Рустэм Хайретдинов: "Теперь ИТ не отражает бизнес, а само по себе и есть бизнес"
Рустэм Хайретдинов,
генеральный директор ООО «Атак Киллер»
© ComNews
22.01.2018

Генеральный директор ООО "Атак Киллер" Рустэм Хайретдинов о том, какие возможности и риски порождает цифровизация экономики.

Цифровая экономика подразумевает как "оцифровывание" (почему-то часто используется "цифровизация", как калька с английского) существующих бизнес- и государственных процессов, так и создание процессов абсолютно новых, невозможных в "аналоговом" мире. Вместе с возможностями роста цифровая экономика несёт в себе и риски, порождаемые именно цифровой сущностью.

Мы уже привыкли пользоваться элементами цифровой экономики – большинство интерфейсов с банками, телекоммуникационными компаниями и даже государством сегодня цифровые, и осуществлять рутинные операции вам давно можно без контактов с людьми. Мы платим налоги, переводим деньги, выбираем авиа- и железнодорожные билеты, билеты в кино и театр, совершаем покупки в сети Интернет. Бизнес также проводит торги для закупок нужных ему товаров, привлекает и обслуживает клиентов с помощью информационных систем. Это уже реальность и она уже породила огромное количество проблем. Вспомните, как в декабре встали кассы по всей стране и розница лишилась почти дневной выручки – а всего-то произошёл сбой в программном обеспечении. Или весенне-летние эпидемии "шифровальщиков", которые на неделю и больше останавливали целые бизнесы и привели к многомиллионным убыткам.

Отсутствие кадров как базовый риск

Почему так происходит? Переход к цифровым методам хозяйствования оказался очень выгоден – обслуживание клиентов в Интернет гораздо дешевле, чем обслуживание их в офисах: не надо тратиться на операторов и аренду офиса. Но для разработки таких обслуживающих систем понадобилось такое количество программистов, которых просто нет на рынке. К тому же хороших программистов заманивают интересными задачами и валютными зарплатами американские и китайские веб-гиганты, да и российские "Яндекс" и "Мейл.ру" не отстают. Налицо дисбаланс спроса и предложения, и, чтобы удовлетворить спрос, веб-разработчиков стали готовить ускоренными методами, типа "стань веб-программистом за три недели", в которых нет места безопасной архитектуре и безопасной разработке. Такие разработчики стоят недорого, поэтому команды из них легко выигрывают конкурсы "кто меньше запросит за конкретный функционал". В результате веб-приложения год за годом становятся в среднем всё дырявее, поскольку фокус разработчиков направлен прежде всего на функционал, а не на безопасность. То же самое относится и к инженерам, которые настраивают инфраструктуру для приложений, и к сотрудникам информационной безопасности, которые настраивают средства защиты.

Цифровизация экономики потребует быстрого роста количества приложений, а значит – и разработчиков, тестеров, инженеров и "безопасников". Откуда они возьмутся, пока непонятно – хороших надо готовить годы, при этом предлагать им конкурентную с американцами, корейцами и китайцами зарплату и интересные задачи. А готовить ускоренными темпами плохих – только плодить уязвимости и инциденты.

Не только айтишники должны поменять свой подход

Кроме того, бизнес сегодня – очень динамичный процесс, требующий постоянных изменений, а раз бизнес будет реализован в приложениях, то такими же гибкими и постоянно меняющимися должны стать и приложения. А это требует полной перестройки подхода к цифровому бизнесу не только специализированных профессионалов, упомянутых выше, но и каждого участника процесса. Пока объявленный двумя годами раньше "переход на agile" не дал ожидаемых результатов – люди тяжело расстаются со старыми привычками.

Поэтому сегодня непонятно, как можно "оцифровать" экономику, не имея армии рядовых "оцифровщиков", как из области ИТ, так и из области самого бизнеса.

Смена роли ИТ

Следующей, не очень явно видной на первый взгляд, но принципиальной проблемой "оцифровки" является то, что в цифровом бизнесе ИТ и бизнес как бы "меняются местами". В традиционном "аналоговом" бизнесе бизнес происходит сам по себе, а ИТ является его отражением, часто с целью учёта или аналитики. То есть сначала транзакции, операции, договора и т.д. происходят в аналоговом, бумажно-наличном мире, а потом (иногда очень быстро, практически мгновенно) они заносятся в ИТ-системы для учёта и анализа. Если в аналоговом мире что-то происходит с ИТ-системой и данные теряются, то с бизнесом ничего особенного не произойдёт, понадобится лишь время для восстановления данных из их аналоговых источников (есть термин, пугающий айтишников – "восстановить из первички").

В цифровой экономике нет никакой "первички". Все сделки происходят в цифровом пространстве, в бизнес-приложениях, то есть теперь ИТ не отражает бизнес, а само по себе и есть бизнес. Раньше при падении ИТ-системы нефть продолжала качаться, платёжки проходили медленнее, но проходили, билеты выписывались вручную. Теперь при падении системы наступает полный коллапс – даже чисто аналоговые процессы перестают работать, потому что системы управления ими стали цифровыми. То есть с переходом "на цифру" даже самый аналоговый бизнес должен понять, что ИТ это не служебная функция, а среда существования бизнеса, его ядро. Сегодня это хорошо понимают лишь Интернет-гиганты да отдельные инноваторы, типа "банков без офисов". Без тотального распространения такого знания и соответствующей смены подхода к ИТ никакой цифровизации не случится.

Риски цифровой идентификации

К тому же цифровая экономика подразумевает цифровые интерфейсы, а это означает и замену "аналоговой идентификации" типа "прийти в офис с двумя документами" на полностью цифровую. Это настолько удобно, насколько и рискованно -  возникают угрозы полноценной "кражи личности", то есть полноценных гражданских и потребительских действий от имени другого человека. Дальше-больше. Есть риски цифровизации аналоговой экономики, а есть риски самой цифровизации.

Риски "интернета вещей"

Интернет вещей всё больше входит в нашу жизнь. Новые автомобили, телевизоры, бытовые приборы уже имеют возможность управления через мобильные приложения. Можно управлять видеонаблюдением, как стационарным, так и мобильным (дроны), открыванием замков и дверей, элекропотреблением и другими бытовыми аспектами. Такие устройства открывают огромные перспективы в новой экономике, добавляя комфорт пользователям и оптимизируя ресурсы.

Всё это происходит благодаря небольшим модулям (контроллерам) в различных устройствах. Эти контроллеры – не что иное, как миниатюрные компьютеры со специализированной операционной системой, которые умеют собирать и обрабатывать информацию, реагировать на команды и обмениваться информацией и командами с другими такими же устройствами. Поскольку это служебная и часто не ключевая функция продукта (холодильник прежде всего должен охлаждать продукты, стиральная машина - стирать и т.п.), контроллеры делают максимально дешёвыми. Довольно часто это означает, что производитель экономит на безопасности – ведь средства встроенной безопасности требуют ресурсов контроллера. И не только это увеличивает риски, повальная цифровая неграмотность владельцев умных устройств, оставляющих у них пароли по умолчанию, тоже добавляет возможностей для злоумышленников. Поэтому мы уже сталкивались с мощнейшими DDoS-атаками, которые проводились объединёнными в бот-сеть видеокамерами. Уже случались инциденты с заражением умных телевизоров, перехватом управления и блокированием их работы, уже умные устройства типа домашних wi-fi роутеров майнят криптовалюту для злоумышленников. И что делать с этим – пока тоже не понятно, минимальные ресурсы контроллеров не позволяют оснастить их "навесной" безопасностью, а их производители пока не озаботились "встроенной".

Риски искусственного интеллекта

Накопленные данные и сценарии пользовательского поведения дали всплеск технологиям искусственного интеллекта – распознавание лиц с домашних и городских видеокамер, распознавание голоса и голосовых команд в персональных голосовых помощниках, реакция на изменения окружающей обстановки, анализ пользовательских предпочтений – эти решения уже сегодня пользуются спросом. Но и риски при этом появляются немалые. Речь вовсе не о захвате человечества Скайнетом, как в фильме "Терминатор", а об использовании искусственного интеллекта злоумышленниками.

Уже сейчас при хакерских атаках искусственный интеллект на службе злоумышленников без проблем подбирает "капчу", то есть легко доказывает, что "он не робот". Мы также встречали двухуровневые атаки, когда первая атака представляет из себя "разведку боем", то есть засвечивает средства защиты и её алгоритмы, на ней обучается атакующий искусственный интеллект и вторая, настоящая, атака проводится уже на обученном движке, который умеет обходить конкретные алгоритмы. Также можно понемногу "скармливать" искусственному интеллекту неправильные данные, с тем, чтобы со временем он перестал принимать атакующие действия как аномальные. Методов вредоносного использования принципов и алгоритмов искусственного интеллекта много, некоторые пока существуют только теоретически, но с увеличением в цифровой экономике искусственного интеллекта использование его уязвимостей для совершения преступлений и использование против него другого искусственного интеллекта лишь вопрос времени. Гонка "белых" и "чёрных" искусственных интеллектов не за горами. Возможно, она начнётся в области вооружений, а потом уже перейдёт в "гражданские" отрасли, но вероятен и обратный порядок развития.

Риски использования блокчейна

Ещё одной интересной технологией, призванной совершить революцию в экономике, является технология блокчейн. Кроме очевидной пользы, перевод процессов на блокчейн несёт в себе и новые угрозы. Сами блокчейн-платформы, как и любое быстроразвивающееся программное обеспечение, неидеальны, они имеют свои уязвимости, которые дополнительно сочетаются с уязвимостями в "смарт-контрактах", которые разрабатывают уже сторонние программисты на блокчейн-платформах. Уязвимости в платформе уже несколько раз приводили к ветвлениям ("форкам") в экосистеме криптовалют, и такие ветвления обусловлены основополагающим принципом блокчейна: неизменностью проведённых транзакций. То есть даже если транзакция была неправильной, вызванной сбоем, ошибочной или мошеннической, но она подтверждена, её нельзя уже никак исправить.

Заключение

Цифровая экономика – очень благая цель. Её достижение позволит высвободить огромные ресурсы, оптимизировать неэффективные бизнес-процессы и процессы госуправления, повысить прозрачность и управляемость бизнеса и государства. Однако омрачить достижения цифровой экономики могут довольно серьёзные риски, описанные выше. Чтобы их уменьшить, необходимо думать о них заранее, при проектировании любых цифровых систем. Безопасность должна быть учтена при проектировании систем и построении их архитектуры, а не так как происходит сейчас: "мы тут вам систему сделали, теперь давайте её защищайте". Если удастся сделать информационную безопасность не "навесной" системой, а встроенной функцией каждой разрабатываемой ИТ-системы, то большинства упомянутых в статье рисков можно будет избежать.