сходило 182 раза), я знаю, что полет будет безопасным.
Так было не всегда. Раньше полеты действительно были опасными, и катастрофы со смертельным исходом случались не так уж редко. Чтобы исправить ситуацию, власти взяли под контроль безопасность воздушного транспорта. На протяжении нескольких десятилетий правительство США одно за другим вносило требования улучшения конструкции самолетов, процедур полета, подготовки пилотов и т. д. В результате этого в настоящее время коммерческий авиатранспорт – самое безопасное средство передвижения в мире.
Мы должны сделать то же самое и в области интернета. Существует несколько пригодных для рассмотрения стандартов безопасности и эффективных способов контроля за их соблюдением (мы говорили об этом в главе 6). В частности, оценивать производителей с точки зрения соответствия их принятым стандартам могли бы независимые агентства по тестированию. Союз потребителей – некоммерческая организация, финансируемая за счет грантов и подписки на журналы, – может быть одним из возможных претендентов на эту роль. Хорошей опорой в деле повышения безопасности интернета+ могли бы стать и сами потребители, если бы они отдавали предпочтение более надежным продуктам и услугам.
И все же я считаю, что за правительством ведущая роль в повышении коллективной безопасности, и оно сможет предпринять соответствующие эффективные действия. Именно через него общество создает и контролирует стимулы для бизнеса. Точно так же, предоставляя правительству соответствующие полномочия, мы обеспечиваем оборону нашей страны от внешних врагов. Через государственные структуры мы координируем коллективные действия внутри страны и предотвращаем засилье бездельников.
Я не могу назвать ни одну сферу нашей жизни, которая за последнюю сотню лет без вмешательства правительства повысила бы свою эффективность и стала бы более надежной. Это касается как фармацевтического производства и пищевой промышленности, так и сферы строительства и регулирования безработицы. Правительство контролирует безопасность наших автомобилей, самолетов, атомных электростанций, товаров потребительского рынка, сферы ресторанного бизнеса и даже финансовых инструментов (одно из недавних нововведений в США). В каждом из этих сегментов до введения государственного регулирования в вопросах безопасности наблюдались грубые нарушения. И даже общественное мнение в борьбе с недобросовестными производителями оказывается менее эффективным, чем государство. Объясняется это тем, что потребители часто не видят разницы между надежным и уязвимым, а производители получению долгосрочных бонусов от повышения безопасности предпочитают быструю выгоду от экономии на ней.
Когда промышленные группы вступают в дискуссию по вопросам надежности и безопасности продукции, они в первую очередь подчеркивают, что любые новые стандарты должны быть добровольными. Такие заявления свидетельствуют о наличии корыстных интересов. Если мы хотим, чтобы стандарт применялся, он должен быть обязательным. Иного не дано, потому что стимулы нельзя применять от случая к случаю.
Следует понимать, что правительственные структуры функционируют разрозненно. Так, контроль за медицинскими приборами осуществляет FDA, а за наземные транспортные средства – Министерство транспорта (The Department of Transportation – DOT). Федеральное авиационное управление (The Federal Aviation Administration – FAA) контролирует воздушные суда, однако в его юрисдикцию не входит решение таких проблем, как нарушение неприкосновенности частной жизни в результате применения беспилотных летательных аппаратов. FTC отчасти контролирует конфиденциальность, но только в случае недобросовестной или обманной торговой практики, а Министерство юстиции (The Department of Justice – DOJ) подключается к делу исключительно при наличии фактов совершения федерального преступления.
Что же касается сбора и хранения данных, то в зависимости от характера их использования ответственные лица меняются. Если данные вовлечены в кампанию по привлечению потребителя, юрисдикция принадлежит FTC. Если эти данные используются в ходе избирательной кампании, это уже юрисдикция Федеральной избирательной комиссии. Если те же самые данные задействуются в школах, в дело вступает Министерство образования. В настоящее время в США нет структур, наделенных полномочиями возмещать ущерб в результате утечки информации или нарушения конфиденциальности, если только компания не давала потребителю ложных обещаний. У каждого ведомства свой подход и свои правила. Комитеты Конгресса постоянно сражаются между собой за ту или иную юрисдикцию, а у федеральных департаментов и комиссий есть свои области ответственности: от сельского хозяйства до обороны, от транспорта до энергетики. Иногда штаты специализируются на каких-либо полномочиях (Калифорния, например, уже давно лидирует в вопросах конфиденциальности в интернете), а иногда федеральное правительство препятствует им в этом.
Однако интернет работает не так. Интернет, а теперь и интернет+, – тесно интегрированная и в то же время крайне лабильная система компьютеров, алгоритмов и сетей. Это прямая противоположность правительственной разрозненности. Интернет растет вширь, разрушая традиционные барьеры и предоставляя людям и системам все больше возможностей для коммуникации и взаимодействий. Будь то большие базы данных или алгоритм принятия решений, будь то интернет вещей, облачное хранилище или робототехника – все это технологии, которые очень глубоко взаимодействуют друг с другом. На моем смартфоне установлены приложения, которые фиксируют показатели моего здоровья, контролируют потребление энергии у меня дома и одновременно взаимодействуют с моим автомобилем. Мой телефон, следовательно, подпадает под юрисдикцию сразу четырех федеральных агентств США – FDA, DOE (Department of Energy – Министерство энергетики), DOT и FCC. А ведь это весьма упрощенный пример.
Электронные платформы, составляющие основу интернета, требуют целостного подхода к политике их регулирования. Все они взаимодействуют с компьютерами, поэтому меры, которые мы применяем для контроля над ними, должны иметь системный и универсальный характер. Я не утверждаю, что нужно разработать единый свод правил для всех компьютеров, но важно, чтобы была единая основа, пригодная для всех устройств, используемых нами дома, в автомобиле, самолете, будь то телефон, термостат или кардиостимулятор, оборудованные ПО.
С учетом этой специфики я предлагаю создать новое федеральное агентство – Национальный киберофис (National Cyber Office – NCO). Исходной моделью для него может быть Управление директора национальной разведки (Office of the Director of National Intelligence – ODNI), созданное Конгрессом после террористических актов 11 сентября как орган, координирующий разведывательную деятельность правительства США. Работа ODNI заключается в определении приоритетов текущей работы, координации деятельности всех ведомств, распределении средств и согласовании стратегий. Это не идеальная модель, и ODNI нередко подвергается критике, например, за неэффективную межведомственную координацию. И все же это управление можно считать прототипом той организации, которая нам нужна для регулирования интернета+.
Вначале деятельность NCO будет заключаться не столько в регулировании деятельности государственных учреждений, сколько в их консультировании по вопросам безопасности интернета+. Такие консультации крайне необходимы федеральным агентствам и законодательным органам всех уровней власти. NCO могло бы также проводить необходимые исследования, созывать встречи заинтересованных сторон по различным вопросам и выступать в качестве amicus curiae[72] в судебных делах, где его опыт, без всякого сомнения, будет оценен по достоинству. Рассматривайте новое агентство не как правоприменительную инстанцию наподобие FTC или FDA, а как аналог Административно-бюджетного управления (Office of Management and Budget) или Министерства торговли (Department of Commerce), то есть как организацию, аккумулирующую и интегрирующую отраслевой опыт.
Принцип работы NCO должен зиждиться на идее, что политика в области интернета+ обязательно затронет интересы нескольких ведомств, каждое из которых отвечает за свою сферу. Однако многие решения должны приниматься в центре и кто-то должен обеспечить подотчетность всех ведомств. Это связано с тем, что множество аппаратных средств, программного обеспечения, протоколов и систем интернета+ пересекаются в составе совершенно непохожих друг на друга приложений.
Новое агентство могло бы также управлять различными инициативами в области безопасности на уровне правительства, такими как обновление NIST Cybersecurity Framework и разработка других типов стандартов безопасности, рассмотренных нами в главе 6. Агентство предоставляло бы академические гранты и налоговые льготы на исследования, о которых я упоминал в главе 7. Кроме того, оно участвовало бы в разработке требований безопасности, являющихся частью процесса правительственных закупок, и популяризировало бы системы кибербезопасности в масштабах государства. NCO могло бы согласовывать деятельность правительства и представителей промышленности, участвовать в разработке стратегий, важных для обеих сторон. И, что немаловажно, агентство послужило бы неким противовесом военным и государственным ведомствам, занимающимся вопросами национальной безопасности, в том числе безопасности в киберпространстве. Часть этих функций сегодня выполняет NIST, а часть – Национальный научный фонд (National Science Foundation – NSF), но ни тот ни другой не получится модифицировать под сугубо компьютерные и сетевые задачи. Было бы разумно передать такие функции именно новому, специализированному агентству.
Наконец, NCO стало бы местом консолидации правительственного опыта. Специальное отделение агентства, которое можно так и назвать – «Интернет+», привлекало бы к работе за конкурентоспособную заработную плату талантливых специалистов, которые могли бы оказать помощь в разработке законопроектов и консультировании по вопросам политики. Это означает, что NCO состояло бы из инженеров и компьютерных ученых, работающих в тесном сотрудничестве с экспертами в области политики и права. К этой теме я еще вернусь в заключении: важность тесного сотрудничества технологов и политиков невозможно переоценить.