В связи с недавней волной атак компания призывает обязать правительства сообщать производителям ПО об уязвимостях.
По мнению президента компании Microsoft Брэда Смита, правительства стран мира должны пересмотреть свое отношение к угрозам в киберпространстве и приравнять кибероружие к физическому оружию в реальном мире. Microsoft и раньше призывала к подписанию так называемой цифровой Женевской конвенции, гарантирующей защиту граждан во время киберконфликтов. Компания снова вернулась к данному вопросу в связи с недавней волной масштабных кибератак с использованием вымогательского ПО WannaCry.
Как отметил Смит, инцидент является очередным примером того, к чему может привести замалчивание правительством уязвимостей в ПО. Как известно, для распространения WannaCry использовался эксплоит EternalBlue из арсенала Equation Group (хакерской группировки, связываемой с Агентством национальной безопасности США). В прошлом месяце инструмент был опубликован в интернете киберпреступниками из The Shadow Brokers.
«Мы уже видели, как эксплоиты ЦРУ всплывают на сайте WikiLeaks, а теперь эксплоиты, похищенные у АНБ, угрожают пользователям по всему миру. Используемые правительством уязвимости то и дело всплывают на общественных сайтах и причиняют масштабный ущерб. Это можно сравнить с тем, как если бы у Армии США были похищены ракеты Tomahawk», - отметил Смит.
Предложенная Microsoft цифровая Женевская конвенция призвана помочь в решении данной проблемы. Документ предполагает ввести новые требования для правительств. В частности, спецслужбы должны будут сообщать производителям об обнаруженных в их ПО уязвимостях, а не собирать их, продавать или использовать.
Владимир Лебедев, директор по развитию бизнеса Stack Group
Недавняя атака показывает насколько неожиданными и массовыми могут быть кибератаки, поражающие информационные активы самых различных отраслей, включая учреждения здравоохранения, государственные, силовые ведомства, информационные системы транспорта. Негативные последствия реализации данных атак могут быть более чем серьезные, начиная от создания условий для причинения вреда или гибели людей, заканчивая техногенными авариями с непредсказуемыми последствиями. Безусловно, общество нуждается в адекватной оценке последствий таких атак, и внесение соответствующих изменений в нормативные акты государств является логичным ответом на подобные угрозы. В том числе должны быть усовершенствованы механизмы по расследованию киберпреступлений и признанию доказательств в судах, а также изменению и ужесточению мер ответственности в зависимости от последствий. При этом в ряде случаев ответственность может быть сравнима с применением физического оружия.
Вячеслав Медведев, ведущий аналитик отдела развития компании "Доктор Веб"
Угрозы в киберпространстве уже приравнены к обычному оружию в документах многих стран. И многие страны оставляют за собой ответ за нападения с территории некой страны через сеть Интенрнет. Проблема лежит в атрибуции злоумышленников - слишком просто замести следы. Никто в здравом уме не проводит атаки с личного компьютера и не оставляет в текстах вредоносных программ свой почтовый индекс. Напротив - вспомним о существовании специального инструмента (утекшего из Агентства Национальной Безопасности США), который должен был подставлять строки на нужном языке в создаваемые файлы.
Атаки проводится через арендованные сервера или зараженные компьютеры, находящиеся в третьих странах, оплата проводится биткоинами. Атака ведется стандартными утилитами, а после атаки все следы на компьютере очищаются. Кого атаковать? Страну с которой идет атака, или ту, которая атаку организовала? Если первое - то она виновата лишь в беспечности, если вторую - как доказать, что именно она виновна и что ее не подставили?
Вспомним атаки на США в период выборов - обвинений множество, доказательств мизер - именно поэтому положения об ответственности в киберпространстве пока остаются заявлениями. И будут таковыми до момента реализации положения Д Стратегии развития информации развития:
создать новые механизмы партнерства, призванные с участием всех институтов общества выработать систему доверия в сети «Интернет», гарантирующую конфиденциальность и личную безопасность пользователей, конфиденциальность их информации и исключающую анонимность, безответственность пользователей и безнаказанность правонарушителей в сети «Интернет».
Олег Бойко, советник по информационной безопасности Департамента информационных технологий города Москвы
Вопрос более четкого и понятного регулирования поведения в киберпространстве зреет давно. Киберпространство действительно становится новым театром боевых действий. При этом на настоящий момент каждый участник взаимодействия в киберпространстве ориентируется на свои собственные правила поведения в информационном пространстве.
Например, существует так называемое Таллинское руководство по ведению кибервойн, которое было разработано при участии Центра НАТО по киберзащите (NATO Cooperative Cyber Defence Centre of Excellence, CCD COE). Несмотря на участие CCD COE в разработке этого документа, он носит рекомендательный, а не обязательный характер для стран-участниц НАТО. В нём определено, что кибератаки должны быть направлены против конкретных объектов противника и рекомендуются к запрету веерные атаки, которые могут повлиять на гражданское население; кибератаки, приведшие к жертвам среди гражданского населения, приравниваются к военным преступлениям.
Документ такого же характера существует и у нашего Министерства обороны. Но единого обязательного к использованию свода правил, как Женевская конвенция, пока нет, кроме общих рекомендаций ООН. Осознавая важность этого вопроса, в конце пошлого года Россия инициировала в ООН обсуждение конвенции по кибербезопасности.
Инициативу Брэда Смита, с одной стороны, можно приветствовать — крупные корпорации с определённым весом на мировой арене могут ускорить формирование и принятие правил и принципов поведения в киберпространстве. С другой стороны — нельзя допустить смещения акцента от проблем конкретного производителя на последствия от эксплуатации этих уязвимостей конкретными участниками киберконфликта. Именно уязвимости, связанные с некорректной архитектурой или с ошибками программирования того или иного программного обеспечения, используются при создании кибероружия.
Формирование подобия Международного договора о торговле оружием (Arms Trade Treaty, ATT) для кибероружия выглядит сложно реализуемым. Сам ATT применительно к физическому оружию в реальном мире работает достаточно слабо из-за не совсем четких положений и требований.
Кибероружие сложно продавать открыто, так как чем больше о нём известно, тем менее оно эффективно (закрываются уязвимости, выпускаются и настраиваются средства защиты). Оно обладает небольшим сроком жизни, у него нет ограничений по месту расположения и применения, в отличие от физического оружия. Ограничение рамками какого-либо документа — недостаточная мера. Необходим комплекс мер, начиная от технологий безопасной разработки и заканчивая конкретными последствиями для разработчиков программного обеспечения и участников киберконфликтов.
Брэд Смит просит не приравнять кибероружие к физическому оружию в реальном мире, а использовать в киберпространстве те же правила и принципы, что применяются для оружия в реальном мире. Он призывает создать и поддержать Цифровую Женевскую конвенцию, которая нацелена на защиту гражданского населения от последствий кибератак, а не создать цифровую конвекцию по кибероружию.
Алексей Головченко, управляющий партнер юридической компании «ЭНСО», глава комиссии по оценке регулирующего воздействия общероссийской общественной организации «Деловая Россия»
Такие компании, как Microsoft – это уже не просто корпорации, это политика. Такие компании задают темп развития, определяют направление рынка и его стратегию. Microsoft задают тон всей IT-отрасли и ее информационной инфраструктуры в частности. Инициатива нацелена на получение жесткого контроля над своей отраслью. Им хочется не просто «пригрозить пальцем» хакерам, но и иметь более сильное легальное оружие против них. Это прагматичный экономически понятный формат лоббизма своих интересов. Поэтому здесь вопрос скорее не в том, каким странам будет выгодно принятие такого решения, а в том, какая отрасль заинтересована в нем.
Лечим цифровую неграмотность без побочных эффектов