Если вы хотите построить дом, вам нужно придерживаться множества правил. Для разработки проекта следует нанять архитектора, имеющего государственную сертификацию. Любое сложное конструктивное решение должно быть одобрено сертифицированным инженером. Фирма, осуществляющая строительство, должна иметь лицензию, как и нанимаемые ею сотрудники. Чтобы решать текущие юридические и финансовые вопросы, вам определенно понадобятся юрист и бухгалтер. И тот и другой должны иметь сертификаты и лицензии, выданные советом профессиональной сертификации штата. И конечно, агент по недвижимости, который помогал вам приобрести земельный участок, также имеет лицензию.
Профессиональная сертификация – более высокий стандарт, чем профессиональное лицензирование. К сожалению, в настоящее время у нас не осуществляется ни сертификация, ни лицензирование разработчиков и архитекторов ПО, инженеров-компьютерщиков и программистов. Система сертификации и лицензирования не нова, ее пытаются продвигать уже несколько десятилетий. Существующие организации программистов-профессионалов, в частности, Ассоциация вычислительной техники (Association for Computing Machinery) и профессиональное сообщество Института инженеров электротехники и электроники (Institute of Electrical and Electronics Engineers – IEEE Computer Society) долго изучали этот вопрос и предложили несколько схем лицензирования инженеров-программистов и критерии определения их квалификации. Международной организацией по стандартизации разработаны прекрасные стандарты{269} для создателей ПО. Однако они активно выступают против лицензирования, объясняя это тем, что программирование не относится к инженерному делу в традиционном его понимании. Это не та область деятельности, где инженер для создания чего-то нового применяет известные ему принципы, основанные на научных знаниях. Поэтому трудно сформулировать, кто такой профессиональный инженер-программист, не говоря уже о разработке перечня компетенций, которыми он должен обладать.
И все же я верю, что преодоление этих противоречий – вопрос времени. Сначала несколько инженеров-программистов получат государственные лицензии и будут иметь право подписи написанной ими программы точно так же, как сертифицированный архитектор расписывается под планом здания. Затем сертифицированных инженеров-программистов будет становиться все больше и больше, пока их деятельность не будет полностью лицензирована.
Чтобы добиться этого, предстоит много работы. Лицензированная профессия не может появиться из ниоткуда. Это событие должно предваряться выстраиванием целой образовательной инфраструктуры. Мы должны привить инженерам-программистам культуру в области надежности и безопасности ПО. Нам нужно создать систему образования (курсы в колледжах и университетах) и повышения квалификации. Нам понадобится квалифицированная помощь в вопросах аккредитации и переаттестации инженеров-программистов.
И все это требует времени и немалых усилий. Наверное, пройдут десятилетия, прежде чем система заработает. Специалистам в области медицины потребовалось три века, чтобы их род деятельности признали профессией. Так долго мы ждать не можем. И малейшее наше действие, направленное на повышение квалификации специалистов ИТ-отрасли, будет шагом к безопасному интернету+.
Наряду с повышением профессиональных стандартов нам нужно существенно увеличить численность профессионалов в области кибербезопасности.
Эта тема стоит на повестке дня почти каждого мероприятия, посвященного компьютерной безопасности, а основная мысль, которая высказывается участниками обсуждений, – нехватка инженеров по безопасности для удовлетворения имеющегося спроса. Это относится к специалистам всех уровней: сетевым администраторам, программистам, архитекторам систем безопасности, менеджерам и руководителям служб информационной безопасности.
И, согласно прогнозам, дефицит специалистов в области кибербезопасности в ближайшее время будет только нарастать: называются цифры от 1,5 млн до 6 млн вакансий{270} по всему миру. Я склонен думать, что верен наименее радужный прогноз, и, если он оправдается, случится катастрофа. Решение всех технических проблем безопасности, о которых говорится в этой книге, требует участия людей. Если не будет людей, то и предложенные решения не будут реализованы.
Промышленный аналитик Джон Олцик, занимающийся этой темой, пишет: «Дефицит квалифицированных специалистов в области кибербезопасности – экзистенциальная угроза [для США]». Учитывая существующие тенденции, с такой оценкой трудно спорить.
Решение, которое нам предстоит принять, одновременно очевидное и трудно реализуемое. С одной стороны, нам нужно с детства взращивать специалистов в области кибербезопасности, готовить инженеров-программистов соответствующей квалификации, создавать программы переподготовки действующих программистов. Нам нужно финансировать эту отрасль и действовать быстро.
С другой стороны, где возможно – следует автоматизировать работу в области компьютерной безопасности. Ситуация существенно улучшится, когда в игру в полной мере вступят МО и ИИ. И из этой мысли вытекает следующий шаг к защите интернета+.
Нам нужно решить несколько серьезных технических проблем, связанных с безопасностью. Хотя научные исследования на эту тему уже ведутся, необходимо осуществлять планомерную работу стратегического характера и пролонгированного действия, в результате которой соотношение сил между злоумышленниками и пользователями интернета вещей изменится в пользу последних. Сегодня в эту работу вкладываются слишком малые ресурсы.
Большинство организаций из мира бизнеса не хотят финансировать эти исследования, потому что не видят для себя в этом выгоды. Поэтому реальный вклад в исследование проблем кибербезопасности может внести только государство.
Нам нужно проводить также менее масштабные прикладные исследования, рассчитанные на ближайшую перспективу. И здесь научным организациям не обойтись без помощи бизнеса. Стимулировать предпринимателей к разработке безопасных продуктов и услуг можно налоговыми послаблениями.
Научные исследования могут изменить некоторые представления о безопасности интернета+, которые обсуждались в главе 1. Я был свидетелем призывов осуществить «кибер-Манхэттенский проект{271}» или совершить «киберполет на Луну» и некоторых других. Но я не уверен, что мы готовы к чему-то подобному. Такие проекты требуют четко поставленных целей. Общая цель «улучшить кибербезопасность» здесь не годится.
Нам нужен продуманный и последовательно осуществляемый научно-исследовательский проект развития новых технологий, которые смогут защитить нас от широкого спектра угроз сегодняшнего дня и отдаленного будущего. Да, это амбициозная цель, но альтернативы у нас нет. Главное препятствие на этом пути – дефицит доверия к власти со стороны высокотехнологичных компаний.
В этом опять-таки нет ничего нового. С подобными трудностями сталкивались в деле борьбы с изменением климата, при устранении дефицита продовольствия, решения проблемы перенаселения, в ходе исследований космоса и т. д.
В Соединенных Штатах много говорят о выходе из строя национальной инфраструктуры – дорог, мостов, системы водоснабжения, школ и других общественных зданий, а также о необходимости масштабных инвестиций в ее модернизацию. Нам также необходимо осуществлять масштабные инвестиции в интернет-инфраструктуру, несмотря на то что она в гораздо лучшем состоянии, чем физические объекты.
В технологическом мире устаревание происходит быстрее, чем в физическом. И вы имели возможность в этом убедиться. Вам наверняка приходилось обновлять ноутбук и (или) смартфон, потому что они переставали удовлетворять вашим требованиям. Microsoft и Apple поддерживают только последние версии своих ОС, а значит, использование старого компьютера и ПО становится небезопасным.
Мы не собираемся создавать аналоговый интернет – это не сработает при имеющихся технологиях. Нам следует подумать о последовательном обновлении отдельных компонентов при сохранении их совместимости с предыдущими версиями систем. Кто-то должен координировать этот процесс. Кто-то должен финансировать разработку и обслуживание важнейших компонентов интернет-инфраструктуры. Кто-то должен сотрудничать с технологическими компаниями в сфере защиты общих компонентов инфраструктуры и оперативного устранения обнаруженных уязвимостей. В следующей главе я покажу, что этим «кем-то» должно быть государство.
Процесс обновления критической инфраструктуры интернета не может быть конечным. Эпоха, когда, раз создав систему, мы эксплуатируем ее десятилетиями, закончилась (если она вообще была). Компьютерные системы нужно обновлять постоянно, и нам надо принять как должное факт их минимального срока службы. Мы должны понять, как сохранять соответствие систем требованиям времени, и мы должны быть готовы инвестировать в интернет-инфраструктуру. И инвестировать немало.
Глава 8Обеспечивать безопасность должно правительство
Здравый смысл подсказывает, что летать на самолете – крайне рискованное занятие. Задумайтесь: вы сидите внутри огромной ракеты, которая мчится по воздуху со скоростью 900 км/ч. Современный самолет{272} состоит из шести миллионов деталей, и стоит хоть одной выйти из строя, как самолет потерпит крушение.
Авиакомпании конкурируют друг с другом самыми разными способами. Они меняют маршруты и цены. Они пишут в своих буклетах про угол наклона сидений и размер пространства для ног. Они рекламируют всевозможные услуги и удобства в салонах бизнес- и премиум-класса, делающие полет менее утомительным и скучным. Они привлекают наше внимание названиями популярных брендов и туманными обещаниями «хорошего настроения в полете». Однако никто из них не использует в рекламных целях понятие «безопасность полетов». Надежность и безаварийность авиатранспорта жестко регламентируется правительством. Авиакомпании и производители самолетов обязаны соблюдать бесчисленное множество норм и правил. И эта деятельность осуществляется за пределами внимания потребителя. Ни одна авиакомпания никогда не говорит о своих показателях надежности. И при этом каждый раз, когда я сажусь в самолет (в 2017 г. это прои