Drošības labad mums ir jāpalēnina inovācijas ar internetu saistītās lietās

Tā uzskata drošības eksperts Brūss Šnejers, kurš baidās, ka kiberkatastrofā tiks zaudētas dzīvības, ja valdības nerīkosies ātri. 2018. gada 6. septembris

An Rong Xu





Viedie sīkrīki ir visur. Pastāv iespēja, ka tie atrodas jūsu darba vietā, mājās un, iespējams, uz plaukstas locītavas. Saskaņā ar pētījumu firmas Gartner aprēķiniem, tādi būs vairāk nekā 11 miljardiem internetam pieslēgtu ierīču (izņemot viedtālruņus un datorus), kas šogad apgrozībā ir gandrīz divreiz vairāk nekā pirms pāris gadiem.

Drīzumā tiešsaistē parādīsies vēl daudzi miljardi. To savienojamība padara tos tik noderīgus, taču tas ir arī kiberdrošības murgs. Hakeri jau ir pierādījuši, ka viņi var apdraudēt visu, sākot no savienotām automašīnām un beidzot ar medicīnas ierīcēm, un arvien skaļāk tiek saņemti brīdinājumi, ka straumes laikā, lai produktus laistu tirgū, tiek samazināta drošība.

Jaunā grāmatā ar nosaukumu Noklikšķiniet šeit, lai nogalinātu visus Brūss Šneiers apgalvo, ka valdībām ir jāiejaucas jau tagad, lai piespiestu uzņēmumus, kas izstrādā savienotus sīkrīkus, padarīt drošību par prioritāti, nevis pēcapdomājumu. Ietekmīga drošības biļetena autors un emuāru , Šneiers ir Berkmana Kleina interneta un sabiedrības centra līdzstrādnieks Hārvardas Universitātē un sabiedriskās politikas pasniedzējs Hārvardas Kenedija skolā. Cita starpā viņš ir arī Electronic Frontier Foundation padomē un IBM Resilient galvenais tehnoloģiju speciālists, kas palīdz uzņēmumiem sagatavoties potenciālo kiberdraudu novēršanai.



Šneiers runāja ar MIT tehnoloģiju apskats par riskiem, ar kuriem mēs saskaramies arvien vairāk saistītā pasaulē, un politiku, kas, viņaprāt, ir steidzami nepieciešama, lai tos novērstu.

Jūsu grāmatas nosaukums šķiet apzināti satraucošs. Vai tas ir tikai sulu pārdošanas mēģinājums?

Tas var izklausīties pēc klikšķēsmas publicēšanas, taču es cenšos norādīt, ka internets tagad tieši fiziski ietekmē pasauli, un tas visu maina. Runa vairs nav par riskiem datiem, bet gan par riskiem dzīvībai un īpašumam. Un virsraksts patiešām norāda, ka šeit pastāv fiziskas briesmas un ka lietas ir savādākas nekā pirms pieciem gadiem.



Kā šīs pārmaiņas maina mūsu priekšstatu par kiberdrošību?

Mūsu automašīnas, mūsu medicīniskās ierīces, mūsu sadzīves tehnika tagad ir datori ar tiem pievienotām lietām. Jūsu ledusskapis ir dators, kas uztur lietas aukstu, un mikroviļņu krāsns ir dators, kas padara lietas karstas. Un jūsu automašīna ir dators ar četriem riteņiem un dzinēju. Datori vairs nav tikai ekrāns, ko mēs ieslēdzam un skatāmies, un tā ir lielā izmaiņa. Kas bija datoru drošība, sava atsevišķa joma, tagad ir viss drošība.

An Rong Xu



Jūs esat nācis klajā ar jaunu terminu Internet+, lai ietvertu šo maiņu. Bet mums jau ir frāze lietu internets, lai to aprakstītu, vai ne?

Man riebās, ka jārada vēl viens modes vārds, jo to jau ir pārāk daudz. Bet lietu internets ir pārāk šaurs. Tas attiecas uz pievienotajām ierīcēm, termostatiem un citiem sīkrīkiem. Tā ir tikai daļa no tā, par ko mēs šeit runājam. Tas tiešām ir lietu internets, datori un pakalpojumi, kā arī lielās datu bāzes, kas tiek veidotas, kā arī interneta uzņēmumi un mēs. Es tikko to visu saīsināju uz Internet+.

Koncentrēsimies uz šī vienādojuma daļu no mums. Jūs grāmatā sakāt, ka mēs kļūstam par virtuāliem kiborgiem. Ko tu ar to domā?



Mēs jau esam cieši saistīti ar tādām ierīcēm kā mūsu tālruņi, kurus mēs skatāmies daudzas reizes dienā, un meklētājprogrammas, kas ir līdzīgas mūsu tiešsaistes smadzenēm. Mūsu energosistēma, mūsu transporta tīkls, mūsu sakaru sistēmas ir internetā. Ja tas samazinās, sabiedrība ļoti reāli apstājas, jo mēs esam tik atkarīgi no tā visos līmeņos. Datori vēl nav plaši iestrādāti mūsu ķermenī, taču tie ir dziļi iestrādāti mūsu dzīvē.

Vai mēs nevaram vienkārši atvienot sevi, lai ierobežotu riskus?

To izdarīt kļūst arvien grūtāk. Es mēģināju nopirkt automašīnu, kas nebija savienota ar internetu, un man neizdevās. Nav tā, ka nebija pieejamas šādas automašīnas, bet tām, kuras es gribēju, visām bija interneta pieslēgums. Pat ja to varētu izslēgt, nebija garantijas, ka hakeri nevarēs to atkal ieslēgt attālināti.

Hakeri var arī izmantot viena veida ierīču drošības ievainojamības, lai uzbruktu citām, vai ne?

Tam ir daudz piemēru. Mirai robottīkls izmantoja mājas ierīču, piemēram, DVR un tīmekļa kameru, ievainojamības. Šīs lietas pārņēma hakeri, un tās izmantoja, lai uzsāktu uzbrukumu domēna nosaukumu serverim, kas pēc tam nojauca virkni populāru vietņu bezsaistē. Hakeri, kas uzbruka Target, iekļuva mazumtirgotāja maksājumu tīklā, pateicoties dažos tā veikalos strādājoša līgumslēdzēja IT sistēmu ievainojamībai.

Taisnība, taču šie incidenti neizraisīja dzīvības vai ķermeņa zaudēšanu, un mēs vēl neesam redzējuši daudzus gadījumus, kas saistīti ar iespējamu fizisku kaitējumu, vai ne?

Mums nav. Lielākā daļa uzbrukumu joprojām ietver datu, privātuma un konfidencialitātes pārkāpumus. Bet mēs ieejam jaunā ērā. Acīmredzot esmu noraizējies, ja kāds nozog manus medicīniskos dokumentus, bet kā būtu, ja datubāzē tiktu mainīta mana asinsgrupa? Es nevēlos, lai kāds uzlauž manas automašīnas Bluetooth savienojumu un klausās manas sarunas, taču es patiešām nevēlos, lai viņi atspējo stūri. Šie uzbrukumi sistēmu integritātei un pieejamībai ir tie, par kuriem mums patiešām ir jāuztraucas nākotnē, jo tie tieši ietekmē dzīvību un īpašumu.

Šogad ASV ir bijis daudz diskusiju par kiberdraudiem kritiskai infrastruktūrai, piemēram, elektrotīkliem un dambjiem. Cik šie ir nopietni?

Mēs zinām, ka vismaz divas reizes Krievijas hakeri plašākas militārās kampaņas ietvaros ir atslēguši strāvu Ukrainas elektrotīkla fragmentiem. Mēs zinām, ka nacionālo valstu hakeri ir iekļuvuši dažu ASV elektroenerģijas uzņēmumu sistēmās. Šie uzlaušanas gadījumi ir bijuši pētnieciski un nav radījuši kaitējumu, taču mēs zinām, ka tas ir iespējams. Ja notiek militāra karadarbība pret ASV, mums vajadzētu sagaidīt, ka šie uzbrukumi tiks izmantoti. Un ASV tos izmantos pret mūsu pretiniekiem, tāpat kā mēs izmantojām kiberuzbrukumus, lai aizkavētu kodolprogrammas Irānā un Ziemeļkorejā.

Kā tas viss ietekmē mūsu pašreizējo pieeju datoru drošībai, piemēram, programmatūras defektu ielāpu vai labojumu izsniegšanu?

Ielāpīšana ir veids, kā atgūt drošību. Mēs izgatavojam sistēmas, kas nav ļoti labas, pēc tam atrodam ievainojamības un aizlāpām tās. Tas lieliski darbojas ar tālruni vai datoru, jo nedrošības izmaksas ir salīdzinoši zemas. Bet vai mēs to varam izdarīt ar automašīnu? Vai ir pareizi pēkšņi teikt, ka automašīna ir nedroša, hakeris var to sasist, taču neuztraucieties, jo nākamnedēļ tiks izlaists ielāps? Vai mēs varam to izdarīt ar iebūvētu sirds elektrokardiostimulatoru? Tā kā datori tagad ietekmē pasauli tiešā, fiziskā veidā, mēs nevaram atļauties gaidīt labojumus.

Taču mums jau ir ļoti stingri drošības standarti programmatūrai, kas tiek izmantota sensitīvās kiberfizikālās jomās, piemēram, aviācijā, vai ne?

Pareizi, bet tas ir ļoti dārgi. Šie standarti pastāv, jo šajā un dažās citās nozarēs jau ir stingri valdības noteikumi. Patēriņa precēs jums nav šāda drošības līmeņa, un tas būs jāmaina. Šobrīd tirgus šeit vispār neatbalsta drošu programmatūru. Kamēr jūs kā uzņēmums neiegūsit papildu tirgus daļu, jo esat drošāks, jūs netērēsit daudz laika šim jautājumam.

Tātad, kas mums jādara, lai Internet+ laikmets būtu drošāks?

Nav nevienas nozares, kas uzlabotu drošību, ja valdības nepiespiež to darīt. Atkal un atkal uzņēmumi taupa uz drošību, līdz ir spiesti to uztvert nopietni. Mums ir jārīkojas valdībai, izmantojot vairākas lietas, kas paredzētas uzņēmumiem, kas izstrādā ar internetu savienotas ierīces. Tie ietver elastīgus standartus, stingrus noteikumus un stingrus atbildības likumus, kuru sodi ir pietiekami lieli, lai nopietni kaitētu uzņēmuma peļņai.

Bet vai tādas lietas kā stingras atbildības likumi neietekmēs jauninājumus?

Jā, tie atvēsinās inovācijas, taču tieši tas šobrīd ir vajadzīgs! Lieta ir tāda, ka inovācijas Internet+ pasaulē var jūs nogalināt. Mēs vēsinām inovācijas tādās jomās kā zāļu izstrāde, lidmašīnu dizains un atomelektrostacijas, jo izmaksas, kas saistītas ar to nepareizu izmantošanu, ir pārāk lielas. Mēs esam pārsnieguši punktu, kurā mums ir jāapspriež regulējums pret neregulēšanu attiecībā uz saistītām lietām; mums ir jāapspriež gudrs regulējums pret stulbu regulējumu.

Tomēr šeit ir fundamentāla spriedze, vai ne? Valdībām arī patīk izmantot ievainojamības spiegošanai, tiesībaizsardzībai un citām darbībām.

Valdības noteikti ir malumednieki, kā arī medību sargi. Es domāju, ka mēs galu galā atrisināsim šo ieilgušo spriedzi starp uzbrukumu un aizsardzību, taču būs ilgs un grūts darbs, lai to sasniegtu.

Jūsu grāmata galvenokārt koncentrējas uz ASV. Vai jūs domājat, ka tas šeit uzņemsies vadību?

Es koncentrējos uz ASV, jo tur atrodas lielākie tehnoloģiju uzņēmumi, un tas ir režīms, ko es pazīstu vislabāk, taču es runāju arī par Eiropu. Eiropas Savienība šobrīd ir regulējošā lielvara uz šīs planētas. Es domāju, ka tas virzīsies tālāk un ātrāk nekā ASV. ASV es vairāk skatos uz štatiem, īpaši Masačūsetsu, Ņujorku un Kaliforniju.

Es arī domāju, ka būs starptautiski līgumi un normas, kas vismaz miera laikā ierobežos daļu no mūsu savienotās infrastruktūras nacionālo valstu kiberuzbrukumiem. Mums steidzami nepieciešama rīcība visos līmeņos, sākot no vietējā līdz starptautiskajam. Manas lielākās bailes ir par to, ka notiks kiberkatastrofa un ka valdības bez lielas domāšanas steigsies īstenot pasākumus, kas problēmu neatrisinās.

paslēpties