Тем не менее у меня нет уверенности, что в ближайшее время ситуация изменится к лучшему. Мой пессимизм основывается в первую очередь на политических проблемах. Текущее состояние безопасности интернета определяется решениями правительства в военной отрасли (в том числе относительно шпионажа), а также решениями крупнейших бизнес-корпораций. Об этом говорилось в главе 4. Несколько последних десятилетий убедили нас в том, что компьютерная безопасность сопряжена больше с человеческим, нежели с техническим фактором. Законы и экономика, психология и социология важны, но политика и власть имеют гораздо большее значение.
Возьмем для примера спам. В течение многих лет он был той проблемой, с которой вы справлялись самостоятельно или, возможно, с помощью интернет-провайдера. Наиболее эффективный способ идентификации и удаления спама находился в сети, но магистральные интернет-компании не беспокоились об этом, потому что у них не было возможности выставить счет пользователям за свою услуги. Ситуация стала иной, когда изменилась экономическая составляющая электронной почты. Как только большинство пользователей создали аккаунты у того или иного крупного провайдера электронной почты, интернет-компании сочли резонным предоставлять услуги по защите от спама. В результате появилось множество инструментов, позволяющих обнаруживать и изолировать спам. В настоящее время он составляет более половины всех сообщений, поступающих на электронную почту{161}, но 99,99 % его блокируется{162}. Это одна из историй успеха компьютерной безопасности.
Рассмотрим случаи мошенничества с кредитными картами. В первые годы после их появления банки перекладывали бóльшую часть издержек от мошенничества с картами на своих клиентов. В результате банки мало заботились о предотвращении мошенничества. Ситуация изменилась в 1974 г., когда в США был принят Закон о справедливом разрешении споров по расчетам кредитными карточками (Fair Credit Billing Act), в соответствии с которым ответственность клиента ограничивалась первыми $50. Вынудив банки нести издержки, связанные со случаями мошенничества, Конгресс создал стимул для борьбы с этим видом правонарушений. В результате были разработаны меры, которые применяются и сегодня: верификация карты в реальном времени, внутренние экспертные системы, отслеживающие потоки трансакций в поисках признаков мошенничества, требование ручной активации карты, снабжение карт чипами и т. д. Предпринятые меры не требовали включения клиентов в борьбу с мошенничеством и существенно сократили его объемы.
Британские банки сильнее вовлекли своих клиентов в процесс противодействия мошенничеству, поэтому не так быстро приняли меры по борьбе с ним. Директивы о платежных услугах (Payment Services Directives){163}, введенные Евросоюзом, преследовали двоякую цель – приблизить защиту клиентов к американским стандартам и оставить банкам пространство для маневра (возможность обвинить клиентов в невнимательности). (Невероятно, но у британских банков еще больше свобод такого рода{164}.) И, как и в Соединенных Штатах, в Великобритании дебетовые карты не были защищены до тех пор, пока еще один закон не предписал банкам взять на себя расходы, связанные с противоборством мошенничеству, – по аналогии с действиями в отношении кредитных карт{165}.
Оба эти примера показывают, что, как только появляются побудительные мотивы для введения мер безопасности, необходимые технологии сразу приходят на помощь. В случае со спамом стимулом для провайдеров стало изменение экосистемы электронной почты. В случае с кредитными картами стимулом для банков послужило принятие соответствующего закона. Так и в интернете+ безопасность сопряжена в первую очередь с вопросами стимулов, ну и, конечно, политики.
До сих пор рынок и правительство были предоставлены сами себе и действовали бесконтрольно. О том, как они справлялись с ситуацией, мы говорили в части 1. Интернет защищен плохо, и причина тому – текущая политика. Рынок не исправит ситуацию до тех пор, пока у него будет возможность получать прибыль от слежки за нами, торговли нашими персональными данными, утаивания от нас информации о безопасности системы. Правительства не улучшат ситуацию до тех пор, пока будут находиться под контролем лоббистов корпораций, организации типа АНБ и Министерства юстиции, отдающих предпочтение шпионажу перед безопасностью.
Если мы хотим установить баланс между рисками системы безопасности и расходами на ее усовершенствование, нам нужно изменить систему стимулов. Если в правительство войдут ИТ-специалисты, деятельность которых будет прозрачна, ситуация изменится к лучшему. В настоящее время правительство – недостающее звено в системе безопасности интернета+. И в первую очередь нужно создать его, хотя существует и множество других проблем. Ни одна из форм участия правительства (государства, властей) в решении вопросов кибербезопасности – урегулирование процессов, привлечение кредитов, прямое финансирование – не будет панацеей. В лучшем случае власти смогут устранить проблемы, требующие коллективных действий, финансовых вливаний, правового регулирования. В худшем случае они попадут в зависимость от частных интересов или превратятся в мощную бюрократическую структуру, занятую не столько эффективным управлением государством, сколько собственным выживанием. Реальность, скорее всего, будет где-то посередине.
В книге о доверии «Лжецы и отступники» (Liars and Outliers) я писал, что «безопасность – это налог на честность»{166}. Речь идет о дополнительных расходах, которые мы все понесем только потому, что некоторые люди ведут себя бесчестно. Можно провести аналогию с магазинами, имеющими штат охраны и оборудованными камерами – товары там будут стоить заведомо дороже, чем в магазинах с худшей защитой.
Траты на безопасность – это своего рода балласт. Они не являются залогом развития системы, но в какой-то степени предотвращают ее крах. Если бы банкам не приходилось вкладывать средства в систему безопасности, их услуги стоили бы дешевле. Если бы правительствам не надо было финансировать полицию и армию, налоги были бы ниже. Если бы вы и я не боялись воров, мы экономили бы, отказавшись от дополнительных замков, охранной сигнализации и решеток на окна. В некоторых странах примерно четверть всей рабочей силы занята в сфере охраны{167}.
Безопасность интернета+ ничем в этом плане не отличается. По оценке фирмы Gartner{168}, занимающейся аналитикой в сфере высоких технологий, общемировые затраты на обеспечение безопасности в интернете в 2018 г. составят $93 млрд. Если мы заинтересованы в безопасности, мы должны выделять на нее средства{169}. Мы должны приобретать компьютеры, телефоны, устройства из интернета вещей, интернет-услуги и вообще все по более высокой цене. У нас просто нет другого выбора. Политический аспект этого вопроса заключается в том, как именно мы будем платить.
Иногда имеет смысл каждому из нас платить за безопасность самостоятельно. Именно так работает система обеспечения безопасности нашего дома. Мы сами покупаем дверные замки. Одни приобретают охранную сигнализацию. Другие покупают оружие и хранят его в доме. Наиболее обеспеченные наши сограждане тратят деньги на телохранителей, на строительство бункеров или, если им приходится противостоять самому Джеймсу Бонду, – на своих подручных. На это уходят наши личные средства, а созданные нами системы безопасности никоим образом не затрагивают окружающих нас людей.
Иногда за безопасность имеет смысл платить коллективно. По такому принципу устроена система охраны общественного порядка. Мы же не говорим: «Если хотите, чтобы полиция существовала, то платите за нее сами». Напротив, часть наших налогов идет на ее содержание. Мы делаем это, потому что самый эффективный способ создания общественных благ – коллективное принятие решений и финансирование. Полиция защищает наше общество целиком (по крайней мере, в теории), вне зависимости от того, хотят этого отдельные его члены или нет.
Отмечу также, что наша усовершенствованная система безопасности интернета+, скорее всего, будет финансироваться индивидуально и коллективно (об этом подробно мы поговорим ниже). К индивидуальным расходам будут относиться траты на программы обеспечения безопасности наших компьютеров и файрволы для наших сетей. Коллективные расходы станут включать в себя вложения в полицейские расследования киберпреступлений, финансирование военных подразделений в сфере кибербезопасности, инвестирование в инфраструктуру интернета. Компании будут встраивать системы безопасности в свою продукцию либо из желания удовлетворить потребности рынка, либо по требованию государства. Там, где есть незащищенность, будут судебные иски, страхование от различных потерь. Чтобы свести к минимуму страховые выплаты и снизить вероятность подачи исков, система безопасности будет укрепляться.
Это потребует больших финансовых вложений. И мы уже осуществляем их. Трудно точно оценить, сколько стоит незащищенность интернета, но кое-какие данные на этот счет у нас есть. Согласно докладу американской исследовательской организации Ponemon Institute от 2017 г.{170}, компьютеры каждой четвертой компании будут взломаны, а потери, которые она при этом понесет, в среднем составят $3,6 млн. По оценке компании Symantec{171}, в 2017 г. жертвами киберпреступлений стали 978 млн человек в 20 странах. Общий ущерб составил $172 млрд. Исследование американского аналитического центра RAND за 2018 г., на мой взгляд, наиболее полное, а разброс представленных в нем данных поражает воображение: