Герхард Эшельбек, отвечающий в Google за ИТ-безопасность, о хакерских атаках, конфликте со спецслужбами и перестройке концерна
Главный человек по ИТ-безопасность в Google уверен, что в ближайшем будущем никому не придет в голову отправлять через Интернет незашифрованные тексты, как никто не отправляет обычные письма в прозрачных конвертах. Сегодня же каждая компания сама решает, что безопасно, а что нет, и изобретает свое “колесо" безопасности.
− Г-н Эшельбек, в середине сентября глава Google Ларри Пэйдж объявил, что намерен преобразовать концерн в холдинг, который получит название Alphabet и будет включать в себя многочисленные дочерние компании, в том числе «похудевший» Google, состоящий преимущественно из поисковика и сопутствующих подразделений, таких как Maps и YouTube. С кем мы разговариваем: с главой отдела безопасности и защиты данных Google – или Alphabet?
− Такое заявление само по себе было громким и для многих, конечно же, неожиданным. Но в том, что касается повседневной работы, все осталось по-прежнему. Безопасность и защита данных имеют для нас высокий приоритет. Именно этим мы, по сути, и занимаемся.
− То есть, вы по-прежнему будете защищать от хакерских атак не только Gmail, но и автомобили, ездящие без водителя?
− Да, мы определенно будем отвечать за существенные аспекты безопасности автомобилей. В новых «сестринских» компаниях, в зависимости от их бизнес-моделей, возможно, будут происходить какие-то незначительные изменения, но в целом мы управляем ИТ-безопасностью во всем, чем занимается Alphabet.
− В таком случае работы у вас будет достаточно. В цифровом мире постоянно обнаруживаются бреши в системах безопасности. Так, несколько недель назад экспертам в ходе своего рода краш-теста удалось взломать защиту автомобилей, находившихся на расстоянии нескольких километров, и получить контроль над ними. Вас это шокировало?
− Нет, о такой возможности говорили уже давно. Автомобиль сегодня – это не что иное, как большой суперкомпьютер, подсоединенный к сети, располагающий датчиками и возможностью беспроводного подключения к другим устройствам. Это касается все больших типов техники. Мы, причем я имею в виду всю отрасль, должны позаботиться о том, чтобы впредь конструкторы с самого начала интегрировали в свои разработки элементы безопасности, будь то в автомобилях или кардиостимуляторах.
− От того, что мы слышали в последние месяцы, становится не по себе: хакеры могут вмешиваться в работу приборов для ввода наркоза, пытаются подключаться к бортовым системам самолетов. Как можно предотвратить реализацию таких кошмарных сценариев?
− Мы стоим еще в начале эры «интернета вещей» или как еще называют этот мир подключенных к сети устройств. Это означает, что каждый что-то такое мастерит в одиночку и самостоятельно решает, что можно считать безопасным и сколько усилий нужно потратить на соответствующие аспекты. Такую систему нужно срочно менять, необходимы последовательный подход и стандарты. В ближайшие два-три года должны быть разработаны блоки, которые просто будут использоваться в различной технике, чтобы не приходилось каждый раз заново изобретать колесо.
- Насколько велики связанные с этим технические проблемы?
− Они не больше, чем в любой другой ИТ-сфере. Центральную роль играют сетевая коммуникация и шифрование. Поэтому нам необходимо продумать единую сертификацию безопасности таких устройств с возможностью соответствующей проверки.
− По нашим ощущениям, каждую неделю появляются новые сообщения о кибератаках на компании. Злоумышленники пытались проникнуть и в компьютерную сеть Бундестага. Это только начало кибервойны, набирающей обороты?
− Угрозы заметно усиливаются, что обусловлено различными факторами. С одной стороны, ИТ-мир становится все сложнее. С другой – компании и государственные ведомства постоянно расширяют свою ИТ-структуру: здесь – дополнительный сервер, там – новая компьютерная сеть. Если безопасность с самого начала не была интегрирована в архитектуру, следствием становятся ситуации, облегчающие кибератаки. Кроме того, злоумышленники становятся все более изощренными, располагают все более мощными инструментами. В целом угрозы сильно изменились.
− Можно конкретнее?
− Я работаю в отрасли более 20 лет и начинал карьеру в области научных исследований вредоносного программного обеспечения (ПО). В 90-е годы мы сталкивались всего лишь с горсткой новых компьютерных вирусов в месяц. Мы даже не подозревали тогда, что нам предстоит. Сегодня вирусы в большинстве случаев пишут уже не люди, а машины, их число составляет до 300 000 в день. Цель такого автоматически генерируемого вредоносного ПО состоит в максимально широком самотиражировании и нанесении максимального вреда. Так было последние десять лет.
− Сегодня, напротив, атаки становятся более целенаправленными.
− Именно так. Благодаря нашей глобальной инфраструктуре, специалисты Google получают точное представление о том, что происходит. Кроме того, мы все чаще имеем дело с злоумышленниками, спонсируемыми определенными странами и преследующими вполне конкретные цели.
− Как компании могут защитить себя в столь сложных условиях?
− Во многих фирмах ИТ-инфраструктура формировалась последние 15 лет очень постепенно, и о безопасности никто особо не задумывался. В компаниях с 200 сотрудниками зачастую нет ни одного соответствующего эксперта, если без него удается обойтись. Откуда здесь взяться инфраструктуре безопасности?
− Именно это мы и хотели от вас услышать.
− Я убежден, что одним из решений может быть Облако. Моя команда в Google состоит из 500 специалистов. Это позволяет предлагать нашим клиентам решения, которые сами они позволить себе не могут.
− Вы рассчитываете, что компании все больше будут выводить свои ИТ-структуры в Облако и пользоваться пакетом услуг, включающим в себя безопасность. Но, без сомнения, найдется немало фирм, доверяющих Google меньше, чем собственному отделу ИТ.
− Главная задача моего отдела заключается в защите данных наших пользователей. Сотни разработчиков ПО занимаются исключительно созданием технологий обеспечения безопасности для наших платформ и нашей инфраструктуры. С другой стороны, многие компании создают «облачные» приложения. Поэтому то, что мы предлагаем нашим пользователям для их защиты, такие инструменты, как технология шифрования, мне представляются разумными.
− Но даже крупные отделы ИТ-безопасности не всегда гарантируют защиту от злоумышленников. В ноябре прошлого года хакеры, предположительно из Северной Кореи, опубликовали данные, полученные ими из системы Sony. Или все дело исключительно в оплошности концерна?
− Из случая с Sony мы извлекли один урок: современные хакеры действуют настолько умело, что заметают следы и могут разрушать целые фрагменты системы. Для многих представителей отрасли, включая меня, это оказалось неожиданностью. Поэтому я не стану утверждать, что ИТ-инфраструктура Sony катастрофически не справилась. Скорее, как мне кажется, хакеры, финансируемые государствами, обладают настолько действенными инструментами, что в состоянии преодолевать даже мощные барьеры.
− Хакеры на службе у государства – это явление, которое ограничивается лишь немногими странами, такими как КНР или КНДР?
− Мне бы не хотелось выделять какие-либо из стран. Это глобальная проблема, я вижу данную угрозу повсеместно.
− Это относится к правительствам и США, и европейских государств? После разоблачений АНБ Эдвардом Сноуденом складывается впечатление, что чуть ли не больше всего остального нам следует опасаться собственных спецслужб.
− Сноуден, конечно же, стал большой вехой для нашей отрасли. Отношения с правительствами и государственными ведомствами после него сильно подпорчены. У нас в Google это привело к тому, что мы чрезвычайно ускорили реализацию целого ряда проектов. В частности, это касается шифрования внутренней коммуникации между нашими вычислительными центрами. Мы не позволим внедряться в нашу оптоволоконную сеть.
− Однако критики утверждают, будто Google сотрудничает со спецслужбами и добровольно предоставляет доступ к данным пользователей. Это так?
− Абсолютно не так! Я бы однозначно не стал поддерживать такое положение дел. Я регулярно слышу подобные обвинения, и мне это досадно. От некоторых вещей, которые говорят и пишут, у меня волосы на голове встают дыбом.
− Как бы то ни было, Google не может полностью отказаться от сотрудничества с американскими и европейскими государственными органами. Как оно устроено?
− Существует абсолютно прозрачный, однозначный в правовом отношении процесс, позволяющий правительственным структурам запрашивать информацию – например, когда полиции требуется помощь в связи с расследованием убийства. И мы публикуем все эти запросы в отчете о прозрачности. Тем самым мы стремимся не допустить появления своего рода «черного хода», так что закулисных договоренностей не существует, зайти можно только через «парадный ход», где каждый может видеть, что кто-то «стучится в дверь». Когда мы считаем желание получить информацию неоправданным, что происходит примерно в 40% случаев, то говорим «нет».
− Но насколько вы можете быть уверены, что спецслужбы все же не получают доступ к данным самостоятельно?
− Разумеется, это серьезный вопрос. Наше преимущество в том, что Google располагает собственной ИТ-инфраструктурой, в которую с самого начала интегрировались инструменты для обеспечения безопасности, и нам не приходится полагаться на кого-то еще. У нас детальная картина того, что происходит в наших системах, и мы бы сразу бы заметили какую-то подозрительную активность. Как минимум, в настоящий момент я уверен, что извне никто доступа не имеет.
− Вероятно, большинство пользователей поверят вам, что Google защищает их данные от спецслужб. Многие больше озабочены тем, как использует эту информацию сам Google.
− Я европеец и понимаю озабоченность пользователей аспектами защиты данных, о которой говорят преимущественно в европейских странах. Здесь в прошлом имели место определенные упущения. Отчасти проблема в том, что Интернет в принципе не то чтобы очень прозрачен. Поэтому Google должен обеспечить такую прозрачность и показывать пользователю, что происходит с его данными – и вместе с тем предоставить ему возможность контроля и право решать, как нам следует обращаться с его данными, какие из них мы можем использовать. Несколько месяцев назад мы создали новую страничку, которая называется «Мой аккаунт», где пользователь централизованно, из одного «окошка» получает полный обзор своих данных, которые собираются Google, и имеет возможность управлять их использованием.
− Что ж, неплохо, но этого не достаточно.
− Да, мы безусловно еще не достигли цели, у нас впереди большой путь. После того, как я занял эту должность, отделы безопасности и защиты данных впервые были объединены, и мы хотим распространить на защиту данных тот опыт, который был нами получен в сфере ИТ-безопасности.
− Как вы это себе представляете?
− Должны быть понятные процессы, которые запускались бы незамедлительно, как только происходит инцидент, например, поступает жалоба или фиксируется нарушение. Каждый продукт до релиза должен проходить проверку на защиту данных. До сих пор в сфере защиты данных, конечно, не все делалось безупречно. Так что я считаю своей персональной задачей изменить эту ситуацию, добиться улучшения, большего взаимодействия, большей прозрачности.
− В последнее время Google способствовал реализации многочисленных инициатив, связанных с проблематикой Safe Browsing - безопасного поиска в Интернете. Ваш отдел все чаще предупреждает об угрозах фишинга, вредоносного и опасного ПО. От интернет-пользователя действительно требуется быть начеку?
− Интернет - это суровое место. В нем множество темных переулков, опасных для пользователей. Поэтому мы затрачиваем столько усилий для создания безопасных браузеров, которые автоматически распознают угрозы и «отфильтровывают» их. Мы ежедневно регистрируем пять миллионов предупреждений о проблемах с безопасностью, которые поступают от браузеров, ежемесячно идентифицируем 50 000 веб-сайтов как криминальные и выявляем 100 000 новых фишинговых страниц.
− Как пользователь может обезопасить себя?
− Пароли - самое слабое звено в это цепочке. Мы настоятельно рекомендуем двойную аутентификацию, при которой, помимо пароля, также используется какой-то второй код. Проще всего купить за пару евро миниатюрный так называемый ключ безопасности (Security Key), подключаемый к USB-порту компьютера.
− Похоже, труднее повысить безопасность электронной переписки. Технические решения существуют уже долгое время, но почему их реализация все еще пробуксовывает?
− На пути между крупными интернет-провайдерами и нами электронные письма уже давно находятся в своего рода защищенном туннеле. Куда сложнее обстоит дело с так называемым сквозным шифрованием на всем пути от отправителя письма до его получателя. Мы предлагаем такую возможность в качестве тестовой версии на Gmail, но здесь нам еще только предстоит собрать опыт.
− То есть шифрование станет стандартом?
− Определенно. Причем это касается не только электронной переписки. Мы работаем над этим на всех уровнях передачи данных. Через пять лет мы, вероятно, оглядываясь назад, будем удивляться, как когда-то нам вообще могло прийти в голову отправлять через интернет незашифрованные тексты. Ведь никто не станет отправлять обычное письмо в прозрачном конверте.
0
44.25
