Ущерб от мировой киберпреступности продолжает расти. Ведущие эксперты признают кибератаки одним из главных глобальных трендов, и для такой оценки у них есть серьёзные основания: по данным Всемирного экономического форума, общие потери от кибератак в 2017 году составили $1 трлн, а всего через несколько лет могут достичь $8 трлн.
Причем финансовый ущерб — не единственная, а возможно, даже не главная опасность, которая исходит от киберпреступности. Например, из-за одной из хакерских атак более чем в 80 больницах Великобритании стала недоступна диагностическая аппаратура и хирурги не смогли оперировать пациентов. Здесь речь идет уже не о денежных потерях, а об угрозах человеческим жизням. Объектом атаки может стать авиакомпания или атомная электростанция. Мир вплотную подошел к черте, когда киберпреступность переходит в терроризм.
Кто же создает эти новые угрозы? В этом году мы провели исследование, в результате которого выяснили: в 90% случаев злоумышленниками в киберсреде выступают молодые люди в возрасте до 20 лет, в том числе и школьники 14–16 лет. Эта информация — полезная пища для размышлений.
Полученные данные содержат в себе как минимум две важные новости. Как водится, одна из них хорошая: в мире есть множество талантливых и образованных юных айтишников с исследовательской жилкой. Вторая новость — увы, эти ребята всё чаще выбирают не ту дорогу. Происходит своего рода «утечка мозгов»: только утекают они не в другие страны, а на «темную сторону» профессии.
Думаю, что многие из этих молодых людей воспринимают свою деятельность в киберпространстве как игру. Что же, не стоит считать игру легкомысленным детским занятием. Умение и желание играть — на самом деле серьезный и важный навык. Как говорил Альберт Эйнштейн, «мы не потому перестаем играть, что постарели, — мы стареем, потому что перестаем играть». Однако есть черта, которую никогда нельзя переходить. И эту грань определяет законодательство. Ответственность за киберпреступления ужесточается по всему миру, и это необходимая и правильная мера. В результате юные таланты, которые заигрались в опасные игры, могут сломать свои жизни.
Выход есть. Эти ребята думают, что во «взрослом» мире их ждет неизбежная рутина, в которой нет места для творчества? Большая ошибка. Службы кибербезопасности многих компаний повышают грамотность своих сотрудников за счет развития «хакерских» навыков. Самые передовые из этих служб создают так называемые red team: специальные команды, которые «ломают» системы своего работодателя — разумеется, по согласованным сценариям и не нарушая непрерывности работы компании. Сотрудники этих команд мыслят как хакеры, благодаря чему могут найти слабые места в киберзащите и указать на них коллегам. Red team позволяет укрепить оборону раньше, чем прореху в ней обнаружит настоящий злоумышленник. Поэтому службам кибербезопасности нужны люди, которые умеют мыслить нестандартно и обнаруживать уязвимости в системах. Специалисты по кибербезопасности стали одними из самых востребованных, в этой сфере не хватает экспертов уже сегодня, и в самом ближайшем будущем их дефицит еще вырастет. Другими словами, у школьников и студентов с «хакерским» потенциалом появился реальный выбор.
Стоит отметить, что пока, правда, этот выбор ограничен тем, что компании часто опасаются трудоустраивать хакеров — работодатели боятся, что их новые сотрудники воспользуются своими навыками, чтобы взломать организацию. Простого универсального решения этой проблемы не существует: при рассмотрении кандидатуры каждого такого сотрудника необходимо тщательно оценивать риски. И если принято положительное решение, то очень важно доверять новому коллеге и не давить его тотальным контролем, который способен полностью уничтожить мотивацию.
Становится очевидно: государствам недостаточно ужесточать законодательство, а компаниям — усложнять свои системы киберзащиты. Им необходимо уделять большее внимание молодёжи: например, поддерживать соревнования «белых» хакеров, на которых молодые программисты могут продемонстрировать все свои лучшие навыки — при этом не причиняя ущерба, а, наоборот, с пользой для дела. Такие кибербитвы помогают обнаружить слабые места в жизненно важных системах, к примеру, в городской инфраструктуре. Атакующие ищут уязвимости в цифровых системах условного города и стремятся вывести их из строя, а защитники — отразить эти попытки. Подобные соревнования повышают уровень знаний и помогают противостоять реальным атакам.
И, конечно, бизнесу очень важно сотрудничать с системой образования: находить, поддерживать и развивать таланты, предлагать им возможности для самореализации. Как вариант — создавать партнерские программы с вузами, помогать обучать студентов, а лучших из них приглашать на работу. Такие меры не только помогут решить проблему «молодой» киберпреступности — они принесут пользу национальным экономикам и помогут обществу реализовать свой интеллектуальный потенциал.
Автор — заместитель председателя правления Сбербанка, куратор направления безопасности
Мнение автора может не совпадать с позицией редакции
