15 января 2018, 10:37

Чему «чипокалипсис» может научить Россию - интервью Ильи Массуха журналу "Коммерсант-Огонёк"

Новости

Президент Фонда информационной демократии и директор Центра компетенций по импортозамещению в сфере информационно-коммуникационных технологий Илья Массух — об уроках, которые России стоит извлечь из нынешнего Чипокалипсиса.


Визитная карточка
Илья Массух как менеджер и идеолог

Президент Фонда информационной демократии и директор Центра компетенций по импортозамещению в сфере информационно-коммуникационных технологий, Илья Массух также создатель и идеолог проекта "Российская общественная инициатива" — интернет-ресурса, на котором граждане РФ могут выдвигать различные гражданские инициативы либо голосовать за таковые.

В 1995-2008 годах работал в российском представительстве корпорации IBM. С 2008-го перешел на госслужбу, в 2010-2012 годах — заместитель министра связи и массовых коммуникаций Российской Федерации. Под его руководством запущен портал Gosuslugi.ru, внедрены системы межведомственного электронного взаимодействия (СМЭВ) и координации расходов госведомств на информатизацию, реализован проект "ВебВыборы-2012" (интернет-трансляция голосования на выборах президента России).

— Илья Иссович, новость об уязвимостях вас потрясла?

— Не слишком. Реализация в технологической архитектуре одной математической модели увеличивает потенциальные риски. Уязвимости, о которых все говорят, обнаружили только сейчас, но сама проблема возникла больше четверти века назад — в 1995-м, как заявила сама Intel. Это лишний раз подтверждает, насколько глубоко она коренилась в самой "архитектуре" процессоров: сегодня под угрозой их подавляющее большинство — не только произведенных Intel, но и АМD, ARM, Apple, IBM.

Развитие технологий шло так, что компании не создавали каждый продукт "от начала и до конца", а пользовались существующими модулями, конструируя на их базе нечто новое. Один из таких модулей, занятый предсказаниями ветвлений команд и внедренный в большинство американских процессоров, как раз оказался "с изъяном".

— По-вашему, почему столько молчали? Об уязвимостях стало известно еще летом..

— Есть несколько возможных объяснений. Те же процессоры используются в так называемой информационно-критической инфраструктуре, включая оборонные и стратегические комплексы, что могло привести к серьезным политическим последствиям. И власти решили "придержать" обнародование данной информации, чтобы компании успели подготовить патчи ("заплатки", обновление софта.— "О"). Эту версию подтверждает и то, что обновления операционных систем стали оперативно выходить всего через 4-5 дней после объявления о Metldown и Spectre. Создать патч для закрытия серьезной уязвимости с нуля — масштабная задача для целой команды специалистов, так как приходится серьезно переработать все компоненты операционной системы. Можно пофантазировать и предположить, что патчи вполне могли бы содержать какие-либо специальные "закладки", позволяющие контролировать компьютеры. Вы только представьте объемы — большинство компьютеров и гаджетов планеты...

— Но патч с "закладками" можно загрузить и по-тихому, как стандартное обновление. Зачем было оповещать об уязвимостях мир?

— Intel пришлось сыграть на опережение. Вспомните, уязвимость Spectre была обнаружена исследователями корпорации Google (Zero) и группой, сотрудничающий с Paul Kocher, при участии сотрудников Грацкого технического университета...

Не следует забывать, что мы говорим об американских корпорациях: по законам США ответственность несет тот, кто умолчал об уязвимости. Прийти к корпоративному сговору, гарантирующему молчание всего сообщества, в такой ситуации невозможно — слишком много заинтересованных сторон, да и СМИ оказались начеку. Intel пришлось открыть карты. В противном случае события могли получить развитие по аналогии с Uber, которая пыталась замолчать факт слежки за клиентами, но правда всплыла и скандал вышел колоссальный. К тому же без официального заявления трудно было бы привлечь к исправлению ситуации разработчиков операционных систем, которые побоялись бы вмешиваться, рискуя взять ответственность на себя.

Кстати, о производителях софта... Нет худа без добра: нынешний скандал вокруг уязвимостей большинства американских процессоров делает как никогда очевидным факт того, что за последние 5-7 лет серьезно поменялась расстановка сил на мировом ИТ-рынке.

— Вы о чем?

— "Железо", то есть сами компьютеры, как аппараты, все реже требует замены, в отличие от программного обеспечения. В начале 2000-х все обстояло с точностью до наоборот: машины приходилось менять каждые 2-3 года, в противном случае они безнадежно устаревали. С учетом того, что мощностей по созданию "железа" для массового пользователя в России за эти годы не появилось, а уровень разработчиков софта стал вполне конкурентоспособен, наступило время посостязаться со Штатами и Китаем. Самое главное — это не требует больших стартовых инвестиций, а отдача будет относительно быстрой (в среднем — полгода). В России, я уверен, может появиться весьма качественный продукт.

— Уходя из Минсвязи, вы заявили, что не стоит поддерживать американского производителя программного обеспечения в ущерб отечественному. Торжествуете?

— Я говорил о возможности такого варианта развития событий тогда, когда об импортозамещении и антироссийских санкциях никто не задумывался. Не буду отрицать, я рад, что оказался прав. В государственной программе "Информационное общество" версии 2011 года, которую Владимир Путин утверждал еще в должности премьера, был пункт о создании, например, российской операционной системы. В планах государства было получить к концу 2017 года полную линейку офисно-производственной инфраструктуры. Никто не замахивался на суперсерверы, но отечественное оборудование можно было бы внедрять хотя бы в госсекторе. При этом денег по меркам отрасли это требовало небольших — примерно миллиарда рублей в год в течение 6 лет. И этого было бы достаточно! В реальности для разработки подобных продуктов требуется немного исполнителей: ключевые технологии в том же IBM, где мне довелось поработать, или Microsoft разрабатывает небольшая группа специалистов.

— Но госпрограмму свернули?

— Скажем мягко, не выполнили. Вместо этого в 2012 году сделали ставку на опережающее внедрение передовых зарубежных технологий, но пришел 2014-й, а с ним — санкции и озарение, но, к сожалению, системной работы по импортозамещению пока не получилось. Российских разработчиков софта попытались простимулировать, но государство, как игрок, в эту сферу системно не вложилось, а ИТ-корпораций, наподобие американских, в России нет. Только осенью прошлого года в новую госпрограмму "Цифровая экономика" снова были заложены мероприятия по созданию отечественной операционной системы, оборудования.

— Не поздно ли?

— Лучше поздно, чем никогда. Сейчас ввиду разразившегося скандала и открывшихся уязвимостей в американских процессорах, российские окажутся как никогда кстати. С другой стороны, как я уже сказал, "железо" сегодня не так важно, как программное обеспечение. Конечно, для полноценного цифрового суверенитета страны нужны и сами аппараты, но тут совсем иной уровень инвестиций и без серьезной госпрограммы и казенных денег не обойтись. Нужно только внимательно следить за реализацией, а также расходами исполнителей — увы, известно немало случаев, когда из отечественного в продукте были только "наклейки" с логотипом.

К слову, на российском рынке уже есть неплохие разработки. Тот же процессор "Эльбрус" не подвержен нынешним уязвимостям — у него иная "архитектура". Но сегодня мы можем только мечтать, что было бы, если бы Россия развивала свою линейку "железа" с 1995 года. Те же "Эльбрусы" стали бы массовым продуктом, а не нишевым, как сейчас.

Впрочем, полной защищенностью сегодня не может похвастаться ни один процессор, у того же "Эльбруса" могут быть свои "дыры". Минобороны уже объявило, что вложится в усовершенствование "Эльбрусов", но результат будет не для массового пользователя: военные компьютеры хорошо справляются с узкими задачами (например, расчет полета баллистической ракеты, где по величине потока задач даже обходят Intel), но в офисных приложениях, тем более изначально разработанных под архитектуру Intel, они работают медленно, что для современного пользователя неприемлемо. Напрашивается вопрос: почему бы не доработать "Эльбрусы" и под так называемый офисный планктон? Но зачем? Та же Google считается одним из лидеров ИТ-отрасли, а собственного аппаратного производства не имеет — закупает компоненты, модули и детали у разных компаний и собирает из них "свои" решения. То есть значение "железа" не определяющее для ее бизнеса. Скажем так: сегодня не важно, в какой кастрюле — фирмы Tefal или в отечественном чугунке — ты варишь суп. Лишь бы повар был талантливый и продукты свежие.

— Но в том-то и дело, что большинство "кастрюль", как сейчас выяснилось, с "дырками" и такой "дуршлаг" не удержит "варева"...

— Не исключаю, что производители "железа" отчасти подстегивают нынешнюю шумиху, чтобы на них обратили внимание и инвестиции в эту отрасль выросли. Впрочем, это предположение. Но один такой случай в нашей общей практике уже был — так называемая проблема 2000 года. Она была раздутая, мягко говоря. Сегодня очевидно, что это был сговор между продавцами софта и "железа": от возникшей на рынке паники они серьезно увеличили объемы продаж и того, и другого. Да, уязвимости — не вымысел, они есть, но есть и решение проблемы. Нынешние уязвимости — не из тех, что перевернут мир. И по мере усложнения софта и "железа" риски возникновения таких уязвимостей будут возрастать. Пока ждем следующую, которая, как я думаю, продемонстрирует, что весь цифровой мир на деле довольно беззащитен. Цифровой мир таит блестящие перспективы и колоссальные угрозы.

— Как их избежать?

— Как минимум перевести ИТ-индустрию в тот же режим, в каком находятся все остальные отрасли: сделать так, чтобы производители софта и "железа" отвечали за продукт, который они создают. Когда я работал в IBM, меня поразила строка в стандартном контракте, говорящая об ограничении ответственности компании 100 тысячами долларов. Банальная ситуация: машины IBM ставились в некоем банке и, если в результате операций денежных переводов и расчетов "терялась" какая-то сумма, корпорация была ни при чем. Ведь всегда можно выпустить патч и исправить недочет. В офлайн-мире ответственность производителя наступает всегда: вспомните хотя бы массовые отзывы автомобилей, которые регулярно производят автоконцерны, как только обнаруживается новая проблема. Но в ИТ-отрасли это не работает! Думаю, проблема в изначальной монополизации отрасли: гиганты индустрии сплошь и рядом американские компании. Конечно, смена подхода не исключит вероятность появления новых уязвимостей, но увеличит шансы конечных пользователей снизить потери от применения новых технологий.

Источник: Коммерсант

 

назад