Сегодня проблемой информационной безопасности озабочены не только правительства, но и технологические компании. Для ее решения требуется их тесное взаимодействие как на национальном, так и на международном уровнях. Перед лицом вызовов в этой области Microsoft выдвинула несколько инициатив. К ним относятся цифровая Женевская конвенция, Технологическое соглашение по кибербезопасности (The Cybersecurity Tech Accord), Глобальный интернет-форум по борьбе с терроризмом (GIFCT) и некоммерческая организация — Институт кибермира (CyberPeace Institute). В эксклюзивном интервью РСМД вице-президент и заместитель начальника юридического управления корпорации Microsoft Стив Краун рассказал об этих инициативах, их практической реализации, а также о роли, которую играют государственно-частное партнерство и ООН в противодействии киберугрозам.
Какие киберугрозы представляют наибольшую опасность для современной цифровой среды?
Я не стал бы выделять какую-то одну или даже несколько конкретных угроз. Большая проблема сегодня — это безграничное доверие, которое мы испытываем к глобальной сети Интернет. Однако по всему миру есть люди, которые используют ее в злонамеренных целях, о которых мы раньше даже не могли и подумать. Это и терроризм, и разжигание ненависти, и унижение человеческого достоинства, чего точно никогда не хотела ни одна из компаний, занимающаяся разработкой программного обеспечения. Надо сказать, что бороться с подобным злом становится действительно трудно.
Одна из сфер, которой Microsoft уделяет немало времени и усилий, — разработка мер по усилению механизмов защиты Интернета от различных типов угроз. Эта проблема выходит далеко за рамки противодействия тем людям, которые злоупотребляют в Интернете правом на свободу слова. Здесь речь идет о тех, кто посягает на глобальную интернет-инфраструктуру как таковую. Именно это побудило нас выступить с инициативой Женевской конвенции в области цифровых технологий.
Причина, по которой мы называем ее цифровой Женевской конвенцией, отражает наше желание использовать исторический опыт Женевских конвенций, направленных на защиту гражданского населения и некомбатантов. Атака вируса-шифровальщика NotPetya показала, что кибератаки могут разрушить всю экономическую и социальную инфраструктуру страны. Наша реакция на это была следующей: «Послушайте, пока мы ждем принятия конвенции, если это вообще произойдет (а мы считаем, что это должно быть сделано обязательно), мы можем заключить Технологическое соглашение». Менее двух лет назад мы объединились примерно с 30 компаниями, разделявшими нашу озабоченность, и с тех пор наша группа компаний-единомышленников выросла в четыре раза. Эта группа тесно сотрудничает в деле повышения компетентности и осведомленности в вопросах кибербезопасности, а также способствует стабилизации онлайн-среды.
Мы могли бы договориться с другими компаниями, к примеру, о том, что в случае кибератаки мы стали бы своего рода «Международным Красным Крестом». На практике это бы означало наше обязательство быть в первых рядах, кто придет на помощь гражданскому населению. Кем бы ни являлся инициатор атаки, компании, подписавшие Технологическое соглашение, будут защищать гражданское население от разрушения Интернета. И это означает, что даже если кибератаку совершат Соединенные Штаты, то нашей главной обязанностью по Соглашению будет защита Интернета, хотя мы являемся американской компанией.
Мы также являемся решительными сторонниками «Парижского призыва к доверию и безопасности в киберпространстве». Тем самым мы как интернет-компании и создатели этой технологии должны признать свою ответственность за защиту Интернета.
Не могли бы Вы подробнее рассказать об инициативах Microsoft в области кибербезопасности, и насколько они успешны?
В настоящее время мы выдвинули ряд инициатив по кибербезопасности, которые находятся в стадии реализации. Ежегодно на подобные инициативы, а также разработки наша корпорация тратит около миллиарда долларов с тем чтобы отслеживать, выявлять, а затем содействовать нейтрализации атак на Интернет и сервисы Microsoft. В этой сфере мы постоянно сталкиваемся с новыми вызовами, порожденными креативностью человеческого разума. Злоумышленники проявляют удивительную изощренность в поиске способов манипуляции другими людьми, например, используя социальную инженерию, что является известным фактом. Как выясняется, даже здравомыслящих людей действительно легко ввести в заблуждение и заставить открыть электронное почтовое сообщение с пакетом, который при открытии письма запускает загрузку кода. Очень часто злоумышленник пытается замаскировать свое послание под электронное письмо от близкого друга или коллеги, поэтому люди, как правило, машинально щелкают по клавише и только потом осознают, какую ошибку совершили.
Мы, среди прочего, занимались разработкой передовой технологии защиты Office 365 Advanced Threat Protection, где постарались по мере возможности обезопасить пользование клиентом электронной почты, даже если его самого в поступающих письмах ничего не насторожило, и избежать возможного вреда не удалось. Мы будем продолжать инвестировать в образование, укреплять сотрудничество с правоохранительными органами и развивать технологии для защиты своих клиентов.
Прошло уже больше двух лет с тех пор, как мы основали Глобальный интернет-форум по борьбе с терроризмом (GIFCT). Его целью является противодействие таким известным действиям террористов, как вербовка через Интернет или распространение террористической пропаганды. Мы объединились для этого с Google, Facebook и другими IT-компаниями. В последнее время форум приобрел особую важность, поскольку мы пересмотрели его приоритеты в свете «Крайстчерчского призыва». В «Крайстчерчском призыве» мы взяли на себя обязательство усилить сотрудничество с другими компаниями для предотвращения распространения террористических материалов в Интернете. Мы внесли изменения в отдельные свои программы с тем, чтобы повысить эффективность сотрудничества с правительствами в целях защиты Интернета. Среди инициатив следует также упомянуть создание CyberPeace Institute и цифровую Женевскую конвенцию. Эти действия подчеркивают необходимость мирового сообщества уделять больше внимания возрастающей роли Интернета и киберпространства. Каждый день мы открываем новые способы использования этих инструментов, и поэтому нам нужно искать новые формы сотрудничества.
Участвуют ли российские компании в инициативах и проектах Microsoft в сфере кибербезопасности? К сожалению, мне не удалось найти информацию об их участии.
У нас есть проекты, в которых участвуют российские компании. В частности, «Парижский призыв» поддержали Kaspersky Lab, Group-Ib и Awara. Кроме того, к этой инициативе присоединились некоторые негосударственные российские компании. «Парижский призыв» не обладает юридической силой. Это, скорее, одобрение подхода, которым мировое сообщество будет руководствоваться, чтобы права пользователей Интернета были соблюдены. Вот почему мы призываем и другие российские компании принять участие в нашей работе и дискуссиях.
То есть Microsoft призывает российские компании к объединению усилий в области кибербезопасности?
Да, наш бизнес всегда опирался на сотрудничество с другими компаниями — так было еще при разработке операционной системы Windows, Microsoft Office и других продуктов в начале 1990-х гг. Бизнес-модель Microsoft всегда ориентировалась на предоставление нашим партнерам инструментов, позволяющим им создавать по-настоящему креативные, интересные продукты и добиваться экономического успеха. Мы видим в этом путь к выстраиванию глобального бизнеса. Мы всегда ищем возможности взаимодействия с российскими компаниями и предлагаем им самые инновационные технологии и решения, что позволит всем нашим клиентам получить больше.
Вы готовы к сотрудничеству и с китайскими компаниями?
Да, и с китайскими компаниями тоже. У меня в Пекине есть коллеги, ставшие близкими друзьями, которые заинтересованы в постоянном развитии своего бизнеса за рубежом. Наша миссия состоит в том, чтобы предоставить каждому человеку, каждой организации на планете возможность достичь большего. Возможно, для компании довольно необычно видеть свою миссию в предоставлении возможностей всем на нашей планете, хотя о какой еще планете может идти речь? Но слова «каждый человек и каждая организация на планете» для нас не просто фигура речи, и мы хотим, чтобы нас услышали – будь то в Китае или какой-нибудь стране на Ближнем Востоке. Там, где нам законодательно не запрещают заниматься бизнесом, мы везде будем стремиться найти применение и внедрить свои технологии, позволяющие обогатить человеческий опыт.
Этим летом была создана Рабочая группа ООН открытого состава для проведения глобальной дискуссии по международной информационной безопасности. Она предоставляет возможность проведения межсессионных консультаций и встреч с представителями бизнеса и другими неправительственными акторами. Первая встреча состоится в начале декабря. Что вы думаете об этой инициативе? Полезна ли она?
Мы целиком и полностью поддерживаем такого рода встречи, которые организуются в рамках новой формы многостороннего участия. Мы знаем, что в сентябре состоялась первая содержательная дискуссия, принять участие в которой смогли не все, кто этого хотел. Мы очень надеемся, что во время декабрьской встречи нам удастся найти формы совместной работы ученых, представителей гражданского общества и государства по решению глобальных проблем в рамках этой новой многосторонней модели. Мы привыкли мыслить категориями территориальных границ, но глобальная кибербезопасность выходит за их рамки, и нам нужно учиться думать мировыми масштабами и принимать решения сообща.
Мы в Microsoft считаем, что цифровое пространство ведет нас к новому видению многонационального и глобального сотрудничества. Раньше только правительства собирались вместе в рамках Организации Объединенных Наций. Затем на протяжении ряда лет технологические компании сотрудничали с правительствами. Сейчас же мы призываем к более широкому и долгосрочному сотрудничеству с группами гражданского общества, учеными и другими акторами, которые критиковали происходящее и стремились подтолкнуть мир к движению в ином направлении, но их голоса не желали слушать. Мы считаем, что эти проблемы настолько значительны и злободневны, что непосредственное участие гражданского общества и других акторов в обсуждениях при разработке планов является настоятельной необходимостью. Вот к чему мы сейчас стремимся.
К сожалению, проблема международной кибербезопасности довольно политизирована. Как Microsoft разрабатывает свою стратегию в раздираемой противоречиями политической среде?
Нами движет сочетание энтузиазма и самокритичности. Нам приходится заниматься всем, но мы также осознаем, что не можем всего знать. Иногда мы даже не знаем, как правильно сформулировать вопрос, в чем наша помощь была бы особенно полезной. Но мы твердо верим и как корпорация, и как сотрудники, чья жизнь и работа тесно связаны с технологической компанией, что от нашей деятельности выиграют люди во всем мире. И всем жителям планеты нужна мирная, открытая, доступная и безопасная онлайн-среда, в которой они могут выразить себя и в полной мере воспользоваться цифровыми благами.
Это достойный вызов, особенно учитывая, что есть люди, которые пытаются нам помешать. Мы считаем, что нам следует объединить силы со всеми, кто захочет присоединиться к нашим усилиям по защите будущего. Как отец трех взрослых детей, я считаю, что их мир намного богаче моего в их возрасте. И отчасти это происходит благодаря Интернету, несмотря на все связанные с ним угрозы.
Я знаю, что у России, например, построение цифровой экономики и развитие искусственного интеллекта являются стратегическими приоритетами. Однако достижение этих целей возможно лишь при наличии надлежащего доверия к Интернету.
Общественности может быть неизвестен то факт, что Microsoft настоятельно призывает к государственному регулированию. Мы так и заявили: «Нам нужно регулирование». Мы действительно приветствуем разумное регулирование. Мы считаем, что если нам действительно удастся оказать помощь в установлении правил, которые обеспечат позитивное развитие, минимизируют риски нарушения наших прав и облегчат достижение целей, то для нас это наилучший вариант действий. Вот почему мы верим в многостороннее сотрудничество, поскольку в нем мы видим путь к установлению мирной, открытой, доступной и безопасной онлайн-среды, отвечающей интересам большинства стран.
Беседовала программный координатор и редактор сайта РСМД Анастасия Толстухина.