«Россия по части интернет-сервисов обогнала Запад»

Обновлено: февр. 25

Вице-президент ГК InfoWatch Рустэм Хайретдинов рассказал о регулировании интернета в России, почему Россия обогнала Запад в интернет-сервисах, о киборгах, которые уже живут среди нас, о крипто-валюте и кибербезопасности, а также о том, есть ли угроза «человеческим ресурсам» со стороны роботов.

Материал впервые опубликован на портале «БИЗНЕС Online». На нашем сайте публикуется полная версия интервью.



В апреле нынешнего года — ровно через год после того, как российские власти начали предпринимать попытки блокировать «Телеграм», был принят закон о суверенизации российского сегмента интернета. Прошло полгода. Что-то уже сделано после принятия закона в практическом плане? Что будет сделано в следующем году?

  Я не участвую в практических действиях по обеспечению суверенизации Рунета, поэтому вряд ли что-то могу сказать конкретного. Как и вы, я узнаю про действия государства из новостей или при сбоях в работе Интернета. Наша часть работы — обеспечение безопасности веб-сервисов в российском сегменте, а это совсем другая задача. Но наверняка вашим читателям интересны перспективы российского сегмента Сети, поэтому попробую «на пальцах» объяснить, что происходит с «чебурнетом», как его пытаются оскорбительно называть.

Есть задача обеспечить бесперебойное функционирование российского сегмента при враждебных действиях снаружи – массированной атаке, случайном или намеренном отключении инфраструктуры и других внешних угрозах. Как это выглядит мы уже видели на примере Ирана и, частично, в Крыму после введения санкций. В 2000-х в мире была эйфория от глобализации и связанной с ней унификацией и поэтому многие предприятия выбрали интернет-протоколы не просто как основные, а как единственные каналы обмена информацией. Ещё в 90-х годах протоколов обмена было великое множество – для голосовой телефонии использовался свой протокол, для пожарной сигнализации – свой, для видеонаблюдения – свой, для передачи голоса в GSM-сетях свой и т.д. Сегодня единственный протокол, который используется при большинстве коммуникаций – это IP, все устройства работают по нему. Это удобно в настройке и гораздо дешевле в реализации – не надо, как раньше, прокладывать несколько проводов на объекте: один телефонный, один для сигнализации, один для видеонаблюдения – все вместе они назывались «слаботочкой», то есть проводами для слабых токов, в отличие от силовых кабелей.

Сегодня кладётся только два провода: сетевой для всех видов коммуникаций и силовой для питания. А много где и силовой кабель уже не кладётся, с появлением стандарта PoE (Power-over-Ethernet) питать устройства слабой мощности типа видеокамер, роутеров и других, можно теми же проводами, по которым передаются данные. Большинство этих систем подключено к всемирной Сети, это действительно очень удобно – и в плане управления, и в плане экономии за счёт унификации. Удобно, да рискованно, теперь вся эта система, к которой подключены не только браузеры, а миллионы систем жизнеобеспечения, находится под угрозой воздействия извне.

Поэтому государству важно, чтобы коммуникации и наложенные на них сервисы – госуслуги, финансовые сервисы, Интернет вещей и прочие, бесперебойно работали при любых внешних воздействиях. Действует оно неуклюже, потому что торопится и нет времени взвесить все последствия, но тем не менее оно пытается решить свои задачи. Уже несколько раз проводились учения по отключению русского сегмента сети от Всемирной сети, получен уникальный опыт и сделаны правильные выводы. К сожалению, государство пока не озаботилось объяснить российским пользователям, что и зачем оно делает, поэтому вместо государства его действия в «чебурнете» объясняют блогеры, убеждающие своих фолловеров, что эти действия нужны для цензуры.

Как вы, как профессионал, оцениваете подобные меры? Они действительно оправданы? Чего в них больше для российской экономики, науки, бизнеса, граждан, — пользы или вреда? Почему?

  То, что государство делает технически, оправдано и полезно, прокалывается оно в основном в области идеологической, в объяснении того, что и зачем оно делает. Повторюсь – целью государства не является ограничение свободного доступа к информации, нигде и никогда эта цель не декларировалась. Свободный доступ к информации – базовый принцип развития человечества, я сам ежедневно знакомлюсь с новыми материалами по своей специальности и большинство из них публикуется на английском языке и вне российского сегмента. Жалею, что не знаю китайского – очень много нового сегодня публикуется на этом языке, а при переводе статей на английский смысл искажается, в том числе и из идеологических соображений. Если отрезать российских граждан от информации – довольно скоро мы начнём отставать и в науке, и в бизнесе, и в технологиях. Но государство к этому не стремится.

—  Один из экспертов считает, что все эти меры малоэффективны. Вот что он пишет: «1. Обходить блокировки можно и через DPI. В данный момент ни один DPI не научился определять протокол, через который работает «Телеграм» в России, а большинство сайтов и других сервисов работают по протоколу TLS. Если его заблокировать — не будет работать почти весь интернет. 2. Научиться оперативно определять доступность ресурсов по разным параметрам с точки зрения пользователя, чтобы обходить «слепые» блокировки — не проблема. 3. В отличие от зачистки рынка операторов, в случае отключения интернета Роскомнадзором на DPI, все операторы включат трафик напрямую». Это всё действительно так? Все блокировки обходимы и преодолимы? И если это так, а госпрофессионалы не могут этого не знать, тогда зачем вообще всё это делается?

  Сложилась добрая традиция рассматривать любые инициативы государства с точки зрения книги «1984», которую на самом деле мало кто читал, а большинство знает её содержание в пересказах выдернутых из контекста интернет-мемов типа «Большой брат слышит», «Война это мир» или «Тот кто управляет прошлым, управляет будущим». Хотелось бы, чтобы всё было так просто, как в мемах, но когда начинаешь разбираться в целях и методах, начинаешь понимать, что всё гораздо сложнее. Сегодня Интернет перестал быть хобби узкой прослойки технарей, а стал частью инфраструктуры, на которой базируются государственные сервисы, в том числе – и жизненно важные. Если раньше каждый пользователь Сети был немножко админом, то сегодняшние пользователи – это ничего не понимающие в технологиях обыватели, часто очень доверчивые. Поэтому Интернет будут регулировать во всех государствах, в том числе и в России. Такой путь прошли многие элементы инфраструктуры.

Вспомним дороги: до изобретения автомобилей и долгое время после их изобретения дороги никак не контролировались государством, разве что отмечалась сторона дороги, по которой следовало ехать: каждый ездил как хотел, с той скоростью, с которой хотел, поворачивал, где хотел, в силу личных симпатий выбирал кого пропускать, а кого нет. У автомобилей, как и у лошадей, не было регистрационных номеров, вообще не существовало никакой регистрации. Не нужны были водительские права, сел и поехал. Никакого техосмотра – твой автомобиль, вот и следи за ним. Потом автомобилей стало много, появились столкновения и жертвы, стали создаваться заторы, мешающие движению, а значит – перемещению граждан и товаров.

Тогда государство и взялось регулировать эту часть инфраструктуры: появились правила дорожного движения, знаки и разметка, стандарты дорожного строительства, дорожная полиция, которая контролирует выполнение этих правил, автомобили (и повозки, ведомые лошадьми, кстати, тоже) стали регистрировать, выдавать им видимые номера, за руль стало невозможно сесть без прав, появились стандарты вождения и т.п. И всё это не просто контролируется, но и усиливается системой наказаний – от мелких штрафов до уголовного наказания. Уверен, когда появились первые правила на дорогах, те, кто уже давно ездили, громко возмущались, что «государство вмешивается в их жизнь, придумывает дурацкие правила и штрафы, из-за которых «я не могу теперь повернуть там, где вчера спокойно поворачивал и никому не мешал». Так и с Интернетом – он стал важным элементом в управлении государством, обратного пути не будет, государства будут только ужесточать контроль. С Интернетом есть ещё нюанс, которого не было с дорогами. Образно говоря, рубильник от него находится не в России, а у нашего геополитического соперника. И государство просто обязано рассматривать сценарии, при которых важная часть инфраструктуры может в один момент перестать функционировать, и придумывать как уменьшить риск такого воздействия и ущерб от него. Я бы и сам не захотел летать самолётом, управление которым находится в чужих руках, и кто-то внешний и даже враждебный мне может по желанию разом заглушить двигатели. Помните насосы в Газпроме, которые отключили через спутник? Или банки, клиентов которых внезапно отказались обслуживать платёжные системы? Потому государство и импортозамещается и выпускает свою платёжную систему, чтобы ему не могли угрожать отключениями. Усилия государства в области суверенизации Интернета можно трактовать скорее, как активность по защите от внешнего воздействия, а не как попытку запретить гражданам смотреть на иностранных котиков. О конкретных шагах и действиях, в том числе и дурацких, типа вялой имитации борьбы с Телеграмом, а также о конкретных способах что-то обходить, говорить неинтересно – всё ещё тысячу раз изменится и отменится. Конкретные шаги, действия инструменты и протоколы – лишь часть пути наощупь в сторону регулирования Сети. Тренд на усиление контроля за Интернетом со стороны государств оформился чётно, каждое государство будет идти своим путём – США своим, Европа своим, Китай своим, а Россия, по обыкновению, будет искать свой путь, опираясь на опыт других стран и сверяя его со стратегическими целями. Все будут действовать наугад и делать ошибки, поскольку подсмотреть работающий механизм не у кого – все начали одновременно.

Какие-то меры обязательно будут во вред бизнесу конкретных компаний и даже отраслей, а раз дело касается частных денег конкретных богатых людей, мы столкнёмся и с подковёрным лоббированием частных интересов, и с публичными организованными компаниями против «душителей свободы», в которые явно или втёмную будут вовлечены люди, привыкшие пользоваться Интернетом анонимно и безконтрольно. Будет обязательно и обход блокировок, и «дигитал резистанс» от школоты и профессионалов – мы всё это уже видим: любители за свой счёт поддерживают узлы Тора или прокси-серверы для Телеграма, а профессионалы неплохо зарабатывают, продавая VPN. Заметьте, сегодняшнее «сопротивление» абсолютно безопасно для его участников, блокировка каких-то ресурсов в Сети не означает ответственности пользователей этих ресурсов: Телеграм, Линкед Ин, Флибуста, Рутрекер или порносайты заблокированы, но если вы ходите на них – вам ничего не грозит.

Это давление не на пользователей, а на владельцев ресурсов с тем, чтобы заставить их следовать законам страны – делиться со спецслужбами ключами по запросу, хранить данные пользователей в стране, удалять запрещённые законом материалы, соблюдать авторские права и т.п. Поэтому нет никакого геройства продолжать пользоваться запрещёнными ресурсами – пользователям ничего не запрещено и никаких санкций к пользователям нет. «Заблокирован» и «запрещён» это разные термины и методы, журналисты любят их смешивать ради создания некой драмы, но это не выглядит умно. Зачем же тогда всё это, раз все, кто хочет, могут эти блокировки обойти? Действия государства направлено на большинство, причём даже не настоящее, а на будущее. У любого запрета есть, условно говоря, 10% ярых сторонников, 10% явных противников и 80% людей, которые выберут удобство, а не принцип или бренд. Продемонстрирую на примерах. После блокировки Телеграм было несколько крупных сбоев в коммуникациях, и мы перевели всю поддержку из Телеграм на WhatsApp. Потому что нам важен не бренд и «резистанс», а доступность и оперативность в реакции на запросы наших клиентов. Многие клиенты сами попросили перевести коммуникации куда-то ещё, потому что исчезло доверие к каналу. Кто-то остался в Телеграме принципиально и мы коммуницируем с ними там, но новые чаты уже в опальном мессенждере не заводим. То же самое и с Линкед Ином – за три года блокировки мы в России переехали на HH, аккаунт в зарубежной сети используем только для поиска сотрудников за рубежом. Не из лояльности государству, а из-за удобства. Государство действует резко только во время войны и чрезвычайных ситуаций. В мирное время оно стремится делать всё мягко, довольно долго игнорируя нарушителей. Это касается всех отраслей: налогов, ПДД, ЖКХ, трудовых отношений. Посмотрите на борьбу с курением: запреты вводятся постепенно, с большой отсрочкой, наказание наступает не сразу, а на третий раз и т.п. Те, кто хочет курить – продолжают курить, даже в самолётах, принимая на себя все риски. Те, кому стало неудобно бегать в мороз на улицу – бросили, кто не смог бросить – продолжает бегать, или «борется с системой», куря в таулете. Ну и пусть, все понимают, что злостные курильщики от закручивания гаек меньше курить не станут, разве что «балующиеся» примут сторону удобства, а не привычки, и бросят. А вот новых курильщиков станет меньше и когда старые умрут, в среднем по стране курения станет меньше – вуаля, цель достигнута.

Государству на сегодняшнем этапе наплевать на действия цифровых сопротивленцев, если они не ведут к нарушению других законов: не потворствуют терроризму, отмыванию денег, детской порнографии и т.п. – делайте что хотите, обходите блокировки, ходите на любые ресурсы, воруйте контент, ответственность за это не наступит. Государство мыслит стратегически, там тоже есть разные течения – от ультрапатриотов до ультралибералов и мы с вами ещё увидим нелогичные и противоречащие друг другу шаги.

Меньшинство нарушителей любых правил будет всегда –  они гоняют на дорогах, наличат деньги, курят в метро, принимают наркотики и т.п. Пока они не опасны для остальных, на них не будут обращать внимания, если большинству будет в этих правилах комфортно. Государство, в отличии от корпораций, не может просто избавиться от статистически пренебрежимого количества принципиальных нарушителей, «уволить» их, оно будет их любить и просто ждать, когда они сами перестанут нарушать правила по какой-то из причин: сознательно ли, от неудобства нарушения, от боязни наказания или просто унесут свой протест в другую страну или мир иной.

Так что хотя многие конкретные шаги государства вызывают вопросы и даже смех, направление пути по регулированию Интернета мне, как человеку из информационной безопасности, представляются правильными и логичными. Думаю, скоро будет очередная волна возмущения и саботажа, связанного с деанонимизацией пользователей Интернет, а она обязательно будет: уже внедряется авторизация в публичных точках доступа и при продаже sim-карт сотовых операторов, а также при подключении домашнего интернета. Обязательна авторизация и на многих Интернет-сервисах, от финансов до электронной коммерции, при покупке билетов и т.п.

Теоретически вы сегодня можете быть в Сети анонимны, но как только вы захотите сделать что-то значимое: провести банковскую операцию, заказать товар или госуслугу, придётся авторизоваться. На большинстве сервисов, включая совсем безобидные, типа заказа еды, авторизация сегодня проводится с введением номера мобильного телефона, что позволяет однозначно привязать пользователя к паспорту владельца сим-карты.

Существуют, конечно, способы получения сим-карты анонимно, но все они, мягко говоря, противозаконны. Так что можно сказать, что скоро де-факто большинство пользователей Интернета буде сидеть в Сети «по паспорту» — но не потому что так сказал «товарищ майор», а потому что это открывает новый уровень доверенных операций. Удобство вообще «рулит». Помните, как мы параноили про то, что Apple сначала собирал со своих пользователей отпечатки пальцев, а потом и сканы лиц? И что? Удобство пользования, сочетание простоты и безопасности, победили все страхи – думаю, что цифровым паролем пользуются единицы процентов пользователей смартфонов. Конечно, когда и если использование паспорта для входа в Сеть станет обязательным, мы обязательно услышим хор голосов про «свободу не задушишь» и рекомендации, как обойти требования государства.

—  В 2017 году была принята программа «Цифровой экономики» РФ. Но вот в октябре текущего года последовал целый ряд утечек данных клиентов из ведущих российских банков и организаций, на что отреагировали многие известные люди, и отреагировали весьма нелестно. Так известный российский экономист и социолог Владислав Иноземцев в частности написал: «Собственно говоря, эта история выглядит своего рода приговором российской «цифровой экономике», которая куда более активно обсуждается чиновниками, чем развивается профессионалами». Вы согласны с такой оценкой? Что представляет из себя цифровая экономика в российском исполнении? Что сделано и не сделано с 2017 года по сей день?

Не знаком с уважаемым Владиславом Иноземцевым, ни с его мнением, поэтому не буду его комментировать. На мой взгляд, то, что сегодня происходит с утечками данных из информационных систем крупных компаний не только у нас, но и за рубежом, отражает классический цикл развития новых технологий: сначала функции – потом безопасность.

Компании, стремящиеся в рыночной гонке занять доминирующие высоты, в угоду скорости внедрения технологий и вывода на рынок услуг жертвуют безопасностью. Так было со многими технологиями – и с магнитными картами, и с банкоматами, и с интернет-магазинами, когда сначала клиенты радовались удобству, потом обнаруживали у технологий оборотную сторону – возможность потерять деньги или данные. Поэтому сегодня ситуация такова – компании обрадовались открывшимся возможностям сбора и анализа данных – это и персонификация предложений, и точный скоринг, и противодействию мошенничеству, и поведенческая аналитика, и предсказание действий пользователя – и начали активно данные собирать и анализировать, и при этом как попало хранить.

Государство в борьбе с терроризмом и отмываанием денег только подлило масло в огонь: теперь персональные данные собирают все подряд – банки, госорганы, гостиницы, телеком-операторы, бизнес-центры. Без паспорта невозможно получить причитающуюся льготу, вернуть деньги за неоказанные услуги, получить госуслугу, поехать поездом или полететь в самолёте. Поэтому персональные данные собирают все кому не лень и даже те, кому лень, но их обязывают для отчётности или безопасности – от маленькой кассы в чистом поле и бюро пропусков в сельском клубе. Неудивительно, что с ними постоянно что-то происходит, чисто статистически это будет случаться чаще и чаще, поскольку данных собирают всё больше и во всё больших местах. С этим, безусловно, надо бороться, средства и методы такой борьбы давно известны, просто сейчас клюнул жаренный петух и пришла пора инвестировать в безопасность.