«Как защитить людей от технологий?»

Человечество шаг за шагом отказывается от своих полномочий принимать решение, делегируя  это... компьютерным алгоритмам. С развитием искусственного интеллекта, прогнозируют ученые, люди рискуют полностью потерять монополию на управление на Земле. В частности об этом идет речь в докладе о тенденциях 2018 года «Нулевой интерфейс, нулевое решение», который представит обсерватория Netexplo в штаб-квартире ЮНЕСКО на ежегодном Инновационном форуме (13 февраля) и Форуме талантов (14—15 февраля).

Авторы доклада отмечают, что с развитием искусственного интеллекта, которое требует все меньшего вмешательства со стороны пользователя, люди самоустраняются от принятия решения. И даже не считаются с тем, что каждый алгоритм воплощает в себе определенную идеологию, которую в него заложил его автор. К тому же такая «беспечность» требует 100-процентной уверенности в том, что технология не будет взломана злоумышленниками или, еще важнее — специально создана для ограничения прав и свобод ее пользователя.

Пока искусственный интеллект все еще находится на ранних этапах развития. Но когорта «цифровых титанов» (Google, Amazon, Facebook, Apple, Netflix, Airbnb, Tesla и Uber и другие), которые собирают практически бесконечное количество данных о своих пользователях, усиленно работают над созданием «синтетического супермозга».  И стратегии защиты пользователя в цифровом мире — один из ключевых вопросов вышеупомянутого доклада.

О вызовах, которые ставит перед нами цифровой мир, правилах поведения в онлайне и о том, чем может грозить человечеству... интернет, «Дню» удалось поговорить с одной из 30 наиболее успешных IТ-шников мира, по версии «Форбс», Парисой ТАБРИЗ.

The Telegraph назвал ее «секретным оружием Google». Ведь Париса отвечает за безопасность одного из самых дорогих мировых брендов — интернет-браузера Google Chrome, которым ежедневно пользуются около 2 миллиардов пользователей. А еще ей — 33. У нее — розовые волосы. На визитке в графе «должность» написано Security Princess (с английского — Киберпринцесса). Она преподает в Гарварде и консультирует Белый дом.

— Когда я пришла в Google, отдел веб-безопасности, где было мое рабочее место, считали очень отсталым.

Первой «дырой» в веб-пространстве, которую я обнаружила  и придумала, как залатать, был межсайтовый сриптинг(*). Но все мне тогда говорили: «Брось, это неважно».  Тогда о безопасности в интернете думали, как о чем-то производном и малосущественном. Сейчас этот подход изменился. Особенно у Google. Почтовое приложение gmail, поисковик, история запросов, Google-диск — это все наши приложения в веб-пространстве. И «дыры» в безопасности каждого из них могут привести к похищению данных пользователя. Веб-безопасность сегодня стала сверхактуальной темой.

Раньше — в начале моей карьеры — большинство случаев хакерства осуществлялось людьми, которым просто было интересно понять, как работают системы, ну, или ради развлечения. Взломы — это было определенного рода хобби. Сегодня же мы наблюдаем, как преступность, которая раньше царила на улицах, завоевывает и веб-мир. Это уже не шутки. Это — настоящая угроза для человека, его безопасности в реальном мире, его собственности, данных.

У нас (в Google. — Авт.) безопасность лучшая из лучших, и, по-моему, она значительно улучшилась с того времени, когда я только пришла в компанию. Я считаю, что подход, который мы применяем относительно Chrome, да и в целом относительно других технологий тоже — когда создается многослойная защита, —  усложняет возможность злоупотребления.

Однако в мире есть уязвимое программное обеспечение.

ФОТО РУСЛАНА КАНЮКИ / «День»

ОТ ПРОГРАММ, НЕ НУЖДАЮЩИХСЯ В ОБНОВЛЕНИИ, ЖДИТЕ ПРОБЛЕМ

— Например?

— Первое, что мне приходит в голову, это — интернет вещей (англ. Internet of Things). Это невероятно интересно, что вы можете подключить к интернету практически все: лампочки, тостеры... Но большинство людей не задумывается над тем, каким образом обновлять это программное обеспечение. Поэтому когда я слышу что-то наподобие «наша компания разрабатывает очень дешевые программы, их даже обновлять не нужно», — я уже заранее знаю, что от них следует ожидать проблем.

В то же время хорошо, что с развитием веб-пространства все стало таким доступным. Я вижу, что сейчас проводят компьютерные курсы даже для маленьких деток. И это очень хорошо, что есть возможность изучать технологии в таком раннем возрасте. Очень полезно получить такие знания и иметь возможность их применять. А с другой стороны, когда растет количество людей, создающих новые технологии, а если они к тому же сделают что-то неправильно, это может привести к большому количеству проблем.

ИНТЕРНЕТ — НЕ ПРИНАДЛЕЖАТ НИ ОДНОМУ ГОСУДАРСТВУ. КТО И КАК ЕГО ДОЛЖЕН ЗАЩИЩАТЬ?

— В прошлом месяце на ежегодном экономическом форуме в Давосе многие мировые лидеры, в частности президент Франции Эммануэль Макрон, говорили о том, какое множество вызовов перед человечеством ставит каскад технических революций, который мы переживаем. У вас есть ваш рейтинг вызовов? Что вас — «принцессу безопасности» — пугает в развитии веб-пространства?

— Я не знаю, о чем именно говорил Макрон, но для себя я вижу четкую тенденцию: бизнес и финансовый мир все больше становятся зависимы от интернета.  И если с банками все понятно: их счета, отделения находятся на территории каких-то конкретных государств и регулируются их законодательством, то как мы собираемся регулировать и защищать интернет, ведь он не принадлежит ни одной стране? Это чрезвычайно взаимосвязанная глобальная система. С одной стороны, это, конечно, даже круто, что он не принадлежит ни одной стране, но это также означает, что его намного труднее защитить, и приходится полагаться на определенные стандартные процессы, которые, опять же, никому не принадлежат.

Работая с Chrome, мы думаем: «Какие из интернет-протоколов защищены?» Мы работаем с другими экспертами по всему свету, собираемся и говорим: «Итак, мы не хотим, чтобы какая-то одна компания или какая-то одна страна владели им, но какой же безопасный протокол мы можем использовать для интернета?» Однако это очень медленный процесс. Мы учимся. Но на это нужно время. Поэтому меня больше всего беспокоит то, насколько быстро развиваются технологии. В определенном смысле они развиваются быстрее, чем мы определяемся, как подать это с юридической точки зрения, как осуществлять регулирование, как защитить тех, кто их будет использовать. Это действительно большой вызов — выяснить, как защитить людей от технологий.

Возьмем, например, крупные промышленные электростанции или системы фильтрации воды, сети электропередач — их строили, не задумываясь о безопасности. Вы сами видели на примере стакснета (*) — компьютерного червя, который инфицировал иранскую атомную электростанцию, он поразил ПЛК — программируемые логические контролеры, вынуждая их работать очень-очень быстро, пока они не вышли из строя. Это можно рассматривать как пример вредного программного обеспечения, которое фактически может уничтожить атомную электростанцию. Вы можете представить себе, насколько все это серьезно. Если у вас есть сеть электропередач, которая подключена к интернету, что-то может пойти не так. Поэтому для нас большой вызов — придумать, как обновить эти системы. Успокаивает немного то, что я знаю, что этим занимаются высококвалифицированные специалисты.

О БЛОКЧЕЙНЕ(*) — «ЛЮДИ ПРОСТО СХОДЯТ С УМА»

— Что вы думаете о буме криптовалюты? Это — безопасно?

— Лично я криптовалютой не пользуюсь.

— Почему?

— Думаю, я слишком консервативна, когда дело касается инвестиций. Я радостно позволю другим зарабатывать много денег таким образом, но для меня это слишком рискованно. А я — неазартный игрок.

Я считаю, что доллар США достаточно стабилен, и этого мне достаточно. Мой отец приехал из страны, где произошла валютная инфляция, и он в итоге начал подумывать о золоте и брильянтах в качестве стабильного актива. А криптовалюта не для меня.

— А что вы думаете о технологии, которая лежит в основе блокчейна? Не это ли — технология будущего?

— Да. Я думаю, есть основания так считать. Хотя, как по мне, сейчас каждый определенным образом пытается решить все проблемы с помощью блокчейна. Но этому придают большее значение, чем нужно. Я иногда шучу, что блокчейн даже проблему глобального потепления может решить. Хотя я убеждена, что, как и для многих других типов криптографии, для него тоже найдется применение.

Каждый раз, когда у нас новый технологический бум, все немного сходят с ума, пытаясь решить все проблемы одновременно. Знаете, это как с 3D-фильмами: все стремились делать и смотреть фильмы в 3D, но теперь я чувствую, что мы пришли к пониманию, что есть хорошие 3D-фильмы, но снимает и смотрит их не каждый. Для блокчейна тоже найдется хорошее применение, но на данном этапе люди просто «сходят с ума».

ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ  — ЭТО «ОРУЖИЕ». ОНО МОЖЕТ КАК ЗАЩИЩАТЬ, ТАК И АТАКОВАТЬ

— Как вы считаете, может ли усилить кибербезопасность искусственный интеллект?

— Да, я считаю, что каждая новая технология может помочь в обеспечении безопасности, но в то же время она потенциально может помочь и нападающим. В обучении «машин» в последнее время был осуществлен большой прорыв. Помню, когда я училась в колледже, у нас был курс по искусственному интеллекту, но он был очень скучным — много работы, которая не приносила интересных результатов. Сейчас же все так интересно. К примеру, мы видим, что машины могут определить аномальную активность, которая может быть злоумышленной атакой, а также может выявлять злоумышленные комментарии в социальных сетях или, например, находить людей, преследующих других пользователей.

Но каждую новую технологию могут использовать люди как с хорошими намерениями, так и с плохими.

В Google мы используем искусственный интеллект для решения многих разных проблем, и мы пытаемся использовать выявление вторжения, программы, которые способны обнаружить, является ли определенное поведение злостным или нет.

— Вы способны предусматривать атаки?

— Не думаю, что когда-то мы дойдем до того, что сможем предусматривать это, но по крайней мере искусственный интеллект имеет возможность определить: «это подозрительно, следует либо заблокировать, либо проверить все вручную». Работа с выявлением нарушений также опирается на искусственный интеллект. В действительности в Chrome мы используем алгоритмы, чтобы определить, пытается ли та или иная страница украсть данные. Для этого мы разработали постоянное обновление. Это своеобразное обучение, которое построено на образах поведения.

КИБЕРБЕЗОПАСНОСТЬ — ЭТО ВОПРОС ПЛАНЕТАРНОГО МАСШТАБА

— Как международное право защищает пользователей веб-простанства? Я знаю, что вы консультируете Белый Дом, можете сказать, что правовая система США лучше всего регулирует то, что происходит в мировой сети интернет?

— Моя мама полячка, отец из Ирана, я выросла в США, у меня есть друзья по всему миру, и потому я определенным образом считаю себя гражданином мира. В некоторых случаях интернет — это круто, поскольку это не какая-то определенная страна, но защита людей в интернете приобретает чрезвычайно важную роль. Поэтому определять, что и как должно быть в интернете, не думая о собственной стране, — это большой вызов.

У меня есть определенный опыт: я знаю, что такое быть пользователем в Индии, или быть пользователем в Бразилии, или быть пользователем в Африке — я постоянно чему-то учусь.

Когда я впервые приехала в Южную Африку, я узнала, что они намного чаще пользуются телефонами для осуществления мобильных платежей, чем в США, соответственно — и нападения на мобильную систему финансирования намного сложнее.

Мне всегда интересно узнавать, какое программное обеспечение пользуется популярностью в той или иной стране, какие атаки популярны, какие там существуют популярные защитные меры. Кибербезопасность — это огромный вызов, который человечество еще должно изучить и только тогда трансформировать в систему права.

— Что вы можете сказать о кибератаке на Украину новым образцом вируса Petya(*). ЦРУ заявляло, что это была работа русских хакеров? Вы согласны?

— По-моему, это произошло из-за уязвимого программного обеспечения Microsoft Windows.

Это очень хороший пример того, насколько важны обновления программного обеспечения. Ведь в этом случае обновления для программ Microsoft Windows были доступны, просто никто не обновил систему. Именно в таких случаях очень полезны такие вещи, как автоматические обновления для браузера Chrome. Они заботятся о том, чтобы программное обеспечение было всегда самым новым. Но мне неизвестно ничего конкретного в плане, кто это сделал. Я просто читала об атаке в новостях.

ЧТОБЫ БЫТЬ КИБЕРЗАЩИТНИКОМ GOOGLE, НУЖНО ИМЕТЬ МНОГО ТЕРПЕНИЯ И ЛЮБОПЫТСТВА

— Основные навыки, которые вы ищете в человеке, которого готовы принять  на работу в отдел службы безопасности Google?

— Да. Прежде всего мы ищем людей, которые стремятся создавать более безопасное программное обеспечение и защищать пользователей. По-моему, это очень  важно. Мы узнаем, какова мотивация претендентов, потому что, если интерес исключительно финансовый, а безопасность пользователей им на самом деле безразлична, есть множество других мест, где они могут работать и зарабатывать деньги. А нам очень важно, чтобы претенденты в действительности беспокоились о безопасности пользователей и заботились о продуктах Google.

На мой взгляд, область безопасности — это и область, в которой ты постоянно чему-то учишься. Конечно, существуют распространенные проблемы, которые часто случаются, но ты постоянно изучаешь новые технологии. Потому что, когда появляется новая технология, необходимо ее точно изучить, поскольку именно с этой стороны потенциально возможно нападение. Поэтому мы ищем тех, кто стремится постоянно изучать что-то новое, очень любознательных и настойчивых. В фильмах вы часто видите, как кто-то взламывает систему за несколько минут, но в реальности это происходит не так быстро. На самом деле вы должны тяжело работать, быть очень дисциплинированными и чрезвычайно терпеливыми, иногда даже несколько упрямыми, чтобы найти способ решения проблемы.

Область безопасности в чем-то схожа с другими творческим областями. Как и в искусстве, в наших работоискателей тоже должны быть портфолио. Многие претенденты, которые приходят к нам в поисках работы, имеют уже опыт в выявлении уязвимых мест, они или обнаружили какие-то из них сами, или уже создали более безопасное программное обеспечение на основе наработок других людей.

Если учитывать все эти пункты, то в итоге остается очень мало людей, отвечающих всем требованиям.

Мы всегда стремимся принять на работу больше людей, чем можем найти. Поэтому, я считаю, что детям, да и другим людям, следует подумать над тем, чтобы избрать эту область для дальнейшей работы. Ведь спрос на работников в области кибербезопасности очень высок.

Существует миф, что нужно быть гением или интересоваться лишь техникой или технологией, но в области кибербезопасности нужно иметь много разных навыков. Нам нужны люди, которые умело синтезировали навыки адвоката, психолога, программиста, чтобы обеспечить безопасность людей.

«КАКИМ БУДЕТ МОЙ ДЕНЬ, ОПРЕДЕЛЯЕТ МОЙ ЭЛЕКТРОННЫЙ ЯЩИК»

— У вас довольно милый титул «Киберпринцесса». Расскажете историю, как так произошло?

— Когда я пришла работать в компанию Google, название моей официальной должности звучало так: «инженер информационной безопасности». Я была одним из инженеров в команде инженеров информационной безопасности. Мне это показалось скучным. Эта должность не означала ничего особенного, еще и звучала так, что хотелось зевать, когда ее произносишь, поэтому я решила изменить и назвалась Киберпринцессой. Просто подумала, что так прикольнее. Хотя, откровенно скажу, что я не очень женственная, никогда не ношу изысканных платьев, у меня два брата, я всегда гоняла с ними в футбол или дралась, потому «принцесса» мне не очень подходит, но я решила, что так веселее. Это моя нотка самоиронии.

А затем я поехала в Японию на конференцию по вопросам безопасности. А там  обмен визитными карточками — это очень серьезный официальный  процесс с поклонами, для того, чтобы не оскорбить партнера, нужно по крайней мере иметь визитку. И я взяла и напечатала себе визитки с титулом «киберпринцессы». Отчасти из-за того, что считала, что так веселее. Когда знакомишься с кем-то, даешь визитку, человек читает это и улыбается. Это хороший способ знакомства, если хочешь запомниться. Когда работаешь в области кибербезопасности, встречаешь людей из правительства, министерств обороны, а они все очень серьезные. Но когда они видят мой титул, они смеются. Мне это нравится.

А еще я пытаюсь стать другим «образцом» принцессы. В детстве я смотрела мультики Диснея, в которых в конце принцесса всегда выходит замуж — словно это цель всей ее жизни. Я решила, что было бы неплохо стать принцессой иного плана — такой, которая заботится о «безопасности людей».

— Вопрос от нашей читательницы в «Фейсбуке»: «Всегда интересно, с каких утренних ритуалов начинается день профессионалов: с чего вы начинаете свой день?»

— Просыпаюсь я довольно рано. Когда была в Германии, вставала вообще в четыре утра. Но обычно я встаю в шесть. Просыпаюсь, выпиваю по меньшей мере две чашки кофе и завтракаю, завтрак у меня практически одинаковый каждое утро, потом просматриваю электронную почту. Хотя нет. Прежде всего я кормлю своих кошек. Это они меня будят (смеется). Итак, кормлю кошек, берусь за работу, просматриваю электронную почту. И в зависимости от того, что в ней нахожу, понимаю, каким будет сегодня мой день. Иногда я помогаю людям с их проектами, иногда занимаюсь расследованием какого-то нового инцидента. Это — круто.

СЛОВАРЬ «Дня»

Межсайтовый скриптинг (xss) — тип уязвимости интерактивных информационных систем в вебе. XSS возникает, когда на страницы, которые были сгенерированы сервером, по какой-то причине попадают скрипты пользователей (информация о последовательности операций, которые выполняет пользователь на своем компьютере). Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера злоумышленники используют уязвимый сервер для атаки на пользователя.

Win32/Stuxnet — компьютерный червь, который поражает компьютеры, работающие на операционной системе Microsoft Windows. В июне 2010 года он был обнаружен белорусской фирмой VirusBlokAda не только на компьютерах рядовых пользователей, но и в промышленных системах, руководящими автоматизированными производственными процессами.

Блокчейн — это цепочка блоков транзакций (англ. Blockchain, Block chain от block — блок, chain — цепь) — распределенная база данных, которая поддерживает перечень записей, так называемых блоков, и постоянно растет. База защищена от подделки и переработки. Каждый блок содержит часовую метку и ссылку на предыдущий блок хеш-дерева.

Petya — семейство вредоносных программ, которое поражает компьютеры под управлением семейства ОС Microsoft Windows. Первые представители были обнаружены в 2016 году и были обычными образцами вымогательских вирусов. 27 июня 2017 года произошла масштабная атака последним представителем семейства, который позаимствовал некоторые модули из предыдущих образцов, но, возможно, был создан другими разработчиками и уже был вирусом-истребителем данных, замаскированным под програму-вымогатель.

Программа шифрует файлы на жестком диске компьютера-жертвы, а также перезаписывает и шифрует главную загрузочную запись (MBR) — данные, необходимые для загрузки операционной систем. В результате все файлы, хранящиеся на компьютере, становятся недоступны. Потом программа требует денежный выкуп в биткоинах за расшифровку и возобновление доступа к файлам. При этом первая версия вируса шифровала не сами файлы, а MFT-таблицу — базу данных с информацией о файлах, которые хранятся на диске.

По состоянию на 28 июня 2017 года вирус заразил 12 500 ПК в 64 странах мира.