Задача четвертая: нам нужно зашифровать уже существующие массивные базы данных, содержащие личную информацию.
Шифрование – не панацея. Хакерские взломы аутентификации часто обходят шифрование путем кражи пароля авторизованного пользователя. К тому же шифрование не предотвратит шпионаж одних правительств в отношении других. Все уроки главы 1 остаются в силе и при шифровании: да, защитить компьютеры на сто процентов очень трудно. Мы знаем, что АНБ способно обойти бо́льшую часть шифрования, атакуя базовое ПО. Но все же эти атаки носят более целенаправленный характер.
Даже зашифрованная система связи или компьютер не абсолютно безопасны, и наоборот – система без шифрования необязательно целиком уязвима. Но шифрование – это основная технология безопасности. Оно защищает нашу информацию и устройства от хакеров, преступников и иностранных правительств. Оно также защищает нас и от чрезмерной слежки со стороны наших собственных правительств. Оно защищает наших выборных должностных лиц от прослушивания, а наши гаджеты интернета вещей – от взлома. Все чаще шифрование спасает нашу критически важную инфраструктуру. В сочетании с аутентификацией это, вероятно, самая важная функция безопасности для интернета+. Многие сбои в системе безопасности происходят именно из-за отсутствия шифрования.
Повсеместное шифрование заставляет злоумышленников атаковать целенаправленно, то есть во многих случаях оно делает невозможным массовое наблюдение. Такой подход скорее ослабляет слежку правительства за своим населением, чем шпионаж одних государств за другими. Вот почему гораздо больший ущерб шифрование наносит тоталитарным правительствам, чем демократичным. Шифрование однозначно полезно для общества, хотя злоумышленники и могут использовать его для защиты своих коммуникаций и устройств, как и всего остального.
Правда, мир не придерживается подобной позиции. Желание сократить шифрование присуще не только тоталитарным правительствам, стремящимся шпионить за своими гражданами, но и политикам и сотрудникам правоохранительных органов в демократических странах, для которых шифрование – инструмент, используемый преступниками, террористами, а с появлением криптовалют и недобросовестными гражданами, склонными отмывать деньги и приобретать запрещенные товары наподобие наркотиков.
Я, как и многие другие специалисты{356} по кибербезопасности, утверждал, что требования ФБР о повсеместном использовании бэкдоров слишком опасны. Конечно, преступники и террористы использовали, используют и будут использовать шифрование для сокрытия своих замыслов от властей – как, впрочем, и многие другие возможности или инфраструктуры, предоставляемые нормальным обществом. Мы, разумеется, признаем, что автомобилями, ресторанами и телекоммуникациями могут пользоваться как честные, так и нечестные люди. Тем не менее общество процветает именно потому, что честных намного больше, чем нечестных. Давайте проведем мысленный эксперимент и сравним идею обязательного использования бэкдоров с тактикой добавления регулятора к каждому автомобильному двигателю, чтобы гарантировать, что никто никогда не превысит скорость. Да, это помешало бы преступникам использовать автомобили для побега, но на честных граждан это наложило бы просто неприемлемые ограничения. Ослабление шифрования одинаково вредно для всех нас, даже если последствия этого не лежат на поверхности. Подробнее об этом я расскажу в главе 11.
Двойная миссия АНБ не только внутренне противоречива, но и бессмысленна для широкой реализации в обществе. Сейчас именно агрессивная стратегия становится приоритетной, притягивает деньги и внимание, а это значит, что, пока АНБ несет ответственность сразу и за нападение, и за оборону, безопасность интернета+ ему полностью препоручить нельзя: ведь одной рукой оно будет защищать его, а другой – подрывать его защиту. Иначе говоря, данная организация в ее нынешнем виде попросту вредна для кибербезопасности.
Нам нужны по-настоящему влиятельные правительственные агентства именно на стороне безопасности, а это означает и необходимость разделения АНБ, и значительное финансирование оборонительных инициатив. В книге «Данные и Голиаф» я рекомендовал разделить АНБ на три организации: одну для ведения международного электронного шпионажа, другую для обеспечения безопасности в киберпространстве, а третью – объединенную с ФБР – для легальной внутренней слежки. Если бы служба безопасности могла работать в тесном контакте или даже стать частью регулирующего органа интернета+, о котором я говорил в главе 8, мир был бы более безопасным.
То же самое следовало бы предпринять и в других странах. Пока Национальный центр кибербезопасности (National Cyber Security Centre) Великобритании подчиняется Штабу правительственных коммуникаций и агентству по внутреннему наблюдению в стране (Government Communications Headquarters – GCHQ), ему никогда нельзя будет полностью доверять. Более приемлемая модель создана в Германии. Там Федеральное управление информационной безопасности (Federal Office for Information Security – BSI) отчитывается перед канцлером через отдельного министра, иного, чем тот, который отвечает за Федеральную разведывательную службу (Federal Intelligence Service – BND), то есть наступательное агентство.
Разделение функций охраны безопасности и шпионажа (а также кибератаки) имеет и другие преимущества. Раскрытие уязвимостей – мало приемлемый род деятельности для организации, которая стремится использовать их в наступательных целях. Суммы финансирования, выделяемые этим двум агентствам, могут, конечно, сильно различаться, но, по крайней мере, их деятельность станет публичной и будет подлежать некоторой проверке. Наконец, разделение функций уменьшит секретность, которая в настоящее время сопровождает все, что связано с государственной безопасностью в киберпространстве. Между тем секретность эта обусловлена в первую очередь наступательными функциями.
Уменьшение секретности означает усиление общественного контроля, и это ключевой вопрос для таких агентств, как АНБ. Чем шире их полномочия, чем активнее происходит публичное обсуждение возможностей и программ, тем меньше вероятность злоупотребления ими.
К сожалению, пока происходит прямо противоположное: в 2016 г. АНБ претерпело{357} серьезную реорганизацию, в результате которой все его наступательные и оборонительные подразделения преобразовались в единое оперативное управление. Это оправданно с технической точки зрения (для обеих функций требуются одни и те же навыки и опыт), но не политической. Если однажды АНБ будет поручена{358} защита интернета+, а не нападение на него, функции оборонительных и наступательных подразделений придется разнести, как это произошло с АНБ и Киберкомандованием США.
Если мы собираемся отдавать приоритет защитным, а не наступательным стратегиям, нам придется признать, что это создаст для правоохранительных органов определенные проблемы. Даже ФБР потребуются следственные инструменты, соответствующие уровню XXI в.
В 2016 г. ФБР потребовало от Apple разблокировать iPhone, принадлежащий погибшему террористу из Сан-Бернардино Сайеду Ризвану Фаруку. Между тем Apple уже давно внедрила шифрование на телефонах по умолчанию, и ФБР не могло получить доступ к данным. Поскольку это был iPhone 5C, то у Apple все же был доступ к данным (в более поздних моделях iPhone система безопасности стала совершеннее). Apple воспротивилась{359} требованию ФБР в первую очередь потому, что сочла эти действия пробным шаром, то есть попыткой силового ведомства заставить производителей компьютеров и программ (да и вообще любую ИТ-компанию) обойти безопасность своих систем и устройств.
То же требование мы слышали от ФБР на протяжении десятилетий, и я расскажу об этом подробнее в главе 11. Силовики полагали, что легко выиграют дело в суде, однако Apple, как и почти все специалисты по кибербезопасности, упорно сопротивлялась. В конце концов ФБР пришлось привлечь{360} некую неустановленную «третью сторону» (вероятно, это была израильская компания Cellebrite), чтобы взломать телефон без разрешения Apple{361}. Ни один суд так и не принял решения по этому делу.
После того как эта история закончилось, мы с группой коллег написали по этому поводу статью под названием «Не паникуйте»{362} (Don’t Panic). Этим заголовком мы хотели сказать, что ФБР и другим агентствам следует прекратить панику по поводу шифрования. Преступления не станут в одночасье нераскрываемыми только потому, что ФБР не сможет извлекать данные из компьютеров или осуществлять прослушивание цифровой связи, точно так же как преступления не были нераскрываемыми до того, как появились компьютеры и люди стали общаться в цифровом пространстве. В статье мы выделили три основные причины, почему не следует устраивать ажиотаж вокруг этого вопроса:
1. Метаданные не могут быть зашифрованы, потому что они должны оставаться в пригодной для использования форме внутри сети. Так что представители правоохранительных органов всегда смогут узнать, кто с кем разговаривает, где и когда, пусть даже они не будут точно знать, о чем идет речь.
2. Данные, хранящиеся на внешних серверах, тоже не могут быть зашифрованы. Даже компании, которые предоставляют зашифрованное хранилище данных, часто могут восстанавливать исходные файлы, потому что этого требует большинство пользователей. Все эти данные будут доступны всегда при наличии судебного ордера, а в некоторых случаях – и без него.