Герман Греф: «Чем больше погружаешься в проблему кибербезопасности, тем хуже спишь»

Как вице-премьер Акимов жаловался, что жертвы атак «умирают в своей норке тихо», а Набиуллина сетовала на беспечных банкиров

«На нас они оттачивают свое мастерство, они любят нас атаковать», — говорит президент Сбербанка Герман Греф. На конгрессе по кибербезопасности в Москве вице-премьер Максим Акимов сожалел, что ничего не может предложить людям в кроксах и шортах на госслужбе, глава ЦБ Эльвира Набиуллина отрицала у себя паранойю, а премьер-министр Дмитрий Медведев расстраивался, что с Россией не хотят взаимодействовать — и по цифровой повестке тоже.

«ТОЛЬКО ОТ КИБЕРАТАК ПОТЕРИ МИРОВОЙ ЭКОНОМИКИ В ТЕКУЩЕМ ГОДУ МОГУТ УВЕЛИЧИТЬСЯ ДО 2,5 ТРИЛЛИОНА ДОЛЛАРОВ»

«Чем больше погружаешься в проблему кибербезопасности, тем хуже спишь», — признался президент ПАО «Сбербанк» Герман Греф, выступая в конце прошлой недели на международном конгрессе по кибербезопасности. По опросам, 65% всех людей подтвердили в начале 2019 года, что подверглись кибератакам. Специалисты считают, что на самом деле с ними хотя бы раз сталкивался каждый. «10 миллионов экземпляров нового вирусного ПО появляется ежемесячно в черном сегменте интернета. По данным Google, новую уязвимость нулевого дня обнаруживают каждые 17 дней. Уязвимость нулевого дня — это некий вирус, некая уязвимость, с которой никто никогда не сталкивался, которую непонятно как найти и как защититься. Два года назад эта цифра составляла в 2 раза больше — такие вирусы появлялись раз в месяц или полтора», — перечислил Греф. Что касается Сбербанка, то он, по словам его главы, «самый лакомый кусок в стране» для киберпреступников. «На нас они оттачивают свое мастерство, они любят нас атаковать», — отметил Греф. В сутки Сбербанк получает примерно 1,2 млн писем различного содержания, а в среднем за 2018 год 60% писем были с различными отклонениями. Так что неудивительно, что именно Сбербанк выступил одним из организаторов международного конгресса по кибербезопасности.

Веса мероприятию придал также визит премьер-министра РФ Дмитрия Медведева, который, пусть и заскочил всего лишь на несколько минут пленарной сессии, тем не менее дал всем понять: для России новые технологии и кибербезопасность не пустой звук.

«Еще несколько лет назад мы вроде только готовились к наступлению цифровой эры и не заметили того, что уже вовсю живем в этом цифровом мире. Это новая реальность, когда без цифровых технологий, без свободного обмена данными во всемирной сети прогресс просто невозможен. Это понимают все, на каких бы позициях, платформах ни находились те или иные политические деятели, представители бизнеса. Прогресс вообще уже невозможен без цифрового развития в любой сфере», — заявил Медведев. По его словам, Россия от мира, где интернетом пользуются более 4 млрд человек, тоже не отстает. «У нас один из самых высоких уровней проникновения мобильной связи и интернета, развития электронных услуг. Стоимость доступа в сеть — одна из самых низких в мире, — хвастался премьер-министр. — И о таких темпах роста, которые показывает экономика российского сегмента, рунета, любая страна в этом смысле могла бы только мечтать. Мы действительно движемся здесь очень быстро, до 15 процентов в год».

Однако, предупредил Медведев, вместе с ростом технологий неизбежно увеличиваются риски и угрозы. «К примеру, по оценкам аналитиков, только от кибератак потери мировой экономики в текущем году могут увеличиться до $2,5 триллиона. Вдумаемся в эту цифру. Я только что был на собрании акционеров Африканского экспортно-импортного банка и там озвучил другую цифру: совокупный ВВП всех стран Африки к 2020 году достигнет 2,6 триллиона долларов. То есть это ВВП огромного континента. Да, развивающегося, но масштабы колоссальные», — пояснил глава правительства. Так что проблема кибербезопасности не просто входит в пятерку глобальных рисков, но, по мнению некоторых экспертов, даже выше таких угроз, как терроризм и экологические проблемы.

Так что, пожалуй, единственное, что волновало Медведева, — это возможность противостоять киберпреступникам. И делать подобное необходимо, по его мнению, обязательно всем миром. «Нам надо (не менее важная задача, в этом плане у нас еще почти ничего не сделано) выработать общие мировые стандарты обеспечения безопасности, — волновался премьер-министр. — Подчас в общении с нашими партнерами звучат такие слова: у нас с вами доверия нет сейчас, мы не очень хорошо контактируем, мы с вами ругаемся по каким-то вопросам, мы с вами не будем и по данному вопросу сотрудничать. Это странная, если не сказать, опасная позиция, которая всех нас выталкивает на периферию международных отношений, к состоянию, которое было, может быть, в конце XIX века». Медведев уверен, что необходимо выработать мировые стандарты обеспечения безопасности и Россия открыта к сотрудничеству.

Герман Греф: «Чем больше погружаешься в проблему кибербезопасности, тем хуже спишь»

«ВОПРОС ЗАЩИЩЕННОСТИ ОТ КИБЕРРИСКОВ СКОРО СТАНЕТ КОНКУРЕНТНЫМ ПРЕИМУЩЕСТВОМ»

На этом глава кабмина удалился, а участники пленарной сессии продолжили рассуждать о том, как их тревожит неизвестное цифровое будущее. «Да, мы должны себя чувствовать глубоко уязвимыми», — соглашался руководитель центра по кибербезопасности всемирного экономического форума Алоис Цвингги, уверенный в том, что топ-менеджеры компаний, а порой и главы государств до сих пор не ставят в приоритет кибербезопасность и не спешат к сотрудничеству. На этом фоне продвинутыми казались (или хотели казаться?) российские участники конгресса. Так, председатель Центробанка Эльвира Набиуллина соглашалась, что надо чувствовать себя уязвимыми, но отнюдь не беспомощными. «Наша задача в том, чтобы мы как минимум не отставали от того, что задумали преступники, используя новые технологии, и шли на шаг вперед. Но пренебрежение вопросами киберугроз действительно существует в обществе, — кивала она головой. — Понимания прежде всего на уровне руководителей и компаний, и финансового сектора недостаточно».

«Наверное, может, иногда стоит какие-то атаки на персональные устройства некоторым руководителям инициировать, чтобы они понимали степень собственной уязвимости. Может, стоит за это специально заплатить», — предлагал вице-премьер Максим Акимов.

Управляющий международного финансового центра «Астана» Кайрат Келимбетов подтверждал, что злоумышленники по-прежнему на шаг впереди. «Постановка вопроса мне напоминает парадокс Зенона, когда Ахиллес догоняет черепаху», — отметил он.

— Герман Оскарович, вы спокойно спите ночью? — поинтересовался у Грефа основатель Thinking the Unthinkable и в прошлом ведущий BBC World News Ник Гоуинг.

— Хочется как-то просто ответить, — замялся глава Сбербанка. — Самый простой ответ — конечно, да, я сплю спокойно, потому что… и можно долго перечислять причины… Я лучше буду спать, если стану чувствовать, что у нас есть коалиция против коалиции хакеров, которые сегодня в реальности существуют.

— Следует ли всем ощущать паранойю? — не унимался модератор.

— Мы несем ответственность не только за себя и какие-то свои системы, но и за миллионы наших клиентов. Это огромная проблема, которая должна заставлять нас быть параноиками, чтобы ни на один день не прекращать развитие в этом направлении, — признался Греф.

А вот Набиуллина тут поспорила.

— Риск чувствую, паранойю — нет. Паранойя в контексте русского языка — это заболевание, — поправила она. — Но риск есть. А его ощущение возникает от того, что мы недоосознаем этот фактор.

И если сама глава ЦБ этот риск, судя по всему, осознавала, то его явно не понимают руководители банков. И тому есть причина. По словам Набиуллиной, столь легкомысленное отношение связано с итогами прошлого года в финансовом секторе, которые, на первый взгляд, рисуют довольно благополучную картину. «В прошлом году у нас уровень атак вырос на 30 процентов, но потери, которые декларированы финансовыми институтами, — это 0,002 процента. Поэтому возникает ложное ощущение, что риск преувеличен, — рассуждала она. — Руководители банков часто думают, что сегодня их пронесло, что назначат человека, который будет отвечать за кибербезопасность и все решит. Но это проблема управления киберрисками. Тут у нас есть вопросы. Мы не научились управлять киберрисками».

По ее словам, теперь у ЦБ есть полномочия осуществлять надзор за тем, как выполняются требования по кибербезопасности. Так, в прошлом году проверили 58 банков, в этом году — 75, во всех были найдены нарушения и проблемы. «Нельзя сказать, что критические, но они могут стать серьезными, если финансовые институты не будут придавать этому значения», — предупредила она. Проблема в данном случае кроется в том, что банки часто экономят на вопросах безопасности. «Но, поверьте мне, вопрос защищенности от киберрисков скоро станет конкурентным преимуществом. Люди станут обращаться в те организации, где будут уверены в кибербезопасности. В будущем это способ зарабатывать деньги, если сейчас начнете вкладывать в кибербезопасность», — посоветовала глава ЦБ банкирам. Меж тем она уверена, что те все равно при всех раскладах не будут торопиться делиться информацией о киберинцидентах. «Это означает, что ты должен признаться в своих слабостях и уязвимости, особенно в финансовой сфере руководители считают, что это может подорвать доверие клиентов. Поэтому желание какую-то информацию не дать будет всегда», — отметила Набиуллина.

Греф подтверждал, что 80% компаний, по статистике, за прошлый год скрывали факты реального проникновения или заражения вирусами, а также умалчивали о тех потерях, которые реально понесли. «Компании стараются не показывать этого. Когда подобное скрывают, это может много раз повторяться», — добавил он.

Герман Греф: «Чем больше погружаешься в проблему кибербезопасности, тем хуже спишь»

«ЭТО ЛЮДИ, КОТОРЫЕ ХОДЯТ В КРОКСАХ… Я ИМ ЧТО НА ГОССЛУЖБЕ ПРЕДЛОЖУ?»

«Хоть у нас и есть пословица: „На миру и смерть красна“, — но никто не хочет на миру, все, если умирают, в своей норке тихо, — улыбался Акимов. — Наверное, решение может быть регуляторное. Я бы сказал еще о том, что необходимы стандарты анонимизации раскрытия информации об угрозах и инцидентах. Нельзя никого ни к чему принуждать. Информация сказывается на капитализации компании и доверии клиентов. Чудес тут не будет. Мы своими призывами не повысим степень доверия участников».

Сам он признавался, что любит жить в цифровом мире, однако, как и Медведев, волнуется из-за политизации цифровой повестки. «Когда государство решает: „У меня есть рубильник, отключить лицензии, доступ к архитектуре для другого государства или огромного мирового игрока“», — пояснил Акимов, явно намекая на санкции США против Huawei. Он уверен, что как есть нулевая терпимость к химическому и ядерному оружию, так же должна быть таковая к политизации цифровой повестки: «Это глобальная повестка, в которой страны обречены на сотрудничество. „Нет, давайте разделим мир на некую зону лидерской безопасности, из которой мы остальных исключим“, — любой человек, кто такое говорит, должен быть подвергнут мировому остракизму».

Пока же в России пытаются решить еще одну проблему нехватки кадров: IT-специалистов и специалистов по кибербезопасности. Тут все участники дискуссии сошлись на том, что надо начинать еще со школьной скамьи, поскольку система образования сильно отстала от вызовов современности. «У нас нет другого выбора, кроме как привлечь молодых, чтобы они были не только в преступниках, но и теми, кто с ними борется», — отметила Набиуллина.

А вот Акимов, уже готовый записать себя в «предпенсионную гвардию», признался, что у людей его поколения с нынешней молодежью «огромный культурный разрыв». «Это люди, которые ходят в кроксах, футболках, им надо иметь кофеварку, ночное такси домой. Я им что на госслужбе предложу? — разводил он руками. — Они живут в шортах! Мы культурно к разным мирам принадлежим. Одна из задач — это не зарплату им предложить, а адекватный челлендж, адекватный жизненный вызов, отвечая на который они могли бы себя как специалисты поднять вверх и сказать: „Круто, интересно“». Пока вице-премьер не придумал, как же преодолеть этот культурный разрыв.

Герман Греф: «Чем больше погружаешься в проблему кибербезопасности, тем хуже спишь»