Все наше существование постепенно переходит в цифровой формат. Мы общаемся в сети, работаем, учимся, а порой и отдыхаем, устремляясь в мир виртуальных игровых миров. Но мало кто задумывается о том, насколько безопасно информационное пространство. Сама информация была и остается для человечества важнейшим элементом развития. А личная информация воспринимается как нечто сокровенное, пусть и иногда выставляется напоказ в социальных сетях. В интервью с Иваном Владимировичем Чижовым мы поговорили о самых разных аспектах информационной безопасности и обсудили главные тенденции цифровизации.
Иван Владимирович Чижов — кандидат физико-математических наук, доцент кафедры Информационной безопасности факультета Вычислительной математики и кибернетики МГУ.
— Что входит в понятие информационная безопасность?
— Информационная безопасность — это многогранное понятие. Оно определяет деятельность по обеспечению некоторых свойств информации, связанных с ее безопасностью. В данном случае мы говорим об информации, представленной в самых разных видах, не только в электронной форме. Как и любая другая область, связанная с безопасностью, информационная безопасность формировалась наравне с процессом накопления больших объемов информации. Поэтому в определенный момент, когда информация стала для человека важной составляющей его существования, а нарушение свойств информации стало приводить к негативным последствиям, появилась область информационной безопасности.
— О каких свойствах информации вы говорите?
— На сегодняшний день выделяют три главных свойства. Первое из них — конфиденциальность. Оно гарантирует, что доступ к информации имеют только определенные лица. Второе, не менее важное свойство — свойство целостности информации, которое защищает те или иные данные от нелегального изменения информации. Если конфиденциальность наиболее важна для государства, свойство целостности затрагивает обычных людей, нас с вами. Скажем, если вы посылаете запрос в банк на перевод денег с вашего счета, а кто-то перехватывает его по пути и меняет адрес назначения, то вы теряете деньги. Поэтому задача специалиста по информационной безопасности обеспечить условия, которые не позволят нелегально изменить информацию.
И, наконец, последнее, третье свойство — доступность информации. Оно так же больше касается обычных людей. Когда информация становится товаром, то любое блокирование доступа к информации ведет к потере денег. Скажем, блокировка интернет-магазина приводит к потере дохода, что негативно сказывается на бизнесе.
— Какие методы используются для обеспечения свойств информационной безопасности?
— Во-первых, законодательные. В области информационной безопасности есть набор правовых актов, которые направлены на поддержание деятельности по защите информации.
Во-вторых, в распоряжении специалистов по информационной безопасности есть специальные технические средства. Скажем, в сфере безопасности дорожного движения техническими средствами считаются светофоры, которые регулируют дорожное движение. А в области информационной безопасности есть технические средства, которые позволяют обеспечивать конфиденциальность информации, доступность и целостность. Следующий уровень — организационные меры. Если мы расставим светофоры, но люди при этом будут игнорировать их и переходить дорогу на красный свет, то ни о какой безопасности мы говорить не сможем. Так и в информационной безопасности важно обеспечить некую организационную составляющую и побудить людей подчиняться некоторым правилам.
На сегодняшний день самое наукоемкое направление информационной безопасности связано с технической защитой. На наших глазах происходит настоящая революция, связанная с развитием самих способов обработки информации. Еще 50 лет назад никто не задумывался об облачных хранилищах, мессенджерах и смартфонах. А сегодня «умный телефон» фактически хранит всю информацию о своем владельце. И зачастую средства обеспечения безопасности очень своеобразны.
— Приведите пример.
— Например, криптографические средства сегодня наиболее наукоемки с точки зрения математических методов. Вообще математика — важная составляющая и нашего факультета ВМК МГУ. А тематика криптографических систем близка и мне.
Сегодня активно развивается так называемое гомоморфное шифрование, которое позволяет обрабатывать зашифрованные данные. Проще говоря, пользователь может проводить вычисления, не расшифровывая информацию, при этом получить результат уже в зашифрованном виде.
Интересные разработки ведутся в сфере защиты информации, связанной с обеспечением приватности. Сегодня наша коммуникация практически перешла в электронную плоскость. В связи с этим появилось множество новых протоколов, которые обеспечивают защиту информации.
— Если говорить о вычислительных технологиях и цифровом пространстве, то кто в данном случае обеспечивает нашу безопасность?
— Специалисты по информационной безопасности в рамках более узких направлений. Например, специалисты по кибербезопасности обеспечивают безопасность компьютеров и процессов обработки цифровой информации. Есть те, кто разрабатывает средства защиты, технические алгоритмы и различные криптографические механизмы.
Но главное то, что нашу безопасность должны обеспечивать мы сами.
— Каким образом?
— В первую очередь, соблюдать простые правила, по типу «не ходить на красный свет». Очевидно, не стоит писать в социальных сетях гадости про своего начальника в надежде, что никто об этом не узнает.
А если серьезно, в цифровом пространстве необходимо следовать правилам цифровой гигиены. Самое простое — не лениться создавать индивидуальные пароли для каждой учетной записи. Безусловно, без ответственного отношения человека к своей безопасности ни одна технология, ни один другой человек не сможет его защитить.
Проще говоря, не стоит уповать только на защитные механизмы сайтов, а нужно еще и самому соблюдать ряд правил.
— Сейчас все чаще звучат сообщения о масштабных утечках данных пользователей. Кто виноват в подобных событиях: специалисты, которые плохо обеспечивают нашу безопасность, или мы сами?
— Играют роль оба фактора. Но в каждом конкретном случае фигурируют совершенно разные причины. Например, компании, которые собирают данные, зачастую не обеспечивают должный уровень безопасности этих данных. Но и люди, ставшие жертвами подобных утечек, как правило, не соблюдают элементарные правила информационной гигиены. Скажем, вы создали учетную запись на сомнительном сервисе и ввели пароль от своей почты. Как только этот сервис взломают, ваш пароль станет известен злоумышленнику, который сможет использовать его для доступа к вашей почте, а значит и к другой информации, содержащейся в социальных сетях или банковских сервисах. То есть информационная безопасность — это всегда вопрос комплексный. Это слаженная работа многих механизмов, начиная от юридических, организационных, кончая техническими средствами и, конечно, сознательностью человека.
— Если говорить о ключевых направлениях информационной безопасности в цифровом пространстве, то какие из них наиболее активно развиваются?
— Каждое из направлений активно развивается. Надо сказать, что в цифровом мире сами средства обработки информации и вообще любая технология защиты привязаны к той технологии, которая работает с информацией. Скажем, вы можете передать сообщение в виде электронного письма или в социальных сетях. А можете и вовсе хранить файл на компьютере, а передать его с помощью носителя. Все это цифровые технологии, которые используют разные способы хранения, обработки и передачи информации.
Безусловно, динамично развивается область кибербезопасности. Те же хакеры постоянно пытаются совершенствовать свои методы. При этом некоторые системы защиты, которые использовались 20-30 лет назад, попросту устарели.
Интересно и то, что развитие информационных технологий позволяет подталкивать развитие систем безопасности. Сейчас много и часто говорят о технологии обработки больших данных. Нейронные сети у всех на слуху. Их активно используют Google, Facebook и другие IT-гиганты. Все они собирают информацию, обработкой которой занимаются нейронные сети. С одной стороны, необходимо защищать данные при обработке в нейронных сетях, но и сами нейронные сети позволяют строить технологию защиты. Тем самым, развитие технологий влияет на развитие систем и методов безопасности.
Кстати, на факультете ВМК со следующего года открывается магистерская программа на стыке компьютерной безопасности и нейросетевых технологий. Сегодня возникает потребность в профессионалах, которые понимали бы специфику больших данных и методы кибербезопасности. Многие компании нуждаются в системах защиты на основе методов обработки больших данных.
Если вернуться к вопросу о нейронных сетях, то стоит напомнить, что нейронная сеть получает на вход данные реальных пользователей, которые в принципе не могут быть обезличенными. Наши смартфоны собирают о нас гигантское количество информации. Все это поступает в облачные серверы, где нейронные сети переваривают информацию. Получается некий компромисс — пользователь получает рекомендательную систему, которая на основе предпочтений предлагает фильмы, музыку, видеосюжеты, напоминает о покупке билетов и так далее, но при этом нейронные сети на входе получают доступ к информации о каждом пользователе. Поэтому сегодня научное сообщество стремится найти метод, который позволял бы шифровать данные пользователей сразу. Нейронная сеть будет все также полезна для пользователя, но при этом будет максимально обеспечена его приватность. Пока это направление упирается в технологические проблемы. Конечно, уже сегодня есть безопасные гомоморфные шифры. Но для того, чтобы их использовать в нейросетях, требуется преодолеть ряд особенностей этих алгоритмов, связанных с накоплением ошибки при выполнении гомоморфных вычислений.
И, конечно, нельзя не упомянуть квантовый компьютер. За последние 10 лет криптография, как важная составляющая информационной безопасности, менялась на фоне роста потенциальной возможности создания квантового компьютера. Это тоже отдельное крупное направление. Причем, технологии и алгоритмы, лежащие в основе постквантовых криптографических механизмов, известны давно, но только сейчас возник интерес со стороны и криптографического сообщества, и правительств развитых стран.
— Во многих странах мира, в том числе и в России, планируют выпускать цифровые паспорта. Паспорт для человека всегда был самым важным документом. Как в данном случае будет обеспечиваться его безопасность?
— Безопасность электронных паспортов будет обеспечиваться криптографическими методами, о которых я говорил. И, в общем-то, электронных паспортов бояться не нужно. Во-первых, потому что паспорт выпускает государство. Следовательно, государство за него отвечает. Правительства стран осознают, что в случае взлома и утечки данных, государство ждут большие репутационные потери. А, значит, проводится большое количество исследований в области защиты электронных паспортов. И, конечно, соблюдая определенный комплекс мер, можно самостоятельно обеспечить безопасность электронного паспорта.
По сути электронный паспорт практически не отличается от бумажного эквивалента, за исключением того, что технология защиты паспорта, например, подпись, переходит в электронный вид.
Плюс ко всему, сама конструкция паспорта в виде привычной нам пластиковой карты будет обеспечена дополнительной защитой от незаконного считывания и подобного рода атак.
— Если говорить о технической составляющей, то какая техника хранит существующие большие объемы данных и обеспечивает их безопасность?
— Как правило, все данные хранятся на серверах или в облачных хранилищах. Такое «облако» представляет собой набор серверов и систем хранения, которые могут быть разрозненны и находиться на огромном расстоянии друг от друга. Обычно, большие системы хранения стоят в центрах обработки данных по всему миру. И часто бывает так, что профиль человека в социальной сети хранится в одном месте, а профиль человека из списка его друзей — на арендованном сервере другой страны. И даже данные об одном и том же человеке могут храниться в разных базах и физически в разных точках мира. При этом пользователи видят единые страницы. Это достигается за счет того, что центры обработки данных логично связаны друг с другом. Этот факт, очевидным образом, усложняет защиту технологии хранения. Возможно, в будущем наши данные будут храниться в зашифрованном виде хотя бы на серверах. Сегодня это не так. И многие компании прилагают немалые усилия, чтобы сохранять свою репутацию и не допускать манипуляций с информацией своих пользователей со стороны злоумышленников.
— В каких направлениях работает ваша кафедра?
— Наша кафедра работает в рамках большого количества направлений. Часть сотрудников занимается криптографией, некоторые исследуют постквантовую криптографию или работают с гомоморфным шифрованием и различными протоколами, другие изучают проблемные вопросы безопасности информационных систем. Каждое из этих направлений опережает время.
Также на факультете есть специалисты, которые занимаются юридическими аспектами информационной безопасности на уровне крупных компаний и государства в целом. Поэтому, можно сказать, что сотрудники не только кафедры, но и факультета в целом охватывают все цифровые и информационные аспекты, которые развиваются на переднем крае науки.
— Если говорить о вычислительных технологиях, остается ли математика основой всего этого процесса?
— Математика, безусловно, остается и, наверное, останется основой вычислительных технологий. Ведь математика привносит одно важное свойство — доказательство. Доказательство того, что нечто можно считать безопасным. Безусловно, зачастую доказательства безопасности основываются на определенных допущениях, которые как раз и нужно компенсировать за счет применения других средств и мер защиты. Но при этом основа обоснования безопасности — это все равно математический метод.
Кроме того, само слово алгоритм появилось в математике. И без математических алгоритмов существование кибербезопасности и тем более криптографии было бы невозможным.
С другой стороны, сама по себе криптография и область защиты информации ставят новые задачи перед математиками, решение которых приводит к новым направлениям в математической науке. Сегодня, фактически сама математика развивает внутри себя способы математического доказательства утверждений, которые чрезвычайно важны для сферы информационной безопасности.
Нельзя не сказать про новомодные технологии типа блокчейна. Сотрудники факультета ВМК также активно работают в этом направлении. Ведь во многом блокчейн имеет отношение к безопасности, а не только к экономике. Поэтому подходы и методы, которые используются для построения блокчейн-систем и моделей криптовалют, анализируют специалисты нашей кафедры.
Помимо прочего, сегодня активно развивается еще одно интересное направление, связанное с цифровыми деньгами. Концепция цифровой валюты рассматривалась давно. Но ее не стоит путать с криптовалютами. В последнее время к цифровым деньгам проявляется сильный интерес, особенно со стороны государств. Возможно, скоро мы перейдем на цифровой рубль, цифровой доллар, цифровой евро.
— Чем это отличается от обычных денег, которые хранятся на наших картах и счетах?
— Государства рассматривают возможность полностью отказаться от бумажных денег и перейти на цифровую валюту. В нашей стране, к примеру, наблюдается некий переходный момент: с одной стороны, мы можем оплачивать товары и услуги с помощью карты, на счете которой хранятся наши средства. Но с другой стороны мы можем подойти к любому банкомату и снять со счета бумажные деньги. Поэтому пока говорить о полном замещении обычных денег цифровыми нельзя.
Возможно, уже в течение ближайших 10-15 лет будут заметны какие-то серьезные подвижки внедрения цифровых долларов, рублей, евро и так далее. Дело осталось за малым: принять несколько законов и внедрить существующие протоколы, которые бы обеспечили весь необходимый функционал электронной валюты.