Руслан Юсуфов, MINDSMITH: Граница между цифровым и физическим стирается

Руслан Юсуфов, футуролог, основатель и управляющий партнер MINDSMITH, эксперт в области технологических трендов и информационной безопасности, рассказал порталу Cyber Media о грядущих рисках информационной безопасности, о том, как этический вопрос тормозит развитие беспилотников и о том, что человек сам станет частью интернета вещей.

Cyber Media: Цифровизация затрагивает не только бизнес-пространства, но и частные дома. Уже сейчас в них огромное количество IoT-устройств, от лампочек и розеток, до датчиков сигнализации и замков. В будущем, насколько конкретный пользователь будет уязвим перед хакерскими атаками?

Руслан Юсуфов: Уязвим сейчас и будет в будущем, потому что в доме нет специалиста по информационной безопасности. Люди начинают пользоваться новыми технологиями, но забывают правильно настроить системы безопасности, интегрировать и вовремя устанавливать обновления. Скорее всего даже не забывают, а не знают о необходимости и, часто, просто не умеют.

Нам продали коробку с определенным необходимым нам функционалом, а какие риски она дает и как ее надо защищать – непонятно. Получается парадоксальная ситуация, когда пользователь вынужден быть безопасником.

Друга проблема, уже со стороны вендоров, когда железо забросили и оно уже не развивается. Тут пользователь становится не только безопасником, но и системным администратором.

Чем больше мы окружаем себя устройствами с интернетом вещей, тем больше рисков появляется. К примеру, когда у нас появляется электронный замок, появляются риски взлома. Когда мы приобретаем умный телевизор, здесь уже риски другого рода. Здесь есть два путь – отказываться от таких вещей, либо самостоятельно держать все это в тонусе.

Если эта проблема станет острой и у общества появится соответствующий запрос, то бизнес предложит решение проблемы. Здесь не стоит впадать в паранойю и бояться неизвестного сбора данных. Нужно проанализировать ситуацию – имеющиеся устройства, потенциальные угрозы для вашей семьи и уже на основе этого выстроить защиту.

Мы привыкли пользоваться благами цивилизации, но не привыкли заботиться об их защите. Поэтому, первое с чего стоит начать – нести ответственность за то, что у нас есть. Если мы понимаем, что по каким-то причинам не готовы или не способны совладать с теми рисками, которые принесут новые устройства или сервисы, то мы просто их не используем.

Cyber Media: Многие эксперты отмечают, что хакерство становится проще. Современный скрипткидди, вооруженный эксплойтом с GitHub и бесплатным сканером, уже может стать проблемой для многих компаний, в которых уровень ИБ низкий. Как этот факт, на Ваш взгляд, скажется на бизнесе в будущем?

Руслан Юсуфов: Скрипткидди будут вооружены более продвинутыми инструментами. Если еще 5 лет назад можно было совершать компьютерные преступления, не написав ни одной строки кода и не зная ни одного языка программирования, то сегодня это переходит на новый уровень. Мы приближаемся к истории, когда продвинутые инструменты, которые по своей природе нейтральны, в руках злоумышленника начинают работать с разрушительной силой, но при этом не требуя от него глубоких навыков.

Получается, что на стороне злоумышленников серьезные инструменты, которые доступны практически бесплатно, а на стороне малого и среднего бизнеса больше безопасности больше не появляется. Поэтому такие риски больше распространяются на тех, кто не может ставить информационную безопасность в приоритет.

Сегодня скрипткидди может стать каждый и в их руках очень продвинутые инструменты, которые обладают большим потенциалом разрушительности.

Cyber Media: Уже сейчас, в теории и на практике, человек может вживить себе те или иные чипы, например – для бесконтактной оплаты. Пока технология несовершенна, но есть все основания предполагать, что в будущем она распространится. Как Вы считаете, какие риски информационной безопасности могут, в связи с этим, появиться?

Руслан Юсуфов: Одна сторона вопроса – про расширение человеческих возможностей, не важно вживили мы его или носим в кармане. Граница между цифровым и физическим стирается – мы все больше в цифре, а цифра все больше в физическом мире. Риск в том, что мы часто вытаскиваем нерешенные в цифровом мире проблемы в физический мир. И наоборот, наше физическое присутствие в цифровом мире охраняется недостаточно. Многие корпорации в погоне за выгодой сегодня закрывают глаза на эти нюансы.

Наш цифровой двойник, который все больше похож на самостоятельного субъекта обрастает дополнительными возможности и этим могут воспользоваться злоумышленники. Фактически мы говорим о краже личности в масштабах 2023 года. В первую очередь это про сращивание двух миров, а во вторую про то, какими возможностями обладает цифровой двойник, который вплотную связан с нашими активами, деньгами, правами и обязанностями. Но при этом ему релевантны риски цифровой среды, с которыми мы из физического тела не очень эффективно умеем работать.

Сегодня Илон Маск уже анонсирует испытание нейроинтерфейсов на людях. Мы говорим о расширении человеческих когнитивных возможностей. Когда человек сам станет частью мира интернета вещей, столкнемся ли мы с проблемой взлома человека и подключению человеку в мозг пропаганды со стороны какой-нибудь радикальной группировки.

Cyber Media: В обществе сильны стереотипы относительно искусственного интеллекта, в основном навязанные кинематографом. При этом, специалисты по кибербезопасности уже сейчас находят уязвимости в нейросетях, позволяющие влиять на их работу. Насколько проблема киберустойчивости ИИ будет актуальна в будущем?

Руслан Юсуфов: Бизнес начинает использовать ИИ и приложения построенные на ИИ для адаптации своих бизнес-процессов. Внедряя их в свои процессы необходимо выстраивать комплекс мер информационной безопасности с учетом новых рисков. Если раньше мы сталкивались с уязвимостями на уровне железа или софта, то сегодня на уровне выборки на которой обучали конкретную модель.

Многие продвинутые системы ИИ американские и как бы их не хотелось устанавливать, например, в критическую инфраструктуру, нельзя. Если Вы начинаете использовать в работе ChatGPT, а владелец разработки решает, что теперь она будет работать по-другому или вовсе не будет работать в этой стране, то все бизнес-процессы начинают сыпаться. Это тоже риск и он должен входить в риск-менеджмент модели организации.

Если мы знаем, как модель работает, то мы можешь ее обманывать для того, чтобы она совершала нужные нам действия. Например, которые ограничены или не документированы разработчиком. Когда год назад появился ChatGPT, появился общемировой спорт, как заставить его выходить за рамки критических ограничений.

Cyber Media: Беспилотные технологии активно развиваются уже сейчас, и активно применяются в бизнесе, как правило – в ограниченных пространствах. Доставщики, такси, грузовой транспорт и многое другое. На Ваш взгляд, чем это чревато при дальнейшем распространении подобных систем?

Руслан Юсуфов: Эти технологии будут явно проникать в нашу жизнь, так как они эффективнее и прозрачнее, у них нет человеческого фактора. Снижается роль риск-менеджмента для людей и повышается для роботов. Если на складе коробки перекладывал человек, то необходимы были методики связанные со снижением риска кражи. Когда вместо человека появляется робот, то уже не нужно следить за кражой, а должен быть дополнительный безопасник, который будут гарантировать, что робота не взломают и он не увезет коробку на другой склад, к примеру.

В широком наборе областей – в логистике, в транспортной безопасности, везде, куда вписаны механизмы беспилотных технологий, появляются новые риски, на которые нужно будет реагировать.

Очень интересный вопрос – кого подвергнет риску беспилотный автомобиль в критической ситуации – водителя, пассажира или пешехода? Он задавит беременную женщину или поедет в стену? Это одна из морально-этических дилемм, когда оказывается, что человек принимает решение не на основе математики. В мире нет универсального отношения к добру и злу, тогда можем ли мы, не договорившись как люди, запрограммировать алгоритм, который будет действовать на основе логических вводных.

Возможно, что в скором времени информационная безопасность станет частью физической и наоборот.