На неделе Джен Истерли (Jen Easterly), экс-директор Агентства по кибербезопасности и защите инфраструктуры при Министерстве внутренней безопасности США администрации Байдена (2021-2025 гг.), ныне – научный сотрудник Школы госуправления им. Блаватника при Оксфордском университете – пространной публикацией в маститом американском политжурнале Foreign Affairs заявила и доказывает, что вся т. н. «кибербезопасность» суть борьба с последствиями плохо спроектированного программного обеспечения (ПО).
И эту, с ее точки зрения, порочную парадигму самое время сменить. С помощью генеративного искусственного «интеллекта» (ГИИ), конечно.
Основной посыл объемной заметки г-жи Истерли понять не сложно. Но ее смысл и цель – труднее. Для российских профи ИИ и информационной безопасности (ИБ) важнее всего тот факт, что идеи и предложения опытного CIO и профессора Оксфорда остро актуальны и у нас. Их крайне полезно учесть при разработке правильной технологической политики российского государства. Публикация Джен в Foreign Affairs – настолько «про нас», что часто без потери смысла можно заменять в ней по тексту «США» на «РФ».
Несомненный профи, эксперт и авторитет киберзащиты, Джен Истерли начинает так: «Вот уже почти 40 лет спустя опыта Морриса мир по-прежнему работает на дрянном коде, изобилующем теми же ошибками и дефектами. На фоне вала практически ежедневных новостей о взломах и утечках даже профессионалы упускают из виду ключевой момент: в США, КНР или РФ – нет проблем с кибербезопасностью. Есть проблемы с качеством ПО. Вся многомиллиардная глобальная индустрия киберзащиты существует фактически для того, чтобы компенсировать недостатки «дырявого» софта».
Далее изложим тезисы Джен Истерли с сокращениями и собственными комментариями. Айтишниками не будучи, мы, тем не менее, неплохо осведомлены о многих упомянутых ею «взломах» ИКТ-систем по всему миру, а также об истории усиления и регулирования кибербезопасности в России. Итак…
Кто в ответе за безопасность?
В США уверяют, что с 2021-го хакеры, связанные с Министерством госбезопасности КНР и НАОК, используют те же уязвимости, что и червь Морриса несколько десятилетий назад. «Желтые» группы Salt Typhoon и Volt Typhoon проникают в сети связи, системы управления транспорта и энергетики Америки, используя плохо защищенные серверы, маршрутизаторы, другие ИКТ-системы и устройства.
Американцам рассказывают также, что только в текущем 2025 году хакеры из ФСБ РФ воспользовались неисправленной уязвимостью в сетевых устройствах и взломали тысячи маршрутизаторов и коммутаторов критической информационной инфраструктуры (КИИ) США. Поскольку все больше учреждений, от больниц до пОртов, ежедневно полагаются на ПО, небезопасный код представляет все большую угрозу.
Уязвимости сохраняются долгие месяцы и даже годы, потому что у разработчиков ПО мало стимулов уделять безопасности первостепенное внимание. Гораздо дешевле и быстрее переложить расходы, связанные с безопасностью, на клиентов. А поскольку большая часть кода, лежащего в основе КИИ, написана десятки лет назад, его безопасное переписывание, с точки зрения бизнеса, давно стало слишком дорогостоящим и трудоемким.
Но, настаивает Истерли, появились новые возможности, в т. ч. благодаря ускоренному развитию ГИИ, для решения проблем с ПО во всех цифровых экосистемах. И новые ИИ-технологии неизбежно положат конец кибербезопасности в том виде, в котором ее пока знают. Они сделают США гораздо менее ИТ-уязвимыми. Правда окно возможностей для использования новых технологий быстро закроется, поскольку противники США тоже пытаются ускоренно использовать ГИИ для наращивания мощи кибератак.
Джен пишет, что правительственным учреждениям США, крупным компаниям и инвесторм пора объединить усилия, чтобы кардинально изменить экономические стимулы и использовать ГИИ для укрепления цифровой защиты. Киберпространство никогда не будет полностью безопасным. Но рынок информзащиты в его нынешнем виде не может оставаться неотъемлемой частью будущей цифровой эпохи. На его место должен прийти гораздо более совершенный и безопасный подход к разработке и поддержке ПО.
Согласно распространенному мнению, хакеры – отдельные злоумышленники, спонсируемые государством или поддерживаемые преступными синдикатами команды, – умны, скрыты и изощренны. Они коварно пользуются неосторожностью сотрудников и неправильно настроенными серверами. Но большинство вторжений происходит не из-за того, что злоумышленники используют экзотическое кибероружие. Они добиваются успеха, потому что широко распространенные софтверные продукты имеют хорошо известные и вполне предотвратимые уязвимости.
Экономика решает всё
Основная проблема нынешней кибербезопасности по Истерли носит не технологический, экономический характер. У большинства покупателей нет возможности проверить, безопасно ли приобретаемое ими ПО. Им приходится верить продавцам на слово, что не мотивирует разработчиков или продавцов софта вкладывать средства в средства защиты, которые покупатели не могут увидеть или оценить.
В результате поставщики софта конкурируют по более очевидным для покупателей аспектам – раннему выходу на рынок, более низким ценам и удобным функциям – интеграции с др. системами в один клик, удобному удаленному доступу и пр. Но сосредоточенность на этих функциях часто приводит к тому, что меры защиты от киберугроз попросту не принимают.
Рыночные силы не стимулируют в разработке ПО уделять приоритетное внимание его защищенности и безопасности. Это привело к рождению вторичного рынка кибербезопасности – обширной экосистемы антивирусных систем, средств обнаружения, брандмауэров и многого другого, что, по сути, представляет собой дополнительные решения для устранения уязвимостей в наличном ПО.
И хотя индустрия кибербезопасности превратилась в впечатляющее сообщество талантливых новаторов, ее работа носит исключительно оборонительный характер. Системы кибербезопасности ограничивают ущерб от вредоносного ПО, которое нельзя было распространять, устраняют последствия взломов, которых не должно было быть и фактически латают программные «дыры». Де-факто – закладки.
Разработчики ПО не уделяют также должного внимания безопасности своих продуктов, поскольку они редко несут ответственность за сбои в системе безопасности. Даже в США не существует обязательного базового стандарта, определяющего, какими средствами защиты должно быть оснащено ПО, не предусмотрено наказание за опасный софт.
Все это вместе делает небезопасное проектирование рациональным бизнес-решением. После взломов разработчики создают улучшения – т. н. «патчи», а не переделывают продукт полностью. Ведь страдают не они, а клиент. До тех пор, пока разрабы не будут нести ответственность, а регулирующие органы не введут стандарты, уязвимый код останется основой цифровой инфраструктуры.
С Истерли нельзя не согласиться: дешевле и проще поставлять небезопасный софт, а бремя защиты перекладывать на плечи спецов по кибербезопасности у клиента и специализированные антивирусные фирмы вроде «Лаборатории Касперского». Кстати, и те и эти никогда не будут в накладе.
Важная американская CIO делает очевидный для ее логики вывод: подобные порочные стимулы следует устранить. Профилактика гораздо эффективнее, чем набор непоследовательных и не всегда надежных методов лечения. Киберпространство любой страны-разработчика останется уязвимым – только создатели и продавцы ПО могут изменить ситуацию в целом. Отдельный пользователь не может сделать шифрование обязательным, это может сделать только поставщик, понуждаемый регулятором.
Истерли резонно замечает, что больница не может переписать коммерческое приложение, чтобы избежать повреждения данных. Город не может защитить код, управляющий системой водоснабжения. Это может сделать только поставщик-разработчик. Ответственность должна лежать на вендоре ПО, а не на его юзере.
Десятилетия даже в США, даже самые благонамеренные разработчики ПО не могут оправдать свои затраты на создание более безопасных продуктов. Это слишком дорого и сложно. Было. Но все более мощный ГИИ, по мнению американского профи, меняет ситуацию. Новая технология позволяют дешево и эффективно создавать более безопасный код, устраняя уязвимости в старом. И это в перспективе способно значительно снизить кибер-риски глобальной ИКТ-инфраструктуры.
ИИ меняет все. Или ничего
Совершенно очевидно ГИИ уже меняет подход к разработке ПО. Крупные техкомпании сообщают, что ИИ-системы генерят уже до четверти их кода. В ближайшие пять лет эта доля может превысить 80%.
Но использование ГИИ для исправления ошибок в ПО тоже сопряжено с рисками: поскольку большие языковые модели (LLM) обучаются на несовершенном «человеческом» коде, они могут воспроизводить те же уязвимости, которые характерны для современного ПО. Но Истерли отмечает, что ГИИ-системы можно обучать не только на существующем коде, но также и на каждом обнаруженном недостатке и попытке его исправления.
Обученный по стандартами безопасного кодирования и постоянно улучшаемый обратной связью ИИ может исправлять, а не усугублять ошибки людей, пишет Истерли. Она, как техно-оптимист верит, что со временем ГИИ сможет создавать гораздо более безопасный код, чем любой человек-разработчик. Хотя бы только потому, что, по большому счету, программный код и чат-бот – близнецы-братья. И ГИИ можно использовать для устранения дефектов даже в самом широко распространившимся ПО.
В 2023-2025 гг. Агентство перспективных оборонных исследований США проводило конкурс AI Cyber Challenge, проверяя, могут ли ИИ-системы самостоятельно находить и устранять уязвимости в ПО. Результаты, со слов Джен Истерли, впечатлили. Ведущие ГИИ-модели выявили большинство уязвимостей, которые организаторы внедрили в код, и даже ранее неизвестные слабые места. На это ушли считаные минуты и меньшие затраты, чем у команд экспертов, работавших дни или недели.
Частные фирмы, в т. ч. корпорации Google, Microsoft и Meta* (экстремистская и запрещенная в РФ), создающие ПО, используемое миллионами ежедневно, делают то же: применяют ГИИ-системы для обнаружения и устранения «дыр и багов».
Главное – ГИИ помогает справиться с самой сложной задачей в киберзащите: устаревшим кодом, который поддерживает большую часть мировой цифровой инфраструктуры.
Истерли напоминает: текстовые редакторы и e-mail, КИИ банков и транспортных компаний, работают на ПО, написанном «при царе Горохе». И еще недавно переписывание всех этих «древностей» было непомерно дорого и рискованно – все равно что чинить самолет в полете. Но ГИИ становится более мощным с каждым днем – появилась возможность подключить миллионы ИИ-агентов, чтобы одновременно читать, понимать и преобразовывать опасный код в огромном объеме, непосильном человеку. Так что ГИИ – не только технический, но и экономический прорыв: он делает кропотливое переписывание слабого ПО общедоступным.
Понимая обоюдоострый характер ИИ, Истерли оговаривается: «Критики станут утверждать, что ГИИ только ослабит кибербезопасность, предоставив злоумышленникам более быстрые, незаметные и адаптивные инструменты. Да, этот риск реален: ИИ позволит криминалу автоматизировать атаки, прежде чем защитные системы автоматизируют их обнаружение и реакцию. Но более глубокий и сильный ГИИ должно направить не на реагирование, а на предотвращение атак и взломов. Т. е. ГИИ способен устранить первопричину киберрисков».
Итак, говорит Джен Истерли, ИИ меняет подход к киберзащите в корне. Вместо того чтобы покупать бесконечное число «костылей» для компенсации недостатков ПО, организации могут платить за более безопасное «из коробки» ПО и инструменты на базе ИИ, которые автоматически поддерживают его защиту.
«Мир Истерли» выглядит идеальным. Программисты больше не пишут код, который нужно потом исправлять. Помощники на базе ИИ помогают им создавать системы с изначально встроенной защитой. Прежде чем запускать новые продукты, ГИИ автоматически ведет их проверку – как автомобили, пропуская через краш-тесты. Старые, уязвимые системы ГИИ постоянно модернизирует, устраняя «баги», которыми еще пользуются хакеры. Это становится нормой, и вся модель кибербезопасности меняется. Она становится «матерью» здоровой цифровой жизни, а не дорогостоящей «нянькой».
Хватить обороняться, пора предупреждать
И тут Джен Истерли наконец доходит до главного: «ONCD также может изменить порядок закупок ПО. Ведь Правительство США – крупнейший покупатель ПО в мире. Но прошло уже более 4-х лет с тех пор, как Министерство внутренней безопасности представило стандарты безопасного ПО для включения в Положение о федеральных закупках, а окончательного постановления, обязывающего поставщиков подтверждать соблюдение методов безопасной разработки, до сих пор нет!»
Автор заметки в Foreign Affairs намекает, что федеральные закупщики могут подучиться у финкорпорации JPMorgan. Недавно та опубликовала письмо поставщикам ПО, в котором обозначила строго, что безопасность их продуктов важнее скорости вывода их на рынок. Якобы поставщики тут же отреагировали усилением методов разработки и повышением прозрачности. «Вот что строгость крупных закупок животворящая делает!» – как бы восклицает Джен. И продолжает сгущать краски: «Последствия неспособности США решить проблему качества ПО всё более серьёзны. Электросети, больницы, трубопроводы, порты и банки теперь почти полностью зависят от софта. Недостаток его качества подвергает их все большему риску коррупции и сбоев. Но несмотря на растущую осведомлённость о проблеме среди политиков и бизнеса, прогресс в поиске эффективных решений незначителен. Есть инициативы ведомств, но обязательной нацпрограммы до сих пор нет. Вопрос редко становится политическим приоритетом: ни в Конгрессе, который до сих пор не принял всеобъемлющих законов об ответственности или требованиях к разработке, ни в исполнительной власти, которая выбирает между риторикой и сдержанностью. Тем временем влиятельные отраслевые лоббисты и крупные техкомпании продолжают сопротивляться реформам, которые объективно ведут к увеличению их расходов и замедляют выпуск продуктов. Нельзя более просто реагировать на взломы, рассылать исправления и винить пользователей! Пора сделать безопасность настройкой по умолчанию ультимативным требованием к рынку ПО».
Бывшая CIO Байдена завершает статью на воинственной ноте. По ее данным, Пентагон ежегодно тратит миллиарды на операции кибербезопасности, нанимая десятки тысяч сотрудников для защиты от уязвимого ПО. Сокращение программных ошибок высвободит ресурсы и персонал военных. Их можно будет направить на сдерживание и дезорганизацию противника. Кибербезопасность больше не должна граничить с глухой обороной. Истерли призывает расширить наступательные кибервозможности, чтобы заставить тех, кто атакует КИИ США, платить за это высокую цену. Ее лозунг: «От постоянной обороны – к упреждающему сдерживанию!»
И мы должны резюмировать вслед за оголтелой, но профессиональной ИКТ-американкой. Да, кибербезопасность, как и все глобальное цифро-сетевое пространство уже неотделима от ИИ. Будущее любой инфобезопасности связано с новейшими ИКТ.
Да, просто реагировать на свершившиеся взломы нам в России больше нельзя. Как США, как КНР, нам нужно опережать противника. Внедряя доверенность и доверие к ПО в саму основу, в структуру цифровой жизни, обеспечивая безопасность алгоритмов, данных и ИКТ-инфраструктуры экономики.
Для этого человеческий и машинный интеллект нужно заставить работать сообща – укрепляя критически важные ИКТ-системы на базе исключительно собственных софтверных решений. Нужно понять раз и навсегда: любое иностранное ПО – западное или восточное для России – опасно и негодно. Никаким дописыванием и переписыванием его не исправишь. Только с полностью самописным русским ПО мы обеспечим не только технезависимость, но и техпревосходство над США и Китаем. Для начала – в критически важной кибербезопасности.
Иначе киберзащита для России останется постоянной борьбой за выживание. И в ней нет будущего. Не то что счастливого, а даже сносного.
Мнение автора может не совпадать с мнением редакции.
*Корпорация Meta признана экстремистской, ее деятельность в РФ запрещена
