Безопасность плохая и хорошая
АрхивГуру компьютерной безопасности Брюс Шнайер только что закончил новую книгу, которая пока не успела получить названия. Очередной труд эксперта, без сомнения, написан под впечатлением от перемен, происходящих в западном мире и особенно в США после событий 11 сентября 2001 года.
Гуру компьютерной безопасности Брюс Шнайер (на фото) только что закончил новую книгу, которая пока не успела получить названия. Нечастые, но яркие работы этого автора традиционно становятся событием в компьютерном мире, как было и со ставшей уже хрестоматийной «Прикладной криптографией», посвященной довольно узкой области, и с недавней книгой «Секреты и ложь», охватывающей более широкий круг вопросов компьютерной и сетевой безопасности. Очередной труд эксперта, без сомнения, написан под впечатлением от перемен, происходящих в западном мире и особенно в США после событий 11 сентября 2001 года.
Как пишет в анонсе своей новой работы Шнайер, обществу твердят, будто оно находится ныне в условиях большей, чем когда-либо угрозы. Что необходимо изменить привычный образ жизни самым радикальным, хотя и неудобным образом ради того, чтобы быть в большей безопасности. Людей убеждают, что они должны поступиться правами на приватность и анонимность, безропотно принимая ограничения. Власти говорят, что полиции необходимы новые полномочия для ведения следствия, что следует узаконить практику шпионажа внутри страны, что надо применять военную силу против стран, поддерживающих терроризм… Почти все из того, в чем нас заверяют, говорит Шнайер, - неправда. Большинство тех перемен, которые власти просят граждан одобрить, не приведут к укреплению безопасности. Они не сделают общество более защищенным, а некоторые из них, наоборот, лишь ухудшат общую ситуацию.
Таковы в самых общих чертах идеи, которые высказывает Шнайер в своей новой книге и подкрепляет их весомыми аргументами. Понятно, что это опять книга о безопасности. Но не столько о компьютерной безопасности, сколько о безопасности вообще. Цель работы - научить читателя «думать иначе» и самостоятельно, не только отличая хорошую безопасность от никудышной, но и умея объяснить, почему это так. Другая важная цель - помочь формированию у читателей чувства здорового скептицизма относительно безопасности вообще, а особенно технологий, окружающих безопасность. Ну и самое главное - убедить, что безопасность - в людях, а не в технологиях.
Книга шаг за шагом проводит читателя по различным аспектам безопасности: что работает, что нет, почему так происходит. Излагаются общие принципы, которые можно использовать для понимания и оценки безопасности. Для наглядной иллюстрации этих принципов привлекаются примеры из самых разных областей - из спорта и войн, криминальной хроники и естественных наук, из мифологии, кино и литературы. По наблюдениям Шнайера, безопасность реального мира во многом похожа на компьютерную безопасность. И не только потому, что сегодня компьютеры окружают нас повсюду. Просто одни и те же концепции и методологии позволяют осмысленно строить как компьютерную защиту, так и обеспечивать безопасность в повседневной жизни.
Типичный и довольно свежий пример. В конце сентября Белый дом официально издал документ под громким названием «Национальная стратегия защиты киберпространства». Шнайер элегантно и убедительно демонстрирует, что ценности в таких документах меньше, чем в бумаге, на которой они написаны. Все подобные «стратегии» составляются на основе консенсуса заинтересованных сторон, что сводит их эффективность к нулю. В начальном проекте этого документа были весьма сильные и резкие слова о небезопасности беспроводной связи, однако их убрали, потому что индустрия беспроводной связи не желает «за просто так» выглядеть хуже других. Аналогично в проекте были предложения обязать Интернет-провайдеров обеспечивать своих клиентов персональными файрволами, но и этот пункт изъяли по настоянию провайдеров. Разумеется, при таком подходе в документ просто не могли попасть слова об ответственности фирм-разработчиков ПО за выпуск «дырявых как решето» программ. В итоге рождается «стратегия», которая наполнена ни к чему не обязывающими рекомендациями и ничего конкретно не требует от тех, кто непосредственно влияет на безопасность киберпространства.
По сути своей, пишет Шнайер, безопасность - это ресурс всеобщего потребления. Как воздух, вода или радиочастотный спектр, потребление которых одними влияет и на всех остальных. И правильный способ предотвращения злоупотреблений такими ресурсами - это четкое регулирование. Компании никогда бы не прекратили загрязнять реки токсичными отходами по собственной инициативе, а перестали это делать лишь после того, как правительство объявило загрязнение окружающей среды преступлением. И если ныне власти США действительно хотят укрепить компьютерную безопасность, им следует принять соответствующий закон (для чего и существуют правительства). Как и с загрязнением среды, закон не должен заниматься конкретными технологиями, он должен регулировать результаты. И если на ИТ-компании возложить ответственность за дыры в защите их систем, уверен Шнайер, то останется лишь поражаться, насколько быстро они сумеют все сделать «как надо». Собственно, это и называется «думать иначе».
Подобным способом в предыдущей книге того же автора «Секреты и ложь» метафоры реального мира применялись для объяснения тонкостей компьютерной и сетевой безопасности. В новой книге Шнайер поступает наоборот - разъясняет безопасность реального мира с помощью технологий, процессов и формализмов мира компьютерного. Правда, хотя книга уже написана, из-за специфики издательской деятельности в продаже она появится лишь к сентябрю 2003 года.