В последние годы мир сотрясали громкие скандалы, связанные с интернет-слежением. И если раньше слежка воспринималась общественностью с легкой иронией, чем-то вроде кинореальности в стиле Джеймса Бонда, то теперь, в эпоху интернета, а особенно после шокирующих разоблачений бывшего американского агента Эдварда Сноудена, мир содрогнулся. В прямом смысле слова. Оказывается, следят все, следят решительно за всеми и, в буквальном смысле слова, – за всем. Следят за почтой, расходами, банковскими счетами, поездками, ужином в ресторане, просмотром телевизора… даже визитом в «комнату задумчивости». Информация стала дороже золота, а значит, защита этой информации стала дороже платины.

Так что же делать? Как быть простым гражданам, желающим отстоять свои конституционные права – право на личную жизнь – и оказавшимся (отнюдь не в одночасье) беззащитными перед властями своей страны, иностранными спецслужбами, или даже перед каким-нибудь рядовым киберпреступником из Калькутты, Москвы или Каракаса?


За ответом мы решили обратиться к специалисту в области безопасности, президенту Kairos Technologies Ltd. Мишелю ВИЭЙРА.

Наш КОРРЕСПОНДЕНТ: господин Виэйра, для начала скажите несколько слов о вашей компании, целях и задачах.

ВИЭЙРА: Попробую в двух словах, хотя это будет нелегко. Компания создана чуть больше года назад. Зарегистрирована в Великобритании. Поначалу специализировалась на оказании IT-услуг для корпоративных клиентов, в первую очередь, в области безопасного хранения и передачи данных в интернете. Сейчас значительно расширяем линейку продуктов и спектр услуг.

КОРР.: Как вы видите современный мир с точки зрения интернет-безопасности?

ВИЭЙРА: Я бы взглянул на эту проблему несколько иначе. Шире. Мир небезопасен. Можно идти по улице и пасть случайной жертвой от руки взбесившегося психопата, наркомана или психопата-наркомана. Можно двигаться в сопровождении вооруженного охранника и все равно пасть жертвой от теперь уже группы неадекватных лиц. А можно ехать в бронированном лимузине под усиленной охраной и не бояться даже толпы разъяренных психопатов-наркоманов и прочих неадекватных лиц или даже злоумышленников. Так и в интернет-безопасности. Все зависит от человека, вернее, от его целей и методов обезопасить себя и свою семью от посягательств посторонних лиц, преступных групп или целых сообществ и даже государств. Против одних достаточно простого антивируса, против других – усиленных файрволлов или про-версий malwarebytes. А кто хочет наивысшей степени безопасности – бронированного «IT-лимузина» – добро пожаловать к нам в KAIROS!

КОРР.: Чем же вы такие особенные?

ВИЭЙРА: В том то и дело, что всем. Мы не держим конфиденциальную (чувствительную) информацию наших клиентов на каких-то конкретных серверах в определенных странах. Данные наших клиентов в зашифрованном виде разбросаны на дисковых пространствах наших партнеров. При этом разбросаны не только данные пользователей – шифрованный ключ к этим данным также разбит на тысячи составляющих и рассеян на жестких дисках по всему миру. Именно поэтому мы такие особенные. Мы неуязвимы. Как собирается ключ к информации, да и сама информация – секрет. Единого обладателя данного секрета нет и это все, что я могу вам сказать. На любой запрос суда любого государства о выдачи нами информации наших партнеров и клиентов мы ответим отказом по той простой причине, что мы не можем выдать судебным и прочим инстанциям такую информацию. Она не хранится на каком-либо одном сервере. Эта информация вообще не хранится ни на каком сервере. Наш мега-сервер – жесткие диски наших партнеров и клиентов. На сегодняшний день это самое эффективное средство защиты от любого хакера – от тинэйджера до генерального прокурора. 

КОРР.: Трудно поверить в это. Если разработанная вами система защиты информации эффективная, такая неуязвимая – то почему же правительства государств не выстраиваются к вам в очередь, чтобы получить в руки такое чудо-средство от киберпреступников? Почему о Кайросе не трубят на каждом шагу как об эдаком «Форт-Ноксе» или «Алькатрасе интернет-безопасности»?

ВИЭЙРА: А кто вам сказал, что не стоят? (смеется) Среди наших клиентов есть и корпорации, и правительственные учреждения. Просто многие даже публичные организации предпочитают оставаться в тени. Не искушать судьбу. Ведь когда известно, каким замком пользуется потенциальная жертва, грабителю легче подобрать ключ. Не то, чтобы компания Кайрос боялась потенциальных взломщиков, ввиду нашей особой – уникальной и пока непревзойденной технологии хранения и передачи данных – просто желание клиентов для нас закон. А, как я уже говорил – мы умеем хранить секреты.

КОРР.: Как вам должно быть известно, в 2014 году правительство США уже выдало ордер на получение данных с почтовых серверов Microsoft, расположенных в Ирландии. В Microsoft, Apple, Cisco и других корпорациях выступили решительно против такого решения, считая неприемлемым и недопустимым сам факт выдачи такого (национального) ордера одним государством без соответствующего согласия другого суверенного государства, на территории которого находятся такие серверы. В этой связи возникает вопрос: как вы относитесь к такому правительственному нововведению и ответным шагам компаний? Считаете ли вы правомочными такие действия властей на территории своего государства? И будет ли считаться законным с точки зрения международных обязательств компании выполнение решения судов иностранных государств, где находятся серверы компании, о выдаче информации своих клиентов?

ВИЭЙРА: Ну, конечно же я против! Как можно считать такие действия властей законными? Ведь получение властями страны информации личного характера клиентов компаний – будь то Майкрософт или «Икс-Игрек и К» – это просто одна из разновидностей хакерской атаки. Стихийное бедствие. Форс-мажор с резиновой дубинкой. Ведь власти могут делать с информацией, полученной таким путем, все, что угодно. Например, шантажировать гражданина с целью получения от него признания, уплаты налогов, свидетельских показаний и т.д. И это, заметьте, на «законных основаниях», то есть на основании решении национального суда. Но мы-то с вами знаем, что не все судебные решения бывают «законными». И не все «законные решения» выполнимы с точки зрения международного права. Международное право пока еще никто не отменял (смеется).

Я считаю, что количество конфиденциальной информации, попадающей в интернет из частной и деловой переписки, постоянно растет. И растет, не в последнюю очередь, благодаря вот таким «законным» решениям.

 

КОРР.: Скажите, что вы думаете о Сноудене? Эдварде Сноудене, вернее, о его разоблачениях, касающихся деятельности спецслужб США на территории других государств.

ВИЭЙРА: Это сложный вопрос. С точки зрения поведения человека, обязанного в силу должностных полномочий хранить служебную и государственную тайну – не могу найти оправдание его поступку. Что же касается его информации о тотальной слежке спецслужб и методах слежения и сбора информации – признаюсь, нашей компании это даже, скорее, сыграло на руку. Люди, организации, компании, корпорации и прочие вдруг задумались о необходимости поиска наиболее оптимального и рационального решения по обеспечению безопасного хранения и передачи своих данных. И многие, представьте, пришли именно к нам. Так что я считаю, что именно Сноуден явился одним из лучших пиар-менеджеров для нашей компании (смеется).

КОРР.: Хорошо. Спасибо. Поговорим теперь о хранилище.

ВИЭЙРА: KairosDisc?

КОРР.: Именно.

ВИЭЙРА: Помнится, однажды Хемингуэй (был такой писатель – уточняю, чтобы никто его часом не спутал с каким-нибудь знакомым IT-менеджером) (смеется)… так вот он поспорил, что сочинит рассказ из шести слов, который станет самым трогательным из всех ранее написанных. И он выиграл спор: «Продаются детские ботиночки. Неношеные» (англ. For sale: baby shoes, never used).

Так вот, говоря о KairosDisc, я вам так скажу: KairosDisc будет пожёстче самого жёсткого диска (смеется). А если серьезно, то выбирая хранилище данных, интернет-пользователь должен, в первую очередь, узнать о репутации того, кто это хранилище ему (пользователю) предоставляет. Ведь не может же быть безопасным хранилище у того, кто снабжает информацией третьих лиц (например, спецслужбы), даже если это производится в интересах национальной безопасности или идеалов демократии!

Такая компания выступает в качестве эдакого «бэкдора», шпионящего за пользователями, может также осуществлять вирусную или иную атаку, осуществлять другие деструктивные действия. А наивные пользователи будут думать, что пали жертвами каких-то мифических «кибератак» преступных лиц и сообществ. На поверку все оказывается гораздо проще, только не всякая такая «кибератака» становится достоянием гласности. Хотя я лично верю, что шила в мешке не утаишь. Причем, для компании потерять репутацию гораздо проще, нежели ее заслужить. А вместе с репутацией, разумеется, клиентов и деньги.

В KairosDisc используется технология распределенных сетей. Информация хранится в защищенной файловой системе. Все файлы зашифрованы и разбиты на фрагменты. Более подробно о наших программах можно узнать на официальном сайте компании KAIROS.

КОРР.: Говоря о KairosDisc, не могу не вспомнить о хранилище Oracle. По последним данным, уязвимости в системах Oracle PeopleSoft к кибератакам типа TokenChpoken, что может привести к утечке персональных данных в бизнес-компаниях, государственных организациях, научных учреждениях и пр. Как это повлияет на усовершенствование системы безопасности вашей продукции, в частности, KairosDisc?

ВИЭЙРА: Упоминая об Oracle PeopleSoft, вы вероятно считаете их прикладное программное обеспечение прямым конкурентом продукции KAIROS. Вынужден вас разочаровать: KAIROS никогда не рассматривала компании, занимающиеся тиражированием ПО в области HRMS, ERP, CRM, как своих прямых конкурентов. Наши задачи здесь слишком разные. Не хотел бы, чтобы меня обвинили в недобросовестной конкуренции по отношению к компаниям вроде Oracle, позволю себе лишь высказать свою собственную точку зрения.

Так вот, почему я лично никогда не пользовался ПО вроде PeopleSoft, это связано, в первую очередь с недоверием к чересчур «раскрученным» брендам. Я считаю, что такие компании тратят огромные средства в рекламирование своих продуктов, не слишком заботясь о надежности своей продукции, и тем более в ее дальнейшем усовершенствовании. Оно и понятно, поскольку средства, выделяемые на рекламную кампанию, значительно превосходят сумму на развитие самого продукта. Им незачем заниматься усовершенствованием продукта, его апгрейдом, пока уровень продаж держится на достаточно высоком уровне.

Еще одним важным моментом, влияющем на уязвимость широко разрекламированных брендов в том, что хакеры, охотясь за определенной информацией, совершенно точно знают, где ее искать и у кого, поскольку такая информация, как правило (без исключений) находится именно на определенных серверах компании-промотера. Взлом сервера, имеющего четкий адрес, всегда был и будет заветной, пускай даже труднодостижимой, но реальной целью любого киберпреступника.

В случае с KAIROS, как я уже говорил, данные наших пользователей не имеют четкой «прописки» на каком-то одном (или нескольких) конкретном сервере, что делает эти данные не просто труднодоступными, а просто невидимыми для потенциальных взломщиков. Не говоря уже о том, что им и взламывать-то нечего, поскольку ключ (я повторюсь) также не находится в одном месте. Наша защита как раз и кроется в «разбрасывании» информации на разных серверах по всему миру. Получив доступ к любой их части, злоумышленник не получит ничего. Попробуйте разорвать книгу на десятки тысяч частей, а потом прочесть хотя бы один абзац – и вы меня поймете.

Словом, если вы не хотите очутиться в положении этого парня на фото, размышляющего над тем, куда делась его база данных, приходите к нам KAIROS, мы поговорим об этом подробнее, как обезопасить ваши данные (смеется).

КОРР.: Перед нашим интервью я заходил на сайт вашей компании. Kairosplanet.com – правильно?

Виэйра: Совершенно верно.

Корр.: Признаюсь, меня несколько разочаровало наполнение сайта. Я не увидел на сайте прайс-листа для корпоратива, четко сформулированного предложения для корпоративного клиента, программа ничем не загружена.

ВИЭЙРА: Сайт находится на реконструкции. Изменились задачи, изменилась стратегия компании, диверсифицировалась клиентура и партнеры – все это требует изменений на сайте. Согласитесь, нельзя же выдавать инновационный продукт на устаревшем сайте. УВЕРЯЮ ВАС, скоро вы не узнаете сайт KAIROS.

КОРР.: Ловлю вас на слове. Да, вот еще: вот вы говорите, что у вас все хорошо, компания развивается. Но, с другой стороны, я нигде не увидел у вас подтверждения того, что дела у вашей компании обстоят хорошо именно в финансовом отношении.

ВИЭЙРА: Ну, знаете ли, вывешивать финансовые показатели не входит в обязанности любой компании. Но здесь могу вас заверить: мы в полном порядке. Свидетельством тому наш сегодняшний разговор, мы на рынке больше года, тогда как недоброжелатели и конкуренты пророчили нам уход с рынка еще до конца 2014 года. Дескать, разовый краткосрочный проект, обреченный на неудачу. Прошло больше года. Мы имеем собственную спортивную команду на авторалли «Le Mans», наши продукты востребованы – какие еще нужны доказательства?

Корр.: Хороший ответ. А скажите: а сами вы какой программой пользуетесь? Google Диск?

Виэйра: Коварный вопрос (смеется). Но вынужден вас огорчить: лично я пользуюсь kairosphone с полной «начинкой» продуктов нашей компании: kairosdisc, kairossurf и kairosmail (показывает kairosphone). Ну, и еще Кайрос облаком впридачу. Не только и не столько в рекламных целях, а просто потому, что это удобно и безопасно. Да, кстати, я и smartwatch тоже не ношу (показывает обе кисти). Полагаю, для меня это так же естественно, как для президента Ситроена ездить на «Ситроене», а компании BMW – на BMW.

Корр.: Ну хорошо, вы меня убедили! (смеется) А теперь расскажите, пожалуйста, немного о почтовом клиенте kairosmail.

Виэйра: Хорошо, попробую. ПОНИМАЕТЕ, для безопасного почтового сервиса нужно обеспечить три вещи: безопасную аутентификацию, передачу и хранение данных. На первый взгляд, все просто, но на самом деле все оказывается гораздо сложнее.

Шифрование почты (более других используют стандарты s/mime и open pgp) является важнейшим этапом. Но на практике, процент пользователей, прибегающих к шифрованию почты, невелик. Вот здесь на помощь интернет-пользоватилям и приходит компания Кайрос с её топовой инновационной разработкой – kairosmail.

Все современные почтовые сервисы имеют стандартный набор средств защиты аутентификации и используют безопасные протоколы для подключения к сервису (ssl и tls). При этом практически у всех есть механизмы восстановления пароля и отслеживания попыток несанкционированного правомерного доступа.

Кайрос пошла намного дальше, создав надежный «пояс безопасности» вокруг почтового сервера клиентов, и при этом позаботилась о защите пользователей также от потенциальных внутренних угроз, в частности от доступа к данным со стороны своих же сотрудников, сведя к нулю угрозу со стороны так называемого человеческого фактора, в том числе и коррупцию среди сотрудников почтовых хостингов, против пользователей почтового сервиса kairosmail. Я вам говорил вначале нашего разговора и снова повтор – мы неуязвимы. Не верите – можете сами убедиться. Двери KAIROS открыты как для корпоративных пользователей, так и частных лиц. Все дело в цене. Цене, которую вы готовы платить за безопасность своих данных. Это и есть настоящая свобода. Свобода, доступная каждому.

КОРР.: Ну хорошо, если продукты вашей компании так хороши, тогда почему о них не трубят на каждом углу? Ведь до нашей с вами встречи я нигде как-то особенно не сталкивался с открытой рекламой Kairos.

ВИЭЙРА: Вы правы: здесь есть и наша недоработка. Но, понимаете ли, поначалу в своих разработках мы ориентировались исключительно на корпоративного клиента. А с корпоративным клиентом используются совершенно иные маркетинговые приемы, не требующие билбордов, товаров с логотипом компании и телерекламы. Но, во-первых, мы молодая компания, а молодости свойственно ошибаться (улыбается). А во-вторых, обнаружив живой резко возросший интерес индивидуальных пользователей к нашим программам, KAIROS пересмотрела свою политику и теперь мы выходим на новый уровень. Так что скоро вы не будете знать, куда деться от рекламы KAIROS (смеется).

 

 

КОРР.: Ну хорошо, вот вы говорите, что IT безопасность развивается. Тогда вот вопрос: если развивается, то в каком направлении?

ВИЭЙРА: Вот вопрос вопросов! Вы зрите в корень (улыбается). Заглядывать в далекое будущее я не буду, но кое-какими соображениями поделиться могу. Не буду расставлять их в порядке очередности по важности, поскольку все они в той или иной мере важны и взаимосвязаны. Итак, на мой взгляд, самыми перспективными направлениями IT безопасности на ближайшие годы будет защита личных данных пользователей, противодействие кибер-мошенничеству, защита критически важных систем, безопасность «облака» и др. Причем безопасность «облака» – это отдельная тема.

КОРР.: Почему отдельная?

ВИЭЙРА: да потому что «облако» – это попытка создания некоего «оазиса» безопасности в интернете. Что такое «облако»? Это ознаяает размещение, хранение и пользование данными при помощи веб-сервисов на удаленных серверах, предоставленных третьими лицами. Важным моментом здесь будет возможность подключения к своим данным с помощью интернета и, при этом, с любого устройства – будь то ПК, ноутбук, мобильный телефон и так далее. Пользование облаком непосредственно связано с защитой данных пользователя и доступа к критически важным системам. Облако это, если хотите, и действие (почта и пр.), и состояние (хранилище). Поэтому, если останавливаться на подробном обсуждении «облачных» технологий, и, в том числе KairosCloud, мы с вами просидим до утра (улыбается).

Знайте одно: рынок IT безопасности будет развиваться до тех пор, пока не будет разработано идеальное универсальное пуле-броне-хакер-непробиваемое средство защиты хранения и передачи данных. Я не хочу сказать, что Kairos и есть то единственное решение всех проблем IT безопасности. Но что-то «волшебное» в нас есть (смеется). Именно поэтому мы и находимся в наших исследованиях и разработках ближе к IT Олимпу чем многие «раскрученные» бренды. Безопасность и неуязвимость – вот две вещи, что движут нами в этом направлении.

 

Спасибо за внимание.

 

Интервью Себастьяна Мулен

sport-auto.ch