Первый вопрос, конечно, почему Swordfish?

Был такой фильм в свое время – «Пароль “Рыба-меч”» с Джоном Траволтой и Хэлли Берри. И, наверное, он произвел на меня впечатление тем, как в нем разворачивалась технологическая история. Тема кибербезопасности благодаря ему стала несколько понятнее. Классный боевик, который многим стоило бы посмотреть. Когда я со своим партнером выбирал название для компании, было много вариантов, и «Рыба-меч» оставалась в топе, как хорошая визуальная метафора. Поэтому Swordfish Security. Визуальный образ такой агрессивной рыбки, которая лавирует по океану кибербезопасности и весьма уверенно себя в нем чувствует.

Давайте зададим теперь исходную точку. Гладкое совмещение процессов бизнес- и IT-подразделений компании называют DevOps (от слов development и operations). Вы добавляете в эту формулу слово security. Объясните, что это значит и чем вы занимаетесь.

По сути дела, мы помогаем нашим клиентам разрабатывать и выпускать защищенные программные продукты. Мы сейчас находимся в банке, поэтому дам понятный пример. В любом большом банке есть кредитный конвейер. Он реализует некоторый унифицированный процесс работы с кредитными заявками, любые задачи, которые с этим связаны. Информация по каждой заявке сопровождается в автоматическом режиме. Банку это выгодно, поскольку мы минимизируем влияние человеческого фактора, встраивается ряд проверок безопасности, благонадежности клиента. При этом часть процессов полностью автоматизирована. В индустрии разработки программного обеспечения сейчас происходит то же самое. Все компании, организации, которые занимаются промышленной разработкой программного обеспечения, строят внутри подобные конвейеры для выпуска тех или иных программных продуктов или цифровых сервисов для своих клиентов. Мы занимаемся тем, что добавляем в этот конвейер практики информационной безопасности, кибербезопасности. И в рамках этого непрерывного процесса мы обеспечиваем защищенность программного обеспечения.

Наша цель – удобство, надежность, повторяемость, масштабируемость и минимизация рисков. DevSecOps – это неотъемлемая часть рынка цифровой трансформации. Вообще кибербезопасность – это 15% той самой трансформации, через которую проходит весь мир.

Как говорил нелюбимый сегодня всеми Карл Маркс, «любая экономия сводится к экономии времени». Понятно, что сервисы, которые вы делаете безопасными, повышают скорость проведения тех или иных операций, скорость обслуживания, принятия решений по инвестированию. А в какую сторону эволюционируют сейчас угрозы? Как меняется само киберпространство?

Эволюция киберпространства на самом деле ничем не отличается от эволюции нашего привычного физического мира: чем сложнее становится каждый отдельно взятый организм и чем больше появляется этих организмов, тем больше беспорядка возникает вокруг (в одной большой системе под названием Вселенная).

В нашем контексте я бы не ожидал комфортного будущего. Технологии усложняются, предоставляют человеку все новые и более удобные сервисы, но, как следствие, возникают и новые угрозы. Приведу в пример относительно недавний кейс, когда была совершена атака на инфраструктуру разработки ПО одного из крупных производителей ПО. Компания создает платформу, которая управляет сетевой инфраструктурой и администрирует защищенные сети. У этого продукта 18 тыс. клиентов. Атакуя инфраструктуру разработки программного обеспечения, злоумышленники внедрили некий вредоносный код в компонент этой платформы, после чего новая версия продукта была распространена среди клиентов. Другими словами, это была атака на цепочку поставок программного обеспечения. Был изменен совсем небольшой кусок кода, но возникшая уязвимость позволила злоумышленникам проникать в клиентские сети и совершать противоправные действия в любом формате. А клиентами тут были такие государственные организации, как ЦРУ, АНБ, и огромный пласт коммерческих компаний.

Для противодействия этому процессу остается только одно – создавать и разрабатывать методы и технологии, которые позволят как упорядочить сам процесс разработки ПО, так и выявлять на ранних стадиях все узкие места и уязвимости. Человек уже не способен это делать в ручном формате. Большая роль здесь, безусловно, будет отведена искусственному интеллекту.

С точки зрения технологий человек стал более уязвим? Простой пример. Выходя на улицу или встречаясь с кем-то, ощущаешь уровень реальной физической опасности. А внутри интернета ты этого все-таки не видишь, не чувствуешь реальной угрозы.

Мы уже совершили фазовый переход и существуем в едином информационном пространстве. Этот первый маленький шаг человечество сделало достаточно давно, смартфон ведь всегда с нами. Используя сервисы, которые у нас всегда с собой в смартфоне – Instagram, Facebook, банковские приложения, автотранспорт, – мы уже находимся в своего рода информационной экосистеме, и пути назад больше нет.

Что будет происходить дальше? Энтропия станет расти. Повысятся вычислительные мощности, усложнятся технологии, за счет этого расширится пользовательский опыт. Но не стоит забывать, что все это: приложения, цифровые сервисы и продукты – результат работы очень сложного программного кода, созданного в итоге человеком. И от ошибок и бэкдоров в этом коде никто и никогда не будет застрахован, случайные они или злонамеренные. Все здесь решает опять же человеческий фактор. Единственный способ противодействия – принимать превентивные методы, чтобы не допускать появления новых уязвимостей.

Нельзя не спросить: что происходит со злоумышленниками? Они ведь тоже как-то эволюционируют.

Их мораль точно не меняется. Желание денег и власти – это вечные человеческие пороки. Это константа, которой в обозримой перспективе ничего не угрожает. Я думаю, что в далеком будущем мы не увидим каких-то больших перемен в человеческой природе.

Если говорить о профилях злоумышленников, то и тут мало нового. Киберпреступность – производная от обычной преступности. Есть индивидуальные злоумышленники, как правило, это молодежь, которая пытается попробовать мир на прочность и показать свои технические компетенции. Есть организованные группы, их мотивация – деньги, получение выгоды. Тут, как правило, технические профессионалы работают в сговоре с инсайдерами. Ну и кибертерроризм, супер­организованная преступность, их мотивация – как деньги, так и дестабилизация политического ландшафта, нанесение физического урона противнику.

На мой взгляд, все идет к укрупнению и консолидации, когда отдельные группировки сливаются во что-то большое. И противостоять этому будет весьма непросто. Однако сам по себе мир кибервойн будущего будет состоять из тех же игроков, которых мы знаем и сегодня по своему привычному миру. Просто силы и средства перетекут в цифровое пространство, и все поле битвы станет виртуальным. Только не надо думать, что это не касается простых людей. Безопасность будет важным вопросом для всех и каждого.

Когда люди слышат слово «кибербезопасность», они представляют программиста на темной стороне и другого программиста на светлой стороне, которые как-то между собой воюют. Что за люди участвуют в этих битвах на самом деле?

Все это самые обычные люди, просто вооруженные широким спектром технологий. У всех у них разная мотивация и разный уровень компетенций. Это важно, потому что сейчас такое противостояние все еще остается борьбой экспертов, осложненной человеческим фактором. В относительно краткосрочной перспективе, через 5–10 лет, это будет противостояние технологий на базе искусственного интеллекта.

Конкретно в нашем случае спонсором процесса остается топ-менеджмент. Исторически мы как компания всегда взаимодействовали с руководителями служб кибербезопасности, с CISO. Последнее время наблюдается интересная тенденция: с запросами на наши услуги приходят руководители IТ-департаментов, отвечающих за разработку продуктов. Понимание, что банковские сервисы должны быть защищены, должны быть реализованы безопасно уже в моменте, сместилось в сторону технологических лидеров. Кроме того, вопросы кибербезопасности находятся сейчас на регулярной повестке бизнеса. Их просто невозможно игнорировать, поскольку все вокруг становится цифровым. Иногда это приводит к тому, что драйверами изменений выступают бизнес-стейкхолдеры. В целом тренд очень правильный.

Пандемия спровоцировала резкий скачок в разв итии технологий. Многие заговорили об угрозе цифрового тоталитаризма, когда за нами следят. С другой стороны, развитие цифровых технологий может говорить о том, что теперь мы вступаем в эру цифровой демократии, когда получаем возможность принимать какие-то коллективные решения по достаточно широкому спектру вопросов. Как вы думаете, куда мы двинемся – в сторону цифрового тоталитаризма или в сторону цифровой демократии?

В пандемию многое перешло в онлайн, и это огромное удобство. Люди поняли, что необязательно физическое присутствие, и это, наверное, первый шаг к взаимодействию аватаров. Чем картинка в зуме отличается от 3D-картинки персонажа в игре? А если говорить о тоталитаризме и демократии, то я бы сказал, что технологии позволяют многое, и всегда будут люди, которые хотели бы ими воспользоваться, чтобы обеспечить полный контроль над обществом. Польза и угроза технологий идут рука об руку. Казалось бы, удобно – госуслуги в цифровом формате. Отправил детей в школу, зарегистрировал машину, получил пособие не выходя из дома. Но при этом вся жизнь гражданина автоматизирована, разбита на ряд областей, типовых ситуаций, в которых можно с помощью цифровых услуг решить почти любую задачу. Когда все работает по плану, это, безусловно, очень удобно.

Не так давно блокчейн называли «вторым интернетом», имея в виду его значение для всего мира. Это преувеличение? Что вы думаете об этом и о «втором интернете»?

С одной стороны, транзакции в криптовалютах сейчас хорошо защищены, и это помогает киберпреступникам. С другой – мы уже видели несколько попыток использования технологии и выведения ее из серой зоны в более легальное поле. На мой взгляд, за подобного рода технологиями будущее. Проработка вопросов юридического характера займет еще какое-то время, но так или иначе через 10–20 лет, а может быть, и раньше с технологиями криптовалют придется работать и банкам, и государствам.

А если говорить про вектор атак, то чем хорош блокчейн? Это защищенная сеть, в рамках которой невозможно изменение данных. Как следствие, невозможно изменить транзакцию. Это очень надежная история. Однако я бы предположил, что атаки будут совершаться как на владельцев цифровых активов, так и на системы хранения, например на криптокошельки. Сегодня мы чаще видим атаки на приложения, инфраструктуру, сложный конгломерат цифровых сервисов, а в будущем возможна история, когда мы вернемся во времена «Средневековья», когда разбойники будут снова чистить кошельки, только не физические, а цифровые.

Если же говорить про Next Big Thing, то я думаю, что это не блокчейн, а все-таки VR. Его эра уже очень близка, хотя в существующих формах технологии еще далеки от совершенства, и порой человеческий вестибулярный аппарат дает сбой при использовании шлема.

Насколько близко? Мы говорим про 15 или про 50 лет?

Наверное, уже через 10–15 лет рядовой пользователь получит то, чего у него никогда не было. Что он сможет делать? Допустим, отправиться в крутое путешествие с полным погружением в мелкие детали или прыгнуть с парашютом, заняться другими экстремальными видами спорта. Тут можно называть все, что многие люди по тем или иным причинам не пробуют, это, кстати, не всегда вопрос физического здоровья или денег, просто у них так сложилось. А тут все желания из разряда «хочется, а все-таки страшно» становятся реальными. Прыгай с парашютом в VR и получи ту же самую гамму чувств, что и настоящий парашютист. И главное – это можно сделать безопасно как для себя, так и для окружающих.

С точки зрения вопросов кибербезопасности тут тоже есть чем заняться. Можно придумать практически любые киберугрозы, ограниченные лишь фантазией участников.

В виртуальных джунглях на тебя нападает виртуальный тигр?

Собрался ты путешествовать в Арктику к пингвинам, а попал в подземелье, из которого нет выхода. Что тогда? Подобные вещи вполне возможны. Специалистам нашего класса придется следить уже за эмоциональным состоянием и целостностью сознания пользователей таких VR-сервисов.

Вы говорите, что осталось 10–15 лет до победы VR, а как будет выглядеть интернет в это прекрасное время?

Интернет сохранится в привычном формате, он останется некой высокотехнологичной инфраструктурой, которая позволит на суперскоростях передавать огромное количество данных, что и позволит реализовывать такие виртуальные миры.

А сайты будут выглядеть в соответствии с тогдашними привычками. Сейчас мобильный трафик перебивает трафик с десктопов. Никто не думал еще 15 лет назад, что будет, во-первых, такой скачок, а во-вторых, что у тебя в кармане окажется мощный компьютер, позволяющий и такси заказывать, и фильмы монтировать, публиковать их в интернете и т. д. Вот сейчас мы живем в таком форм-факторе. Лет через 5–10 формат поменяется на что-то, что возникнет из-за очередного технологического скачка, и пользовательский опыт станет еще более широким.

Тут можно фантазировать, мы необязательно получим суперкресло и супершлем и усядемся по домам. Нет, возможно, это будет куда более утилитарное решение. Проект Google Glass в свое время заморозили, но к нему могут вернуться на новом уровне. Тогда мы получим не виртуальную реальность в чистом виде, а дополненную реальность. К тому же мы уже сейчас начинаем общаться с техникой с помощью жестов, это по-прежнему вызывает удивление, но все равно входит в обиход. Проще говоря, мы уже видим зачатки будущего.

Но если безопасность всего и вся будет вшита в продукты, как вы и добива­етесь, если весь user experience станет бесконечно более безопасным, чем сегодня, то не возникнет ли ситуации, когда вы больше не будете нужны?

Secure by Design – это и есть наша парадигма. Однако эксперты в области кибербезопасности всегда останутся востребованными. Ведь чем сложнее элементы системы, чем их больше, тем больше энтропии в системе. Законы физики никуда не денутся. С обновлением технологий обновляются и угрозы. Этот принцип, к сожалению, незыблем. Если мы говорим про будущее, то базовыми вещами может стать то, до чего мы еще не дотянулись. Многие сегодняшние проблемы будут закрываться автоматически, зато другие потребуют к себе максимум внимания профессионалов самого высокого уровня.

Хорошо, вы останетесь необходимыми, а есть что-нибудь, чему вы сильно удивитесь или чего ждете от будущего?

Я бы сильно удивился отсутствию злоумышленников через 20, 30, 50 лет, думаю, они будут всегда. Технологии сильно меняются, но они оставляют возможность применять себя и во зло, и во благо. Так что переход из одной формы интернета в другую не отменяет самой проблемы. По одну сторону баррикад будут хорошие ребята, по другую – плохие. Удивляться, пожалуй, можно отдельным решениям, хитро написанному коду, нестандартному применению каких-то элементов искусственного интеллекта. Не секрет, что сейчас эта технология используется злоумышленниками, которые осуществляют сбор информации о человеке, сфере его деятельности, проводят сопоставление различных факторов. Меня это, конечно, не удивляет, но на непрофессионалов это может произвести впечатление.

Единственное, что может сильно повлиять на преступность, – это исчезновение или радикальная трансформация платежных средств и ценностей как таковых. Вот этому я удивлюсь. Но даже при такой ситуации останутся люди, желающие получить что-то нечестным путем.

Французская армия привлекает сейчас не только ученых, но и писателей-фантастов для того, чтобы выработать сценарии возможных глобальных конфликтов и угроз. Как вы относитесь к этой инициативе? И имеет ли смысл подключать творческое воображение?

Это уже происходит, когда подключается творческое воображение и описываются или проговариваются те или иные сценарии. Есть отличный сериал «Черное зеркало». Там в несколько гипертрофированной форме, но тем не менее без всяких розовых очков показано, как могут применяться уже существующие технологии. И насколько негативные последствия это может иметь. Например, чего только стоит серия, где демонстрируется сегрегация общества по количеству лайков и сердечек в соцсетях. Но надо надеяться только на лучшее.

Вы когда-нибудь любили научную фантастику? Какие книги или фильмы могут сбыться?

В первую очередь на ум приходит фильм Спилберга «Первому игроку приготовиться». Вот это точно сбудется. В большей степени это почти реализовалось. Прикрутить к массовым онлайн-играм VR, и вот он, мир первого игрока. Само собой, это будет совершенно новая «поляна» для киберпреступлений и новый вектор атак.

Еще, думаю, сбудется эта штука из Станислава Лема, когда можно взять с собой в дорогу какую-нибудь историческую личность. Конечно, это будет имитация, но это будет отличная имитация на базе машинного обучения. Здорово поговорить с Аристотелем, Платоном или Цезарем.

Главное, чтобы «Терминатор» не сбылся.

Юрий Сергеев, основатель, управляющий партнер группы компаний Swordfish Security

В 2021 году ВТБ Private Banking при поддержке SPEAR’S Russia подготовил проект о будущем. Future Progressive – это обстоятельные разговоры с людьми, создающими наше сегодня, о том, каким может быть наше завтра. Герои проекта – крупные бизнесмены и ученые. В фокусе внимания – темы технологического, экономического, общественного и культурного прогресса, пути и стадии личного развития, возможные трансформации бизнеса и возникновение новых бизнес-моделей, оценка влияния мегатрендов на человека и рынки, выбор направления движения и жизнь после достижения цели. SPEAR’S Russia продолжает публикацию избранных интервью из этого проекта. Первая часть была опубликована в предыдущем, ноябрьском, номере журнала.