Нам нужно стандартизировать протоколы безопасности для бизнеса, использующего устройства интернета+. Выпущенный Национальным институтом стандартов и технологий (National Institute of Standards and Technology – NIST) документ «Основа для повышения кибербезопасности критически важной инфраструктуры» (Framework for Improving Critical Infrastructure Cybersecurity) – великолепный пример подобного рода стандартов. Это углубленное руководство для организации из частного сектора экономики по заблаговременной оценке и минимизации риска в области кибербезопасности.
Стандарты, регулирующие такие бизнес-процессы, как предотвращение, обнаружение кибератак и противодействие им, также важны. Если все сделано правильно, бизнес оказывается мотивированным на укрепление безопасности интернета в целом и принятие осознанных решений о том, какие технологии применять и как это делать. Не очевидно, но факт, что стандартизация бизнес-процессов упрощает обмен идеями между представителями деловых кругов, позволяет привязать стандарты безопасности к страхованию. Стандарты также служат моделью для перенимания передового опыта в судебных разбирательствах, и суды могут ссылаться на них при принятии решений.
К сожалению, пока соблюдение норм стандарта «Основа для повышения кибербезопасности критически важной инфраструктуры», подготовленного Национальным институтом стандартов и технологий, – дело добровольное. Но оно уже сдвинулось с мертвой точки. В 2017 г. стандарт стал обязательным для государственных органов. Расширение сферы его влияния на остальных участников технологического процесса оказалось бы настоящей победой.
В распоряжении американского правительства есть аналогичная программа – Федеральная программа управления рисками и авторизацией (Federal Risk and Authorization Management Program – FedRAMP), регламентирующая оценку безопасности и процесс авторизации для облачных услуг. В программе также используется стандарт NIST. Предполагается, что федеральные органы власти будут приобретать продукцию у сертифицированных поставщиков.
Вполне естественно, что с течением времени любой стандарт эволюционирует: появляются новые угрозы, меняются технологии, мы опытным путем доходим до того, что эффективно, а что нет, кроме того, устройства, подключенные к интернету, становятся более мощными и получают широкое распространение.
Представьте генерального директора компании, стоящего перед выбором: потратить из заложенных на кибербезопасность средств дополнительные 5 % на создание корпоративной сети, защиту продукции и клиентских баз или рискнуть и сэкономить в надежде, что все обойдется. Здравомыслящий руководитель предпочтет сэкономить деньги на безопасности и потратить их на создание новых продуктов, чтобы достойно конкурировать на рынке. Если же случится самое плохое (вспомните историю с Yahoo в 2016 г.[64] или кредитным агентством Equifax в 2017 г.), то бо́льшую часть издержек понесут другие стороны. Генеральный директор Equifax не получил компенсацию при увольнении в размере $5,2 млн{219}, потому что подал в отставку{220}, но сохранил пенсию в $18,4 млн и, возможно, получил опцион на покупку акций. Его ошибка в распределении средств стоила компании от $130 млн до $210 млн, но директору в тот момент это было совершенно не важно. Не волновал его и тот факт, что для компании принятое им решение оказалось невыгодным в долгосрочной перспективе.
Это классическая «дилемма заключенного»[65]. Если все компании потратят свободные деньги на безопасность, Уолл-стрит отнесется к этому как к событию в порядке вещей, но если подавляющее большинство выберет краткосрочный экономический интерес в ущерб безопасности, то одна или две фирмы, думающие на долгосрочную перспективу и вкладывающиеся в безопасность, подвергнутся жесткой критике либо со стороны акционеров, когда их дивиденды уменьшатся, либо со стороны клиентов, когда цена на продукцию возрастет. Нам нужно придумать, как скоординировать деятельность компаний и убедить их сообща работать над укреплением безопасности.
Экономический аспект проблемы этим не ограничивается. Даже приняв решение о приоритете безопасности перед краткосрочной выгодой, генеральный директор потратит достаточно средств, чтобы обеспечить безопасность системы в пределах стоимости компании. Это важно. Модель восстановления фирмы после аварии будет выстраиваться исходя из потерь компании, а не страны или отдельных граждан. И хотя максимальные потери примерно равны ее стоимости, истинные убытки от аварии могут быть намного больше. Авария на нефтедобывающей платформе Deepwater Horizon в 2010 г. обошлась ВР{221} примерно в $60 млрд, но ущерб, нанесенный окружающей среде, здоровью людей и экономике, был гораздо масштабнее. Если бы аналогичный случай произошел не с такой крупной компанией, как BP, та прекратила бы свою деятельность задолго до того, как возместила ущерб. В случае же с BP все издержки, которые она понесла, легли на плечи общества.
У этой проблемы есть и психологический аспект. Мы склонны отдавать предпочтение гарантированным небольшим выигрышам перед крупными выигрышами, сопряженными с риском, и при этом готовы рискнуть в ситуации, грозящей обернуться масштабным ущербом. Превентивные меры по укреплению безопасности потребуют меньших вложений, чем ликвидация последствий ЧП, и тем не менее мы предпочитаем на них экономить. Сокращение затрат – безусловный небольшой выигрыш по сравнению с возможными потерями, но мы с легкостью соглашаемся на него. Это не означает, что никто не вкладывает средства в безопасность{222}, это означает, что необходимо преодолевать когнитивные искажения. И это объясняет, почему большинство руководителей часто идут на риск в ущерб безопасности. Предполагается, что они имеют представление об угрозах, хотя в действительности это не так.
Готовность рисковать, выпуская незащищенную продукцию, отчасти объясняется отсутствием представлений о юридической ответственности за подобные действия (подробнее об этом мы поговорим в следующей главе). Много лет назад я пошутил, что, если бы программный продукт причинил моральный вред вашему ребенку, а производитель продукта знал об этом, он принял бы решение не говорить вам ничего, потому что понес бы убытки в результате сокращения продаж, но никак не из чувства ответственности. Эта шутка работала только потому, что в те времена компьютерная программа не могла покалечить ребенка.
Существуют и другие причины экономии на безопасности, одна из которых – отсутствие стимула. У больших компаний, практически не имеющих конкурентов, низкая мотивация к повышению безопасности продукции связана с тем, что у их клиентов просто нет выбора: они либо покупают товар со всеми его изъянами, либо не покупают. У небольших фирм отсутствие стимула связано с тем, что совершенствование безопасности будет замедлять разработку продукта и ограничивать его возможности. Да и окупится это не скоро.
Не лучше отсутствия стимула отношение компаний к проблемам безопасности как к проблемам из области PR и стремление держать информацию об уязвимостях и скомпрометированных данных при себе. О взломе системы агентству Equifax стало известно в июле 2017 г.{223}, однако эта информация держалась в тайне до сентября. Yahoo взломали в 2014 г.{224}, но компания молчала об этом два года. В аналогичной ситуации Uber утаивала информацию год{225}.
Даже когда информация становится достоянием общественности, этого бывает недостаточно для обеспечения должной безопасности. Несмотря на негативные отзывы в прессе, расследования в Конгрессе[66] и бурю в социальных сетях, компании не несут ответственности за уязвимости в своих системах. Одно из исследований{226} показало, что в долгосрочной перспективе взлом системы не влияет на стоимость акций компаний.
Мы уже имеем представление о том, какие последствия влекут за собой плохо согласованные стимулы. В годы, предшествовавшие финансовому кризису 2008 г., банкиры, по сути, играли с деньгами своих вкладчиков. В их интересах было извлечь максимум прибыли за короткое время, но у них не было стимула подумать о последствиях своих действий для семей, которые вложили все свои сбережения в рискованные продукты. Большинство клиентов вынуждены были доверять советам банкиров, потому что не разбирались в финансовых вопросах и не могли оценить риски. После кризиса Конгресс принял закон Додда – Фрэнка (Dodd – Frank Act), призванный перестроить стимулы. Согласно этому закону, на банкиров наложили ряд обязательств (например, прежде чем выдавать клиенту ссуду, они должны убедиться в его платежеспособности), несоблюдение которых влечет за собой серьезные наказания.
Примерно 90 % инфраструктуры интернета принадлежит частным лицам. Помимо всего прочего, это означает наличие благоприятных возможностей для оптимизации краткосрочных финансовых интересов корпораций, но никак не осуществление действий в интересах пользователей или в направлении безопасности сети.
Нам нужно изменить стимул таким образом, чтобы компании были вынуждены думать о последствиях нарушения норм безопасности при выпуске своей продукции.
Один из способов добиться этого – ввести ощутимые штрафы за допущенные нарушения. Издержки на незащищенность, как правило, рассчитываются по схеме: угроза × уязвимость × последствия. Если получившаяся цифра меньше, чем издержки на снижение риска, то компания соглашается с риском. Штрафы, налаг