– модель наводнения: крупные стихийные бедствия затрагивают большие массы людей; они происходят реже, но тоже с определенной периодичностью. Страхование интернета+ – сложная задача, потому что он не вписывается в рамки ни одной из указанных моделей, но имеет свойства каждой из них: компьютеры подвергаются взлому с определенной (пусть и растущей) интенсивностью, а «взломы класса» и массивные утечки данных затрагивают сразу много людей. К тому же постоянно меняющийся технологический ландшафт затрудняет сбор и анализ статистических данных, необходимых для расчета премий.
Возможно, было бы удобнее использовать модель медицинского страхования{250}: болезнь неизбежна, инфекционные заболевания обычно быстро и широко распространяются, поэтому страховщикам следует сосредоточиться на предотвращении рисков и реагировании на инциденты, а не на непосредственной выплате компенсаций. Страховые компании уже задались вопросом расчета премии на страхование кибербезопасности{251}, и дело пойдет быстрее, как только мы разъясним степень ответственности участников процесса.
Недавно мне выдалась возможность изучить радионяни. По конструкции{252} это приборы наблюдения, фиксирующие и передающие намного больше информации, нежели поведение младенца. Конечно, у меня было много вопросов, связанных с безопасностью радионянь. Как защищена передача аудио- и видеоинформации? Как работает алгоритм шифрования? Как генерируются шифровальные ключи и у кого хранятся их копии? Если данные хранятся на облаке, то в течение какого времени гарантирована их защита и как она осуществляется? Как облачным сервером аутентифицируется приложение на смартфоне при использовании его радионяней? Радионяни многих брендов легко взламываются{253}, а я хотел приобрести безопасное устройство.
Маркетинговое исследование рынка радионянь не дало ответов на мои вопросы. Производители аналоговых радионянь ничего не говорят о безопасности. Производители цифровых версий делают расплывчатые заявления вроде: «[Наша] технология позволяет передавать защищенный закодированный сигнал{254}, поэтому будьте уверены в том, что вашего ребенка не может слышать никто, кроме вас». Некоторые утверждают, что передатчик и приемник взаимодействуют с помощью некоего кодирующего устройства в соответствии со стандартами беспроводной связи. Другие убеждены, что безопасность обеспечивается исключительно мощностью передачи данных и переключением каналов. Все убеждают в защищенности устройства, не объясняя, в чем она заключается. Даже сделав контрольные закупки радионянь из разных ценовых сегментов, я не смог выделить более или менее надежные.
Безопасность – понятие абстрактное, и у пользователей нет четких критериев оценки защищенности продуктов из области цифровых технологий. Радионяни – относительно простые устройства. По мере же усложнения приборов и увеличения количества связей между ними проблемы устройств из мира интернета вещей будут только множиться. Недостаток информации в сочетании со сложностью систем создает у потребителей иллюзию безопасности приобретаемых устройств.
В экономике это явление известно под названием «рынок лимонов»[70]{255}. Производитель товара указывает только на те его свойства, которые покупателям понятны, и игнорирует свойства (например, безопасность), требующие дополнительных пояснений. Расплывчатые успокаивающие заявления о безопасности с большей вероятностью приведут к покупке товара, чем детальное разъяснение, в чем именно заключается безопасность.
В результате продукты, имеющие уязвимость, выдавливают с рынка безопасные продукты, ведь инвестиции в защищенность не приносят прибыли{256}. Мы наблюдаем это снова и снова на примере компьютерной безопасности и безопасности интернета и наверняка увидим в интернете+. Безопасность должна быть понятной, наглядной и очевидной для потребителя; как только он узнает больше, он сможет сделать лучший выбор.
Для большинства товаров разработаны требования к маркировке. Пример тому – указание пищевой ценности и ингредиентов на продуктах питания, подробные аннотации к медикаментам, стикеры с указанием топливной эффективности на новых автомобилях и т. д. Подобная информация позволяет потребителям принять правильное решение о покупке. В области компьютерной безопасности ничего похожего не наблюдается{257}.
Одним из полезных требований к маркировке компьютеризированных продуктов было бы указание модели угрозы, которой этот продукт может противостоять. Возвращаясь к радионяне: попадание на ее канал случайного слушателя не будет критичным, а вот если это будет сделано намеренно, то последствия могут быть самыми непредсказуемыми. Если производители объяснят работу системы безопасности устройства простыми словами, потребители смогут совершать больше сравнительных покупок. Выглядеть это могло бы примерно так: «Наши радионяни – надежное связующее звено между приемником и передатчиком», «Сигнал от передатчика к приемнику закодирован, что исключает возможность прослушивания соседями», «Передача сигнала в Wi-Fi закодирована, что делает невозможным ее прослушивание в чужой беспроводной сети» или «Этот продукт кодирует аудио- и видеоинформацию, отправляемую в облако, что исключает ее прослушивание в интернете». И хотя подобные формулировки покажутся рядовому потребителю китайской грамотой, авторы обзоров продуктов могут использовать эту информацию для продвижения товара определенной марки.
Samsung сочла необходимым донести до покупателей информацию об уязвимости своих умных телевизоров, но изложила ее мелким шрифтом в разделе о политике компании:
Обращаем внимание{258}, что озвученная вами информация, в том числе конфиденциальная, может оказаться среди данных, переданных третьей стороне в результате использования функции «Распознавание голоса».
Маркировки продукта также должны содержать разъяснения рисков для пользователя в области безопасности. Радионяню, как правило, устанавливают в спальне. Из соображений удобства многие держат устройство постоянно включенным. Это значит, что с большой долей вероятности информация, которую пользователь не хочет транслировать, станет достоянием третьих лиц. Важно, чтобы маркировка продукта обращала внимание пользователя на то, к чему могут привести те или иные его действия: «Когда передатчик включен, он транслирует малейший звук в нашу штаб-квартиру в Сан-Хосе». Или: «Этот продукт требует регулярного обновления; зарегистрированные пользователи будут получать апдейты в течение как минимум следующих пяти лет». Основная идея заключается в следующем: пользователей необходимо информировать о том, где начинается и где заканчивается действие системы безопасности продукта, как поддерживать ее работу и когда им следует полагаться на собственные силы.
Возможно, лучший способ предоставления потребителям информации о безопасности продукта на его этикетке – схематичное изображение места в рейтинге. Безопасные продукты и услуги могут получить более высокий рейтинг, что скажется на желании покупателя приобрести их. Это интересная идея, и многие государственные структуры в Великобритании{259}, Евросоюзе{260}, Австралии и других странах взяли ее на вооружение.
Нам нужно больше прозрачности в облачных сервисах. Скорее всего, вы не имеете представления о том, как Google защищает вашу электронную почту. Я надеюсь, что законы об ответственности изменят эту ситуацию. Если розничная компания несет ответственность за защиту данных своих покупателей, то она должна переложить часть ответственности на провайдеров своих облачных сервисов. А они, в свою очередь, должны переложить часть ответственности на провайдеров облачной инфраструктуры. Такая многоуровневая система ответственности сделает прозрачным процесс обеспечения безопасности хотя бы для представителей страховых компаний.
Если бы стандарты безопасности существовали, государственные структуры или независимые организации могли бы тестировать продукты и услуги на соответствие этим стандартам и присваивать соответствующие рейтинги. Самостоятельное предоставление сведений тоже могло бы сработать. В 2017 г. два сенатора подготовили проект Закона о киберзащите (Cyber Shield Act), который мог бы побудить Министерство торговли США разработать стандарты безопасности для интернета вещей. Компании на этикетках своих продуктов{261} демонстрировали бы приверженность этим стандартам. Законопроект канул в Лету, но промышленный консорциум мог бы попытаться возродить его.
Как вариант, рейтинг можно присваивать компаниям в соответствии с их технологиями и методами работы, используя, например, принципы конструирования, рассмотренные нами в главе 6. Это примерно то же самое, что делает международная организация по сертификации Underwriters Laboratories Inc. (ее штаб-квартира находится в Нортбруке, штат Иллинойс). Группа была создана в 1894 г. в страховой индустрии для тестирования безопасности электрического оборудования. Предложенная методика подтверждает не безопасность продукта, а то, что производитель соблюдал ряд важных правил при его изготовлении.
Союз потребителей (Consumers Union) на страницах своего журнала Consumer Reports на протяжении нескольких лет публикует информацию о возможности тестирования безопасности продуктов из мира интернета вещей. Возможно, к моменту выхода этой книги Союз потребителей разработает рейтинг