Ошибка 2002. Часть 2.
АрхивСетевое окружение (архив)Эссе о кибербезопасности и отмывании денег на человеческих страхах
Продолжение. Начало читайте тут.
Законодатели осознают серьезность проблемы качества ПО, но корпоративное давление слишком сильно, чтобы ввести правовые санкции за ущербный программный продукт. Давить там есть чем: только 45 миллионов строк Windows обладают капитализацией в 5% ВВП США. С биржевыми пузырями такого размера нужно обращаться очень осторожно, иначе кибербезопасность может вовсе не понадобиться. Сколько лет уже тянется антимонопольный процесс против Microsoft, но сколько бы не злобствовали прокуроры, максимум чего они добьются — это денежные компенсации, возможно даже очень не маленькие (вспомните антитабачные процессы в Америке), но оплатит-то их в конечном счете потребитель, о благе которого якобы так пекутся правоохранители.
Так что, хотя очевидна однозначная халтурность ПО, содержащего ошибки, подрывающие основы теории безопасности (переполнение буфера или прием некорректных данных), но наказания бракодел не понесет. В этих условиях подключение к Сети потенциально опасных производств выглядит по меньшей мере глупостью. Атака на такую систему становится делом времени и проведет ее скорее всего не желчный западноненавистник, а страдающий от гормонального токсикоза университетский недоучка. Потом он будет размазывать в суде и по Интернету сопли, доказывая, что не хотел ничего, да вот только это будет уже потом…
А пока гром не грянул виртуальные системы массового поражения нужно от Сети отключить и семьдесят семь раз подумать, прежде чем подсоединять новые. Надеяться на сознательность бизнеса бесполезно. Деловары сэкономят на копейку, а нагадят на рубль. Необходим законодательный запрет, который бы оставлял нарушителей без штанов. Да, потребуются затраты на переоборудование специальных сетей, но разве итоговое уменьшение риска, устранение дорогостоящих псевдозащитных систем и прожорливых бюрократических надстроек не перекроют эти расходы?
Другой странной особенностью «крестового похода» против виртуальных злодеев является поведение американских киберджедаев. Натыкав где только вздумалось жучков-соглядатаев, они получили легко прогнозируемый шиш вместо системы раннего оповещения о планах и активности террористов. Зато приобретенные возможности и навыки позволили различным спецслужакам совать нос в дела законопослушных граждан и «подозрительных» государств. Еще со времен неожиданно получившего свое развитие дела Иванова и Горшкова, американские правоохранители получили судебную индульгенцию на нарушение законов в любых странах.
Видимо недостаток образования и непоколебимая уверенность в том, что наглость — лучшее оружие, не позволили им вспомнить библейское изречение «какой мерой меряете, такой и вам отмерять будут». В этом свете возмущение американцев спровоцированной ими же ответной реакций напоминает стенания ограбленного вора.
Единственным практическим результатом розыскных мероприятий стали вошедшие в моду предупреждения через СМИ об ожидаемых кибератаках. Пока ни одна тревога не подтвердилась. В «Очерках русской смуты» А.И. Деникин рассказывает, как в разгар деятельности Временного Правительства, ему (генералу) пришлось через газеты отдавать приказы о боевых действиях, поскольку управление войсками было полностью нарушено. По замыслу отчаявшегося военачальника такие публикации должны были смутить командование противостоящих германских войск. Но, как это и должно было произойти, результат такой стратегии оказался плачевным.
Резонно предположить, что цель любого террора — посеять страх и неуверенность в обществе, парализовать работу государственных и общественных структур. В таком случае мифические кибертеррористы достигли значительных успехов, не затратив никаких усилий. Паникеры из отряда стражей виртуальной безопасности сами выполнили за противника всю подготовительную работу. Вполне возможно, что после выдающегося провала »имени 11 сентября», бюрократы таким оригинальным способом документируют свою работу, спихивая ответственность на подзащитную общественность. Мы, мол, предупреждали. Но ясно, что непрерывный набат сделает общество глухим к предупреждениям о реальной опасности и настоящий киберудар окажется шоком.
Лето 2002 года показало также, что IT-бизнес представляет для страны куда большую опасность, чем все хакеры вместе взятые. Р. Кларк оценивает в 15 миллиардов долларов ущерб американской экономики от атак взломщиков. Только долговая пирамида WorldCom подвесила 40 млрд. Махинации открываются во все новых телекоммуникационных компаниях, проверки показывают, что фальсификация отчетности — обычное дело. Аналитики предупреждают, что манипуляции со средствами пенсионных фондов выльются в 50 WorldCom'ов. Какому врагу под силу превзойти грехи бизнес-элиты, совершенные во имя собственного процветания? Американские сутяги решили содрать через свой суд триллион с арабов, якобы причастных к Большой Оплеухе. Дык это же не покроет даже половины возможных убытков от пенсионных махинаций, — удивились патриотические журналюги, — и сразу решили пририсовать в прессе к иску пару нолей, пока еще хватает средств на такое судопроизводство.
И президент, и конгресс резво осудили корпоративные злоупотребления, ужесточив наказания за бизнес-миражи. А куда было деваться? Во-первых, правительство по своей воле оказалось заложником владельцев телекоммуникационных сетей и разработчиков ПО для стратегических систем. А во-вторых, что куда более интересно, предвыборная кампания, в ходе которой в ноябре 2002 г. переизбираются депутаты палаты представителей, треть сената и 36 администраций штатов показывает как государственным мужам всех цветов икаются щедрые пожертвования от героев скандального времени.
Однако, не нужно думать, что в США все дружно одобряют примитивную охоту на виртуальных ведьм. В первых рядах протестующих, конечно, борцы за приватность, но и бизнес полагает, что патриотизм патриотизмом, а денежки — врозь. Деловые люди весьма резко отвечают, что компьютерная безопасность — не самоцель. Если технология изначально создавалась так, что контроль безопасности осуществлялся, скажем обтекаемо, в отделе кадров, то никакое ПО и аппаратные средства не способны обеспечить сколько-нибудь надежную защиту в том бардаке, который сейчас называется Интернет.
Бизнес не существует без прибыли, как это снова доказывают авиакомпании. Можно найти массу подтверждений тому, что так называемые повышенные меры безопасности, когда у пассажиров регулярно исследуют содержимое трусов, просто пустая трата нервов, времени и денег (например, компания Ель-Аль). Регулярные проверки штатовских аэропортов доказывают, что пронести оружие на борт по-прежнему не составляет большого труда. Да и чему удивляться? Новопринятый безграмотный, но неусыпно бодрствующий персонал делает стойку на паспорт и морду лица, уже забыв, что здание в Оклахоме взорвал герой-американец.
Но вернемся к нашим кибербаранам. В наличии все признаки превращения компьютерной безопасности в Поле Дураков, где будут закапываться огромные деньги, на которые положили глаз новые Алисы и Базилио. Любители чужых тайн не сильно-то и скрывают, что бюрократические структуры не смогут защитить приватизированное виртуальное пространство в случае реального нападения. Ресурсы тратятся на усовершенствование шпионских штучек, да теорию и практику информационных войн.
Но коль американцам просто некуда девать свои доллары, то нашим подражателям стоило бы учесть крайнюю скудность общественных средств и не повторять заморских глупостей. Ведь проблема кибербезопасности в странах третьего компьютерного мира на самом деле куда более остра хотя бы из-за того, что главный рубильник и ПО, и железа находится за океаном. Для автономных сетей это не слишком существенно, впрочем предложения о переводе контрольных систем АЭС под предлогом их модернизации на импортные «черные ящики» вряд ли можно назвать шибко разумными. Скорее наоборот. То же можно сказать о сетях государственных органов.
Если независимая держава не способна контролировать ПО в таких областях, то она может столкнуться со значительным урезанием своего суверенитета при резком изменении взаимоотношений с дядюшкой Сэмом. Открытые источники частично решают эту проблему. Переход правительственных структур ряда государств на ПО с открытым кодом как раз обусловлен желанием ослабить зависимость от настроения софтверного монополиста. Однако, в любом случае компьютерная безопасность невозможна без высококвалифицированных специалистов. Для стран, потерявших свою систему образования, давно известен только один рецепт: «Нэ тратьтэ кумэ сылы, спускайтэся на дно».