[71] и сможет его присваивать. Пока же он может присваивать рейтинг автомобилям и крупной бытовой технике (относительно недорогих бытовых приборов и устройств слишком много для того, чтобы кто-то другой взял их под свой контроль).
В области компьютерной безопасности стоит упомянуть две программы присвоения рейтингов: проект «Кто прикрывает твою спину?»{262} (Who Has Your Back?), реализуемый Фондом электронных рубежей и оценивающий способность компаний защищать личные данные пользователей, и инициатива «Ранжирование цифровых прав»{263} (Ranking Digital Rights) Института открытых технологий (Open Technology Institute), определяющая степень уважения компаний к свободе мнений и неприкосновенности частной жизни.
Но когда речь заходит о разработке системы ранжирования безопасности, возникают трудности. Одна из них – отсутствие простых тестов, дающих однозначные результаты. Мы не можем всесторонне протестировать фрагмент программы и объявить его безопасным. И любой рейтинг безопасности со временем устаревает: то, что было безопасным (и это было доказано) в прошлом году, может оказаться небезопасным в этом году. Сложность разработки таких рейтингов не только в необходимости временных и финансовых вложений. Мы приближаемся к технологическим пределам в сфере создания вычислительных машин и компьютерных систем: нам все сложнее объявить что-то мало-мальски безопасным.
Но мы по-прежнему можем многое. Мы можем протестировать продукт на предмет его устойчивости к известным способам взлома и объявить его «способным к сопротивлению». Мы можем протестировать его на предмет поведения при отказе системы безопасности и найти оптимальный способ его разработки. Мы можем определить, насколько продукт соответствует принципам, изложенным в главе 6. И практически все из этого мы можем делать без разрешения компаний, разрабатывающих и продающих ПО{264}.
Нам нужно найти баланс между разумными требованиями к проведению испытаний и безопасностью. Например, Управление по контролю за качеством пищевых продуктов и медикаментов США (Food and Drug Administration – FDA) требует проводить тестирование компьютеризированных медицинских приборов. Первоначально введенные FDA правила требовали полного повторного тестирования в случае, если имели место любые обновления ПО, включая установку патчей для ликвидации уязвимостей. Но FDA пересмотрело правила, посчитав, что обновления, не затрагивающие функционал, не требуют повторного тестирования. Возможно, это не самый безопасный способ ведения дела, но, наверное, это самый разумный компромисс.
Нам нужно также научить потребителей прислушиваться к рейтингам, читать описания и понимать знаки одобрения. Например, покупатель должен понимать, что игрушка из мира интернета вещей с маркировкой «соответствует промышленным стандартам безопасности А-1» не считается стопроцентно безопасной – в действительности она соответствует минимальным стандартам безопасности, достаточным для отражения определенных угроз. В области питания существует великое множество конкурирующих рейтингов и шкал. Мы не хотим, чтобы так же обстояли дела с безопасностью интернета+.
Несмотря на эти проблемы, некоторые рейтинги безопасности продуктов будут весьма важными. Без них я не могу представить себе никакие рыночные усовершенствования безопасности.
Существуют и другие способы информирования потребителей о качестве продуктов, помимо их маркировки и рейтингов систем безопасности. Первый способ – выполнение законов о раскрытии информации о нарушениях, согласно которым компании должны уведомлять физических лиц о краже их личной информации. Такие извещения не только предупреждают граждан о хищении их персональных данных, но и информируют нас о том, какие методы хранения личной информации применяют разные компании. В США такие законы{265} приняты в 48 штатах. Несмотря на общую суть, они могут разниться в некоторых вопросах, например, какая информация считается личной, как долго компании должны раскрывать информацию, когда они могут отложить раскрытие и т. д.
Было несколько неудачных попыток{266} принять закон о раскрытии информации о нарушениях на национальном уровне. Я выступаю за принятие этого закона, но у меня есть опасения, что он будет не таким всеобъемлющим, как законы в некоторых штатах – Массачусетсе, Калифорнии и Нью-Йорке, и что он получит преимущественное право над всеми существующими законами штатов. В настоящее время законы штатов де-факто – национальные законы, потому что клиентская база крупных компаний находится во всех 50 штатах.
В каждом штате закон о раскрытии информации о нарушениях должен быть расширен. На сегодня информирование об инцидентах, не связанных с потерей личной информации, остается добровольным, и понятно, что многие компании пользуются этим послаблением, опасаясь негативных отзывов в прессе или судебных разбирательств. Законы о раскрытии информации о нарушениях должны охватывать и другие виды нарушений, например несанкционированное внедрение в критически важную инфраструктуру.
Второй способ информирования потребителей о качестве продуктов – сообщение об уязвимостях. В главе 2 я говорил о том, как эксперты по безопасности ищут уязвимости в компьютерных программах и какое значение имеет публикация результатов исследований для мотивирования производителей ПО к их устранению. Производители ненавидят этот процесс, потому что он выставляет их в невыгодном свете, и в некоторых случаях они успешно преследуют ИТ-специалистов в судебном порядке, ссылаясь на DMCA и другие законы. Эту ситуацию необходимо развернуть на 180 градусов. Нам нужны законы, защищающие программистов, ищущих уязвимости, ответственно заявляющих о них производителям ПО и своевременно публикующих результаты своей работы. Улучшение системы раскрытия уязвимостей не только подтолкнет руководство компаний к совершенствованию системы безопасности{267} своей продукции, но и предоставит потребителям важную информацию о безопасности приобретаемых товаров и услуг.
Просвещение населения жизненно необходимо для обеспечения безопасности интернета+. Гражданам важно чувствовать свою сопричастность к вопросам кибербезопасности, понимать, что от них многое зависит. Отказываясь от использования небезопасных продуктов или услуг, они могут оказывать воздействие на недобросовестные компании, вынуждать государство к принятию соответствующих мер.
Уже предпринимались попытки проведения информационно-просветительских кампаний в области безопасности интернета. В 2016 г. Министерство внутренней безопасности США заявило о проведении кампании Stop.Think.Connect. Тот факт, что вы почти наверняка ничего о ней не слышали, показывает ее эффективность. Вполне возможно, что другие кампании будут более успешными.
Просветительство – трудная задача. Нам нужно разъяснять людям, что безопасность важна, и учить их правильным подходам к вопросам безопасности. При этом мы должны помнить, что нет необходимости превращать потребителей в экспертов. Не стоит создавать мир, в котором только технические специалисты будут гарантами безопасности. Именно в такой ситуации мы оказались с лэптопами и домашними сетями. Принцип работы этих систем находится за пределами понимания рядового пользователя. Чтобы правильно сконфигурировать их, нужно быть экспертом, поэтому большинство людей не пытаются вникнуть в вопросы их защищенности. Нужно действовать иначе.
Сегодня бо́льшая часть рекомендаций{268} в области безопасности касается уязвимых систем. Мы призываем потребителей не «кликать» на непонятные ссылки. Но это же интернет: «кликанье» – это то, для чего ссылки предназначены. Мы также просим людей не использовать сомнительные флэш-накопители. Ну а что бы вы сами сделали с флэш-накопителем? Вывод напрашивается сам собой: нам нужны системы, которые остаются защищенными независимо от того, на какие ссылки «кликают» люди и какие флэш-накопители они используют.
Можно провести параллель с автомобилем. Когда автомобили только появились, к ним прилагались инструкция по ремонту и набор инструментов. Чтобы ездить на авто, вам нужно было знать, как его ремонтировать. Когда управление упростилось, а станции техобслуживания стали обыденным явлением, водить машину смогли даже полные технические бездари. Мы пришли к этому в вопросах работы за компьютером, но отстаем в области компьютерной безопасности.
Существуют области, решить проблему безопасности в которых с помощью просвещения невозможно. Для недорогих устройств главная угроза исходит от ботнетов, и ни покупатель, ни продавец чаще всего не имеют представления, чего следует опасаться. Владельцы веб-камер и цифровых видеомагнитофонов, используемых для атак типа «отказ в обслуживании», не задумываются об этом, потому что их устройства недороги, они продолжают функционировать, а о совершенных атаках информации нет. Продавцы этих устройств озабочены продажей новых, улучшенных моделей, а покупатели – ценой и функционалом. Уязвимость в этом случае можно сравнить с чем-то наподобие невидимого загрязнения.
Что касается более дорогих устройств, испытывающих на себе рост угроз безопасности, то здесь рынок работает лучше. Автовладельцы и авиапассажиры хотят, чтобы используемые ими виды транспорта были безопасными. И просветительская деятельность поможет людям сделать выбор в пользу наиболее безопасных транспортных средств.
Мы можем обучить пользователей определенному безопасному поведению в области интернета вещей, как только эти методы станут простыми, «рабочими» и осмысленными. Так, например, с целью заботы о здоровье мы приучили людей мыть руки, чихать в сгиб локтя и ежегодно делать прививку от гриппа. К сожалению, эти несложные правила соблюдают далеко не все, но большинство придают им должное значение.