Я работаю в сфере кибербезопасности более 15 лет. Как и другие ветераны отрасли, я своими глазами наблюдал расцвет тактики FUD в маркетинге защитных решений. FUD расшифровывается как Fear, Uncertainty, Doubt, что в переводе с английского означает «страх, неуверенность, сомнение». Именно на страхе, неуверенности и сомнениях потребителей основана эта тактика. Отдаю должное нейромаркетологам — она эффективна. Страх действительно помогает продавать защитные продукты. Но, как и у сильных лекарств, у FUD есть побочные эффекты, и немало.
Отрасль подсела на FUD, как на наркотик. Мы убеждаемся в этом, когда клиенты начинают требовать доказательства того, что некая угроза действительно существует, а не просто вероятна. К несчастью, лучшее подтверждение реальности угрозы — происходящие киберинциденты. Именно поэтому СМИ тоже зависят от FUD. Чем крупнее потери компании (в долларах, евро или любой другой валюте), тем больше внимания привлекают публикации.
И тут на сцену выходят регулирующие органы: они, как всегда, бурно реагируют на инцидент и спешат ввести новые нормы и наложить штрафы. Как следствие — исследователи угроз, разработчики защитных решений, маркетологи, СМИ и сами регулирующие органы оказываются в стратегической ловушке, которую в теории игр называют «дилеммой заключенного»: в ней, чтобы не проиграть, человек вынужден выбрать неоптимальную стратегию. В нашем случае эта самая «неоптимальная стратегия» заключается в дальнейшей генерации страха, сомнений и неуверенности.
Чтобы вырваться из этой ловушки, нужно усвоить один принцип: будущее нельзя построить на страхе.
И будущее, о котором я говорю, не за горами. Роботы уже управляют грузовиками, колесят по Марсу, пишут музыку и придумывают новые кулинарные рецепты. Пока что этот мир будущего далек от идеала, в том числе с точки зрения кибербезопасности. Наша цель — сделать его лучше, а не препятствовать его развитию.
Евгений Касперский недавно сказал: «Само понятие «кибербезопасность» в скором времени себя изживет, а на замену ему придет концепция «кибериммунитета»». Это утверждение может показаться странным, но в нем заложен глубокий смысл, который стоит разъяснить. Давайте рассмотрим концепцию кибериммунитета подробнее.
Термин «кибериммунитет» отлично иллюстрирует наше видение безопасного будущего. В реальной жизни иммунная система организма никогда не обеспечивает стопроцентной защиты. Вирусы и другие вредные микроорганизмы то и дело находят способ обмануть или даже атаковать ее. Однако у всех иммунных систем есть общая черта: они адаптируются. Так, с помощью вакцинации иммунитет можно «научить» сопротивляться возможным угрозам. А когда иммунитету нужна помощь, мы можем оказать ее, введя уже готовые антитела для вируса.
До сих пор мы в кибербезопасности чаще всего занимались именно «готовыми антителами». Когда ИТ-системы наших клиентов подвергались заражению, нам нужно было быстро создать «лекарство». Однако именно тут и начинался FUD — когда поставщики защитных решений предлагали готовые решения серьезных проблем. Это ощущение всесилия само по себе вызывало привыкание. Мы говорили: «Да, здесь нужны мощные антибиотики, потому что, поверьте, проблема действительно очень серьезная». Но на самом деле мощные антибиотики необходимы только в том случае, если инфекция уже проникла в организм, а это далеко не идеальный сценарий. Если следовать дальше нашей метафоре, то гораздо лучше, если иммунитет сможет остановить инфекцию до того, как она поразит организм.
Современные ИТ-системы очень разнородны. Их нельзя рассматривать отдельно от человека, который пользуется устройствами и управляет ими. Потребность в обучении иммунной системы особенно выросла, потому что на первый план вышли услуги, тогда как раньше это были продукты. (Сам термин «продукт» изменился. Сейчас продуктами часто называют индивидуальные решения, адаптированные к особенностям ИТ-систем, для которых они создаются.)
Мы не сразу пришли к такому видению. Как и вакцинация, новый подход требует не однократного воздействия, а целой серии «прививок», направленных на одну цель — усиление кибериммунитета ради безопасного будущего.
В основе нашей концепции лежит фундаментальное правило: безопасное будущее можно построить только на безопасном фундаменте. Для этого нужно с самого начала проектировать системы с упором на безопасность. Предприятия телекоммуникационной и автомобильной отраслей уже проверяют наш подход на практике. Производителям автомобилей эта концепция особенно важна, поскольку для них информационная безопасность неотделима от безопасности физической.
Мы ожидаем, что, как и в случае с медицинской вакцинацией, сначала общество скептически отнесется к концепции кибериммунитета. Встанет вопрос: «Можно ли действительно доверять вакцине и ее производителю?». Доверие к системам кибербезопасности имеет решающее значение, и здесь обещаний поставщиков недостаточно. Если пользователь захочет проверить надежность и целостность защитного ПО, например в форме исходного кода, он вправе требовать этого. И мы позволяем анализировать наши приложения. Единственно что — делать это придется в специальной среде, где можно просмотреть код, но нельзя внести в него изменения.
Сталкиваясь с вопросами здравоохранения в жизни, вы иногда обращаетесь за консультациями к сторонним специалистам. Также и в кибербезопасности, иногда имеет смысл послушать независимых экспертов. В случае ИТ решений такой независимой стороной может служить компания, входящая в так называемую большую четверку аудиторских фирм. Ее эксперты изучат наш код и расскажут, что все эти биты и байты означают для вашего бизнеса.
Еще один важный аспект иммунной системы — способность противостоять атакам на нее саму. В конце концов защитное программное обеспечение остается программным обеспечением, у которого могут быть недостатки. Лучший способ узнать о них — позволить сторонним исследователям найти их и сообщить о них разработчикам. Без преувеличений гениальная идея поощрять пользователей за обнаружение багов в программах возникла в 1983 г. Она позволила значительно снизить шансы киберпреступников, эксплуатирующих уязвимости или продающих их другим злодеям. Однако этим сторонним исследователям нужны гарантии, что компания, продукты которой они исследуют, не будет мешать им и предъявлять судебные иски.
Спрос рождает предложение — c недавних пор многие организации стали заключать соглашения с исследователями уязвимостей, чтобы те спокойно работали в соответствии с установленными правилами, не опасаясь преследований. На мой взгляд, подобные инициативы — это еще один шаг к безопасному будущему, где не будет места страху. Но на это потребуется время.