"Можно вести бизнес быстро и легко": посол Эстонии поделился опытом "государства в смартфоне"

10,0 т.
'Можно вести бизнес быстро и легко': посол Эстонии поделился опытом 'государства в смартфоне'

В новом выпуске программы "Евроинтеграторы" с Татьяной Поповой на ObozTV Каймо Кууск – посол Эстонии в Украине, Константин Корсун – специалист по информационной безопасности, основатель компании "Бережа Секьюрити" говорили о "государстве в смартфоне", кибербезопасности и атаках России.

- ПОПОВА: Сегодня мы говорим о балансе цифровой трансформации и кибербезопасности. Господин посол, первый вопрос к Вам. Эстония и Украина уже сотрудничают в киберсфере. Какие проекты уже внедрены, какие планируются? Я знаю, что основа платформы обмена данными "Трембита" – это эстонская система "X-ROAD ” . Это так?

- КУУСК: Да, это так. Наша система "X-ROAD" функционирует несколько лет, и она уже вдохновила несколько стран, и Украина среди них. И мы рады помочь строить у вас фактически подобную функционирующую систему.

Видео дня

- ПОПОВА: А какие другие проекты?

- КУУСК: На самом деле их несколько. В Украине работают частные компании. "LIFT99", например, делает стартапы, и вскоре начнется пилотный проект по электронной системе пересечения границы вместе с украинской таможней. Когда наши президенты встретились в Таллинне две недели назад, был начат, так сказать, мозговой штурм IT -сектора – хакатон, который должен быть введен в течение следующих трех лет, и наша рабочая группа, которая этим занимается, встречается каждые полгода. Это должно помочь и не только помочь, но и сотрудничать над идеей проекта "государство в смартфоне".

- ПОПОВА: Так это будет совместное сотрудничество между Украиной и Эстонией, или Вы имеете в виду, что это будет происходить в Эстонии?

- КУУСК: Нет-нет, это совместное сотрудничество. Задействованы оба государства плюс частный сектор. И как мы видели в Эстонии, лучшим результатом является сотрудничество государственного и частного секторов.

- ПОПОВА: Но с точки зрения безопасности и кибербезопасности, насколько, Вы считаете, эти идеи с цифровой трансформацией безопасные, учитывая гибридную войну с Россией?

- КУУСК: Собственно, я приведу вам пример. Мы в Эстонии начали развивать этот ИТ-мир еще в 90-х. Мы пропустили некоторые вещи, которые были очень нормальными, привычными на западе, например, чековые книжки в банках на бумаге. Я читал о чековых книжках только из детективных историй, которые мне очень нравились.

Насколько на самом деле это безопасно, по моему мнению? Я разговаривал с моими канадскими коллегами, и они сказали, что в их уголовной полиции все еще существует специальный отдел, который занимается мошенничеством, связанным с чековыми книжками. Это лишь сравнение, и вы на самом деле должны заботиться о безопасности каждого участка, когда Вы воспроизводите это на бумаге или делаете это в IT -секторе.

"Евроинтеграторы" с Татьяной Поповой

- ПОПОВА: Что скажет специалист по кибербезопасности?

- КОРСУН: Я убежден, что любые IT-сервисы, диджитализация должны быть основаны на, прежде всего, кибербезопасности. Поскольку, если не будет кибербезопасности этих новых технологий, этих новых сервисов, люди просто не будут доверять и не будут этим пользоваться. И это будет бесполезно потраченное время и ресурс.

На самом деле, я не уверен в том, что сейчас при такой активной диджитализации, которую проводит украинское правительство, уделяется достаточное внимание вопросам кибербезопасности. Они должны разрабатываться одновременно, на основе требованиям кибербезопасности.

- ПОПОВА: А правда, что в Эстонии была в 2000-х очень серьезная кибератака, кажется, с Россией? Вы после этого начали более серьезно относиться к вопросу и диджитализации, и кибербезопасности?

- КУУСК: Это был 2007 год, и это произошло в конце апреля - начале мая. У нас был политический кризис и конфликт с Россией, и мы попали под кибератаку. В современных условиях эта атака выглядит довольно просто – DDoS-атаки, когда Вы атакуете с разных сторон, пытаясь сломать систему.

Что нам наверняка помогло – это то, что в том же году в марте Эстония имела свою первую возможность электронного голосования. В этот же год, когда была атака, у нас состоялись парламентские выборы. За два месяца до этого мы впервые ввели возможность электронного голосования. У нас было очень хорошее оборудование, очень хорошее программное обеспечение по кибербезопасности, которое на самом деле помогло нам пережить эти огромные атаки.

- ПОПОВА: То есть они пытались дискредитировать эту электронную систему голосования этой атакой? Потому что Вы мне сказали, что это было во время политического кризиса.

- КУУСК: Собственно, речь шла о памятнике, посвященному Второй мировой войне. Мы решили, что этот памятник и те, кто похоронен под ним, должны быть перезахоронены на кладбище, которое будет местом их чествования, а не в центре города, возле троллейбусной остановки. Поэтому это не было связано с выборами.

- ПОПОВА: А ты как думаешь, насколько реально возможно заменить некоторые программы электронными? И насколько это безопасно? Например, эта идея переписи.

Посол Эстонии рассказал о "государстве в смартфоне"

- КОРСУН: В отношении переписи, возможно, когда-то в будущем, это будет возможно. Но пока я не верю, что это будет репрезентативно, достоверно и надежно. Опять-таки, господин посол вспоминал ситуацию, что за 2 месяца до мощной атаки против Эстонии в мае были проведены выборы с помощью электронных технологий.

И страна не была готова именно потому, что не рассчитывала на такой риск. Не могли себе представить, что будет такой чрезвычайно большой масштаб, и спонсируемые атаки государства в огромных объемах, с огромными ресурсами. Что касается переписи населения, пока мне объяснения правительства не выглядят достаточно убедительными. Результаты пилотного проекта должны показать, имеет ли перспективу такая технология.

- ПОПОВА: А что ты думаешь об электронном голосовании, которое Эстония сделала еще с 2007 года?

- КОРСУН: На самом деле, пока еще ни в одной стране мира не существует достаточно надежных систем электронного голосования, потому что, к сожалению, современные методы не позволяют обеспечить несколько важных условий: что голосование добровольное, и голосование тайное.

Сама система голосования в Эстонии, которую часто вспоминают сторонники такой идеи, там был один очень неприятный случай, после которого эту программу пришлось приостановить и дорабатывать. Сейчас она работает частично. То есть при некоторых условиях, насколько я понимаю, возможно, господин посол объяснит лучше, речь не идет абсолютно о 100% или 99% избирателей, которые голосуют онлайн.

- ПОПОВА: Это правда, что не все голосуют онлайн, что есть люди, которые голосуют все еще оффлайновым методом?

- КУУСК: Да, верно. У нас достаточно большой процент людей, которые голосуют в Интернете. Это безопасно, и это возможно в течение нескольких дней. Давайте гипотетически представим, что кто-то заставляет вас на компьютере проголосовать за, скажем, оппозиционную партию. Хорошо, Вы проголосуете.

Но затем в ближайшей кофейне Вы залогинетесь к wi-fi и сможете переголосовать столько раз, сколько это возможно до реального дня голосования. Безусловно, найдутся люди, которые хотели бы пойти на избирательный участок и сделать это физически. Но голосование онлайн очень удобно – я могу это сделать из-за границы, из дома моей бабушки, или посещая родственников.

- ПОПОВА: А эти люди, которые получили электронное гражданство (e-residence), не голосуют? Это скорее просто бизнес-резиденты?

- КУУСК: Да. Давайте свяжем это с гражданством. Мы иногда немного шутим, что нас эстонцев проживает 1,5 миллиона по всему миру, поэтому мы решили, что должны распространять эту приятную демократическую идею и для других людей тоже, следовательно, электронное резидентство дает возможность вести бизнес быстро и легко.

- ПОПОВА: Что вы можете рассказать о том, как работает КИБЕРЦЕНТР в Эстонии, и хороша ли идея таких центров и конкретно киберцентр в Эстонии?

- КУУСК: На самом деле это один из центров передового опыта НАТО. В различных государствах есть разные центры передового опыта. Эстония выбрала свой и подала заявку в центр киберзащиты. Это не касается повседневных вопросов кибербезопасности Эстонии. Нет, для этого у нас есть различные институты.

Каймо Кууск

- ПОПОВА: А кто, кстати, занимается этим на ежедневной основе?

- КУУСК: В Эстонии? Существует специальная государственная организация под названием Государственное информационное агентство "RIA" при Министерстве экономики, есть внутренняя служба безопасности, которая имеет дело с государственными атаками, есть иностранная разведка, есть криминальная милиция, которая занимается уголовными преступлениями в IТ-сфере.

Плюс у нас также есть Альянс киберзащиты на добровольной основе, объединяющий государственных чиновников и лучшие умы в частной сфере. Государство не может платить за них. Мы просто не можем, потому что их заработная плата в десять раз выше, чем, например, у лучших IТ--работников в министерстве обороны, но это патриоты, которые работают в банках, или в таких компаниях как Skype или Playtech, которые готовы вкладывать свое свободное время, чтобы фактически помогать Эстонии. И это действительно хороший опыт.

- ПОПОВА: А центр передового опыта НАТО?

- КУУСК: Центр кибербезопасности НАТО – в нем принимают участие не все страны-члены, а также участники, которые не являются членами Альянса. Они работают, например, с правовой стороной функционирования кибербезопасности, а также анализируют различные атаки, которые произошли. Это фактически центр передового опыта – сплошной мозг и талант.

- ПОПОВА: А ты там был?

- КОРСУН: Я там не был, но я много об этом слышал и знаю людей, которые там работали, и знаю всю эту историю Center of Excellence. Этот центр создали сразу после майских атак против Эстонии 2007 года, когда вся страна на несколько дней просто "легла". Не работали банки, не работали государственные учреждения. Это было в негативном смысле "супер-вау" эффект.

- ПОПОВА: То есть наш Petya – это еще были цветочки?

- КОРСУН: У нас всего лишь треть экономики пострадала. Хотя у некоторых предприятий это на несколько месяцев затянулось, у кого-то – на несколько дней, несколько недель. Так вот, Натовский Center of Excellence основали как раз после этих ужасных последствий, когда вся страна была несколько дней парализована.

И следует отметить, что этот Натовский центр все-таки военный, и он работает в интересах стран-членов НАТО. Как господин посол очень интересно рассказал, что в Эстонии этим занимаются как раз гражданские учреждения, но есть и волонтеры, есть и обмен информацией и между Центром НАТО, и между учреждениями, и налажено взаимодействие, чего, к сожалению, нет в нашей стране.

- ПОПОВА: Для зрителей скажу, что так как меня часто путают с другой Татьяной Поповой из Телекомпалаты, то время от времени я попадаю на митинги по кибербезопасности, там, где я вижу Константина. Расскажи, а как у нас эта сфера работает? На самом деле, в Эстонии также минимум пять ведомств, плюс Альянс, плюс еще Натовский центр.

- КОРСУН: Знаете, в Украине у нас, согласно законодательству, Закона Украины "Об основных принципах обеспечения кибербезопасности", определены шесть основных субъектов обеспечения кибербезопасности, и Совет национальной безопасности и обороны как координатор.

То есть вроде бы очень похоже, как в Эстонии, так как там в них входят Национальная полиция – киберполиция, Служба безопасности Украины, Госспецсвязи, Министерство обороны, Национальный банк, разведка. То есть очень похоже на то, о чем говорил господин посол, но у них это работает, а у нас почему-то нет.

- ПОПОВА: Страна меньше?

- КОРСУН: Нет какой-то координации, нет какого-то центрального хаба, который бы отвечал за эту координацию. Опять-таки, нет ресурсов для хотя бы нескольких специалистов приличного уровня. Но следует отметить, что Эстония активно двигалась в этом направлении с 2007 года, 12 лет назад. У нас, собственно, по кибербезопасности до сих пор ни одного более-менее заметного движения пока не детектируется.

То есть какие-то встречи, какие-то переговоры – государство с комьюнити, комьюнити с бизнесом, бизнес с государством, но пока этого баланса не найдено. И какая модель сотрудничества – еще не определено, к сожалению. Поэтому, возможно, сейчас, в связи с диджитализацией, направления кибербезопасности будет предоставлено какой-то новый толчок.

- ПОПОВА: Кстати, скажи, а власть вас слышит вообще? Или кто-то слышит, кто-то не слышит?

- КОРСУН: Трудно, во-первых, определить, кому адресовать наши идеи. То есть мы сообществом, комьюнити собрались, наметили, определили какую-то дорожную карту для того, как это все было бы правильно. Мы специалисты, частный сектор собрались, бесплатно все это разработали, набрейнстормили, выкатили программу на трех страницах, опубликовали, даже некоторые модели представили представителям СНБО.

Константин Корсун

- ПОПОВА: Секретарю СНБО, я так понимаю?

- КОРСУН: Сейчас уже секретарю СНБО. Но, к сожалению, у нас неизвестно, кому же адресовать наши мысли. То ли это Министерство цифровой трансформации во главе с г-ном Федоровым, то ли это СНБО во главе с г-ном Даниловым, то ли, возможно, это профильный комитет Верховной Рады, а, может, Госспецсвязи? У нас сейчас происходит такая рассинхронизация, и пока, если не брать Верховную Раду, то три центра противостояния...

- ПОПОВА: Там еще и Министерство обороны с Генштабом имеют свои идеи...

- КОРСУН: Но в Минобороны, разведки, киберполиции, Службы безопасности есть свои собственные узкие задачи. И киберподразделения обеспечивают выполнение их основной деятельности. Если мы говорим о координации национальной кибербезопасности, в национальном масштабе – то силовые структуры должны играть роль, но не главную, не ведущую, а надо сначала определить, где центр координации. Не регуляции, не каких-то силовых методов или принуждения, а именно центр координации, центр знаний, центр экспертизы.

- ПОПОВА: В то же время вице-премьер-министр сказал, что роль кибербезопасности у нас немного преувеличена. Здесь, с одной стороны, как господин посол говорил, что и банковские чеки – это также опасная история, и очень важно проводить реформы и делать цифровую трансформацию. Где этот баланс?

- КОРСУН: Относительно высказывания господина Федорова, я удивлен, мягко говоря тому, что министр, который якобы отвечает за кибербезопасность, утверждает, что роль кибербезопасности переоценена.

- ПОПОВА: Он за цифровую трансформацию, прежде всего, отвечает.

- КОРСУН: Дело в том, что я слежу за всеми публикациями Министерства цифровой трансформации, и у меня есть тоже очень красивый скрин, в котором они утверждают, что с сентября 2019 Министерство цифровой трансформации ответственное за кибебезопасность. На их аккаунтах такая информация опубликована.

Поэтому как-то странно выглядит, когда профильный министр, отвечающий в том числе и за кибербезопасность, по крайней мере они так считают, утверждает, что роль кибербезопасности немного преувеличена. На самом деле она сильно преуменьшена со стороны правительственных структур.

Мы в киберсообществе – конечно, это наша профессия, и мы считаем это важнейшим в мире, но мы понимаем, что цифровые сервисы и цифровая трансформация терпит поражение в случае, если окажется, что это не очень безопасно. То есть этому надо уделять максимально внимание, и с мнением господина Федорова я не согласен.

"Евроинтеграторы" с Татьяной Поповой

- ПОПОВА: А после вируса Petya, как ты считаешь, у нас улучшился вообще в стране уровень кибербезопасности или нет?

- КОРСУН: Он повысился, безусловно. Примерно полгода назад я с коллегами проводил среди специалистов кибербезопасности такой небольшой опрос, и большинство из них согласилась, что, действительно, после той атаки двухлетней давности стало больше уделяться этому внимания, и общий уровень повысился. Но следует все же отметить, что за полгода после атаки практически все уже перестали бояться новых.

Те компании и организации, которым повезло, они решили, что все, пронесло, больше не будет. Они продолжили, как всегда, и не инвестировали в собственную кибербезопасность. Но на самом деле так, кроме NotPetya было еще нескоько громких очень атак – это шифровальщики разные: Bad Rabbit и т.д .

Конечно, эти негативные примеры влияют на восприятие, что да, это важнее, чем нам казалось, но большинство компаний, организаций и частных лиц не готовы тратить свои деньги именно на кибербезопасность.

- ПОПОВА: Я помню "Прикарпатьеоблэнерго", 2015 год, когда специалисты говорят: "Мышки бегают по экрану. Что происходит?"

- КУУСК: А у нас были настоящие крысы месяц назад в Эстонии. Они повредили кабель, поэтому в течение нескольких часов у нас был отступных Интернет.

- ПОПОВА: Есть вообще какие-то стандарты, возможно, в Эстонии, вообще в цивилизованных странах, сколько страна должна тратить на кибербезопасность?

- КУУСК: Вы знаете, в Эстонии говорят, что никогда не бывает достаточно любви и безопасности. Так что вы можете инвестировать, и вам придется это делать, потому что противники также не спят. У нас есть и другая поговорка: враг не спит. Поэтому нужно вкладывать деньги.

- КОРСУН: Это вопрос, который тоже мне задают. Нет никакой определенной какой-то цифры – что, например, 10%. Это неправильно. Есть в Украине исследования научные, и один из моих коллег когда представил презентацию по этому поводу, как вычислить стоимость ресурсов на обеспечение кибербезопасности.

Но это сложно, и простых решений здесь не будет. Как сказал господин посол, всегда не хватает любви и безопасности, и это постоянный процесс. Есть так называемые отраслевые стандарты. Они есть в Штатах, они есть в западной Европе. Каждая страна для себя для каждой отрасли определяет какие-то минимальные стандарты. Невозможно определить, сколько именно денег, или какой процент, или какую долю от прибыли надо на это тратить.

Потому что одни и те же задачи можно решить за большие деньги, а можно решить почти бесплатно, если специалист занимается этим процессом, и он знает – это можно взять бесплатно, это можно со скидкой взять, это можно с кем-то зашарить – как одну лицензию на двоих, например, а можно просто вбахать кучу денег, а оно все равно не будет работать.

- ПОПОВА: А потом придет Petya, или "мышки начнут бегать по экрану". Последний вопрос. В Эстонии очень высокий уровень свободы слова в Интернете. У нас медиа-сообщество вместе с кибер-сообществом в предыдущие годы принимали участие в совместных акциях против законопроекта 6688 о досудебной блокировке сайтов. Сейчас вносятся какие-то идеи у новых политиков, но уже через суд. Как вы относитесь к этим идеям блокировок? Насколько это помогает или не помогает в современном мире?

- КОРСУН: Лично я считаю, что любые блокировки лишены смысла, во-первых, даже не говоря о том, что ограничение свободы слова, свободы доступа в Интернет, свободы обращения информации. На самом деле, это не работает. Хотя говорят, что закрытие в 2014 году доступа к одной российской сети уменьшила в три раза количество пользователей из Украины. На самом деле, существует множество средств, как обойти блокировку. А расходы государства, правительства на какие-то мощные решения – это реально десятки-сотни-миллионы долларов.

"Евроинтеграторы" с Татьяной Поповой

- ПОПОВА: Нет, извини, та блокировка не стоила ничего государству. Они это сделали принудительным методом через СНБО, через провайдеров. Но идея установления провайдерами DPI-оборудования происходила бы за деньги налогоплательщиков, потому что они просто увеличили бы им цену на Интернет.

- КОРСУН: То, что предлагалось законопроектом "6688" – это заставить Интернет-сервис провайдеров платить за это оборудование DPI, которое стоит миллионы долларов, и плата за которое легла бы на пользователей доступа в Интернет. И против этого мы все вместе протестовали, и, слава богу, что этого не произошло. Но попытка эта была дважды, и не оставляют чиновники мыслей, что это нужно и необходимо.

Но я, и многие мои коллеги поддерживают меня, что это, во-первых, очень плохо влияет на наши свободы и нарушает наши основные конституционные права – доступ к информации, доступ к распространению информации, свобода Интернету, свобода телекоммуникаций и т.д. И, во-вторых, на практике, даже если это, не дай Бог, будет введено, технически это чрезвычайно сложно и чрезвычайно дорого. И работать это все равно, следовательно, не будет.

- ПОПОВА: Я здесь снова добавлю для наших зрителей, в принципе, в Европе есть методы работы с ложной информацией через суды – во Франции с прошлого года существует такой законопроект, но исключительно через суд. И это только последний метод воздействия. Скорее они будут сначала пользоваться штрафами и только в конце, если штрафы не помогают, и предписания не помогают, они могут рекомендовать блокировки, но исключительно через суд. Совсем не так, как это предлагалось в 6688. А вы что думаете, как наиболее свободная в Интернете страна?

- КУУСК: В Эстонии мы более осторожны, чтобы что-то закрывать, поскольку в современном мире Вы можете обойти эти блокировки. Конечно, обходить блокировки окажется сложным для обычных людей, но таких шагов пока мы не делали, хотя на самом деле обсуждаем, стоит ли нам закрывать некоторые телевизионные каналы.

- ПОПОВА: Российские?

- КУУСК: Да, например, спутниковый канал "Russia Today". Или мы можем разместить надпись, которая предостерегает, что это может быть для вас вредным, вроде надписи, которые Вы используете на упаковке сигарет.

- ПОПОВА: "Пропаганда – это не журналистика"?

- КУУСК: Или вот, например, в нижней части экрана будет появляться надпись, что следует знать – этот канал показывает пропаганду. Это просто как идея. Безусловно, существует жесткая дискуссия о том, стоит ли эстонским компаниям покупать рекламное время на таких каналах, как, например, "Первый Балтийский канал".

- ПОПОВА: Вы имеете в виду государственные компании или частные?

- КУУСК: Частные компании также. Существует дискуссия, этично ли, так как эстонские компании покупают рекламное время на этих каналах. Поэтому дискуссия на самом деле продолжается.

- ПОПОВА: Как и продолжается дискуссия во всем мире.

Министерству цифровой трансформации и ГСССЗИ было предложено предоставить спикеров для этой программы, по разным обстоятельствам они не смогли присутствовать. Мы всегда открыты к диалогу и приглашаем их к участию в следующей программе "Евроинтеграторы"