направленные на регулирование в данной сфере.

В-третьих, было отмечено, что беспокоиться о том, кто провел кибератаку, думать о проблеме атрибуции бесполезно: лучше сконцентрироваться на устойчивости к внешним воздействиям — концепции, которая допускает возможность вредоносной и даже разрушительной атаки и поддерживает идею заблаговременного планирования действий, направленных на восстановление после таких разрушений.

В-четвертых, все единодушно сошлись на том, что не должно быть возможности соединения между локальными сетями и Интернетом. Идея отделения критической инфраструктуры от доступного Интернета оказалась вполне очевидной для этих опытных специалистов в сфере кибербезопасности. Идеи администрации Обамы об «умной» электросети резко критиковали и несколько сотен других специалистов по кибербезопасности, именно потому, что вследствие реализации этих планов энергетические сети, без которых не обходится ни одна другая инфраструктура, станут еще уязвимее перед угрозой неавторизированного вторжения анонимных хакеров, бродящих по Интернету.

Последний пункт, по которому сошлись «мудрейшие мужи» (в числе которых было трое женщин), заключался в следующем — ничто не сможет избавить нас от бед киберпространства до тех пор, пока кто- нибудь не возьмет на себя руководство, которого сейчас так не хватает. В этом наблюдении присутствующие руководители лучших специалистов по кибербезопасности в стране не видели никакой иронии. Они ждали руководства со стороны администрации Обамы. На тот момент Белый дом уже предлагал 30 экспертам возглавить работу по кибербезопасности в администрации президента. Поиски продолжались в Вашингтоне, в то время как здесь, в холле внизу, продолжалась демонстрация того, как нужно взламывать системы. Пока мы, «идейные лидеры», выходили из зала «Помпеи» в некотором унынии и в надежде на руководство, из зала «Везувий» то и дело раздавались возгласы одобрения — кто-то из хакеров «ломал» очередной iPhone. Мы не бросились туда, чтобы посмотреть, какое приложение взломали, а вместо этого направились к столам для блэкджека, где было меньше шансов проиграть, чем у американских компаний и правительственных организаций, мечтавших о безопасном киберпространстве.

3. Прайвеси и слово на букву «П»

Когда и левые и правые не соглашаются с предложенным вами решением, это означает две вещи: 1) вероятно, вы на правильном пути; 2) у вас практически нет шансов на то, что ваше решение одобрят. Многое из того, что нужно сделать для обеспечения кибербезопасности Америки, предают анафеме и левая и правая стороны политического спектра. Именно поэтому никакие серьезные меры до сих пор не приняты.

Я проанализирую, что можно с этим сделать, в следующей главе, но сейчас могу сказать вам, что некоторые из идей потребуют регулирования, а для реализации других потребуется нарушить принцип прайвеси — неприкосновенности частной жизни.

Требовать нового регулирования и создавать риски нарушения прайвеси в Вашингтоне — это все равно что ратовать за насильственные аборты. По моему убеждению, регулирование, по сути своей, нельзя считать ни хорошей, ни плохой мерой — все зависит от того, о каком регулировании идет речь.

Федеральные регуляционные нормы в стиле 1960-х, как правило, полезны для вашингтонских юридических контор, где они были написаны и где способы их обойти обойдутся вам в тысячу долларов за час. Разумное регулирование, подобное тому, которое обсуждалось на конференции Black Hat, формулирует конечную цель и позволяет организациям самостоятельно решать, как ее достичь. Регулирование, которое поставило бы американские компании в экономически невыгодное положение по сравнению с иностранными конкурентами, неблагоразумно, но регулирование, требующее от пользователей минимальных затрат, не кажется мне проделками дьявола. Регулирование, без согласия и даже насильственное, бесполезно почти так же, как требование обязательного присутствия федеральных чиновников на всех заседаниях. Проверка, проводимая третьей стороной, и удаленное подтверждение согласия кажутся вполне разумными подходами. Отказ от регулирования, проверок, вмешательства часто заканчивается событиями, подобными кризису 2008 года и рецессии или использованию свинцовых белил при изготовлении детских игрушек. Чрезмерное регулирование создает искусственно завышенные розничные цены и требования, которые практически (или совсем) не помогают решить изначальную проблему и подавляют креативность и инновации.

В том, что касается прав на неприкосновенность личной жизни и гражданских свобод, я гораздо более категоричен. Мы должны следить, чтобы правительство не нарушало наши права. И это не беспочвенное опасение. Положения Закона о патриотизме,[10] исполненные благих намерений, в последние годы приводили к многочисленным злоупотреблениям. Другие нормы, препятствующие деятельности правительства, включая сформулированные в Билле о правах и законе о надзоре за иностранными разведками, просто игнорировались. Если меры, необходимые для обеспечения кибербезопасности, открывают возможность дальнейших злоупотреблений со стороны правительства, нам понадобится сделать больше, чем просто принять законы, объявляющие такие действия правительства нелегальными. Это не всегда останавливало их в прошлом (да, мистер Чейни, я вспоминаю вас и здесь). Нам нужно будет создать уполномоченные независимые организации, чтобы следить, не допускаются ли нарушения, и возбуждать дела против тех, кто нарушает принцип прайвеси и гражданские свободы. Самый безопасный путь справиться с этой угрозой — не создавать новые программы, с помощью которых правительственные чиновники могут нарушить наши права. Однако в случае кибервойны могут быть такие ситуации, когда нам придется проверять, возможно ли установить эффективную защиту и запустить новые программы, рискуя нарушить прайвеси.

4. Кассандра и отвлекающий маневр

Одной из причин нашей неготовности защищать себя является любопытный феномен. Помните мальчика, который кричал: «Волк! Волк!»? Иногда мальчик, который кричит «Волк!», видит приближение хищника раньше всех остальных. Объединенная комиссия по безопасности 1994 года, комиссия Марша 1997 года, комиссия Центра стратегических и международных исследований 2008 года, комиссия Национальной академии наук в 2009 году и многие другие говорили о кибербезопасности и угрозе кибервойны. Их критиковали, ставя в один ряд с Кассандрами, которые пророчат бедствия. На Землю упадет гигантский метеорит! Изменение магнитных полюсов Земли вызовет солнечный ветер, который уничтожит атмосферу! Почти все настоящие специалисты в соответствующих областях верят, что сценарий с гигантским метеоритом и солнечным ветром вполне реален. Вопрос лишь в том, когда это произойдет. Поэтому, возможно, нам не стоит слишком беспокоиться. Разнообразные комиссии и рабочие группы, предупреждающие об опасности кибервойны, с определением сроков не ошибались. Они говорили нам, что пока есть время на принятие предварительных мер. Следует помнить, что, несмотря на плохую репутацию, Кассандра не ошибалась в своих предсказаниях — просто из-за проклятия Аполлона ей никто никогда не верил.

К сожалению, слишком многие верят в угрозу кибертерроризма. А кибертерроризм — это утка, отвлекающий маневр. Слова «кибер» и «терроризм» вообще не следует употреблять вместе, поскольку они вызывают в уме образ Бен Ладена, ведущего кибервойну из пещеры. Наверное, он на это не способен, по крайней мере, пока (более того, он живет вовсе не в пещере, а скорее на какой-нибудь уютной вилле). На самом деле у нас нет надежных доказательств того, что террористы когда-либо проводили кибератаки на инфраструктуру. До настоящего времени террористы не проводили крупных атак в Интернете и не использовали Интернет для атаки физических систем, но с помощью Интернета планировали и координировали атаки на посольства, железные дороги, гостиницы. Они используют Интернет для привлечения финансов, поиска новобранцев и обучения. Когда «Аль-Каида» лишилась учебных полигонов после 11 сентября, многое из того, что происходило там, переместилось в Интернет. Дистанционное обучение с видеороликами о том, как создавать взрывные устройства из подручных средств или отрубать головы, так же эффективно, как и занятия на полигонах. Кроме того, благодаря Интернету террористам не приходится собираться в одном месте, что раньше давало международным правоохранительным органам прекрасную возможность поймать предполагаемых террористов или нанести по ним ракетный удар. Интернет-обучение представляет большую опасность и приводит к многочисленным атакам «волков- одиночек» — террористов, никак не связанных с центром «Аль-Каиды». Но особенно эффективно «Аль- Каида» и другие группы используют Интернет для пропаганды. Распространяя видеоролики с отсечением голов и радикальныой интерпретацией Корана, террористические группировки сумели достучаться до широкой аудитории, сохраняя при этом относительную анонимность.

Если «Аль-Каида» до сих пор еще не проводила кибератак, все запросто может измениться. С каждым

Добавить отзыв
ВСЕ ОТЗЫВЫ О КНИГЕ В ИЗБРАННОЕ

0

Вы можете отметить интересные вам фрагменты текста, которые будут доступны по уникальной ссылке в адресной строке браузера.

Отметить Добавить цитату