В обществе, где уровень пиратства в компьютерных и информационных технологиях достигал 99 процентов, она многое сделала для того, чтобы программные обеспечения продавались и покупались не в коробках, а в виде лицензий.
О том, насколько в глобализированном мире пользователи сферы информационных технологий, и в частности Интернета, защищены от несанкционированного доступа, кто должен быть «распорядителем» Всемирной паутины, президент Microsoft в России и СНГ Ольга Дергунова рассказывает Виктории Чеботаревой
Виктория Чеботарева. В большинстве современных компаний вопрос защиты информации входит в число самых актуальных. Что должны делать пользователи, чтобы внезапно не утратить конфиденциальную информацию из своих сетей?
Ольга Дергунова. Если вы работаете в компании, то вопросы информационной безопасности в ней решаются централизованно: специалисты используют антивирусные программы, обновляют программное обеспечение, распределяют права доступа к информации.
На долю пользователей остается только следовать инструкциям по обеспечению безопасности, разработанным в компании. Конечно, если таких правил в компании нет, то она вряд ли может называться современной. А возникновение проблем будет неизбежным следствием беспечности.
Рядовой пользователь заботится о своей безопасности сам. Для качественной защиты семейного компьютера в наше время уже не понадобится специальных знаний. Производители программного обеспечения поставляют серьезные средства с простым и понятным неискушенному пользователю интерфейсом.
Для защиты можно использовать межсетевой экран (он входит и в версию Windows XP для домашних пользователей). Можно настроить автоматическое обновление программного обеспечения. Несложно разобраться и в том, как использовать антивирусные программы. Эти «удалители» вирусов вполне доступны.
ВОЙНА БЕЗ ГРАНИЦ
В состоянии ли различные технологии безопасности, такие как средства шифрования, системы обнаружения сетевых атак, межсетевые экраны и устройства идентификации, защитить пользователей от любой потенциальной угрозы?
Нет. Сами по себе технические средства не могут решить всех проблем, какой бы стороны нашей жизни это ни касалось. Как самый совершенный замок на вашей двери не поможет, если вы не закрываете дверь, так и при решении проблем информационной безопасности самым слабым звеном являются люди. Международные отчеты в этой области показывают, что из года в год более 50 процентов случаев «уязвимости» информационных систем было связано с ошибками людей.
И лишь значительно меньшая часть связана с архитектурой самих систем. Я считаю, что руководство любой компании может уберечься от такого рода ошибок, а следовательно, потери информации, если должное внимание уделит – как бы это скучно ни звучало – образовательному аспекту.
Какие есть способы борьбы с хакерами, использующими методы социальной инженерии? Как-то знаменитый хакер Кевин Митник произнес: верить можно только Богу, все остальные, и я сам, – под подозрением.
Социальная инженерия использует человеческие слабости. Иногда очень сложно отказать коллеге, который под благовидным предлогом попросил дать пароль к вашему компьютеру. Особенно если он, например, представился новым сотрудником вашей службы безопасности и специально обучен обманывать вас.
Хорошее средство противодействия этому, по словам того же Митника, – регулярные тренинги сотрудников. Ну и, конечно, организация доступа к информации, когда для получения ee недостаточно одного пароля, а необходимо, например, еще и наличие физического предмета, например, смарт-карты.
Согласны ли вы с тем, что сегодня киберпреступления представляют собой глобальный вызов? Каким образом можно противостоять этому злу?
Да, я согласна, что рост числа киберпреступлений и вовлечение хакеров в деятельность организованной преступности являются глобальным вызовом всем в мире и каждому из нас. Я понимаю, что произношу общие слова. Но это действительно так: каждый должен делать свое дело. Государство – принимать законы в этой области и, что не менее важно, следить за их исполнением. Рядовые пользователи – стараться обезопасить самих себя, используя средства информационной безопасности при работе с Интернетом. И уже этим они очень помогут общей борьбе, сократив возможности преступников по использованию их домашних компьютеров в качестве «зомби» для атак.
Раз вы с этим вопросом обращаетесь ко мне, то как представитель Microsoft я, естественно, отвечу за нас. Microsoft свою роль изложила в стратегии Trustworthy Computing, в создании еще более защищенных продуктов и в образовании пользователей. В 2005 финансовом году компания Microsoft значительную часть своего бюджета в 6 миллиардов долларов потратила на разработку и совершенствование существующих систем безопасности в своих продуктах.
Говорят, что хакерство – это война без границ и что это преступление, которое трудно доказать. Какие здесь есть проблемы?
В силу отсутствия границ у Интернета атаки на информационную систему той или иной компании, банка могут идти из любой точки мира. При расследовании такого рода преступлений возникает много проблем: приходится отслеживать цепочку стран, через которые происходила атака. И доказательство преступления невозможно без координации соответствующих служб различных стран. К счастью, такая координация есть и работает все более успешно.
Насколько мне известно, в России, в частности, этим занимаются подразделения МВД по борьбе с киберпреступлениями. Они не работают внутри страны, но и вместе с коллегами из других стран раскрывают множество интернациональных преступлений, проходящих через территорию России.
ИНТЕРНЕТ-ПРАВИТЕЛЬСТВО
Почему участники Всемирного саммита по информационному обществу, проходившего в Тунисе, решили оставить США право контроля над доменами и трафиком? Только ли потому, что Internet Corporation for Assigned Names and Numbers (ICANN) обладает богатым опытом?
Дело не в контроле со стороны США – тем более что корневые серверы находятся и в США, и в Европе, а точки обмена трафиком распределены по всему миру. Просто ICANN действительно продемонстрировала опыт и успехи в обеспечении глобальной работоспособности Интернета. Но главное – за годы бурного развития глобальной сети было наглядно показано, что модель управления, базирующаяся на частной инициативе и рыночном саморегулировании, наиболее эффективна. К тому же эта модель совершенно не исключает участия и консультаций других сторон, включая международные организации и национальные правительства.
И все-таки не лучше ли передать доминирующую роль в управлении глобальной сетью некоему органу под эгидой ООН, международному «интернет-правительству»?
А сейчас уже есть широкий спектр международных организаций, способных, кстати, решать вопросы, поставленные и обсужденные на Всемирном саммите по информационному обществу. Ну будет создан специализированный орган под эгидой ООН, наделенный полномочиями управления Интернетом. Вряд ли он добавит эффективности в решении операционных вопросов.
Что самое главное. Мне кажется, решение саммита создать IGF (Internet Governance Forum) – консультативный орган под эгидой ООН – и есть оптимальный и сбалансированный подход к этой проблеме.
Часто звучат призывы значительно расширить полномочия российских спецслужб по контролю над коммуникационными системами и трафиком сети Интернет. Как вы к этому относитесь?
Для борьбы с терроризмом во всем мире используются те или иные меры, способствующие предотвращению терактов. Мы уже все привыкли к серьезным досмотрам в аэропортах, к проходам через детекторы перед концертом или при входе в торговый комплекс. Если речь идет о вашей жизни, наверное, вы готовы будете пойти на дополнительные ограничения.
Другое дело, насколько эти ограничения разумны и законны. Мне кажется, что главное правило при введении любых дополнительных мер – невозможность использования полученной информации против честных людей, не террористов.
ПРЕДСКАЗАНИЕ БУДУЩЕГО
Национальное научное общество США, в частности команда Дэвида Кларка, начало разрабатывать архитектуру нового поколения Интернета. Реконструкция коснется только дизайна или принципиальных вещей? Как это отразится на безопасности Всемирной паутины?
Над этим размышляют многие люди, работают лучшие умы во всем мире. Одна из основных целей, которую ставят перед собой создатели нового Интернета, – это обеспечение безопасности. Судя по всему, из просматриваемых возможностей для достижения этой цели наиболее приемлемой будет такая: идентификация пользователей.
Как будет эволюционировать Интернет? Какие возможности откроются перед его пользователями в далеком будущем, будь то информационное поле или бизнес-услуги?
Предсказание будущего – вещь непростая и довольно неблагодарная. Эволюция Интернета во многом проходит те же пути, какие преодолевала наша цивилизация в других областях. Путь от робких шагов экспериментальных технологий до глобального вхождения в жизнь каждого человека уже проделали электричество, телефония, телевидение.
В каждом из этих «открытий чудных» у пользователей, особенно массовых, было много проблем, иногда даже схожих с интернетовскими. Похожи и пути их решения. Ясно только то, что как инфраструктурный элемент нашей жизни Интернет будет все больше и больше интегрировать в себя всевозможные ее стороны – работу, образование, развлечения.
Как разрешится ключевой вопрос современности – уйти от свободы и анонимности в сторону безопасности?
Хорошо сформулировал Гегель: «Свобода есть осознанная необходимость». И наша жизнь есть непрерывный баланс между этими сторонами. На заре автомобилизации у автомобилей не было номеров. За ненадобностью. Но когда количество погибших в авариях от анонимных автовладельцев превысило некий предел, государства ввели обязательную регистрацию автотранспорта с выдачей номерных знаков. Все добровольно согласились с этим ограничением свобод – и мы прекрасно живем по этим правилам и теперь.
Так что решение ключевого вопроса просто в нахождении точки баланса между крайними состояниями полной свободы и абсолютной безопасности. Не задумываясь, мы решаем для себя эту задачу каждый день.
