По словам главы компании "Лаборатория Касперского" Евгения Касперского, с каждым годом кибер–угрозы становятся все более изощренными и появление таких продвинутых вирусов, как Stuxten, способно вывести из строя не отдельные объекты, а целые страны. "Для обрушения такой страны, как Латвия, достаточно всего лишь 50 тысяч компьютеров, и это совершенно реальный сценарий", — говорит он.
Что же будет дальше? По мнению Касперского, через пять лет либо Интернет обрушится из–за массовых атак кибер–преступников, либо государствам придется все же создавать компьютерный интерпол и вводить вход пользователей в Сеть по интернет–паролям. Об анонимности в этом случае придется забыть. Впрочем, похожие идеи г–н Касперский выдвигал еще в 2004 году, когда “ДВ” (ранее — "Коммерсант Дейли") брала у него интервью. С напоминания этого факта мы и начали наш сегодняшний разговор.
"Для обрушения США нужно 5 млн. компьютеров"
— Не напомните, что я говорил вам 6 лет назад?
— Страшные вещи говорили: Интернет обрушится из–за массовых атак и электронного криминала.
— Ну видите, я был прав. Говорил я о том, что в будущем возможен сценарий, когда у Интернета наступят большие технические трудности. То есть возможны такие атаки, при которых Сеть может быть дефрагментирована. Что это значит? Что вы, к примеру, не сможете выйти в Интернет за пределы своего города, а сможете вариться только в пределах локальной Сети. И такое уже было в Эстонии.
— Разе это трагедия? Случилось одно недоразумение в маленькой Эстонии, но это же не массовое явление, которое вы пророчили.
— Да таких историй было уже штук десять! Но далеко не все они попали в прессу, кроме Эстонии и Грузии. Эксперты по компьютерной безопасности вообще–то в шоке от того, что на самом деле может произойти. Потому что Эстония — это наглядный пример того, что можно сделать с небольшой страной, имеющей неплохие интернет–мощности. А эстонский сценарий был реализован при помощи примерно 50 тысяч компьютеров. И для Латвии хватит примерно столько же. Представьте теперь, что можно сделать при помощи 500 тысяч компьютеров? Легко завалить страну в 30 млн. человек.
— А для Москвы сколько компьютеров надо?
— Примерно полмиллиона. А чтобы завалить все США, надо где–то 5 млн. компьютеров.
— Вы прямо сценарий "Крепкого орешка — 4" рассказываете…
— Этот "орешек" — это, конечно, голливудская фигня. Но только наполовину. Вырубить транспортную систему и светофоры — это вполне реально. Если вы знаете, что такое новый вирус Stuxnet, то поймете, какие могут быть страшные последствия. Для тех, кто не в курсе, рассказываю: этот вирус заражает компьютеры системы "Микрософт", но при этом он умно выбирает только промышленные блоки, которые управляют разными процессами — например, регулируют лифты, железные дороги, промышленные конвейеры и электростанции. Эта умная "червячина" смогла обнаружить промышленный компьютер и поменять в нем программу. Говорят, что это была атака на урановые центрифуги в Иране. И это пример того, что можно сделать в рамах сценария "Орешек–4".
Кого напугали кибер–преступники
— Но научились же бороться с такими умными "червяками"?
— С этим просто необходимо было бороться. Но, к сожалению, быстро не получится. Для того чтобы быстро на такое реагировать, нужно менять подход к разработке компьютерных систем вообще. Я убежден, что особенно в промышленных системах компьютерные программы должны разрабатываться под очень строгим государственным контролем. Это как в строительстве дома — есть ГОСТы, стандарты, сопромат. Так должно быть и в компьютерных программах. Если нарушила какая–нибудь сволочь этот стандарт — в тюрьму!
— С чего вы взяли, что этот стандарт будет хорош? Вы готовы лично в этом участвовать?
— Конечно, готовы. Но к нам пока с такими просьбами не обращались, потому что там, наверху, сами еще не понимают, что делается в сфере Интернета. Мы говорили с государственными структурами самых разных стран — и в Вашингтоне, и в Западной Европе, в азиатских странах и в России. То, что я лично понял для себя: они все сейчас страшно напуганы.
— Боятся сценария "Орешка–4"?
— До них наконец–то дошло, что мы все зависим от компьютерных систем, при этом мы не можем гарантировать безопасность работы этих систем. А также то, что в принципе к этим техническим системам могут получить доступ совершенно чужие люди, которые могут оказаться далеко не нашими друзьями.
— Это дорогостоящая разработка?
— Очень! И еще разработка этой системы займет очень много времени. Лет 5–10. А может, и все 50.
— За 50 лет и компьютерные атаки будут совсем другого уровня, от которых ваша система не сможет никого спасти?
— Правильно подмечаете, в этом и кроется основная проблема: надо создавать такую систему, которая могла бы работать со скоростью изменения Интернета. То есть не создавать какой–то стандарт раз и навсегда, а создавать систему, которая модифицируется по ходу необходимости. Интернет меняется с бешеной скоростью, и если мы за ним не будем успевать, то все усилия будут бессмысленны. К примеру, 8 лет назад я понимал, что необходимо государственное регулирование в Сети, и тогда примерно предложил создать компьютерный интерпол. Причем международный. Я даже помню, где это произошло — в городе Брно. Перед каким–то выступлением меня вдруг осенило: мы же идем к нормальной компьютерной преступности. (Смеется.) Все это вирусописательство привело к криминальному бизнесу. А раз есть преступники, должна быть полиция.
— Но пока создание кибер–интерпола — это все же просто хорошая идея от Евгения Касперского?
— Два раза это пытались реализовать. Но всплыла проблема — неверный подход. Разработали целый пакет документов по регулированию полицейских подразделений, но подошли к вопросу на национальном уровне. Я сразу сказал этим разработчикам: ребята, это не будет работать! Вторая была малазийская инициатива: сделать международный центр расследований по компьютерным преступлениям. Но пока у них что–то не срослось, хотя занимаются они этим три года.
Миру нужен компьютерный интерпол
— Не получится ли так, что кибер–мошенники будут умнее кибер–полиции, что позволит первым охотно пользоваться базой данных, созданной против них самих?
— (Задумался.) Да, и такое возможно. Я знаю, что кибер–преступники — люди умные и хитрые. Но отловить всех — это неправильная цель. Цель — контролировать их популяцию, чтобы их не было слишком много.
— А сколько их всего в мире, вы знаете?
— Мы делали свои оценки по семействам вирусов, которые написаны одними и теми же людьми. Это дало возможность оценить примерное количество человек в каждой группе — это можно выяснить по арестам этих людей. В результате мы получили несколько десятков тысяч человек, которые в мире производят и распространяют троянские программы. Скажем так: наша цифра не дотянула до 100 тысяч. Но при этом в год за кибер–преступления арестовывают несколько сотен человек. То есть за решетку попадают несколько процентов от всей этой оравы преступников. А если будут попадать хотя бы процентов 30, то они поймут: а это дело–то хреново пахнет. И это приведет к тому, что непрофессиональные кибер–преступники просто перестанут заниматься своими черными делами.
— Что, на ваш взгляд, нужно сделать, чтобы прикрыть хотя бы 30% этой шайки кибер–преступников?
— Всего лишь интернет–интерпол. Должна быть организация, которая контролирует кибер–полицейские подразделения в разных странах. Необходима государственная поддержка в тех случаях, когда идет расследование. Технически это делается очень просто, но нужна политическая поддержка, так как типичное кибер–преступление, как правило, совершается гражданином одной страны против гражданина другой страны, да еще и через прокси–сервер, который стоит в третьей стране. То есть необходимо максимально быстро бегать за этими кибер–мошенниками для того, чтобы их найти.
— Сколько нужно средств для создания интернет–интерпола?
— Не очень много — на уровне бюджета не очень большого департамента ООН.
— Почему бы это финансирование частично не перекинуть на какие–то финансовые структуры, которые несут миллиардные потери от кибер–преступности?
— Потому что они далеки от этого вопроса. Я разговаривал с банкирами, они прекрасно это понимают, но не знают, как это можно реализовать. И фактически платить сверх того, что они платят в виде налогов, они не хотят. Я сам готов консультировать по таким вопросам бесплатно. У нас есть коммерческая деятельность, а есть социальная ответственность. И создание интерпола — это как раз тот случай.
Латвия для меня слишком маленькая
— Осенью этого года "Лаборатория Касперского" открыла представительство в Латвии. Нет планов в Латвии еще как–то расшириться?
— Скажу честно: везде операционные системы одинаковы, и преступники атакуют всех подряд, не спрашивая о национальности. Поэтому ничего особенного для Латвии и Балтии мы придумывать не будем. Мы будем развивать нашу партнерскую сеть и бизнес, вкладываться в латвийскую территорию, чтобы со временем стать там компанией номер один в своей отрасли.
— Сейчас у вас в Латвии какие позиции?
— В консьюмерском сегменте — наверное, номер один. Но в корпоративном сегменте — нет.
— А перенести в Латвию часть своей "лаборатории"?
— В Литве был у меня случай. Сидим мы там со своим партнером Петровым. Он спрашивает: "Женя, тебе нравится Вильнюс?" Я говорю: "Классно у вас, погода такая чудная, все красиво". Он говорит: "Жень, а ты переноси сюда свой бизнес!" А я спрашиваю: "Вот подумай, сколько у вас населения? И сколько среди них IT–программистов и админов? Вот подумай, если я перенесу свой бизнес к вам, то ваша страна останется без IT–спецов". Тогда он говорит: "О нет, Женя, оставайся в Москве". У нас сейчас работает около 800 IT–специалистов и постоянно открыты какие–то вакансии.
— Как оцениваете идею создания IT–городка в Сколково?
— Крупно участвовать в этом проекте не будем, но участвуем как консультанты как по юридическим вопросам, так и по налогообложению. Все–таки это место для старт–апов, и они мне не особо–то нужны.
— Не кажется это вам идеей, спущенной сверху?
— Это совершенно нормально, что эта идея была спущена сверху, потому что в Китае, в Малайзии и в других странах все подобные планы были спущены сверху. В Китае это была просто чудесная идея, и мы сами пользовались всеми этими благами. Чтобы развить там IT–бизнес, они предлагали просто немыслимые льготы, которые мы все использовали при создании там представительства. Арендная плата — ноль, налоги — ноль, только садитесь и работайте. Прошел год, арендная плата и налоги — чуть больше нуля. Второй год — уже появляются какие–то небольшие налоги. Разве не прелесть?
— В Латвию вас тогда больше не приглашаю.
— (Смеется.) Поэтому мы идем в Китай, а не к вам. Там у нас работает уже более 100 технических специалистов.
— Кризис вас не коснулся?
— Немножко. Если мы раньше росли на 60–70% в год, то сейчас кризис нас прижал — и растем по 20–30% в год. Народ начал экономить, пересаживается на бесплатные антивирусники…
— Бесплатные — значит, плохие?
— Народ не понимает простых вещей: бесплатные антивирусники не гарантируют такого качества, как платные. Разработка антивирусных программ — это очень затратное мероприятие. Еще одна затратная часть — распространение апдейтов. Мы платим за трафик, которые скачивают наши пользователи. У бесплатников — всего один апдейт в день. Это как один презерватив в день (смеется).
Вся жизнь — в Интернете
— Как изменится Интернет через 20–30 лет?
— С каждым днем компьютерные технологии проникают все глубже в нашу жизнь. Часы со встроенным мобильным телефоном — это уже есть. Чума полная! Если посмотреть на 15–20 лет назад, компьютер был роскошью и редкостью. Это была дорогая игрушка для дома. Потом он стал средством коммуникации — почта, Интернет. Потом это стало средством бизнес–процессов, средством СМИ и развлечений. Сейчас компьютерные системы для нас — почти все. Индустрия, транспорт, развлечения, образование и даже любовь.
— То есть больше в Интернет нечего запихнуть?
— Обязательно найдется. И это очень сильно изменит нашу жизнь, а также отношение к безопасности. Потому что по привычке все до сих пор делается небезопасно. Я опасаюсь того, что в течение ближайших 2–5 лет будет очень несколько серьезных и болезненных инцидентов по причине компьютерных атак или компьютерных сбоев. Может, это и к лучшему. Когда пару раз нас сильно тряханет, тогда все забегают — не бестолково суетясь, а со смыслом. И тогда IT–безопасники озолотятся.
— А когда все–таки будет реализована ваша идея с персональным входом в Интернет по паролям? Вы это прогнозировали в 2004 году как скорое будущее.
— Что касается паролей для интернет–пользователей, то да — этого еще не произошло. Но обязательно произойдет. Технически, если все возьмутся за это и эта задача будет стоять на государственных уровнях, через лет пять эта программа могла бы заработать. И стало бы реально спокойней жить в Интернете.
Ольга Князева