Що таке «інтернет-безпека»?

Привіт на новинах Кайрос,

В останні роки світ стрясали гучні скандали, пов’язані з інтернет-стеженням. І якщо раніше стеження сприймалася громадськістю з легкою іронією, чимось на зразок кінореальності в стилі Джеймса Бонда, то тепер, в епоху інтернету, а особливо після шокуючих викриттів колишнього американського агента Едварда Сноудена, світ здригнувся. У прямому сенсі слова. Виявляється, стежать всі, стежать рішуче за всіма і, в буквальному сенсі слова, – за всім. Стежать за поштою, витратами, банківськими рахунками, поїздками, вечерею в ресторані, переглядом телевізора … Інформація стала дорожче золота, а значить, захист цієї інформації стала дорожче платини.

Так що ж робити? Як бути простим громадянам, які бажають відстояти свої конституційні права – право на особисте життя – і опинилися (аж ніяк не відразу) беззахисними перед владою своєї країни, іноземними спецслужбами, або навіть перед яким-небудь пересічним кіберзлочинців з Калькутти, Москви або Каракаса?

За відповіддю ми вирішили звернутися до фахівця в галузі безпеки, президенту KAIROS TECHNOLOGIES LTD. Мішелю Віейра. Погляд з середини:

інтерв’ю з президентом Kairos Technologies – Мішелем Віейра (Michel Vieira)

miguel-viera

Кореспондент: пан Віейра, для початку скажіть кілька слів про вашу компанію, цілі і завдання.

Віейра: Спробую в двох словах, хоча це буде нелегко. Компанія створена трохи більше року тому. Зареєстрована в Великобританії. Спочатку спеціалізувалася на наданні IT-послуг для корпоративних клієнтів, в першу чергу, в області безпечного зберігання і передачі даних в інтернеті. Зараз значно розширюємо лінійку продуктів і спектр послуг.

Кореспондент: Як ви бачите сучасний світ з точки зору інтернет-безпеки?Віейра: Я би подивився на цю проблему дещо інакше. Ширше. Світ небезпечний. Можна йти по вулиці і стати випадковою жертвою від руки оскаженілого психопата, наркомана чи психопата-наркомана. Можна рухатися в супроводі озброєного охоронця і все одно стати жертвою від тепер уже групи неадекватних осіб. А можна їхати в броньованому лімузині під посиленою охороною і не боятися навіть натовпу розлючених психопатів-наркоманів та інших неадекватних осіб або навіть зловмисників. Так і в інтернет-безпеки. Все залежить від людини, вірніше, від його цілей і методів убезпечити себе і свою сім’ю від зазіхань сторонніх осіб, злочинних груп або цілих спільнот і навіть держав. Проти одних достатньо простого антивіруса, проти інших – посилених файрволлов або про-версій malwarebytes. А хто хоче найвищого ступеня безпеки – броньованого «IT-лімузина» – ласкаво просимо до нас в KAIROS!


Кореспондент: Чим же ви такі особливі?
Вієйра: У тому то й справа, що всім. Ми не тримаємо конфіденційну (чутливу) інформацію наших клієнтів на якихось конкретних серверах в певних країнах. Дані наших клієнтів в зашифрованому вигляді розкидані на дискових просторах наших партнерів. При цьому розкидані не тільки дані користувачів – шифрований ключ до цих даних також розбитий на тисячі складових і розсіяний на жорстких дисках по всьому світу. Саме тому ми такі особливі. Ми невразливі. Як збирається ключ до інформації, та й сама інформація – секрет. Єдиного володаря даного секрету немає і це все, що я можу вам сказати. На будь-який запит суду будь-якої держави про видачу нами інформації наших партнерів і клієнтів ми відповімо відмовою по тій простій причині, що ми не можемо видати судовим та іншим інстанціям таку інформацію. Вона не зберігається на якомусь одному сервері. Ця інформація взагалі не зберігається ні на якому сервері. Наш мега-сервер – жорсткі диски наших партнерів і клієнтів. На сьогоднішній день це найефективніший засіб захисту від будь-якого хакера – від тінейджера до генерального прокурора.


Кореспондент: Важко повірити в це. Якщо розроблена вами система захисту інформації ефективна, така невразлива – то чому ж уряди держав не шикуються до вас в чергу, щоб отримати в руки таке чудо-засіб від кіберзлочинців? Чому про Кайрос не сурми на кожному кроці як про такий собі «Форт-Нокс» або «Алькатрасі інтернет-безпеки»?

Віейра: А хто вам сказав, що не варті? (Сміється) Серед наших клієнтів є і корпорації, і урядові установи. Просто багато хто навіть громадські організації вважають за краще залишатися в тіні. Чи не спокушати долю. Адже коли відомо, яким замком користується потенційна жертва, грабіжникові легше підібрати ключ. Не те, щоб компанія KAIROS боялася потенційних зломщиків, зважаючи на нашу особливої – унікальної і поки неперевершеною технології зберігання і передачі даних – просто бажання клієнтів для нас закон. А, як я вже говорив – ми вміємо зберігати секрети.


Кореспондент: Як вам повинно бути відомо, в 2014 році уряд США вже видало ордер на отримання даних з поштових серверів Microsoft, розташованих в Ірландії. У Microsoft, Apple, Cisco і інших корпораціях виступили рішуче проти такого рішення, вважаючи неприйнятним і неприпустимим сам факт видачі такого (національного) ордера одним державою без відповідної згоди іншої суверенної держави, на території якого знаходяться такі сервери. У зв’язку з цим виникає питання: як ви ставитеся до такого урядового нововведенню і кроків у компаній? Чи вважаєте ви правомочними такі дії влади на території своєї держави? І чи буде вважатися законним з точки зору міжнародних зобов’язань компанії виконання рішення судів іноземних держав, де розташовані сервери компанії, про видачу інформації своїх клієнтів?

Віейра: Ну, звичайно ж я проти! Як можна вважати такі дії влади законними? Адже отримання владою країни інформації особистого характеру клієнтів компаній – будь то Майкрософт або «Ікс-Ігрек і К» – це просто один з різновидів хакерської атаки. Стихійне лихо. Форс-мажор з гумовим кийком. Адже влада може робити з інформацією, отриманою таким шляхом, все, що завгодно. Наприклад, шантажувати громадянина з метою отримання від нього зізнання, сплати податків, показань свідків і т.д. І це, зауважте, на «законних підставах», тобто на підставі рішення національного суду. Але ми-то з вами знаємо, що не всі судові рішення бувають «законними». І не всі «законні рішення» здійснимі з точки зору міжнародного права. Міжнародне право поки що ніхто не відміняв (сміється).

Я вважаю, що кількість конфіденційної інформації, що потрапляє в інтернет з приватної та ділової переписки, стає дедалі більше. І росте, не в останню чергу, завдяки ось таким «законним» рішенням.


Кореспондент: Скажіть, що ви думаєте про Сноуденом? Едварде Сноуденом, вірніше, про його викриттях, що стосуються діяльності спецслужб США на території інших держав.

Віейра: Це складне питання. З точки зору поведінки людини, яка зобов’язана в силу посадових повноважень зберігати службову і державну таємницю – не можу знайти виправдання його вчинку. Що ж стосується його інформацією про тотальне стеження спецслужб і методах спостереження і збору інформації – зізнаюся, нашої компанії це навіть, скоріше, зіграло на руку. Люди, організації, компанії, корпорації та інші раптом задумалися про необхідність пошуку найбільш оптимального і раціонального рішення щодо забезпечення безпечного зберігання та передачі своїх даних. І багато, уявіть, прийшли саме до нас. Так що я вважаю, що саме Сноуден з’явився одним з кращих піар-менеджерів для нашої компанії (сміється).

Що таке «інтернет-безпека»?

Кореспондент: Добре. Дякуємо. Поговоримо тепер про сховище.
Віейра: KairosDisc?


Кореспондент: Саме так.
Віейра: Пам’ятається, одного разу Хемінгуей (був такий письменник – уточню, щоб ніхто його часом не сплутав з яким-небудь знайомим IT-менеджером) (сміється) … так от він посперечався, що напише розповідь з шести слів, який стане самим зворушливим з усіх раніше написаних. І він виграв суперечку: «Продаються дитячі черевички. Неношені »(англ. For sale: baby shoes, never used).
Так ось, говорячи про KairosDisc, я вам так скажу: KairosDisc буде жорсткіше самого жорсткого диска (сміється). А якщо серйозно, то вибираючи сховище даних, інтернет-користувач повинен, в першу чергу, дізнатися про репутацію того, хто це сховище йому (користувачеві) надає. Адже не може ж бути безпечним сховище у того, хто постачає інформацією третіх осіб (наприклад, спецслужби), навіть якщо це робиться в інтересах національної безпеки або ідеалів демократії!
Така компанія виступає в якості такого собі «бекдор», шпигують за користувачами, може також здійснювати вірусну чи іншу атаку, здійснювати інші деструктивні дії. А наївні користувачі будуть думати, що стали жертвами якихось міфічних «кібератак» злочинних осіб і спільнот. На перевірку все виявляється набагато простіше, тільки не всяка така «кібератака» стає надбанням гласності. Хоча я особисто вірю, що шила в мішку не сховаєш. Причому, для компанії втратити репутацію набагато простіше, ніж її заслужити. А разом з репутацією, зрозуміло, клієнтів і гроші.
У KairosDisc використовується технологія розподілених мереж. Інформація зберігається в захищеній файлової системи. Всі файли зашифровані і розбиті на фрагменти. Більш докладно про наших програмах можна дізнатися на офіційному сайті компанії KAIROS.


 

Кореспондент: Говорячи про KairosDisk, не можу не згадати про сховище Oracle. За останніми даними, уразливості в системах Oracle PeopleSoft до кібератаки типу TokenChpoken, що може привести до витоку персональних даних в бізнес-компаніях, державних організаціях, наукових установах та ін. Як це вплине на удосконалення системи безпеки вашої продукції, зокрема, KairosDisc?
Віейра: Згадуючи про Oracle PeopleSoft, ви ймовірно вважаєте їх прикладне програмне забезпечення прямим конкурентом продукції KAIROS. Змушений вас розчарувати: KAIROS ніколи не розглядала компанії, що займаються тиражуванням ПО в області HRMS, ERP, CRM, як своїх прямих конкурентів. Наші завдання тут дуже різні. Не хотів би, щоб мене звинуватили у недобросовісній конкуренції по відношенню до компаній на кшталт Oracle, дозволю собі лише висловити свою власну точку зору.
Так ось, чому я особисто ніколи не користувався ПО начебто PeopleSoft, це пов’язано, в першу чергу з недовірою до надто «розкрученим» брендам. Я вважаю, що такі компанії витрачають величезні кошти в рекламування своїх продуктів, не надто дбаючи про надійність своєї продукції, і тим більше в її подальшого вдосконалення. Воно і зрозуміло, оскільки кошти, що виділяються на рекламну кампанію, значно перевищують суму на розвиток самого продукту. Їм нема чого займатися удосконаленням продукту, його апгрейдом, поки рівень продажів тримається на досить високому рівні.
Ще одним важливим моментом, що впливає на вразливість широко розрекламованих брендів в тому, що хакери, полюючи за певною інформацією, абсолютно точно знають, де її шукати і у кого, оскільки така інформація, як правило (без винятків) знаходиться саме на певних серверах компанії- промоутер. Злом сервера, що має чіткий адресу, завжди був і буде заповітною, нехай навіть труднодостижимой, але реальною метою будь-якого кіберзлочинця.


Кореспондент: Зізнаюся, мене дещо розчарувало наповнення сайту. Я не побачив на сайті прайс-листа для корпоративу, чітко сформульованої пропозиції для корпоративного клієнта, програма нічим не завантажена.

Віейра: Сайт знаходиться на реконструкції. Змінилися завдання, змінилася стратегія компанії, Диверсифікувалась клієнтура і партнери – все це вимагає змін на сайті. Погодьтеся, не можна ж видавати інноваційний продукт на застарілому сайті. Запевняю вас, скоро ви не впізнаєте сайт KAIROS.


Кореспондент: Ловлю вас на слові. Так, ось ще: ось ви говорите, що у вас все добре, компанія розвивається. Але, з іншого боку, я ніде не побачив у вас підтвердження того, що справи у вашої компанії йдуть добре саме у фінансовому відношенні.

Віейра: Ну, знаєте, вивішувати фінансові показники не входить в обов’язки будь-якої компанії. Але тут можу вас запевнити: ми в повному порядку. Свідченням тому наша сьогоднішня розмова, ми на ринку більше року, тоді як недоброзичливці і конкуренти пророкували нам відхід з ринку ще до кінця 2014 року. Мовляв, разовий короткостроковий проект, приречений на невдачу. Минуло більше року. Ми маємо власну спортивну команду на авторалі «Le Mans», наші продукти затребувані – які ще потрібні докази?


Кореспондент: Хороший відповідь. А скажіть: а самі ви якою програмою користуєтеся? Google Диск?

Віейра: Підступний питання (сміється). Але змушений вас засмутити: особисто я користуюся kairosphone з повною «начинкою» продуктів нашої компанії: kairosdisc, kairossurf і kairosmail (показує kairosphone). Ну, і ще KAIROS хмарою на додачу. Не тільки і не стільки в рекламних цілях, а просто тому, що це зручно і безпечно. Так, до речі, я і smartwatch теж не ношу (показує обидві кисті). Вважаю, для мене це так само природно, як для президента Сітроена їздити на «Сітроені», а компанії BMW – на BMW.


Кореспондент: Ну добре, ви мене переконали! (Сміється) А тепер розкажіть, будь ласка, трохи про поштовому клієнті kairosmail.

Віейра: Добре, спробую. РОЗУМІЄТЕ, для безпечного поштового сервісу потрібно забезпечити три речі: безпечну аутентифікацію, передачу та зберігання даних. На перший погляд, все просто, але насправді все виявляється набагато складніше.

Шифрування пошти (більш інших використовують стандарти s / mime і open pgp) є найважливішим етапом. Але на практиці, відсоток користувачів, які вдаються до шифрування пошти, невеликий. Ось тут на допомогу інтернет-користувачам і приходить компанія KAIROS з її топової інноваційною розробкою – kairosmail.

Всі сучасні поштові сервіси мають стандартний набір засобів захисту аутентифікації і використовують безпечні протоколи для підключення до сервісу (ssl і tls). При цьому практично у всіх є механізми відновлення пароля і відстеження спроб несанкціонованого правомірного доступу.

KAIROS пішла набагато далі, створивши надійний «пояс безпеки» навколо поштового сервера клієнтів, і при цьому подбала про захист користувачів також від потенційних внутрішніх загроз, зокрема від доступу до даних з боку своїх же співробітників, звівши до нуля загрозу з боку так званого людського фактора, в тому числі і корупцію серед співробітників поштових хостингів, проти користувачів поштового сервісу kairosmail. Я вам казав на початку нашої розмови і знову повтор – ми невразливі. Не вірите – можете самі переконатися. Двері KAIROS відкриті як для корпоративних користувачів, так і приватних осіб. Вся справа в ціні. Ціною, яку ви готові платити за безпеку своїх даних. Це і є справжня свобода. Свобода, доступна кожному.


Кореспондент: Ну добре, якщо продукти вашої компанії такі хороші, тоді чому про них не сурмлять на кожному розі? Адже до нашої з вами зустрічі я ніде якось особливо не стикався з відкритою рекламою Kairos.

Віейра: Ви маєте рацію: тут є і наша недоробка. Але, розумієте, спочатку в своїх розробках ми орієнтувалися виключно на корпоративного клієнта. А з корпоративним клієнтом використовуються зовсім інші маркетингові прийоми, які не потребують білбордів, товарів з логотипом компанії і телереклами. Але, по-перше, ми молода компанія, а молодості властиво помилятися (посміхається). А по-друге, виявивши живий різко зрослий інтерес індивідуальних користувачів до наших програм, KAIROS переглянула свою політику і тепер ми виходимо на новий рівень. Так що скоро ви не будете знати, куди подітися від реклами KAIROS


Кореспондент: Ну добре, ось ви говорите, що IT безпеку розвивається. Тоді ось питання: якщо розвивається, то в якому напрямку?

Віейра: Ось питання питань! Ви бачите в корінь (посміхається). Заглядати в далеке майбутнє я не буду, але деякими міркуваннями поділитися можу. Не буду розставляти їх у порядку черговості за важливістю, оскільки всі вони в тій чи іншій мірі важливі і взаємопов’язані. Отже, на мій погляд, найбільш перспективними напрямками IT безпеки на найближчі роки буде захист особистих даних користувачів, протидія кібер-шахрайства, захист критично важливих систем, безпеку «хмари» і ін. Причому безпеку «хмари» – це окрема тема


Кореспондент: Чому окрема?
Вієйра: та тому що «хмара» – це спроба створення якогось «оази» безпеки в інтернеті. Що таке «хмара»? Це ознаяает розміщення, зберігання та користування даними за допомогою веб-сервісів на віддалених серверах, наданих третіми особами. Важливим моментом тут буде можливість підключення до своїх даних за допомогою інтернету і, при цьому, з будь-якого пристрою – будь то ПК, ноутбук, мобільний телефон і так далі. Користування хмарою безпосередньо пов’язано із захистом даних користувача і доступу до критично важливих систем. Хмара це, якщо хочете, і дія (пошта і ін.), І стан (сховище). Тому, якщо зупинятися на докладному обговоренні «хмарних» технологій, і, в тому числі KairosCloud, ми з вами просидимо до ранку (посміхається).
Знайте одне: ринок IT безпеки буде розвиватися до тих пір, поки не буде розроблено ідеальне універсальне пулі-броні-хакер-непробивне засіб захисту зберігання та передачі даних. Я не хочу сказати, що Kairos і є те єдине рішення всіх проблем IT безпеки. Але щось «чарівне» в нас є (сміється). Саме тому ми і знаходимося в наших дослідженнях і розробках ближче до IT Олімпу ніж багато «розкручені» бренди. Безпека і невразливість – ось дві речі, що рухають нами в цьому напрямку.

За матеріалами блогу Кайрос. Дякуємо за увагу.

Сподіваюсь новина вам корисна, поділіться нею з друзями

Facebook Comments