Анализ мер безопасности
АрхивПер. с англ. Марины Белару. Статья опубликована в апрельском выпуске ежемесячника Crypto-Gram и доступна по адресу: www.counterpane.com/crypto-gram-0204.html. Печатается с любезного согласия автора.
Если в истории безопасности есть глупое время, то мы в нем как раз и живем. После терактов одиннадцатого сентября разве только самый ленивый поставщик решений в отрасли не выполз из своей щели с новыми заявлениями о том, как его продукт (решение, технология, программа) вновь сделает нашу жизнь безопасной. Каждая правительственная инициатива в области безопасности - сколь бы крива изначально и скомпрометирована впоследствии она не была - вновь вытащена из кладовки на свет божий, отряхнута от пыли и представлена как Универсальный Спасатель Наших Жизней.
Все чаще широкой общественности предлагается принимать решения, касающиеся безопасности, взвешивать «за» и «против» в этой области и примиряться с гораздо более навязчивой безопасностью. К сожалению, широкая общественность не имеет ни малейшего понятия, что со всем этим делать.
Такое понятие имеем мы, специалисты в области компьютерной безопасности. Мы занимаемся этими проблемами постоянно. И я считаю, что мы способны научить остальных. Ниже изложена надежная методика анализа мер безопасности из пяти шагов. Ее можно использовать практически во всех случаях.
Шаг 1: Какую проблему призвана решить предлагаемая мера безопасности?
Вы можете подумать, что с этим все просто, однако слишком много инициатив в области безопасности представляются без ясно очерченной проблемы, которую они должны решать.
Национальная идентификационная карточка (в США) - заявленное решение полностью отсутствующей проблемы. Возросшая активность по перехвату информации в Интернете была представлена во многих странах как жизненно важное требование национальной безопасности, но без всяких объяснений - зачем? Лично я вижу проблему не в недостатке информации, но в явной неспособности интерпретировать и анализировать ту информацию, которая уже есть.
Шаг 2: Насколько хорошо предлагаемая мера безопасности решает проблему?
Слишком часто в рассуждениях от проблемы переходят прямо к теоретическому обоснованию решения - без всякого анализа того, насколько хорошо (или плохо) решается эта проблема сейчас, существующими методами (технологиями).
Компании, предлагающие компьютерные системы распознавания по лицу для аэропортов, все свое время тратят на вопли о том, как классно будут работать совершенные системы, совершенно упуская из виду, что сегодняшние системы работают настолько плохо, что практически бесполезны. Введение зоны запрета полетов вокруг АЭС имеет смысл только в случае, если угонщик самолета согласен соблюдать запрет или если зона достаточно велика для реагирования на действия угонщика, который не согласен.
Шаг 3: К каким новым проблемам для безопасности приведет предлагаемая мера?
Безопасность - это сложная система, состоящая из многих взаимозависимых элементов; стоит изменить один, как сторонние эффекты идут кругами по воде.
Если правительство запрещает сильную криптографию или обязывает вставлять в криптосистемы «черные ходы», то получающиеся в результате более слабые системы гораздо легче поддаются атаке злоумышленников. Национальные идентификационные карточки требуют централизованной инфраструктуры, которая потенциально очень уязвима к злоупотреблениям. Рост незаконной подмены личности может быть связан с возросшим использованием электронных средств идентификации. И если мы просто затрудняем подмену личности посредством ужесточения некоторых мер безопасности, то это лишь обеспечит уменьшенному количеству захваченных идентификаторов большую ценность и большую легкость использования.
Шаг 4: Каковы издержки, связанные с внедрением предлагаемой меры безопасности?
Речь идет не только о финансовых издержках, но и о социальных.
Можно повысить общественную безопасность путем запрещения коммерческой авиации. Можно затруднить бегство преступникам, если ввести физическое ограничение скорости доступных автомобилей до 60 км/час. Но такие меры будут стоить обществу слишком дорого. Национальная идентификационная карточка будет безумно дорогой в реализации. Новые правила, разрешающие полиции задерживать нелегалов на неопределенное время без решения суда, будут стоить нам слишком дорого в смысле гражданских свобод (что, впрочем, и происходит с вновь принятым в США законом The Patriot Act). Мы не разрешаем применять пытки (по крайней мере, официально). Почему? Да потому, что в некоторых случаях выгоды от мер безопасности (которые могут быть и эффективными сами по себе) в целом не перевешивают связанных с ними затрат.
Шаг 5: Превосходят ли выгоды от применения меры, проанализированной на шагах 1-4, связанные с ней затраты?
Это самый легкий вопрос, но им очень редко задаются. Просто эффективность недостаточна для решений в области безопасности. Мы не располагаем бесконечными ресурсами. Мы не располагаем безграничным терпением. Общество должно делать вещи в соответствии со здравым смыслом, заключающимся в наиболее эффективном использовании каждого доллара из бюджета безопасности.
Некоторые меры безопасности проходят такие тесты. Повышенная безопасность вокруг дамб, резервуаров и иных опасных точек инфраструктуры - хорошая идея. Запрет на нахождение вагонов с опасными химикатами в черте городов должен был быть принят давным-давно. Новые планы эвакуации из зданий гораздо лучше тех, которые были раньше. Все это - хорошие примеры использования ограниченных ресурсов для увеличения безопасности.
Итак, повторим: методика «Пять шагов» для анализа любой меры безопасности, в прошлом, настоящем или в будущем:
- Какую проблему решает предлагаемая мера?
- Насколько хорошо она решает эту проблему?
- Какие новые проблемы создает?
- Каковы издержки, экономические и социальные?
- Стоит ли овчинка выделки с учетом вышесказанного?
Как только вы начнете использовать эту методику, вы удивитесь, насколько неэффективно сегодня большинство мер безопасности. Например, лишь две из предложенных после 11 сентября мер авиационной безопасности имеют реальный смысл: укрепление двери в кабину летчиков и мотивация пассажиров к активному сопротивлению. Все остальное находится где-то между незначительным улучшением безопасности и плацебо.