«Обратная сторона» способности к подключению — среди главных рисков современности

Перед Всемирным экономическим форумом, который пройдет на следующей неделе в швейцарском Давосе увидел свет отчет Global Risks 2012, где, на основе опроса 469 ведущих экспертов, дается анализ основных рисков современного мира. В первой пятерке оказался и фактор, именуемый «dark side of connectivity», уже меняющий современный мир и способный оказать еще большее влияние на его будущее развитие.

Мир становится все более сложным, и практически невозможно предвидеть, каким способом чрезвычайно полезная технология может породить новые глобальные риски. Взять, например интернет. За последние десять лет его проникновение во все сферы человеческой деятельности привело к трансформации и бизнеса, и персональных отношений, и даже организации социальных революций. На рубеже тысячелетий, в период краха доткомов, казалось, что значение интернета слишком преувеличено. Теперь стало очевидно, что ожидания от новой технологии были не завышены, а преждевременны; к тому же стали явными ранее неизвестные и непрогнозируемые уязвимости. Но пока преимущества интернета воспринимаются в массовом создании значительно проще, чем связанные с ним риски, например «dark side of connectivity» (этот термин используется как собирательный для рисков, связанных с возможностью подключения в глобальную Сеть многочисленных электронных устройств).

Люди, коммерческие предприятия и целые государства все больше зависят от информационных систем в виртуальном мире. Если десять лет назад доступ к глобальной Сети имело 8% населения земли, то сейчас уже 35%. Меняются и способы подключения: на конец 2011 г. было продано 470 млн смартфонов, и их число до 2015 г. удвоится, и пользователи этих устройств постоянно находятся онлайн. Но наиболее существенные изменения связаны даже не с доступом в Сеть человека, а с тем, что называется «интернет вещей» — подключенными приборами и устройствами, от автомобилей до кухонных плит, электросчетчиков, больничных коек, сельскохозяйственных оросительных систем, водонапорных станций, уже в 2020 г. их число превысит 31 млрд (против сегодняшних 5 млрд). Преимущества, например, «умных» счетчиков очевидны — они могут контролировать потребление электроэнергии, сокращая расходы и выбросы парниковых газов. При этом появляются дополнительные риски: возможность взлома системы и отключения от питания целых районов, или (что еще опаснее) подачи более высокого напряжения.

По данным исследовательского института Ponemon, убытки 50-ти крупных американских компаний от кибератак в 2010 г. составили в среднем $5,9 млн, и растут примерно на 56% в год. По мнению экспертов, эти цифры могут быть занижены, ведь жертвы не заинтересованы в подобного рода рекламе. С другой стороны, от таких рисков страховые компании получают дополнительные источники прибыли, и, хотя рынок существует в основном в США, годовой объем премий уже достиг $500 млн. В ближайшие годы этот сегмент страхового бизнеса ожидает устойчивый рост, особенно если принять во внимание нормативы US Securities & Exchange Commission (SEC), выпущенные в октябре 2011 г. и предписывающие рассматривать обнаружение бреши в компьютерных системах как опасность нанесения материального ущерба и закрывать их независимо от того, могут ли они привести к утечке конфиденциальных данных. Аналогичные акты готовятся в Европейском Союзе и странах Азии.

Ключевым риском в сфере технологий являются не точечные атаки на компании, а критический сбой систем, вероятность его крайне низка, но результат может сказаться на жизни тысяч, а возможно и миллионов людей, и в конечном итоге — уничтожить глобальные инфраструктуры управления. Причем если в прошлом для дестабилизации геополитической ситуации или мощных корпораций требовались значительные ресурсы, то сегодня это под силу обладающим специальными навыками единицам, работающим удаленно, и практически с полной анонимностью. Причины таких атак часто трудно осмыслить, но преимущественно они определяются тремя основными факторами: саботаж, шпионаж, диверсия.

Хорошим примером саботажа может служить вирус Stuxnet, который разрабатывался с целью затормозить развитие иранской ядерной программы. По мнению экспертов, Stuxnet-подобному вирусу по силам вызывать расплавление ядерных топливных элементов на АЭС, отключить перекачку нефти или газа, изменить химический состав водопроводной воды и даже выполнить запуск реальной ракеты по заданной цели.

Кибершпионаж требует больших ресурсов и пока доступен преимущественно государствам, крупным корпорациям и суперхакерам. Инструмент GhostNet, например, в 2009 г. заразил тысячи компьютеров в министерствах иностранных дел, посольствах, международных организациях, СМИ и общественных организациях в 130 странах. Этот вирус мог незаметно для пользователя активировать камеру и микрофон ПК, отслеживать вводимые на клавиатуре символы, отправлять документы, пр.

Наименее технологически совершенны диверсии, целью которых является, в основном, нанесение ущерба репутации компаний. Ярким примером подобного рода является DDoS атака, проведенная в 2011 г. группой Anonymous на ресурс HBGary Federal, в число клиентов которой входит правительство США. В ходе акции у HBGary были похищены данные электронной почты сотрудников, скомпрометирована база данных клиентов, уничтожена принадлежащая компании информация и поврежден сам сайт. Что послужило мотивом подобной акции — месть или банальная скука, а может просто представился хороший повод для демонстрации силы — остается только догадываться. Кстати, по мнению экспертов, атаки такого типа будут превалировать в нынешнем году, в частности в качестве инструмента борьбы против социального неравенства. И инициировать их может еще один значимый фактор, включенный экспертами WEF в пятерку основных рисков современного мира — разрыв возможностей между развитыми и развивающимися странами.

Нужно отметить, что уязвимость реальных активов и реальных людей из-за кибератак стала неожиданным вызовом и для частных предпринимателей, и для государственных структур. Киберпреступность может быть (а в будущем — обязательно будет) тесно связана с обычной преступностью. И первым прецедентом можно считать арест в ноябре 2011 г. четырех подозреваемых в связи со взломом нескольких телекоммуникационных компаний в США, который повлек потерю около $2 млн, переведенных на счета пособников террористов. Впрочем, пока ситуация такова, что в большинстве случаев киберпреступники отделываются минимальным наказанием, а бизнесмены недооценивают серьезность виртуальных рисков, соответственно ресурсы, направленные на борьбу с кибератаками, неадекватны.

До последнего времени проблемой «dark side of connectivity» занимались преимущественно производители антивирусных программ (заинтересованные в разжигании паники и преувеличении угроз), и, на фоне того, что жертвы киберпреступников часто умалчивают о вторжениях, получение точной картины происходящего в данной области весьма затруднительно. Как подчеркивают эксперты, мировое сообщество крайне нуждается в новой парадигме оценки «здоровья» цифрового пространства.

И движение к новым схемам построения безопасного интернета уже началось. После того, как в апреле 2011 г. хакеры похитили миллионы учетных записей пользователей Sony Playstation, в оборонной стратегии, озвученной президентом США Бараком Обамой (Barack Obama) появились изменения, свидетельствующие о том, что кибероружие становится предметом детального изучения правительством. В рамках подготовки к Олимпийским играм 2012, банк Англии принял участие в тестовой кибератаке, проведенной в 2011 г. Жизнеспособной оказалась и идея Facebook привлекать к созданию безопасного интернета хакеров (эти специалисты в состоянии идентифицировать слабости в системах до того как они будут найдены злоумышленниками), и за вполне разумную плату.

Успешная борьба с киберпреступностью невозможна без выработки четких правил идентификации промышленного и государственного шпионажа, особенно там, где грань между государственным и частным размыта. Кроме того, крайне нуждаются в изучении совершенно новые, порожденные интернетом феномены социального поведения. Необходимо понять, почему социальные нормы, предотвращающие определенные акции в обычной жизни, значительно менее действенны в виртуальной. Авторское право в Сети и авторское право в реальном мире в глазах обычного пользователя пока мало согласуются, и люди, которые никогда не позволят себе украсть DVD из магазина, могут систематически заниматься незаконной загрузкой фильмов и музыки, и не стесняются в этом признаться. Крайне нуждаются в осмыслении причины и массовость такого социального явления как «хактивизм» — выражение гражданской позиции через неповиновение в Сети.

Как подчеркивают эксперты, на сегодняшний день терроризм, преступность, войны в виртуальном пространстве имеют значительно меньший эффект, чем в реальном мире, но уже в недалеком будущем ситуация может измениться, и, вполне вероятно, что в ближайшее десятилетие фактор «dark side of connectivity», будет работать как мощный усилитель для традиционных рисков безопасности.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365