«Як захистити людей від технологій?»

Людство крок за кроком відмовляється від своїх повноважень приймати рішення, делегуючи це... комп’ютерним алгоритмам. З розвитком штучного інтелекту, прогнозують науковці, люди ризикують повністю втратити монополію управління на Землі. Зокрема, про це йдеться в доповіді про тенденції 2018 року «Нульовий інтерфейс, нульове рішення», яку представить обсерваторія Netexplo в штаб-квартирі ЮНЕСКО на щорічному Інноваційному форумі (13 лютого) і Форумі талантів (14 — 15 лютого).

Автори доповіді констатують той факт, що з розвитком штучного інтелекту, який вимагає дедалі менше втручання з боку користувача, люди самоусуваються від прийняття рішень. І навіть не зважають на те, що кожен алгоритм втілює в собі певну ідеологію, яку в нього заклав його автор. До того ж, така «безпечність» вимагає 100-відсоткової впевненості в тому, що технологію не буде зламано зловмисниками або, що ще важливіше, — спеціально створено для обмеження прав та свобод її користувача.

Поки що штучний інтелект все ще перебуває на ранніх етапах розвитку. Але когорта «цифрових титанів» (Google, Amazon, Facebook, Apple, Netflix, Airbnb, Tesla, Uber та ін.), які збирають практично нескінченну кількість даних про своїх користувачів, посилено працюють над створенням «синтетичного супермозку». І стратегії захисту користувача в цифровому світі — одне із ключових питань зазначеної доповіді.

Про виклики, які нам висуває світ цифрових технологій, правила поведінки та безпеки в інтернеті і чим останній може загрожувати людству — «Дню» вдалося поговорити з однією із 30 найуспішніших ІТ-шників світу, за версією The Forbes, Парісою ТАБРІЗ.

The Telegraph назвав її «секретною зброєю Google». Адже Паріса відповідає за безпеку одного з найдорожчих світових брендів — інтернет-браузера Google Chrome, яким щодня користуються близько двох мільярдів користувачів. А ще їй — 33 роки. У неї — рожеве волосся. На візитівці у графі «посада» зазначено: Security Princess (з англійської — «Кіберпринцеса»). Вона викладає в Гарварді й консультує Білий дім.

— Коли я прийшла в Google, відділ веб-безпеки, де було моє робоче місце, вважався дуже відсталим.

Першою «діркою» у веб-просторі, яку я виявила і придумала, як залатати, був міжсайтовий сриптинг(*). Але всі тоді мені казали: «Облиш, це неважливо». Тоді про безпеку в інтернеті думали як про щось похідне і несуттєве. Зараз цей підхід змінився. Особливо в Google. Поштовий додаток Gmail, пошуковик, історія запитів, Google-диск — все це наші додатки у веб-просторі. І «дірки» в безпеці кожного з них може призвести до викрадення даних користувача. Веб-безпека сьогодні стала надактуальною темою.

Раніше — на початку моєї кар’єри — більшість випадків хакерства здійснювалися людьми, яким просто було цікаво зрозуміти, як працюють системи, ну, або задля розваги... Злами — це було певного роду хобі. Сьогодні ж ми спостерігаємо, як злочинність, яка раніше панувала на вулицях, завойовує інтернет-простір. Це вже не жарти. Це — справжня загроза для людини, її безпеки в реальному житті, її власності, даних.

У нас (Google. — Авт.) безпека — найкраща з кращих, і, як на мене, вона значно покращилася відтоді, як я тільки прийшла в компанію. Я вважаю, що підхід, який ми застосовуємо щодо Chrome — та й загалом щодо інших технологій також, коли створюється багатошаровий захист, — ускладнює можливість зловживання.

Проте у світі є вразливе програмне забезпечення.

ФОТО РУСЛАНА КАНЮКИ / «День»

ВІД ПРОГРАМ, ЯКІ НЕ ПОТРЕБУЮТЬ ОНОВЛЕННЯ, ОЧІКУЙТЕ ПРОБЛЕМ

— Наприклад?

— Перше, що спадає мені на думку, це — інтернет речей (англ. Internet of Things). Це неймовірно цікаво, що ви можете підключити до інтернету практично все — лампочки, тостери... Але більшість людей не замислюється над тим, яким чином оновлювати це програмне забезпечення. Тож коли я чую щось типу: «Наша компанія розробляє дуже дешеві програми, їх навіть оновлювати не треба», — я вже наперед знаю, що від них слід очікувати проблем.

Водночас добре, що з розвитком веб-простору все стало таким доступним. Я бачу, що зараз проводять комп’ютерні курси навіть для маленьких діток. І це дуже добре, що є можливість вивчати технології в такому ранньому віці. Дуже корисно здобути такі знання і мати змогу їх застосовувати. А з іншого боку, коли дедалі зростає кількість людей, які створюють новітні технології, а якщо вони, до того ж, зроблять щось неправильно, це може призвести до великих проблем.

ІНТЕРНЕТ — НЕ НАЛЕЖИТЬ ЖОДНІЙ ДЕРЖАВІ. ХТО І ЯК ЙОГО МАЄ ЗАХИЩАТИ?

— Минулого місяця під час щорічного економічного форуму в Давосі багато світових лідерів, зокрема президент Франції Емануель Макрон, говорили про те, яку силу-силенну викликів ставить перед людством каскад технічних революцій, що ми нині переживаємо. У вас є ваш рейтинг викликів? Що вас — «принцесу безпеки» — лякає в розвитку веб-простору?

— Я не знаю, про що саме говорив Макрон, але для себе бачу чітку тенденцію: бізнес та фінансовий світ дедалі більше стає залежним від інтернету. І коли з банками все зрозуміло — їхні рахунки, відділення розташовані на території якихось конкретних держав і регулюються їхнім законодавством, то як ми збираємося регулювати і захищати інтернет, адже він не належить жодній країні? Це надзвичайно взаємопов’язана глобальна система. З одного боку, це, звичайно, навіть круто, що він не належить жодній країні, але це також означає, що його набагато важче захистити, і доводиться покладатися на певні стандартні процеси, які знову ж таки, нікому не належать.

Працюючи з Chrome, ми думаємо: «Які з інтернет-протоколів є захищеними?» Ми працюємо з іншими експертами по всьому світу, збираємося і кажемо: «Отже, ми не хочемо, щоб якась одна компанія чи якась одна країна володіли ним, але який же безпечний протокол ми можемо використати для інтернету?» Проте це дуже повільний процес. Ми вчимося. Але на це потрібен час. Тому мене найбільше непокоїть те, наскільки швидко розвиваються технології. У певному сенсі вони розвиваються швидше, ніж ми визначаємося, як подати це з юридичної точки зору, як здійснювати регулювання, як захистити тих, хто їх використовуватиме. Це дійсно великий виклик — з’ясувати, як захистити людей від технологій.

Візьмімо, наприклад, великі промислові електростанції, чи системи фільтрації води, чи мережі електропередач — їх будували, не замислюючись про безпеку. Ви самі бачили на прикладі стакснета (*) — комп’ютерного хробака, який інфікував іранську атомну електростанцію, він уразив ПЛК — програмовані логічні контролери, змушуючи їх працювати дуже-дуже швидко, доки вони не вийшли з ладу. Це можна розглядати як приклад шкідливого програмного забезпечення, яке фактично може знищити атомну електростанцію. Ви можете уявити собі, наскільки все це серйозно. Якщо у вас є мережа електропередач, яка підключена до інтернету, щось може піти не так. Тому для нас великий виклик — придумати, як оновити ці системи. Заспокоює трохи те, що я знаю, що цим займаються висококваліфіковані спеціалісти.

ПРО БЛОКЧЕЙН(*) — «ЛЮДИ ПРОСТО БОЖЕВОЛІЮТЬ»

— Що ви думаєте про бум криптовалюти? Це — безпечно?

— Особисто я криптовалютою не користуюся.

— Чому?

— Думаю, я досить консервативна, коли справа стосується інвестицій. Я радо дозволю іншим заробляти багато грошей таким чином, але для мене це занадто ризиковано. А я — неазартний гравець.

Я вважаю, що долар США цілком стабільний, і мені цього досить. Мій батько приїхав із країни, де відбулася валютна інфляція, і він зрештою почав подумувати про золото й діаманти як стабільний актив. А щодо криптовалюти — це не для мене.

— А що ви думаєте про технологію, яка лежить в основі блокчейну? Чи не це — технологія майбутнього?

— Так. Я думаю, є підстави так вважати. Хоча, як на мене, зараз кожен, певним чином, намагається розв’язати всі проблеми за допомогою блокчейну. Але цьому надають більше значення, ніж потрібно. Я іноді жартую, що блокчейн може розв’язати навіть проблему глобального потепління. Хоча я переконана, що як і для багатьох інших типів криптографії, для нього також знайдеться застосування.

Щоразу, коли у нас новий технологічний бум, всі трохи божеволіють, намагаючись розв’язати всі проблеми одночасно. Знаєте, це як із 3D-фільмами: усі прагнули робити і дивитися фільми у 3D, але тепер я відчуваю, що ми дійшли до розуміння, що є хороші 3D-фільми, але знімає і дивиться їх не кожен. Для блокчейну теж знайдеться хороше застосування, але на даному етапі люди просто «сходять з розуму».

ШТУЧНИЙ ІНТЕЛЕКТ — ЦЕ «ЗБРОЯ». ВОНА МОЖЕ ЯК ЗАХИЩАТИ, ТАК І АТАКУВАТИ

— Як ви вважаєте, чи може посилити кібербезпеку штучний інтелект?

— Так, я вважаю, що кожна новітня технологія може допомогти в забезпеченні безпеки, але водночас вона потенційно може допомогти і нападникам. У навчанні «машин» останнім часом було здійснено великий прорив. Пам’ятаю, коли я навчалася в коледжі, у нас був курс із штучного інтелекту, але він був дуже нудним — багато роботи, яка не приносила цікавих результатів. Зараз же все так цікаво. До прикладу, ми бачимо, що машини можуть визначити аномальну активність, яка може бути зловмисною атакою, а також може виявляти зловмисні коментарі в соціальних мережах чи, наприклад, знаходити людей, які переслідують інших користувачів.

Але кожну новітню технологію можуть використовувати люди як з добрими намірами, так і з поганими.

В Google ми використовуємо штучний інтелект для вирішення багатьох різних проблем, і ми намагаємося використовувати виявлення вторгнення, програми, що здатні викрити, чи є певна поведінка злісною чи ні.

— Ви здатні передбачати атаки?

— Не думаю, що колись ми дійдемо до того, що зможемо передбачати це, але принаймні штучний інтелект має можливість визначити: це підозріло, слід або заблокувати, або перевірити все вручну. Робота з виявленням порушень також спирається на штучний інтелект. Насправді у Chrome ми використовуємо алгоритми, щоб визначити, чи намагається та чи інша сторінка вкрасти дані. Для цього ми розробили постійне оновлення. Це своєрідне навчання, що побудоване на способах поведінки.

КІБЕРБЕЗПЕКА — ЦЕ ПИТАННЯ ПЛАНЕТАРНОГО МАСШТАБУ

— Як міжнародне право захищає користувачів веб-простору? Я знаю, що ви консультуєте Білий дім, можете сказати, що правова система США найкраще регулює те, що відбувається у світовій мережі інтернет?

— Моя мама — полька, батько — з Ірану, я виросла у США, у мене є друзі по всьому світу, і тому я певним чином вважаю себе громадянкою світу. У деяких випадках інтернет — це круто, оскільки це не якась певна країна, але захист людей в інтернеті набуває надзвичайно важливої ролі. Тому визначати, що і як повинно бути в мережі, не думаючи про власну країну, — це великий виклик.

У мене є певний досвід, я знаю, що таке бути користувачем в Індії, або бути користувачем у Бразилії, або бути користувачем в Африці — я постійно чогось вчуся.

Коли я вперше приїхала до Південної Африки, то дізналася, що там набагато частіше користуються телефонами для здійснення мобільних платежів, ніж у США, відповідно і напади на мобільну систему фінансування набагато складніші.

Мені завжди цікаво дізнаватися, яке програмне забезпечення користується популярністю в тій чи іншій країні, які атаки є популярними, які там існують популярні захисні заходи. Кібербезпека — це величезний виклик, яке людство ще має вивчити і лише тоді трансформувати в систему права.

— Що ви можете сказати про кібератаку на Україну новим зразком вірусу Petya(*). ЦРУ заявляло, що це була робота російських хакерів? Ви згодні?

— По-моєму, це сталося через вразливе програмне забезпечення Microsoft Windows.

Це дуже хороший приклад того, наскільки важливими є оновлення програмного забезпечення. Адже у цьому випадку оновлення для програм Microsoft Windows були доступними, просто ніхто не оновив систему. Саме за таких обставин дуже корисними є такі речі, як автоматичні оновлення для браузера Chrome. Вони дбають про те, щоб програмне забезпечення було завжди найновішим. Але мені не відомо нічого конкретного в плані, хто це зробив. Я просто читала про атаку в новинах.

ЩОБ БУТИ КІБЕРЗАХИСНИКОМ GOOGLE, ПОТРІБНО МАТИ БАГАТО ТЕРПІННЯ ТА ДОПТИЛИВОСТІ

— Основні навички, які ви шукаєте в людині, яку ви готові взяти на роботу в відділ служби безпеки Google?

— Перш за все, ми шукаємо людей, які прагнуть створювати більш безпечне програмне забезпечення і захищати користувачів. По-моєму, це дуже  важливо. Ми довідуємося, якою є мотивація претендентів, бо якщо інтерес виключно фінансовий, а до безпеки користувачів їмнасправді байдужє, є безліч інших місць, де вони можуть працювати і заробляти гроші. А нам дуже важливо, щоб претенденти насправді переймалися безпекою користувачів і дбали про продукт Google.

Як на мене, галузь безпеки — це та галузь, в якій ти постійно чомусь вчишся. Звісно, існують поширені проблеми, які часто трапляються, але ти постійно вивчаєш нові технології. Бо коли з’являється нова технологія, необхідно її достеменно вивчити, оскільки саме з цього боку потенційно можливий напад. Тому ми шукаємо тих, хто прагне постійно вивчати щось нове, дуже допитливих і наполегливих. У фільмах ви часто бачите, як хтось зламує систему за кілька хвилин, але в реальності це відбувається не так швидко. Насправді, ви повинні важко працювати, бути дуже дисциплінованими і надзвичайно терплячими, іноді навіть дещо впертими, щоб знайти спосіб вирішення проблеми.

Галузь безпеки в чомусь подібна до інших творчих галузей. Як і в мистецтві, у наших роботошукачів теж повинні бути портфоліо. Багато претендентів, які приходять до нас у пошуках роботи, мають уже досвід у виявленні вразливостей, вони або виявили якісь із них самі, або вже створили більш безпечне програмне забезпечення на основі напрацювань інших людей.

Якщо зважати на всі ці пункти, то зрештою залишається надзвичайно мало людей, які відповідають усім вимогам.

Ми завжди прагнемо взяти на роботу більше людей, ніж можемо знайти. Тому я вважаю, що дітям та й іншим людям слід подумати над тим, щоб обрати цю галузь для подальшої роботи. Адже попит на працівників у галузі кібербезпеки дуже високий.

Існує міф, що треба бути генієм, або цікавитися лише технікою чи технологією, але в галузі кібербезпеки потрібно мати багато різних навичок. Нам потрібні люди, які би вміло синтезували навички адвоката, психолога, програміста, щоб забезпечити безпеку людей.

«ЯКИМ БУДЕ МІЙ ДЕНЬ, ВИЗНАЧАЄ МОЯ ЕЛЕКТРОННА СКРИНЬКА»

— У вас досить милий титул — «кіберпринцеса». Розкажете історію, як так сталося?

— Коли я прийшла працювати в компанію Google, назва моєї офіційної посади звучала так: «інженер інформаційної безпеки». Я була одним із співробітників у команді інженерів інформаційної безпеки. Мені це видалося нудним. Ця посада не означала нічого особливого ще й звучала так, що хотілося позіхати, коли її вимовляєш, тому я вирішила змінити і назвалася Кіберпринцесою. Просто подумала, що так «прикольніше». Хоча, відверто скажу, що я не дуже жіночна, ніколи не ношу витончених суконь, я маю двох братів, і завжди ганяла з ними у футбол чи билася, тому «принцеса» мені не дуже пасує, але я вирішила, що так веселіше. Це моя нотка самоіронії.

А потім я поїхала до Японії на конференцію з питань безпеки. А там  обмін візитівками — це дуже серйозний офіційний процес із поклонами, для того, щоб не образити партнера, потрібно щонайменше мати візитівку. І я взяла й надрукувала собі візитівки з титулом «кіберпринцеса». Почасти через те, що вважала, що так веселіше. Коли знайомишся з кимось, даєш візитівку, людина читає це і посміхається. Це хороший спосіб знайомства, якщо хочеш, щоб тебе  запам’ятали. Коли працюєш у галузі кібербезпеки, зустрічаєш людей з уряду, міністерств оборони, а вони всі надзвичайно серйозні. Та коли вони бачать мій титул, вони сміються. Мені це подобається.

А ще я пробую стати іншим «зразком» принцеси. У дитинстві я дивилася мультики Діснея, в яких наприкінці принцеса завжди виходить заміж — ніби це мета всього її життя. Я вирішила, що було би непогано стати принцесою іншого зразка — такою, яка дбає про «безпеку людей».

— Запитання від нашої читачки у «Фейсбуку»: «Завжди цікаво, з яких ранкових ритуалів починається день професіоналів: з чого ви починаєте свій день?»

— Прокидаюся я доволі рано. Коли була в Німеччині, вставала взагалі о четвертій ранку. Але зазвичай я встаю о шостій. Прокидаюся, випиваю щонайменше дві чашки кави і снідаю. Сніданок у мене практично однаковий щоранку, потім переглядаю електронну пошту. Хоча ні. Перш за все я годую своїх кішок. Це вони мене будять (сміється). Отже, годую кішок, беруся до роботи, переглядаю електронну пошту. І в залежності від того, що в ній знаходжу, розумію, яким буде сьогодні мій день. Іноді я допомагаю людям з їхніми проектами, іноді займаюся розслідуванням якогось нового інциденту. Це — круто.

СЛОВНИК «Дня»

Міжсайтовий скриптинг (xss) — тип вразливості інтерактивних інформаційних систем у вебі. XSS виникає, коли на сторінки, які були згенеровані сервером, з якоїсь причини потрапляють користувацькі скрипти (інформація про послідовність операцій, які виконує користувач на своєму комп’ютері). Специфіка подібних атак полягає в тому, що замість безпосередньої атаки сервера зловмисники використовують вразливий сервер для атаки на користувача.

Win32/Stuxnet — комп’ютерний хробак, що вражає комп’ютери, які працюють на операційній системі Microsoft Windows. У червні 2010 року він був виявлений білоруською фірмою VirusBlokAda не тільки на комп’ютерах рядових користувачів, а й у промислових системах, які керують автоматизованими виробничими процесами.

Блокчейн — тобто ланцюжок блоків транзакцій (англ. Blockchain, Block chain від block — блок, chain — ланцюг) — розподілена база даних, яка підтримує перелік записів, так званих блоків, що постійно зростає. База захищена від підробки та переробки. Кожен блок містить часову мітку та посилання на попередній блок хеш-дерева.

Petya — сімейство шкідливих програм, що вражає комп’ютери під управлінням сімейства ОС Microsoft Windows. Перші представники були виявлені в 2016 році та були звичайними зразками здирницьких вірусів. 27 червня 2017 року сталася масштабна атака останнім представником сімейства, який запозичив деякі модулі з попередніх зразків, але, можливо, був створений іншими розробниками та вже був вірусом-винищувачем даних, замаскованим під програму-вимагач.

Програма шифрує файли на жорсткому диску комп’ютера-жертви, а також перезаписує і шифрує головний завантажувальний запис (MBR) — дані, необхідні для завантаження операційної систем. Як наслідок — усі файли, що зберігаються на комп’ютері, стають недоступними. Потім програма вимагає грошовий викуп у біткоїнах за розшифровку і відновлення доступу до файлів. При цьому перша версія вірусу шифрувала не самі файли, а MFT-таблицю — базу даних з інформацією про файли, що зберігаються на диску.

Станом на 28 червня 2017 року вірус заразив 12 500 ПК у 64 країнах світу.