Это же все-таки бизнес, хоть и криминальный. Денежные потоки, видимо, можно отследить?

Я.: Первым делом искать, кто платит, - типичнейшая ошибка в этой области. Ситуация другая: очень многие, особенно дети, совершают свои «киберпреступления» по совершенно другим мотивам - они фанатики всяческого «взлома».

Недавно читал беседу двух американских ИБ-специалистов, они говорят как раз обратное: что появился «new bad guy», вместо классического хакерафаната - хорошо оплачиваемый (криминалом) профессионал.

Я.: Есть такое явление. Но «массовка» - это фанаты. На международных конференциях об этом часто говорят.

У нас «государственные хакеры» испытывают на прочность защиту ИС, как в Америке? Вашему институту такое не предлагали?

С.: Если бы нам предложили, мы бы отказались. Ведь есть же стандартные процедуры для таких вещей. Сертификация средств защиты в ФСБ, например, и есть учебный взлом - чаще на бумаге, но иногда и натурно.

Я.: Любые такие заключения об уровне ИБ делаются в рамках закона о контроле. Приходит комиссия на предприятие и проверяет соответствующий регламент в рамках полномочий. Если это предусмотрено, могут промоделировать и кибератаку.

Как вы оцениваете динамику безопасности наших ИС?

Я.: Состояние дел улучшается - в целом. Но по конкретным предприятиям ничего комментировать не можем.

На конференциях в вашем институте математики всегда делают массу докладов о моделях атак, методах обнаружения вторжения в локальную сеть и т. п. Но это теория, а на практике - насколько хорошо мы сегодня умеем обнаруживать информационные атаки?

Я.: Это проблема глобального масштаба - мониторинг кибератак, отслеживание проникновения в сети. Причем проблема не только технологическая, но и политическая - например, мы не можем мониторить серверы на чужой территории, даже внутри страны мы не все сети можем мониторить. Есть множество корпоративных сетей - в том числе у Газпрома, РАО ЕЭС, РЖД, - где своя физическая инфраструктура, не связанная с бэкбонами Интернета. Причем по причинам коммерческого характера эти сети не мониторят даже спецслужбы.

С.: Практически в каждом министерстве есть своя ведомственная сеть. И эта сеть всегда является объектом атак.

Естественно - потому что какой смысл ломиться на веб-сайт, к примеру, Газпрома, где заведомо нет никакой критической информации? Но тем не менее и на веб-сайты крупных компаний и других заметных организаций непрерывно идут атаки.

Я.: Совершенно верно. Например на веб-сайт президента РФ за одиннадцать месяцев текущего года было более ста тысяч кибератак. Причем в данном случае это не попытки дефейсинга или рассылки спама с этих серверов, тут другие типы атак. Но наш институт не занимается оперативными мерами борьбы против таких вещей, мы только даем рекомендации и ведем научные исследования. В том числе разрабатываем программы для мониторинга атак. Хотя большинство сотрудников в разное время вплотную занималось и практическими вопросами.

С.: Таксономия атак очень сложная. Сегодня по общепринятой международной классификации выделяют порядка шестисот видов кибератак, и эта цифра все время растет. Соответственно и программы регистрации атак, мониторинга непрерывно обновляются - точно так же, как антивирусные средства.

Существует у нас единый центр мониторинга кибератак?

С.: Единого центра нет - во всяком случае, открытого. По научным и образовательным сетям такая работа, насколько нам известно, ведется только в Курчатовском институте под руководством Алексея Солдатова. Кибератаки на органы госвласти мониторят силовые структуры, в частности ФСБ и МВД. Министерства, крупные компании - например, Газпром или РАО ЕЭС, имеют собственные службы информационной безопасности. Разработкой программ и аппаратуры компании и министерства обычно не занимаются, используют то, что есть на рынке.

Я.: Другие страны стали раскрывать информацию о своих центрах мониторинга совсем недавно. Мы с Алексеем были в 2004 году на очень узкой конференции в Мюнхене, посвященной как раз этой проблеме. Там впервые рассказывалось о национальных центрах мониторинга, причем я был поражен тем, насколько подробно и открыто это делалось. Выступали начальник центра мониторинга кибератак МО США, директор центра мониторинга Великобритании, его коллега из Германии (там центр мониторинга - отдел бундесвера). И важнейшим вопросом был вопрос о международном сотрудничестве и обмене опытом. Потому что информационное пространство на самом деле едино. Оно не имеет границ! Защититься от атак в одиночку ни одна страна не может. Известный пример - веб сайт ЦРУ два года назад был взломан некими «студентами из Томска». Но есть соглашения между ЦРУ и ФСБ о взаимодействии, поэтому людей в Томске быстро нашли. Суда не было, случай был не очень серьезный, главное, что система сотрудничества сработала. Но заставить ее работать очень трудно, в частности из за различий в национальных законодательствах.

Не кажется ли вам, что есть нечто парадоксальное в том, что теракт против той или иной инфраструктуры ударит по всему населению, по всему государству - а защищает ее не государство, а закрытая ведомственная служба?

Я.: Сейчас в Госдуме рассматривается проект закона, который будет регламентировать ответственность в этих вопросах. Все вопросы должны решаться на основе соглашения государства, бизнеса и гражданского общества. Эти соглашения и оформляются в виде законов. Государственные органы юридически контролируют процесс, а бизнес в данном случае должен обеспечивать функциональную составляющую мер безопасности.