже понизить возраст, с которого молодежь может начинать участвовать в программировании, и давать различные звания и награды для того, чтобы стимулировать подростков идти в правильном направлении.

Защита «умного города»

Какие меры предпринимаются для интеграции кибербезопасности в развитие Санкт-Петербурга как «умного города»? По мнению Станислава Казарина, понятие «умный город» включает не только технологии, но и урбанистику, экологию, социальные и транспортные вопросы, где кибербезопасность играет критическую роль. В прошлом году губернатором была утверждена концепция информационной безопасности города, разделенная на классическую защиту информации и более широкие вопросы, в том числе кибергигиену и когнитивную безопасность. Эта стратегия направлена на обеспечение стабильности и защиту от манипулятивных технологий.

Как город защищается от угроз утечек данных в условиях увеличения их объемов? По словам вице-губернатора, защита осуществляется классическими методами, включая децентрализованное хранение данных по ведомствам, что усложняет их кражу. Также большое внимание уделяется тому, какие данные собираются и как долго они хранятся, с соблюдением строгих правил по уничтожению данных сразу после достижения целей их обработки. Станислав Казарин заверил, что множество регуляторов и надзорных органов тщательно следит за соблюдением этих правил.

В поисках баланса

Обсуждение на конференции продолжилось дебатами о балансе между открытостью данных и их защитой. Рагим Ахадов считает, что данные должны быть доступными для создания новых продуктов и услуг. Он поддержал идею децентрализованного хранения критической информации для обеспечения безопасности, но также высказался за их использование в целях развития государства и бизнеса. По словам Станислава Казарина, важный городской проект «Я здесь живу» будет расширяться через платформу «ГосТех». Вице-губернатор уверен, что это решение обеспечит необходимую защиту данных при одновременном развитии «умных» городских технологий.

Участники поднимали и важную тему обезличивания данных. Действительно, простые действия пользователей в Интернете могут быть использованы для их идентификации. Любого человека можно отследить по его интернет-активности, даже если он находится в другой части мира. Игорь Бедеров привел пример из статьи журнала Wired о том, как Пентагон использует рекламные идентификаторы для слежения, указывая на то, что даже анонимные данные могут быть использованы для создания детальных профилей людей. Это подчеркивает сложность обеспечения конфиденциальности в эпоху Big Data, когда агрегирование сведений может привести к разглашению личной информации.

Лука Сафонов добавил, что молодежь часто оставляет за собой цифровой след, который может быть пригоден для идентификации и отслеживания.

Риски искусственного интеллекта

Какие вызовы несут нейросети и QR-коды для кибербезопасности? Не секрет, что люди часто используют эти технологии без должной осторожности.

По мнению Луки Сафонова, большинство защитных механизмов еще слишком зависит от человеческого фактора, что делает их уязвимыми перед нападениями с применением искусственного интеллекта. Например, с помощью ИИ можно создавать убедительные фишинговые кампании, которые сложно отличить от настоящих сообщений. Исследования показывают, что современные ИИ-модели могут эффективнее, чем человек, убеждать других людей изменить свои взгляды, что повышает риски манипуляций, например, в социальных сетях.

Быстрое развитие технологий искусственного интеллекта порождает новые вызовы для кибербезопасности, требующие как немедленных ответов, так и долгосрочной стратегической подготовки.

Руслан Киричек описал, как университет активно сотрудничает с Международным союзом электросвязи, где значительная часть стандартов и рекомендаций разрабатывается именно в университете. Он также обозначил новые направления в развитии интернет-технологий — «Интернет вещей», тактильный Интернет и новаторский «Интернет навыков», который позволяет сохранить и передать уникальные умения людей будущим поколениям. По его словам, такой подход открывает возможность постичь суть мастерства выдающихся людей — будь то пианисты, художники или ученые — и сделать этот опыт доступным для последующих поколений.

Происходит трансформация и в университетском образовании. Если раньше университеты в основном готовили выпускников для работы по специальности, то теперь акцент сместился на тесное взаимодействие с промышленностью и создание новых продуктов. Это сотрудничество не только обогащает образовательный процесс, но и помогает студентам и преподавателям создавать инновации, которые могут быть воплощены в жизнь. Киричек добавил, что в эпоху глобальных изменений и вызовов, вузы, которые не смогут адаптироваться к новым условиям, рискуют остаться позади.

Часто сложно найти баланс между использованием передовых технологий и этичностью их применения, особенно в контексте выбора профессиональных путей и идентификации личности.

Не всегда искусственный интеллект может точно определить профессиональные склонности людей. Так, Станислав Казарин предостерег от вероятности злоупотребления и негативных последствий для общества, когда люди начинают «размещаться» в профессии не по своему выбору, а на основании рекомендаций системы.

А Игорь Бедеров обратил внимание на текущее состояние технологий искусственного интеллекта, описав их как не достигшие уровня истинного ИИ, а скорее функционирующие как «стохастические попугаи», которые предсказывают ответы на основе уже известных данных. Он поделился своим опытом создания ботов для проверки юридических лиц и отметил человеческий вклад в разработку новых методов и подходов в работе с данными.

***

Реалии современного мира требуют от всех нас, от государственных структур до обычных пользователей, более серьезно относится к использованию цифровых технологий. Только совместными усилиями можно достичь значительного прогресса в обеспечении общей кибербезопасности, снизить уровень киберпреступлений и способствовать развитию более безопасного и стабильного цифрового будущего.