Профессор Юрий Жданов оценил изменение взглядов западных специалистов на кибербезопасность
Западные специалисты занялись переоценкой своих воззрений на кибербезопасность – что они сумели предвидеть, в чем ошиблись, о чем даже не подозревали. Каким им видится будущее этой важнейшей отрасли, рассказал Юрий Жданов, профессор, заслуженный юрист России, доктор юридических наук, заведующий кафедрой международного права РГСУ.
– Юрий Николаевич, почему вдруг потребовалась ревизия взглядов на проблемы кибербезопасности?
– Такая ревизия – вполне закономерная, очень правильная и своевременная реакция на развитие IT-технологий. Что-то устаревает и почти мгновенно превращается в анахронизм и тормоз, тут же появляется нечто новое, что никто не мог даже предположить. Приходится оперативно менять концепции, заново планировать стратегию и предполагать перспективы. Малейшее промедление в этой технологической, а по большому счету – культурно-цивилизационной гонке приведет к стратегическому отставанию.
– Кто затеял ревизию?
– Руку на пульсе держат многие, в том числе Китай, Россия и так называемый коллективный Запад. Например, Центр кибербезопасности Всемирного экономического форума в мае опубликовал статью директора Лаборатории дневного света Калифорнийского университета в Беркли Ника Меррилла и профессора информатики и политологии того же университета Стивена Вебера.
– Лаборатория дневного света – это о чем?
– Это о преобразовании солнечной энергии в электрическую при ускорении эффективности в десятки раз, чем в ходе процесса фотосинтеза. Где-то так
– Почему именно в 2025-м?
– Они заглядывают и дальше, до 2030-го. Но в 2018 году были разработаны сценарии развития кибербезопасности именно до 2025 года. Вот они и подводят итоги: «Быстрые и революционные технологические изменения были правильно оценены, а искусственный интеллект и полупроводники стали ключевыми геополитическими активами. Ошибки в моделировании, которые могут иметь серьезные последствия, включают влияние глобального перемещения специалистов на технологические инновации и эволюцию программ-вымогателей.
В 2018 году Центр долгосрочной кибербезопасности Калифорнийского университета в Беркли (CLTC) в партнерстве с Институтом общественных исследований CNA разработал сценарии, исследующие потенциальное «будущее кибербезопасности» в 2025 году. Теперь, когда 2025 год наступил, мы задаемся вопросом: как у нас получилось? Мы провели подробный «разбор полетов» наших сценариев, чтобы понять, какие сигналы мы определили верно, а какие упустили, и собрали эти сведения для извлечения уроков. Кибербезопасность находится на передовой нашего будущего в сфере ИИ».
Ученые выделили тенденции, которые, по их мнению, могут определить будущее глобальной кибербезопасности теперь уже в 2030 году.
– Каковы же перспективы на этот год?
– Авторы статьи озабочены проблемами с контролем над квантовыми технологиями, что нарушило первоначальные сценарии: «Первые успехи в области квантовых вычислений привели к попыткам создать глобальный режим нераспространения. Эти усилия не увенчались успехом, поскольку квантовые технологии вышли за пределы первоначального государственного контроля и распространились на несколько стран и преступные группировки. Усилия по нераспространению ядерного оружия тоже замедляли конкурентов, но редко останавливали их, что побуждало крупные державы рассматривать возможность ускоренного распространения ядерного оружия среди союзников вместо сдерживания».
— Сильное сравнение, которое намекает на угрожающий масштаб последствий такого технологического расползания. Это касается только квантового скачка?
– Не только. Ник Меррилл и Стивен Вебер называют опасные тенденции: «Стремление использовать безопасные цифровые технологии, Интернет вещей и машинное обучение для количественной оценки индивидуальной и общественной жизни привело к неожиданной дилемме: потере конструктивной неопределенности. Поскольку сверхточные данные устранили небольшие неопределенности, которые сглаживали социальные, юридические и экономические взаимодействия, люди стали искать новые возможности для маневра в виде множества гибких цифровых идентификаторов. Это создало новые проблемы в сфере безопасности, связанные с управлением идентификаторами и их проверкой».
– Возник спор, кто, чем и как будет управлять?
– Разделение ответственности и сфер влияния – всегда болезненная тема. Авторы сетуют: «После катастрофических сбоев в системе безопасности мир разделился на две конкурирующие модели управления Интернетом: в одной правительства передали контроль крупным технологическим компаниям (воплощая киберлибертарианскую концепцию Джона Перри Барлоу), а в другой был принят цифровой национализм, при котором интернет стал явным инструментом государственной власти. Наиболее острая напряженность возникала там, где эти подходы сталкивались».
– У этой проблемы есть решение?
– Одна проблема порождает другую. Ник Меррилл и Стивен Вебер приводят один из вариантов: «После того как цифровая безопасность едва не разрушила интернет-экономику, компании передали обеспечение безопасности «SafetyNet» — ячеистой сети на основе искусственного интеллекта (ИИ), которая обнаруживает вторжения и устраняет уязвимости в режиме реального времени. Киберпространство разделено на традиционный Интернет (менее защищенный, но более приватный) и среду SafetyNet (высокозащищенную, но тщательно контролируемую), что поднимает вопрос о том, смогут ли конфиденциальность, свобода и доверие выжить в мире, защищенном вездесущим контролем ИИ».
— И как, смогут?
– Для этого они и пересматривают собственные сценарии дальнейшего развития кибербезопасности. Ученые с видимым удовлетворением отмечают: «Мы правильно предположили, что такие технологии, как искусственный интеллект и квантовые вычисления, будут развиваться с помощью резких ступенчатых функций, а не плавных кривых. Быстрое появление моделей генеративного искусственного интеллекта (GenAI) с 2022 года иллюстрирует эту закономерность, поскольку GenAI, казалось бы, в одночасье изменил ожидания, модели инвестиций и технологические траектории. Точно так же квантовые вычисления развиваются быстрее, чем предполагалось в современных прогнозах (Национальный институт стандартов и технологий ускорил переход на квантово-устойчивую криптографию).
Закон CHIPS и аналогичные инициативы подчеркивают, что производство полупроводников, разработка искусственного интеллекта и квантовые исследования стали центральными направлениями соперничества великих держав. Эта динамика распространилась на экспортный контроль и, все в большей степени, на фундаментальные принципы недавней глобализации, такие как движение капитала, особенно в отношениях между США и Китаем, как и предполагалось в наших сценариях».
— А о чем они говорят без удовлетворения?
– Мерриллу и Веберу досадно, что они не придали особого значения усилению интеграции государственного и частного секторов: «Мы недооценили, насколько быстро границы между государственными и корпоративными возможностями будут стираться, создавая гибридные институциональные формы. Такие организации, как OpenAI, демонстрируют эту гибридность, работая как некоммерческие организации с коммерческими дочерними предприятиями и сотрудничая с оборонными ведомствами. В то же время разработка ИИ с открытым исходным кодом привела к появлению моделей управления, которые выходят за рамки традиционных государственных или рыночных моделей — динамика, которую наши сценарии не рассматривали должным образом.
Хотя мы назвали цифровую идентификацию важным спорным вопросом, мы недооценили, насколько синтетические медиа могут использовать двусмысленность в своих интересах. Согласно докладу Всемирного экономического форума «Глобальные перспективы кибербезопасности на 2025 год», 47% организаций считают, что их основной проблемой являются вредоносные программы на основе генеративного искусственного интеллекта, поскольку они позволяют проводить более сложные и масштабируемые атаки. Сегодняшняя среда сочетает в себе чрезмерную определенность (благодаря алгоритмическому профилированию) с радикальной неопределенностью, когда даже видеодоказательства несут в себе убывающую ценность достоверности. Это противоречие создает чрезмерную точность и фундаментальные сомнения – напряженность, которую наши сценарии отражают лишь частично».
— Есть что-то, что их сценарии вообще не отражают?
– Есть. И ученые это честно признают: «Мы не смогли предвидеть, как глобальные потоки талантов повлияют на технологическое развитие. Перемещение исследователей между организациями способствует передаче важнейших знаний, делая иммиграционную политику инструментом технологической стратегии. Это особенно заметно в сфере искусственного интеллекта, где ключевые ученые, переходящие из одной технологической компании в другую, например в DeepMind, OpenAI и Anthropic, создают конкурентные преимущества и ускоряют развитие технологий в целом.
Вредоносное ПО, которое шифрует личные данные жертвы до тех пор, пока не будет выплачен выкуп, изменило ландшафт угроз благодаря инновациям в бизнес-моделях, а не техническим достижениям. Платформы «вымогательство как услуга» демократизировали возможности атак, выявив ограничения, связанные с тем, что мы уделяем внимание технологиям, а не экономической организации и стимулам. Это было ироничное и неприемлемое упущение — мы не смогли должным образом использовать лучшие знания и понимание в этой области».
— Но ведь случается и такое развитие событий, которое предвидеть, даже предположить просто невозможно?
– Именно так и произошло с Меррилом и Вебером – случился карантин: «Пандемия ускорила цифровую трансформацию и протестировала архитектуры безопасности. Хотя мы не предсказывали COVID-19, устойчивость, продемонстрированная цифровой инфраструктурой, говорит о том, что возможности безопасности развились быстрее, чем ожидалось. Слабые места в бизнес-сети поставщиков, процессах и инфраструктуре стали основным вектором атаки. Инцидент с SolarWinds продемонстрировал, как злоумышленники используют надежные каналы распространения для обхода обычных мер безопасности, выявляя доминирующее положение преступников, которое мы не смогли зафиксировать в наших сценариях. Согласно глобальному обзору кибербезопасности, 54% крупных организаций называют проблемы в цепочках поставок самым серьезным препятствием на пути к обеспечению киберустойчивости».
— Что теперь прогнозируют аналитики?
– Они предлагают руководителям к 2030 году озаботиться несколькими проблемами, которые могут к этому времени возникнуть в сфере кибербезопасности:
«Суверенитет в противовес совместимости: как конкурирующие концепции цифрового суверенитета будут сочетаться с потребностью в совместимых системах? Идея глобального ИТ-стека, по-видимому, на данный момент мертва, что означает меньшую однородность поверхностей атаки и большую фрагментацию защитных возможностей. Прозрачность в противовес производительности: это противоречие проявляется в системах искусственного интеллекта, квантовых системах и системах безопасности, где алгоритмы «черного ящика» обеспечивают преимущества в производительности, но снижают подотчетность. Будет ли интерпретируемость оставаться важным источником «доверия» людей к технологиям? Человеческое суждение в сравнении с автоматизацией: какие границы принятия решений возникнут между алгоритмическими и человеческими системами? Оптимальное распределение полномочий между человеком и машинными системами вызывает много споров во всех сферах, от модерации контента до творческих индустрий и защиты критически важной инфраструктуры».
– Они достаточно критично относятся к собственным прогнозам…
– И правильно делают. Ученые откровенно предупреждают: «Сценарии не могут точно предсказать будущее, но они позволяют принимать стратегические решения, которые помогут нам лучше подготовиться к множеству возможных вариантов будущего».
Комментарии