«примочек».) Реклама и специальная литература в обоих случаях одинаковы. Разницы не заметить, не заглянув внутрь исходного кода или «железа». И к тому же вы должны быть специалистом. Средний человек все еще не может отличить продукт высокого качества от подделки.
Мир заполнен вещами, угрожающими общественной безопасности, суть которых находится вне понимания среднего человека. Люди не могут отличить безопасную авиалинию от опасной, но 1,6 миллиона человек в Соединенных Штатах летают каждый день. Люди не всегда способны отличить качественное лекарство от бесполезного, и все же объем американского фармацевтического рынка составляет 60 миллиардов долларов в год. Люди пользуются «заезженными» каботажными судами, доверяют свои деньги не тем, кому следует, и едят обработанное мясо – не проявляя реального беспокойства по поводу своей безопасности.
В коммерции все то же самое. Когда в последний раз вы лично проверяли точность насосов бензоколонки, или счетчик такси, или информацию о весе и объеме пищевых продуктов в пакетах? Когда в последний раз вы вошли в офис здания и потребовали показать свидетельство последнего осмотра лифта? Или проверяли лицензию фармацевта?
Мы часто полагаемся на правительство для защиты потребителя в областях, где большинство людей не имеют навыков или знаний, чтобы оценить риски должным образом и сделать разумный выбор покупки. Федеральное авиационное агентство (FAA) регулирует безопасность авиатранспорта; Министерство транспорта (DOT) отвечает за безопасность автомобилей. Администрации штатов регулируют веса и меры в торговле. Вы не можете ожидать от семейства, движущегося в направлении к Диснейленду, принятия разумного решения относительно того, является ли их самолет безопасным для полета или арендованный автомобиль безопасным в движении. Мы не ждем, что балкон второго этажа гостиницы упадет на портик ниже. Вы можете спорить о том, действительно ли правительство хорошо справляется со своей ролью (так как избиратели не понимают, как оценивать риски, то они и не вознаграждают правительство за хорошую оценку угрозы), но все же благоразумнее оставить эту роль именно ему.
Но если Управлению по контролю за продуктами и лекарствами США (FDA) доверить роль управления Интернетом, то в результате государственного регулирования из Интернета, вероятно, будет вычищено все, что делает его Сетью, сама его сущность. Регулирование часто выбирает неправильные решения (сколько денег было потрачено, чтобы оснастить посадочные места в самолетах спасательными поясами, и какое количество людей реально воспользовались ими при крушении?), и оно медлительно. FDA потребовалось три с половиной года на утверждение Interleukin-2[80], что соответствует вечности в мире Интернета. С другой стороны, неспешность FDA бывает иногда на пользу: из-за нее Соединенные Штаты не имели национальной катастрофы из-за «Талиломида» (Thalidomide)[81] в масштабе Британии. И благодаря ей же продажа «Лаэтрила» (Laetrile)[82] на американском рынке так и не была санкционирована.
Или представим, что Underwriters Laboratory отвечает за безопасность киберпространства. Это частная лаборатория, которая испытывает и сертифицирует электрическое оборудование. (Они также оценивают надежность сейфов.) «Отзывы потребителей» предоставляют подобный сервис для других продуктов. Частная компания может обеспечить компьютерную и сетевую безопасность, но ценой огромных затрат. И поэтому правительство отворачивается от такой модели, а новые законы в Соединенных Штатах не признают законность оценки безопасности продуктов частыми компаниями и лицами.
Другой пример. Medical Doctors и Registered Nurses лицензированы. Инженеры, имеющие сертификаты, могут помещать буквы РЕ (зарегистрированный инженер) после своего имени. Но свидетельства значимы на местах, а Интернет глобален. И все еще нет никакой гарантии.
Все эти модели не выводят нас из затруднительного положения. Мы нуждаемся в технологических решениях, но они пока не совершенны. Мы нуждаемся в специалистах для управления этими технологическими решениями, но имеющихся специалистов мало. Мы нуждаемся в сильных законах, чтобы преследовать по суду преступников, и готовы следовать установленному порядку, но большинство атакованных компаний не хотят обнародовать случившееся.
В главе 24 я доказывал, что способов обеспечить безопасность при ограничениях технологии, кроме как задействовать процессы безопасности, нет. И что эти процессы неразумно осуществлять силами организации, правильнее привлечь профессионалов безопасности киберпространства. Это представляется единственным выходом из обрисованного выше положения.
Предположим, что решение привлечь стороннюю организацию вас устраивает.
В моей первой книге «Прикладная криптография» я писал: «Шифрование слишком важно, чтобы оставить его исключительно правительству». Я все еще верю этому, но в более общем смысле. Безопасность слишком значительна, чтобы разрешить ею заниматься любой организации. Доверие нельзя доверить случаю.
Доверие индивидуально. Один человек всецело доверяет правительству, в то время как другой может не доверять ему вообще. Различные люди могут доверять различным правительствам. Некоторые люди доверяют корпорациям, но не правительству. Невозможно проектировать систему безопасности (продукт или процесс), которая будет лишена доверия; даже человек, пишущий собственное программное обеспечение безопасности, должен вверить его компилятору и компьютеру.
К сожалению, большинство организаций не понимают, кому они доверяют. Кто-то может вслепую положиться на какую-то особую компанию без особой на то причины. (Слепая вера некоторых людей заставляет их иметь особенную операционную систему, брандмауэр или алгоритм шифрования.) Иная администрация безоговорочно доверяет своим служащим. (Я слышал, что некоторые оценивают безопасность не по тому, сколько истратили на брандмауэр, а по тому, сколько стоит системный администратор.)
Из того, что безопасность по своей сути обязана ограничивать риски, вытекает, что организации должны доверять объектам, которые ограничивают их риск. Это значит, что объекты имеют гарантию. Доверенные объекты обладают такими свойствами, как проверенный послужной список, хорошая репутация, независимые сертификаты и аудиторы. Каждое по отдельности не считается доказательством, но все вместе являются основанием для доверия.
Выбор заключается не в том, чтобы доверять организации, а в том, какой организации доверять. Для меня отдел MIS (управленческой информационной структуры) компании, в которой я работаю, вероятно, заслуживает меньшего доверия, чем независимая привлеченная организация, которая всерьез заботится о безопасности.
Безопасность – это не продукт, а процесс. Вы не можете ее просто добавить к системе уже после нападения. Жизненно важно понять реальные угрозы для системы, спроектировать политику безопасности, соразмерную серьезности угроз, и реализовать соответствующие контрмеры. Помните, что не требуются идеальные решения, но также недопустимы системы, которые можно полностью разрушить. Хорошие процессы безопасности также существенны, они помогают продукту работать.
Благоразумнее готовиться к наихудшему. Нападения и нападающие со временем только совершенствуются, а системы, установленные сегодня, могли быть к месту на 20 лет раньше. Реальным уроком Y2K[83] стала замена устаревшего кода компьютера. Мы все еще подвержены ошибкам, допущенным в аналоговых телефонных системах десятилетия назад и в цифровых сотовых системах годы назад. Мы все еще работаем с опасным Интернетом и ненадежными системами защиты пароля.
Мы также до сих пор еще имеем дело с ненадежными дверными замками, уязвимыми финансовыми системами и несовершенной юридической системой. Но все же ничто из перечисленного не является причиной крушения цивилизации и маловероятно, что станет. И мы не добьемся должной цифровой безопасности, пока не сосредоточим внимание на процессах безопасности, а не на технологиях.
Эта книга постоянно менялась. Я написал две трети книги и осознал, что мне нечем обнадежить читателя. Казалось, возможности технологий безопасности исчерпаны. Мне пришлось отложить рукопись более чем на год, было слишком тягостно работать над ней.
В начале 1999 года я разочаровался в своей консультационной деятельности. Компания
