2. Открытость ПО для устранения недостатков. ПО и микро-ПО всех устройств должно быть легко обновляемым и аутентифицируемым. Производители также должны устранять уязвимости сразу после их обнаружения, а продукты должны регулярно отслеживать появление новых версий ПО. Это крайне важно; даже при всех существующих проблемах с установкой патчей, о которых я говорил в главе 2, ПО, закрытое для установки обновлений, подвергается большим рискам.
3. Предпроизводственное тестирование. Все ПО должно тестироваться на предмет безопасности до его релиза.
4. Гарантия безопасности приобретаемого устройства. К пользователям должно поступать защищенное устройство, чтобы им не приходилось самостоятельно настраивать параметры безопасности. Пароли не должны быть слабыми или присваиваться по умолчанию. Везде, где это возможно, должна применяться двухфакторная аутентификация. Функция удаленного администрирования должна быть отключена, за исключением случаев, когда она бывает необходима.
5. Предсказуемый и безопасный отказ устройства. Если устройство отключается от интернета, оно должно выходить из строя корректно, так, чтобы никому не причинить вреда.
6. Использование стандартных протоколов, участвующих в реализации связи. Стандартные протоколы наиболее безопасны и хорошо протестированы, чего нельзя сказать о протоколах, заданных пользователями. Устройства должны использовать стандартные коммуникационные протоколы, а также уметь взаимодействовать с другими приложениями и системами. Производители не должны создавать собственные протоколы, за исключением крайних случаев.
7. Отсутствие в товаре известных уязвимостей. Поставщики не должны поставлять продукты, содержащие известные уязвимости.
8. Способность устройства работать офлайн. При отключении от интернета устройство должно выполнять возложенные на него функции. Например, холодильник при отсутствии подключения к интернету должен сохранять заданную температуру.
9. Шифрование и аутентификация данных. Данные устройств должны быть зашифрованы, кроме того, зашифровке и аутентификации должны подвергаться коммуникации, входящие в устройства и выходящие из них.
10. Открытость устройств для исследований. Производители должны предоставлять возможность для исследования своей продукции, быть открытыми для информации об уязвимостях, не оказывать давление на экспертов.
Эти принципы, а также некоторые положения{184}, которые будут раскрыты в следующей главе, взяты из материалов рабочей группы по национальной безопасности (членом которой я являюсь), организованной исследовательской организацией Berkman Klein Center for Internet and Society при Гарвардском университете и финансируемой фондом Hewlett Foundation.
Перечисленные выше принципы не новы и не радикальны. В ходе исследований, результаты которых легли в основу этой книги{185}, было разработано 19 методических рекомендаций по обеспечению безопасности и конфиденциальности в интернете вещей, подготовленных Фондом безопасности интернета вещей (IoT Security Foundation), организацией Online Trust Alliance, правительством штата Нью-Йорк и другими структурами. Эти методические рекомендации и названные нами принципы во многом схожи и не противоречат друг другу. Это говорит о том, что профессионалы задали правильный вектор движения, но, поскольку предложенные принципы носят рекомендательный характер, им никто не следует.
Нам нужно разработать принципы безопасности компьютеров и принципы безопасности данных. Если раньше эти понятия были практически идентичны, то сегодня это не так. Мы больше не храним важные персональные данные в компьютерах – мы храним их в облаках, на серверах, принадлежащих совершенно незнакомым людям, находящимся, возможно, в других странах.
Также персональные данные, часто без нашего ведома и согласия, попадают к третьим лицам и фактически становятся их собственностью. Такие базы данных – лакомый кусок для злоумышленников всех мастей. Чтобы предотвратить действия, которые могут причинить нам ущерб, необходимо разработать принципы защиты баз данных и самих данных. Важно, чтобы этих принципов придерживались все организации, хранящие персональные данные.
1. Минимизация сбора данных. Компании должны собирать только те данные, которые им действительно необходимы.
2. Обеспечение безопасности хранения и передачи данных. При любых операциях, совершаемых с данными, должна осуществляться их надежная защита.
3. Минимизация использования данных. Данные должны использоваться только в тех случаях, для которых они были собраны.
4. Прозрачность получения, использования, хранения и удаления данных. Компании должны предоставлять информацию о том, какие данные пользователей они собирают, как они их хранят и используют, когда удаляют.
5. Анонимность данных, когда это возможно. Если при использовании данных нет необходимости в идентификации физического лица, данные должны оставаться анонимными.
6. Предоставление пользователям доступа к их персональным данным, возможность корректировать их и удалять. Компании не должны держать в секрете от людей данные, касающиеся непосредственно их.
7. Своевременное удаление данных. Данные должны храниться до тех пор, пока в них есть необходимость.
У вас может возникнуть вполне резонный вопрос, что же понимать под персональными данными. Традиционно мы определяли это понятие очень узко. Использовался термин PII (Personally Identifiable Information – информация, позволяющая установить личность). Сегодня этого недостаточно. Мы знаем, что для идентификации индивидуума можно использовать любую доступную информацию и что анонимизация данных намного сложнее{186}, чем кажется. Нам нужно дать более точное и актуальное определение понятия «персональные данные», учитывая, что к нему относится и информация из приложений на вашем телефоне, и даже список расширений вашего браузера, также нуждающиеся в защите.
Критерии защищенности персональных данных, названные выше, были выработаны мной чуть раньше и описаны в моей книге «Данные и Голиаф», изданной в 2015 г. Большинство критериев – часть Общего регламента по защите данных (General Data Protection Regulation) Евросоюза (об этом более подробно будет говориться в главе 10). По сути, эти критерии – общие принципы проектирования, в силу чего они кажутся довольно абстрактными. Компании, от которых будут требовать соблюдения этих принципов, вероятнее всего, окажут сопротивление, объясняя его тем, что собранные ими данные необходимы для разработки АМО, а также пригодятся в будущем. Еще один аргумент в пользу того, чтобы не соблюдать правила, – обеспечение безопасности данных потенциально может угрожать капитализму наблюдения. Но нам нужны эти правила, потому что базы персональных данных становятся все более обширными и персонифицированными. И в конечном итоге компании, не одобряющие правила, поймут это и выиграют от их применения.
Бо́льшая часть персональных данных будет находиться в облачном хранилище{187}. Это выгодно с экономической точки зрения; такова модель информационных технологий на ближайшее будущее. Я считаю, что перемещение данных в облачные хранилища оптимально с точки зрения компьютерной безопасности. Google уже доказал эффективность такой системы безопасности наши данных, особенно на фоне частных компаний и предприятий малого бизнеса. У провайдеров облачных хранилищ больше опыта и знаний в области безопасности, а экономии они добиваются за счет масштабов своей деятельности.
Но риск существует и здесь: чем больше пользователей в одной и той же сети, тем больше возможностей для внутрисистемного хакинга. Крупные провайдеры облачных хранилищ, как и большие базы персональных данных, зачастую становятся мишенями для хорошо подготовленных злоумышленников. Вопрос безопасности облачных хранилищ требует дальнейшего изучения. И хотя большинство принципов, перечисленных мной в этом подразделе, имеют отношение к хранению больших объемов данных, некоторые из них применимы и к деятельности провайдеров облачных хранилищ.
От алгоритмов мы ожидаем многого. И поскольку очень часто они заменяют человека в процессе принятия решений, нам нужно полностью им доверять. Основные требования, которые к ним предъявляются, – точность{188}, справедливость в распределении ресурсов, достижение ожидаемых результатов, соблюдение принципа уважения к гражданским и прочим правам и т. д. Я сосредоточусь на аспекте безопасности алгоритмов.
По существу, риск состоит в том, что алгоритм поведет себя непредсказуемым образом. Возможно, это будет связано с некачественным программированием или взломом его ПО. Очевидный способ избежать этого риска – создавать прозрачные алгоритмы. Чем прозрачнее алгоритм, тем проще его проверять и контролировать.
Проблема заключается в том, что прозрачность алгоритма не всегда достижима. Кроме того, это свойство алгоритма может идти вразрез с интересами производителей. У компаний могут быть профессиональные секреты, которые они хотели бы сохранить. Прозрачность же делает доступной информацию, которой хакеры могут воспользоваться в своих интересах, в результате чего безопасность находится под угрозой. Например, знание алгоритма, применяемого компанией Google для составления рейтинга веб-страниц, позволит мошенникам «подогнать» веб-сайты под алгоритм. Знание алгоритма, применяемого в военной отрасли для идентификации человека дроном, поможет злоумышленникам оставаться неотождествленными.
К тому же не всегда понятна мера прозрачности. Современные алгоритмы настолько сложны, что бывает невозможно определить, точны ли они, не говоря уже о том, насколько они безопасны. Некоторые АМО